Konfigurasi Access Control List di Cisco (part 1)

Ok.  Posting kali ini membahas mengenai ACL. Ini saya anggap masih mudah, namun perlu logika yang tepat. Harus pintar-pintar berkhayal. :). ACL (Access Control List) adalah  firewall pada Router/switch Cisco untuk mem-filter (men-deny atau meng-allow) packet yang masuk ataupun keluar. Biasanya sih kita cukup menyebutnya "access list" saja.
Untuk mensimulasikan access list ini, kita ambil konfigurasi sebelumnya, yang menggunakan routing EIGRP, kemudian ditambahkan sebuah switch dan 2 buah komputer, di sisi Router R-JKT-44. Gambar networknya seperti di bawah ini.

ACL Rules:

• Pembacaan dan penerapan ACL, dimulai dari atas ke bawah. Baris ACL pertama dibaca terlebih dahulu, baru turun terus ke bawah. Packet masuk dicocokkan dengan baris ACL pertama. Jika tidak cocok, lanjut ke baris kedua. Jika tidak cocok lagi, lanjut ke baris berikutnya, dan seterusnya.
• Di baris terbawah ACL, ada baris “access-list deny any”. Baris ini tidak terlihat dan secara default tetap ada.

Ada 2 macam access list, yaitu

1. Standard Access List adalah access list yang bersifat sederhana / standar. Memfilter packet berdasarkan IP saja.

2. Extended Access List, yaitu access list yang lebih complex, memfilter packet berdasarkan IP address, port, dsbnya. (ntar dipraktekkan akan terlihat perbedaanya.)

Kalau di packet tracer hanya ada 2 jenis access list yang bisa digunakan. Inilah salah satu kekurangan dari packet tracer.

Router(config)#access-list ?

  <1-99>     IP standard access list

  <100-199>  IP extended access list

Kalau di GNS3, ada banyak. Ini yang benar.

R1(config)#access-list ?

  <1-99>            IP standard access list

  <100-199>         IP extended access list

  <1000-1099>       IPX SAP access list

  <1100-1199>       Extended 48-bit MAC address access list

  <1200-1299>       IPX summary address access list

  <1300-1999>       IP standard access list (expanded range)

  <200-299>         Protocol type-code access list

  <2000-2699>       IP extended access list (expanded range)

  <600-699>         Appletalk access list

  <700-799>         48-bit MAC address access list

  <800-899>         IPX standard access list

  <900-999>         IPX extended access list

  dynamic-extended  Extend the dynamic ACL absolute timer

  rate-limit        Simple rate-limit specific access list

Ada 2 langkah untuk membuat access list.

1. Buat command ACL nya.

Contohnya.

R1(config)#access-list 12 deny host 192.168.1.1

R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255

R1(config)#access-list 12 deny 192.168.0.0 0.0.255.255

…………

…………
R1(config)#access-list 12 permit any

2. Dengan menggunakan command access-group, access list yang sudah dibuat diterapkan/ditempatkan di sisi interface mana.

Contohnya.

R1(config)#interface fa0/0
R1(config-if)#ip access-group 12 out

Atau

R1(config-if)#ip access-group 12 in

Ingat tips ini…!!! Tetapkan tujuan dari pembuatan access list terlebih dahulu, mana yang akan diblok dan mana yang akan diijinkan (permit), agar lebih mudah dan fokus dalam pembuatan access list di router/switch Cisco. Ok… Saatnya simulasi...

Simulasi 1.

PC441 dideny ke semua jaringan. PC442 & PC443 diallow ke semua jaringan. Access list ini dikonfigurasi pada router R-JKT-44

Buat access listnya dulu,

R-JKT-44#config ter

R-JKT-44(config)#access-list 1 deny 10.4.4.1

R-JKT-44(config)#access-list 1 permit any

Dijalankan di interface fa1/0 (interface ke arah LAN)

R-JKT-44(config)#inter fa1/0

R-JKT-44(config-if)#ip access-group 1 in

R-JKT-44# wr

Building configuration...

[OK]

Atau bisa juga diterapkan/dijalankan pada interface fa0/0, (interface WAN), maka

R-JKT-44(config)#inter fa0/0

R-JKT-44(config-if)#ip access-group 1 out

Untuk penempatan, cukup dipilih salah satunya saja. Mau dijalankan pada interface fa0/0 atau interface fa1/0.

Pengetestan.

Untuk komputer users, dalam simulasi ini, gunakan IP static, agar benar-benar terjamin, PC user tidak berubah-ubah IP addressnya.

IP address PC441 : 10.4.4.1/24

IP address PC442 : 10.4.4.2/24

IP address PC443 : 10.4.4.3/24

Ingat kembali cara membaca hasil perintah ping lewat terminal/command prompt.

Hasil ping : reply, artinya ok.

Hasil ping : request time out, artinya kemungkinan besar tidak connect secara fisik. Atau connect tapi, kondisi jaringan/network jelek, atau kondisi network full trafik.

Hasil ping : destination host unreachable, artinya terblok oleh firewall.

Hasil ping dari PC441, bisa dilihat pada gambar berikut ini :

Hasil ping dari PC442.

Jadi,

• Ping dari PC441 : destination host unreachable
• Ping dari PC442 : reply
• Begitu juga dengan PC443, yang tidak dimasukkan ke dalam access list, tentunya diping hasilnya akan reply…

Simulasi kedua.

Pada router R-SBY-33, access list dimana hanya menerima segmen network 10.1.1.0/24 (PC11). Sedangkan segmen network 10.2.2.0/24 (Laptop22) ditolak.

Note :

Delete terlebih dahulu access list yang sebelumnya (ACL dari simulasi 1) jika masih ada, agar tidak mengganggu. Cara mendelete access-list, seperti biasanya menggunakan command “no“ diikuti command yang akan dibuang. Misalnya.

R-JKT-44(config)#no access-list 1 deny host 10.4.4.1

Atau jika ingin menghilang kesemua access list nomor 1.

R-JKT-44(config)#no access-list 1

Selanjutnya, buat access list-nya,

R-SBY-33#config ter

Enter configuration commands, one per line.  End with CNTL/Z.

R-SBY-33(config)#access-list 9 deny 10.2.2.0 0.0.0.255

R-SBY-33(config)#access-list 9 permit 10.1.1.0 0.0.0.255

Access list yang sudah dibuat, dijalankan pada interface WAN. Disini WAN nya ada 2, maka dijalankan pada kedua duanya. (sebenarnya sih.., bisa juga menjalankan ACL tersebut di  interface LAN, tapi disini sengaja milih WAN saja).

R-SBY-33(config)#inter fa4/0

R-SBY-33(config-if)#ip access-group 9 in

R-SBY-33(config)#inter fa5/0

R-SBY-33(config-if)#ip access-group 9 in

R-SBY-33# wr

Building configuration...

[OK]

Perhatikan baik-baik. Awal rencananya hanya untuk menerima network 10.1.1.0/24. Dan menolak network 10.2.2.0/24. Dan mari kita lihat hasilnya. Dari network 10.2.2.1 (Laptop 22), ping ke arah IP address 10.3.3.1, destination host unreacable. Artinya di deny… ok berhasil… Lihat gambar di bawah ini.

Kemudian, lakukan test dari PC11, network 10.1.1.0/24. Karena ini diallow / di permit, seharusnya akan reply. Tapi faktanya, hasilnya seperti di bawah ini.

Awalnya reply, namun beberapa saat kemudian destination unreachable. Kemudian pada router R-SBY-33, ada pesan error..

%DUAL-5-NBRCHANGE: IP-EIGRP 5: Neighbor 172.16.2.2 (FastEthernet4/0) is down: holding time expired

%DUAL-5-NBRCHANGE: IP-EIGRP 5: Neighbor 172.16.3.2 (FastEthernet5/0) is down: holding time expired

Apa yang terjadi… ??

Lihat pada access list yang sudah dibuat di atas. Ingat kembali ACL rules. Secara default ada baris ACL yang tidak terlihat, yaitu access-list [no.acl] deny any. Akibatnya, semua packet ikut terblok. Termasuk packet routing dalam hal ini routing EIGRP. Ingat tentang routing EIGRP kan… Pada setiap router selalu mengirim packet hallo ke router tetangganya. Karena packet hallo dan respon dari & ke router tetangga terblok, maka router R-SBY-33 dianggap mati/down oleh router  tetangganya. Akibatnya jalan/routing ke arah network 10.3.3.0/24 tidak ada. Jadi kesimpulannya berhati-hatilah dalam membuat access list. access-list [no.acl] deny any, akan memblok semua packet yang lewat.

So, agar sesuai dengan harapan dan tujuan awal kita, dimana access list menerima segmen network 10.1.1.0/24 (PC11). Sedangkan segmen network 10.2.2.0/24 (Laptop22) ditolak. Maka, access listnya harusnya seperti di bawah ini…

R-SBY-33#config ter

Enter configuration commands, one per line.  End with CNTL/Z.

R-SBY-33(config)#access-list 9 deny 10.2.2.0 0.0.0.255

R-SBY-33(config)#access-list 9 permit 10.1.1.0 0.0.0.255

R-SBY-33(config)#access-list 9 permit any

Next…Konfigurasi Access Control List di Cisco (part 2)