Popey Personal Post

Archive for April 2016

Konfigurasi Access-List Extended Cisco Paket Tracer

By : Unknown
Hai sahabat mikon kali ini saya akan sharing sharing ilmu tentang jaringan atau lebih tepatnya mengamankan / filtering perlintasan jaringan atau memblok sebuah jaringan dengan menggunakan metode Access List (ACL)

Access-list itu ada 2 tipe yaitu Standart dan Extended, yang akan saya bahas kali ini adalah access-list tipe extended. Access-List Extended lebih spesifik dari pada access-list tipe standart karena pada access-list ini kita diwajibkan lebih spesifik apa yang ingin kita blok / deny dan apa yang ingin kita tidak blok / permit mulai dari protocol sampai port yang akan ingin kita blok. Berikut adalah konfigurasasinya.

Access-list Extended

Untuk Network ke Network
router(config)#access-list 100 deny/permit [protocol] [source ip] [source wildcard] [destination ip] [destination wildcard] [operator] [port]

Untuk Host ke Network
router(config)#access-list 100 deny/permit [protocol] host [source ip] [source ip destination] [source wildcard] [operator] [port]

Untuk Host ke Host
router(config)#access-list 100 deny/permit [protocol] host [source ip] host[source ip destination] [operator] [port]


Macam Macam Protocol 
PROTOCOL                                                                          DESCRIPTION
ahp                                                            Authentication Header Protocol
eigrp                                                           Cisco’s EIGRP routing protocol
esp                                                            Encapsulation Security Payload
gre                                                            Cisco’s GRE tunneling
icmp                                                              Internet Control Message Protocol
ip                                                            Any Internet Protocol
ospf                                                            OSPF routing protocol
tcp                                                            Transmission Control Protocol
udp                                                             User Datagram Protocol
Operator
OPERATOR                                                                DESCRIPTION
dscp                                                                Match packets with given dscp value
eq                                                                Match only packets on a given port number
established                                                                established
gt                                                                Match only packets with a greater port number
lt                                                                Match only packets with a lower port number
neq                                                                Match only packets not on a given port number
precedence                                                                Match packets with given precedence value
range                                                                Match only packets in the range of port numbers
Port
PORT                                                                                   DESCRIPTION
                                                                                     Port number
ftp                                                                                    File Transfer Protocol (21)
pop3                                                                                    Post Office Protocol v3 (110)
smtp                                                                                    Simple Mail Transport Protocol (25)
telnet                                                                                    Telnet (23)
www                                                                                    World Wide Web (HTTP, 80)
Berikut adalah contoh simulasi jaringan yang akan dibatasi dengan menggunakan metode access-list extended dengan menggunakan aplikasi Cisco Paket Tracer 6.2 .


Sebelum kita membuat konfigurasi access list, routing lah terlebih dahulu antar router agar bisa saling terkoneksi. Penjelasan skema jaringan diatas adalah bahwa zona yang berwarna merah akan diberi batas hak akses agar tidak bisa mengkases server facebook dan youtube namun bisa mengkases google dan detik.com. Sementara yang berwarna zona hijau dapat mengkases semua web server yang ada.

IP address zona merah
Perwakilan Blok Kiri           : 192.168.0.40  /24
Perwakilan Blok Bawah      : 192.168.0.50  /24
Perwakilan Blok Kanan       : 192.168.0.30  /24

IP address zona Hijau
Direktur                               : 192.168.0.10 /24
Marketing                            : 192.168.0.12 /24

IP Router
Router 1                               : fa0/0  192.168.0.1 || se2/0  192.168.1.1
Router 2                               : se2/0  192.168.1.2 || fa0/0  192.168.3.1 || se3/0 192.168.2.1
Router 3                               : se3/0  192.168.2.2 || fa0/0  192.168.4.2

Perlu diketahui perbedaan akses standart dan extended pada saat mau mengkonfigurasi routernya adalah kalau access list standart itu konfigurasinya harus yang lebih dekat dengan tujuannya / Destination, sementara klo access-list extended konfigurasinya harus pada router yang lebih dekat dengan Source IP / IP yang ingin kita beri izin atau diblok.

Double klik pada router 1 kemudian pada tab CLI (Command Line Interface) . Kemudian ketik konfigurasi berikut ini. 

ROUTER 1
Router>en
Router#conf t
Router(config)#access-list 100 deny tcp host 192.168.0.40 192.168.4.0 0.0.0.255 eq 80
Router(config)#access-list 100 deny tcp host 192.168.0.50 192.168.4.0 0.0.0.255 eq 80
Router(config)#access-list 100 deny tcp host 192.168.0.30 192.168.4.0 0.0.0.255 eq 80
Router(config)#access-list 100 permit tcp any any
Router(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255 
Router(config)#int fa0/0
Router(config-if)#ip access-group 100 in
Router(config-if)#ex


PENJELASAN

Router>en  // untuk mengkativkan
Router#conf t // untuk konfigurasi terminal

 // ini adalah ip host yang akan dibatasi akses tcpnya yang sifatnya www/http
Router(config)#access-list 100 deny tcp host 192.168.0.40 192.168.4.0 0.0.0.255 eq 80
Router(config)#access-list 100 deny tcp host 192.168.0.50 192.168.4.0 0.0.0.255 eq 80
Router(config)#access-list 100 deny tcp host 192.168.0.30 192.168.4.0 0.0.0.255 eq 80

//ini yang berarti ip selain yang diatas dapat diberi izin kemanapun, maksud dari any any adalah any source ip dan any destination ip
Router(config)#access-list 100 permit tcp any any

//agar client dapat tetap mengkases ip dari DNS server maka perlu diberi izin hak akses
Router(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255

 //pilih port interface yang akan memfilter ip jika sifatnya inbound maka konfigurasinya seperti berikut
Router(config)#int fa0/0
Router(config-if)#ip access-group 100 in

Sekarang pada client karyawan yang diblok akan dicoba melakukan ping dan mengakses situs


ping pada IP DNS 192.168.3.2 berhasil mendapatkan balasan namun ping pada ip facebook atau network dengan ip 192.168.4.0 tidak bisa dicapai atau terblok..

Berikutnya uji situs pada Client karyawan 



Karyawan dapat mengakses situs google tapi tidak bisa mengakses situs facebook. Sedangkan pada PC Direktur atapun marketing mereka dapat mengakses semua situs.



Itulah tadi penjelasan tentang access-list extended. selamat mencoba dan semoga bermanfaat apabila ada kekurangan mohon maaf. Terima Kasih.
Read More
2 Comments
Diberdayakan oleh Blogger.

- Copyright © One For All - Date A Live - Powered by Blogger - Designed by Johanes Djogan -