Software Cisco IOS e NX-OS : Software Cisco IOS versões 11.3

Registro da Lista de Acesso de IP Padrão

29 Agosto 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (4 Novembro 2007) | Feedback

Índice

Registro da Lista de Acesso de IP Padrão

Resumo do recurso

Plataformas

Tarefas de configuração

Exemplo de configuração

Referências a Comandos

Registro da Lista de Acesso de IP Padrão

Resumo do recurso

O Cisco IOS Software pode, agora, fornecer mensagens de registro sobre pacotes permitidos ou negados por uma lista de acesso de IP padrão. Ou seja, qualquer pacote que corresponder à lista de acesso gerará uma mensagem de registro informacional sobre o pacote a ser enviado para o console. O nível de mensagens registradas no console é controlado pelo comando logging console. Esse recurso estava disponível anteriormente apenas em listas de acesso de IP estendidas.

O primeiro pacote que aciona a lista de acesso gera uma mensagem de registro imediatamente e os pacotes subseqüentes são coletados em intervalos de cinco minutos antes de serem exibidos ou registrados. A mensagem de registro inclui o número da lista de acesso, se o pacote foi permitido ou negado, o endereço IP de origem do pacote e o número de pacotes dessa origem permitidos ou negados no intervalo de cinco minutos anterior.

Benefícios

É possível monitorar quantos pacotes estão sendo permitidos ou negados por uma lista de acesso específica, incluindo o endereço de origem de cada pacote.

Plataformas

Esse recurso é compatível com todas as plataformas.

Tarefas de configuração

Execute uma das seguintes tarefas para receber mensagens de registro sobre listas de acesso de IP padrão. Escolha a tarefa que precisa, dependendo se está usando listas de acesso numeradas ou nomeadas.

Independentemente de criar uma lista de acesso numerada ou nomeada, depois de criar uma lista de acesso, você deverá aplicá-la a uma interface ou a uma linha de terminal para que ela seja usada. Essa tarefa é descrita na seção "Aplicar a lista de acesso a uma interface ou linha de terminal" no capítulo "Configurando Serviços IP" no Guia de Configuração de Protocolos de Rede, Parte 1.

Crie uma Lista de Acesso Padrão Usando Números

Para criar uma lista de acesso numerada padrão e receber mensagens de registro, execute uma das tarefas a seguir no modo de configuração global:

Tarefa Comando

Defina uma lista de acesso de IP padrão usando um endereço de origem e um curinga.

lista de acesso número da lista de acesso {negar | permitir} fonte [curinga de origem] log

Defina uma lista de acesso de IP padrão usando uma abreviação para a origem e uma máscara de origem de 0.0.0.0 255.255.255.255.

access-list access-list-number {deny | permit} any log



Crie uma Lista de Acesso Padrão Usando Nomes

Para criar uma lista de acesso nomeada padrão e receber mensagens de registro, execute as seguintes tarefas, começando no modo de configuração global:

Tarefa Comando

Etapa 1. Defina uma lista de acesso de IP padrão usando um nome.

ip access-list standard name

Etapa 2. No modo de configuração de lista de acesso, especifique uma ou mais condições permitidas ou negadas. Isso determina se o pacote é passado ou descartado.

deny {source [source-wildcard] | any} log

ou

permit {source [source-wildcard] | any} log

Etapa 3. Saia do modo de configuração de lista de acesso.

exit



Exemplo de configuração

O exemplo a seguir define as listas de acesso 1 e 2, sendo que as duas incluem registro:

interface ethernet 0
 ip address 1.1.1.1 255.0.0.0
 ip access-group 1 in
 ip access-group 2 out
!
access-list 1 permit 5.6.0.0 0.0.255.255 log
access-list 1 deny 7.9.0.0 0.0.255.255 log
!
access-list 2 permit 1.2.3.4 log
access-list 2 deny 1.2.0.0 0.0.255.255 log

Suponha que a interface receba 10 pacotes de 5.6.7.7 e 14 pacotes de 1.2.23.21. O primeiro registro terá a seguinte aparência:

list 1 permit 5.6.7.7 1 packet
list 2 deny 1.2.23.21 1 packet

Cinco minutos depois, o console receberá este registro:

list 1 permit 5.6.7.7 9 packets
list 2 deny 1.2.23.21 13 packets

Referências a Comandos

Esta seção documenta os seguintes comandos revisados para esse recurso. Todos os outros comandos usados com este recurso estão documentados nas referências de comandos da versão 11,3 do Cisco IOS.

access-list (standard)

Para definir uma lista de acesso de IP padrão com um número, use a versão padrão do comando de configuração global lista de acesso. Para remover uma lista de acesso padrão, use a forma no desse comando.

access-list access-list-number {deny | permit} source [source-wildcard] [log]
no access-list access-list-number

Cuidado As melhorias nesse comando são compatíveis com versões anteriores. A migração de versões anteriores para a versão 10.3 converterá as listas de acesso automaticamente. No entanto, versões anteriores à versão 10.3 não são compatíveis com versões posteriores com essas melhorias. Portanto, se você salvar uma lista de acesso com essas imagens e, em seguida, usar software anterior à versão 10.3, a lista de acesso resultante não será interpretada corretamente. Isso pode provocar problemas graves de segurança. Salve seu arquivo de configuração antigo antes de inicializar essas imagens.
Descrição da sintaxe

access-list-number

Número de uma lista de acesso. É um número decimal de 1 a 99.

deny

Nega acesso se as condições forem correspondidas.

permit

Permite acesso se as condições forem correspondidas.

source

Número da rede ou host do qual o pacote está sendo enviado. Há duas formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

source-wildcard

(Opcional) Bits curingas a serem aplicados à source. Há duas formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

log

(Opcional) Gera uma mensagem de registro sobre o pacote que corresponde à entrada a ser enviada ao console. (O nível de mensagens registradas no console é controlado pelo comando logging console.)

A mensagem inclui o número da lista de acesso, se o pacote foi permitido ou negado, o endereço da origem e o número de pacotes. A mensagem é gerada para o primeiro pacote correspondente e, em seguida, em intervalos de 5 minutos, incluindo o número de pacotes permitidos ou negados no intervalo de 5 minutos anterior.

Padrão

A lista de acesso, por padrão, é uma instrução de negação implícita para tudo. A lista de acesso é sempre encerrada por uma instrução de negação implícita para tudo.

Modo de comando

Configuração global

Diretrizes de uso

Este comando é exibido primeiro em Cisco IOS Versão 10.3. A palavra-chave log apareceu, pela primeira vez, na versão 11.3(3)T.

Planeje suas condições de acesso cuidadosamente e conheça a instrução de negação implícita no final da lista de acesso.

É possível usar listas de acesso para controlar a transmissão de pacotes em uma interface, controlar o acesso à linha de terminal virtual e restringir o conteúdo de atualizações de roteamento.

Use o comando show access-lists EXEC para exibir o conteúdo de todas as listas de acesso.

Use o comando show ip access-list EXEC para exibir o conteúdo de uma lista de acesso.

Exemplos

O exemplo a seguir de uma lista de acesso padrão permite acesso para apenas os hosts das três redes especificadas. Os bits curinga se aplicam às partes do host dos endereços de rede. Qualquer host com um endereço de origem que não corresponda às instruções da lista de acesso será rejeitado.

access-list 1 permit 192.5.34.0  0.0.0.255
access-list 1 permit 128.88.0.0  0.0.255.255
access-list 1 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)

Para especificar um grande número de endereços individuais mais facilmente, você pode omitir o curinga, se ele for todo zero. Assim, os seguintes dois comandos de configuração são idênticos no efeito:

access-list 2 permit 36.48.0.3
access-list 2 permit 36.48.0.3  0.0.0.0
Comandos relacionados

access-class
access-list (extended)
distribute-list in
distribute-list out
ip access-group
priority-list
queue-list
show access-lists
show ip access-list

deny

Para definir condições para uma lista de acesso de IP nomeada, use o comando de configuração de lista de acesso deny. Para remover uma condição de negação de uma lista de acesso, use a forma no desse comando.

deny {source [source-wildcard] | any} [log]
no deny {source [source-wildcard] | any}

deny protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]
no deny protocol source source-wildcard destination destination-wildcard


Para ICMP, você também pode usar a seguinte sintaxe:

deny icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] |
icmp-message] [precedence precedence] [tos tos] [log]

Para IGMP, você também pode usar a seguinte sintaxe:

deny igmp source source-wildcard destination destination-wildcard [igmp-type]
[precedence precedence] [tos tos] [log]

Para TCP, você também pode usar a seguinte sintaxe:

deny tcp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [established] [precedence precedence] [tos tos] [log]

Para UDP, você também pode usar a seguinte sintaxe:

deny udp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [precedence precedence] [tos tos] [log]

Descrição da sintaxe

source

Número da rede ou host do qual o pacote está sendo enviado. Há duas formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

source-wildcard

(Opcional) Bits curingas a serem aplicados à source. Há duas formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

protocol

Nome ou número de um protocolo IP. Pode ser uma das palavras-chave eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp, ou udp, ou um inteiro na faixa de 0 a 255, representando um número de protocolo IP. Para corresponder a qualquer protocolo IP (incluindo ICMP, TCP e UDP), use a palavra-chave ip. Alguns protocolos permitem outras configurações, descritas posteriormente.

source

Número da rede ou host do qual o pacote está sendo enviado. Há três formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

source-wildcard

Bits de curinga a serem aplicados na origem. Há três formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

destination

Número da rede ou host para o qual o pacote está sendo enviado. Há três formas alternativas de especificar o destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para destination e destination-wildcard do 0.0.0.0 255.255.255.255.

  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

destination-wildcard

Bits de curinga a serem aplicados no destino. Há três formas alternativas de especificar o curinga de destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para destination e destination-wildcard do 0.0.0.0 255.255.255.255.

  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

precedence precedence

(Opcional) Os pacotes podem ser filtrados por nível de precedência, como especificado por um número de 0 a 7, ou por nome, como listado na seção "Diretrizes de Uso".

tos tos

(Opcional) Os pacotes podem ser filtrados por um tipo de nível de serviço, como especificado por um número de 0 a 15, ou por nome, como listado na seção "Diretrizes de Uso" do comando access-list (extended).

icmp-type

(Opcional) Os pacotes de ICMP podem ser filtrados por tipo de mensagem ICMP. O tipo é um número de 0 a 255.

icmp-code

(Opcional) Os pacotes ICMP que são filtrados por tipo de mensagem ICMP também são filtrados pelo código da mensagem ICMP. O código é um número de 0 a 255.

icmp-message

(Opcional) Os pacotes ICMP podem ser filtrados por um nome do tipo de mensagem ICMP ou por tipo de mensagem ICMP e nome do código. Os nomes possíveis são encontrados na seção "Diretrizes de Uso" do comando access-list (extended).

igmp-type

(Opcional) Os pacotes IGPM podem ser filtrados pelo tipo de mensagem IGPM ou por nome da mensagem. O tipo da mensagem é um número de 0 a 15. Os nomes das mensagens IGPM são listados na seção "Diretrizes de Uso" do comando access-list (extended).

operator

(Opcional) Compara portas de origem ou destino. Possíveis operados incluem lt (inferior a), gt (superior a), eq (igual), neq (não igual) e range (intervalo inclusivo).

Se o operador for posicionado depois de source e source-wildcard, deverá corresponder à porta de origem.

Se o operador for posicionado depois de destination e destination-wildcard, deverá corresponder à porta de destino.

O operador range requer dois números de porta. Todos os demais operadores requerem um único número de porta.

porta

(Opcional) O número decimal ou o nome de uma porta TCP ou UDP. Um número de porta é um número de 0 a 65535. Os nomes das portas TCP e UDP são listados na seção "Diretrizes de Uso" do comando access-list (extended). Os nomes de portas TCP só podem ser usados na filtragem de TCP. Os nomes de portas UDP só podem ser usados na filtragem de UDP.

established

(Opcional) Apenas para o protocolo TCP: indica uma conexão estabelecida. Ocorre uma correspondência, se o datagrama de TCP tiver os bits ACK ou RST definidos. O caso de não correspondência ocorre quando o datagrama TCP inicial forma uma conexão.

log

(Opcional) Gera uma mensagem de registro sobre o pacote que corresponde à entrada a ser enviada ao console. (O nível de mensagens registradas no console é controlado pelo comando logging console.)

A mensagem para uma lista padrão inclui o número da lista de acesso, independentemente de o pacote ter sido permitido ou negado, o endereço de origem e o número de pacotes.

A mensagem para uma lista estendida inclui o número da lista de acesso; independentemente de o pacote ter sido permitido ou negado; o protocolo; independentemente de o protocolo ser TCP, UDP, ICMP ou um número; e, se apropriado, os endereços e os números de porta de origem e destino.

Tanto para a lista padrão quanto para a estendida, a mensagem é gerada para o primeiro pacote que corresponde e, em seguida, em intervalos de 5 minutos, incluindo o número de pacotes permitidos ou negados no intervalo de 5 minutos anterior.

Padrão

Não há condição específica, de acordo com a qual um pacote é negado passando a lista de acesso nomeado.

Modo de comando

Configuração da lista de acesso

Diretrizes de uso

Este comando é exibido primeiro em Cisco IOS Versão 11.2. A palavra-chave log para uma lista de acesso padrão apareceu pela primeira vez na versão 11.3(3)T.

Use esse comando depois do comando ip access-list para especificar condições de acordo com as quais um pacote não pode passar a lista de acesso nomeado.

Exemplo

O exemplo a seguir define uma condição de negação para uma lista de acesso padrão nomeado Internetfilter:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Comandos relacionados

É possível usar o Índice Principal ou a pesquisa on-line para encontrar documentação de comandos relacionados.

ip access-group
ip access-list
permit
show ip access-list

permit

Para definir condições para uma lista de acesso de IP, use o comando de configuração de lista de acesso permit. Para remover uma condição de uma lista de acesso, use a forma não desse comando.

permit {source [source-wildcard] | any} [log]
no permit {source [source-wildcard] | any}

permit protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]
no permit protocol source source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]

Para ICMP, você também pode usar a seguinte sintaxe:

permit icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] |
icmp-message] [precedence precedence] [tos tos] [log]

Para IGMP, você também pode usar a seguinte sintaxe:

permit igmp source source-wildcard destination destination-wildcard [igmp-type]
[precedence precedence] [tos tos] [log]

Para TCP, você também pode usar a seguinte sintaxe:

permit tcp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [established] [precedence precedence] [tos tos] [log]

Para UDP, você também pode usar a seguinte sintaxe:

permit udp source source-wildcard [operator port [port]] destination destination-wildcard
[operator port [port]] [precedence precedence] [tos tos] [log]

Descrição da sintaxe

source

Número da rede ou host do qual o pacote está sendo enviado. Há duas formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

source-wildcard

(Opcional) Bits curingas a serem aplicados à source. Há duas formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

protocol

Nome ou número de um protocolo IP. Pode ser uma das palavras-chave eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp, ou udp, ou um inteiro na faixa de 0 a 255, representando um número de protocolo IP. Para corresponder a qualquer protocolo IP (incluindo ICMP, TCP e UDP), use a palavra-chave ip. Alguns protocolos permitem outras configurações, descritas posteriormente.

source

Número da rede ou host do qual o pacote está sendo enviado. Há três formas alternativas de especificar a origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

source-wildcard

Bits de curinga a serem aplicados na origem. Há três formas alternativas de especificar o curinga de origem:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para source e source-wildcard do 0.0.0.0 255.255.255.255.

  • Use host source como abreviação de uma source e source-wildcard de source 0.0.0.0.

destination

Número da rede ou host para o qual o pacote está sendo enviado. Há três formas alternativas de especificar o destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal.

  • Use a palavra-chave any como abreviação para destination e destination-wildcard do 0.0.0.0 255.255.255.255.

  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

destination-wildcard

Bits de curinga a serem aplicados no destino. Há três formas alternativas de especificar o curinga de destino:

  • Use uma quantidade de 32 bits dividida em quatro partes no formato decimal. Coloque números 1 nas posições bit que deseja ignorar.

  • Use a palavra-chave any como abreviação para destination e destination-wildcard do 0.0.0.0 255.255.255.255.

  • Use host destination como uma abreviação de destination e destination-wildcard de destination 0.0.0.0.

precedence precedence

(Opcional) Os pacotes podem ser filtrados por nível de precedência, como especificado por um número de 0 a 7, ou por nome, como listado na seção "Diretrizes de Uso".

tos tos

(Opcional) Os pacotes podem ser filtrados por um tipo de nível de serviço, como especificado por um número de 0 a 15, ou por nome, como listado na seção "Diretrizes de Uso" do comando access-list (extended).

icmp-type

(Opcional) Os pacotes de ICMP podem ser filtrados por tipo de mensagem ICMP. O tipo é um número de 0 a 255.

icmp-code

(Opcional) Os pacotes ICMP que são filtrados por tipo de mensagem ICMP também são filtrados pelo código da mensagem ICMP. O código é um número de 0 a 255.

icmp-message

(Opcional) Os pacotes ICMP podem ser filtrados por um nome do tipo de mensagem ICMP ou por tipo de mensagem ICMP e nome do código. Os nomes possíveis são encontrados na seção "Diretrizes de Uso" do comando access-list (extended).

igmp-type

(Opcional) Os pacotes IGPM podem ser filtrados pelo tipo de mensagem IGPM ou por nome da mensagem. O tipo da mensagem é um número de 0 a 15. Os nomes das mensagens IGPM são listados na seção "Diretrizes de Uso" do comando access-list (extended).

operator

(Opcional) Compara portas de origem ou destino. Possíveis operados incluem lt (inferior a), gt (superior a), eq (igual), neq (não igual) e range (intervalo inclusivo).

Se o operador for posicionado depois de source e source-wildcard, deverá corresponder à porta de origem.

Se o operador for posicionado depois de destination e destination-wildcard, deverá corresponder à porta de destino.

O operador range requer dois números de porta. Todos os demais operadores requerem um único número de porta.

porta

(Opcional) O número decimal ou o nome de uma porta TCP ou UDP. Um número de porta é um número de 0 a 65535. Os nomes das portas TCP e UDP são listados na seção "Diretrizes de Uso" do comando access-list (extended). Os nomes de portas TCP só podem ser usados na filtragem de TCP. Os nomes de portas UDP só podem ser usados na filtragem de UDP.

established

(Opcional) Apenas para o protocolo TCP: indica uma conexão estabelecida. Ocorre uma correspondência, se o datagrama de TCP tiver os bits ACK ou RST definidos. O caso de não correspondência ocorre quando o datagrama TCP inicial forma uma conexão.

log

(Opcional) Gera uma mensagem de registro sobre o pacote que corresponde à entrada a ser enviada ao console. (O nível de mensagens registradas no console é controlado pelo comando logging console.)

A mensagem para uma lista padrão inclui o número da lista de acesso, independentemente de o pacote ter sido permitido ou negado, o endereço de origem e o número de pacotes.

A mensagem para uma lista estendida inclui o número da lista de acesso; independentemente de o pacote ter sido permitido ou negado; o protocolo; independentemente de o protocolo ser TCP, UDP, ICMP ou um número; e, se apropriado, os endereços e os números de porta de origem e destino.

Tanto para a lista padrão quanto para a estendida, a mensagem é gerada para o primeiro pacote que corresponde e, em seguida, em intervalos de 5 minutos, incluindo o número de pacotes permitidos ou negados no intervalo de 5 minutos anterior.

Padrão

Não há condições específicas de acordo com as quais um pacote passa a lista de acesso nomeado.

Modo de comando

Configuração da lista de acesso

Diretrizes de uso

Este comando é exibido primeiro em Cisco IOS Versão 11.2. A palavra-chave log para uma lista de acesso padrão apareceu pela primeira vez na versão 11.3(3)T.

Use esse comando depois do comando ip access-list para definir as condições por meio das quais um pacote passa a lista de acesso.

Exemplo

O exemplo a seguir define condições para uma lista de acesso padrão nomeado Internetfilter:

ip access-list standard Internetfilter
 deny 192.5.34.0  0.0.0.255
 permit 128.88.0.0  0.0.255.255
 permit 36.0.0.0  0.255.255.255
! (Note: all other access implicitly denied)
Comandos relacionados

deny
ip access-group
ip access-list
show ip access-list