Lab.26 CCNA Cara konfigurasi Standard ACL - IP Access Control List atau disingkat IP ACL, adalah fitur dari cisco yang mampu mengidentifikasi paket yang melintas melalui dirinya seperti dalam mikrotik fitur firewall nya .
Sebagai contoh sebuah jaringan mempunyai IP Address 192.168.1.0/24, ACL dapat melakukan matching terhadap ip address dengan port 80 agar dilakukan drop. Artinya network 192.168.1.0/24 akses terhadap port 80 akan didrop.
Selain digunakan dalam fitur filtering ACL juga digunakan dalam fitur Quality Of Service (QoS). ACL di cisco mempunyai 2 operasi yakni inbound dan outbound. Aturan ACL harus sesuai dengang paket yang ingin dikenakan atau dengan kata lain matching packet nya.
Ketika aturan ACL cocok dengan paket yang lewat, maka diperlukan action. Action yang bisa diterapkan ada 2 yakni deny atau permit. Deny artinya membuang atau memblok, permit artinya diijinkan atau diperbolehkan.
Ketika aturan ACL cocok dengan paket yang lewat, maka diperlukan action. Action yang bisa diterapkan ada 2 yakni deny atau permit. Deny artinya membuang atau memblok, permit artinya diijinkan atau diperbolehkan.
Tipe ACL
Cisco mempunyai beberapa tipe ACL, diantaranya
- Standard Numbered ACL 1-99
- Extended Numbered ACL 100-199
- Additional ACL Numbers
- Named ACL
Standard ACL
Standad ACL hanya melakukan permit dan deny pada source IPv4 Address. Sebagai contoh, ijinkannetwork traffic dari 192.168.1.0/24, selain itu didrop. Nah, selain traffic dari 192.168.1.0/24, misal trafic dari 192.168.2.25 otomatis akan di deny.
Extended ACL
Paket di filter berdasarkan protocol, source address, destination address,dan lainya yang intinya lebih detil dibanding standart ACL.
Penamaan dan Penomoran ACL
Standad ACL dan Extended ACL dapat dibuat menggunakan nomor atau name, untuk mengidentifikasi aturan ACL. Numbered ACL efektif digunakan dalam jaringan kecil. Dikarenakan nomor tidak memberikan informasi tentang ACL yang berjalan, maka cisco membuat named ACL.
Wilcard Mask
Untuk menentukan wildcard mask, perlu operasi matematika sedikit. Sebagai contoh, sebuah aturan didefinisikan untuk mengijinkan seluruh network pada subnet 192.168.1.0/30, tentukan wildcard masknya. Karena /30 adalah 255.255.255.252, maka untuk mencari wildcard masknya cukup gunakan operasi pengurangan, 255.255.255.255-255.255.255.252=0.0.0.3
Mengenal keyword Host dan Any
Jika terdapat rule 192.168.1.100 0.0.0.0, dapat diganti dengan host 192.168.1.100, artinya hanya ip 192.168.1.100 yang dikenakan aturan.
contoh :
access-list 50 permit 192.168.1.100 0.0.0.0
dapat ditulis
access-list 50 permit host 192.168.1.100
Jika terdapat rule 0.0.0.0 255.255.255.255, dapat diganti dengan any, artinya seluruhnya.
access-list 50 permit 0.0.0.0 255.255.255.255
dapat ditulis
access-list 50 permit any
Panduan menggunakan ACL :
1. ACL diletakkan antara internal network dan external network seperti internet
2. ACL diletakakan untuk mengkontrol traffic yang masuk dan keluar internal network
3. ACL diletakkan pada border network.
ACL harus memenuhi aturan penulisan 3P,yang artinya sebuah ACP hanya dapat dikonfigurasi per Protocol (Ipv4 dan IPv6), Per direction (inbound dan Outbound), dan Per Interface(fa0/1 dll). Jadi, jika sebuah router memiliki 2 interface, dengan protokol IPv4 saja, berapakah rule ACL yang bisa dikonfigurasi di router ini ?
IPv4 - Inbound - fa0/1
IPv4 - Inbound - fa0/2
IPv4 - Outbound - fa0/1
IPv4 - Outbound - fa0/2
Jadi, total active ACL yang bisa dikonfigurasi di router dengan 2 interface, 1 protocol dan 2 direction adalah 2x1x2 = 4 ACL
Bagaimana jika 3 Interface, 2 Protokol dan 2 Direction ? 3x2x2=12 active ACL
ACL harus sesuai dengan policy dalam perusahan tersebut. Setiap ACL juga harus disertai dokumentasi. Sebelum dijalankan pada real production, ACL lebih baik dites menggunakan network simulation terlebih dahulu.
Peletakan ACL
Karena ACL sangat berpengaruh kepada traffic dalam jaringan, maka peletakan ACL menjadi hal yang sangat penting. Extended ACL disarankan diletakkan dekat dengan sumber network yang akan difilter. Sedangkan Standart ACL, karena tidak bisa menetukan destination addressnya(hanya source address saja), maka letakkan aturan ACL kepada Router yang dekat dengan target network.
Konfigurasi Standard ACL
Ingat bahwa standard ACL hanya dapat melihat source address. Numbered ACL, bisa menggunakan angka dari 1-99 dan 1300-1999 sehingga maksimum standar ACL yang bisa diterapkan sebanyak 798 ACL.
access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]
contoh :
access-list 2 deny host 192.168.1.2
access-list 3 permit 192.168.1.0 0.0.0.255
Setelah access-list dibuat, langkah selanjutnya adalah melakukan link ke interface yang ada.
ip access-group { access-list-number | access-list-name } { in | out }
Pada contoh gambar diatas, Company A menginginkan network 192.168.10.0/24 diforwardakn keluar oleh R1, selain itu ditolak. Maka rule yang pas adalah membuat ACL dengan permit network 192.168.10.0/24, diletakkan interface serial 0/0/0 dengan direction Outbound.
Named ACL lebih memudahkan network adminstrator untuk mengetahui ACL yang diterapkan pada networknya.
Sebagai contoh diatas, dengan name ACL NO_ACESS, hanya IP Address 192.168.11.10 saja yang akan di deny, selain itu diijinkan. Selain menggunakan named ACL, opsi remark juga mempermudah network adminstartor.
Pada lab Standard ACL ini menggunakan 3 router yang masing-masing router telah dikonfigurasi Dynamic Routing EIGRP. Jadi, sebelumnya setiap PC dalam network tersebut sudah bisa saling terhubung.
Network Policy
Selanjutnya, seorang Manger dari Perusahaan A, menginginkan beberapa kebijakan terhadap jaringanya, agar diimplemetnasikan oleh Network Administrator . Adapun kebijakan tersebut bisa dirincikan pada list berikut :
1. Network 192.168.1.0/24 hanya boleh diakses oleh network 192.168.3.0/24
2. PC1 yang berada di network 192.168.1.0/24 tidak diijinkan mengakses PC2 di network 192.168.2.0/24
3. Hanya PC3 dan PC4 yang diperbolehkan R3 diforward kan selain itu diblok.
Konfigurasi R1
Merujuk pada rule : Network 192.168.1.0/24 hanya boleh diakses oleh network 192.168.3.0/24
R1#configure terminal
R1(config)#ip access-list standard NO_AKSES
R1(config-std-nacl)#permit 192.168.3.0 0.0.0.255
R1(config-std-nacl)#deny any
R1(config-std-nacl)#exit
R1(config)#interface gigabitEthernet 0/2
R1(config-if)#ip access-group NO_AKSES out
R1(config-if)#
Rule diatas menggunakan named ACL NO_AKSES didefinisikan permit/ijinkan network 192.168.3.0/24, diterapkan pada OUTBOND interface Gig0/2Konfigurasi R2
Merujuk pada rule : PC1 yang berada di network 192.168.1.0/24 tidak diijinkan mengakses PC2 di network 192.168.2.0/24
R2#configure terminal
R2(config)#no access-list 33
R2(config)#access-list 33 deny host 192.168.1.2
R2(config)#access-list 33 permit any
R2(config)#interface gigabitEthernet 0/2
R2(config-if)#ip access-group 33 out
R2(config-if)#end
Rule/aturan diatas menggunakan NUMBERED ACL 33, dengan memblok host 192.168.1.2, diterapkan pada OUTBOND interface Gig0/2 yang menuju PC2Konfigurasi R3
Merujuk pada rule : Hanya PC3 dan PC4 yang diperbolehkan R3 diforward kan selain itu diblok.
R3#configure terminal
R3(config)#ip access-list standard BLOK_PC5
R3(config-std-nacl)#remark Melakukan blok PC 5 - 192.168.3.4
R3(config-std-nacl)#deny 192.168.3.4
R3(config-std-nacl)#permit any
R3(config-std-nacl)#exit
R3(config)#interface gigabitEthernet 0/2
R3(config-if)#ip access-group BLOK_PC5 in
R3(config-if)#end
Yang terakhir, rule diatas R3 tidak mengijinkan host 192.168.3.4 PC5, untuk memasuki jaringan, baik ke network 192.168.1.0/24 atau 192.168.2.0/24, namun host lain diperbolehkan. Maka, aturan yang cocok, sehingga tidak mengganggu yang lainya adalah diterapkan pada direction INBOUND pada interface Gig0/2
Pengujian
Pengujian dilakukan dengan melakukan ping antar PC sesuai 3 aturan/kebijakan diatas. Kemudian, pengujian juga bisa dilakukan pada sisi router. Contohnya R2 dibawah ini .
R2#show access-lists
Standard IP access list 33
10 deny host 192.168.1.2 (1 match(es))
20 permit any (107 match(es))
R2#
Terlihat menggunakan show access-list jumlah aturan yang cocok dengan paket yang lewat di R2Download file PKT
Silahkan download file PKT Lab.26 Cara konfigurasi Standard ACL, link tersebut berada pada google drive.
Kesimpulan
Fitur ACL Standard ini cocok digunakan pada jaringan skala kecil, dimana ACL Standard ini memiliki keterbatasan dengan hanya melihat Source Address/Sumber Alamat. Option Remark dapat membantu network Admistrator untuk mengetahui seluruh aturan yang sudah diterapkan pada jaringanya.
Lab selanjuntya Standard IPv6 ACL dan Extended ACL, Semoga bermanfaat, jangan lupa untuk klik Share dibawah ini. Kritik dan saran selalu penulis nantikan.Terimakasih.
Lab selanjuntya Standard IPv6 ACL dan Extended ACL, Semoga bermanfaat, jangan lupa untuk klik Share dibawah ini. Kritik dan saran selalu penulis nantikan.Terimakasih.
0 comments:
Post a Comment