Adalah suatu fitur dari Cisco yang berfungsi untuk melakukan filtering terhadap traffic yang melewati router. Jadi, kita dapat mengatur mana traffic yang diperbolehkan dan yang dilarang sesuai konfigurasi kita.
Access-List terbagi menjadi 2, yaitu:
Standard Access-List Konfigurasi ACL (AcCess List) ini dikonfigurasikan pada router yang terhubung dengan jalur yang ingin dipasang ACL. ACL standard ini hanya dapat memblokir sebuah network, subnet, dan host. Dalam filtering-nya hanya terdapat ACTION deny (dilarang) dan permit (dibolehkan).
Extended Access-List konfigurasi ACL sama seperti Standard, tetapi ACL ini memiliki fitur yang lebih banyak dibandingan Standard dalam filtering traffic. Beberapa tambahan fiturnya, seperti router yang akan dikonfigurasikan tidak perlu terhubung dengan jalur yang ingin di-ACL, karena pada extended ACL dapat memfilter source ataupun destination dan port ataupun protocol – protocol.
NB : Default setting dari ACL adalah deny (tolak), jadi apabila kita ingin mengkonfigurasi ACL, kita harus memasukkan pengecualian (untuk jalur-jalur yang tidak ingin di-deny, apabila perlu)
Berikut perbedaan Standard dan Extended ACL:
STANDARD ACL
Pertama, berilah IP dengan sesuai pada tiap device yang tercantum pada topologi.
Kita ingin memblokir PC0 agar tidak bisa melakukan ping ke Server, maka masuklah ke router yang paling terdekat dengan jalur yang ingin diblokir, yaitu router0. Konfigurasinya ada dibawah ini :
Router(config)#access-list 1 deny 10.10.10.2 0.0.0.255
Router(config)#access-list 1 permit any *
Router(config)#int fa0/1
Router(config-if)#ip access-group 1 out ***kita perlu memasukkan perintah itu, karena default ACL adalah deny.
**perintah ini agar memasukkan ACL yang telah dibuat kedalam interface tersebut
NB : apabila kita ingin memblokir seluruh PC, maka IP 10.10.10.2 dapat diganti menjadi network, yaitu 10.10.10.0, dan jangan lupa untuk memasukkan subnet Wildcart (baca OSPF)
Setelah itu, lakukan ping dari semua PC menuju ke Server, apabila berhasil, seharusnya PC0 tidak bisa melakukan ping menuju ke Server. Dalam PC0 akan mendapatkan pesan 'destination host unreachable'
Untuk mengetahui tabel ACL, dapat melakukan perintah dibawah ini :
Router(config)#do show access-listEXTENDED ACL
Saya ingin PC 0 tidak bisa melakukan ping menuju ke server, tapi masih bisa membuka web dari server, dan untuk PC 1 tidak bisa membuka web dari server tapi masih bisa melakukan ping menuju server sesuai topologi dibawah ini.
Pertama-tama, masukkan semua IP Address pada device masing-masing
Setelah itu, kita masuk ke router untuk melakukan konfigurasi Extended ACL
Router(config)#access-list 100 deny icmp host 10.10.10.2 20.20.20.2 0.0.0.255
Router(config)#access-list 100 deny tcp host 10.10.10.3 20.20.20.2 0.0.0.255 eq 80*
Router(config)#access-list 100 permit ip any any**
Router(config)#int fa0/1
Router(config-if)#ip access-group 100 out* 'eq' (equality) khusus untuk konfigurasi port TCP atau UDP
** 'permit ip any any' jumlah kata any ada 2, karena pada konfigurasi Extended ACL yang di block karena default adalah jalur dan port / protocolnya sehingga ada 2 yang perlu kita permit.
NB : Apabila kita ingin memblokir 2 port, misal kita ingin memblokir port HTTP (40) dan HTTPS (443), maka tinggal memodifikasi perintah seperti dibawah ini.
Router(config)#access-list 100 deny tcp host 10.10.10.3 20.20.20.2 0.0.0.255 range 40 443Dengan menggunakan range, kita bisa memblokir 2 port sekaligus
Setelah itu, lakukan ping dan masuk ke website (masukkan IP milik server pada browser, 20.20.20.2) pada PC masing-masing menuju ke Server.
NAME BASED EXTENDED ACL
Pada bagian ini, kita akan melakukan konfigurasi name based ACL yang menggunakan rule yang akan dibaca dari yang paling utama (priority first), yaitu rule yang paling kecil angkanya akan dibaca dahulu, seperti Firewall.
Kita akan melakukan konfigurasi Extended ACL with Name Based.
Misalnya, kita ingin agar PC0 tidak dapat melakukan ping menuju server, tapi masih tetap bisa membuka situs dari server tersebut. Untuk PC1 tidak bisa membuka website berbasis HTTPS dan HTTP.
Router(config)#ip access-list extended 1st*
Router(config-ext-nacl)#10** deny icmp host 10.10.10.2 20.20.20.2 0.0.0.255
Router(config-ext-nacl)#15** deny tcp host 10.10.10.3 20.20.20.2 0.0.0.255 eq 80
Router(config-ext-nacl)#20** permit ip any any
Router(config-ext-nacl)#exit
Router(config)#int fa0/1
Router(config-if)#ip access-group mq out * '1st' sebenarnya adalah nama/name
** 10, 15 dan 20 adalah sequence number (urutan rule). Seperti tadi, pada ACL Name Based akan membaca besaran angka rule dari yang kecil hingga yang besar.
Untuk mengetahui tabel urutan rule Name ACL, dapat melakukan perintah seperti dibawah ini.
Router(config)#do show ip access-list
Comments