M6 · Segurança

Configuração de ACL IPv4

O que são ACLs

Access Control Lists (ACLs) são listas de regras aplicadas em interfaces de roteadores para permitir ou negar tráfego com base em critérios definidos. No CCNA, o foco está em ACLs IPv4 padrão e estendidas.

Tipos de ACL IPv4

ACL Padrão (Standard)

  • Filtra apenas pelo endereço IP de origem
  • Numeração: 1–99 e 1300–1999
  • Deve ser aplicada próxima ao destino

ACL Estendida (Extended)

  • Filtra por origem, destino, protocolo e porta
  • Numeração: 100–199 e 2000–2699
  • Deve ser aplicada próxima à origem

Criando ACLs

ACL Padrão Numerada

R1(config)# access-list 10 deny 192.168.1.0 0.0.0.255
R1(config)# access-list 10 permit any

ACL Estendida Numerada

R1(config)# access-list 110 deny tcp 10.0.0.0 0.0.0.255 any eq 80
R1(config)# access-list 110 permit ip any any

ACL Nomeada (Named ACL)

ACLs nomeadas são preferidas por serem mais legíveis e permitirem edição de entradas individuais.

R1(config)# ip access-list extended BLOQUEAR-HTTP
R1(config-ext-nacl)# deny tcp 10.0.0.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit ip any any

Aplicando ACLs em Interfaces

Toda ACL precisa ser aplicada em uma interface com direção in (tráfego entrando) ou out (tráfego saindo).

R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group 110 in

> Uma interface aceita no máximo uma ACL por direção (uma in e uma out).

Regra Implícita

Toda ACL possui uma regra deny any implícita ao final. Se nenhuma entrada corresponder ao tráfego, ele é descartado silenciosamente. Por isso, sempre inclua um permit explícito quando necessário.

Wildcard Mask

A máscara curinga (wildcard) é o inverso da máscara de sub-rede:

Rede Máscara Wildcard
/24 255.255.255.0 0.0.0.255
/30 255.255.255.252 0.0.0.3
Host 0.0.0.0

Atalhos: host 10.0.0.1 equivale a 10.0.0.1 0.0.0.0; any equivale a 0.0.0.0 255.255.255.255.

Verificação e Troubleshooting

R1# show access-lists
R1# show ip interface GigabitEthernet0/0
R1# show running-config | include access-list

Para limpar contadores de hits:

R1# clear ip access-list counters

Pontos críticos para o exame

  • ACL padrão filtra só origem → aplique próxima ao destino
  • ACL estendida filtra origem + destino + porta → aplique próxima à origem
  • A ordem das entradas importa: o roteador processa de cima para baixo, parando na primeira correspondência
  • deny any implícito ao final — sempre adicione permit ip any any se necessário
  • Apenas uma ACL por interface por direção