Bismillahirrahmanirrahiim,
lanjut lagi pembahasan masih seputar Access –
List setelah kemaren kita bahas Lab
Acces – List Standard, ini lanjutannya (Extended List) yaitu dengan filter
yang lebih Spesifik dan bisa di gunakan untuk filter Source maupun Destination
address, banyak keunggulan lainnya mengenai Extnded List dan tentunya pasti
lebih rumit di banding yang Standard List, banyak perbandingan di antara ke
duanya (untuk lebih jelasnya di sini),
tapi santai aja ini maenanya di Logika (tujuannya apa, di gunakan untuk apa,
dll.) sebelum konfigurasi jangan lupa Address yang mau di List mending di tulis
di Notepad terlebih dahulu biar lebih teliti dan juga karena apabila ada
kesalahan pada saat konfigurasi tidak bisa hanya menghapus satu baris saja, mau
tidak mau satu Group dari List tersebut di hapus =D .
Untuk
konfigurasi Extended – List dengan memasukkan nomer yang telah di tentukan,
yaitu: 100 – 199 (3 digit), dapat memfilter lebih Spesifik pada Protocol IP dan
Port Number dan masih meggunakan Opsi Permit / Deny, oke berikut ini contoh konfigurasi
dari ACL Extended:
#. Konfigurasi ACL
IDN(config)# access-list <Number:100 - 199> <permit/deny> <protocol> <source_IP> <source wilscard Mask> <destination_IP> <destination wildcardmask> <operator> <service>IDN(config)# access-list <Number:100 - 199> <permit/deny> <protocol> <source_IP port> <destination_IP port> <operator> <service>IDN(config)# access-list <Number: 100 – 199> <permit/deny> protocol any any
-
Implementasi:
IDN(config)# interface <interface type:se,fa,gi><interface port number:0/0>IDN(config)# ip access-group 100 in/out (in: di terapkan apabila trafficnya masuk / out: di terapkan apabila trafficnya keluar)
#. Contoh:
R2(config)#access-list 100 permit tcp host 192.168.2.1 host 10.10.10.1 eq 22R2(config)#access-list 100 permit tcp any any eq 80
-
Implementasi:
IDN(config)# interface fa0/0IDN(config)# ip access-group 100 in
Gunakan “?”
di belakang syntax, untuk mengetahui Opsi yang lainnya apabila ada yang lupa,
misal: “access-list 100 deny ?” nanti akan muncul opsi yang lebih banyak dan
bisa memudahkan konfigurasinya.
#. Cara konfigurasi pada sebuah Host / Network:
-
untuk konfigurasi
pada sebuah Host dapat menggunakan dua cara:
2.
dengan kata “host”,
misal: host 192.168.1.1
-
untuk konfigurasi
pada Network dapat menggunakan dua cara:
2.
dengan kata “any”,
misal: any 192.168.1.0 (source atau destination)
#. Lab Access – List Extended
-
Topology:
#. Penting: sebelum membuat ACL Extended buatlah terlebih dahulu Routing OSPF (Multiple Area) yang sudah bisa saling terhubung,
persis seperti topology ini. Apabila sudah tinggal tambahkan PC
yang kurang seperti toology di atas, dan berikut ini aturan main ACL Extended
=D .
1.
Konfigurasikan ACL
Extended pada Router IDN1.
2.
Deny protocol HTTP
host 192.168.2.2 (PC2a) ke Host 192.168.1.3 (PC1b)
3.
Deny protocol FTP
Network 192.168.3.0/24 (PC3) ke Host 192.168.1.2 (PC1a)
4.
Deny protocol UDP
(domain) host 192.168.2.3 (PC2b) ke Host 192.168.1.2 (PC1a)
5.
Deny protocol ICMP
(Ping) host 192.168.3.3 (PC3b) ke Host 192.168.1.2 (PC1b)
6.
Implementasi IN pada
interface gi0/0 atau OUT pada interface gi0/1
#. Konfigurasi
idn1>enableidn1#conf tEnter configuration commands, one per line. End with CNTL/Z.idn1(config)#access-list 110 deny tcp host 192.168.2.2 host 192.168.1.3 eq wwwidn1(config)#access-list 110 deny tcp 192.168.3.0 0.0.0.255 host 192.168.1.2 eq ftpidn1(config)#access-list 110 deny udp host 192.168.2.3 host 192.168.1.2 eq ?<0-65535> Port numberbootpc Bootstrap Protocol (BOOTP) client (68)bootps Bootstrap Protocol (BOOTP) server (67)domain Domain Name Service (DNS, 53)isakmp Internet Security Association and Key Management Protocol (500)non500-isakmp Internet Security Association and Key Management Protocol(4500)snmp Simple Network Management Protocol (161)tftp Trivial File Transfer Protocol (69)idn1(config)#access-list 110 deny udp host 192.168.2.3 host 192.168.1.2 eq domainidn1(config)#access-list 110 deny icmp host 192.168.3.3 host 192.168.1.2 ?<0-256> type-numecho Echo (ping)echo-reply Echo replyhost-unreachable Host unreachablenet-unreachable Net unreachableport-unreachable Port unreachableprotocol-unreachable Protocol unreachablettl-exceeded TTL exceededunreachable All unreachables<cr>idn1(config)#access-list 110 deny icmp host 192.168.3.3 host 192.168.1.2 echoidn1(config)#access-list 110 deny icmp host 192.168.3.3 host 192.168.1.2 echo-replyidn1(config)#access-list 110 permit ip any any
-
Implementasi (salah satu interface IN/Out)
idn1(config)#int gi0/0idn1(config-if)#ip access-group 110 inidn1(config-if)#ex
-
atau
idn1(config)#int gi0/1idn1(config-if)#ip access-group 110 outidn1(config-if)#ex
#. Verifikasi Ping
-
PC3b ke PC1a:
PC>ping 192.168.1.2Pinging 192.168.1.2 with 32 bytes of data:Reply from 10.0.0.1: Destination host unreachable.Reply from 10.0.0.1: Destination host unreachable.Reply from 10.0.0.1: Destination host unreachable.Reply from 10.0.0.1: Destination host unreachable.Ping statistics for 192.168.1.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
-
PC3b ke PC1b:
PC>ping 192.168.1.3Pinging 192.168.1.3 with 32 bytes of data:Reply from 192.168.1.3: bytes=32 time=0ms TTL=125Reply from 192.168.1.3: bytes=32 time=0ms TTL=125Reply from 192.168.1.3: bytes=32 time=0ms TTL=125Reply from 192.168.1.3: bytes=32 time=0ms TTL=125Ping statistics for 192.168.1.3:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Untuk
test yang lainnya bisa di coba sendiri, mungkin Cuma itu pada pembahasan kali
ini, mohon maaf kalau ada kesalahan mohon kritik dan sarannya, semoga bermanfaat
bagi kita semua Terima Kasih.