Access-lists são com certeza umas das features mais utilizadas nos roteadores. Servem para bloquear/liberar tráfego que passa pelo roteador, escolher as redes que passarão por NAT, que tráfego será criptografado em uma VPN, quais rotas serão distribuídas por um determinado protocolo de roteamento e podem ainda ser utilizadas em uma infinidade de situações.
Podemos dividir as ACLs em dois tipos: Numeradas e Nomeadas.
Até algum tempo atrás as ACLs nomeadas tinham uma grande vantagem em relação as ACLs numeradas, pois com elas era possível editar uma linha da ACL sem a necessidade de deletar toda a access-list. Enquanto que para editar um ACL numerada você tinha que deletar toda a ACL, editar no bloco de notas e colocar novamente no roteador.
Mas a partir da versão 12.3 do IOS é possível editar uma ACL numerada da mesma forma que uma ACL nomeada. Para isso foi adicionado ao software a função de adicionar um número de seqüencia para cada linha de uma ACL, seja ela numerada ou nomeada. Assim é possível excluir, alterar ou incluir novas linhas a ACL.
Exemplo:
! A ACL pode ser criada normalmente ou via IP Access-list
Brainwork01#conf t
Brainwork01(config)#access-list 100 permit tcp 10.10.1.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.2.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.3.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01(config)#exit! Observe que cada linha da ACL tem um identificador
Brainwork01#sh access-lists
Extended IP access list 100
10 permit tcp 10.10.1.0 0.0.0.255 any
20 permit tcp 10.10.2.0 0.0.0.255 any
30 permit tcp 10.10.3.0 0.0.0.255 any
40 permit tcp 10.10.4.0 0.0.0.255 any! Para adicionar uma nova entrada à ACL existente, basta tratá-la como uma ACL nomeada
! Por exemplo, vamos colocar uma nova regra, entre a entrada 10 e 20Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Brainwork01(config-ext-nacl)#end! Pronto, a nova linha foi adicionada onde queríamos
Brainwork01#sh access-list
Extended IP access list 100
10 permit tcp 10.10.1.0 0.0.0.255 any
15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
20 permit tcp 10.10.2.0 0.0.0.255 any
30 permit tcp 10.10.3.0 0.0.0.255 any
40 permit tcp 10.10.4.0 0.0.0.255 any! Para excluir uma entrada pontualmente, basta entrar no modo de edição
! e apontar o identificador da linha a ser excluída (30 no exemplo abaixo)Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#no 30
Brainwork01(config-ext-nacl)#end! Mais uma vez a ACL 100 foi editada, sem a necessidade de ser excluída
Brainwork01#sh access-lists
Extended IP access list 100
10 permit tcp 10.10.1.0 0.0.0.255 any
15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
20 permit tcp 10.10.2.0 0.0.0.255 any
40 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01#
Caso uma nova entrada seja adicionada, sem que o número de seqüencia seja informado, ela será automaticamente inserida no fim da ACL.
Até a próxima.
O comando “ip access-list extended” serve para criar lista de acesso nomeadas, o que você criou foi uma lista de acesso nomeada com um número
Lista de acesso numeradas são criadas com o comando “access-list” (sem o ip no começo do comando)
Qual comando é utilizado para criar uma ACL numerada Leandro?
Leia o post com atenção e veja qual comando foi utilizado para criar a ACL…
O comando ip access-list foi utilizado apenas na edição.
Boa tarde.
Estou precisando de uma ajuda. Gostaria de saber se consigo realizar uma configuração para que um switch ou router consiga chegar a um DNS?
Tenho um equipamento do qual reporta eventos a um Servidor, porem este equipamento só trabalha com IPV4, a politica da empresa esta alterando todos os servidores para trabalhar e responder apenas por DNS.
Gostaria de saber se existe alguma ACL ou configuração no Router ou Switch onde consiga identificar o ip do qual o equipamento quer alcançar (qual quer ip ex: 10.10.10.6) e toda vez que tentar alcança-lo a configuração ou ACL saia da rede para o DNS servidor.net.
Olá Ronaldo,
você precisa cadastrar o nome (servidor.net) no seu equipamento.