Konfigurasi Access List Extended Pada Cisco

Setelah sebelumnya kita membahas cara konfigurasi Access List Standard pada cisco, maka kali ini kita akan melanjutkan pembahasan perihal konfigurasi Access List Extended. Kita akan memakai dua skenario, dimana pada skenario pertama memakai satu buah router, dan pada skenario kedua memakai dua buah router.

Terdapat dua langkah yang perlu dilakukan untuk mengkonfigurasi access list yakni :

1. Mendefinisikan ACL beserta aturan-aturannya
2. Meletakkan ACL pada interface router

Dan sebagai pengingat, kita bisa mendefinisikan access list dengan dua cara, yakni numbered ACL (menggunakan nomor ACL) dan named ACL (menggunakan nama untuk ACL-nya).

Artikel Pilihan :

• Tips Mengamankan Jaringan Mikrotik !
• Cara Memblokir Website Menggunakan Mikrotik !
• E-book Belajar Mikrotik RouterOS !

Sebelum masuk ke langkah-langkah konfigurasi, kita akan membahas sedikit perihal Extended Access List.

Sesuai dengan namanya, Extended ACL, tentunya kemampuan dari access list ini lebih dari access list standard. Extended access list mencocokan paket dengan melihat asal trafik dan tujuannya. Tidak ibarat pada standard access list, dimana hanya melihat dari asal trafik. 

Selain itu, access list extended juga bisa melaksanakan filterisasi trafik menurut protokolnya, contohnya hanya trafik protokol icmp saja yang ingin di-drop. Atau contohnya mengijinkan trafik http untuk beberapa host saja.

Sebagai gambaran, berikut yakni perintah konfiguras access list extended :

access-list [nomor] [action] [protocol] [source] [destination] [extended_parameter]

Saya jelaskan sedikit maksud dari parameter-parameter di atas biar akwan-kawan tidak bingung.

Parameter [nomor] pada numbered ACL mendefinisikan tipe access list terebut. Extended acces list memakai penomoran 100-199.

Parameter [action] yakni tindakan dari access list apabila ditemukan kecocokan antara kondisi paket  dengan rule acl. Terdapat tiga action yakni deny, permit, dan remark.

Parameter [source] merupakan definisi asal paket. Apakah paket yang ingin difilter yakni paket yang berasal dari sebuah host atau suatu network. Untuk klarifikasi mengenai opsi-opsi di dalam parameter ini bisa kalian lihat pada postingan sebelumnya perihal konfigurasi access list standard.

Berikutnya, parameter [destination], yakni definisi tujuan paket. Inilah salah satu perbedaan dengan standard ACL, dimana kita harus mendefinisikan tujuan paketnya. Untuk opsi-opsi yang ada di dalam parameter tersebut kurang lebih sama dengan opsi-opsi pada parameter [source].

Kemudian ada parameter yang saya tuliskan sebagai [extended_parameter]. Parameter ini bergantung dari protokol yang kita pilih. Misalnya kalau kita akan memfilter protokol tcp, maka pada parameter ini kita sanggup memilih nomor port atau layanan yang ingin di filter, misal http (www/80), ftp (21), atau dns (53).

Baiklah, selanjutnya kita akan masuk ke langkah-langkah konfigurasi access list.

Skenario 1

Sebuah topologi terdiri dari 3 client dan 2 server dihubungkan oleh satu buah router. Client memakai network 192.168.1.0 dan subnetmask 255.255.255.0, sedangkan server memakai network 172.31.40.0 dan subnetmask 255.255.255.0.

Sebuah hukum gres diterapkan, yakni Layanan HTTP pada Server WWW hanya boleh diakses oleh PC2 dan PC3. Sementara Layanan FTP pada Server FTP hanya boleh diakses oleh PC1 dan PC3.  Trafik yang lainnya diijinkan dan seluruh client juga tetap bisa melaksanakan ping ke server.

Untuk topologinya yakni sebagai berikut :

Dari pernyataan di atas sanggup diperoleh kesimpulan ibarat berikut :

• PC1 tidak bisa mengakses layanan HTTP pada Server WWW
• PC2 tidak bisa mengakses layanan FTP pada Server FTP
• Selain trafik yang difilter di atas, trafik yang lain tetap diijinkan

Dengan menciptakan list ibarat ini tentunya akan semakin memperjelas rule apa saja yang harus dibuat. Selanjutnya yakni langkah-langkah konfigurasinya.

Konfigurasi ACL

Ada 2 metode yang bisa digunakan, pertama yakni drop some, accept all. Yang kedua yakni accept some, drop all. Pada skenario ini kita akan memakai drop some, accept all. Maksudnya yakni kita hanya akan memblokir trafik-trafik yang tidak diijinkan, kemudian mengijinkan trafik yang lainnya.

Pertama kita buat rule untuk memblokir jalan masuk dari PC1 ke Server WWW (HTTP) :

access-list 100 deny tcp host 192.168.1.1 host 172.31.40.1 eq www

Keterangan :

Pada bab protokol memakai tcp, alasannya tcp merupakan protokol yang membawa paket http request dari client menuju server.

eq merupakan perintah untuk mencocokan paket dengan nomor port atau layanan yang didefinisikan pada rule access list. Pada rule ini kita mendefinisikan layanan www yang akan diblok. Apabila ingin memakai nomor port, maka www bisa diganti dengan 80.

Kemudian kita buat rule kedua yakni memblokir jalan masuk PC2 ke Server FTP :

access-list 100 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp

Parameter ftp bisa diganti dengan nomor port ftp yakni 21.

Terakhir yakni mengijinkan trafik yang lainnya (termasuk trafik ping dan trafik dari PC3 ke kedua server) :

access-list 100 permit ip any any

Keterangan :

Protokol yang dipakai yakni ip alasannya protokol ini sudah meliputi protokol-protokol yang lain ibarat tcp, udp, dan icmp (termasuk trafik tcp dari PC3).

Kalian juga sanggup memakai nomor access list selain 100. ACL extended sanggup memakai nomor dari 100 hingga dengan 199.

Setelah menciptakan rule ACL, kita bisa melihat list-nya dengan perintah do show access-list

10 deny tcp host 192.168.1.1 host 172.31.40.1 eq www 20 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp 30 permit ip any any 

Langkah selanjutnya yakni meletakkan ACL pada interface router. Mengacu pada konsep extended ACL bahwa access list ditempatkan pada interface router yang paling erat dengan source packet, maka ACL akan diletakkan di interface Gigabit0/1.

interface g0/1 ip access-group 100 in 

parameter yang dipakai yakni in, alasannya trafik yang terjadi pada interface tersebut yakni trafik inbound (dari PC masuk ke interface router).

Apabila masih galau untuk perbedaan antara in dan out, kau bisa baca penjelasan perihal access list.

Berikut yakni step by step konfigurasi ACL untuk skenario ini :

R1(config)# access-list 100 deny tcp host 192.168.1.1 host 172.31.40.1 eq www R1(config)# access-list 100 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp R1(config)# access-list 100 permit ip any any R1(config)#int g0/1 R1(config-if)#ip access-group 100 in 

Konfigurasi Named ACL

Konfigurasi di atas merupakan konfigurasi access list memakai nomor ACL. Apabila ingin memakai nama ACL maka konfigurasinya kurang lebi ibarat berikut :

R1(config)#ip access-list extended SKENARIO_1 R1(config-ext-nacl)# deny tcp host 192.168.1.1 host 172.31.40.1 eq www R1(config-ext-nacl)# deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp R1(config-ext-nacl)# permit ip any any R1(config-ext-nacl)# exit R1(config)#int g0/1 R1(config-if)#ip access-group SKENARIO_1 in 

Tidak banyak perbedaan selain penggunaan nama untuk mendefinisikan ACL. Kalian bisa memakai nama yang lain.

Pengujian

Dari PC1, kita coba untuk mengakses layanan web yang ada pada Server WWW. Apabila di Cisco Packet Tracer, caranya yakni masuk ke sajian Desktop pada PC1 kemudian pilih Web Browser.

Ketikkan ip dari web server pada kolom url, maka akan muncul tampilan Request Timeout

Cobalah untuk mengakses web dari PC2 atau PC3, seharusnya akan muncul tampilan ibarat ini :

Kemudian Pada PC2, kita coba untuk mengakses ftp melalui command prompt. Gunakan perintah ftp [ip address server FTP]. Maka tampilannya akan gagal ibarat ini :

Cobalah untuk mengakses dari PC1 atau PC3, maka seharusnya akan berhasil. Kamu akan diminta username dan password untuk login. Gunakan username cisco dan password cisco.

Untuk keluar dari ftp, gunakan perintah quit.

Terkahir, cobalah untuk melaksanakan ping dari ketiga PC menuju server. Apabila konfigurasi yang dilakukan sudah benar, maka ping akan sukses dengan menghasilkan reply dari server.

Skenario 2

Pada skenario yang kedua ini, jaringan akan memakai dua buah router dan terdiri dari dua network client dan satu network server. 

Dari topologi di atas, dibentuk hukum sebagai berikut :

• Layanan Web pada Server Web hanya bisa diakses oleh PC2, PC3, dan PC4
• Layanan FTP pada Server FTP hanya bisa diakses oleh PC1 dan PC4
• PC4 hanya bisa mengakses layanan website dan FTP memakai ip address
• PC yang lain yang mempunyai hak jalan masuk layanan web atau FTP sanggup mengaksesnya memakai ip address maupun domain
• Trafik yang lainnya tetap diijinkan
• Network 192.168.1.0/24 memakai Access List 100 
• Network 192.168.2.0/24 memakai Access List 101 

Konfigurasi Skenario 2

Pada skenario ini, saya tidak membahas perihal langkah-langkah konfigurasinya. Saya yakin kalau kawan-kawan sudah mempunyai pemahaman untuk melaksanakan konfigurasi tersebut.

Oleh alasannya itu, biar kawan-kawan semakin semangat untuk mengkonfigurasinya, berikut saya sediakan file lab Packet Tracer untuk skenario ini. Kalian sanggup menguji kemampuan kalian dalam mengkonfigurasi access list extended.

Silahkan kalau ingin mengunduh file lab di atas :

• DOWNLOAD

Di dalam file tersebut sudah ada isu mengenai detail ip address yang dipakai serta kiprah yang harus kalian lakukan. Kalian cukup mengonfigurasi ACL extended tanpa perlu mengkonfigurasi yang lain. 

Apabila mengalami kesulitan dalam mengerjakannya silahkan tinggalkan komentar pada postingan ini :) Selamat mengkonfigurasi!

Sumber https://dhantama.blogspot.com/

Berbagi :