Setelah Standard Access List sekarang saya akan membahas Extended Access List,
Extended Access List tidak jauh berbeda
dengan Standard Access List yaitu sebuah list/daftar
hak akses suatu paket yang berasal dari suatu alamat IP Host/Network yang diizinkan (permit), atau ditolak (deny) untuk diteruskan sampai pada tujuannya
. bedanya Extended Access List dapat memfilter sebuah
paket tidak hanya berdasarkan alamat IP Host/Network sumber (Src Address) paket tersebut, tetapi juga melihat
alamat IP Host/Network tujuan paket tersebut bahkan hingga protokol paket tersebut, sehingga jika menggunakan
Extended Access List paket-paket yang akan difilter lebih spesifik dan detail. Extended Access List menggunakan nomor identifikasi 100 - 199.
Berikut ini sintaks untuk melakukan konfigurasi Extended Access List pada Router Cisco :
Buat sebuah Access-List dan tentukan beberapa informasi paket yang akan diizinkan atau diblokir seperti alamat IP sumber dan tujuan, dan protokol yang digunakan paket tersebut :
Router(config)#access-list [no access-list] {permit|deny} [protokol] host [alamat IP host sumber] host [alamat IP Host tujuan] eq [nomor port/jenis layanan]
- Permit untuk mengizinkan paket tersebut, sedangkan Deny untuk memblokir paket tersebut.
- Protokol merupakan jenis protokol paket, yang paling sering adalah TCP, UDP, ICMP, IP
- Jenis Layanan merupakan jenis layanan yang dimita paket tersebut, dapat berupa Web Server www, FTP Server ftp, atau anda dapat memasukan nomor port sendiri sesuai jenis layanan. *Ini hanya sebagian kecil sintaks yang saya perlihatkan, untuk extended sebenarnya sintaksnya sangat banyak dan saya tidak memperlihatkan semuanya
Router(config)#interface [type] [slot/number] Router(config-if)#ip access-group [no access-list] {in|out}
- In artinya daftar access-list tersebut diberlakukan pada setiap paket yang masuk pada Interface tersebut.
- Out artinya daftar access-list tersebut diberlakukan pada setiap paket yang keluar pada Interface tersebut.
Topologi |
Berikut ini adalah tujuan dari topologi diatas :
Mengatur alamat IP
Pertama kita masukan alamat IP pada tiap Interface Router dan masing-masing PC/Host dan Server.- Router Tengah (ExACL) Atur hostname :
Router>en Router#conf t Router(config)#hostname ExACLBerikan alamat IP 192.168.1.1/24 pada Interface yang terhubung pada SW1
ExACL(config)#int g0/1 ExACL(config-if)#ip add 192.168.1.1 255.255.255.0 ExACL(config-if)#no sh ExACL(config-if)#exitBerikan alamat IP 36.36.36.1/24 pada Interface yang terhubung pada SW2
ExACL(config)#int g0/0 ExACL(config-if)#ip add 36.36.36.1 255.255.255.0 ExACL(config-if)#no sh ExACL(config-if)#exitSetelah Router selesai sekarang kita lanjut pada PC dan Server.
Alamat IP setiap PC |
Alamat IP setiap Server |
PC0 > Web Server
Packet Tracer PC Command Line 1.0 PC>ping 36.36.36.2 Pinging 36.36.36.2 with 32 bytes of data: Request timed out. Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Ping statistics for 36.36.36.2: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PC>
Lalu akses http://36.36.36.2 dari Web Browser PC0 :
PC1 > FTP Server
Packet Tracer PC Command Line 1.0 PC>ping 36.36.36.3 Pinging 36.36.36.3 with 32 bytes of data: Request timed out. Reply from 36.36.36.3: bytes=32 time=12ms TTL=127 Reply from 36.36.36.3: bytes=32 time=0ms TTL=127 Reply from 36.36.36.3: bytes=32 time=1ms TTL=127 Ping statistics for 36.36.36.3: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 12ms, Average = 4ms PC>
Coba akses FTP 36.36.36.3 lewat command prompt PC1 :
Pastikan semuanya berhasil, jika berhasil maka konfigurasi alamat IP selesai. Setelah konfigurasi alamat IP selesai, selanjutnya konfigurasi Extended Access List :
Konfigurasi Extended Access List
Saya membuat nomor access-list 100 lalu buat daftar hak akses PC0 (192.168.1.10) untuk tidak dapat mengakses layanan Web Server pada Server 36.36.36.2ExACL(config)#acc 100 deny tcp host 192.168.1.10 host 36.36.36.2 eq wwwLalu untuk PC1 (192.168.1.20) saya batasi agar tidak dapat mengakses layanan FTP pada Server 36.36.36.3
ExACL(config)#acc 100 deny tcp host 192.168.1.20 host 36.36.36.3 eq ftpAgar antar PC dan Server masih dapat saling melakukan PING, maka paket berbentuk IP masih dibolehkan dari sumber mana saja dan tujuan mana saja :
ExACL(config)#acc 100 permit ip any anyLalu masuk pada Konfigurasi Interface yang terhubung pada Server, pada topologi ini adalah Interface g0/0, dan terapkan access-list tadi untuk setiap paket yang keluar melalui Interface tersebut :
ExACL(config)#int g0/0 ExACL(config-if)#ip access-group 100 out ExACL(config-if)#exitSetelah itu coba lakukan PING dari masing-masing PC menuju Server :
Lalu coba akses http://36.36.36.2 lewat Web Server PC0 :PC0 > Web Server
PC>ping 36.36.36.2 Pinging 36.36.36.2 with 32 bytes of data: Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Reply from 36.36.36.2: bytes=32 time=14ms TTL=127 Reply from 36.36.36.2: bytes=32 time=0ms TTL=127 Ping statistics for 36.36.36.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 14ms, Average = 3ms PC>
Jika ada tulisan Request Time Out, artinya paket TCP yang dikirim PC0 tidak sampai pada tujuan/tidak dibalas oleh tujuan. ini tandanya konfigurasi yang pertama berhasil.
Lalu coba akses layanan FTP 36.36.36.3 dari command prompt PC1 :PC1 > FTP Server
PC>ping 36.36.36.3 Pinging 36.36.36.3 with 32 bytes of data: Reply from 36.36.36.3: bytes=32 time=0ms TTL=127 Reply from 36.36.36.3: bytes=32 time=0ms TTL=127 Reply from 36.36.36.3: bytes=32 time=0ms TTL=127 Reply from 36.36.36.3: bytes=32 time=1ms TTL=127 Ping statistics for 36.36.36.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 1ms, Average = 0ms PC>
Jika gagal (request timed out) artinya paket TCP yang dikirim PC1 tidak sampai pada tujuan. ini tandanya konfigurasi yang kedua berhasil.
pada topologi ini walaupun antar PC dan Server dapat saling melakukan PING atau mengirim paket ICMP, akan tetapi ketika mengakses Web Server dan FTP tidak dapat terhubung karena ketika itu PC akan mengirim paket TCP dan ketika paket TCP tersebut sampai di Router paket tersebut diblokir. coba lihat informasi Access-List pada Router dengan mengetikan sh access-list :
ExACL#sh access-lists Extended IP access list 100 10 deny tcp host 192.168.1.10 host 36.36.36.2 eq www (12 match(es)) 20 deny tcp host 192.168.1.20 host 36.36.36.3 eq ftp (12 match(es)) 30 permit ip any any (12 match(es))Tulisan [angka] match(es) merupakan jumlah paket yang terkena filter oleh list tersebut.
Sekian Terima Kasih, mohon maaf jika kata-katanya tidak jelas
Komentar
Posting Komentar