3.11 - ACL pode fazer outra coisa que não filtrar o tráfego de rede?
Sim. Elas podem ser utilizadas para definir tráfego que está sujeito ao Network Address Translation (NAT) e o tráfego que será criptografado em uma configuração de VPN, entre outras utilidades.
Nesse processo, o tráfego que entra no roteador é comparado com as entradas nas ACLs na ordem em que elas foram escritas.
3.12 – Mais Exemplos de ACLs
Exemplo 1: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Exemplo 2: access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any
Além de definir a origem e o destino do tráfego, como nos exemplos acima, pode-se definir portas de origem e destino, tipos de mensagens ICMP e outros parâmetros que restringem mais ainda as entradas das listas de acesso que serão aplicadas nas interfaces dos roteadores.
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14
! permite todos os tipos de mensagens icmp
access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request
! permite apenas um tipo de mensagem icmp
access-list 10 permit host 10.10.10.1
! apenas o host 10.10.10.1 será liberado
access-list 10 deny any
! todo o tráfego restante será negado.
Router(config)# access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
! - nega o tráfego de ping
Router(config)# access-list 101 permit ip any 10.1.1.0 0.0.0.255
! - permite todo o tráfego ip
Router(config)# interface Ethernet0/1
Router(config-if)# ip address 172.16.1.2 255.255.255.0
Router(config-if)# ip access-group 101 in
Caso a palavra in ou out não for especificado, out fica aplicado como padrão.
Router(config)# ip access-list extended Saida
Router(config-ext-nacl)# permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
Router(config)# interface Ethernet0/0
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# ip access-group Saida in