4.4 Standard Access List

Assalamualaikum Wr. Wb

Jika sebelumnya saya sudah menjelaskan cara konfigurasi static routing, eigrp, ospf. maka kali ini, in shaa Allah saya akan meneruskan materi labnya, yaitu Standar Access List.

Apa itu Standard Access List?

Access list adalah sebuah daftar yang dirancang untuk mengatur paket-paket data yang lalu-lalang di dalam suatu jaringan. Dengan penerapan access list, paket-paket terlebih dahulu harus mendapatkan izin routing dari router yang terhubung untuk dapat keluar masuk melalui sebuah interface, dimana izin yang diberikan bisa berupa deny (penolakan) atau pemit (penerimaan). 

Nah, itu sedikit mengenai standard access list, sekarang kita akan langsung masuk ke dalam konfigurasinya. Di sini saya menggunakan simulasi Cisco Packet Tracker. 

TOPOLOGI

Pertama-tama, kita harus menentukan terlebih dahulu tujuan dari lab kali ini, yakni kita akan  men-deny (melarang) semua paket dari network 12.12.12.0 yang akan menuju server (20.20.20.2)

Tahapan-tahapan yang akan kita lakukan adalah sebagai berikut :

1. Mendaftarkan alamat IP masing-masing untuk setiap router dan end devices.

2. Melakukan routing dengan EIGRP.

3. Meng-konfigurasi Standard Access List. 

4. Pengetesan ping.

5. Pengecekkan Tabel Access List. 

1. Mendaftarkan IP Address

Langkah pertama yang wajib, kudu, harus dilakukan adalah mendaftarkan ip address pada masing-masing router dan juga end devices sesuai dengan topologi yang telah dibuat. Di sini saya tidak akan menjelaskan lagi mengenai fungsi masing-masing dari perintah di bawah, karena pada lab sebelum-sebelumnya saya telah menjelaskannya. Klik di sini apabila Anda melewatkannya. 

R1

R2

R3

PC - 1

 PC - 2

Server 

2. Konfigurasi EIGRP 

Setelah kita selesai mendaftarkan ip address untuk masing-masing router dan juga end devices, sekarang kita akan melakukan routing menggunakan EIGRP. 

mengapa kita harus melakukan routing? 

Routing dilakukan agar router yang berbeda network dapat saling berkomunikasi, dan bertukar informasi. Karena apabila kita tidak melakukan routing, maka antar router hanya dapat berkomunikasi dengan router yang berada dalam network yang sama saja. 

gimana? paham sampe sini?

semoga masih paham ;) sekarang kita langsung masuk ke dalam konfigurasi eigrp untuk masing-masing router.

EIGRP R-1

 

EIGRP R-2
  

EIGRP R-3

*Untuk memastikan bahwa setiap router sudah saling terhubung, silahkan lakukan perintah ping antar router. 

Dibawah ini saya menampilkan hasil ping dari PC 1 dan PC 2 ke ip server, dan terlihat bahwa hasilnya adalah reply, hal tersebut dikarenakan kita belum melakukan konfigurasi access list. 

Pc-1

Pc-2

3. Konfigurasi Access List

Untuk konfigurasi Acces List, kita akan meng-konfigurasi Access list sedekat mungkin dengan destination (tujuan) dan karena router3 lah yang paling dekat dengan tujuan yaitu server, maka kita akan melakukan konfigurasi  pada router3. 

*lihat gambar di bawah.

penjelasan :

access-list 7 deny 12.12.12.0 0.0.0.255

[access-list] adalah perintah untuk konfigurasi access-list.

[7] adalah nomer access list. semacam ID, jadi pada konfigurasi R3 diatas, dapat kita ketahui bahwa itu adalah access-list 7, dan juga sebagai penanda bahwa konfigurasi access list yang digunakan adalah standard. karena, dalam ACL itu dibagi menjadi 2, yaitu ada standard juga extanded. Nah, kalo standard range angka yang digunakan antara 1 -99, sedangkan extanded range yang digunakan antara 100-199. 

[deny] = menolak. artinya, deny adalah perintah yang digunakan untuk menolak.

[12.12.12.0] adalah alamat ip network yang akan di deny.

[0.0.0.255] adalah wildcard mask. Hasil ini di dapat dari 255.255.255.255 - 255.255.255.0 maka hasilnya adalah 0.0.0.255 karena di sini kita menggunakan prefix 24, maka netmasknya menjadi 255.255.255.0

Nah, sampai di sini belum selesai. Apabila tadi kita sudah meng-konfigurasi agar packet dari network 12.12.12.0 dilarang, tetapi agar packet dari network lain yang tidak kita setting (deny) tidak ikut terbuang / dilarang, maka kita harus melakukan konfigurasi untuk access network yang lain. dengan perintah access-list 7 permit any

[Permit] = Memperbolehkan. 

[Any]  = artinya mengizinkan semua packet dari network lain untuk sampai ke server selain network yang telah di setting deny yakni (12.12.12.0)

Konfigurasi interface yang akan di setting acess-list.

Untuk meng-konfigurasi interface access-list, ada dua type yang bisa digunakan. yakni, out dan in. Dan kita akan meng-konfigurasi interface FastEthernet0/0 yang ada di router3.

penjelasan :

[int fa0/0] = Masuk terlebih dahulu ke interface fa0/0 pada global config, dengan perintah int fa0/0

[ip access-group] = perintah membuat grub access list.

[7] = ID access list / ACL Number.

[out] = perintah untuk konfigurasi interface out. maksudnya di sini adalah, agar int fa0/0 menjadi interface out. 

4. Pengetesan

Setelah kita sudah melakukan semua konfigurasi, sekarang kita coba lakukan pengetesan untuk mengetahui apakah konfigurasi yang telah kita buat berhasil/tidak.

pc1 > server 

Terlihat pada gambar di bawah ini, bahwa pc 1 (berada pada network 12.12.12.0) pada saat melakukan ping ke server (20.20.20.2) keterangannya adalah host uncreachable.

unreachable  PC 2

begitupun pada pc2, karena pc2 bertada dalam network yang sama dengan pc1, maka hasil nya punya dipastikan host uncreachable. 

Kemudian sekarang kita membuat perbandingan, apabila tadi kita sudah melakukan pengetesan pada network yang di deny dan hasilnya adalah host unreachable (sesuai dengan tujuan psotingan ini) maka, sekarang kita coba lakukan ping dari network lain yang tidak di-deny yang ada di R2 ke server, maka hasilnya akan suskses (sesuai yang diharapkan).

R2 Ping berhasil

5. Pengecekkan 

Setelah itu, kita coba cek access-list dengan perintah do sh access-list maka terlihat di bawah ini bahwa ada 8 packet yang di deny. mengapa ada 8? karena tadi kita mencoba mengakses server sebanyak 2 kali, yakni dari PC1 dan PC2, dimana 1 kali nya adalah 4, jadi jika kita telah mengakses sebanyak 2 kali, maka akan tertera 8. hasil itu di dapat dari 4 x 2. 

do sh access-list

Apabila, tadi kita sudah melakukan konfigurasi standard access list dalam satu network, sekarang kita akan mencoba melakukan konfigurasi standard access list hanya untuk satu host saja. 

Perbedaannya adalah, apabila sebelumnya kita melakukan konfigurasi standard access list pada bagian networknya, dimana dalam satu network itu terdapat lebih dari 1 pc, lain halnya apabila kita melakukan konfigurasi standard access list hanya pada satu host saja, jadi hanya ada 1 ip address yang akan di deny, sedangkan host-host yang lainnya diperbolehkan untuk mengakses server. 

Hapus terlebih dahulu konfigurasi access list yang sebelumnya diterapkan dengan perintah:

no access-list 7 deny 12.12.12.0 0.0.0.255

no access-list 7 permit any

Karena di awal kita sudah men-setting ip address pada masing-masing router dan end devices, dan juga melakukan routing antar router, jadi tidak perlu lagi melakukan pengulangan untuk sekarang. Hanya cukup dengan melakukan konfigurasi access-listnya saja.

Konfigurasi Access List.

mengapa 12.12.12.2 ?

Karena, tujuan konfigurasi kita yang kedua adalah men-deny satu host saja, yakni ip 12.12.12.2 (pc - 1) 

Lalu, mengapa 0.0.0.0 ?

maksud dari 0.0.0.0 ini adalah agar berapapun netmask yang dipaka oleh ip address yang disetting deny (12.12.12.0) maka paket datanya akan dibuang oleh router.

Konfigurasi interface yang akan di setting acess-list.

*konfigurasi interface sama seperti konfigurasi di awal, jadi saya tidak akan menjelaskannya lagi.

Pengetesan

Kita coba melakukan ping ke ip server (20.20.20.2) dari pc - 1 dan hasilnya adalah unreachable (sesuai dengan konfigurasi yang kita lakukan) sekali lagi, tujuan konfigurasi ACL kali ini adalah membuat pc 1 (12.12.12.2) tidak dapat mengakses server. 

Selanjutnya kita mencoba melakukan ping ke server dari pc - 2, dan hasilnya adalah reply dengan sempurna (sesuai dengan konfigurasi yang kita buat).

kenapa pc-2 bisa reply sempurna ?

karena, kita hanya men-deny satu host saja, yakni pc 1 dengan ip address 12.12.12.2 sedangkan pc-2 dengan ip address 12.12.12.3 tetap bisa mengakses server, karena kita memberikan izin (pemit) untuk semua host terkecuali ip 12.12.12.2. 

Pengecekkan. 

Dari tabel routing di bawah ini, dapat kita simpulkan ada 4 paket yang di-deny (dibuang/didrop/ditolak) dan 10 paket yang di permit (diterima/di-izinkan).

Sekian materi kali ini, mohon maaf atas kekurangan dan keterbatasannya.

Wassalamualaikum Wr. Wb

terimakasih.

semoga bermanfaat.