Editando ACL numerada

Access-lists são com certeza umas das features mais utilizadas nos roteadores. Servem para bloquear/liberar tráfego que passa pelo roteador, escolher as redes que passarão por NAT, que tráfego será criptografado em uma VPN, quais rotas serão distribuídas por um determinado protocolo de roteamento e podem ainda ser utilizadas em uma infinidade de situações.

Podemos dividir as ACLs em dois tipos: Numeradas e Nomeadas.

Até algum tempo atrás as ACLs nomeadas tinham uma grande vantagem em relação as ACLs numeradas, pois com elas era possível editar uma linha da ACL sem a necessidade de deletar toda a access-list. Enquanto que para editar um ACL numerada você tinha que deletar toda a ACL, editar no bloco de notas e colocar novamente no roteador.

Mas a partir da versão 12.3 do IOS é possível editar uma ACL numerada da mesma forma que uma ACL nomeada. Para isso foi adicionado ao software a função de adicionar um número de seqüencia para cada linha de uma ACL, seja ela numerada ou nomeada. Assim é possível excluir, alterar ou incluir novas linhas a ACL.

Exemplo:

! A ACL pode ser criada normalmente ou via IP Access-list

Brainwork01#conf t
Brainwork01(config)#access-list 100 permit tcp 10.10.1.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.2.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.3.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01(config)#exit

! Observe que cada linha da ACL tem um identificador

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para adicionar uma nova entrada à ACL existente, basta tratá-la como uma ACL nomeada
! Por exemplo, vamos colocar uma nova regra, entre a entrada 10 e 20

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Brainwork01(config-ext-nacl)#end

! Pronto, a nova linha foi adicionada onde queríamos

Brainwork01#sh access-list
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para excluir uma entrada pontualmente, basta entrar no modo de edição
! e apontar o identificador da linha a ser excluída (30 no exemplo abaixo)

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#no 30
Brainwork01(config-ext-nacl)#end

! Mais uma vez a ACL 100 foi editada, sem a necessidade de ser excluída

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01#

Caso uma nova entrada seja adicionada, sem que o número de seqüencia seja informado, ela será automaticamente inserida no fim da ACL.

Até a próxima.