ACL adalah daftar
kondisi yang digunakan untuk mengetes trfaik jaringan yang mencoba melewati
interface router. Daftar ini memberitahu router paket-paket mana yang akan
diterima atau ditolak. Penerimaan dan penolakan berdasarkan kondisi tertentu.
Untuk mem-filter trafik
jaringa, ACL menentukan jika paket itu dilewatkan atau diblok pada interface
router. Router ACL membuat keputusan berdasarkan alamat asal, alamat tujuan,
protokol, dan nomor port.
ACL harus didefinisikan
berdasarkan protokol, arah atau port. Untuk mengontrol aliran trafik pada
interface, ACL harus didefinisikan setiap protokol pada interface. ACL kontrol
trafik pada satu arah dalam interface. Dua ACL terpisah harus dibuat untuk
mengontrol trafik inbound dan outbound. Setiap interface boleh memiliki banyak
protokol dan arah yang sudah didefinisikan. Jika router mempunyai dua interface
diberi IP, AppleTalk dan IPX, maka dibutuhkan 12 ACL. Minimal harus ada satu
ACL setiap interface.
Jenis ACL:
Standard ACL
Standard ACL hanya
menggunakan alamat sumber IP di dalam paket IP sebagai kondisi yang ditest.
Semua keputusan dibuat berdasarkan alamat IP sumber. Ini artinya, standard ACL
pada dasarnya melewatkan atau menolak seluruh paket protocol. ACL ini tidak
membedakan tipe dari lalu lintas IP seperti WWW, telnet, UDP, DSP.
Extended ACL
Extended ACL bisa
mengevalusai banyak field lain pada header layer 3 dan layer 4 pada paket IP.
ACL ini bisa mengevaluasi alamat IP sumber dan tujuan, field protocol pada
header network layer dan nomor port pada header transport layer. Ini memberikan
extended ACL kemampuan untuk membuat keputusan-keputusan lebih spesifik ketika
mengontrol lalu lintas.
Keterangan
Standard Access List
Standard IP ACL
memfilter lalu lintas network dengan menguji alamat sumber IP didalam paket.
Kita membuat standard IP ACL dengan menggunakan nomor ACL 1-99 atau
1300-1999(expanded range).Tipe ACL pada ummnya dibedakan berdasarkan nomor yang
digunakan ketika ACL dibuat, router akan mengetahui tipe syntax yang diharapkan
untuk memesukkanpdaftar.
Dengan menggunakan nomor 1-99 atau 1300-1999, kita memberitahukan kepada router bahwa kita ingin membuat IPACL, jadi router akan mengharapkan syntax yang hana menspesifikasikan alamat sumber IP pada baris pengujian.
Banyak range nomor ACL pada contoh dibawah ini yang bisa kita gunakan untuk memfilter lalu lintas pada jaringan kita (protocol yang bisa kita terapkan ACL bisa tergantung pada versi IOS kita) :
Dengan menggunakan nomor 1-99 atau 1300-1999, kita memberitahukan kepada router bahwa kita ingin membuat IPACL, jadi router akan mengharapkan syntax yang hana menspesifikasikan alamat sumber IP pada baris pengujian.
Banyak range nomor ACL pada contoh dibawah ini yang bisa kita gunakan untuk memfilter lalu lintas pada jaringan kita (protocol yang bisa kita terapkan ACL bisa tergantung pada versi IOS kita) :
TIPE ACL |
NUMBER
RANGE/IDENTIFIER
|
Standard
IP Extended Named |
1-99,1300-1999
100-1999,2000-2699 Name |
ContohLStandardOACL
Standard ACL untuk menghentikan user tertentu mendapatkan akses ke LAN Department Finance.
Pada gambar, router mempunyai 3 koneksi LAN dan 1 koneksi WAN ke internet. User pada LAN Sales tidak boleh mempunyai akses ke LAN finance, tapi mereka boleh mengakses internet dan Department Marketing.
LAN Marketing perlu mengakses LAN Finance untuk layanan aplikasi
Pada router yang digambar, standard IP ACL berikut dikonfigurasi :
Standard ACL untuk menghentikan user tertentu mendapatkan akses ke LAN Department Finance.
Pada gambar, router mempunyai 3 koneksi LAN dan 1 koneksi WAN ke internet. User pada LAN Sales tidak boleh mempunyai akses ke LAN finance, tapi mereka boleh mengakses internet dan Department Marketing.
LAN Marketing perlu mengakses LAN Finance untuk layanan aplikasi
Pada router yang digambar, standard IP ACL berikut dikonfigurasi :
Lab_A#config t
Lab_A(config)#access -list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any
Lab_A(config)#access -list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any
Sangatlah penting untuk
diketahui bahwa perintah any sama halnya dengan menggunakan wildcard masking
berikut :
Lab_A(config)#access-list 10 permit 0.0.0.0 255.255.255.255
Karena wildcard mask
menyatakan bahwa tidak ada oktet yang diperiksa, setiap alamat akan sesuai
dengan kondisi test. Jadi fungsi ini sama dengan penggunaan kata any. Saat ini,
ACL dikonfigurasi untuk menolak alamat sumber dari LAN sales yang mengakses LAN
finance, dan memperbolehkan dari akses yang lain. Tetapi untuk diingat, tidak
ada tindakan yang diambil sampai akses list diterapkan pada arah yang spesifik.
Tetapi dimana ACL ini seharusnya ditempatkan? Jika kita menempatkannya pada E0,
kita mungkin akan mematikan juga interface Ethernet karena semua peralatan LAN
Sales akan ditolak akses ke semua network yang terhubung ke router.
Tempat terbaik untuk menerapkan ACL ini adalah pada E1 sebagai outbound list:Lab_A(config)#IntkE1
Lab_A(config-if)#ip access-group 10 out
Tempat terbaik untuk menerapkan ACL ini adalah pada E1 sebagai outbound list:Lab_A(config)#IntkE1
Lab_A(config-if)#ip access-group 10 out
Ini menghentikan secara
tuntas lalu lintas 172.16.40.0 keluar dari Ethernet 1. Ini tidak ada
pengarujnya terhadap host dari LAN Sales yang mengakses LAN marketing dan
internet, karena lalu lintas ke tujuan tersebut tidak melalui interface E1.
Setiap paket yang mencoba keluar dari E1 harus melalui ACL terlebih dahulu.
JIka terdapat inbound lit yang ditempatkan pada E0, maka setiap paket
yang mancoba masuk ke interface E0 akan harus melalui ACL terlebih dahulu
sebelum di route ke interface keluar.
Keistimewaan StandardAccessjList
Software Cisco IOS dapat memprovide pesan logging tentang paket – paket. Yang diijinkan atau ditolak oleh standard IP access list. Itulah sebabnya beberapa paket dapat cocok dengan access list.yang disebabkan oleh informasi pesan logging.tentang paket yang telah dikirimkan ke console. Level dari pesan logging ke console yang dikendalikan oleh perintah logging console.Kemampuan ini hanya terdapet pada extended IP access lists.
Software Cisco IOS dapat memprovide pesan logging tentang paket – paket. Yang diijinkan atau ditolak oleh standard IP access list. Itulah sebabnya beberapa paket dapat cocok dengan access list.yang disebabkan oleh informasi pesan logging.tentang paket yang telah dikirimkan ke console. Level dari pesan logging ke console yang dikendalikan oleh perintah logging console.Kemampuan ini hanya terdapet pada extended IP access lists.
Triggers paket pertama
access list menyebabkan logging message yang benar, dan paket – paket
berikutnya yang dikunpulkan lebih dari interval 5-menit sebelum ditampilkan.
Pesan logging meliputi nomor access list, apakah paket tersebut diterima atau
ditolak, alamat IP sumber dari paket dan nomor asal paket yang diterima
sumber atau ditolak dalam interval 5 menit.
KEUNTUNGAN
Kita dapat memantau berapa banyak paket yang diijinkan atau ditolak oleh access list khusus termasuk alamat tujuan setiap paket.
Kita dapat memantau berapa banyak paket yang diijinkan atau ditolak oleh access list khusus termasuk alamat tujuan setiap paket.
Membuat Standard Access
List Menggunakan Nomor
Untuk membuat nomor standard access list dan menerima pesan logging, ditampilkan dalam mode global konfigurasi, sebagai berikut :
Untuk membuat nomor standard access list dan menerima pesan logging, ditampilkan dalam mode global konfigurasi, sebagai berikut :
Task
|
Command
|
Mendefinisikan
standard IP access list menggunakan alamat tujuan dan wildcard.
|
access-list access-list-number {deny| permit} source [source-wildcard]log
|
Mendefinisikan
standard access list menggunakan singkatan untuk sumber mask dari 0.0.0.0.
|
access-list access-list-number {deny| permit} any
log
|
Membuat Standard Access
List Menggunakan Nama
Untuk membuat nama standard access list dan menerima pesan logging, berikut adalah permulaan dalam mode global konfigurasi.
Untuk membuat nama standard access list dan menerima pesan logging, berikut adalah permulaan dalam mode global konfigurasi.
Task
|
Command
|
Step 1. Definisikan
standard IP access list berdasarkan nama
|
ip access-list standard name
|
Step 2. Dalam mode
konfigurasi access list menspesifikasikan sdatu atau lebih kondisi yang
diperbolehkan atau ditolak. Ini menentukan apakah paket itu dilewatkan atau
diterima.
|
deny {source [source-wildcard]
| any} log
or permit {source [source-wildcard] | any}log |
Step 3. Keluar dari
mode konfigurasi access list.
|
exit
|
Untuk
mendefinisikan standard IP access list dengan nomor, menggunakan standard
version dari acess-list ration untuk memindahkan sebuah standard access
list, maka digunakan perintah berikut :
access-list access-list-number {deny | permit} source [source-wildcard] [log] no access-list access-list-number.
access-list access-list-number {deny | permit} source [source-wildcard] [log] no access-list access-list-number.
Extended
ACL
Extended ACL bisa
mengevaluasi banyak field lain pada header layer 3 dan layer 4 pada paket IP.
ACL ini bisa mengevaluasi IP sumber dan tujuan, field protocol dalam network
header Network Layer dan nomor port pada Transport Layer. Ini memberikan
extended ACL kemampuan untuk membuat keputusan – keputusan lebih spesifik
ketika mengontrol laluklintas.
Pada contoh Standard ACL, perhatikan bagaimana kita harus memblok semua akses dari LAN Sales ke Department Finance. Bagaimana jika untuk urusan keamanan, kita membutuhkan Sales mendapatkan akses ke server tertentu pada LAN Finance tapi tidak ke layanan network lainnya ? Dengan standard IP ACl, kita tidak memperbolehkan user mendapat satu layanan sementara tidak untuk yang lainnya. Dengan kata lain, ketika kita membutuhkan membuat keputusan berdasarkan alamat sumber dan tujuan, standard ACL tidak memperbolehkan kita melakukannya karena ACL ini hanya mambuta kaputusan berdasrkan alamat sumber. Tetapi extended ACl akan membantu kita karena extended ACL memperbolehkan kita menentukan alamat sumber dan tujuan serta protocol dan nomor port yang mengidentfikasikan protocol upper layer atau aplikasi. Dengan menggunakan extended ACL kita bisa secara efisien memperbolehkan user mengakses ke fisik LAN dan menghentikan host tertentu atau bahkan layanan tertentu pada host tertentu.
Pada contoh Standard ACL, perhatikan bagaimana kita harus memblok semua akses dari LAN Sales ke Department Finance. Bagaimana jika untuk urusan keamanan, kita membutuhkan Sales mendapatkan akses ke server tertentu pada LAN Finance tapi tidak ke layanan network lainnya ? Dengan standard IP ACl, kita tidak memperbolehkan user mendapat satu layanan sementara tidak untuk yang lainnya. Dengan kata lain, ketika kita membutuhkan membuat keputusan berdasarkan alamat sumber dan tujuan, standard ACL tidak memperbolehkan kita melakukannya karena ACL ini hanya mambuta kaputusan berdasrkan alamat sumber. Tetapi extended ACl akan membantu kita karena extended ACL memperbolehkan kita menentukan alamat sumber dan tujuan serta protocol dan nomor port yang mengidentfikasikan protocol upper layer atau aplikasi. Dengan menggunakan extended ACL kita bisa secara efisien memperbolehkan user mengakses ke fisik LAN dan menghentikan host tertentu atau bahkan layanan tertentu pada host tertentu.
Contoh Extended Access
List
Layanan lain pada host ini dan host lainnya bisa diakses oleh departertmen seles dan marketing. Berikut adalah access list yang dibuat:
Lab_A#config t
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Lab_A(config)#access-list 110 permit ip any any
Access list 110 memberitahukan ke router bahwa anda membuat Extended IP Access List. TCP adalah field procol pada heather layer network. Jika pada list tidak terdapat TCP disini, anda tidak bisa menyaring berdasarkan nomor port 21 dan 23 seperti yang diperlihatkan pada contoh (yaitu FTP dan Telnet dan keduanya menggunakan TCP untuk layanan conection - oriented). Perintah any disini adalah sumber, yang berarti semua alamat IP dan host adalah alamat IP tujuan. Setelah list dibuat, maka selanjutnya perlu diterapkan pada outbound interface ethernet 1.
Layanan lain pada host ini dan host lainnya bisa diakses oleh departertmen seles dan marketing. Berikut adalah access list yang dibuat:
Lab_A#config t
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Lab_A(config)#access-list 110 permit ip any any
Access list 110 memberitahukan ke router bahwa anda membuat Extended IP Access List. TCP adalah field procol pada heather layer network. Jika pada list tidak terdapat TCP disini, anda tidak bisa menyaring berdasarkan nomor port 21 dan 23 seperti yang diperlihatkan pada contoh (yaitu FTP dan Telnet dan keduanya menggunakan TCP untuk layanan conection - oriented). Perintah any disini adalah sumber, yang berarti semua alamat IP dan host adalah alamat IP tujuan. Setelah list dibuat, maka selanjutnya perlu diterapkan pada outbound interface ethernet 1.
Kesimpulan
ACL adalah daftar urutan pernyataan penerimaan atau penolakan yang dijalankan untuk pengalamatan atau protokol layer atas
ACL adalah daftar urutan pernyataan penerimaan atau penolakan yang dijalankan untuk pengalamatan atau protokol layer atas
Penempatan dan urutan
pernyataan ACL adalah hal yang sangat penting untuk unjuk kerja jaringan
Standar ACL digunakan
untuk memeriksa alamat asal dari paket yang akan dirutekan
Sedangkan extended ACL
digunakan lebih spesifik daripada standar ACL yang menyediakan lebih banyak
parameter dan argumen
_*SELAMAT BELAJAR*_