ACCESS-LIST

Lista de controle de acesso (ACL, do inglês Access Control List) é uma lista que define as permissões de
acesso De um equipamento ou usuário à um determinado componente ou serviço de um sistema de rede.
As Listas de controle de acesso (ACLs) pode ser utilizado para dois fins nos dispositivos da Cisco: *para filtrar
tráfego;

*Para identificar o tráfego.

As listas de acesso são um conjunto de regras, organizados em uma tabela de estado. Cada regra ou linha
em uma lista de acesso fornece uma condição permitir ou negar:

•*Quando usamos uma lista de acesso para filtrar o tráfego, uma instrução de permissão é usada para
tráfego de "permit", enquanto uma instrução deny é usado para "bloquear" o tráfego.
•*Similarmente, quando usamos uma lista de acesso para para tráfego de "Incluir", enquanto uma instrução
deny

.*identificar o tráfego, uma instrução de permissão é usada afirma que o tráfego deve ser verdadeiro/falso.

.*Filtragem de tráfego é o principal uso das listas de acesso. No entanto, existem várias situações em que é
necessário para identificar o tráfego usando ACLs, incluindo:

•*identificar o tráfego interessante para trazer um link ISDN ou de túnel VPN;

•*identificar rotas para filtrar ou permitir que nas atualizações de roteamento;

•*A identificação de tráfego para fins de QoS.

.*Quanto a filtragem de tráfego, as listas de acesso são aplicadas em interfaces. Como o pacote passa por um
roteador, a linha superior da lista de regras é verificado primeiro e o roteador continua a fazer checagem para
baixo na lista, até que uma correspondência seja encontrada. Quando uma correspondência é feita, o pacote é
permitido ou negado.
*Tipos de listas de acesso.

Existem duas categorias de listas de acesso:

Numerados e Nomeados. Listas de acesso numeradas são decompostos em várias faixas, cada um dedicado a
um protocolo específico:

1–99 IP standard access list

100-199 IP extended access list

200-299 Protocol type-code access list

300-399 DECnet access list

400-499 XNS standard access list

500-599 XNS extended access list

600-699 Appletalk access list

700-799 48-bit MAC address access list

800-899 IPX standard access list

900-999 IPX extended access list

1000-1099 IPX SAP access list

1100-1199 Extended 48-bit MAC address access list 1200-1299 IPX summary address access
list

1300-1999 IP standard access list (expanded range) 2000-2699 IP extended access list (expanded
range
Existem dois tipos de listas de acesso Nomeada:

* IP standard named access lists

* IP extended named access lists

A configuração de ambos as listas de acesso numeradas e Nomeadas serão apresentadas, mas abaixo.

*Wild Card Masks (Mascara de tamanho invertido)

Listas de acesso IP usam as máscaras de tamanho invertido ou wild-card mask para determinar duas coisas:

1. Que parte de um endereço deve corresponder exactamente;

2.Que parte de um endereço pode corresponder a qualquer número.

Mascara de tamanho invertido ou wild-card mask é o oposto de uma máscara de sub-rede, que nos diz que parte de um
endereço é a rede (sub-rede), e que parte de um endereço é o host. As máscaras de tamanho invertido e a inversão das
máscaras de sub-rede
Considere o seguinte endereço e a sua mascara de tamanho Invertido:

Address: 172.16.0.0

Wild Card Mask: 0.0.255.255

Acima corresponde a qualquer endereço que começa por "172.16". Os dois últimos octetos poderia ser qualquer coisa.
Como podemos saber isso?

*Duas Regras de Ouro de listas de acesso:

1.Se um bit é definido Como (0) ou octecto em uma máscara de tamanho invertida é (0), o bit correspondente ou o
numero no endereço deve ser uma correspondência exata ou constante.

2.Se um bit é definido como 1 ou octeto em uma máscara de tamanho invertida e igual a um outro valor decimal
(128,192,224,240,248,252,254,255), o bit correspondente ou numero endereço pode corresponder a qualquer número.
Se quisermos corresponder a um endereço específico com uma máscara de tamanho invertido usando o IP
172.16.1.1, como poderíamos fazê-lo?

Address: 172.16.1.1
Wild Card Mask: 0.0.0.0

A configuração de ambos as listas de acesso numeradas e Nomeadas serão apresentadas, mas abaixo.

Lembre-se de que uma máscara de tamanho invertido quando temos zero (0) na mascara indica que ele deve
corresponder exactamente, e quando temos um outro valor decimal indica que pode corresponder qualquer
outro numero. A máscara de tamanho invertido acima tem todos os octetos definido para 0, O que significa
que deve coincidir com todos os quatros octetos exatamente.

Na realidade existem duas maneiras que podem corresponder a um host:

•*usando uma máscara de tamanho invertido com todos os octetos definidos para 0 - 172.16.1.1 0.0.0.0;

•*usando a palavra-chave "host" - host 172.16.1.1 como poderíamos corresponder todos os endereços com
uma máscara de tamanho invertido? Endereço:

*0.0.0.0 Máscara de tamanho invertido: *255.255.255.255

Standard IP access-list (listas de acesso padrão)
Listas de acesso IP padrão, são baseadas no host de origem ou endereço IP de rede e devem ser colocados o
mais próximo possível para a rede de destino.

Exemplo de IP access-list standard-standard IP access-list

Access-list [1-99] [permit | deny] [source address] [wildcard mask] [log]

Considere o seguinte exemplo:

A fim de bloquear a rede 172.18.0.0 em acessar a rede 172.16.0.0, teríamos de criar a seguinte lista de
acesso no roteador R1.

R1(config)# access-list 10 deny 172.18.0.0 0.0.255.255

R1(config)# access-list 10 permit any

A máscara de tamanho invertido de 0.0.255.255 na primeira linha. Isso corresponderá (deny) todos os
hosts na rede 172.18.x.x. A segunda linha usa uma palavra-chave de qualquer (any), que irá corresponder
(Permitir) qualquer outro endereço.
Lembre-se de que devemos ter pelo menos uma instrução de permissão na nossa lista de acesso.
Para aplicar esta lista de acesso, devemos configurar o seguinte no Roteador R1:

R1(config)# int f0/0

R1(config-if)# ip access-group 10 in
Extended IP access-list (listas de acesso Extendida)

Listas de acesso IP estendida funciona com base no endereço IP de origem, endereço IP de destino e número
de porta TCP ou UDP. As listas de acesso estendidas devem ser colocados o mais próximo possível para a rede
de origem:
access-list [100-199] [permit | deny] [protocol] [source address] [wildcard mask] [destination address]
[wildcard mask] [operator [port]] [log]

Considere o seguinte exemplo:

De acordo com a figura acima há um Web Server na rede 172.16.x.x com um endereço IP 172.16.10.10. A
fim de bloquear o acesso da rede 172.18.0.0 em acessar a rede 172.16.0.0, exceto para a porta HTTP no
servidor web, teríamos de criar a seguinte lista de acesso no roteador R2

R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80

R2(config)# access-list 101 deny ip 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
R2(config)# access-list 101 permit ip any any

A primeira linha permite que a rede 172.18.x.x acesse somente a porta 80 no servidor web. A segunda
linha nega que a rede 172.18.x.x tenha acesso a qualquer outra coisa sobre a rede 172.16.x.x. A
terceira linha permite 172.18.x.x acesso a qualquer outra coisa

Poderíamos ter identificado o servidor web de duas formas:

R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80

R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.10.10 0.0.0.0 eq 80
Para aplicar esta lista de acesso, teríamos de configurar o seguinte no roteador R2:

R2(config)#int loopback0
R2(config-if)#ip access-group 101 in

*Lista de acesso IP estendida operadora de portas

No exemplo anterior, identificamos a porta TCP 80 em um host específico usando a seguinte sintaxe:

R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80

Conseguimos isso usando um operador de eq, que é a abreviação de igual para igual. Estamos, portanto,
a identificação de host 172.16.10.10 com uma porta que é igual a 80. Podemos usar vários outros
operadores para números de porta:

eq(equal) corresponde a uma porta específica

gt(great than) corresponde a todas as portas superiores à porta especificada
lt(less than) corresponde a todas as portas inferior à porta especificada
neq(enequal) corresponde a todas as portas exceto para a porta da faixa especificada

range correspondam a um intervalo inclusivo de portas 13

O exemplo abaixo irá corresponder a todas as portas superior a 100:

Router(config)# access-list 101 permit tcp any host 172.16.10.10 gt 100

O exemplo abaixo irá corresponder a todas as portas Inferior a 1024:

Router(config)# access-list 101 permit tcp any host 172.16.10.10 lt 1024

O exemplo abaixo irá corresponder todas as portas que não igual 443:
Router(config)# access-list 101 permit tcp any host 172.16.10.10 neq 443

O exemplo abaixo irá corresponder a todas as portas entre 80 e 88:

Router(config)#access-list 101 permit tcp any host 172.16.10.10 range 80 88
*Registo de listas de acesso (Access-list logging)
Considere novamente o exemplo a seguir:
Assumindo que há um web server na rede 172.16.x.x via do número de pacotes permitidos ou negados por um
mecanismo de registro para tal finalidade:

Assumindo que ha um WEB SERVER na rede 172.16.x.x com um endereço IP 172.16.10.10. Queremos manter
a via do numero de pacotes permitidos ou negados por cada linha de uma lista de acesso.As
listas de acesso tem um mecanisco de registro para tal finalidade:

R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80 log

R2(config)# access-list 101 deny ip 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 log

R2(config)# access-list 101 permit ip any any log

Nota que adicionamos uma palavra-chave adicional (log) para cada linha da lista de acesso. Durante a
exibição de uma lista de acesso usando o seguinte comando:

Router# show access-list 101

Agora vamos ter um contador em cada linha da lista de acesso, indicando o número de pacotes que foram
permitidos ou recusados por essa linha. Essas informações podem ser enviadas para um servidor syslog
Router(config)# logging on
Router(config)# logging 172.18.1.50

O primeiro logging no comando permite captar logs no roteador. O segundo logging serve para apontar os
logs do roteador a um host ou servidor de syslog com ip 172.18.1.50.
Podemos incluir mas detalhes nas informações de logging, incluindo as informações sobre o endereço MAC
de origem do pacote, e qual das interfaces foi recebido um determinado pacote. Para isso, usamos o
argumento de entrada de log abaixo:

Router(config)# access-list 101 permit ip any any log-input

* Access-list para permitir Icmp

Consideremos cenário da figura x. Fomos solicitado para bloquear qualquer pessoa a partir da rede
172.18.x.x de fazer "ping" de qualquer pessoa na rede 172.16.x.x. devemos deseja permitir que tudo o
resto, incluindo todos os outros pacotes ICMP.

A portas específicas do ICMP que um "ping" usa echo. Para bloquear os parâmetros específicos de ICMP,
use uma lista de acesso IP estendida. no Roteador R2.
Router(config)# access-list 102 deny icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo
Router(config)# access-list 102 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router(config)# access-list 102 permit ip any any

A primeira linha apresenta apenas solicitações de eco ICMP (ping). A segunda linha permite que todos
os outros o tráfego ICMP. A terceira linha permite que todos os outros tráfegos IP.
Não se esqueça de aplicá-la a uma interface de roteador R2:

Router(config)# int loopback 0

Router(config-if)# ip access-group 102 in

*Access-list Permitindo Telnet (Telnet access-list).

Podemos criar listas de acesso para restringir o acesso telnet ao roteador R1. Para este
exemplo, vamos criar uma lista de acesso que impede que a rede 172.18.x.x faca telnet ao
roteador R1, mas permitir que todas as outras redes tenham acesso via telnet.
A princípio Criamos a lista de acesso no roteador R1:
R1(config)# access-list 50 deny 172.18.0.0 0.0.255.255
R1(config)# access-list 50 permit any

A primeira linha bloqueia a rede 172.18.x.x. A segunda linha permite que todas as outras redes.
Abaixo Mostraremos a aplicação no roteador R1:
R1(config)# line vty 0 4
R1(config-line)# access-class 50 in

*Named Acess-list (Lista de acesso Nomeada)

As listas de acesso nomeadas nos fornecem duas vantagens sobre listas de acesso numeradas. Em
primeiro lugar, podemos aplicar um nome identificável a uma lista de acesso, para fins de documentação.
Segundo, podemos remover linhas individuais em uma lista de acesso nomeada, o que não é possível com
listas de acesso numeradas
Abaixo a sintaxe para a criação de listas de acesso padrão Nomeadas:
 Router(config)# ip access-list standard NAME
Router(config-std-nacl)# deny 172.18.0.0 0.0.255.255
Router(config-std-nacl)# permit any
Abaixo a sintaxe para a criação de listas de acesso Extendida Nomeadas:

Router(config)# ip access-list extended NAME

Router(config-ext-nacl)# permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80
Router(config-ext-nacl)# deny ip 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router(config-ext-nacl)# permit ip any any

Observemos que a configuração real da lista de acesso nomeada é realizado em um modo separado do
roteador:

Router(config-std-nacl)#

Router(config-ext-nacl)#
*Time-Based Access-Lists (Access-Lists baseada em tempo)
O primeiro passo para a criação de uma lista de acesso baseada em tempo, é criar um range de tempo
Router(config)# time-range BLOCKHTTP

O comando acima cria um intervalo de tempo chamado BLOCKHTTP. Próxima passo é especificar um
tempo absoluto, ou um tempo periódica:

Router(config)# time-range BLOCKHTTP

Router(config-time-range)# absolute start 08:00 23 May 2006 end 20:00 26 May

#####################################################################

Router(config)# time-range BLOCKHTTP

Router(config-time-range)# periodic weekdays 18:00 to 23:00
Observe o uso do tempo. A primeira opção define-se um tempo absoluto que terá início a partir de 23 de
Maio de 2006 às 8:00 h, e terminará em 26 de Maio de 2006 às 8:00 h. A segunda opção define um tempo
periódico que está sempre em efeito sobre a semana das 6:00h às 11:00h.

Apenas uma declaração de tempo absoluto é permitido por intervalo de tempo, mas várias
demonstrações de tempo periódica são permitidos. Depois de estabelecer a nossa gama de tempo, temos
de referência em uma lista de acesso: durante a semana das 6:00h às 11:00h.
Router(config)# access-list 102 deny any any eq 80 time-range BLOCKHTTP
Router(config)# access-list 102 permit ip any any

Observe o argumento no fim da lista de acesso (BLOCKHTTP), isto resultara no bloqueio do tráfego HTTP,
mas apenas durante o período de tempo especificado na faixa de tempo. semana das 6:00h às 11:00h.
tipos de listas de accesso em equipamentos Huawei

A nivel de huawei existe 3 tipos de listas de accesso:

1-lista e accessso basico(basic access-list)

vai de 2000---------2999 esta mas proximo do source

2-lista de accesso avancada(advanced access-list)

vai de 3000------------3999 source/destination ip----source/destination port

3-lista de accesso de nivel 2 (layer 2 access-list)

vai de 4000------------4999 Mac-address

 ACLTYPE ACLNUMBER PARAMETERS

BASIC ACL 2000-2999 Source IP

ADVANCED ACL 3000-3999 Source/dstip-source/dest port

LAYER2 ACL 4000-4999 Mac-address

1-A regra de filtro abaixo permitira que pacotes icmp(ping) passe da rede 192.168.1.3 para a rede
192.168.2.0/24

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

1.1-para negar-mos icmp neste deveremos apenas colocar deny em vez de permit e o comando ficara:
<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule deny icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

2- A filtro abaixo sera uma access-lista nomeada da huawei que negara accesso remoto via telnet do ip
192.168.20.1 para a rede 192.168.30.0/24

<HUAWEI> system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.20.1 0
destination 192.168.30 0.0.0.255
3- O filtro abaixo será usado para negar acesso a web nos host 192.168.0.1, 192.168.0.2.
<HUAWEI> system-view
[HUAWEI] acl name no-web-access
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.0.1 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.0.2 0

4-A access-list abaixo sera usado para filtrar a base de Mac-address, permita accesso entre o mac
address 0000-0000-0002 como source e mac 0000-0000-0001 como destination

<HUAWEI> system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac
0000-0000-0002 l2-protocol 0x0806

<HUAWEI> system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000
ffff-ffff-0000