Pages

Mengenal Access List di Cisco IOS

Selamat datang para pemburu artikel :)


Di artikel berikut ini ane mau sharing materi yang udah dipelajarin dan didapat dari praktek lab dan coba-coba. Kali ini bahasannya tentang Access List di Cisco IOS, apa ya Access List itu dan bagaimana penerapannya?

Prakteknya menggunakan aplikasi simulasi Cisco Packet Tracer 6.1.1.0001.
Sebelum masuk ke praktek konfigurasi Access List (selanjutnya ACL) di Cisco, pengenalan dulu ya. ACL merupakan konfigurasi di dalam IOS Cisco yang digunakan untuk mengatur hak akses pengguna di jaringan kita.
Contohnya seperti pak polisi yang mengatur lalu lintas. Mengatur lalu lintas dengan cara mengamati kendaraan yang ada dan menyetop kendaraan bila ada yang melanggar larangan tidak pakai helm bagi pengendara motor yang sudah ditetapkan sebelumnya, dan memilah-milah kendaraan yang boleh masuk ke tol dan yang tidak. Bila ada yang melanggar, pengendara akan distop dan ditindak dengan peraturan yang telah ditetapkan oleh pembuat larangan. Tapi sih, tetap saja masih ada beberapa oknum yang bermain untuk menerima suap.

Demikian dengan ACL... Seperti pak polisi di atas yang mengatur lalu lintas kendaraan, Access List juga mengatur lalu lintas.. tapi lalu lintas di jaringan. ACL diterapkan untuk mengamankan, membatasi, dan mengatur kendaraan-kendaraan yang melintas di jaringan kita.
Tetapi, bedanya bila memang kendaraan yang melintas memiliki identitas yang memang tidak diperbolehkan melintas, akan tetap ditolak. Tidak akan ada yang namanya disuap :)
Oke sudah nyambung ya.. sipp lanjut..
  • Konfigurasi ACL di Cisco terdapat 2 tipe yaitu Standard ACL dan Extended ACL dan penamaan ACL terdapat 2 cara yaitu menggunakan angka dari 1-199 & menggunakan alphanumeric sebanyak 30 karakter.
  • Standar ACL digunakan untuk membatasi kendaraan yang melintas berdasarkan IP Address saja. Penomoran standard ACL menggunakan nomor dari 1-99
  • Extended ACL sama dengan Standard ACL, tapi bedanya Extended bisa mengatur melalui Port, Protokol dan IP Address. Lebih bervariasi. Penomoran dari 100-199.
Contoh kasus 

Topologi nya seperti berikut :


Peraturan akan dibuat seperti ini :

- PC0 tidak bisa akses kemanapun
- PC1 bisa hanya bisa mengakses HTTPS saja.
- Hanya PC2 & PC3 yang bisa melakukan ping dan telnet ke server
- PC2 bisa ping ke semua router, selain PC2 tidak bisa ping.

 Perintah ACL untuk membuat rule seperti diatas adalah sebagai berikut :

Konfigurasi Router 1:
Router(config)#access-list 101 deny ip host 192.168.1.2 any
Router(config)#access-list 101 deny tcp host 192.168.1.3 192.168.3.2 0.0.0.0 eq 80
Router(config)#access-list 101 permit ip any any
Router(config)#int serial 0/0/0
Router(config-if)#ip access-group 101 out

Penjelasan konfigurasi sebagai berikut :
Router(config)#access-list 101 deny ip host 192.168.1.2 any
Router(config)#access-list 101 deny tcp host 192.168.1.3 192.168.3.2 0.0.0.0 eq 80
Router(config)#access-list 101 permit ip any any
- Router akan memblok kendaraan yang bernomor IP 192.168.1.2 ke semua jurusan agar tidak keluar dari daerah lokal. Tetapi masih bisa berkomunikasi antar kendaraan di dalam jaringan 192.168.1.0/24. Selain IP 192.168.1.2, router memberikan ijin untuk bisa mengakses melewati daerah lokal menuju daerah lain.
- Router akan membatasi komputer PC3 untuk tidak memakai kendaraan untuk keluar dari daerah lokal supaya bisa browsing dengan atribut HTTP (port 80). Tetapi router mengijinkan bila PC3 berkendara melewati router untuk browsing memakai atribut HTTPS (port 443).
- Selain pembatasan diatas, router akan mengijinkan semua kendaraan dan atribut untuk melintas.


Pekerjaan Router0 akan lebih banyak karena harus mengawasi kendaraan yang datang dari kedua interface. 
Berikut Konfigurasi Router 0:
Router(config)#access-list 102 permit tcp host 192.168.1.3 host 192.168.3.2 eq 21Router(config)#access-list 102 deny tcp host 192.168.1.3 host 192.168.3.2 eq 21Router(config)#int serial 0/0/0Router(config-if)#ip access-group 102 in
Router(config)#access-list 103 permit tcp host 192.168.2.2 192.168.3.2 0.0.0.0 eq 21Router(config)#access-list 103 deny tcp any host 192.168.3.2 eq 21Router(config)#int fa 0/0.10Router(config-subif)#ip access-group 103 in

Penjelasan konfigurasi sebagai berikut :

Router(config)#access-list 102 permit tcp host 192.168.1.3 host 192.168.3.2 eq 21
Router(config)#access-list 102 deny tcp host 192.168.1.3 host 192.168.3.2 eq 21
Router(config)#int serial 0/0/0
Router(config-if)#ip access-group 102 in
- Router akan membatasi penggunaan akses FTP ke server (port FTP 21), yang diperbolehkan mengakses adalah PC3 saja selain itu tidak boleh ada kendaraan yang datang dari arah seberang yang akan melintas memasuki interface Serial 0/0/0 router 0 dengan membawa atribut FTP.
- Bila ada yang datang dengan nomor IP kendaraan 192.168.1.3 dan membawa atribut FTP untuk mengakses ke server, router akan mengizinkan.

Router(config)#access-list 103 permit tcp host 192.168.2.2 192.168.3.2 0.0.0.0 eq 21
Router(config)#access-list 103 deny tcp any host 192.168.3.2 eq 21
Router(config)#int fa 0/0.10
Router(config-subif)#ip access-group 103 in
- Sama seperti peraturan diatas, server akan melarang kendaraan manapun selain no IP kendaraan yang melintas 192.168.2.2 dan membawa atribut FTP ke server.
Hanya saja, diperintah ini, perlakuan router akan berfokus pada area atau wilayah kendaraan 192.168.2.0/24.


Silakan dipraktekan.. Untuk ujicobanya, silakan lakukan langkah-langkah berikut ini:

  • Dari PC0 lakukan ping ke semua PC dan server.  Amati perbedaannya antara ping ke PC yang berada di wilayah yang sama dengan PC dan server yang berada di beda wilayah.
  • Dari PC1 lakukan browsing ke http://192.168.3.2 dan https://192.168.3.2. Amati perbedaannya dengan kedua atribut tersebut.
  • Lakukan juga browsing dengan HTTP dan HTTPS di semua PC. Amati perbedaannya dengan PC1.
  • Dari PC3 dan PC2 lakukan perintah ftp 192.168.3.2 di Command Prompt, dan untuk semua PC juga lakukan ftp ke server. Amati perbedaannya.
Demikian hasil simulasi praktek Access List di Cisco. Semoga bermanfaat.
Ini taste saya dalam membatasi rule-rule yang telah ditetapkan.. Bagaimana taste kamu?
Silakan dishare ya :)

Eeeehhhhh paaaakkk,, jangan pergi duluuu!!!
Ini perintah untuk apa ya???!!
Router(config)#int serial 0/0/0
Router(config-if)#ip access-group 101 out

Router(config)#int serial 0/0/0
Router(config-if)#ip access-group 102 in 

Router(config)#int fa 0/0.10
Router(config-subif)#ip access-group 103 in


Ooo, kalau itu akan dibahas diartikel selanjutnya ya... Mohon ditunggu :)

No comments:

Post a Comment

 

Most Reading