IP : Serviços de endereçamento IP

Listas de Controle de Acesso de Trânsito: Filtrando na Sua Borda

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (13 Outubro 2006) | Feedback

Índice

Introdução
Filtros de Trânsito
      Configuração Típica
      Seções da ACL de Trânsito
Como Desenvolver uma ACL de Trânsito
      Identificação de Protocolos Necessários
      Identificação de Tráfego Inválido
      Aplicação da ACL
Exemplo de ACL
ACLs e Pacotes Fragmentados
Avaliação de Risco
Apêndices
      Protocolos e Aplicativos Comumente Utilizados
      Diretrizes de Implementação
      Exemplo de Implementação
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta diretrizes e recomenda técnicas de implementação para filtragem de trânsito e tráfego de borda nos pontos de entrada da sua rede. Listas de controle de acesso (ACLs) de trânsito são utilizadas para aumentar a segurança da rede permitindo explicitamente apenas o tráfego necessário.

Filtros de Trânsito

Configuração Típica

Na maioria dos ambientes de borda de rede, como o ponto de presença da Internet de redes corporativas, a filtragem de entrada deve ser usada para descartar tráfego não autorizado na borda da rede. Em algumas implementações de provedores de serviços, essa forma de filtragem de tráfego de trânsito ou borda também pode ser utilizada de forma eficiente para limitar o fluxo do tráfego de trânsito para e de clientes apenas a protocolos de rede específicos permitidos. Este documento aborda um modelo de implementação corporativo.

Ele retrata um design corporativo típico de conectividade com a Internet. Dois roteadores de borda, IR1 e IR2, fornecem conectividade direta à Internet. Por trás desses dois roteadores, um par de firewalls (Cisco PIXes neste exemplo) oferece recursos de inspeção stateful e acesso à rede interna e zona desmilitarizada (DMZ). A DMZ contém serviços públicos como DNS e Web; essa é a única rede acessível diretamente da Internet pública. A rede interna nunca deve ser acessada diretamente pela Internet, mas o tráfego originado da rede interna deve ser capaz de atingir sites na Internet.

tacl.gif

Os roteadores de borda devem ser configurados para fornecer um primeiro nível de segurança com a utilização de ACLs de entrada. As ACLs consentem apenas tráfego especificamente permitido para a DMZ e tráfego de retorno para usuários internos que acessam a Internet. Todo o tráfego não autorizado deve ser descartado em interfaces de entrada.

Seções da ACL de Trânsito

Em geral, uma ACL de trânsito é composta por quatro seções.

  • Endereço de uso especial e entradas antifalsificação que não permitem que fontes ilegítimas e pacotes com endereços de origem que pertençam à sua rede entrem na rede a partir de uma fonte externa

    Nota:  RFC 1918 leavingcisco.com define o espaço de endereços reservados que não são endereços de fontes válidas na Internet. RFC 3330 leavingcisco.com define endereços de uso especiais que podem necessitar de filtragem. RFC 2827 leavingcisco.com fornece diretrizes antifalsificação.

  • Tráfego de retorno explicitamente permitido para conexões internas à Internet

  • Tráfego externo explicitamente permitido e destinado a endereços internos protegidos

  • Instrução deny explícita

    Nota: Apesar de todas as ACLs conterem uma instrução deny implícita, a Cisco recomenda o uso de uma instrução deny explícita, por exemplo deny ip any any. Na maioria das plataformas, essas instruções mantêm uma contagem do número de pacotes negados que pode ser exibida usando o comando show access-list.

Como Desenvolver uma ACL de Trânsito

O primeiro passo no desenvolvimento de uma ACL de trânsito é determinar os protocolos necessários dentro das suas redes. Apesar de cada site possuir requisitos específicos, determinados protocolos e aplicativos são amplamente utilizados e frequentemente permitidos. Por exemplo, se o segmento da DMZ oferecer conectividade para um servidor Web acessível publicamente, TCP da Internet para os endereços de servidor da DMZ na porta 80 será necessário. De forma semelhante, conexões internas à Internet necessitam que a ACL permita tráfego TCP de retorno estabelecido - tráfego que possua o bit de confirmação (ACK) ativado.

Identificação de Protocolos Necessários

O desenvolvimento desta lista de protocolos necessários pode ser uma tarefa desanimadora, mas há várias técnicas que podem ser utilizadas, conforme o necessário, para ajudar a identificar o tráfego requerido.

  • Revise sua política de segurança local/política de serviço.

    A política do site local deve ajudar a fornecer uma linha de base de serviços permitidos e negados.

  • Revise/audite sua configuração de firewall.

    A configuração de firewall atual deve conter instruções permit explícitas para serviços permitidos. Em muitos casos, você pode converter essa configuração para o formato de ACL e usá-la para criar a maioria das entradas da ACL.

    Nota:  Geralmente, os firewalls stateful não possuem regras explícitas para tráfego de retorno de conexões autorizadas. Como as ACLs de roteador não são stateful, o tráfego de retorno deve ser explicitamente permitido.

  • Revise/audite seus aplicativos.

    Os aplicativos hospedados na DMZ e os usados internamente podem determinar requisitos de filtragem. Revise os requisitos dos aplicativos para fornecer detalhes essenciais sobre o design de filtragem.

  • Utilize uma ACL de classificação.

    A ACL de classificação é composta por instruções permit para os vários protocolos que poderiam ser destinados a uma rede interna. (Consulte o Apêndice A para obter uma lista dos protocolos e aplicativos comumente usados.) Use o comando show access-list para exibir uma contagem de ocorrências de entradas de controle de acesso (ACE) de forma a identificar os protocolos necessários. Investigue e entenda resultados suspeitos ou surpreendentes antes de criar instruções permit explícitas para protocolos inesperados.

  • Utilize o recurso de switching Netflow.

    O Netflow é um recurso de switching que, se ativado, oferece informações detalhadas de fluxo. Se o Netflow estiver ativado nos seus roteadores de borda, o comando show ip cache flow fornecerá uma lista de protocolos registrados pelo Netflow. O Netflow não pode identificar todos os protocolos. Portanto, essa técnica deve ser utilizada em conjunto com outras.

Identificação de Tráfego Inválido

Além de proteção direta, a ACL de trânsito também deve fornecer a primeira linha de defesa contra determinados tipos de tráfego inválidos na Internet.

  • Negar espaço do padrão RFC 1918.

  • Negar pacotes com um endereço de origem em um espaço de endereços de uso especial, como definido no padrão RFC 3330.

  • Aplicar filtros antifalsificação, de acordo com o padrão RFC 2827; seu espaço de endereços nunca deve ser a fonte dos pacotes de fora do seu sistema autônomo (AS).

Outros tipos de tráfego a serem considerados são:

  • Protocolos externos e endereços IP que precisam se comunicar com o roteador de borda

    • ICMP dos endereços IP do provedor de serviços

    • Protocolos de roteamento

    • VPN IPSec, se um roteador de borda for utilizado como a terminação

  • Tráfego de retorno explicitamente permitido para conexões internas à Internet

    • Tipos específicos de ICMP

    • Respostas a consultas do DNS de saída

    • TCP estabelecido

    • Tráfego de retorno UDP

    • Conexões de dados FTP

    • Conexões de dados TFTP

    • Conexões multimídia

  • Tráfego externo explicitamente permitido e destinado a endereços internos protegidos

    • Tráfego de VPN

      • ISAKMP

      • NAT Traversal

      • Encapsulamento proprietário

      • Carga de Segurança de Encapsulamento (ESP)

      • Cabeçalho de Autenticação (AH)

    • HTTP para servidores Web

    • SSL para servidores Web

    • Servidores FTP para FTP

    • Conexões de dados FTP de entrada

    • Conexões de dados (pasv) passivas de FTP de entrada

    • SMTP

    • Outros aplicativos e servidores

    • Consultas de DNS de entrada

    • Transferências de zona de DNS de entrada

Aplicação da ACL

A ACL recém-criada deve ser aplicada na entrada de interfaces voltadas para a Internet dos roteadores de borda. No exemplo ilustrado na seção Configuração Típica, a ACL é aplicada nas interfaces voltadas para Internet em IR1 e IR2.

Consulte as seções em diretrizes de implementação e exemplo de implementação para obter mais detalhes.

Exemplo de ACL

Esta lista de acessos oferece um exemplo simples, mas realista, de entradas típicas necessárias em uma ACL de trânsito. Essa ACL básica precisa ser personalizada com detalhes de configuração específicos do site local.


!--- Adicione entradas de anti-falsificação.
!--- Negue as origens de endereços de uso especial.
!--- Consulte a RFC 3330 para obter endereços de uso especial adicionais.

access-list 110 deny ip 127.0.0.0 0.255.255.255 any
access-list 110 deny ip 192.0.2.0 0.0.0.255 any
access-list 110 deny ip 224.0.0.0 31.255.255.255 any
access-list 110 deny ip host 255.255.255.255 any

!--- A instrução deny não deve ser configurada
!--- em retransmissores Dynamic Host Configuration Protocol (DHCP).

access-list 110 deny ip host 0.0.0.0 any

!--- Filtre o espaço da RFC 1918.

access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any

!--- Permita o Border Gateway Protocol (BGP) no roteador da borda.

access-list 110 permit tcp host bgp_peer gt 1023 host router_ip eq bgp
access-list 110 permit tcp host bgp_peer eq bgp host router_ip gt 1023

!--- Negue seu espaço como origem (conforme anotado na RFC 2827).

access-list 110 deny ip your Internet-routable subnet any



!--- Permita de forma explícita o tráfego de retorno.
!--- Permita tipos de ICMP específicos.

access-list 110 permit icmp any any echo-reply
access-list 110 permit icmp any any unreachable
access-list 110 permit icmp any any time-exceeded
access-list 110 deny   icmp any any

!--- Estas são consultas de DNS de saída.

access-list 110 permit udp any eq 53  host primary DNS server gt 1023

!--- Permita consultas e respostas de DNS antigas para o servidor DNS principal.

access-list 110 permit udp any eq 53  host primary DNS server eq 53

!--- Permita o tráfego empresarial legítimo.

access-list 110 permit tcp any Internet-routable subnet established
access-list 110 permit udp any range 1 1023 Internet-routable subnet gt 1023

!--- Permita conexões de dados de FTP.

access-list 110 permit tcp any eq 20 Internet-routable subnet gt 1023

!--- Permita conexões de dado de TFTP e multimídia.

access-list 110 permit udp any gt 1023 Internet-routable subnet gt 1023



!--- Permita de forma explícita o tráfego proveniente do meio externo.
!--- Estas são consultas de DNS de entrada.

access-list 110 permit udp any gt 1023 host <primary DNS server> eq 53

!--- Estas são consultas de DNS de transferência de zonas para o servidor DNS principal.

access-list 110 permit tcp host secondary DNS server gt 1023 host primary DNS server eq 53

!--- Permita transferências de zonas de DNS antigas.

access-list 110 permit tcp host secondary DNS server eq 53  host primary DNS server eq 53

!--- Negue o resto do tráfego de DNS.

access-list 110 deny udp any any eq 53
access-list 110 deny tcp any any eq 53

!--- Permita o tráfego de VPN IPsec.

access-list 110 permit udp any host IPSec headend device eq 500
access-list 110 permit udp any host IPSec headend device eq 4500
access-list 110 permit 50 any host IPSec headend device
access-list 110 permit 51 any host IPSec headend device
access-list 110 deny   ip any host IPSec headend device

!--- Estas são conexões provenientes da Internet para
!--- servidores acessíveis publicamente.

access-list 110 permit tcp any host public web server eq 80
access-list 110 permit tcp any host public web server eq 443
access-list 110 permit tcp any host public FTP server eq 21

!--- As conexões de dados para o servidor FTP são permitidas
!--- pela ACE permit established.
!--- Permita conexões de dado PASV para o servidor FTP.

access-list 110 permit tcp any gt 1023 host public FTP server gt 1023
access-list 110 permit tcp any host public SMTP server eq 25



!--- Negue de forma explícita todo o demais tráfego.


access-list 101 deny ip any any

Nota: Tenha estas sugestões em mente ao aplicar a ACL de trânsito.

  • A palavra-chave log pode ser utilizada para fornecer detalhes adicionais sobre a origem e os destinos de um protocolo específico. Apesar dessa palavra-chave fornecer informações importantes sobre os detalhes das ocorrências da ACL, ocorrências em excesso para uma entrada da ACL que use a palavra-chave log aumentam a utilização da CPU. O impacto no desempenho associado ao registro em log varia de acordo com a plataforma.

  • Mensagens ICMP de inacessibilidade são geradas para pacotes negados de forma administrativa por uma ACL. Isso pode causar impacto no roteador e no desempenho do link. Considere usar o comando no ip unreachables para desativar inacessibilidades de IP na interface onde a ACL (borda) de trânsito está implementada.

  • Essa ACL pode ser inicialmente implementada com todas as instruções permit para garantir que tráfego legítimo da empresa não seja recusado. Uma vez que o tráfego legítimo da empresa tenha sido identificado e considerado, os elementos deny específicos poderão ser configurados.

ACLs e Pacotes Fragmentados

As ACLs possuem uma plavra-chave fragments que permite a manipulação especializada de pacotes fragmentados. Geralmente, fragmentos não iniciais que correspondem a instruções da Camada 3 (protocolo, endereços de origem e destino), independente das informações da Camada 4 em uma ACL, são afetados pela instrução permit ou deny da entrada correspondente. Observe que o uso da palavra-chave fragments pode forçar as ACLs a recusar ou permitir fragmentos não iniciais com mais detalhes.

A filtragem de fragmentos agrega uma camada adicional de proteção contra ataques de negação de serviços (DoS) que utilizam apenas fragmentos não iniciais (como FO > 0). O uso de uma instrução deny para fragmentos não iniciais no começo da ACL impede que todos os fragmentos não iniciais acessem o roteador. Em circunstâncias raras, uma sessão válida pode exigir fragmentação e, portanto, ser filtrada se uma instrução deny fragment existir na ACL. Condições que levem à fragmentação incluem o uso de certificados digitais para autenticação ISAKMP e o uso do IPSec NAT Traversal.

Por exemplo, considere a ACL parcial aqui mostrada.

access-list 110 deny tcp any Internet routable subnet fragments
access-list 110 deny udp any Internet routable subnet fragments
access-list 110 deny icmp any Internet routable subnet fragments
<rest of ACL>

A adição dessas entradas ao início de uma ACL nega o acesso de fragmentos não iniciais à rede enquanto pacotes não fragmentados ou fragmentos iniciais passam para as próximas linhas da ACL sem serem afetados pelas instruções deny fragment. O trecho anterior da ACL também facilita a classificação do ataque, pois cada protocolo, UDP, TCP e ICMP, incrementa contadores separados na ACL.

Como muitos ataques confiam na inundação com pacotes fragmentados, a filtragem de fragmentos recebidos pela rede interna fornece uma medida adicional de proteção e ajuda a assegurar que um ataque não possa injetar fragmentos simplesmente com a correspondência de regras da camada 3 na ACL de trânsito.

Consulte Listas de Controle de Acesso e Fragmentos de IP para obter uma visão detalhada sobre as opções.

Avaliação de Risco

Quando você implementar ACLs de proteção de tráfego de trânsito, considere duas principais áreas de risco.

  • Assegure que as instruções permit/deny apropriadas estejam definidas. Para que a ACL seja eficaz, você deve permitir todos os protocolos necessários.

  • O desempenho da ACL varia de plataforma para plataforma. Antes que você implemente as ACLs, revise as características de desempenho do seu hardware.

A Cisco recomenda que o teste deste design seja feito em laboratório antes da implementação.

Apêndices

Protocolos e Aplicativos Comumente Utilizados

Nomes de Portas TCP

Esta lista de nomes de portas TCP pode ser utilizada em vez dos números de portas ao configurar a ACL no Cisco IOS® Software. Consulte o RFC do número atual atribuído para encontrar uma referência para esses protocolos. Os números de portas que correspondem a esses protocolos também podem ser encontrados ao configurar a ACL inserindo um ? em vez de um número de porta.

bgp

kshell

chargen

login

cmd

lpd

daytime

nntp

discard

pim

domain

pop2

echo

pop3

exec

smtp

finger

sunrpc

ftp

syslog

ftp-data

tacacstalk

gopher

telnet

hostname

time

ident

uucp

irc

whois

klogin

www

Nomes de Portas UDP

Esta lista de nomes de portas UDP pode ser utilizada em vez dos números de portas ao configurar a ACL no Cisco IOS Software. Consulte o RFC do número atual atribuído para encontrar uma referência para esses protocolos. Os números de portas que correspondem a esses protocolos também podem ser encontrados ao configurar a ACL inserindo um ? em vez de um número de porta.

biff

ntp

bootpc

pim-auto-rp

bootps

rip

discard

snmp

dnsix

snmptrap

domain

sunrpc

echo

syslog

isakmp

tacacs

mobile-ip

talk

nameserver

tftp

netbios-dgm

time

netbios-ns

who

netbios-ss

xdmcp

Diretrizes de Implementação

A Cisco recomenda práticas de implementação conservadoras. Você deve possuir uma compreensão clara dos protocolos necessários para implantar ACLs de trânsito com êxito. Essas diretrizes descrevem um método muito conservador para implementação de ACLs de proteção que usam uma abordagem interativa.

  1. Identifique os protocolos utilizados na rede com uma ACL de classificação.

    Implemente uma ACL que permita todos os protocolos conhecidos que são utilizados na rede. Essa ACL de descoberta, ou classificação, deve possuir um endereço de origem any e um destino de endereço IP ou de toda a sub-rede IP roteável pela Internet. Configure uma última entrada que permita ip any any log para ajudar a identificar protocolos adicionais que devem ser permitidos.

    O objetivo é determinar todos os protocolos necessários que são utilizados na rede. Use o registro em log para análise de forma a determinar o que mais pode ser comunicar com o roteador.

    Nota: Apesar da palavra-chave log fornecer informações importantes sobre os detalhes de ocorrências da ACL, ocorrências em excesso para uma entrada de ACL que use essa palavra-chave pode causar um grande número de entradas no log e possivelmente um maior uso da CPU do roteador. Use a palavra-chave log durante curtos períodos de tempo e somente quando necessário para ajudar a classificar o tráfego.

    Observe que a rede estará em risco de ataque enquanto houver uma ACL que contenha todas as instruções permit definidas. Execute o processo de classificação o mais rápido possível para que os controles de acesso adequados possam ser definidos.

  2. Revise os pacotes identificados e comece a filtrar o acesso à rede interna.

    Uma vez que você tenha identificado e revisado os pacotes filtrados pela ACL no passo 1, atualize a ACL de classificação para considerar endereços IP e protocolos recém-identificados. Adicione entradas de ACL para antifalsificação. Conforme o necessário, substitua entradas deny específicas para instruções permit na ACL de classificação. Você pode usar o comando show access-list para monitorar a contagem de ocorrências de entradas deny específicas. Isso fornece informações sobre tentativas proibidas de acesso à rede sem que seja necessário ativar o registro em log de entradas da ACL. A última linha da ACL deve ser deny ip any any. Novamente, a contagem de ocorrências em relação a essa última entrada pode fornecer informações sobre tentativas proibidas de acesso.

  3. Monitore e atualize a ACL.

    Monitore a ACL concluída para garantir que protocolos necessários recém-introduzidos sejam adicionados de forma controlada. Se você monitorar a ACL, também obterá informações sobre tentativas proibidas de acesso à rede relativas a ataques eminentes.

Exemplo de Implementação

Este exemplo mostra uma ACL de trânsito que protege uma rede com base neste endereçamento.

  • O endereço IP do roteador do ISP é 10.1.1.1.

    O endereço IP voltado para Internet do roteador de borda é 10.1.1.2.

    A sub-rede roteável da Internet é 192.168.201.0 255.255.255.0.

    O headend VPN é 192.168.201.100.

    O servidor Web é 192.168.201.101.

    O servidor FTP é 192.168.201.102.

    O servidor SMTP é 192.168.201.103.

    O servidor DNS primário é 192.168.201.104.

    O servidor DNS secundário é 172.16.201.50.

A ACL de proteção de trânsito foi desenvolvida com base nestas informações. A ACL permite pareamento eBGP com o roteador do ISP, oferece filtros antifalsificação, permite tráfego de retorno específico, permite tráfego de entrada específico e recusa explicitamente todos os demais tráfegos.

no access-list 110

!--- Fase 1 - Adição de entradas anti-falsificação.
!--- Negue as origens de endereços de uso especial.
!--- Consulte a RFC 3330 para obter endereços de uso especial adicionais.

access-list 110 deny   ip 127.0.0.0 0.255.255.255 any
access-list 110 deny   ip 192.0.2.0 0.0.0.255 any
access-list 110 deny   ip 224.0.0.0 31.255.255.255 any
access-list 110 deny   ip host 255.255.255.255 any

!--- Esta instrução deny não deve ser configurada
!--- em retransmissores Dynamic Host Configuration Protocol (DHCP).

access-list 110 deny   ip host 0.0.0.0 any

!--- Filtre o espaço da RFC 1918.

access-list 110 deny   ip 10.0.0.0 0.255.255.255 any
access-list 110 deny   ip 172.16.0.0 0.15.255.255 any
access-list 110 deny   ip 192.168.0.0 0.0.255.255 any

!--- Permita o BGP no roteador da borda.

access-list 110 permit tcp host 10.1.1.1 gt 1023 host 10.1.1.2 eq bgp
access-list 110 permit tcp host 10.1.1.1 eq bgp host 10.1.1.2 gt 1023

!--- Negue seu espaço como origem (conforme anotado na RFC 2827).

access-list 110 deny   ip 192.168.201.0 0.0.0.255 any



!--- Fase 2 - Permissão explícita do tráfego de retorno
!--- Permita tipos de ICMP específicos.

access-list 110 permit icmp any any echo-reply
access-list 110 permit icmp any any unreachable
access-list 110 permit icmp any any time-exceeded
access-list 110 deny   icmp any any

!--- Estas são consultas de DNS de saída.

access-list 110 permit udp any eq domain host 192.168.201.104 gt 1023

!--- Permita consultas e respostas de DNS antigas para o servidor DNS principal.

access-list 110 permit udp any eq domain host 192.168.201.104 eq domain

!--- Permita o tráfego empresarial legítimo.

access-list 110 permit tcp any 192.168.201.0 0.0.0.255 established
access-list 110 permit udp any range 1 1023 192.168.201.0 0.0.0.255 gt 1023

!--- Permita conexões de dados de FTP.

access-list 110 permit tcp any eq ftp-data 192.168.201.0 0.0.0.255 gt 1023

!--- Permita conexões de dado de TFTP e multimídia.

access-list 110 permit udp any gt 1023 192.168.201.0 0.0.0.255 gt 1023



!--- Fase 3 - Permissão explícita do tráfego proveniente do meio externo
!--- Estas são consultas de DNS de entrada.

access-list 110 permit udp any gt 1023 host 192.168.201.104 eq domain

!--- Consultas de DNS de transferência de zonas para o servidor DNS principal.

access-list 110 permit tcp host 172.16.201.50 gt 1023 host 192.168.201.104 eq domain

!--- Permita transferências de zonas de DNS antigas.

access-list 110 permit tcp host 172.16.201.50 eq domain host 192.168.201.104 eq domain

!--- Negue o resto do tráfego de DNS.

access-list 110 deny   udp any any eq domain
access-list 110 deny   tcp any any eq domain

!--- Permita o tráfego de VPN IPsec.

access-list 110 permit udp any host 192.168.201.100 eq isakmp
access-list 110 permit udp any host 192.168.201.100 eq non500-isakmp
access-list 110 permit esp any host 192.168.201.100
access-list 110 permit ahp any host 192.168.201.100
access-list 110 deny   ip any host 192.168.201.100

!--- Estas são conexões provenientes da Internet para
!--- servidores acessíveis publicamente.

access-list 110 permit tcp any host 192.168.201.101 eq www
access-list 110 permit tcp any host 192.168.201.101 eq 443
access-list 110 permit tcp any host 192.168.201.102 eq ftp

!--- As conexões de dados para o servidor FTP são permitidas
!--- pela ACE permit established na Fase 3.
!--- Permita conexões de dado PASV para o servidor FTP.

access-list 110 permit tcp any gt 1023 host 192.168.201.102 gt 1023
access-list 110 permit tcp any host 192.168.201.103 eq smtp



!--- Fase 4 - Adição explícita da instrução deny.


access-list 110 deny   ip any any

Edge-router(config)#interface serial 2/0
Edge-router(config-if)#ip access-group 110 in

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 44541