-->

  • Lab.27 CCNA Konfigurasi Extended ACL

    Lab.27 CCNA Extended ACL for IPv4

    Lab.27 CCNA Extended ACL for IPv4 - Extended Access Control List, merupakan lab selanjutnya dari Lab.26 CCNA Cara konfigurasi Standard ACL. Extended ACL menggunakan numbered dari 100-199 dan 2000-2699, sehingga total 799 numbered ACL. Extended ACL juga bisa menggunakan mode named ACL.

    (Baca juga : Teori dan Lab Standard ACL Cisco)

    Extended ACL lebih sering digunakan daripada standard ACL, karena kemampuan melakukan filter yang lebih detil. Selain mampu memfilter Source Address, Extended ACL juga mampu memfilter Destination Address, Protocol dan port.

    Extended ACL menggunakan operasi logic seperti equal (eq)/sama dengan, not equal (neq)/tidak sama dengan, greater than (gt)/lebih besar dari, dan less than (lt)/kurang dari. Secara umum berikut ini penulisan extended ACL :

    access-list access-list-number {deny|permit|remark} source destination

    Sebuah perusahaan menginginkan aturan-aturan agar diterapkan oleh network administrator. Beirkut list aturannya :
    1. PC1 hanya diperbolehkan mengakses service FTP pada server
    2. PC3 hanya diperbolehkan mengakses service HTTP pada server
    3. Masing-masing PC bisa melakukan ping ke server
    4. Antara PC tidak bisa saling ping.
    Lab.27 CCNA Extended ACL for IPv4
    Pada topologi diatas, antara ketiga Router sudah dikonfigurasi menggunakan protokol routing OSPF Single Area, sehingga sudah dipastikan sebelumnya antar host saling ping. Berikut langkah-langkahnya :

    Allow akses FTP ke Server

    Sesuai aturan diatas bahwa PC1 hanya diperbolehkan akses FTP dan Ping. Buat ACL Extended Numbered 125
    
    R1#configure terminal 
    R1(config)#access-list ?
      <1-99>     IP standard access list
      <100-199>  IP extended access list
    R1(config)#access-list 125
    
    Kemudian beri tanda ? untuk melihat opsi selanjutnya.
    
    R1(config)#access-list 125 ?
      deny    Specify packets to reject
      permit  Specify packets to forward
      remark  Access list entry comment
    R1(config)#access-list 125 permit
    
    Dilanjutnkan dengan menetukan actionnya, pilih permit
    
    R1(config)#access-list 125 permit ?
      ahp    Authentication Header Protocol
      eigrp  Cisco's EIGRP routing protocol
      esp    Encapsulation Security Payload
      gre    Cisco's GRE tunneling
      icmp   Internet Control Message Protocol
      ip     Any Internet Protocol
      ospf   OSPF routing protocol
      tcp    Transmission Control Protocol
      udp    User Datagram Protocol
    R1(config)#access-list 125 permit tcp
    
    Setelah ketik permit, beri tanda ? untuk melihat opsi selanjutnya. Ternyata pemilihan protokol, maka protokol yang dipilih adalah TCP
    
    R1(config)#access-list 125 permit tcp ?
      A.B.C.D  Source address
      any      Any source host
      host     A single source host
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 ?
      A.B.C.D  Destination address
      any      Any destination host
      eq       Match only packets on a given port number
      gt       Match only packets with a greater port number
      host     A single destination host
      lt       Match only packets with a lower port number
      neq      Match only packets not on a given port number
      range    Match only packets in the range of port numbers
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2
    
    Setelah pilih TCP, tentukan sumber/asal dari paket, yakni pada network 192.168.1.0/24. Jika ditulis dengan wildcard mask menjadi 192.168.1.0 0.0.0.255. Setelah menentukan Source Address, selanjutnya adalah destination address atau TARGET nya. Target bisa menggunakan parameter host 192.168.2.2(SERVER).
    
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 ?
      dscp         Match packets with given dscp value
      eq           Match only packets on a given port number
      established  established
      gt           Match only packets with a greater port number
      lt           Match only packets with a lower port number
      neq          Match only packets not on a given port number
      precedence   Match packets with given precedence value
      range        Match only packets in the range of port numbers
      
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ?
      <0-65535>  Port number
      ftp        File Transfer Protocol (21)
      pop3       Post Office Protocol v3 (110)
      smtp       Simple Mail Transport Protocol (25)
      telnet     Telnet (23)
      www        World Wide Web (HTTP, 80)
    R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp
    
    Selanjutnya penambahan match packet. Karena target paket adalah ftp atau port 21, maka pilih eq/equal/samadengan ftp(sesuai opsi disana). Sehingga hasil akhir adalah 
    
    access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp
    

    Allow ping ke Server

    Selanjutnya rule ke 2 yakni mengijinkan ping ke Server.
    
    R1(config)#access-list 125 permit ?
      ahp    Authentication Header Protocol
      eigrp  Cisco's EIGRP routing protocol
      esp    Encapsulation Security Payload
      gre    Cisco's GRE tunneling
      icmp   Internet Control Message Protocol
      ip     Any Internet Protocol
      ospf   OSPF routing protocol
      tcp    Transmission Control Protocol
      udp    User Datagram Protocol
    R1(config)#access-list 125 permit icmp
    
    Buat ACL 125 dengan permit ICMP, karena ping menggunakan protokol ICMP.
    
    R1(config)#access-list 125 permit icmp ?
      A.B.C.D  Source address
      any      Any source host
      host     A single source host
    R1(config)#access-list 125 permit icmp 192.168.1.0 0.0.0.255 ?
      A.B.C.D  Destination address
      any      Any destination host
      host     A single destination host
    R1(config)#access-list 125 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2
    
    Selanjutnya menentukan Source Addressnya berupa netwrok 192.168.1.0/24, dengan targe host 192.168.2.2(Server). Sehingga hasil akhir menjadi.
    
    access-list 125 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2
    
    Jika dibaca "Definisikan ACL 125 dimana SRC Address 192.168.1.0/24 protokol ICMP Target 192.168.2.2 dengan action ALLOW/Diijinkan". Selanjutnya meletakkan ACL 125 ini pada interface yang sesuai.

    Peletakan ACL 125


    ACL 125 diletakkan pada R1 Interface Gig0/2, pada INBOUND Paket(Masuk ke Gig0/2).
    
    R1(config)#interface gigabitEthernet 0/2
    R1(config-if)#ip access-group ?
      <1-199>  IP access list (standard or extended)
      WORD     Access-list name
    R1(config-if)#ip access-group 125 in 
    
    Lanjutkan rule untuk network 192.168.3.0/24 hanya bisa mengakses WEB dan melakukan ping ke server saja.

    Allow akses Web ke Server

    
    R3#configure terminal 
    R3(config)#ip access-list extended WEB_AKSES
    R3(config-ext-nacl)#
    
    Definisikan named acl dengan nama WEB_AKSES
    
    R3(config-ext-nacl)#permit ?
      ahp    Authentication Header Protocol
      eigrp  Cisco's EIGRP routing protocol
      esp    Encapsulation Security Payload
      gre    Cisco's GRE tunneling
      icmp   Internet Control Message Protocol
      ip     Any Internet Protocol
      ospf   OSPF routing protocol
      tcp    Transmission Control Protocol
      udp    User Datagram Protocol
    R3(config-ext-nacl)#permit tcp ?
      A.B.C.D  Source address
      any      Any source host
      host     A single source host
    
    Selanjutnya, parameter pertama adalah actionnya, yakni PERMIT. Ketik ?, lanjutkan dengan protokol TCP.
    
    R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 ?
      A.B.C.D  Destination address
      any      Any destination host
      eq       Match only packets on a given port number
      gt       Match only packets with a greater port number
      host     A single destination host
      lt       Match only packets with a lower port number
      neq      Match only packets not on a given port number
      range    Match only packets in the range of port numbers
    R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host
    R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 ?
      eq           Match only packets on a given port number
      established  established
      gt           Match only packets with a greater port number
      lt           Match only packets with a lower port number
      neq          Match only packets not on a given port number
      range        Match only packets in the range of port numbers
      
    R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www
    
    Sehingga hasil akhir aturan untuk mengijinkan protokol 80/www target 192.168.2.2 adalah
    
    R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www
    

    Allow Ping ke Server

    Dilanjutkan dengan mengijinkan network 192.168.3.0/24 untuk bisa melakukan ping menuju SERVER, sehingga ACL nya adalah
    
    R3(config-ext-nacl)#permit icmp 192.168.3.0 0.0.0.255 host
    

    Peletakan ACL WEB_AKSES


    Nah, kemudian masukan kedua ACL tersebut dalam interface Gig0/2 pada INBOUND Paket.
    
    R3(config)#interface gigabitEthernet 0/2
    R3(config-if)#ip access-group WEB_AKSES in
    R3(config-if)#
    
    Selain 2 rule diatas, otomatis paket akan didrop.

    Pengujian di PC1

    PC1 dapat akses FTP di Server

    PC1 tidak dapat akses Web Server, tampilan hanya blank saja.

    PC1 dapat ping ke Server 192.168.2.2 tapi tidak bisa ping ke PC3 192.168.3.2

    Pengujian di PC3

    PC3 dapat akses keWeb Server di 192.168.2.2

    PC3 tidak bisa akses selain web server, dicoba akse menggunakan FTP namun TimeOut.

    Pengujian Ping di PC3

    Melihat ACL di R1 dan R3

    Untuk melakukan verifikasi di R1 dan R3 bisa menggunakan show access-list. Dengan menggunakan perintah tersebut, akan terlihat conter dari paket yang berhasil difilter.
    
    R1#show access-lists 
    Extended IP access list 125
        10 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp (23 match(es))
        20 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 (4 match(es))
    
    R1#
    
    R3#show access-lists 
    Extended IP access list WEB_AKSES
        10 permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www (41 match(es))
        20 permit icmp 192.168.3.0 0.0.0.255 host 192.168.2.2 (6 match(es))
    
    R3#
    

    Download File Packet Tracer Lab ini

    Kesimpulan

    Extended Access Control List memberikan keleluasaan kepada network administrator untuk menerapkan aturan yang ada pada jaringanya. Peletakan ACL sangat berpengaruh pada traffic yang ada dalam jaringan. Fungsi ? sangat membantu dalam menerapkan aturan ACL.

    Terimakasih, semoga dokumentasi ini bermanfaat. Jangan lupa share dan komentar dibawah.
  • 0 comments:

    Post a Comment

    GET A FREE QUOTE NOW

    Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.

    Search This Blog

    Powered by Blogger.

    Download Modul Cisco sertifikasi CCENT ICND Part 1 100-105

    Dalam modul ini berisi sekitar 26 Lab CCENT. Awalnya modul yang berbentuk PDF ini hanya penulis jadikan sebuah dokumentasi belajar saja, ...

    ADDRESS

    4759, NY 10011 Abia Martin Drive, Huston

    EMAIL

    contact-support@mail.com
    another@mail.com

    TELEPHONE

    +201 478 9800
    +501 478 9800

    MOBILE

    0177 7536213 44,
    017 775362 13