8 5 12-packet-tracer---configure-extended-ipv4-acls---scenario-1_pt-BR

Prévia do material em texto

 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 5www.netacad.com
Packet Tracer - Configurar ACLs estendidas - cenário 1 
Tabela de Endereçamento 
Dispositivo Interface Endereço IP 
Máscara de Sub-
Rede Gateway padrão 
R1 G0/0 172.22.34.65 255.255.255.224 N/D 
R1 G0/1 172.22.34.97 255.255.255.240 N/D 
R1 G0/2 172.22.34.1 255.255.255.192 N/D 
Servidor Placa de rede 172.22.34.62 255.255.255.192 172.22.34.1 
PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65 
PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97 
Linha em branco - sem informações adicionais 
Objetivos 
Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada 
Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada 
Histórico/Cenário 
Dois funcionários precisam acessar os serviços fornecidos pelo servidor. O PC1 precisa somente de acesso 
ao FTP, enquanto o PC2 precisa somente do acesso à Web. Ambos os computadores precisam poder 
executar ping no servidor, mas não um ao outro. 
Instruções 
Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada 
Etapa 1: Configure uma ACL para permitir FTP e ICMP da LAN PC1. 
a. No modo de configuração global em R1, insira o comando a seguir para determinar o primeiro número 
válido para uma lista de acesso estendido. 
Abrir a janela de configuração 
R1(config)# access-list ? 
 <1-99> IP standard access list 
 <100-199> IP extended access list 
b. Adicione 100 ao comando, seguido por um ponto de interrogação. 
R1(config)# access-list 100 ? 
 deny Specify packets to reject 
 permit Specify packets to forward 
 remark Access list entry comment 
c. Para permitir o tráfego de FTP, insira permit, seguido por um ponto de interrogação. 
R1(config)# access-list 100 permit ? 
 ahp Authentication Header Protocol 
Packet Tracer - Configurar ACLs estendidas - cenário 1 
 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 5www.netacad.com
 eigrp Cisco's EIGRP routing protocol 
 esp Encapsulation Security Payload 
 gre Cisco's GRE tunneling 
 icmp Internet Control Message Protocol 
 ip Any Internet Protocol 
 ospf OSPF routing protocol 
 tcp Transmission Control Protocol 
 udp User Datagram Protocol 
d. Quando configurado e aplicado, essa ACL deve permitir FTP e ICMP. O ICMP está listado acima, mas o 
FTP não. Isso ocorre porque o FTP é um protocolo de camada de aplicativo que usa TCP na camada de 
transporte. Digite TCP para refinar ainda mais a ajuda da ACL. 
R1(config)# access-list 100 permit tcp ? 
 A.B.C.D Source address 
 any Any source host 
 host A single source host 
e. O endereço de origem pode representar um único dispositivo, como PC1, usando a palavra-chave host 
e, em seguida, o endereço IP de PC1. Usando a palavra-chave qualquer permite qualquer host em 
qualquer rede. A filtragem também pode ser feita por um endereço de rede. Nesse caso, é qualquer host 
que possua um endereço pertencente à rede 172.22.34.64/27. Digite este endereço de rede, seguido de 
um ponto de interrogação. 
R1(config)# access-list 100 permit tcp 172.22.34.64 ? 
 A.B.C.D Source wildcard bits 
f. Calcule a máscara curinga determinando o oposto binário da máscara de sub-rede / 27. 
11111111.11111111.11111111.11100000 = 255.255.255.224 
00000000.00000000.00000000.00011111 = 0.0.0.31 
g. Digite a máscara curinga, seguida de um ponto de interrogação. 
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ? 
 A.B.C.D Destination address 
 any Any destination host 
 eq Match only packets on a given port number 
 gt Match only packets with a greater port number 
 host A single destination host 
 lt Match only packets with a lower port number 
 neq Match only packets not on a given port number 
 range Match only packets in the range of port numbers 
h. Configure o endereço destino. Nesse cenário, estamos filtrando o tráfego para um único destino, que é o 
servidor. Digite a palavra-chave host seguida do endereço IP do servidor. 
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 
172.22.34.62 ? 
 dscp Match packets with given dscp value 
 eq Match only packets on a given port number 
 established established 
 gt Match only packets with a greater port number 
 lt Match only packets with a lower port number 
 neq Match only packets not on a given port number 
 precedence Match packets with given precedence value 
 range Match only packets in the range of port numbers 
Packet Tracer - Configurar ACLs estendidas - cenário 1 
 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 5www.netacad.com
 <cr> 
i. Observe que uma das opções é <cr> (retorno de carro). Em outras palavras, você pode pressionar Enter 
e a instrução permitirá todo o tráfego TCP. No entanto, somente permitimos tráfego de FTP; portanto, 
insira a palavra-chave eq, seguida por um ponto de interrogação para exibir as opções disponíveis. Em 
seguida, insira ftp e pressione Enter. 
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 
172.22.34.62 eq ? 
 <0-65535> Port number 
 ftp File Transfer Protocol (21) 
 pop3 Post Office Protocol v3 (110) 
 smtp Simple Mail Transport Protocol (25) 
 telnet Telnet (23) 
 www World Wide Web (HTTP, 80) 
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 
172.22.34.62 eq ftp 
j. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC1 para 
Servidor. Observe que o número da lista de acesso permanece o mesmo e um tipo específico de tráfego 
ICMP não precisa ser determinado. 
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 
172.22.34.62 
k. Todo o tráfego restante é negado, por padrão. 
l. Execute o comando show access-list e verifique se a lista de acesso 100 contém as instruções 
corretas. Observe que a instrução negar qualquer qualquer não aparece no final da lista de acesso. A 
execução padrão de uma lista de acesso é que, se um pacote não corresponder a uma instrução na lista 
de acesso, ele não é permitido através da interface. 
R1# show access-lists 
Extended IP access list 100 
 10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp 
 20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 
Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. 
Da perspectiva de R1, a ACL é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/0. Entre no 
modo configuração de interface e aplique a ACL. 
Observação: Em uma rede operacional real, não é uma boa prática aplicar uma lista de acesso não testada 
a uma interface ativa. 
R1(config)# interface gigabitEthernet 0/0 
R1(config-if)# ip access-group 100 in 
Etapa 3: Verifique a implementação da ACL. 
a. Faça ping de PC1 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de 
continuar. 
b. Faça FTP de PC1 para o Servidor. O nome de usuário e a senha são cisco. 
PC> ftp 172.22.34.62 
c. Saia do serviço FTP. 
ftp> quit 
fechar janela de configuração 
Packet Tracer - Configurar ACLs estendidas - cenário 1 
 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 4 5www.netacad.com
d. Faça ping de PC1 para PC2. O host de destino deve estar inacessível, porque a ACL não permitiu 
explicitamente o tráfego. 
Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada 
Etapa 1: Configure uma ACL para permitir acesso HTTP e ICMP da LAN PC2. 
a. As ACLs nomeadas começam com a palavra-chave ip. No modo de configuraçãoglobal de R1, insira o 
seguinte comando, seguido por um ponto de interrogação. 
Abrir a janela de configuração 
R1(config)# ip access-list ? 
 extended Extended Access List 
 standard Standard Access List 
b. Você pode configurar as ACls padrão e estendidas nomeadas. Esta lista de acesso filtrará os endereços 
IP origem e destino; portanto, deve ser estendida. Insira HTTP_ONLYcomo o nome. (Para pontuação de 
rastreador de pacotes, o nome diferencia maiúsculas e minúsculas e as instruções de lista de acesso 
devem ser a ordem correta.) 
R1(config)# ip access-list extended HTTP_ONLY 
c. O prompt é alterado. Você está agora no modo de configuração de ACL estendida nomeada. Todos os 
dispositivos na LAN de PC2 precisam de acesso TCP. Digite o endereço de rede, seguido de um ponto 
de interrogação. 
R1(config-ext-nacl)# permit tcp 172.22.34.96 ? 
 A.B.C.D Source wildcard bits 
d. Outra maneira de calcular uma máscara curinga é subtrair a máscara de sub-rede de 255.255.255.255. 
 255.255.255.255 
- 255.255.255.240 
----------------- 
= 0. 0. 0. 15 
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 
e. Termine a instrução especificando o endereço de servidor como você fez na Parte 1 e filtrando o tráfego 
www. 
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www 
f. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC2 para 
Servidor. Observação: o prompt permanece o mesmo e um tipo específico de tráfego ICMP não precisa 
ser determinado. 
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 
g. Todo o tráfego restante é negado, por padrão. Saia do modo de configuração chamado ACL estendido. 
h. Execute o comando show access-list e verifique se a lista de acesso HTTP_ONLY contém as 
instruções corretas. 
R1# show access-lists 
Extended IP access list 100 
10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp 
20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 
Extended IP access list HTTP_ONLY 
10 permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www 
20 permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62 
Packet Tracer - Configurar ACLs estendidas - cenário 1 
 2019© 2019 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 5 5www.netacad.com
Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego. 
Da perspectiva de R1, a lista de acesso HTTP_ONLY é aplicada ao tráfego que entra na interface Gigabit 
Ethernet 0/1. Entre no modo configuração de interface e aplique a ACL. 
Observação: Em uma rede operacional real, não é uma boa prática aplicar uma lista de acesso não testada 
a uma interface ativa. Deve ser evitado, se possível. 
R1(config)# interface gigabitEthernet 0/1 
R1(config-if)# ip access-group HTTP_ONLY in 
Etapa 3: Verifique a implementação da ACL. 
a. Faça ping de PC2 para o Servidor. Se o ping não tiver êxito, verifique os endereços IP antes de 
continuar. 
b. No PC2, abra um navegador da Web e digite o endereço IP do servidor. A página da Web do Servidor 
deve ser exibida. 
c. Faça FTP de PC2 para o Servidor. A conexão deve falhar. Caso contrário, solucione problemas das 
instruções de lista de acesso e das configurações de grupo de acesso nas interfaces. 
Fechar janela de configuração 
Fim do documento