2. ACL(Access Control List) extended
Digunakan untuk mendeny atau permit sebuah source network/hostname/IP yang menuju ke network tertentu yang lebih specific sebagai contoh deny http,icmp(ping),UTP maupun UDP. ACL ini punya range access listnya dari 100-199.
Command yang digunakan adalah sebagai berikut:
Digunakan untuk mendeny atau permit sebuah source network/hostname/IP yang menuju ke network tertentu yang lebih specific sebagai contoh deny http,icmp(ping),UTP maupun UDP. ACL ini punya range access listnya dari 100-199.
Command yang digunakan adalah sebagai berikut:
R1(config)#access-list 100 permit tcp ip address1 wildcard1 ip address2
wildcard2 eq www
R1(config)#access-list 100 deny icmp ip address1 wildcard1 ip address2 wildcard2
.
.
R1(config)#access- list 100 permit any any
R1(config)#interface
R1(config-if)#ip access-group 100 out
Sebagai aturan umum dalam ACL extended adalah harus memperhatikan sequence konfigurasinya . Sequencenya adalah me list seluruh IP yang ingin di configure lalu tambahkan deny/permit any, setelah itu masukkan ip tersebut dalam sebuah class. Jika ACL standard kita menggrupkan ACL tesebut dalam sebuah group bukan class.
R1(config)#access-list 100 deny icmp ip address1 wildcard1 ip address2 wildcard2
.
.
R1(config)#access- list 100 permit any any
R1(config)#interface
R1(config-if)#ip access-group 100 out
Sebagai aturan umum dalam ACL extended adalah harus memperhatikan sequence konfigurasinya . Sequencenya adalah me list seluruh IP yang ingin di configure lalu tambahkan deny/permit any, setelah itu masukkan ip tersebut dalam sebuah class. Jika ACL standard kita menggrupkan ACL tesebut dalam sebuah group bukan class.
Sebelumnya kita sudah menggunakan ACL standard pada jaringan
tersebut dengan rule tertentu. Sekarang kita akan coba megganti menjdai ACL
extended dengan rule yang berbeda pula. Adapun rulenya adalah sebagai berikut:
Hanya LAN C yang boleh mengakses
HTTP pada server 1 di LAN D, Hanya PC5 yang boleh ping ke server1, dan hanya
Laptop 1 yang tidak boleh mengakses telnet di R3.
Tugas awal kita adalah menonaktifkan rule ACL standard terlebih dahulu dengan cara:
Tugas awal kita adalah menonaktifkan rule ACL standard terlebih dahulu dengan cara:
Non aktifkan access list 1 nya dan pada
interface non aktifkan pula ip access group 1 outnya
R1:
R1:
R4:
Jika kita lupa interface dan list berapa yang digunakann
bisa dilihat pada command R1#sh run
Sekarang kita akan mulai melakukan setting ACL extended
secara step by step dengan ketentuan sebagai berikut:
1. Hanya LAN C yang boleh mengakses HTTP pada server 1 di LAN D,
Dalam hal ini LAN D yang akan menjadi target destination maka kita akan setting rule ini di R4,dengan informasi yang ada yaitu:
IP LAN C: 192.168.30.0
Wildcard LAN C: 0.0.0.255
IP LAN D: 192.168.40.0
Wildcard LAN D: 0.0.0.255
buatlah command sebagai berikut:
R4(config)#access-list 100 permit tcp 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255 eq www.
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
eq berarti equal (sama). Disini kita bisa terjemahkan commandnya adalah ACL extended yang ditandai dengan adanya angka 100 akan mengizinkan IP LAN C menuju IP LAN D dalam hal hanya mengakses layanan tcp yaitu website(www) atau secara umum disebut boleh mengakses http LAN D.
2. Hanya PC5 yang boleh ping ke server2,
PC5 berada dijaringan LAN B , maka dengan ketentuan ini PC5 yang hanya bisa melakukan ping(icmp) ke server 1 yang terdapat pada LAN D. karena ini berhubungan dengan hak akses LAN D maka kita setting rule tersebut di R4 juga.
buatlah command sebagai berikut:
R4(config)#access-list 100 permit icmp host 192.168.20.15 host 192.168.40.1
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
1. Hanya LAN C yang boleh mengakses HTTP pada server 1 di LAN D,
Dalam hal ini LAN D yang akan menjadi target destination maka kita akan setting rule ini di R4,dengan informasi yang ada yaitu:
IP LAN C: 192.168.30.0
Wildcard LAN C: 0.0.0.255
IP LAN D: 192.168.40.0
Wildcard LAN D: 0.0.0.255
buatlah command sebagai berikut:
R4(config)#access-list 100 permit tcp 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255 eq www.
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
eq berarti equal (sama). Disini kita bisa terjemahkan commandnya adalah ACL extended yang ditandai dengan adanya angka 100 akan mengizinkan IP LAN C menuju IP LAN D dalam hal hanya mengakses layanan tcp yaitu website(www) atau secara umum disebut boleh mengakses http LAN D.
2. Hanya PC5 yang boleh ping ke server2,
PC5 berada dijaringan LAN B , maka dengan ketentuan ini PC5 yang hanya bisa melakukan ping(icmp) ke server 1 yang terdapat pada LAN D. karena ini berhubungan dengan hak akses LAN D maka kita setting rule tersebut di R4 juga.
buatlah command sebagai berikut:
R4(config)#access-list 100 permit icmp host 192.168.20.15 host 192.168.40.1
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
Secara keseluruhan di R4 settingannya adalah sbb:
R4(config)#access-list 100 permit tcp 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255 eq www
R4(config)#access-list 100 permit icmp host 192.168.20.15 host 192.168.40.1
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
R4(config)#access-list 100 permit tcp 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255 eq www
R4(config)#access-list 100 permit icmp host 192.168.20.15 host 192.168.40.1
R4(config)#int fa 1/0
R4(config)#ip access-group 100 out
3. hanya Laptop 1 yang tidak boleh mengakses
telnet di R3.
kita ketahui Laptop 1 berada pada jaringan LAN C, dan dalam hal ini hanya Laptop 1 yang tidak boleh telnet ke R3.Maka nantinya kita akan setting rule ini di R3
kita ketahui Laptop 1 berada pada jaringan LAN C, dan dalam hal ini hanya Laptop 1 yang tidak boleh telnet ke R3.Maka nantinya kita akan setting rule ini di R3
Sebagai prerequisite, existing jaringan yang
kita buat belum ada fungsi telnetnya, maka dalam hal ini berkaitan dengan soal
kita harus buat telnet di R3 terlebih dahulu:
Sekarang buatlah command sebagi berikut:
R1(config)#access -list 100 deny tcp host 192.168.30.12 any eq telnet
R1(config)#access-list 100 permit tcp any any
R1(config)#line vty 0 4
R1(config)#access-class 100 in
insert command tersebut ke masing2 router:
R1(config)#access -list 100 deny tcp host 192.168.30.12 any eq telnet
R1(config)#access-list 100 permit tcp any any
R1(config)#line vty 0 4
R1(config)#access-class 100 in
insert command tersebut ke masing2 router:
R4:
R3:
Dan hasil uji coba untuk soal nomer 1 dan 2:
Sebagai prerequisite setting server 2 sebagi
berikut:
1. Aktifkan fungsi HTTP servernya dan saya coba ubah tapilan aksesny dengan judul: Anda ingin sukses?
hal ini hanya ingin membedakan isi website yang ada pada server 1 dan server 2.
1. Aktifkan fungsi HTTP servernya dan saya coba ubah tapilan aksesny dengan judul: Anda ingin sukses?
hal ini hanya ingin membedakan isi website yang ada pada server 1 dan server 2.
2. Aktifkan pula DHCP servernya
3. setting domain name yang mengarahkan ke server2 dalam hal
ini situsnya: www.sukses.com
4. Lalu ubah DNS server pada laptop 1 jika kita ingin akses dengan
www. jika hanya ingin menguji rule saja tanpa perlu mengubah DNS server pada
user ketikkan saja ipnya pada web browser: 192.168.40.1.
Sekarang lakukan LAN C akses ke server 2. Contoh dari Laptop
1 ke server2:
Terbukti
bisa mengakses server 2 coba lakukan pada PC3 apakah bisa atau tidak
Jika bukan pada jaringan LAN C , computer tidak bisa akses
server2 dan ini menyatakan konfig kita berhasil. Perlu diperhatikan bahwa LAN C
hanya bisa akses website saj jika kita melakukan ping tidak akan bisa. Inilah
yang dinyatakan dengan ACL extended yang membuat fungsi akses hanya akses
specific saja.Lakukan pula pengujian selanjutnya yaitu hanya PC 3 yang bisa ping keserver.
Hasil uji coba untuk soal nomor 3:
Jika di coba telnet dari Laptop 1 ke R3 di deny dan ini
menyatakan konfig berhasil
Sedangkan
untuk telnet dari PC6 ke R3 bisa ,dengan masuk password telnet yaitu:telnet
Tapi
disini kita tidak bisa masuk ke privilege karena belum di set enable pada R3 ,
ingat kembali untuk setting enable , dan ini dia caranya:masuk dahulu ke R3
lalu masukkan command ini: R3(config)#enable password cisco
(password enablenya adalah cisco). Jangan lupa berikan pula konfigurasi
consolenya
Terima kasih Ilmunya
BalasHapuskereeeen
BalasHapuskunjungan baliknya dong :-)
BalasHapusulunwiji.blogspot.com