M6 · Segurança

Listas de controle nomeadas

O que são ACLs nomeadas

ACLs nomeadas (Named ACLs) são listas de controle de acesso identificadas por um nome alfanumérico em vez de um número. Introduzidas como alternativa às ACLs numeradas, elas oferecem maior legibilidade e a possibilidade de editar entradas individuais sem recriar toda a lista.

No exame CCNA, você precisa saber configurar, verificar e remover ACLs nomeadas padrão e estendidas.

Vantagens sobre ACLs numeradas

Característica ACL Numerada ACL Nomeada
Identificação Número (1–199) Nome descritivo
Edição de entradas Recriar toda a lista Deletar/inserir por sequência
Legibilidade Baixa Alta
Tipos suportados Standard e Extended Standard e Extended

Sintaxe de configuração

ACL nomeada padrão (Standard)

Filtra apenas pelo endereço IP de origem.

R1(config)# ip access-list standard BLOQUEIO-HOSTS
R1(config-std-nacl)# deny host 192.168.1.10
R1(config-std-nacl)# deny 10.0.0.0 0.0.0.255
R1(config-std-nacl)# permit any

ACL nomeada estendida (Extended)

Filtra por origem, destino, protocolo e porta.

R1(config)# ip access-list extended POLITICA-WAN
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# deny ip any any log

Aplicar na interface

R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group POLITICA-WAN in

Edição de entradas por número de sequência

Essa é uma das principais vantagens das ACLs nomeadas. Cada entrada possui um número de sequência gerado automaticamente (incrementos de 10).

Visualizar sequência:

R1# show ip access-lists POLITICA-WAN

Inserir entrada em posição específica:

R1(config)# ip access-list extended POLITICA-WAN
R1(config-ext-nacl)# 15 permit tcp any any eq 22

Remover entrada específica:

R1(config)# ip access-list extended POLITICA-WAN
R1(config-ext-nacl)# no 15

> Nas ACLs numeradas clássicas, qualquer alteração exige deletar e recriar a lista inteira.

Comandos de verificação

R1# show ip access-lists
R1# show ip access-lists BLOQUEIO-HOSTS
R1# show running-config | section access-list
R1# show ip interface GigabitEthernet0/0

O comando show ip interface exibe qual ACL está aplicada à interface e em qual direção (in/out).

Regras críticas para o exame

  • O deny implícito ao final de toda ACL bloqueia qualquer tráfego não permitido explicitamente.
  • ACLs padrão devem ser aplicadas próximas ao destino; estendidas, próximas à origem.
  • Uma interface aceita uma ACL por direção (in ou out) por protocolo.
  • O nome é case-sensitive: POLITICA-WAN e politica-wan são ACLs diferentes.
  • Entradas são processadas em ordem sequencial — a primeira correspondência vence.

Remover uma ACL nomeada

R1(config)# no ip access-list extended POLITICA-WAN

Para desvincular da interface antes de remover:

R1(config-if)# no ip access-group POLITICA-WAN in