Home » Posts filed under
Showing posts with label gns3. Show all posts
Showing posts with label gns3. Show all posts

Konfigurasi EIGRP Stub Network

Pada umumnya network stub dikonfigurasikan pada topologi star atau "hub and spoke". Tipe konfigurasi ini pada umumnya ditemui pada jaringan WAN, dimana router distribusi (hub) terkoneksi secara langsung pada WAN, atau seringkali terkoneksi pada router lainnya.
topologi hub and spoke

Pada tipe jaringan "hub and spoke", router akses (spoke) harus meneruskan semua traffic non-lokal pada router hub, sehingga router spoke ini tidak perlu mempunyai tabel routing seluruh jaringan.

EIGRP Network Stub 

Ketika menggunakan routing protokol EIGRP, kita harus mengkonfigurasi router hub dan router spoke menggunakan routing protokol EIGRP, dan hanya routing spoke saja yang dikonfigurasi sebagai stub.  
Cisco router dengan versi IOS 12.4 ke atas mendukung EIGRP stub dengan tipe 
  • connected
  • leak-map
  • receive-only
  • redistribute
  • static
  • summary
Dari nama - nama tipe diatas, kita sudah dapat menduga jenis network yang di-advertise oleh EIGRP. Secara default, EIGRP stub hanya mengumumkan (advertised) network yang "directly connected" dan summary.

Konfigurasi EIGRP stub


topologi eigrp stub

Pada topologi diatas, cisco router Cabang-A dapat mengakses corporate network dan Internet hanya melalui router hub (router Core_1). Percuma saja jika router Cabang-A mempunyai tabel routing lengkap karena akses ke corporate network dan internet akan selalu melalui router Core_1. Dengan meng-konfigurasi router Cabang-A sebagai stub, akan menghemat bandwith dan memori.

Ok mari kita konfigurasi EIGRP agar semua network dapat terkoneksi (full connectivity) dan kita lakukan summary secara manual pada ip address 172.16.10.0 /24 - 172.16.15.0 /24. 
Kita lihat tabel routing router Core_1,

show ip route cisco router

Dari gambar diatas, network 172.16.10.0 /24 - 172.16.15.0 /24 tidak muncul dalam tabel routing Core_1, network diringkas menjadi 172.16.8.0 /21. Caranya dapat dibaca disini

Untuk simulasi perubahan network, kita matikan interface loopback 0 pada router Backup_1 dengan memberikan perintah "shutdown".  Mari kita lihat lagi tabel routing Core_1.
topologi change
Setelah memberikan perintah "shutdown " pada router Backup_1, terjadi perubahan topologi. network 1.1.1.0/24 tidak muncul dalam tabel routing Core_1. Kita lihat apa yang terjadi pada router Cabang-A.
debug eigrp packet query cisco router
Terlihat bahwa router Core_1,  mengirim paket query kepada router Cabang-A. Inilah yang yang akan terjadi pada router Cabang-A. Router Core_1 (hub) akan terus mengirimkan paket query kepada router Cabang-A (spoke) jika terjadi perubahan topologi. Proses ini akan menggunakan memori dan resource pada kedua router. Bayangkan jika terjadi pada ratusan router, yang dapat mengakibatkan router dalam keadaan Stuck In Active (SIA).

Mari kita konfigurasikan router Cabang-A sebagai stub, dengan memberikan perintah "eigrp stub".

Cabang-A# configure terminal
Cabang-A(config)#  router eigrp 15
Cabang-A(config-router)# eigrp stub
Cabang-A(config-router)# ^Z

Setelah kita konfigurasi stub pada router Cabang-A, simulasikan lagi perubahan topologi seperti diatas, dan amati hasil perintah "debug eigrp query" pada router Cabang-A.
debug eigrp packet query cisco router stub

Router Cabang-A tidak lagi menerima query dari router Core_1. 
Secara umum dapat dikatakan bahwa mengkonfigurasikan router yang terletak di ujung jaringan (router spoke) sebagai stub dapat meningkatkan performa network, mengurangi resource router dan konfigurasi router yang lebih sederhana.

File konfigurasi gns3 dapat didownload disini atau disini

Verifikasi dan Troubleshooting EIGRP

Sebagai salah satu distance vector routing protocol popuker, EIGRP sering digunakan untuk jaringan komputer skala menengah. Dengan skalabilitas ini, akan berakibat pada design jaringan yang kompleks, konfigurasi, maintenance dan troubleshooting. 
Troubleshooting routing dinamik membutuhkan pemahaman yang menyeluruh bagaimana routing protokol itu  bekerja. Beberapa isu terjadi pada semua routing protokol, isu yang lain mungkin terjadi pada routing protokol tertentu.

Berikut beberapa isu yang berhubungan dengan routing protokol EIGRP
  • EIGRP neigbor relationship, jika routing protocol membentuk adjcencies dengan neighbor-nya.
  • Tabel routing EIGRP,  cek tabel routing jika ada sesuatu yang tidak diharapkan seperti rute yang hilang atau rute yang tidak diharapkan.
  • EIGRP Authentication, jika otentikasi tidak berhasil, maka EIGRP tidak akan membentuk neighborship.
Beberapa perintah yang dapat digunakan adalah 
  • show ip protocols
  • show ip eigrp neighbors
  • show ip eigrp topology
  • show ip eigrp interface 
  • debug eigrp packets

show ip protocols

Perintah ini menampilkan routing protokol yang mana yang aktif beserta statusnya.show ip protocols
Pada gambar diatas, ditampilkan routing protokol yang aktif adalah EIGRP beserta nomor AS-nya, rute network-nya dan informasi Administrative Distance.

show ip eigrp neigbors

Perintah ini menampilkan informasi tentang neighbor yang ditemukan oleh EIGRP, dan status neighbor aktif atau pasif.
show ip eigrp neigbors

 proccess 100 : nomor proses sama dengan nomor AS
address : ip address dari neigbor 
interface : Interface yang menerima paket hello dari neighbor
holdtime : waktu yang digunakan oleh EIGRP untuk
uptime : lamanya waktu sejak pertama kali eigrp menerima paket hello dari neighbor-nya
Q count : banyaknya paket eigrp (update, query, reply) yang menunggu untuk dikirim.
SRTT : Smooth round trip time, lamanya waktu untuk mengirim paket EIGRP
RTO : Retransmission Timed Out
Sequence number : nomor urutan terakhir dari paket eigrp yang diterima

show ip eigrp topology

Menampilkan tabel topologi EIGRP, status dari rute EIGRP, successor dan feasible distance.
show ip eigrp topology
Pada gambar diatas, feasible distance ke 192.168.10.0/24  adalah 30720 melalui 172.16.12.2. Link ini dalam keadaan pasif -kode P- yang berarti baik. Jika aktif, EIGRP sedang melakukan perhitungan ulang, yang berarti ada perubahan topologi. 

show ip eigrp interface

perintah ini akan menampilkan interface yang aktif menjalankan EIGRP

interface : interface dimana EIGRP dokonfigurasikan
peers : jumlah directly connected dari neighbor EIGRP
Xmit Queue Un/Reliable :  jumlah paket yang tersisa dalam antrian
Mean SRTT : nilai rata - rata SRTT
Pacing time Un/Reliable : waktu tunggu setelah mengirimkan paket 
Multicast Flow Timer : waktu untuk menuggu paket ack multicast sebelum mengirim paket multicast berikutnya
Pending Routes : --please google it -- , jika nomor ini tinggi, cpu load akan tinggi juga

debug eigrp packets

perintah ini akan membantu kita untuk menganalisa paket yang dikirim atau diterima, status otentikasi. Gunakan pada waktu traffik pada network rendah. 
debug eigrp packets

Konfigurasi Load Balancing Equal Cost Path pada EIGRP

Load Balancing adalah kemampuan router untuk membagi traffik menuju destination network yang mempunyai nilai metrik yang sama melalui lebih dari satu link (jalur routing). Load balancing dibedakan menjadi 2 jenis
  1. Equal Cost Path, jika link - link mempunyai nilai metrik sama, yang dilaporkan oleh routing protocol (RIPv2, EIGRP, OSPF, BGP) 
  2. Unequal Cost Path, jika link - link mempunyai nilai metrik yang tidak sama
Load balancing akan meningkatkan pemanfaatan segmen jaringan, sehingga meningkatkan netwok utilization. Secara default, router cisco yang menjalankan EIGRP mendukung load balancing hingga 4 link (path) yang mempunyai metrik yang sama. Tergantung dari versi IOS yang digunakan, pada Cisco IOS ver 12.4, EIGRP mendukung hingga 16 path.

Konfigurasi Equal Cost Path 

Berikut topologi lab yang akan kita gunakan untuk melakukan load balancing menggunakan routing protocol eigrp dan verifikasi menggunakan perintah traceroute.
Load balancing EIGRP topologi

Router R1
R1# configure terminal
R1(config)# interface loopback 0
R1(config-int)# ip address 10.1.1.1 255.255.255.0
R1(config)# interface fa0/0
R1(config-int)# ip address 1.1.1.1 255.255.255.252 
R1(config-int)# no shutdown
R1(config-int)# interface fa0/1
R1(config-int)# ip address 2.2.2.1 255.255.255.252
R1(config-int)# no shutdown
R1(config-int)# end

 Router R2
R2# configure terminal
R2(config)# interface loopback 0
R2(config-int)# ip address 20.2.2.2 255.255.255.0
R2(config)# interface fa0/0
R2(config-int)# ip address 1.1.1.2 255.255.255.252 
R2(config-int)# no shutdown
R2(config-int)# interface fa0/1
R2(config-int)# ip address 2.2.2.2 255.255.255.252
R2(config-int)# no shutdown
R2(config-int)# end


Setelah mengkonfigurasi interface pada kedua router, kita aktifkan eigrp dan advertise networknya.
Router R1

router  eigrp 100
network 1.1.1.0 0.0.0.3
network 2.2.2.0 0.0.0.3
network 10.1.1.0 0.0.0.255
no auto-summary
!

 Router R2
!
router eigrp 100
network 1.1.1.0 0.0.0.3
network 2.2.2.0 0.0.0.3
network 20.2.2.0 0.0.0.255
maximum-paths 16
no auto-summary
!

Perhatikan, pada konfigurasi EIGRP router R2, terdapat perintah "maximum-path 16". Perintah ini akan membuat EIGRP me-load balancing hingga 16 path. Sehingga pada tabel routing akan muncul 16 path yang menuju satu destination network.

Verifikasi 

Kita gunakan perintah "show ip route" dan "show ip route eigrp" dari router R2.  
show ip route EIGRP Router cisco R2 

Kedua link telah muncul pada tabel routing router R2, yang menandakan bahwa eigrp telah melakukan load balancing. Kita tes load balancing-nya dengan menggunakan perintah traceroute dari router R2.

traceroute

Traceroute pertama, paket akan melalui 1.1.1.1 dan pada traceroute yang kedua paket melalui 2.2.2.1. 
File konfigurasi gns3 dapat didownload disini dan disini.

Konfigurasi EIGRP Menggunakan Otentikasi MD5 (md5 authentication)

EIGRP hanya mendukung otentikasi dengan MD5.

Konfigurasi otentikasi pada routing protocol EIGRP hanya dilakukan dalam dua langkah :
  1. Membuat key chain dan key
  2. Menerapkan key chain pada interface ynag menjalankan EIGRP.  
Ok kita akan mencoba konfigurasi EIGRP menggunakan otentikasi. Dua router cisco terkoneksi melalui interface serial 1/0. Pada router R1 terdapat 3 interface loopback yang mewakili LAN, begitu juga pada router R2, terdapat 3 interface loopback.
topologi network EIGRP auth
Seperti pada lab sebelumnya, kita konfigurasikan agar EIGRP berjalan dan kita akan melakukan tes koneksi .

berikut hasil ping, yang berarti EIGRP berjalan
hasil ping dari Router R1

Membuat key chain dan key

Langkah- langkah untuk membuat keychain adalah sebagai berikut,
  • Pada konfigurasi global, definisikan nama keychain. Nama keychain tidak harus sama pada kedua roueter.
  • Pada keychain, definisikan key id, yang merupakan identifikasi key. Kita dapat membuat lebih dari satu key-id, tetapi yang digunakan oleh router adalah yang mempunyai nomor id paling kecil. Key id ini harus sama pada kedua router.
  • Setelah key id selesai dikonfigurasi, kita buat password yang sebenarnya dengan menggunakan perintah "key-string password". Ini adalah password yang sebenarnya, yang akan saling dicocokkan oleh EIGRP

Router R1
R1# configure terminal 
R1(config)# key chain kunciku_router1
R1(config-keychain)# key 1
R1(config-keychain-key)# key-string 123456
R1(config-keychain-key)# end

Router R2 
R2# configure terminal 
R2(config)# key chain kunciku_router2
R2(config-keychain)# key 1
R2(config-keychain-key)# key-string 123456
R2(config-keychain-key)# end


Setelah selesai mengkonfigurasikan key chain, hanya ada 2 langkah terakhir untuk dilakukan pada setiap router, yaitu mengatakan pada router keychain mana yang akan kita gunakan untuk otentikasi dan mengaktifkan otentikasi pada EIGRP. Kedua langkah ini dilakukan pada mode konfigurasi interface.

Ok, kita akan mengkonfigurasikan otentikasi pada router R1, 

Router R1
R1# configure terminal  
R1(config)# interface serial 1/0
R1(config-int)# ip authentication mode eigrp 15 md5
R1(config-int)# ip authentication key-chain eigrp 15 kunciku_router1
R1(config-int)#end
topologi change EIGRP
Perhatikan bahwa Neigbor 192.168.0.2 down dan kemudian membentuk neigbor lagi. Ini karena router R1 sekarang telah menggunakan otentikasi md5. Kita lihat apa yang terjadi pada router R2, meggunakan perintah "debug eigrp packets".
topologi change EIGRP Router R2
Kita lihat log pada router R2, terdapat pesan "auth failure".  OK kita konfigurasikan otentikasi pada router R1 dan melihat apa yang terjadi para router R1

 Router R2
R2# configure terminal  
R2(config)# interface serial 1/0
R2(config-int)# ip authentication mode eigrp 15 md5
R2(config-int)# ip authentication key-chain eigrp 15 kunciku_router2
R2(config-int)# end

 Berikut screenshot pada router R1
EIGRP md5 authentication

Verifikasi otentikasi EIGRP

Untuk memverifikasi otentikasi eigrp, kita gunakan perintah "debug eigrp packets", seperti dibawah ini.
verify md5 eigrp
tes koneksi 
hasil ping dari Router R1
File konfigurasi gns3 dapat didownload disini dan disini.

Konfigurasi Dasar Routing Protocol EIGRP pada Router Cisco

Pada artikel bagian 1, bagian 2 dan bagian 3 kita telah berkenalan dengan EIGRP, mempelajari bagaimana EIGRP bekerja membentuk neighbor dengan tetangganya dan memilih rute terbaik menuju destination network.   
Sangat mudah untuk mengkonfigurasi EIGRP pada router cisco, yang perlu kita lakukan adalah mengaktifkan EIGRP pada router cisco dengan perintah "router eigrp" diikuti dengan nomor Autonomous System (AS), kemudian mengumumkan (advertise) network yang terkoneksi pada router.

Konfigurasi EIGRP pada Router Cisco


OK, kita akan menggunakan topologi dibawah ini untuk konfigurasi dasar EIGRP.
Tugasnya adalah menghubungkan ketiga router menggunakan EIGRP dengan nomor AS 100. Buat tiga loopback interface yang mewakili LAN dengan data sebagai berikut :
Router_1 : 192.168.1.0 / 24
Router_2 : 192.168.2.0 / 24
Router_3 : 192.168.3.0 / 24
topologi dasar EIGRP

Berikut konfigurasi  pada ketiga router,

Router_1
!
router eigrp 100
passive-interface Loopback1
network 172.16.12.0 0.0.0.3
network 172.16.13.0 0.0.0.3
network 192.168.1.0 
no auto-summary 
! 

Router_2
!
router eigrp 100
passive-interface FastEthernet2/0
passive-interface Loopback2
network 172.16.12.0 0.0.0.3 
network 172.16.23.0 0.0.0.3
network 192.168.2.0 
network 192.168.10.0
no auto-summary
!

Router_3
!
router eigrp 100
passive-interface Loopback3
network 172.16.13.0 0.0.0.3
network 172.16.22.0 0.0.0.3
network 192.168.1.0 
no auto-summary
!

Perintah "router eigrp [AS]" akan mengaktifkan routing protokol EIGRP pada router cisco. Nomor Autonomous System  ini harus sama, jika tidak EIGRP tidak akan pernah membentuk neighbor dengan tetangganya. 
Efek dari perintah "passive-interface" tergantung dari routing protokol yang diterapkan. Pada interface yang menjalankan routing protocol RIP, perintah "passive-interface' akan mencegah router mengirim paket update tetapi membolehkan untuk menerima paket update. Sedangkan pada EIGRP, perintah "passive-interface" ini akan mencegah interface untuk mengirim ataupun menerima paket update
Secara default, EIGRP akan melakukan summary pada ip address clasfull. Tujuannya memperkecil tabel routing, tapi pada beberapa kasus hal ini akan membuat router bingung, yang akan mengakibatkan paket loss dan routing yang tidak akurat. Untuk mencegah hal ini, gunakan perintah no auto-summary yang akan mencegah EIGRP untuk melakukan summary pada network.


Verifikasi konfigurasi EIGRP


Beberapa perintah yang berguna 
  • show ip protocols
  • show ip eigrp interfaces
  • show ip eigrp neighbors
  • show ip eigrp topology all-links

show ip protocol

Perintah ini akan menampilkan parameter dan status dari routing protocol yang sedang berjalan. Berikut screenshot dari Router_1.

hasil perintah show ip protocols

show ip eigrp interfaces

Perintah ini akan menampilkan interface mana yang aktif dalam proses EIGRP. Berikut screenshot dari Router_1.

hasil perintah show ip eigrp interfaces

show ip eigrp neigbors

Perintah ini akan menampilkan tabel neighbor yang dipelajari EIGRP dari tetangganya dan memastikan neighbor itu aktif atau tidak. Berikut screenshot dari Router_1.

hasil perintah show ip eigrp neighbors

show ip eigrp topology

Perintah ini menampilkan tabel topologi EIGRP, status aktif tidaknya proses routing, successor, dan feasible distance menuju destination network. Untuk informasi yang lebih lengkap gunakan "show ip eigrp topology all-links". Berikut screenshot dari Router_1.
hasil perintah show ip eigrp topologi


Setelah memastikan bahwa EIGRP telah berjalan dengan baik, kita akan melakukan tes koneksi dengan menggunakan ping.
hasil ping topologi EIGRP
File konfigurasi lab gns3 dapat di download disini dan disini

Mengamankan Akses Virtual Terminal Router Cisco

Terdapat beberapa cara untuk mengamankan Router Cisco  dari tangan jahil orang -  orang yang tidak berhak. Umumnya untuk mengakses Router Cisco dapat dilakukan dengan dua cara, akses secara fisik, menggunakan kabel console dan akses remote menggunakan telnet atau ssh (disarankan).
Pada kali ini kita akan belajar cara mengamankan router menggunakan access contol list. ACL yang digunakan adalah Standard ACL. Bisa juga menggunakan Extended ACL, tetapi tidak akan efisien, karena kita akan mengkonfigurasikan setiap interface router hanya untuk mem-blok telnet, disamping itu ruoter akan bekerja berat memproses setiap paket data. Bayangkan jika kita bertanggung jawab untuk selusin router atau bahkan ratusan. Solusi yang lebih baik, gunakan saja Standard ACL, yang hanya menggunakan source IP Address sebagi filter-nya. Jadi kita hanya mengontrol darimana asal user (source IP address).
Ok topologi yang akan digunakan seperti dibawah ini, 
topologi jaringan  
Skenario: 
- Semua router menggunakan statik routing untuk saling terhubung.
- Hanya linux host yang dapat mengakses virtual terminal Router R3 menggunakan telnet.
- Gunakan enable secret router3 dan password test  

Konfigurasi Router R3

R3# configure terminal
R3(config)# enable secret router3
R3(config)# access-list 50 remark === Telnet ===
R3(config)# access-list permit 192.168.1.2 0.0.0.0
R3(config)# line vty 0 4
R3(config-line)# access-class 50 in
R3(config-line)# password test
R3(config-line)# login
R3(config-line)# end

Kita coba akses Router R3 dari Router R2
telnet dari Router Cisco R2
telnet dari Router Cisco R2
Kita coba akses Router R3 dari host Linux_host
telnet dari Linux_host
telnet dari Linux_host

 Dari demontrasi diatas, dapat kita lihat bahwa Standard ACL efektif untuk mengontrol siapa saja yang boleh mengakses router cisco, disamping itu juga menambah keamanan untuk router cisco. Satu hal lagi, sedapat mungkin gunakan ssh, karena telnet akan mengirimkan password dalam plaintext, yang artinya seseorang dengan kemampuan lebih dapat melihat trafik dari linux_host menggunakan packet analyzer -wireshark- untuk melihat password. 

Lab Standard Access Control List

Setelah membaca teori tentang Standard Access Control List, dan Extended Access Control List, kita akan belajar bagaimana membuat rule - rule yang efektif dan efisien, mengkonfigurasi router, menerapkan ACL pada interface dan melihat hasil dari ACL yang kita buat. 
Secara garis besar, langkah - langkah untuk membuat Access Control List adalah sebagai berikut:

 1. Tetapkan tipe Access List mana yang akan digunakan dengan pedoman bahwa Standard ACL sebaiknya ditempatkan sedekat mungkin dengan destination, dan Extended ACL ditempatkan sedekat mungkin dengan source. Tujuannya adalah untuk menghemat resource router.
2. Buat rule -rule dengan perintah "ip access-list" dan terapkan pada interface dengan perintah "ip access-group". Buatlah sependek mungkin, seefektif mungkin dan seefisien mungkin. Tujuannya sama menghemat resource router dan meringankan beban router. Ingat satu rule per protokol, per direction dan per interface. 
Ok, topologi yang akan digunakan  seperti dibawah ini,

Topologi Lab Access Control List
topologi jaringan


Skenario:
Router R1 terhubung dengan dua isp, dengan IP Address ISP1 adalah 1.1.1.0 /30 dan IP Address ISP 2 adalah 2.2.2.0/30. LAN Sales terhubung pada Router R2, dan LAN Manager terhubung melalui Router R3. Sebagai administrator jaringan kita diberi tugas untuk mengijinkan hanya LAN Manager yang boleh mengakses Internet melalui isp 1 sedangkan LAN Sales hanya boleh mengakses internet melalui ISP 2. Bagaimana tugas  ini dapat dilaksanakan ?

Konfigurasi Router

Disini kita akan menggunakan routing protocol RIP versi 2. Mari kita buat interface loopback yang mewakili ISP pada Router R1 dan kemudian konfigurasi interface serial sehingga semua router saling terkoneksi. 

Router R1
R1# configure terminal
R1(config)# interface fa0/0
R1(config-if)# description R1 --> ISP1
R1(config-if)# ip address 1.1.1.2 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# interface fa2/0
R1(config-if)# description R1 --> ISP2
R1(config-if)# ip address 2.2.2.2 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# interface serial 1/0
R1(config-if)# ip address 192.168.254.1 255.255.255.252
R1(config-if)# description R1 --> R2
R1(config-if)# no shutdown
R1(config-if)# interface serial 1/1
R1(config-if)# ip address 192.168.254.5 255.255.255.252
R1(config-if)# description R1 --> R3
R1(config-if)# no shutdown
R1(config-if)# end
 Router R2
R2# configure terminal
R2(config)# interface serial 1/0
R2(config-if)# description R2 --> R1
R2(config-if)# ip address 192.168.254.2 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# interface serial 1/1
R2(config-if)# description R2 --> R3
R2(config-if)# ip address 192.168.254.9 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# interface fa0/0
R2(config-if)# ip address 192.168.1.1 255.255.255.0
R2(config-if)# description R2 --> LAN Sales
R2(config-if)# no shutdown
R2(config-if)# end
Router R3
R3# configure terminal
R3(config)# interface serial 1/0
R3(config-if)# description R3 --> R1
R3(config-if)# ip address 192.168.254.6 255.255.255.252
R3(config-if)# no shutdown
R3(config-if)# interface serial 1/1
R3(config-if)# description R3 --> R2
R3(config-if)# ip address 192.168.254.10 255.255.255.252
R3(config-if)# no shutdown
R3(config-if)# interface fa0/0
R3(config-if)# description R3 --> LAN Manager
R3)config-if)# ip address 172.16.1.1 255.255.255.0 
R3(config-if)#end

Tes koneksi antar Router 
result of ping test

Konfigurasi RIP Versi 2

saatnya kembali ke basic. Sebelum kita membuat acl, kita pastikan RIP berjalan dan saling bertukar informasi update.

 R1# configure terminal
R1(config)# router rip
R1(config-router)# no auto-summary
R1(config-router)# version 2
R1(config-router)# network 1.1.1.0
R1(config-router)# network 2.2.2.0
R1(config-router)# network 192.168.254.0
R1(config-router)end

R2# configure terminal
R2(config)# router rip
R2(config-router)# no auto-summary
R2(config-router)# version 2  
R2(config-router)# network 192.168.254.0
R2(config-router)# network 192.168.1.0
R2(config-router)# end

R3# configure terminal
R3(config)# router rip
R3(config-router)# no auto-summary
R3(config-router)# version 2  
R3(config-router)# network 172.16.1.0
R3(config-router)# network 192.168.254.0
R3(config-router)# end

Verifikasi RIP

Verifikasi RIP Router Cisco R1

Verifikasi RIP Router cisco R2

Verifikasi RIP Router Cisco R3

Konfigusari DHCP

Untuk memudahkan hidup kita, pada Router R2 dan R3 menggunakan DHCP, cara konfigurasi DHCP pada router cisco dapat dilihat disini
dhcp client pada host

Konfigurasi ACL 

Ok, setelah routing RIP berjalan dan saling bertukar paket update, kita akan membuat rule - rule ACL yang seefektif dan efisien mungkin. Pada topologi diatas, kita mengijinkan LAN Sales untuk mengakses ISP 2 (network 2.2.2.0/24), dan Lan Manager hanya boleh mengakses ISP 1 (network 1.1.1.0 /24). 

 LAN Sales dapat mencapai ISP 2 melalui 2 rute. Rute 1 dari R2 --> R1 dan rute 2 dari R2 --> R3 --> R1. Begitu pula LAN Manager. Jika ACL Diterapkan pada inbound interface Fast Ethernet 0/0 Router R2, paket dari LAN Sales tidak akan pernah keluar dari Router R2, sehingga tempat terbaik untuk membuat acl adalah di Router R1, pada outbound interface fast ethertnet 0/0  untuk memblok traffik dari LAN Sales, dan pada outbound interface fast ethernet 2/0 untuk memblok traffic dari LAN Manager.

 Alasan lain adalah kemungkinan adanya lubang sekuriti, yang mungkin terjadi jika link antara router down. Paket yang melalui rute yang baru  -jika salah satu link down- mungkin saja tidak melalui pemeriksaan acl.


OK kita konfigurasi acl untuk memblok Lan Sales dan menerapkan pada interface Fast Ethernet 0/0 Router R1,
R1# configure terminal
R1(config)# access-list 1 remark == Blok Lan Sales ==
R1(config)# access-list 1 deny 192.168.1.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface fa0/0
R1(config-if)# ip access-group 1 out 
R1(config-If)# end
R1(config)#

Untuk mem-blok Lan Manager,
R1# configure terminal
R1(config)# access-list 2 remark == Blok Lan Manager ==
R1(config)# access-list 2 deny 172.16.1.0 0.0.0.255
R1(config)# access-list 2 permit any
R1(config)# interface fa2/0
R1(config-if)# ip access-group 2 out
R2(config-if)# end

cek interface fast ethernet 0/0
cek interface fast ethernet 2/0

 Kita coba untuk ping ISP 1 dari router R2, dan ping ISP 2 dari Router R3,
Hasil ping dari router R2
ping dari Router R2
 
Hasil ping dari router R2
ping dari Router R2
Gunakan perintah "show access-list " pada Router R1 untuk melihat hasil dari acl yang kita buat.
show access-list

Jawaban Soal tentang ACL

Seperti yang sudah dijanjikan pada artikel ini, berikut adalah jawaban pertanyaan - pertanyaan tentang Access Control List

1. Ada 3 (tiga) solusi untuk masalah ini : 
access-list 3 permit host 192.168.2.10 
access-list 2 permit 192.168.2.10 0.0.0.0 
access-list 4 permit 192.168.2.10

Semua access list diatas akan memberikan hasil yang sama, INGAT, terdapat statement "deny all" disetiap akhir access list yang tidak terlihat, dan nomor Standard Access List  antara 1 - 99 dan 1300 - 1999. 


2. access-list 5 deny host 170.192.25.251
    access-list 5 permit any

 3. Karena IP Address 196.168.2.10 /24 mempunyai 254 host, kita akan menggunakan widlcard mask agar lebih mudah.
access-list 10 permit 192.168.2.0 0.0.0.255

4. interface  fastethernet0/0
    ip access-group 13 in
    access-list 13 deny host 151.25.5.28
    access-list 13 deny 101.65.2.33 0.0.0.0
    access-list 13 permit any 

 5. Access list 25 diterapkan pada interface  fa0/1 dengan arah inbound (in), sehingga semua traffic IP dari host 111.23.4.1 akan di ijinkan. Sedangkan traffic dari network 202.45.0.0/24 akan di-drop, dan semua traffic dari IP Address lainnya akan diijinkan.

6. interface serial1/1
    ip access-group 15 out 
   
    access-list 15 permit host 151.25.5.28
    access-list 15 permit host 101.65.2.33
    
7. interface fastethernet1/0
    ip access-group 101 in

    interface serial1/1
    ip access-group 101 out

    access-list 101 deny tcp any host 48.55.50.24 eq www
    access-list 101 permit tcp any any eq www

8. ACL ini akan menolak traffic yang berasal dari 102.202.1.25 untuk keluar melalui interface serial 0/1, dan mengijinkan semua IP Address yang lain keluar melalui interface serial 0/1.

9. misal kan access list diterapkan pada interface serial 1/1, konfigurasinya adalah 
interface serial1/1
ip access-group 102 in

access-list 102 permit udp any 0.0.0.0 255.255.255.254 eq tftp
access-list 102 permit tcp any 0.0.0.0 255.255.255.254 eq telnet

10. access-list 10 permit 202.25.43.0 0.0.0.255
     access-list 10 deny 172.16.0.0 0.0.255.255

11. Konfigurasi ini akan menolak traffic telnet yang masuk dari 202.150.23.5 menuju ke 102.202.1.25 melalui interface serial1/0, menolak akses tftp dan mengijinkan semua IP traffic.

Ahhh... ACL, lagi ...?

Pada postingan lalu, kita telah mempelajari Standard ACL, dan sedikit menyinggung tentang Extended ACL. Extended ACL menyediakan fitur yang lebih fleksibel untuk menyaring paket data. Jika pada Standard ACL, paket data di-filter berdasarkan source IP Address, Extended ACL akan mem-filter paket data berdasarkan source dan destination IP Address, source dan destination port serta protocol.

Fleksibilitas inilah yang membuat kita dapat membuat Access Control List yang sangat spesifik sesuai dengan kebutuhan. Contohnya kita dapat membolehkan traffik email sementara pada saat yang sama, memblok file transfer dan browsing.

Konfigurasi Extended ACL

Sintaks dasar untuk mengkonfigurasikan Extended ACL adalah :
 access-list acl-nomor [permit|deny] protocol source [source-wildcard] dest [dest-wildcard] [logic dest-port]  
contoh topologi extended acl
Pada contoh ini kita akan mengkonfigurasikan extended acl yang memblok (deny) trafik ftp ke network 10.0.0.0 /24 , tapi membolehkan ke network yang lain.
cat: 
ftp menggunakan port 20 dan 21

Definisikan protokol, source, destination dan port mana yang diblok,
Router(config)#access-list 101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 20
Router(config)#access-list 101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0 eq 21
Router(config)#access-list 101 permit ip any any

Terapkan acl 101 pada interface
Router(config)#interface fa0/0
Router(config-if)#ip access-group 101 out

Perhatikan bahwa kita harus membuat trafik lain tidak diblok ( access-list permit 101 ip any any) karena ada pada akhir setiap acl terdapat "deny all" yang memblok semua trafik.
Seperti yang kita lihat pada contoh acl diatas, destination  ditullis dengan "118.10.1.6 0.0.0.0" yang menentukan host. Kita dapat juga menggunakan perintah "host 118.10.1.6".
Pernyataan "118.10.1.6 0.0.0.0" mengunakan wildcard masking.

Logic Operator ACL

Pada contoh acl diatas, terdapat statement "eq" yang berarti "equal". Berikut ini adalah logic operator yang digunakan oleh Cisco IOS
gt = greater than
eq = equal to
neq = not equal to
range = range of port number

Named ACL

Sifat manusia yang pelupa membuat kita lebih mudah mengingat nama daripada mengingat nomor. Membuat nama ACL akan memudahkan kita mengingat fungsinya, contoh ACL diatas lebih mudah diingat dengan nama NO_FTP.
Sintaks dasar untuk mengkonfigurasikan named ACL 
ip access-list [standard | extended] nama-acl

Untuk contoh acl diatas, versi named acl

Router(config)#ip access-list NO_FTP
deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 20
Router(config-ext-nacl)#101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 21
Router(config-ext-nacl)#101 permit any any
Router(config-ext-nacl)#end
Router(config)#interface fa0/0
Router(config-if)# ip access-group NO_FTP out
Subscribe to: Posts ( Atom )