Oke, sebelum lanjut ke simulasi berikutnya, ada beberapa hal yang perlu diingat dan perlu diperhatikan.
- Sebelum membuat access list, gunakan perintah sh ip route pada router, agar bisa terlihat IP address berapa saja yang lewat/di-routing pada router tersebut. Dengan adanya data ini, anda bisa membuat access list, IP address/network mana saja yang bisa diblok atau diijinkan lewat pada router tersebut.
Jadi tidak sembarangan kita membuat access list. Percuma saja memasukkan IP address/network dalam access list, namun IP address / network yang dimaksud tidak ada lewat pada router. Itu artinya perbuatan sia-sia alias mubazir…
- Banyak orang yang masih bingung (termasuk saya juga, awalnya…) penempatan access list dengan command ip access-group pada interface mana. Kemudian di interface tersebut inbound packet ataukah outbound packet. (ip access-group [no.acl] in ataukah ip access-group [no.acl] out).
Itu memang susah, kalau kita tidak pandai-pandai berkhayal. Dengan gambar di bawah ini mungkin bisa sedikit membantu membayangkannya. Fokuskan pada ROUTER 1.
Agar mudah membayangkan dan masuk
ke logika. Bayangkan anda sebagai ROUTER 1. Maka.
Pada sisi interface fa1/0, trafik A
adalah trafik masuk/in, dan trafik B adalah trafik keluar/out.
Pada sisi interface fa0/0, trafik A
adalah trafik keluar/out, dan trafik B adalah trafik masuk/in.
(Jika anda sebagai ROUTER 2, maka
trafik A, adalah masuk dan trafik B adalah keluar )
Nah.., ketika ingin agar trafik A,
terkena access list, maka gunakan command ip
access-group [no.acl] in, pada interface
fa1/0 atau ip access-group [no.acl] out
pada interface fa0/0.
Dan ketika ingin agar trafik B,
terkena access list, maka commandnya ip
access-group [no.acl] out pada interface
fa1/0 atau ip access-group [no.acl] in
pada interface fa0/0.
Dan ingat cukup dipilih salah satu
saja di interface mana akan ditempatkan. Karena hasilnya hampir sama… bukan sama ya, tapi hampir
sama…. Dari gambar di bawah ini, seharusnya anda sudah bisa membayangkannya, kenapa dikatakan hasilnya hampir sama.
Trafik A, akan difilter (misalnya,
di-deny) oleh ACL. Jika ACL, diterapkan pada interface fa1/0
ip
access-group [no.acl] fa1/0 in
Artinya, sejak interface fa1/0 (IP
10.4.4.254), trafik A akan direject / di-deny.
Jika ACL, diterapkan pada interface
fa0/0
ip
access-group [no.acl] fa0/0 out
Artinya, sejak interface fa0/0 (IP
10.0.0.253) trafik A akan direject/di-deny. Trafik A, masih bisa akses (ping dan sebagainya...) ke
interface 1/0 (IP 10.4.4.254)
Extended Access List
Access list ini lebih complex, memfilter packet berdasarkan IP address source
dan destination, port, dsbnya. Untuk Extended access list menggunakan nomor
access list 100-199 atau 2000-2699.
Mari kita simulasikan. Tetapkan
tujuannya dahulu. Misalnya.
- Access list dikonfigurasi pada Router R-JKT-00,
- Dari network 10.1.1.0/24, hanya bisa telnet ke network 10.4.4.0/24
- Dari network 10.2.2.0/24, telnet hanya ke IP router 10.4.4.254.
- Dari laptop22 (IP 10.2.2.1), hanya bisa ping ke IP 10.4.4.3.
- Dari network 10.3.3.0/24, bisa ping ke PC441 dan PC442
- Dari network 10.3.3.0/24, tidak bisa telnet 10.4.4.254
Konfigurasi access listnya.
R-JKT-00>en
R-JKT-00#config
ter
Enter
configuration commands, one per line.
End with CNTL/Z.
R-JKT-00(config)#access-list
110 permit tcp 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255 eq 23
R-JKT-00(config)#access-list
110 permit tcp 10.2.2.0 0.0.0.255 host 10.4.4.254 eq 23
R-JKT-00(config)#access-list
110 permit icmp host 10.2.2.1 host 10.4.4.3
R-JKT-00(config)#access-list
110 permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.1
R-JKT-00(config)#access-list
110 permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.2
R-JKT-00(config)#access-list
110 deny ip 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#access-list
110 deny ip 10.2.2.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#access-list
110 deny ip 10.3.3.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#
R-JKT-00(config)#access-list
110 permit ip any any
R-JKT-00(config)#inter
fa0/0
R-JKT-00(config-if)#ip
access-group 110 out
R-JKT-00(config-if)#do
wr
Building
configuration...
[OK]
Sebelum pengetestan, pastikan
service telnet sudah bisa di router R-JKT-44
R-JKT-44>en
R-JKT-44#config
ter
Enter
configuration commands, one per line.
End with CNTL/Z.
R-JKT-44(config)#line
vty 0 4
R-JKT-44(config-line)#pass
12345
R-JKT-44(config-line)#login
R-JKT-44(config-line)#do
wr
Building
configuration...
[OK]
Pengetestan.
Berhasil... dari PC11 (network 10.1.1.0/24) ping di deny, tapi bisa telnet ke 10.4.4.254.
Dari Laptop22, bisa ping ke 10.4.4.3 dan bisa telnet ke 10.4.4.254...
Dan dari PC33 hanya bisa ping ke 10.4.4.1 dan 10.4.4.2. dan tidak bisa telnet ke IP router 10.4.4.254...
Yang terakhir, untuk melihat access-list pada suatu router / switch Cisco, gunakan perintah “sh access-list”
R-JKT-00#sh
access-lists
Extended IP access
list 110
permit tcp 10.1.1.0 0.0.0.255 10.4.4.0
0.0.0.255 eq telnet
permit tcp 10.2.2.0 0.0.0.255 host
10.4.4.254 eq telnet
permit icmp host 10.2.2.1 host 10.4.4.3
permit icmp 10.3.3.0 0.0.0.255 host
10.4.4.1
permit icmp 10.3.3.0 0.0.0.255 host
10.4.4.2
deny ip 10.1.1.0 0.0.0.255 10.4.4.0
0.0.0.255
deny ip 10.2.2.0 0.0.0.255 10.4.4.0
0.0.0.255
deny ip 10.3.3.0 0.0.0.255 10.4.4.0
0.0.0.255
permit ip any any
Untuk access list, cukup sekian...sampai jumpa pada eksperiment berikutnya...
No comments:
Post a Comment