M6 · Segurança

Prática com ACLs nomeadas

O que são ACLs nomeadas

ACLs nomeadas (Named ACLs) substituem o número pelo nome, facilitando a identificação e edição das regras. Além disso, permitem adicionar ou remover entradas individualmente — algo impossível nas ACLs numeradas clássicas.

Há dois tipos que caem no CCNA:

  • Standard Named ACL — filtra apenas pelo IP de origem
  • Extended Named ACL — filtra por IP de origem/destino, protocolo e porta

Criando uma ACL nomeada

Standard Named ACL

R1(config)# ip access-list standard BLOQUEIA_HOST
R1(config-std-nacl)# deny host 192.168.1.10
R1(config-std-nacl)# permit any

Extended Named ACL

R1(config)# ip access-list extended POLITICA_WEB
R1(config-ext-nacl)# permit tcp 10.0.0.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 10.0.0.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# deny ip any any

Aplicando a ACL em uma interface

R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group POLITICA_WEB in

Regra do CCNA: aplique ACLs extended próximo à origem e standard próximo ao destino.

Editando entradas com número de sequência

Cada entrada recebe um número de sequência automático (10, 20, 30…). Para inserir uma regra entre as existentes:

R1(config)# ip access-list extended POLITICA_WEB
R1(config-ext-nacl)# 15 permit tcp 10.0.0.0 0.0.0.255 any eq 22

Para remover uma entrada específica sem apagar a ACL inteira:

R1(config-ext-nacl)# no 15

Verificação

R1# show ip access-lists
R1# show ip access-lists POLITICA_WEB
R1# show ip interface GigabitEthernet0/0

A saída de show ip access-lists exibe o contador de pacotes correspondidos em cada entrada — útil para confirmar que a ACL está sendo processada.

Pontos críticos para o exame

Ponto Detalhe
Implicit deny Toda ACL termina com deny ip any any implícito
Direção in = filtra antes de rotear; out = filtra após rotear
Máximo por interface Uma ACL por direção por protocolo
Standard vs Extended Standard filtra só origem; Extended filtra origem, destino, porta e protocolo
Ordem das entradas O roteador processa de cima para baixo e para na primeira correspondência

Exemplo completo — restringir Telnet ao roteador

R1(config)# ip access-list standard ACESSO_VTY
R1(config-std-nacl)# permit 192.168.10.0 0.0.0.255
R1(config-std-nacl)# deny any

R1(config)# line vty 0 4
R1(config-line)# access-class ACESSO_VTY in

Note o uso de access-class (não access-group) para aplicar ACLs nas linhas VTY.