Pular para o conteúdo

ACLs: Entendendo de vez os parametros IN e OUT

4 04UTC junho 04UTC 2010
tags: , , , , , , ,

Sinceramente, chega de conversa. Aprender ACL sem ter dificuldade em entender como funcionam os parametros in e out do comando ‘ip access-group’ do modo de interface é privilegio de poucos. Tive as minhas dificuldades.

Afinal o que significam os parametros in e out? Naturalmente significam entrada e saida. Então porque a dificuldade em usa-lo? O problema reside na direcção a aplicar. Repare a seguinte figura:

O problema nos diz que devemos evitar que o tráfego proveniente da rede 192.168.1.0 alcance a rede 192.168.4.0. Todas as outras redes podem ser alcançadas.

A teoria das acls nos diz que acls padrão devem ser colocadas mais ‘proximas do destino do tráfego’. A nossa acl é a seguinte (ver fig. acima):

access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any

Naturalmente esta acl por ser padrão irá ser colocada no router da rede 192.168.4.0.

A pergunta que se coloca é a seguinte: Em que direcção? in ou out? Poderiamos cair na tentacção de considerar como in na interface serial, já que o tráfego entrante indesejavel vem de 192.168.1.0 por aquele caminho. Mas não é assim, porque devemos levar em conta que acls padrão devem ser posicionadas mais proximas do destino e como o destino mais proximo a rede 192.168.4.0 é a interface fa0/0 então ela deve ali ser colocada. Mas em que direcção? Note que deve ser colocada na direcção out porque a posição de fa0/0 nos indica que o tráfego ali passante ‘atravessou’ o roteador de um extremo de entrada (interface serial) até o outro de saida (fa0/0).

E se fosse uma acl estendida? Aonde ela seria aplicada?
A seguinte acl seria produzida:

access-list 109 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any

Novamente recorremos a definição que nos diz que acls estendidas devem ser posicionadas mais proximas a ‘origem do tráfego’. E aonde está mais proxima a origem dos dados? Na interface fa0/0 do roteador da rede 192.168.1.0. E em que direcção deva ser colocada? Logico que na direcção in do roteador porque a mesma nao necessita de ‘atravessar’ o roteador para ser tratada.

É apenas uma questão de se ‘jogar’ com a definição de lista padrão e estendida e entender que uma direcção out na maior parte das vezes indica tráfego ‘atravessante’ no roteador e in indica tráfego a entrar ao roteador.

from → artigos, CCNA, Redes
Um Comentário leave one →
  1. darllan costa Link Permanente
    16 16UTC agosto 16UTC 2010 21:03

    VLW, muito esclarecedor, ia tirar nota baixa no trabalho de redes.

    Responder

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Sair / Alterar )

Imagem do Twitter

You are commenting using your Twitter account. Sair / Alterar )

Foto do Facebook

You are commenting using your Facebook account. Sair / Alterar )

Cancelar

Connecting to %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Join 61 other followers