Sunday, March 23, 2014

Konfigurasi Access Control List di Cisco (part 2)



Oke, sebelum lanjut ke simulasi berikutnya, ada beberapa hal yang perlu diingat dan perlu diperhatikan.
  • Sebelum membuat access list, gunakan perintah sh ip route pada router, agar bisa terlihat IP address berapa saja yang lewat/di-routing pada router tersebut. Dengan adanya data ini, anda bisa  membuat access list,  IP address/network mana saja yang bisa diblok atau diijinkan lewat pada router tersebut.
Jadi tidak sembarangan kita membuat access list. Percuma saja memasukkan IP address/network dalam access list, namun IP address / network yang dimaksud tidak ada lewat pada router. Itu artinya perbuatan  sia-sia alias mubazir…
  • Banyak orang yang masih bingung (termasuk saya juga, awalnya…) penempatan access list dengan command ip access-group pada interface mana. Kemudian di interface tersebut inbound packet ataukah outbound packet. (ip access-group [no.acl] in ataukah ip access-group [no.acl] out).
Itu memang susah, kalau kita tidak pandai-pandai berkhayal. Dengan gambar di bawah ini mungkin bisa sedikit membantu membayangkannya. Fokuskan pada ROUTER 1.

Trafik A dan B pada router

Trafik A packet data yang mempunyai IP address source (PC User) dan IP address destination (internet). Kebalikan dari trafik A adalah trafik B. Trafik B packet data yang mempunyai IP address source (internet) dan IP address destination (PC user). IP address source / destination inilah yang akan dicocokkan dengan access list. Jika cocok, akan dideny atau di-permit.
Agar mudah membayangkan dan masuk ke logika. Bayangkan anda sebagai ROUTER 1. Maka.
Pada sisi interface fa1/0, trafik A adalah trafik masuk/in, dan trafik B adalah trafik keluar/out.
Pada sisi interface fa0/0, trafik A adalah trafik keluar/out, dan trafik B adalah trafik masuk/in.
(Jika anda sebagai ROUTER 2, maka trafik A, adalah masuk dan trafik B adalah keluar )

Nah.., ketika ingin agar trafik A, terkena access list, maka gunakan command ip access-group [no.acl] in, pada interface fa1/0 atau ip access-group [no.acl] out pada interface fa0/0.
Dan ketika ingin agar trafik B, terkena access list, maka commandnya ip access-group [no.acl] out pada interface fa1/0 atau ip access-group [no.acl] in pada interface fa0/0.

Dan ingat cukup dipilih salah satu saja di interface mana akan ditempatkan. Karena hasilnya  hampir sama… bukan sama ya, tapi hampir sama…. Dari gambar di bawah ini, seharusnya anda sudah bisa membayangkannya, kenapa dikatakan hasilnya hampir sama.

Ilustrasi ACL dan trafik di router
Trafik A, akan difilter (misalnya, di-deny) oleh ACL. Jika ACL, diterapkan pada interface fa1/0
ip access-group [no.acl] fa1/0 in
Artinya, sejak interface fa1/0 (IP 10.4.4.254), trafik A akan direject / di-deny.
Jika ACL, diterapkan pada interface fa0/0
ip access-group [no.acl] fa0/0 out
Artinya, sejak interface fa0/0 (IP 10.0.0.253) trafik A akan direject/di-deny. Trafik A, masih bisa akses (ping dan sebagainya...) ke interface 1/0 (IP 10.4.4.254)

Extended Access List 
Access list ini lebih complex, memfilter packet berdasarkan IP address source dan destination, port, dsbnya. Untuk Extended access list menggunakan nomor access list 100-199 atau 2000-2699.
Mari kita simulasikan. Tetapkan tujuannya dahulu. Misalnya.
  • Access list dikonfigurasi pada Router R-JKT-00,
  • Dari network 10.1.1.0/24, hanya bisa telnet ke network 10.4.4.0/24
  • Dari network 10.2.2.0/24, telnet hanya ke IP router 10.4.4.254.
  • Dari laptop22 (IP 10.2.2.1), hanya bisa ping ke IP 10.4.4.3.
  • Dari network 10.3.3.0/24, bisa ping ke PC441 dan PC442
  • Dari network 10.3.3.0/24, tidak bisa telnet 10.4.4.254
Konfigurasi access listnya.
R-JKT-00>en
R-JKT-00#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
R-JKT-00(config)#access-list 110 permit tcp 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255 eq 23
R-JKT-00(config)#access-list 110 permit tcp 10.2.2.0 0.0.0.255 host 10.4.4.254 eq 23
R-JKT-00(config)#access-list 110 permit icmp host 10.2.2.1 host 10.4.4.3
R-JKT-00(config)#access-list 110 permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.1
R-JKT-00(config)#access-list 110 permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.2
R-JKT-00(config)#access-list 110 deny ip 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#access-list 110 deny ip 10.2.2.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#access-list 110 deny ip 10.3.3.0 0.0.0.255 10.4.4.0 0.0.0.255
R-JKT-00(config)#
R-JKT-00(config)#access-list 110 permit ip any any
R-JKT-00(config)#inter fa0/0
R-JKT-00(config-if)#ip access-group 110 out
R-JKT-00(config-if)#do wr
Building configuration...
[OK]

Sebelum pengetestan, pastikan service telnet sudah bisa di router R-JKT-44
R-JKT-44>en
R-JKT-44#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
R-JKT-44(config)#line vty 0 4
R-JKT-44(config-line)#pass 12345
R-JKT-44(config-line)#login
R-JKT-44(config-line)#do wr
Building configuration...
[OK]

Pengetestan.
Berhasil... dari PC11 (network 10.1.1.0/24) ping di deny, tapi bisa telnet ke 10.4.4.254.
Test ping dan telnet dari PC11

Dari Laptop22, bisa ping ke 10.4.4.3 dan bisa telnet ke 10.4.4.254...
Test ping dan telnet dari Laptop22

Dan dari PC33 hanya bisa ping ke 10.4.4.1 dan 10.4.4.2. dan tidak bisa telnet ke IP router 10.4.4.254... 
Test ping dan telnet dari PC33

Yang terakhir, untuk melihat access-list pada suatu router / switch Cisco, gunakan perintah “sh access-list”
R-JKT-00#sh access-lists
Extended IP access list 110
    permit tcp 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255 eq telnet
    permit tcp 10.2.2.0 0.0.0.255 host 10.4.4.254 eq telnet
    permit icmp host 10.2.2.1 host 10.4.4.3
    permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.1
    permit icmp 10.3.3.0 0.0.0.255 host 10.4.4.2
    deny ip 10.1.1.0 0.0.0.255 10.4.4.0 0.0.0.255
    deny ip 10.2.2.0 0.0.0.255 10.4.4.0 0.0.0.255
    deny ip 10.3.3.0 0.0.0.255 10.4.4.0 0.0.0.255
    permit ip any any

Untuk access list, cukup sekian...sampai jumpa pada eksperiment berikutnya...

No comments:

Post a Comment