Jumat, 31 Mei 2013

Access Control List (ACL) - Standard & Extended

Deg-degan banget deh kalo lagi pelatihan Access Control List (ACL) di CCNA. Paling susaaaahh banget nangkep apa yang dimaksud. Tapi yang penting dijejelin terus sama ACL biar sampe eneg terus tau-tau ngerti deh, hehehehehehe.

Sekarang apa sih ACL itu? ACL (Access Control List) adalah kumpulan list kondisi dari setiap akses. Jadi dapat men-filter­ paket data yang tidak diinginkan dan dapat diimplementasikan sebagai Access Policy.  Cara kerja ACL adalah sebagai berikut:
·       ACL selalu membaca setiap list-nya tersebut dengan cara sequential atau berurut.
·      Ketika ada paket data, ACL membaca dan membandingkan setiap list yang sudah dibuat. Jika sesuai, maka dijalankan perintah list tersebut.
·   Di dalam ACL terdapat implicit “deny” di akhir list ACL. Ini artinya jika tidak ada paket data yang sesuai, maka paket akan di-drop.

Ada 2 macam ACL itu, yaitu:
1.    Standard (1-99)     ->   Melakukan filter berdasarkan dari IP saja. Diletakkan di paling TERDEKAT dari DESTINATION (IP tujuan).
      Command line­-nya adalah sebagai berikut:
-   Daftarkan ACL-nya terlebih dahulu dengan:
R3(config)#access-list [nomor ACL] permit/deny [IP yg akan dikontrol access-nya]
-   Setelah didaftar, masukkan ACL-nya ke interface-nya:
R3(config)#interface [interface yang paling terdekat dengan IP destination]
R3(config-if)#ip access-group [nomor ACL yg sudah dibuat] in/out

2.    Extended (100-199)->Melakukan filter berdasarkan IP, TCP/UDP, dan port. Diletakkan di paling TERDEKAT dari SOURCE (IP asal).
      Command line­-nya adalah sebagai berikut:
-   Daftarkan ACL-nya terlebih dahulu dengan:
R3(config)#access-list [nomor ACL] permit/deny [tipe paket yang akan diakses] [IP Source] [IP Destination] [perintah pembanding] [port yg akan ditutup]
-   Setelah didaftar, masukkan ACL-nya ke interface-nya:
R3(config)#interface [interface yang paling terdekat dengan IP source]
R3(config-if)#ip access-group [nomor ACL yg sudah dibuat] in/out

Ok.. untuk lebih jelasnya, kita langsung masuk ke case jaringan di bawah ini:

Permasalahan pertama (P1) -> PC-A tidak boleh berkomunikasi dengan PC-C, tetapi PC-A dapat berkomunikasi dengan yang lainnya.
Solusi (P1) ->  Memakai ACL Standard dan taruh ACL tersebut pada R3 di Fa0/0 sebagai outbond.

Permasalahan kedua (P2) ->  PC-A bisa berkomunikasi ke semua perangkat tetapi tidak bisa mengakses HTTP ke Web Server
Solusi (P2) ->  Memakai ACL Extended dan taruh ACL tersebut pada R1 di FA0/0 sebagai inbound.

Kita lakukan solusi untuk permasalahan pertama. Langkah-langkahnya adalah sebagai berikut:
1.    Buka Packet Tracer, lalu pakai perangkat yang sesuai dengan table di bawah ini.

2.    Konfigurasi IP setiap PC. 

3. Lakukan konfigurasi R1, R2, R3, Switch0, dan Switch1. Ane anggap kalian sudah pada bisa untuk konfigurasi semuanya, jadi ane cuman kasih tabel interface-nya aja.

Karena kita memakai ACL standard, berarti kita lakukan konfigurasi ACL di dalam R3.
R3 con0 is now available

Press RETURN to get started.

R3>ena
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#access-list 1 deny 10.10.10.2
R3(config)#access-list 1 permit any
R3(config)#int fa0/0
R3(config-if)#ip access-group 1 out
R3(config-if)#do sh run
Building configuration...

Current configuration : 762 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 1 out
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 no ip address
!
interface Serial0/0/1
 ip address 200.200.200.2 255.255.255.252
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.0.255 area 0
 network 200.200.200.0 0.0.0.3 area 0
!
ip classless
!
access-list 1 deny host 10.10.10.2
access-list 1 permit any
!
line con 0
line vty 0 4
 login
!
end

R3(config-if)#

Bila berhasil maka akan seperti gambar di bawah ini.

Kita akan memakai ACL Extended, berarti kita lakukan konfigurasi ACL di dalam R1. Sebelum itu, kita lakukan penghapusan terhadap ACL standard tadi di R3.
R3 con0 is now available

Press RETURN to get started.

R3>en
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#int fa0/0
R3(config-if)#no ip access-group 1 out
R3(config-if)#do sh run
Building configuration...

Current configuration : 739 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 no ip address
!
interface Serial0/0/1
 ip address 200.200.200.2 255.255.255.252
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.0.255 area 0
 network 200.200.200.0 0.0.0.3 area 0
!
ip classless
!
access-list 1 deny host 10.10.10.2
access-list 1 permit any
!
line con 0
line vty 0 4
 login
!
end

R3(config-if)#

Sekarang kita pakai ACL Extended pada R1.
R1 con0 is now available

Press RETURN to get started.

User Access Verification

R1>ena
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#access-list 101 deny tcp host 10.10.10.2 host 192.168.0.2 eq www
R1(config)#access-list 101 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 101 in
R1(config-if)#do sh run
Building configuration...

Current configuration : 917 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip access-group 101 in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 100.100.100.1 255.255.255.252
 clock rate 128000
!
interface Serial0/0/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 10.10.10.0 0.0.0.255 area 0
 network 100.100.100.0 0.0.0.3 area 0
!
ip classless
!
!
access-list 101 deny tcp host 10.10.10.2 host 192.168.0.2 eq www
access-list 101 permit ip any any
!
line con 0
line vty 0 4
!
end

R1(config-if)#

Hasil yang didapat seperti gambar di bawah ini. Jadi semuanya dapat melakukan ping dan bisa akses ke web server, kecuali untuk netwok 10.10.10.2 yang bisa ping tetapi tidak dapat membuka web server.


Yap.. segini dulu ACL untuk Standard dan Extended, sumpah ane puyeng nge-dokumentasiinnya. Hahahahaha… mudah-mudahan kalian mengerti. Misalkan ada yang ngerti, jangan sungkan-sungkan buat nanya disini. SEMANGAAAAATTTTTTT!!!!!!!!
Posted by Pukul
Labels: , , ,

4 komentar:

  1. Unknown23 September 2015 pukul 13.18

    saya masih bingung masalah ACL ini. sebenarnya ACL ini apa? bagaiamana cara kerjanya dalam jaringan komputer? JUJUR SAYA SANGAT BINGUNG T.T mohon bantuannya

    BalasHapus
    Balasan
    1. Unknown23 April 2020 pukul 16.42

      Acl itu sejenis kondisi atau aturan yang mau di buat pada topolgi yg kita buat,
      Misal ada 2 buah router masing2 router memilki access point dan masing2 access point memiliki beberapa pc atau komputer.
      Kemudian cara menerapkan acl nya itu, seperti pc akan menolak pinh ke pc lain atau ke router

      Hapus
  2. Unknown8 Januari 2018 pukul 15.21

    Om ajarin ane dong di depok juga nih

    BalasHapus
  3. iBoy5 Juni 2020 pukul 16.59

    ane gak ngerti di acl extended ,, pada saat kapan kita menggunakan acl extended ya bos

    BalasHapus

Langganan: Posting Komentar (Atom)