Lab.27 CCNA Extended ACL for IPv4 - Extended Access Control List, merupakan lab selanjutnya dari Lab.26 CCNA Cara konfigurasi Standard ACL. Extended ACL menggunakan numbered dari 100-199 dan 2000-2699, sehingga total 799 numbered ACL. Extended ACL juga bisa menggunakan mode named ACL.
(Baca juga : Teori dan Lab Standard ACL Cisco)
Extended ACL lebih sering digunakan daripada standard ACL, karena kemampuan melakukan filter yang lebih detil. Selain mampu memfilter Source Address, Extended ACL juga mampu memfilter Destination Address, Protocol dan port.
Extended ACL menggunakan operasi logic seperti equal (eq)/sama dengan, not equal (neq)/tidak sama dengan, greater than (gt)/lebih besar dari, dan less than (lt)/kurang dari. Secara umum berikut ini penulisan extended ACL :
access-list access-list-number {deny|permit|remark} source destination
Sebuah perusahaan menginginkan aturan-aturan agar diterapkan oleh network administrator. Beirkut list aturannya :
1. PC1 hanya diperbolehkan mengakses service FTP pada server
2. PC3 hanya diperbolehkan mengakses service HTTP pada server
3. Masing-masing PC bisa melakukan ping ke server
4. Antara PC tidak bisa saling ping.
Pada topologi diatas, antara ketiga Router sudah dikonfigurasi menggunakan protokol routing OSPF Single Area, sehingga sudah dipastikan sebelumnya antar host saling ping. Berikut langkah-langkahnya :
Allow akses FTP ke Server
Sesuai aturan diatas bahwa PC1 hanya diperbolehkan akses FTP dan Ping. Buat ACL Extended Numbered 125
R1#configure terminal
R1(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
R1(config)#access-list 125
100-199>1-99>
Kemudian beri tanda ? untuk melihat opsi selanjutnya.
R1(config)#access-list 125 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R1(config)#access-list 125 permit
Dilanjutnkan dengan menetukan actionnya, pilih permit
R1(config)#access-list 125 permit ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
R1(config)#access-list 125 permit tcp
Setelah ketik permit, beri tanda ? untuk melihat opsi selanjutnya. Ternyata pemilihan protokol, maka protokol yang dipilih adalah TCP
R1(config)#access-list 125 permit tcp ?
A.B.C.D Source address
any Any source host
host A single source host
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2
Setelah pilih TCP, tentukan sumber/asal dari paket, yakni pada network 192.168.1.0/24. Jika ditulis dengan wildcard mask menjadi 192.168.1.0 0.0.0.255. Setelah menentukan Source Address, selanjutnya adalah destination address atau TARGET nya. Target bisa menggunakan parameter host 192.168.2.2(SERVER).
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 ?
dscp Match packets with given dscp value
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
range Match only packets in the range of port numbers
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
R1(config)#access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp
0-65535>
Selanjutnya penambahan match packet. Karena target paket adalah ftp atau port 21, maka pilih eq/equal/samadengan ftp(sesuai opsi disana). Sehingga hasil akhir adalah
access-list 125 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp
Allow ping ke Server
Selanjutnya rule ke 2 yakni mengijinkan ping ke Server.
R1(config)#access-list 125 permit ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
R1(config)#access-list 125 permit icmp
Buat ACL 125 dengan permit ICMP, karena ping menggunakan protokol ICMP.
R1(config)#access-list 125 permit icmp ?
A.B.C.D Source address
any Any source host
host A single source host
R1(config)#access-list 125 permit icmp 192.168.1.0 0.0.0.255 ?
A.B.C.D Destination address
any Any destination host
host A single destination host
R1(config)#access-list 125 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2
Selanjutnya menentukan Source Addressnya berupa netwrok 192.168.1.0/24, dengan targe host 192.168.2.2(Server). Sehingga hasil akhir menjadi.
access-list 125 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2
Jika dibaca "Definisikan ACL 125 dimana SRC Address 192.168.1.0/24 protokol ICMP Target 192.168.2.2 dengan action ALLOW/Diijinkan". Selanjutnya meletakkan ACL 125 ini pada interface yang sesuai.Peletakan ACL 125
R1(config)#interface gigabitEthernet 0/2
R1(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
WORD Access-list name
R1(config-if)#ip access-group 125 in
1-199>
Lanjutkan rule untuk network 192.168.3.0/24 hanya bisa mengakses WEB dan melakukan ping ke server saja.Allow akses Web ke Server
R3#configure terminal
R3(config)#ip access-list extended WEB_AKSES
R3(config-ext-nacl)#
Definisikan named acl dengan nama WEB_AKSES
R3(config-ext-nacl)#permit ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
R3(config-ext-nacl)#permit tcp ?
A.B.C.D Source address
any Any source host
host A single source host
Selanjutnya, parameter pertama adalah actionnya, yakni PERMIT. Ketik ?, lanjutkan dengan protokol TCP.
R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host
R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 ?
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www
Sehingga hasil akhir aturan untuk mengijinkan protokol 80/www target 192.168.2.2 adalah
R3(config-ext-nacl)#permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www
Allow Ping ke Server
Dilanjutkan dengan mengijinkan network 192.168.3.0/24 untuk bisa melakukan ping menuju SERVER, sehingga ACL nya adalah
R3(config-ext-nacl)#permit icmp 192.168.3.0 0.0.0.255 host
Peletakan ACL WEB_AKSES
Nah, kemudian masukan kedua ACL tersebut dalam interface Gig0/2 pada INBOUND Paket.
R3(config)#interface gigabitEthernet 0/2
R3(config-if)#ip access-group WEB_AKSES in
R3(config-if)#
Selain 2 rule diatas, otomatis paket akan didrop.
Pengujian di PC1
PC1 dapat akses FTP di Server
PC1 tidak dapat akses Web Server, tampilan hanya blank saja.
PC1 dapat ping ke Server 192.168.2.2 tapi tidak bisa ping ke PC3 192.168.3.2
PC3 tidak bisa akses selain web server, dicoba akse menggunakan FTP namun TimeOut.
Pengujian Ping di PC3
PC1 tidak dapat akses Web Server, tampilan hanya blank saja.
PC1 dapat ping ke Server 192.168.2.2 tapi tidak bisa ping ke PC3 192.168.3.2
Pengujian di PC3
PC3 dapat akses keWeb Server di 192.168.2.2PC3 tidak bisa akses selain web server, dicoba akse menggunakan FTP namun TimeOut.
Pengujian Ping di PC3
Melihat ACL di R1 dan R3
Untuk melakukan verifikasi di R1 dan R3 bisa menggunakan show access-list. Dengan menggunakan perintah tersebut, akan terlihat conter dari paket yang berhasil difilter.
R1#show access-lists
Extended IP access list 125
10 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq ftp (23 match(es))
20 permit icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 (4 match(es))
R1#
R3#show access-lists
Extended IP access list WEB_AKSES
10 permit tcp 192.168.3.0 0.0.0.255 host 192.168.2.2 eq www (41 match(es))
20 permit icmp 192.168.3.0 0.0.0.255 host 192.168.2.2 (6 match(es))
R3#
Download File Packet Tracer Lab ini
Silahkan download file PKT untuk Lab.27 CCNA Extended ACL for IPv4 pada link google Drive
Kesimpulan
Extended Access Control List memberikan keleluasaan kepada network administrator untuk menerapkan aturan yang ada pada jaringanya. Peletakan ACL sangat berpengaruh pada traffic yang ada dalam jaringan. Fungsi ? sangat membantu dalam menerapkan aturan ACL.
Terimakasih, semoga dokumentasi ini bermanfaat. Jangan lupa share dan komentar dibawah.
0 comments:
Post a Comment