Secara garis besar, langkah - langkah untuk membuat Access Control List adalah sebagai berikut:
1. Tetapkan tipe Access List mana yang akan digunakan dengan pedoman bahwa Standard ACL sebaiknya ditempatkan sedekat mungkin dengan destination, dan Extended ACL ditempatkan sedekat mungkin dengan source. Tujuannya adalah untuk menghemat resource router.
2. Buat rule -rule dengan perintah "ip access-list" dan terapkan pada interface dengan perintah "ip access-group". Buatlah sependek mungkin, seefektif mungkin dan seefisien mungkin. Tujuannya sama menghemat resource router dan meringankan beban router. Ingat satu rule per protokol, per direction dan per interface.
Ok, topologi yang akan digunakan seperti dibawah ini,
topologi jaringan |
Skenario:
Router R1 terhubung dengan dua isp, dengan IP Address ISP1 adalah 1.1.1.0 /30 dan IP Address ISP 2 adalah 2.2.2.0/30. LAN Sales terhubung pada Router R2, dan LAN Manager terhubung melalui Router R3. Sebagai administrator jaringan kita diberi tugas untuk mengijinkan hanya LAN Manager yang boleh mengakses Internet melalui isp 1 sedangkan LAN Sales hanya boleh mengakses internet melalui ISP 2. Bagaimana tugas ini dapat dilaksanakan ?
Konfigurasi Router
Disini kita akan menggunakan routing protocol RIP versi 2. Mari kita buat interface loopback yang mewakili ISP pada Router R1 dan kemudian konfigurasi interface serial sehingga semua router saling terkoneksi.Router R1
R1# configure terminal
R1(config)# interface fa0/0
R1(config-if)# description R1 --> ISP1
R1(config-if)# ip address 1.1.1.2 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# interface fa2/0
R1(config-if)# description R1 --> ISP2
R1(config-if)# ip address 2.2.2.2 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# interface serial 1/0
R1(config-if)# ip address 192.168.254.1 255.255.255.252
R1(config-if)# description R1 --> R2
R1(config-if)# no shutdown
R1(config-if)# interface serial 1/1
R1(config-if)# ip address 192.168.254.5 255.255.255.252
R1(config-if)# description R1 --> R3
R1(config-if)# no shutdown
R1(config-if)# end
Router R2
R2# configure terminal
R2(config)# interface serial 1/0
R2(config-if)# description R2 --> R1
R2(config-if)# ip address 192.168.254.2 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# interface serial 1/1
R2(config-if)# description R2 --> R3
R2(config-if)# ip address 192.168.254.9 255.255.255.252
R2(config-if)# no shutdown
R2(config-if)# interface fa0/0
R2(config-if)# ip address 192.168.1.1 255.255.255.0
R2(config-if)# description R2 --> LAN Sales
R2(config-if)# no shutdown
R2(config-if)# end
Router R3
R3# configure terminal
R3(config)# interface serial 1/0
R3(config-if)# description R3 --> R1
R3(config-if)# ip address 192.168.254.6 255.255.255.252
R3(config-if)# no shutdown
R3(config-if)# interface serial 1/1
R3(config-if)# description R3 --> R2
R3(config-if)# ip address 192.168.254.10 255.255.255.252
R3(config-if)# no shutdown
R3(config-if)# interface fa0/0
R3(config-if)# description R3 --> LAN Manager
R3)config-if)# ip address 172.16.1.1 255.255.255.0
R3(config-if)#end
Tes koneksi antar Router
Konfigurasi RIP Versi 2
saatnya kembali ke basic. Sebelum kita membuat acl, kita pastikan RIP berjalan dan saling bertukar informasi update.
R1# configure terminal
R1(config)# router rip
R1(config-router)# no auto-summary
R1(config-router)# version 2
R1(config-router)# network 1.1.1.0
R1(config-router)# network 2.2.2.0
R1(config-router)# network 192.168.254.0
R1(config-router)end
R2# configure terminal
R2(config)# router rip
R2(config-router)# no auto-summary
R2(config-router)# version 2
R2(config-router)# network 192.168.254.0
R2(config-router)# network 192.168.1.0
R2(config-router)# end
R3# configure terminal
R3(config)# router rip
R3(config-router)# no auto-summary
R3(config-router)# version 2
R3(config-router)# network 172.16.1.0
R3(config-router)# network 192.168.254.0
R3(config-router)# end
R1# configure terminal
R1(config)# router rip
R1(config-router)# no auto-summary
R1(config-router)# version 2
R1(config-router)# network 1.1.1.0
R1(config-router)# network 2.2.2.0
R1(config-router)# network 192.168.254.0
R1(config-router)end
R2# configure terminal
R2(config)# router rip
R2(config-router)# no auto-summary
R2(config-router)# version 2
R2(config-router)# network 192.168.254.0
R2(config-router)# network 192.168.1.0
R2(config-router)# end
R3# configure terminal
R3(config)# router rip
R3(config-router)# no auto-summary
R3(config-router)# version 2
R3(config-router)# network 172.16.1.0
R3(config-router)# network 192.168.254.0
R3(config-router)# end
Verifikasi RIP
Konfigusari DHCP
Untuk memudahkan hidup kita, pada Router R2 dan R3 menggunakan DHCP, cara konfigurasi DHCP pada router cisco dapat dilihat disini.
Konfigurasi ACL
Ok, setelah routing RIP berjalan dan saling bertukar paket update, kita akan membuat rule - rule ACL yang seefektif dan efisien mungkin. Pada topologi diatas, kita mengijinkan LAN Sales untuk mengakses ISP 2 (network 2.2.2.0/24), dan Lan Manager hanya boleh mengakses ISP 1 (network 1.1.1.0 /24).
LAN Sales dapat mencapai ISP 2 melalui 2 rute. Rute 1 dari R2 --> R1 dan rute 2 dari R2 --> R3 --> R1. Begitu pula LAN Manager. Jika ACL Diterapkan pada inbound interface Fast Ethernet 0/0 Router R2, paket dari LAN Sales tidak akan pernah keluar dari Router R2, sehingga tempat terbaik untuk membuat acl adalah di Router R1, pada outbound interface fast ethertnet 0/0 untuk memblok traffik dari LAN Sales, dan pada outbound interface fast ethernet 2/0 untuk memblok traffic dari LAN Manager.
Alasan lain adalah kemungkinan adanya lubang sekuriti, yang mungkin terjadi jika link antara router down. Paket yang melalui rute yang baru -jika salah satu link down- mungkin saja tidak melalui pemeriksaan acl.
OK kita konfigurasi acl untuk memblok Lan Sales dan menerapkan pada interface Fast Ethernet 0/0 Router R1,
R1# configure terminal
R1(config)# access-list 1 remark == Blok Lan Sales ==
R1(config)# access-list 1 deny 192.168.1.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface fa0/0
R1(config-if)# ip access-group 1 out
R1(config-If)# end
R1(config)#
Untuk mem-blok Lan Manager,
R1# configure terminal
R1(config)# access-list 2 remark == Blok Lan Manager ==
R1(config)# access-list 2 deny 172.16.1.0 0.0.0.255
R1(config)# access-list 2 permit any
R1(config)# interface fa2/0
R1(config-if)# ip access-group 2 out
R2(config-if)# end
Kita coba untuk ping ISP 1 dari router R2, dan ping ISP 2 dari Router R3,
LAN Sales dapat mencapai ISP 2 melalui 2 rute. Rute 1 dari R2 --> R1 dan rute 2 dari R2 --> R3 --> R1. Begitu pula LAN Manager. Jika ACL Diterapkan pada inbound interface Fast Ethernet 0/0 Router R2, paket dari LAN Sales tidak akan pernah keluar dari Router R2, sehingga tempat terbaik untuk membuat acl adalah di Router R1, pada outbound interface fast ethertnet 0/0 untuk memblok traffik dari LAN Sales, dan pada outbound interface fast ethernet 2/0 untuk memblok traffic dari LAN Manager.
Alasan lain adalah kemungkinan adanya lubang sekuriti, yang mungkin terjadi jika link antara router down. Paket yang melalui rute yang baru -jika salah satu link down- mungkin saja tidak melalui pemeriksaan acl.
OK kita konfigurasi acl untuk memblok Lan Sales dan menerapkan pada interface Fast Ethernet 0/0 Router R1,
R1# configure terminal
R1(config)# access-list 1 remark == Blok Lan Sales ==
R1(config)# access-list 1 deny 192.168.1.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface fa0/0
R1(config-if)# ip access-group 1 out
R1(config-If)# end
R1(config)#
Untuk mem-blok Lan Manager,
R1# configure terminal
R1(config)# access-list 2 remark == Blok Lan Manager ==
R1(config)# access-list 2 deny 172.16.1.0 0.0.0.255
R1(config)# access-list 2 permit any
R1(config)# interface fa2/0
R1(config-if)# ip access-group 2 out
R2(config-if)# end
Kita coba untuk ping ISP 1 dari router R2, dan ping ISP 2 dari Router R3,
ping dari Router R2 |
ping dari Router R2 |
mantap min, makasih banyak sudah share
ReplyDeletesolder uap