Ok.
Posting kali ini membahas mengenai ACL. Ini saya anggap masih mudah, namun
perlu logika yang tepat. Harus pintar-pintar berkhayal. :). ACL (Access Control
List) adalah firewall pada Router/switch
Cisco untuk mem-filter (men-deny atau meng-allow) packet yang masuk ataupun
keluar. Biasanya sih kita cukup menyebutnya "access list" saja.
Untuk mensimulasikan access list ini, kita ambil konfigurasi sebelumnya, yang menggunakan routing EIGRP, kemudian ditambahkan sebuah switch dan 2 buah komputer, di sisi Router R-JKT-44. Gambar networknya seperti di bawah ini.
Untuk mensimulasikan access list ini, kita ambil konfigurasi sebelumnya, yang menggunakan routing EIGRP, kemudian ditambahkan sebuah switch dan 2 buah komputer, di sisi Router R-JKT-44. Gambar networknya seperti di bawah ini.
- Pembacaan dan penerapan ACL, dimulai dari atas ke bawah. Baris ACL pertama dibaca terlebih dahulu, baru turun terus ke bawah. Packet masuk dicocokkan dengan baris ACL pertama. Jika tidak cocok, lanjut ke baris kedua. Jika tidak cocok lagi, lanjut ke baris berikutnya, dan seterusnya.
- Di baris terbawah ACL, ada baris “access-list deny any”. Baris ini tidak terlihat dan secara default tetap ada.
Ada 2 macam access list, yaitu
1. Standard Access List adalah access list yang bersifat sederhana
/ standar. Memfilter packet berdasarkan IP saja.
2. Extended Access List, yaitu access list yang lebih complex,
memfilter packet berdasarkan IP address, port, dsbnya. (ntar dipraktekkan akan terlihat perbedaanya.)
Kalau di packet tracer hanya ada 2
jenis access list yang bisa digunakan. Inilah salah satu kekurangan dari packet
tracer.
Router(config)#access-list
?
<1-99> IP standard access list
<100-199> IP extended access list
Kalau di GNS3, ada banyak. Ini yang
benar.
R1(config)#access-list
?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
Ada 2 langkah untuk membuat access
list.
1. Buat command ACL nya.
Contohnya.
R1(config)#access-list 12 deny host 192.168.1.1
R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 12 deny 192.168.0.0 0.0.255.255
…………
…………
R1(config)#access-list 12 permit any
R1(config)#access-list 12 permit any
2. Dengan menggunakan command access-group, access list yang sudah dibuat diterapkan/ditempatkan di sisi interface mana.
Contohnya.
R1(config)#interface
fa0/0
R1(config-if)#ip access-group 12 out
R1(config-if)#ip access-group 12 out
Atau
R1(config-if)#ip
access-group 12 in
Ingat tips ini…!!! Tetapkan tujuan
dari pembuatan access list terlebih dahulu, mana yang akan diblok dan mana yang
akan diijinkan (permit), agar lebih mudah dan fokus dalam pembuatan access list di
router/switch Cisco. Ok… Saatnya simulasi...
Simulasi 1.
PC441 dideny ke semua jaringan.
PC442 & PC443 diallow ke semua jaringan. Access list ini dikonfigurasi pada
router R-JKT-44
Buat access listnya dulu,
R-JKT-44#config
ter
R-JKT-44(config)#access-list
1 deny 10.4.4.1
R-JKT-44(config)#access-list
1 permit any
Dijalankan di interface fa1/0
(interface ke arah LAN)
R-JKT-44(config)#inter
fa1/0
R-JKT-44(config-if)#ip
access-group 1 in
R-JKT-44#
wr
Building
configuration...
[OK]
Atau bisa juga diterapkan/dijalankan
pada interface fa0/0, (interface WAN), maka
R-JKT-44(config)#inter
fa0/0
R-JKT-44(config-if)#ip
access-group 1 out
Untuk penempatan, cukup dipilih
salah satunya saja. Mau dijalankan pada interface fa0/0 atau interface fa1/0.
Pengetestan.
Untuk komputer users, dalam
simulasi ini, gunakan IP static, agar benar-benar terjamin, PC user tidak
berubah-ubah IP addressnya.
IP address PC441 : 10.4.4.1/24
IP address PC442 : 10.4.4.2/24
IP address PC443 : 10.4.4.3/24
Ingat kembali cara membaca hasil
perintah ping lewat terminal/command prompt.
Hasil ping : reply, artinya ok.
Hasil ping : request time out,
artinya kemungkinan besar tidak connect secara fisik. Atau connect tapi, kondisi
jaringan/network jelek, atau kondisi network full trafik.
Hasil ping : destination host
unreachable, artinya terblok oleh firewall.
Hasil ping dari PC441, bisa dilihat
pada gambar berikut ini :
Hasil ping dari PC442.
Jadi,
- Ping dari PC441 : destination host unreachable
- Ping dari PC442 : reply
- Begitu juga dengan PC443, yang tidak dimasukkan ke dalam access list, tentunya diping hasilnya akan reply…
Simulasi kedua.
Pada router R-SBY-33, access list
dimana hanya menerima segmen network 10.1.1.0/24 (PC11). Sedangkan segmen
network 10.2.2.0/24 (Laptop22) ditolak.
Note :
Delete terlebih dahulu access list
yang sebelumnya (ACL dari simulasi 1) jika masih ada, agar tidak mengganggu. Cara
mendelete access-list, seperti biasanya menggunakan command “no“ diikuti command
yang akan dibuang. Misalnya.
R-JKT-44(config)#no
access-list 1 deny host 10.4.4.1
Atau jika ingin menghilang kesemua
access list nomor 1.
R-JKT-44(config)#no
access-list 1
Selanjutnya, buat access list-nya,
R-SBY-33#config
ter
Enter
configuration commands, one per line.
End with CNTL/Z.
R-SBY-33(config)#access-list
9 deny 10.2.2.0 0.0.0.255
R-SBY-33(config)#access-list
9 permit 10.1.1.0 0.0.0.255
Access list yang sudah dibuat, dijalankan
pada interface WAN. Disini WAN nya ada 2, maka dijalankan pada kedua duanya. (sebenarnya sih.., bisa juga menjalankan ACL tersebut di
interface LAN, tapi disini sengaja milih WAN saja).
R-SBY-33(config)#inter
fa4/0
R-SBY-33(config-if)#ip
access-group 9 in
R-SBY-33(config)#inter
fa5/0
R-SBY-33(config-if)#ip
access-group 9 in
R-SBY-33#
wr
Building
configuration...
[OK]
Perhatikan baik-baik. Awal rencananya
hanya untuk menerima network 10.1.1.0/24. Dan menolak network 10.2.2.0/24. Dan mari
kita lihat hasilnya. Dari network 10.2.2.1
(Laptop 22), ping ke arah IP address 10.3.3.1, destination host unreacable.
Artinya di deny… ok berhasil… Lihat gambar di bawah ini.
Kemudian, lakukan test dari PC11, network
10.1.1.0/24. Karena ini diallow / di permit, seharusnya akan reply. Tapi faktanya,
hasilnya seperti di bawah ini.
Awalnya reply, namun beberapa saat
kemudian destination unreachable. Kemudian pada router R-SBY-33, ada pesan
error..
%DUAL-5-NBRCHANGE:
IP-EIGRP 5: Neighbor 172.16.2.2 (FastEthernet4/0) is down: holding time expired
%DUAL-5-NBRCHANGE:
IP-EIGRP 5: Neighbor 172.16.3.2 (FastEthernet5/0) is down: holding time
expired
Apa yang terjadi… ??
Lihat pada access list yang sudah
dibuat di atas. Ingat kembali ACL rules. Secara default ada baris ACL yang
tidak terlihat, yaitu access-list [no.acl] deny any. Akibatnya, semua packet
ikut terblok. Termasuk packet routing dalam hal ini routing EIGRP. Ingat tentang
routing EIGRP kan… Pada setiap router selalu mengirim packet hallo ke router
tetangganya. Karena packet hallo dan respon dari & ke router tetangga terblok,
maka router R-SBY-33 dianggap mati/down oleh router tetangganya. Akibatnya jalan/routing ke arah
network 10.3.3.0/24 tidak ada. Jadi
kesimpulannya berhati-hatilah dalam membuat access list. access-list [no.acl] deny
any, akan memblok semua packet yang lewat.
So, agar sesuai dengan harapan dan
tujuan awal kita, dimana access list menerima segmen network 10.1.1.0/24
(PC11). Sedangkan segmen network 10.2.2.0/24 (Laptop22) ditolak. Maka, access
listnya harusnya seperti di bawah ini…
R-SBY-33#config
ter
Enter
configuration commands, one per line.
End with CNTL/Z.
R-SBY-33(config)#access-list
9 deny 10.2.2.0 0.0.0.255
R-SBY-33(config)#access-list
9 permit 10.1.1.0 0.0.0.255
R-SBY-33(config)#access-list
9 permit any
Next…Konfigurasi Access Control List di Cisco (part 2)
Tujuan dari sebuah Access Control List apa gan?
ReplyDeletebanyak gan tapi fungsi utamanya: menentukan trafic jaringan yang ingin dikontrol seperti permit ( yang diijinkan) dan deny(yg tidak dijinkan) katakanlah sebuah desain jaringan terdapat 3 pc : pc 1 dengan ip 192.168.1.1 pc2 192.168.1.2 pc3 192.168.1.3 misalnya disini kita kontrol agar pc 1 tidak bisa mengakses server sedangkan pc yang lainnya bisa mengaksesnya.
ReplyDelete