Prévia do material em texto
01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 1/24 Redes Convergentes Aula 7 - Qualidade de Serviço de rede IP INTRODUÇÃO Para que a rede possa tratar, de forma diferenciada, cada tipo de serviço, inicialmente, é necessário identi�car os diversos tipos de serviço transportados pelos segmentos TCP/UDP e datagramas IP. Para a identi�cação, podem ser construídas Access Control Lists (ACL’s) ou Listas de Controle de Acesso: um conjunto de regras e ações sobre o tráfego. As regras baseiam-se em identi�car determinado tráfego a partir do endereço IP de origem e de destino, bem como a partir da porta TCP/UDP de origem e de destino. Uma vez satisfeita uma regra, isto é, uma vez identi�cado certo tipo de tráfego, uma ação é de�nida na regra da ACL. A ação é permit ou deny, ou seja, aquela que, respectivamente, inclui ou exclui o tráfego identi�cado. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 2/24 A lógica do conjunto de regras da ACL resulta na identi�cação do tráfego e nos permite fazer a marcação para �ns de Qualidade de Serviço (QoS). Bons estudos! OBJETIVOS De�nir QoS; Analisar a marcação de tráfego; Empregar ACL’s. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 3/24 Rede IP como base para convergência de serviços Para que a rede IP possa ser capaz de transportar uma grande variedade de serviços, esta deverá oferecer os requisitos mínimos de cada serviço, como: Voz O tráfego de voz é altamente sensível a retardo e à variação de retardo (jitter), admitindo uma taxa de erros baixa (tráfego em tempo real). Os codi�cadores de áudio operam a taxas de bit até 64 kbps. Fax O serviço de fax, em princípio, é tratado como o serviço de voz, mas há uma restrição para que a codi�cação seja feita pelo padrão G.711. Vídeo em tempo real Como o serviço de voz, este é altamente sensível a retardo e jitter, mas apresenta requisitos de taxa de erro mais exigentes. Os codi�cadores de vídeo operam a taxas p x 64 kbps (p = 0 a 30). Vídeo streaming Serviço de vídeo e áudio que não é sensível a jitter por não operar em tempo real. Dados críticos O serviço de dados críticos (prioritários) não tem grande sensibilidade a retardo ou jitter. Por outro lado, deve ter alta prioridade de envio – imediatamente após a prioridade de envio do tráfego em tempo real. Os requisitos de taxa de bits podem variar de taxas baixas a elevadas em função do serviço. Tais dados têm requisitos de taxa de erros altos. Dados críticos de operações �nanceiras Serviço de dados críticos, mas com requisitos de segurança elevados – como a criptogra�a em túneis seguros. Dados não prioritários O serviço de dados não prioritários – como e-mail e tráfego HTTP – é tolerante a retardo e jitter, e requer baixa ou elevada taxa de bits. Em geral, não tem requisitos de segurança e pode ser transportado com baixíssima prioridade. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 4/24 Para cada tipo de serviço, a rede IP deverá assumir características particulares. Em outras palavras, dependendo do serviço sobre a rede, há que oferecer: Chamamos esse esforço de atender às diferentes necessidades das aplicações de Quality of Service (QoS) ou Qualidade de Serviço. , É muito importante identi�carmos o tipo de dado que está sendo transportado em um pacote que passa por um roteador ou switch, pois, somente assim, poderemos fornecer as características necessárias àquele tipo de tráfego. Essa é a tarefa de marcação de tráfego. SUPORTE À MARCAÇÃO DE TRÁFEGO Conforme vimos nas aulas 3 e 4, o tráfego dos serviços é digitalizado e transportado diretamente pelos segmentos TCP/UDP (protocolo de camada 4 – L4) ou indiretamente por meio do RTP encapsulado no UDP. O protocolo de L4 é transportado nos datagramas IP (protocolo de camada 3 – L3). Quatro informações disponíveis nos headers do TCP/UDP e nos headers do IP podem ser úteis na identi�cação do tráfego: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 5/24 Qualquer envio de pacotes com serviço entre origem e destino envolve as quatro informações. O encaminhamento dos pacotes entre a origem e o destino é feito pela camada 3 (rede – L3). Para tal, os roteadores ou switches com funções de roteamento (switches L3) leem o endereço IP de destino do datagrama, consultam sua tabela de roteamento e encaminham o pacote para a direção (interface) de melhor rota. A escolha da melhor rota baseia-se em algoritmos de melhor custo, que podem considerar o menor caminho e a melhor utilização de banda, por exemplo. O processo de roteamento em si pode ser considerado uma forma de oferecer QoS, já que se busca o melhor caminho para o tráfego. O que não se consegue apenas com o roteamento é o tratamento diferenciado do tráfego, fazendo encaminhamentos diferentes em função do tipo de tráfego, de endereços IP de origem e de destino, ou de portas TCP/UDP de origem e de destino. A identi�cação do tráfego de interesse fundamenta-se na busca de uma ou mais informações contidas nos endereços IP de origem e de destino, e nas portas TCP/UDP de origem e de destino. Nos roteadores e switches, o mecanismo que nos permite essa identi�cação são as Access Control Lists (ACL’s) ou Listas de Controle de Acesso. , Poderíamos identi�car o tráfego de origem da rede 200.20.20.0/24 com destino à aplicação servidor web, hospedada na máquina 230.17.17.9., , Nesse caso, devemos procurar por pacotes com:, , Endereço de origem = 200.20.20.0 → Máscara = 255.255.255.0; Endereço de destino = 230.17.17.9 → Máscara = 255.255.255.255; Porta TCP de destino = 80 (especi�camente e a partir de qualquer porta TCP de origem)., , A ideia é dar um tratamento diferenciado a esses pacotes quanto à largura de banda, quanto ao atraso etc. ACL (Access Control Lists) ou lista de controle de acesso As ACL’s são um conjunto de regras e ações sobre o tráfego. Elas são compostas por uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. Originalmente, essas listas são consideradas ferramentas de segurança, já que permitem controlar, de forma e�ciente, o tráfego dentro e fora de sua rede. Mas, hoje, são utilizadas, também, para identi�car o tipo de dado transportado e, a partir dessa identi�cação, fazer a marcação do tráfego. Você pode con�gurar as ACL’s para todos os protocolos de rede roteados, estabelecendo controles tão simples como permitir ou negar hosts de rede ou endereços, ou, ainda, o tráfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, observe, a seguir, o diálogo que ocorre durante uma conversa TCP quando você faz o download de uma página da web em seu computador: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 6/24 O processo TCP é muito semelhante a uma conversa na qual dois nós em uma rede concordam em transmitir dados entre um e outro. Conforme vimos na aula 4, inicialmente, realizamos a abertura da conexão (3way handshake). Depois, fazemos a troca de dados, e, por �m, a conexão é encerrada. , Os segmentos de dados TCP levam em sua área de dados o protocolo de nível mais alto, necessário ao direcionamento dos dados de aplicativo para o aplicativo correto. FILTRAGEM DE PACOTES Um roteador funciona como um �ltro de pacote ao encaminhar ou negar pacotes de acordo com asregras de �ltragem. Quando um pacote chega ao roteador de �ltragem, este extrai determinadas informações do cabeçalho do pacote e toma decisões conforme as regras do �ltro quanto à possibilidade de o pacote ser transmitido ou descartado. A �ltragem de pacote funciona na camada de rede do modelo de referência OSI ou na camada de internet do TCP/IP. A ACL pode extrair informações do cabeçalho do pacote, testá-lo em relação a suas regras e tomar decisões (“permitir” ou “negar”) com base no(a): 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 7/24 , Para facilitar sua compreensão clique aqui (galeria/aula7/docs/a07_t06.pdf) e veja um exemplo. Como as ACL’s funcionam? As ACL’s de�nem o conjunto de regras que dão controle adicional a pacotes que: As ACLs não funcionam em pacotes com origem no próprio roteador. As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à ACL, de cima para baixo, uma instrução por vez. O esquema a seguir mostra a lógica de uma ACL de entrada: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 8/24 Se o cabeçalho de um pacote corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas, e o pacote será permitido ou negado conforme determinação da instrução correspondente. Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será testado em relação à próxima instrução da lista. Esse processo de comparação continua até o término da lista. Uma instrução incluída no �nal abrange todos os pacotes para os quais as condições não se mostraram verdadeiras. Essa condição de teste �nal corresponde a todos os demais pacotes e resultados em uma instrução “negar”. Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução �nal costuma ser conhecida como negar qualquer instrução implicitamente ou negar todo o tráfego. Devido a essa instrução, uma ACL deve ter, pelo menos, uma instrução de permissão. Do contrário, a ACL bloqueia todo o tráfego. O esquema a seguir mostra a lógica de uma ACL de saída: Para que um pacote seja encaminhado a uma interface de saída (glossário), o roteador veri�ca a tabela de roteamento para saber se o pacote pode ser roteado. Se não puder, o pacote será ignorado. Em seguida, o roteador identi�ca se a interface de saída é agrupada em uma ACL. Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL por protocolo, direção e interface. , Para listas de saída:, , Permitir = enviar o pacote para o buffer de saída; Negar = descartar esse pacote. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d801… 9/24 TIPOS DE ACL Há dois tipos de ACL: Padrão ACL que permite a você �ltrar o tráfego a partir de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. Exemplo: Estendida 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 10/24 ACL que �ltra pacotes IP com base em vários atributos, como, por exemplo: Tipo de protocolo; Endereço IP de origem; Endereço IP de destino; Portas TCP e UDP de origem; Portas TCP e UDP de destino; Informações do tipo de protocolo opcionais para maior granularidade de controle. Exemplo: Observe que a ACL 10 (padrão) permite todo o tráfego da rede 192.168.30.0/24. Como “negar tudo” está implícito ao �nal, todo os demais tráfegos são bloqueados com essa ACL. Já a ACL 103 (estendida) permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). Con�gurando uma ACL As ACL’s são con�guradas no modo de con�guração global do roteador. Lembre-se: Uma ACL sempre tem um deny implícito ao �nal. Por exemplo, as duas ACL’s (101 e 102) na �gura a seguir têm o mesmo efeito: ACL 101 access-list 1 permit 192.168.10.0 ACL 102 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 11/24 access-list 1 permit 192.168.10.0 access-list 2 deny any A rede 192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não. LÓGICA DA ACL PADRÃO No esquema a seguir, os pacotes que chegam por Fa0/0 são veri�cados em relação aos seus endereços de origem: access-list 2 deny host 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Veja: Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de saída. Se não forem permitidos, os pacotes serão ignorados na interface de entrada. Con�gurando ACL’s padrão Para con�gurar ACL’s padrão numeradas em um roteador, você deve, primeiro, criar a ACL padrão e ativá-la em uma interface. O comando no modo de con�guração global access-list de�ne uma ACL padrão com um número no intervalo de 1 a 99. A sintaxe completa do comando ACL padrão é a seguinte: Router(con�g)#access-list access-list-number [deny | permit | remark] source [source-wildcard] [log] 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 12/24 Veja na tabela a seguir: Sintaxe do comando access-list da ACL padrão A sintaxe completa do comando da ACL padrão para �ltrar determinado host é a seguinte: Router(con�g)#access-list access-list-number [deny | permit] source [log] Por exemplo, para criar uma ACL numerada e designada 10, que permitisse a rede 192.168.10.0 /24, você digitaria: R1(con�g)#access-list 10 permit 192.168.10.0 0.0.0.255 A forma NO desse comando remove uma ACL padrão, como mostra a �gura a seguir: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 13/24 R1# show access-list Standard IP access list 10 10 permit 192.168.10.0 R1# R1# conf t Enter con�guration commands, one per line. End with CNTL/Z. R1 (con�g) # no access-list 10 R1 (con�g) # exit R1# *Oct 25 19:59:41.142: %SYS-5-CONFIG_I: Con�gured from console by console R1# show access-list R1# MASCARAMENTO CURINGA Entre as instruções ACL’s, estão as máscaras curinga (glossário). Embora sejam parecidas, as máscaras de sub-rede e as máscaras curinga têm uma lógica de funcionamento diferente. Ambas têm 32 bits e utilizam 1s e 0s binários. As máscaras de sub-rede o fazem para identi�car a rede, a sub-rede e a porção de host de um endereço IP. Já as máscaras curinga, para �ltrar endereços IP individuais ou grupos, e permitir ou negar acesso a recursos com base em um endereço IP. De�nindo máscaras curinga com cuidado, você pode permitir ou negar um ou vários endereços IP. Mas esses tipos de máscaras são diferentes quanto à forma com que comparam 1s e 0s binários. As máscaras curinga utilizam as seguintes regras para fazê-lo: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 14/24 O esquema a seguir explica como máscaras curinga diferentes �ltram endereços IP: Mascaramento curinga 0 signi�ca comparar o valor do bit de endereço correspondente. 1 signi�ca ignorar o valor do bit de endereço correspondente. , As máscaras curinga costumam ser conhecidas como inversas, porque,comparadas às máscaras de sub-rede, apresentam as seguintes características:, , 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 15/24 UTILIZANDO UMA MÁSCARA CURINGA A tabela a seguir mostra os resultados da aplicação de uma máscara curinga 0.0.255.255 a um endereço IP de 32 bits: Lembre-se de que um 0 binário indica um valor correspondente. Palavras-chave de máscara curinga Trabalhar com representações decimais de bits de máscara curinga binários pode ser entediante. Para simpli�car essa tarefa, as palavras-chave host (glossário) e any (glossário) ajudam a identi�car as utilizações mais comuns dessa máscara. Essas palavras-chave eliminam a entrada de máscaras curinga durante a identi�cação de um host especí�co ou de uma rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou o destino dos critérios. Veja dois exemplos: Fonte da Imagem: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 16/24 192.168.10.10 0.0.0.0 corresponde a todos os bits de endereço; Abrevie esta máscara curinga utilizando o endereço IP precedido pela palavra-chave host (host 192.168.10.10). Este é um processo de máscara curinga com um único endereço IP. Em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host 192.168.10.10, conforme a seguir: R1 (con�g) #access-list 1 permit 192.168.10.10 0.0.0.0 R1 (con�g) #access-list 1 permit host Fonte da Imagem: 0.0.0.0 255.255.255.255 ignora todos os bits de endereço; Abrevie expressão com a palavra-chave any. Este é um processo de máscara curinga com a correspondência de qualquer endereço IP. Em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-chave any sozinha, conforme a seguir: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 17/24 R1 (con�g) #access-list 1 permit 0.0.0.0 255.255.255.255 R1 (con�g) #access-list 1 permit any Depois de ser con�gurada, a ACL padrão é vinculada a uma interface a partir do comando IP access-group: Router(con�g-if)#ip access-group {access-list-number | access-list-name} {in | out} Para remover uma ACL de uma interface, primeiro, digite o comando no IP access-group e, em seguida, o comando global no access-list para sua total remoção. TESTANDO PACOTES COM ACL’S ESTENDIDAS Para obter um controle de �ltragem de tráfego mais preciso, você pode utilizar ACL’s estendidas, numeradas de 100 a 199. Assim como as ACL’s padrão, as estendidas veri�cam os endereços do pacote de origem, mas também analisam o endereço de destino, os protocolos e os números de porta (ou de serviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir tráfego de e-mail simultaneamente de uma rede para um destino especí�co, enquanto nega transferências de arquivos e navegação na web. Testando portas e serviços A possibilidade de �ltrar com base no protocolo e no número da porta permite criar ACL’s estendidas muito especí�cas. Utilizando o número de porta apropriado, você pode especi�car um aplicativo, con�gurando esse número ou o nome de uma porta bem conhecida. A �gura a seguir mostra alguns exemplos de como um administrador especi�ca um número de porta TCP ou UDP, colocando-o no �nal da instrução da ACL estendida: access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 Operações lógicas podem ser utilizadas, tais como: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 18/24 As etapas procedurais para con�gurar as ACL’s estendidas são iguais àquelas referentes às ACL’s padrão: primeiro, você cria a ACL estendida e, só então, ativa-a em uma interface. No entanto, a sintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursos adicionais fornecidos por ACL’s estendidas. Observe a seguir a sintaxe dos comandos de ACL estendida: Con�gurando ACL’s estendidas access-list access-list-number {deny | permit | remark} protocol source [source-wildcard] [operator operand] [port port-number or name] destination [destination-wildcard][operator operand] [port port-number or name] [established] 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 19/24 No exemplo da imagem a seguir, o administrador de rede precisa restringir o acesso à internet para permitir apenas a navegação no site. Vejamos: Con�gurando ACL’s estendidas R1 (con�g) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80 R1 (con�g) #access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1 (con�g) #access-list 104 permit tcp any 192.168.10.0 0.0.0.255 established A ACL 103 permite solicitações para as portas 80 e 443. A ACL 104 permite HTTP estabelecido e respostas HTTPS. A ACL 103 se aplica ao tráfego que deixa a rede 192.168.10.0, e a ACL 104, ao tráfego que chega à rede. A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente de qualquer endereço na rede 192.168.10.0 ir a qualquer destino, estando sujeito à limitação de chegar apenas às portas 80 (HTTP) e 443 (HTTPS). A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede quer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança deve negar qualquer outro tráfego que chega à rede. A ACL 104 faz isso por meio do bloqueio de todo o tráfego de entrada, EXCETO pelas conexões estabelecidas. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 20/24 HTTP estabelece conexões que começam pela solicitação original e passam pela troca de mensagens ACK, FIN e SYN. Observe que o exemplo anterior utiliza o parâmetro established, que permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver os bits ACK ou de rede�nição (RST) de�nidos, o que indica que o pacote pertence a uma conexão existente. Com o parâmetro established, o roteador permitirá apenas ao tráfego estabelecido voltar e bloquear todos os demais tráfegos. APLICAR ACL ÀS INTERFACES Quando vamos aplicar uma ACL a uma interface devemos atentar se o tráfego que você deseja �ltrar está entrando ou saindo. A tentativa de acessar sites na Internet é tráfego saindo. Receber e-mails na Internet é tráfego entrando na empresa. No entanto, durante a consideração de como aplicar uma ACL a uma interface, entrar e sair ganham signi�cados diferentes, dependendo do ponto de vista. No exemplo da imagem a seguir, R1 tem duas interfaces. Observe: R1 (con�g) #interface S0/0/0 R1 (con�g) #ip access-group 103 out R1 (con�g) #ip access-group 104 in Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface serial em ambas as direções. 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 21/24 Já na próxima imagem, temos um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o tráfego restante. Observe autilização de máscaras curinga: R1 (con�g) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21 R1 (con�g) #access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20 R1 (con�g) #access-list 101 permit ip any any R1 (con�g) #interface Fa0/1 R1 (con�g) #ip access-group 101 in Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa especi�car ambas eq 20 e eq 21 para negar FTP. Com ACL’s estendidas, você pode escolher utilizar números de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. As ACL’s mostradas abaixo são equivalentes: Utilizando números da porta access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20 Utilizando palavras-chave 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 22/24 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data ATIVIDADE Para �nalizar esta aula, vamos fazer uma nova atividade utilizando o Packet Tracer (PKT). Conheça, então, o passo a passo para con�gurar uma Rede com VLAN trunk (glossário). (Atividade elaborada pelo professor Jose Silvério) Resposta Correta EXERCÍCIOS 1. Para especi�car todos os hosts em uma rede IP 192.168.10.0/25, que máscara curinga (wildcard) deve ser usada? 0.0.0.127 0.0.0.128 0.0.0.192 0.0.0.255 255.255.255.128 Justi�cativa 2. O administrador de rede está escrevendo uma ACL com o objetivo de bloquear o tráfego IP originado de um host com o IP 10.1.1.10 para qualquer outro host. Nesse caso, que comando pode ser utilizado? Access list 4 deny any Access list 3 permit any Access list 2 deny 10.1.1.10 0.0.0.0 Access list 5 deny 10.1.1.10 0.0.0.255 Access list 1 deny 10.1.1.10 255.255.255.255 Justi�cativa 3. Os seguintes comandos foram emitidos em um roteador: Router(con�g)# access list 2 permit any Router(con�g)# access list 2 deny host 172.16.5.24 Com base nesses comandos, podemos a�rmar que: 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 23/24 Esta é uma ACL estendida. Todos os hosts terão acesso permitido na rede. Todos os hosts terão acesso negado na rede. Qualquer host da rede 172.16.5.0 terá acesso negado. Somente o host com o IP 172.16.5.24 terá acesso negado na rede. Justi�cativa Glossário INTERFACE DE SAÍDA Vejamos alguns exemplos de operação de ACL de saída: Se a interface de saída não for agrupada em uma ACL de saída, o pacote será enviado diretamente para aquela interface. Se a interface de saída for agrupada em uma ACL de saída, o pacote não será enviado por aquela interface até ser testado pela combinação de instruções ACL associadas a ela. Com base nos testes ACL, o pacote é permitido ou negado. MÁSCARAS CURINGA Strings de dígitos binários que informam ao roteador as partes do número da sub-rede que devem ser observadas. HOST 01/12/2018 Disciplina Portal http://portaldoaluno.webaula.com.br/Classroom/index.html?id=2928744&classId=719366&topicId=0&p0=03c7c0ace395d80… 24/24 Opção que substitui a máscara 0.0.0.0. Essa máscara informa que todos os bits de endereço IP devem corresponder, ou apenas um host é correspondente. ANY Opção que substitui o endereço IP e a máscara 255.255.255.255. Essa máscara indica ignorar todo o endereço IP ou aceitar qualquer endereço.