-->

  • Lab.26 CCNA Cara konfigurasi Standard ACL

    Lab.26 Cara konfigurasi Standard ACL
    Lab.26 CCNA Cara konfigurasi Standard ACL - IP Access Control List atau disingkat IP ACL, adalah fitur dari cisco yang mampu mengidentifikasi paket yang melintas melalui dirinya seperti dalam mikrotik fitur firewall nya .

    Sebagai contoh sebuah jaringan mempunyai IP Address 192.168.1.0/24, ACL dapat melakukan matching terhadap ip address dengan port 80 agar dilakukan drop. Artinya network 192.168.1.0/24 akses terhadap port 80 akan didrop.

    Selain digunakan dalam fitur filtering ACL juga digunakan dalam fitur Quality Of Service (QoS). ACL di cisco mempunyai 2 operasi yakni inbound dan outbound.  Aturan ACL harus sesuai dengang paket yang ingin dikenakan atau dengan kata lain matching packet nya.

    Ketika aturan ACL cocok dengan paket yang lewat, maka diperlukan action. Action yang bisa diterapkan ada 2 yakni deny atau permit. Deny artinya membuang atau memblok, permit artinya diijinkan atau diperbolehkan.

    Tipe ACL

    Cisco mempunyai beberapa tipe ACL, diantaranya 
    • Standard Numbered ACL 1-99
    • Extended Numbered ACL 100-199
    • Additional ACL Numbers
    • Named ACL

    Standard ACL

    Standad ACL hanya melakukan permit dan deny pada source IPv4 Address. Sebagai contoh, ijinkannetwork traffic dari 192.168.1.0/24, selain itu didrop. Nah, selain traffic dari 192.168.1.0/24, misal trafic dari 192.168.2.25 otomatis akan di deny.

    Extended ACL

    Paket di filter berdasarkan protocol, source address, destination address,dan lainya yang intinya lebih detil dibanding standart ACL.

    Penamaan dan Penomoran ACL

    Standad ACL dan Extended ACL dapat dibuat menggunakan nomor atau name, untuk mengidentifikasi aturan ACL. Numbered ACL efektif digunakan dalam jaringan kecil. Dikarenakan nomor tidak memberikan informasi tentang ACL yang berjalan, maka cisco membuat named ACL.

    Wilcard Mask

    Untuk menentukan wildcard mask, perlu operasi matematika sedikit. Sebagai contoh, sebuah aturan didefinisikan untuk mengijinkan seluruh network pada subnet 192.168.1.0/30, tentukan wildcard masknya. Karena /30 adalah 255.255.255.252, maka untuk mencari wildcard masknya cukup gunakan operasi pengurangan, 255.255.255.255-255.255.255.252=0.0.0.3

    Mengenal keyword Host dan Any

    Jika terdapat rule 192.168.1.100 0.0.0.0, dapat diganti dengan host 192.168.1.100, artinya hanya ip 192.168.1.100 yang dikenakan aturan.
    contoh : 
    access-list 50 permit 192.168.1.100 0.0.0.0
    dapat ditulis
    access-list 50 permit host 192.168.1.100

    Jika terdapat rule 0.0.0.0 255.255.255.255, dapat diganti dengan any, artinya seluruhnya.
    access-list 50 permit 0.0.0.0 255.255.255.255
    dapat ditulis
    access-list 50 permit any

    Panduan menggunakan ACL :
    1. ACL diletakkan antara internal network dan external network seperti internet
    2. ACL diletakakan untuk mengkontrol traffic yang masuk dan keluar internal network
    3. ACL diletakkan pada border network.

    ACL harus memenuhi aturan penulisan 3P,yang artinya sebuah ACP hanya dapat dikonfigurasi per Protocol (Ipv4 dan IPv6), Per direction (inbound dan Outbound), dan Per Interface(fa0/1 dll). Jadi, jika sebuah router memiliki 2 interface, dengan protokol IPv4 saja, berapakah rule ACL yang bisa dikonfigurasi di router ini ?

    IPv4 - Inbound - fa0/1
    IPv4 - Inbound - fa0/2
    IPv4 - Outbound - fa0/1
    IPv4 - Outbound - fa0/2

    Jadi, total active ACL yang bisa dikonfigurasi di router dengan 2 interface, 1 protocol dan 2 direction adalah 2x1x2 = 4 ACL

    Bagaimana jika 3 Interface, 2 Protokol dan 2 Direction ? 3x2x2=12 active ACL

    ACL harus sesuai dengan policy dalam perusahan tersebut. Setiap ACL juga harus disertai dokumentasi. Sebelum dijalankan pada real production, ACL lebih baik dites menggunakan network simulation terlebih dahulu.

    Peletakan ACL

    Karena ACL sangat berpengaruh kepada traffic dalam jaringan, maka peletakan ACL menjadi hal yang sangat penting. Extended ACL disarankan diletakkan dekat dengan sumber network yang akan difilter. Sedangkan Standart ACL, karena tidak bisa menetukan destination addressnya(hanya source address saja), maka letakkan aturan ACL kepada Router yang dekat dengan target network.

    Konfigurasi Standard ACL

    Ingat bahwa standard ACL hanya dapat melihat source address. Numbered ACL, bisa menggunakan angka  dari 1-99 dan 1300-1999 sehingga maksimum standar ACL yang bisa diterapkan sebanyak 798 ACL.

    access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ] 

    contoh : 
    access-list 2 deny host 192.168.1.2
    access-list 3 permit 192.168.1.0 0.0.0.255

    Setelah access-list dibuat, langkah selanjutnya adalah melakukan link ke interface yang ada.

    ip access-group { access-list-number | access-list-name } { in | out }
    Lab.26 Cara konfigurasi Standard ACL
    Pada contoh gambar diatas, Company A menginginkan network 192.168.10.0/24 diforwardakn keluar oleh R1, selain itu ditolak. Maka rule yang pas adalah membuat ACL dengan permit network 192.168.10.0/24, diletakkan interface serial 0/0/0 dengan direction Outbound.

    Named ACL lebih memudahkan network adminstrator untuk mengetahui ACL yang diterapkan pada networknya.
    Sebagai contoh diatas, dengan name ACL NO_ACESS, hanya IP Address 192.168.11.10 saja yang akan di deny, selain itu diijinkan. Selain menggunakan named ACL, opsi remark juga mempermudah network adminstartor.
    Yuk, langsung menuju lab saja.Lab.26 Cara konfigurasi Standard ACL
    Pada lab Standard ACL ini menggunakan 3 router yang masing-masing router telah dikonfigurasi Dynamic Routing EIGRP. Jadi, sebelumnya setiap PC dalam network tersebut sudah bisa saling terhubung.

    Network Policy

    Selanjutnya, seorang Manger dari Perusahaan A, menginginkan beberapa kebijakan terhadap jaringanya, agar diimplemetnasikan oleh Network Administrator . Adapun kebijakan tersebut bisa dirincikan pada list berikut :
    1. Network 192.168.1.0/24 hanya boleh diakses oleh network 192.168.3.0/24
    2. PC1 yang berada di network 192.168.1.0/24 tidak diijinkan mengakses PC2 di network 192.168.2.0/24
    3. Hanya PC3 dan PC4 yang diperbolehkan R3 diforward kan selain itu diblok.

    Konfigurasi R1

    Merujuk pada rule : Network 192.168.1.0/24 hanya boleh diakses oleh network 192.168.3.0/24
    
    R1#configure terminal 
    R1(config)#ip access-list standard NO_AKSES
    R1(config-std-nacl)#permit 192.168.3.0 0.0.0.255
    R1(config-std-nacl)#deny any 
    R1(config-std-nacl)#exit
    R1(config)#interface gigabitEthernet 0/2
    R1(config-if)#ip access-group NO_AKSES out
    R1(config-if)#
    
    Rule diatas menggunakan named ACL NO_AKSES didefinisikan permit/ijinkan network 192.168.3.0/24, diterapkan pada OUTBOND interface Gig0/2

    Konfigurasi R2

    Merujuk pada rule : PC1 yang berada di network 192.168.1.0/24 tidak diijinkan mengakses PC2 di network 192.168.2.0/24
    
    R2#configure terminal 
    R2(config)#no access-list 33
    R2(config)#access-list 33 deny host 192.168.1.2
    R2(config)#access-list 33 permit any 
    R2(config)#interface gigabitEthernet 0/2
    R2(config-if)#ip access-group 33 out 
    R2(config-if)#end
    
    Rule/aturan diatas menggunakan NUMBERED ACL 33, dengan memblok host 192.168.1.2, diterapkan pada OUTBOND interface Gig0/2 yang menuju PC2

    Konfigurasi R3

    Merujuk pada rule : Hanya PC3 dan PC4 yang diperbolehkan R3 diforward kan selain itu diblok.
    
    R3#configure terminal 
    R3(config)#ip access-list standard BLOK_PC5
    R3(config-std-nacl)#remark Melakukan blok PC 5 - 192.168.3.4
    R3(config-std-nacl)#deny 192.168.3.4
    R3(config-std-nacl)#permit any 
    R3(config-std-nacl)#exit
    R3(config)#interface gigabitEthernet 0/2
    R3(config-if)#ip access-group BLOK_PC5 in
    R3(config-if)#end
    
    Yang terakhir, rule diatas R3 tidak mengijinkan host 192.168.3.4 PC5, untuk memasuki jaringan, baik ke network 192.168.1.0/24 atau 192.168.2.0/24, namun host lain diperbolehkan. Maka, aturan yang cocok, sehingga tidak mengganggu yang lainya adalah diterapkan pada direction INBOUND pada interface Gig0/2

    Pengujian

    Pengujian dilakukan dengan melakukan ping antar PC sesuai 3 aturan/kebijakan diatas. Kemudian, pengujian juga bisa dilakukan pada sisi router. Contohnya R2 dibawah ini .
    
    R2#show access-lists 
    Standard IP access list 33
        10 deny host 192.168.1.2 (1 match(es))
        20 permit any (107 match(es))
    
    R2#
    
    Terlihat menggunakan show access-list jumlah aturan yang cocok dengan paket yang lewat di R2

    Download file PKT

    Silahkan download file PKT Lab.26 Cara konfigurasi Standard ACL, link tersebut berada pada google drive.

    Kesimpulan

    Fitur ACL Standard ini cocok digunakan pada jaringan skala kecil, dimana ACL Standard ini memiliki keterbatasan dengan hanya melihat Source Address/Sumber Alamat. Option Remark dapat membantu network Admistrator untuk mengetahui seluruh aturan yang sudah diterapkan pada jaringanya.

    Lab selanjuntya Standard IPv6 ACL dan Extended ACL, Semoga bermanfaat, jangan lupa untuk klik Share dibawah ini. Kritik dan saran selalu penulis nantikan.Terimakasih.
  • 0 comments:

    Post a Comment

    GET A FREE QUOTE NOW

    Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.

    Search This Blog

    Powered by Blogger.

    Download Modul Cisco sertifikasi CCENT ICND Part 1 100-105

    Dalam modul ini berisi sekitar 26 Lab CCENT. Awalnya modul yang berbentuk PDF ini hanya penulis jadikan sebuah dokumentasi belajar saja, ...

    ADDRESS

    4759, NY 10011 Abia Martin Drive, Huston

    EMAIL

    contact-support@mail.com
    another@mail.com

    TELEPHONE

    +201 478 9800
    +501 478 9800

    MOBILE

    0177 7536213 44,
    017 775362 13