Princípios e configuração da ACL

Page 1 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Foreword
 O rápido desenvolvimento da rede traz desafios à segurança de rede e à qualidade de serviço (QoS).
Listas de controle de acesso (ACLs) estão intimamente relacionadas à segurança de rede e QoS.
 Identificando com precisão os fluxos de pacotes em uma rede e trabalhando com outras tecnologias, as
ACLs podem controlar os comportamentos de acesso à rede, evitar ataques à rede e melhorar a utilização
da largura de banda da rede, garantindo assim a segurança do ambiente de rede e a confiabilidade do QoS.
 Este curso descreve os princípios básicos e funções de ACLs, tipos e características de ACLs, composição
básica de ACLs, ordem de combinação do ID da regra da ACL, uso de wildcards e configurações de ACL.

Page 2 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Objectives
 Ao concluir este curso, você será capaz de:
▫ Descrever os princípios básicos e funções das ACLs.

▫ Compreender os tipos e características das ACLs.

▫ Descrever a composição básica de ACLs e ordem de correspondência do ID de regra da ACL .

▫ Entender como usar wildcards em ACLs.

▫ Concluir as configurações básicas de ACLs.

Page 3 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Trabalho de ACLs
3. Configurações e aplicação básica de ACLs

Page 4 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Histórico: Uma ferramenta é necessária para filtrar
o tráfego
VLAN 10 Existe alguma
Servidor do ferramenta disponível
departamento para filtrar o tráfego IP?
Financeiro
Departamento de 192.168.4.4/24
P&D
192.168.2.0/24
Internet

VLAN 20

Tráfego negado
Escritório do
Tráfego permitido
Presidente
192.168.3.0/24
 Para garantir a segurança dos dados financeiros, uma empresa proíbe o acesso do departamento de P&D ao servidor do
departamento financeiro, mas permite o acesso do escritório do presidente ao servidor do departamento financeiro.

Page 5 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Visão geral de ACL
 Uma ACL é um conjunto de regras sequenciais compostas por instruções de permissão ou negação.
 Uma ACL combina e distingue pacotes.
Aplicação da ACL

• Matching do Tráfego IP
Endereço IP de origem, Números de
endereço IP de destino e porta de origem • Invocado em um filtro de tráfego
tipo de protocolo e destino
• Invocado na tradução de endereço de rede
Cabeçalho Cabeçalho (NAT)
Dados
IP TCP/UDP
• Invocado em uma política de roteamento
• Invocado em uma política de firewall
• Invocado em QoS
• Outros

Page 6 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Trabalho de ACLs
3. Configurações e aplicacão básica de ACLs

Page 7 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL
correspondência de ACL

Composição de ACL
 Uma ACL consiste em várias instruções de permissão ou negação. Cada instrução é uma regra da ACL e
permit ou deny em cada instrução é a ação correspondente à regra.

O que cada regra significa?

acl number 2000 Número da ACL

rule 5 permit source 1.1.1.0 0.0.0.255

ID da regra
rule 10 deny source 2.2.2.0 0.0.0.255
Acção Regras definidas pelo
usuário
rule 15 permit source 3.3.3.0 0.0.0.255
Opção correspondente
(endereço IP de origem)
...

rule 4294967294 deny Regra oculta no final da ACL

Page 8 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL
correspondência de ACL

ID da regra
acl number 2000 Rule ID e Step
Rule ID
• Rule ID
rule 5 deny source 10.1.1.1 0 Cada regra em uma ACL possui um ID.
rule 10 deny source 10.1.1.2 0 • Step
rule 15 permit source 10.1.1.0 0.0.0.255 Um Step é um incremento entre rule IDs vizinhos alocados
automaticamente pelo sistema. O Step padrão é 5. Definir
Step = 5
um Step facilita a inserção de regra entre as regras
existentes de uma ACL.
Como faço para adicionar uma regra? • Atribuição de Rule ID
Se uma regra for adicionada a uma ACL vazia, mas
rule 11 deny source 10.1.1.3 0
nenhum ID for especificado manualmente para a regra, o
sistema aloca um valor de Step (5 por exemplo) como rule
acl number 2000 ID. Se uma ACL contiver regras com IDs especificados
rule 5 deny source 10.1.1.1 0 manualmente e uma regra sem ID especificado
rule 10 deny source 10.1.1.2 0 manualmente for adicionada, o sistema aloca para esta
rule 11 deny source 10.1.1.3 0 regra um ID que é maior que o maior rule ID na ACL e é o
rule 15 permit source 10.1.1.0 0.0.0.255 menor múltiplo inteiro do valor de Step.

Page 9 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL
correspondência de ACL

Wildcard (1)
Wildcard
acl number 2000 Wildcard
• Uma wildcard é um número de 32 bits que indica quais bits
em um endereço IP precisam ser estritamente
rule 5 deny source 10.1.1.1 0 correspondidos e quais bits não precisam ser
rule 10 deny source 10.1.1.2 0 correspondidos.
rule 15 permit source 10.1.1.0 0.0.0.255 • Uma wildcard é geralmente expresso em notação decimal
com pontos, como uma máscara de rede é expressa. No
entanto, seus significados são diferentes.

• Regra de correspondência
0: correspondência; 1: alocação aleatória

Como faço para combinar o endereço do segmento de rede correspondente a 192.168.1.1/24?

192.168.1.1 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1
Segmento de rede
192.168.1.0/24
0.0.0.255 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1

Correspondência Alocação aleatória

estrita
Page 10 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL
correspondência de ACL

Wildcard (2)
 A wildcard pode ser usado para corresponder a endereços IP ímpares no segmento de rede 192.168.1.0/24, como
192.168.1.1, 192.168.1.3 e 192.168.1.5.
Strict matching Random allocation Strict matching

192.168.1 1 192.168.1.1 0.0.0.254

192.168.1 0 0 0 0 0 0 0 1

192.168.1 3 O valor 1 ou 0 no wildcard pode ser inconsecutivo.

192.168.1 0 0 0 0 0 0 1 1

192.168.1 5 Wildcard especial

192.168.1 0 0 0 0 0 1 0 1 • Estabelecer uma correspondência exata ao endereço IP
192.168.1.1.
…
Wildcard 192.168.1.1 0.0.0.0 = 192.168.1.1 0
• Estabelecer a correspondência a todos os endereços IP.
0.0.0. 1 1 1 1 1 1 1 0
0.0.0.0 255.255.255 = any

Page 11 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição do LCA Classificação ACL
correspondência de ACL

Classificação e Identificação de ACL

 Classificação de ACL com base em métodos de definição de regras de ACL
Intervalo de
Categoria Descrição
números
ACL básica 2000 a 2999 Define regras com base em endereços IPv4 de origem , informações de fragmentação e intervalos de tempo efetivos.

Define regras com base em endereços IPv4 de origem e destino, tipos de protocolo IPv4, tipos ICMP, números de porta
ACL avançada 3000 a 3999
TCP de origem/destino, números de porta UDP de origem/destino e intervalos de tempo efetivos.
Define regras com base nas informações nos cabeçalhos dos pacotes Ethernet, como endereços MAC de origem e destino e
ACL da Camada 2 4000 a 4999
tipos de protocolo da camada 2.
ACL definida pelo Define regras com base em cabeçalhos de pacotes, deslocamentos, máscaras de cadeia de caracteres e cadeias de caracteres
5000 a 5999
usuário definidas pelo usuário.
Define regras com base em endereços IPv4 de origem ou grupos de lista de controle de usuários (UCL), endereços IPv4 de
ACL do usuário 6000 a 6999 destino ou grupos UCL de destino, tipos de protocolo IPv4, tipos ICMP, números de porta TCP de origem/destino e
números de porta UDP de origem/destino.

• Classificação da ACL com base em métodos de identificação de ACL

Categoria Descrição
ACL numerada Método tradicional de identificação ACL. Uma ACL numerada é identificada por um número.
ACL nomeada Uma ACL nomeada é identificada por um nome.

Page 12 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL
correspondência de ACL

ACLs básicas e avançadas

Endereço IP de
 ACL básica origem
Intervalo de Cabeçalho IP Cabeçalho TCP/UDP Dados
numeração:
2000 a 2999 acl number 2000
rule 5 deny source 10.1.1.1 0
rule 10 deny source 10.1.1.2 0
rule 15 permit source 10.1.1.0 0.0.0.255

Endereço IP de origem, Números de porta

• ACL avançada endereço IP de destino e de origem e
tipo de protocolo destino
Intervalo de
Cabeçalho IP Cabeçalho TCP/UDP Dados
numeração:
3000-3999
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
rule 10 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 destination-port eq 21

Page 13 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL correspondência de
ACL

Mecanismo de correspondência de ACL

Começar
Principio da correspondência (Matching) : a correspondência pára quando
uma regra é correspondida.
A ACL Não
referenciada
existe?
sim

A ACL Não
contém
regras?
sim
Analise a primeira A ação da
regra. ACL é permitir
permitida ou
negada?
Combine a sim
regra. negar
Não
Não O resultado correspondente O resultado correspondente O resultado correspondente
Existem regras
da ACL é negado. de ACL é permitida. da ACL é "combinação
restantes?
negativa".
sim
Analise a próxima
Fim
regra.

Page 14 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL correspondência de
ACL

Ordem e resultado de correspondência de ACL

 Ordem de configuração (config modo)
▫ O sistema compara os pacotes com as regras ACL em ordem crescente do rule ID. Ou seja, a regra com o menor ID é processada
primeiro.

192.168.1.1/24 acl 2000

192.168.1.1/24
192.168.1.2/24 rule 1 permit source 192.168.1.1 0.0.0.0
192.168.1.2/24
192.168.1.3/24 rule 2 permit source 192.168.1.2 0.0.0.0
192.168.1.4/24
192.168.1.4/24 rule 3 deny source 192.168.1.3 0.0.0.0
192.168.1.5/24
192.168.1.5/24 rule 4 permit 0.0.0.0 255.255.255.255

Objeto a ser combinado ACL Endereços IP permitidos

básica
rule 1: permite pacotes com o endereço IP de origem 192.168.1.1.
rule 2: permite pacotes com o endereço IP de origem 192.168.1.2.
"permit" significa que o tráfego rule 3: nega pacotes com o endereço IP de origem 192.168.1.3.
rule 4: permite pacotes de todos os outros endereços IP.
pode passar?

Page 16 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL correspondência de
ACL

Posição de Matching da ACL

Data packet

Configure uma ACL na interface. Configure uma ACL na interface.

Para permitir que a ACL entre em vigor para Para permitir que a ACL entre em vigor para o
o pacote de dados mostrado na figura, pacote de dados mostrado na figura,
aplique a ACL na direção inbound. aplique a ACL na direção outbound .

Page 18 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Regras de
Composição ACL Classificação ACL correspondência de
ACL

Direções Inbound e Outbound

Entrada Saída
Pacote de
dados

Não
Pacote de A ACL é aplicada à Roteie o pacote Está disponível Não
direção de entrada de dados. uma entrada de rota
dados
da interface? correspondente?

Não
Sim
Sim

A ACL permite o Sim

A ACL é aplicada à Sim Sim
Encaminhe o pacote A ACL
pacote de dados? permite o
de dados para a direção de saída da
interface de saída. interface de saída? pacote de
dados?

Não
Não

Pacote de Pacote de
dados dados

Page 19 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Contents
1. Visão geral da ACL
2. Conceitos Básicos e Mecanismo de Funcionamento de ACLs
3. Configurações básicos e aplicação de ACLs

Page 20 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Comandos básicos de configuração de ACLs básica
1. Criar uma ACL Básica.

[Huawei] acl [ number ] acl-number [ match-order config ]

Criar uma ACL básica numerada e entre em sua visualização.

[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

Criar uma ACL básica nomeada e entre em sua visualização.

2. Configure uma regra para a ACL básica.

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-
name ]

Na vista da ACL básica, você pode executar este comando para configurar uma regra para a ACL básica.

Page 21 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Caso: use uma ACL básica para filtrar o tráfego
de dados
1. Configure endereços IP e rotas no router.

192.168.1.0/24 Router
Server 2. Crie uma ACL básica no router para evitar que o segmento de
GE 0/0/1 GE 0/0/2
10.1.1.1/24
rede 192.168.1.0/24 acesse a rede onde o servidor reside.

[Router] acl 2000

192.168.2.0/24
• Requisitos:
Para evitar que o host do usuário no segmento de rede
192.168.1.0/24 acesse a rede onde o servidor reside,
configure uma ACL básica no router. Após a conclusão da
configuração, a ACL filtra os pacotes de dados cujos
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any
3. Configure a filtragem de tráfego na direção de entrada de
GE0/0/1.
[Router] interface GigabitEthernet 0/0/1

endereços IP de origem estão no segmento de rede [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000

192.168.1.0/24 e permite outros pacotes de dados. [Router-GigabitEthernet0/0/1] quit

Page 23 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Comandos básicos de configuração de ACLs
avançadas (1)
1. Criar uma ACL avançada.

[Huawei] acl [ number ] acl-number [ match-order config ]

Crie uma advanced ACL numerada e entre em sua visualização.

[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]

Criar uma ACL avançada nomeada e entre em sua visualização.

Page 24 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Comandos básicos de configuração de ACLs
avançadas (2)
2. Configurar uma regra para a ACL avançada.
Você pode configurar regras de ACL avançada de acordo com os tipos de protocolo de pacotes IP. Os parâmetros variam de
acordo com os tipos de protocolo.

▫ Quando o tipo de protocolo é IP, o formato do comando é:

rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard
| any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]

Na vista da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.

▫ Quando o tipo de protocolo é TCP, o formato do comando é:

rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port
{ eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt
port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *

Na vista da ACL avançada, você pode executar este comando para configurar uma regra para a ACL avançada.

Page 25 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Caso: Use ACLs avançada para impedir que hosts de
usuários em diferentes segmentos de rede se comuniquem (1)

GE 0/0/1 1. Configure endereços IP e rotas no router.

R&D department 10.1.1.1/24
2. Crie o ACL 3001 e configure as regras para que o ACL negue pacotes do
10.1.1.0/24
Router departamento de P&D para o departamento de marketing.
Internet

[Router] acl 3001

GE 0/0/2
10.1.2.1/24 [Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255
destination 10.1.2.0 0.0.0.255
Marketing department
10.1.2.0/24 [Router-acl-adv-3001] quit

Requisitos:
• Os departamentos de uma empresa são conectados por meio do
router. Para facilitar o gerenciamento da rede, o administrador
aloca endereços IP de diferentes segmentos de rede para os
departamentos de P&D e marketing.
• A empresa exige que o router impeça que os hosts dos usuários
em diferentes segmentos de rede se comuniquem para garantir a
segurança das informações.
3. Crie o ACL 3002 e configure as regras para que o ACL negue pacotes do
departamento de marketing para o departamento de P&D.
[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255
destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit

Page 27 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Caso: use ACLs avançadas para impedir que hosts de
usuários em diferentes segmentos de rede se comuniquem (2)

GE 0/0/1 4. Configure a filtragem de tráfego na direção de entrada de GE 0/0/1 e

R&D department 10.1.1.1/24 GE 0/0/2.
10.1.1.0/24
Router Internet
[Router] interface GigabitEthernet 0/0/1
GE 0/0/2 [Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
10.1.2.1/24
[Router-GigabitEthernet0/0/1] quit
Marketing department
10.1.2.0/24
[Router] interface GigabitEthernet 0/0/2
Requisitos: [Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
• Os departamentos de uma empresa são conectados por meio do [Router-GigabitEthernet0/0/2] quit
router. Para facilitar o gerenciamento da rede, o administrador
aloca endereços IP de diferentes segmentos de rede para os
departamentos de P&D e marketing.
• A empresa exige que o router impeça que os hosts dos usuários
em diferentes segmentos de rede se comuniquem para garantir a
segurança das informações.

Page 28 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Quiz
1. (Single) Qual das seguintes regras é uma regra válida da ACL básica? ( )
A. rule permit ip

B. rule deny ip

C. rule permit source any

D. rule deny tcp source any

2. Quais parâmetros você pode usar para definir regras de ACL avançadas?

Page 29 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Summary
 ACL é uma tecnologia de rede amplamente usada. Seu princípio é o seguinte: os pacotes são
comparados às regras ACL configuradas e as ações são executadas nos pacotes conforme
configurado nas regras ACL. As regras e ações correspondentes são configuradas com base nos
requisitos de rede. Devido à variedade de regras e ações correspondentes, as ACLs podem
implementar várias funções.
 As ACLs costumam ser usadas com outras tecnologias, como firewall, política de roteamento,
QoS e filtragem de tráfego.

Page 30 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.
 Thank You
www.huawei.com

Page 31 Copyright © 2020 Huawei Technologies Co., Ltd. All rights reserved.