Assalamualaikum Wr. Wb
Setelah sebelumnya kita sudah menyelesaikan lab tentang standard access list, sekarang kita akan melanjutkan ke materi baru, yakni extended access list.
Perbedaan standard access list dan extended access list, adalah jika Standard Access List memfilter lalu lintas network dengan menguji alamat sumber IP didalam paket, nah berbeda dengan extended, Extended Access List mengevaluasi IP sumber dan tujuan, field protocol dalam network header Network Layer dan nomor port pada Transport Layer, ini memberikan extended ACL kemampuan untuk membuat keputusan–keputusan lebih spesifik ketika mengontrol lalu lintas. Jadi intinya, extended ini lebih spesifik, dan terperinci.
Perbedaan standard access list dan extended access list, adalah jika Standard Access List memfilter lalu lintas network dengan menguji alamat sumber IP didalam paket, nah berbeda dengan extended, Extended Access List mengevaluasi IP sumber dan tujuan, field protocol dalam network header Network Layer dan nomor port pada Transport Layer, ini memberikan extended ACL kemampuan untuk membuat keputusan–keputusan lebih spesifik ketika mengontrol lalu lintas. Jadi intinya, extended ini lebih spesifik, dan terperinci.
Sekarang kita masuk ke konfigurasinya.
Topologi
Konfigurasi awal yang harus kita lakukan tidak berbeda dengan konfigurasi pada lab yang sebelumnya, pertama-tama kita harus mendaftarkan ip address pada masing-masing router dan end devices. namun, karena pada postingan kali ini saya menggunakan topologi yang sama, seperti pada lab sebelumnya, yakni standard access list, maka kita tidak perlu melakukan konfigurasi ulang untuk mendaftarkan ip address dan melakukan routing. apabila Anda melewatkannya, klik di sini untuk melihat postingan standar access list.
Nah, karena ini melanjutkan dari topologi standard access list maka pertama hapus terlebih dahulu konfigurasi sebelumnya (konfigurasi standard access list). dengan perintah :
no access-list 7
Tujuan dari konfigurasi Extanded Access List ini adalah kita akan membuat network 12.12.12.0 tidak dapat mengakses web server di server, namun tetap bisa melakukan ping / lainnya ke server, jadi hanya web servernya saja yang di deny (ditolak/dibuang).
Sekarang, kita akan mengkonfigurasi extended access list, untuk konfigurasinya gunakan perintah di bawah ini :
[access-list] adalah perintah untuk konfigurasi access list
[107] adalah nomer access list. semacam ID, jadi pada konfigurasi R1-Jakarta diatas, dapat kita ketahui bahwa itu adalah access-list 107, dan juga sebagai penanda bahwa konfigurasi access list yang digunakan adalah extended karena, dalam ACL itu dibagi menjadi 2, yaitu ada standard juga extanded. Nah, kalo standard range angka yang digunakan antara 1 -99, sedangkan extanded range yang digunakan antara 100-199.
[deny] = menolak. adalah perintah agar network yang diatur / disetting menjadi tidak dapat mengakses web server pada server atau dengan kata lain dilarang.
[tcp]
[12.12.12.0] adalah ip network yang akan dikonfigurasi / di deny (dilarang).
[0.0.0.255] adalah wildcard yang didapatkan dari hasil pengurangan 255.255.255.255 - 255.255.255.0. dimana netmask 255.255.255.0 ini adalah netmask dari prefix 24. karena pada topologi ini kita menggunakan prefix 24.
[host 20.20.20.2] adalah host yang akan dijadikan destination (ip server)
[eq] untuk menandakan port dan protokol yang akan di-izinkan/dilarang.
[www] menandakan bahwa port 80 dan protokol http yang akan dilarang untuk diakses.
Agar hanya network 12.12.12.0 yang ter-deny, dan network lain tetap bisa mengakses, sekarang kita akan lakukan konfigurasi :
[access-list 107] adalah perintah untuk konfigurasi access list.
[107] menandakan bahwa ini adalah access list 107. atau gampangnya, ini adalah ID dari access-list yang digunakan.
[permit] = memperbolehkan.
[any] sumber / source paket data yang akan dikirim.
[any] artinya tujuan atau destination yang menerima.
Selanjutnya, kita akan menentukan interface yang akan diatur untuk dijadikan sebagai tempat memfilter paket data, kita atur interface yang terdekat dengan PC. berdasarkan topologi yang telah kita buat diatas, interface fast ethernet 0/0 lah yang paling terdekat dengan pc. untuk melakukan konfigurasinya, gunakan perintah :
[int fa0/0] interface yang akan dikonfigurasi
[ip access-group] konfigurasi acces-group.
[107] ID extended access list.
[in] menandakan konfigurasi interface in.
Pengetesan
- pengetesan pc-1.
*Terlihat, pada gambar di bawah pengetesan perintah ping dari pc 1 ke server, berhasil.
PC-1
*Sekarang, kita coba akses web browser dari pc-1.
Dari hasil di atas, terlihat bahwa pc-1 tidak dapat mengakses web browser pada server (sesuai dengan tujuan konfigurasi yang dilak*ukan)
- Pengetesan pc-2.
*Terlihat, pada gambar di bawah ini pengetesan perintah ping dari PC-1 ke server, berhasil.
Pc-2
*pengetesan pada saat mengakses web browser pun hasilnya adalah RTO (request timeout) sesuai dengan tujuan konfigurasi yang telah kita lakukan.
*Dari ke-empat pengetesan yang kita lakukan, menunjukkan hasil bahwa pc-1 dan pc-2 bisa mengakses / melakukan ping dengan server, hanya saja tidak dapat mengakses web browser pada server, hal tersebut dikarenakan kita sudah melakukan konfigurasi dan menerapkan extended access list, yang tujuannya adalah men-deny paket yang bersumber dari network 12.12.12.0 yang akan mengakses web browser pada server.
Pengecekkan.
Di bawah ini adalah tabel access-list, yang berisi informasi tentang jumlah paket yang di deny, dan juga di izinkan.
Mungkin sekian materi yang dapat saya sampaikan, kurang lebihnya mohon maaf.
Wassalamualaikum Wr. Wb
Terimakasih.
Semoga Bermanfaat.
Halo herlan. Terimaasih masukannya. Tcp itu protokolnya. Jadi syntax "tcp" disitu fungsinya untuk menandakan protokol yang digunakannya
BalasHapus