Entrar
Últimos assuntos
» internet lentapor brooklin_sul Qui 11 Abr - 19:17
» Como pingar pelos dois links
por bruno9988 Ter 20 Fev - 19:12
» BFW em paralelo com Mikrotik
por antoniogiga Qui 18 Jan - 1:40
» NAT MIKROTIK
por squall1808 Seg 8 Jan - 18:07
» Aumenta Lucro do provedor com Servidor de FILME - Dica como montar um " Netflix"
por bruno9988 Ter 19 Dez - 17:59
» hotspot conexao lenta
por brooklin_sul Seg 18 Dez - 1:04
» Acessar Radio e roteadores pelo Mikrotik
por antoniogiga Ter 15 Nov - 16:49
» [Resolvido]Balanceamento usando o Net Virtua ( Netcombo)
por antoniogiga Ter 15 Nov - 8:02
» whatsapp lento
por antoniogiga Ter 15 Nov - 8:00
» to de volta qual quer duvida soh chamar
por antoniogiga Ter 15 Nov - 7:58
» Firmware ApRouter em Radio - Chipset rtl8186!
por antoniogiga Dom 17 Jul - 18:02
» QoS por mac-address (ou IP amarrado) quando tenho 01 mikrotik + 05 routers
por rdnetwork Sex 4 Fev - 7:58
» Microtik - OpenVPN não conecta com 2 links 2 internet balanceados
por vagneroliveira Qui 3 Fev - 6:44
» Software gerenciamento ZTE C320
por lancecom Qui 18 Mar - 11:27
» Software Gerenciamento ZTE C320
por lancecom Seg 15 Mar - 17:21
Tópicos semelhantes
Top dos mais postadores
claudinhohw Network | ||||
morais2707 | ||||
cristiano.micros | ||||
cdanielboy | ||||
Sixagencia Networks | ||||
ZBTECK | ||||
dsdigital | ||||
BBD NET | ||||
Gerônimo | ||||
Marcelo |
Estatísticas
Temos 31897 usuários registradosO último membro registrado é fhca78
Os nossos membros postaram um total de 38285 mensagens em 5803 assuntos
Cisco - Ausência de uma máscara curinga em uma ACL
Página 1 de 1
Cisco - Ausência de uma máscara curinga em uma ACL
Wildcard masks
Para definir quais sub-redes serão afetadas por uma determinada regra de ACL, você vai precisar usar a wildcard mask. Neste tipo de máscara 0 e 255 tem sentidos exatamente opostos à máscara de sub-rede que você já está acostumado (pelo menos espero que já esteja, hehehe).
Neste tipo de máscara, um bit 0 quer dizer que o octeto tem que “casar” exatamente e um bit 1 é ignorado (pode ser qualquer coisa). Ou seja, exatamente o contrário do que se faz quando se usa uma máscara de sub-rede normal. Porém, o valor dos bits continua o mesmo: da esquerda para a direita eles valerão 128, 64, 32, 16, 8, 4, 2, 1, respectivamente.
NOTA: Se você estiver configurando uma ACL em um ASA ou PIX, *não* use wildcard masks. Use a máscara normal.
Dois exemplos simples para você pegar o jeito:
Digamos que você precisa de uma wildcard mask que reconheça todos os IPs da rede 192.168.0.0/24. A máscara seria 0.0.0.255:
Para identificar um conjunto de subredes é a mesma coisa. Suponhamos que você quer que todas as redes entre 192.168.16.0/24 a 192.168.31.0/24 sejam afetadas por uma regra. A wildcard seria 0.0.15.255:
Se eu tiver uma entrada ACL padrão como este:
1 - access-list 98 deny 10.0.0.0
2 - access-list 98 permit any
e eu aplicá-la a uma interface. O que faz abordar esse bloco?
Alguém poderia pensar que deixando de fora a máscara curinga usaria o limite classful (/ 8 ou 0.255.255.255) de endereçamento ... mas seria errado. Na IOS se você deixar de fora a máscara curinga uma máscara de 0.0.0.0 é assumida. Isto significa que o endereço é considerado um endereço de host (um único endereço IP). Isto significa que a primeira linha é igual a:
1 - access-list 98 deny 10.0.0.0 0.0.0.0
ou
1 - access-list 98 deny host 10.0.0.0
Lembrando que pode ser testado com o Packet Tracer. O assunto de wildcard masks (Ausência de Mascara) é bem extenso e complexo, e exige um post só para ele. Por enquanto, vou ficar por aqui para não deixar o post muito longo. Se você precisa de mais ajuda entendendo este tipo de máscara, sugiro que faça uma pesquisa no Google por textos de apoio.
Para definir quais sub-redes serão afetadas por uma determinada regra de ACL, você vai precisar usar a wildcard mask. Neste tipo de máscara 0 e 255 tem sentidos exatamente opostos à máscara de sub-rede que você já está acostumado (pelo menos espero que já esteja, hehehe).
Neste tipo de máscara, um bit 0 quer dizer que o octeto tem que “casar” exatamente e um bit 1 é ignorado (pode ser qualquer coisa). Ou seja, exatamente o contrário do que se faz quando se usa uma máscara de sub-rede normal. Porém, o valor dos bits continua o mesmo: da esquerda para a direita eles valerão 128, 64, 32, 16, 8, 4, 2, 1, respectivamente.
NOTA: Se você estiver configurando uma ACL em um ASA ou PIX, *não* use wildcard masks. Use a máscara normal.
Dois exemplos simples para você pegar o jeito:
Digamos que você precisa de uma wildcard mask que reconheça todos os IPs da rede 192.168.0.0/24. A máscara seria 0.0.0.255:
- Os três primeiros 0s indicam que é obrigatório que 192.168.0 esteja presente no endereço IP do pacote sendo analisado.
- O .255 indica que naquele octeto qualquer número é válido.
Para identificar um conjunto de subredes é a mesma coisa. Suponhamos que você quer que todas as redes entre 192.168.16.0/24 a 192.168.31.0/24 sejam afetadas por uma regra. A wildcard seria 0.0.15.255:
- Os dois primeiros 0s indicam que é obrigatório que 192.168 esteja presente
- 15 é a soma dos bits para que as subredes desejadas casem com a regra
- 255 indica que o último octeto não importa e vai casar qualquer que seja o número lá.
Se eu tiver uma entrada ACL padrão como este:
1 - access-list 98 deny 10.0.0.0
2 - access-list 98 permit any
e eu aplicá-la a uma interface. O que faz abordar esse bloco?
Alguém poderia pensar que deixando de fora a máscara curinga usaria o limite classful (/ 8 ou 0.255.255.255) de endereçamento ... mas seria errado. Na IOS se você deixar de fora a máscara curinga uma máscara de 0.0.0.0 é assumida. Isto significa que o endereço é considerado um endereço de host (um único endereço IP). Isto significa que a primeira linha é igual a:
1 - access-list 98 deny 10.0.0.0 0.0.0.0
ou
1 - access-list 98 deny host 10.0.0.0
Lembrando que pode ser testado com o Packet Tracer. O assunto de wildcard masks (Ausência de Mascara) é bem extenso e complexo, e exige um post só para ele. Por enquanto, vou ficar por aqui para não deixar o post muito longo. Se você precisa de mais ajuda entendendo este tipo de máscara, sugiro que faça uma pesquisa no Google por textos de apoio.
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|