Konfigurasi Access List Standard Pada Cisco

Setelah sebelumnya kita telah membahas perihal pengertian Access List pada Cisco, maka pada kesempatan kali ini kita akan berguru melaksanakan konfigurasi access list. Masih ingatkan ada berapa macam ACL ? Betul, ada 2 yakni access list standard dan access list extended. Untuk kali ini kita akan berguru konfigurasi ACL standard saja.

Ada 2 skenario yang akan kita praktikan. Skenario pertama dengan memakai satu buah router. Lalu skenario yang kedua akan memakai dua buah router.

Terdapat dua langkah dasar yang dilakukan untuk mengkonfigurasi access list yaitu :

1. Membuat / mendefinisikan access list (ACL standard)
2. Meletakkan access list pada interface router

Kemudian pada ketika mendefinisikan access list, terdapat dua pilihan. Yakni memakai penomoran ACL atau memakai sistem nama (named ACL). 

Agar tidak tanggung maka nanti kita akan memakai kedua cara tersebut.

Baca Juga :

• Konfigurasi routing statik pada Switch Layer3 Cisco !
• Konfigurasi VLAN memakai Switch Layer3 !

Sebelum praktik mengkonfigurasi access list, akan saya jelaskan sedikit perintah konfigurasi ACL. Secara umum, perintah untuk konfigurasi ACL standard ialah :

access-list [nomor] [action] [source_traffic]

Parameter [nomor] diisi dengan nomor access list yang akan digunakan. Access list standard memakai penomoran antara 1-99.

Berikutnya ialah paremeter [action]. Terdapat 3 opsi pada parameter ini, yakni : deny, permit, dan remark. Akan tetapi yang biasanya dipakai ialah deny (untuk menolak paket) dan permit (untuk meneruskan paket).

Kemudian pada parameter [source_traffic] terdapat beberapa opsi :

Saya coba jelaskan sedikit ya,

A.B.C.D itu maksudnya ialah ip address. IP address disini sanggup berupa ip unicast (yang ada pada host), network address, atau range ip address (kumpulan dari beberapa ip address host).

Opsi ini biasanya dipakai bila kita ingin memfilter trafik dari suatu network atau dari beberapa host. Sintaks lengkap perintahnya bila kita memakai opsi ini ialah :

access-list [nomor] [action] A.B.C.D [wildcard_bits]

Wildcard bits ini ialah angka-angka ibarat subnetmask yang dipakai untuk mencocokan banyaknya host yang akan difilter oleh ACL.

sumber : c128.com

Selanjutnya ialah opsi any. Any artinya "Any source host", yakni seluruh host pada jaringan. Jika kita memakai opsi ini, misal untuk melaksanakan blok traffik yang sumbernya ialah any, maka seluruh host yang ada di luar jaringan kita tidak sanggup mengakses atau berkomunikasi dengan host pada jaringan kita. Sintaks perintahnya ialah :

access-list [nomor] [action] any

Opsi yang terkahir ialah host. Opsi ini dipakai bila kita ingin memfilter trafik dari sebuah host (single host). Artinya hanya 1 host yang akan difilter. Sintaks perintahnya ialah sebagai berikut :

access-list [nomor] [action] host [ip_address]

Karena hanya satu host, maka parameter berikutnya yang harus diisi ialah ip address dari host tersebut. IP address ibarat ini disebut juga ip unicast.

Selanjutnya mari kita praktik konfigurasi access list standard.

Skenario 1

Sebuah topologi terdiri dari client dan server yang dihubungkan oleh sebuah router. Karena suatu hal, dibentuk sebuah hukum bahwa PC2 tidak diperbolehkan untuk mengakses server. Sedangkan PC1 dan PC3 diperbolehkan.

Berdasarkan pernyataan di atas, sanggup dibentuk kesimpulan ibarat berikut :

• PC2 tidak diperbolehkan mengakses server
• Selain PC2 (yakni PC1 dan PC3) diperbolehkan mengakses server

Konfigurasi Skenario 1

Pertama kita buat dahulu access list untuk mengeblok koneksi PC2 ke server :

access-list 1 deny host 192.168.1.8

Selanjutnya kita buat access list untuk mengijinkan trafik dari PC1 dan PC3 atau dengan kata lain trafik selain dari PC2. Mengapa kita perlu menciptakan rule tersebut ?

Karena pada access list terdapat rule default untuk memblok koneksi dari seluruh host. Rule ini tidak terlihat (implicit). Makara bekerjsama ketika kita tadi menciptakan rule untuk memblok koneksi dari PC2 tadi, di bawahnya otomatis akan ada rule implicit ibarat berikut :

access-list 1 deny any

Agar PC1 dan PC3 atau PC selain PC2 tetap sanggup berkomunikasi dengan server, maka kita perlu menciptakan rule yang mengijinkan trafik selain dari PC2. Berikut ialah rule-nya :

access-list 1 permit any

Langkah selanjutnya ialah menempatkan ACL pada interface router. Kita sanggup menempatkan ACL di kedua interface pada router. Akan tetapi bila kita mengacu pada salah satu konsep access list standard, dimana ACL diletakkan di interface yang paling bersahabat dengan destination packet, maka penempatan ACL kali ini akan diletakkan di interface Gigabit0/0 (silahkan lihat kembali gambar topologi di atas).

Masuk ke dalam interfece dengan perintah :

interface g0/0

Kemudian aktifkan access list dengan perintah :

ip access-group 1 out

Angka 1 ialah nomor access list yang kita definisikan tadi. Sementara parameter out digunakan sebab posisi trafik ketika melewati interface g0/0 ialah out (keluar dari router) atau sanggup disebut juga trafik outbound. 

Jika masih resah cara memilih in dan out silahkan lihat postingan sebelumnya yang telah membahas sedikit penjelesan perihal access list cisco.

Secara keseluruhan, konfigurasi ACL yang telah dibentuk ialah sebagai berikut :

Router(config)#access-list 1 deny host 192.168.1.8 Router(config)#access-list 1 permit any Router(config)#interface g0/0   #masuk ke interface Gigabit0/0 Router(config-if)#ip access-group 1 out 

Sekarang mari kita cek daftar ACL yang sudah kita buat dengan perintah do show access-list :

Standard IP access list 1 10 deny host 192.168.1.8 20 permit any  Router(config)# 

Pada urutan paling atas terdapat rule deny host 192.168.1.8. Lalu di bawahnya terdapat rule permit any. Ingat kembali bahwa access list bekerja membaca aturan-aturan dari urutan paling atas kemudian ke bawah.

Ketika terdapat trafik dari host 192.168.1.8 yang melewati interface gigabit0/0, maka trafik tersebut akan diperiksa. Karena kondisi trafik tersebut cocok dengan rule ACL yang sudah dibentuk (rule pertama), maka paket tersebut akan ditangani sesuai dengan perintah ACL yang kita berikan, yakni dibuang (karena deny).

Selanjutnya bagaimana bila terdapat trafik dari PC1 ? Tentu saja ketika trafik tersebut melewati interface gigabit0/0, trafik tersebut akan diperiksa oleh ACL. ACL mencocokan kondisi trafik dengan hukum yang pertama. Ternyata tidak cocok. Maka ACL melanjutkan ke hukum yang kedua.

Pada hukum kedua isinya ialah permit any. Karena perintahnya ialah permit, maka ACL akan mengijinkan trafik dari PC1 tadi untuk melewati router kemudian menuju ke server atau tujuan lainnya.

Inilah fungsi dari rule permit any. Apabila kita tadi tidak mendefinisikan hukum tersebut, maka ACL akan memakai default rule yang implicit tadi, yakni deny any. Hasilnya trafik akan dibuang dan tidak hingga ke tujuan.

Konfigurasi Skenario 1 (Named ACL)

Oke itu tadi ialah konfigurasi access list dengan memakai sistem penomoran. Cara lain untuk mendefinisikan access list ialah dengan memakai sistem penamaan (named ACL). Cara konfigurasinya tidak berbeda jauh.

Sebelum mengkonfigurasi named ACL, hapus dahulu access list yang sudah dibentuk tadi biar tidak bentrok :

no access-list 1

Selanjutnya kita buat nama untuk ACL-nya terlebih dahulu :

ip access-list standard ONLY_BLOCK_PC2

kemudian kita buat aturannya :

deny host 192.168.1.8 permit any 

Jika kalian cermati, ada sedikit perbedaan dalam format penulisan rule/aturan access-list. Pada numbered ACL, kita harus mengikut sertakan nomor ACL sebelum mendefinisikan aturannya.

Akan tetapi pada named ACL, kita sanggup eksklusif menciptakan aturannya tanpa perlu menuliskan nomor access list ataupun namanya lagi.

Selanjutnya ialah meletakkan ACL pada interface. Konfigurasinya sama dengan konfigurasi pada numbered ACL, hanya saja nomor ACL diganti menjadi nama ACL.

ip access-group ONLY_BLOCK_PC2 out

Pastikan namanya sudah sesuai dengan nama ACL yang sudah dibuat. Perhatikan juga kapitalisasi huruf-hurufnya sebab sifatnya case-sensitive. Beda satu abjad saja maka access list tidak akan bekerja.

Berikut ialah keseluruhan konfigurasi named ACL pada skenario 1 :

Router(config)#ip access-list standard ONLY_BLOCK_PC2 Router(config-std-nacl)#deny host 192.168.1.8 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface g0/0   #masuk ke interface Gigabit0/0 Router(config-if)#ip access-group ONLY_BLOCK_PC2 out 

Cek daftar ACL yang sudah dibentuk dengan perintah do show access-list :

Standard IP access list ONLY_BLOCK_PC2 10 deny host 192.168.1.8 (1 match(es)) 20 permit any (2 match(es))  Router(config)# 

Untuk melihat status access list pada interface router, gunakan perintah show ip interface :

Router(config)#do show ip interface GigabitEthernet0/0 is up, line protocol is up (connected) Internet address is 192.168.37.254/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is ONLY_BLOCK_PC2 Inbound access list is not set 

Skenario 2

Pada skenario ini akan ada pengembangan topologi dengan menambahkan satu buah router dan satu network gres bagi client. Jika sebelumnya hanya terdapat satu buah jaringan client dan satu buah router, maka pada skenario kali ini akan ada 2 jaringan client dan 2 unit router.

Kasus pada skenario ini ialah melaksanakan blok terhadap network selain 192.168.2.0/24 biar tidak sanggup mengakses server. Dengan kata lain, Server hanya boleh diakses oleh network 192.168.2.0/24 atau dalam skenario ini ialah PC-A, PC-B, dan PC-C. 

Konfigurasi Skenario 2

Konfigurasi access list dilakukan pada R2. Mengapa demikian ? Karena kita memakai konsep access list standard bahwa access list diletakkan pada interface yang paling bersahabat dengan destination packet. Interface paling bersahabat ialah interface yang ada pada R2.

Kita lanjutkan dengan menciptakan access list :

access-list 1 permit 192.168.2.0 0.0.0.255

Kita cukup menciptakan satu buah rule saja yakni mengijinkan network 192.168.2.0/24 untuk mengakses server. Kita tidak perlu menambahkan rule untuk memblok network 192.168.1.0/24 sebab secara default, ACL akan memblok semua koneksi yang tidak mempunyai kecocokan dengan rule ACL.

Selanjutnya ialah meletakkan access list pada interface router. Coba tebak, di interface mana kita akan meletakkan ACL ?

Jawabannya ialah di interface Gigabit0/0. Dan parameter yang dipakai ialah out.

int g0/0 ip access-group 1 out

Konfigurasi ACL secara keseluruhan :

R2(config)#access-list 1 permit 192.168.2.0 0.0.0.255 R2(config)#int g0/0 R2(config-if)#ip access-group 1 out 

Cek list konfigurasi ACL :

Standard IP access list 1 10 permit 192.168.2.0 0.0.0.255  Router(config)# 

Silahkan coba untuk melaksanakan ping ke server dari salah satu client pada network 192.168.1.0/24. Apabila tidak sanggup konek, maka kau telah berhasil mengkonfigurasi access list pada skenario ini. Tapi pastikan dulu kalau PC-A, PC-B, dan PC-C sanggup ping ke server.

Kamu juga sanggup menciptakan numbered ACL untuk skenario ini. Gunakan pengetahuan pada ketika konfigurasi named ACL pada skenario 1 . Selamat mengkonfigurasi !

Sumber https://dhantama.blogspot.com/

Berbagi :

Anda mungkin menyukai postingan ini :

• 
  Cara Bermain Last Day On Earth Di Pc Dengan Mudah
• 
  Cara Mengatasi File Vcom110.Dll Yang Hilang Dengan Cepat
• 
  Cara Back-Up Game Steam Dengan Cepat
• 
  Cara Menciptakan Akun Gmail Gres Dengan Mudah