Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Topologia
Tabela de Endereçamento
Objetivos
Parte 1: Definir configurações básicas do dispositivo
Parte 2: Configurar e aplicar a lista de controle de acesso em R1
Parte 3: Verificar a lista de controle de acesso por meio de Telnet
Parte 4: Desafio - Configurar e aplicar a lista de controle de acesso no S1
Histórico/cenário
É boa prática restringir o acesso às interfaces de gerenciamento de roteador, como console e linhas vty.
Uma lista de controle de acesso (ACL) pode ser usada para permitir o acesso a endereços IP específicos,
garantindo que somente os computadores de administradores tenham permissão para executar uma sessão
telnet ou SSH no roteador.
Observação: nas saídas dos dispositivos Cisco, a ACL é abreviada como access-list.
Neste laboratório, você criará e aplicará uma ACL padrão nomeada para restringir o acesso remoto às linhas
vty do roteador.
Depois de criar e aplicar a ACL, você a testará e verificará, acessando o roteador a partir de diferentes
endereços IP por meio de telnet.
Este laboratório oferecerá os comandos necessários para criar e aplicar a ACL.
Observação: os roteadores usados nos laboratórios práticos CCNA são Roteadores de Serviços Integrados
(ISRs) 1941 com software IOS Cisco versão 15.2(4) M3 (imagem universalk9). Os switches usados são
Cisco Catalyst 2960s com IOS Cisco versão 15.0(2) (imagem lanbasek9). Outros roteadores, switches e
versões do IOS Cisco podem ser usados. Dependendo do modelo e da versão do IOS Cisco, os comandos
disponíveis e a saída produzida podem diferir dos mostrados nos laboratórios. Consulte a Tabela Resumo
das Interfaces dos Roteadores no final do laboratório para obter os identificadores de interface corretos.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 1 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
Observação: certifique-se de que os roteadores e switches tenham sido apagados e que não haja nenhuma
configuração de inicialização. Se estiver em dúvida, entre em contato com o instrutor.
Recursos necessários
• 1 roteador (Cisco 1941 com software IOS Cisco versão 15.2(4)M3, imagem universal ou semelhante)
• 1 switch (Cisco 2960 com IOS Cisco versão 15.0(2), imagem lanbasek9 ou semelhante)
• 2 PCs (Windows 7, Vista ou XP com um programa de emulação de terminal, como o Tera Term)
• Cabos de console para configurar os dispositivos IOS Cisco através das portas de console
• Cabos Ethernet conforme mostrado na topologia
Observação: as interfaces Gigabit Ethernet dos roteadores Cisco 1941 têm detecção automática, e é
possível usar um cabo Ethernet straight-through entre o roteador e o PC-B. Se estiver usando outro modelo
de roteador da Cisco, talvez seja necessário usar um cabo cruzado para Ethernet.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 2 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
R1(config)# ip access-list ?
extended Extended Access List
helper Access List acts on helper-address
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
c. No modo de configuração global, exiba as opções de comando em ip access-list standard, usando um
espaço e um ponto de interrogação.
R1(config)# ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
d. Adicione ADMIN-MGT ao final do comando ip access-list standard e pressione Enter. Agora você está
no modo de configuração de lista de acesso nomeada padrão (config-std-nacl).
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)#
e. Insira sua entrada de controle de acesso (ACE) de permissão ou negação de ACL, também conhecida
como uma instrução da ACL, uma linha por vez. Lembre-se de que existe uma instrução deny any
implícita no final da ACL, que nega efetivamente todo o tráfego. Digite um ponto de interrogação para ver
as opções do comando.
R1(config-std-nacl)# ?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
f. Crie uma ACE de permissão para o administrador do PC-A em 192.168.1.3, e uma ACE de permissão
adicional para autorizar outros endereços IP administrativos reservados de 192.168.1.4 até 192.168.1.7.
Observe como a primeira ACE de permissão indica um único host, usando a palavra-chave host. A
permit 192.168.1.3 0.0.0.0 da ACE poderia ter sido utilizada em vez da palavra-chave. A segunda ACE
de permissão aceita hosts de 192.168.1.4 a 192.168.1.7, usando o curinga 0.0.0.3, o qual é o inverso de
uma máscara de sub-rede 255.255.255.252.
R1(config-std-nacl)# permit host 192.168.1.3
R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3
R1(config-std-nacl)# exit
Você não precisa inserir uma ACE de negação porque há uma ACE deny any implícita no final da ACL.
g. Agora que a ACL nomeada foi criada, aplique-a às linhas vty.
R1(config)# line vty 0 4
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 3 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
Password:
R1>enable
Password:
R1#
A conexão Telnet teve êxito? ____________________________________________________
c. Digite exit no prompt de comando e pressione Enter para sair da sessão Telnet.
d. Altere o endereço IP para testar se a ACL nomeada bloqueia endereços IP não permitidos. Altere o
endereço IPv4 para 192.168.1.100 no PC-A
e. Tente fazer novamente a conexão telnet no R1 em 192.168.1.1. A sessão Telnet teve êxito?
____________________________________________________________________________________
Qual mensagem foi recebida?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 4 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
f. Altere o endereço IP no PC-A para testar se a ACL nomeada permite que um host com um endereço IP
no intervalo de 192.168.1.4 a 192.168.1.7 faça a conexão telnet no roteador. Após alterar o endereço IP
no PC-A, abra um prompt de comando no Windows e tente fazer a conexão telnet no roteador R1.
A sessão Telnet teve êxito?
____________________________________________________________________________________
____________________________________________________________________________________
g. No modo EXEC privilegiado em R1, digite o comando show ip access-lists e pressione Enter. Na saída
do comando, observe como o CISCO IOS atribui automaticamente os números de linha às ACEs da ACL
em incrementos de 10 e mostra o número de vezes que cada ACE de permissão foi combinada com
sucesso (entre parênteses).
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
Devido ao fato de as duas conexões telnet terem sido estabelecidas com sucesso e de cada sessão
telnet ter sido iniciada em um endereço IP que corresponde a uma das ACEs de permissão, existem
correspondências para cada ACE de permissão.
Na sua opinião, por que há duas correspondências para cada ACE de permissão quando apenas uma
conexão de cada endereço IP foi iniciada?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Como você determina o ponto em que o protocolo telnet causa essas correspondências durante a
conexão telnet?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. Em R1, entre no modo configuração global.
i. Entre no modo de configuração access-list da lista de acesso nomeada ADMIN-GER e adicione uma
ACE deny any ao final da lista de acesso.
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
Observação: como há uma ACE deny any implícita no final de todas as ACLs, é desnecessário
adicionar uma ACE deny any explícita, no entanto, ela pode ser útil ao administrador de rede pois
permite que ele se registre ou simplesmente saiba quantas vezes deny any obteve uma
correspondência.
j. Tente fazer telnet do PC-B para R1. Isso cria uma correspondência com a ACE deny any na lista de
acesso nomeada ADMIN-GER.
k. No modo EXEC privilegiado, digite o comando show ip access-lists e pressione Enter. Você deve ver
várias correspondências com a ACE deny any.
R1# show ip access-lists
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 5 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
Reflexão
1. Conforme evidenciado pelo acesso vty remoto, as ACLs são filtros de conteúdo eficientes que podem ser
aplicados não apenas a interfaces de entrada e saída de redes, mas a muitas outras situações. Quais as
outras formas de aplicação das ACLs?
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Uma ACL aplicada a uma interface vty de gerenciamento remoto melhora a segurança da conexão Telnet?
Ela torna o telnet uma ferramenta de gerenciamento de acesso remoto mais viável?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
3. Por que faz mais sentido aplicar uma ACL às linhas vty, em vez de às interfaces específicas?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 6 de 7
Laboratório - Configuração e Verificação das Restrições de VTY
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Observação: para descobrir como o roteador está configurado, analise as interfaces para identificar o tipo de
roteador e quantas interfaces ele possui. Não há como listar com eficácia todas as combinações de configuração
de cada classe de roteador. Esta tabela inclui identificadores para as possíveis combinações de interfaces
seriais e de Ethernet no dispositivo. A tabela não inclui nenhum outro tipo de interface, embora um roteador
específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A sequência entre
parênteses é a abreviatura legal que pode ser usada nos comandos do IOS Cisco para representar a interface.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados Este documento contém informações públicas da Cisco. Página 7 de 7