Access Control List Cisco Extended

 Sesuai dengan namanya, Extended ACL, tentunya kemampuan dari access list ini lebih dari access list standard. Extended access list mencocokan paket dengan melihat asal trafik dan tujuannya. Tidak seperti pada standard access list, dimana hanya melihat dari asal trafik. 


Selain itu, access list extended juga mampu melakukan filterisasi trafik berdasarkan protokolnya, misalnya hanya trafik protokol icmp saja yang ingin di-drop. Atau misalnya mengijinkan trafik http untuk beberapa host saja.

Sebagai gambaran, berikut adalah perintah konfiguras access list extended :
access-list [nomor] [action] [protocol] [source] [destination] [extended_parameter]

Saya jelaskan sedikit maksud dari parameter-parameter di atas agar akwan-kawan tidak bingung.

Parameter [nomor] pada numbered ACL mendefinisikan tipe access list terebut. Extended acces list menggunakan penomoran 100-199.

Parameter [action] yakni tindakan dari access list apabila ditemukan kecocokan antara kondisi paket  dengan rule acl. Terdapat tiga action yakni deny, permit, dan remark.

Parameter [source] merupakan definisi asal paket. Apakah paket yang ingin difilter adalah paket yang berasal dari sebuah host atau suatu network. Untuk penjelasan mengenai opsi-opsi di dalam parameter ini bisa kalian lihat pada postingan sebelumnya tentang  konfigurasi access list standard.

Berikutnya, parameter [destination], yakni definisi tujuan paket. Inilah salah satu perbedaan dengan standard ACL, dimana kita harus mendefinisikan tujuan paketnya. Untuk opsi-opsi yang ada di dalam parameter tersebut kurang lebih sama dengan opsi-opsi pada parameter [source].

Kemudian ada parameter yang saya tuliskan sebagai [extended_parameter]. Parameter ini bergantung dari protokol yang kita pilih. Misalnya jika kita akan memfilter protokol tcp, maka pada parameter ini kita dapat menentukan nomor port atau layanan yang ingin di filter, misal http (www/80), ftp (21), atau dns (53).

Baiklah, selanjutnya kita akan masuk ke langkah-langkah konfigurasi access list.

Skenario 1

Sebuah topologi terdiri dari 3 client dan 2 server dihubungkan oleh satu buah router. Client menggunakan network 192.168.1.0 dan subnetmask 255.255.255.0, sedangkan server menggunakan network 172.31.40.0 dan subnetmask 255.255.255.0.

Sebuah aturan baru diterapkan, yakni Layanan HTTP pada Server WWW hanya boleh diakses oleh PC2 dan PC3. Sementara Layanan FTP pada Server FTP hanya boleh diakses oleh PC1 dan PC3.  Trafik yang lainnya diijinkan dan seluruh client juga tetap bisa melakukan ping ke server.
Untuk topologinya adalah sebagai berikut :

Topologi pada skenario 1

Dari pernyataan di atas dapat diperoleh kesimpulan seperti berikut :
  • PC1 tidak bisa mengakses layanan HTTP pada Server WWW
  • PC2 tidak bisa mengakses layanan FTP pada Server FTP
  • Selain trafik yang difilter di atas, trafik yang lain tetap diijinkan

Dengan membuat list seperti ini tentunya akan semakin memperjelas rule apa saja yang harus dibuat. Selanjutnya adalah langkah-langkah konfigurasinya.

Konfigurasi ACL

Ada 2 metode yang bisa digunakan, pertama yakni drop some, accept all. Yang kedua adalah accept some, drop all. Pada skenario ini kita akan menggunakan drop some, accept all. Maksudnya adalah kita hanya akan memblokir trafik-trafik yang tidak diijinkan, kemudian mengijinkan trafik yang lainnya.

Pertama kita buat rule untuk memblokir akses dari PC1 ke Server WWW (HTTP) :
access-list 100 deny tcp host 192.168.1.1 host 172.31.40.1 eq www

Keterangan :
Pada bagian protokol menggunakan tcp, karena tcp merupakan protokol yang membawa paket http request dari client menuju server.

eq merupakan perintah untuk mencocokan paket dengan nomor port atau layanan yang didefinisikan pada rule access list. Pada rule ini kita mendefinisikan layanan www yang akan diblok. Apabila ingin menggunakan nomor port, maka www bisa diganti dengan 80.

Kemudian kita buat rule kedua yakni memblokir akses PC2 ke Server FTP :
access-list 100 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp

Parameter ftp bisa diganti dengan nomor port ftp yakni 21.

Terakhir adalah mengijinkan trafik yang lainnya (termasuk trafik ping dan trafik dari PC3 ke kedua server) :
access-list 100 permit ip any any

Keterangan :
Protokol yang digunakan adalah ip karena protokol ini sudah mencakup protokol-protokol yang lain seperti tcp, udp, dan icmp (termasuk trafik tcp dari PC3).

Kalian juga dapat menggunakan nomor access list selain 100. ACL extended dapat menggunakan nomor dari 100 sampai dengan 199.

Setelah membuat rule ACL, kita bisa melihat list-nya dengan perintah do show access-list
10 deny tcp host 192.168.1.1 host 172.31.40.1 eq www
20 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp
30 permit ip any any

Langkah selanjutnya adalah meletakkan ACL pada interface router. Mengacu pada konsep extended ACL bahwa access list ditempatkan pada interface router yang paling dekat dengan source packet, maka ACL akan diletakkan di interface Gigabit0/1.
interface g0/1
ip access-group 100 in

parameter yang digunakan adalah in, karena trafik yang terjadi pada interface tersebut adalah trafik inbound (dari PC masuk ke interface router).

Apabila masih bingung untuk perbedaan antara in dan out, kamu bisa baca penjelasan tentang access list.

Berikut adalah step by step konfigurasi ACL untuk skenario ini :
R1(config)# access-list 100 deny tcp host 192.168.1.1 host 172.31.40.1 eq www
R1(config)# access-list 100 deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp
R1(config)# access-list 100 permit ip any any
R1(config)#int g0/1
R1(config-if)#ip access-group 100 in

Konfigurasi Named ACL

Konfigurasi di atas merupakan konfigurasi access list menggunakan nomor ACL. Apabila ingin menggunakan nama ACL maka konfigurasinya kurang lebi seperti berikut :
R1(config)#ip access-list extended SKENARIO_1
R1(config-ext-nacl)# deny tcp host 192.168.1.1 host 172.31.40.1 eq www
R1(config-ext-nacl)# deny tcp host 192.168.1.2 host 172.31.40.2 eq ftp
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# exit
R1(config)#int g0/1
R1(config-if)#ip access-group SKENARIO_1 in

Tidak banyak perbedaan selain penggunaan nama untuk mendefinisikan ACL. Kalian bisa menggunakan nama yang lain.

Pengujian

Dari PC1, kita coba untuk mengakses layanan web yang ada pada Server WWW. Apabila di Cisco Packet Tracer, caranya adalah masuk ke menu Desktop pada PC1 kemudian pilih Web Browser.

Mengakses web browser pada Cisco Packet Tracer

Ketikkan ip dari web server pada kolom url, maka akan muncul tampilan Request Timeout

Error pada saat mengakses server WWW

Cobalah untuk mengakses web dari PC2 atau PC3, seharusnya akan muncul tampilan seperti ini :

Tampilan halaman index milik server WWW

Kemudian Pada PC2, kita coba untuk mengakses ftp melalui command prompt. Gunakan perintah ftp [ip address server FTP]. Maka tampilannya akan gagal seperti ini :

Tampilan error saat mengakses ftp

Cobalah untuk mengakses dari PC1 atau PC3, maka seharusnya akan berhasil. Kamu akan diminta username dan password untuk login. Gunakan username cisco dan password cisco.

Tampilan login ketika mengakses ftp

Untuk keluar dari ftp, gunakan perintah quit.

Terkahir, cobalah untuk melakukan ping dari ketiga PC menuju server. Apabila konfigurasi yang dilakukan sudah benar, maka ping akan sukses dengan menghasilkan reply dari server.

Komentar

Postingan populer dari blog ini

Konfigurasi Access List Standard Pada Cisco

Konfigurasi OSPF Multi Area