Access List (ACL) Pada Router Cisco

Posted by : wiwin Thursday 16 July 2015

Packet filter digunakan oleh Cisco Router untuk mengatur lalu lintas data yang melewati router. Tujuannya adalah untuk menentukan paket data mana yang akan ditolak dan yang mana akan diteruskan ke suatu alamat jaringan (network) atau ke suatu alamat komputer (host).

Adapun fungsi daftar akses (access list) pada packet filter yang dipakai Cisco Router adalah sebagai berikut:

1. Setiap paket data yang diterima oleh router dicocokan dengan isi daftar akses yang diterapkan pada router interface baris per baris.

2. Bila ditemukan suatu baris yang cocok, maka paket data tersebut diteruskan atau ditolak berdasarkan perintah dari baris tersebut.

3. Jika tidak ada baris yang cocok, perlu diketahui bahwa setiap daftar akses list jika dibuat, secara otomatis akan diakhiri dengan perintah “implicit deny” yang berarti jika ijin tidak disebutkan secara khusus dalam daftar akses maka paket akan ditolak.

Berikut nomor daftar akses yang dipakai :

Nomor daftar akses	Tipe daftar akses
1-99	Daftar akses IP Standar
100-199	Daftar akses IP Extended
600-699	Daftar akses AppleTalk
800-899	Daftar akses IPX Standar
900-999	Daftar akses IPX Extended
1000-1099	Daftar akses IPX SAP

DAFTAR AKSES IP STANDAR

Dalam pembuatan daftar akses IP Standar (Standard IP Access Lists), digunakan alamat pengirim paket. Untuk membuat daftar akses IP Standar, terlebih dahulu harus masuk ke global configuration mode dengan perintah sebagai berikut :

Router(config)#access-list

Keterangan :

- Nomor daftar akses IP Standar adalah 1 – 99

- Permit atau Deny adalah parameter untuk mengijinkan atau menolak

- Alamat sumber adalah alamat pengirim atau alamat asal

- Wildcard mask adalah selubung yang digunakan untuk memungkinkan penerimaan atau penolakan suatu IP Address atau kelompok dari sejumlah IP Address.

Berikut contoh penerapan daftar akses IP Standar ini :

Sebelum pemberian daftar akses ini pastikan agan telah melakukan routing pada jaringan agan. Seperti yang telah ane jelaskan pada postingan ane sebelumnya, ada beberapa protokol routing yang agan bisa gunakan :

RIP

EIGRP

Skema jaringannya adalah sebagai berikut :

Gambar 1. Skema Jaringan

Contoh 1:

Jika ingin mengijinkan semua host dari network 192.168.5.0 mengakses ke network 192.168.1.0 di Router0. Maka daftar aksesnya sebagai berikut :

Router0(config)#access-list 10 permit 192.168.5.0 0.255.255.255

Ket:

- Daftar akses ini mengijinkan host dalam jaringan 192.168.5.0

Dengan wildcard mask 0.255.255.255 jika dalam biner berarti 00000000.11111111.11111111.11111111. Bit 0 ini memerintahkan router untuk membandingkan posisi IP address suatu paket dengan alamat sumber dari suatu paket, dalam hal ini alamat sumbernya adalah 192.168.5.0. Jadi jika bit 0 semua cocok maka daftar akses berlaku untuk paket tersebut. Sedangkan bit 1 memerintahkan router untuk mengabaikan bit yang bersesuaian dengan IP Address tersebut.

Jadi, bila network ID paket adalah 192.168.5.0, maka daftar akses berlaku untuk paket tersebut untuk host ID apa saja yang berada dalam jaringan tersebut.

Contoh 2 :

Jika diberikan ijin hanya kepada 1 workstation dengan IP address 192.168.5.1 dari alamat jaringan 192.168.5.0 agar dapat mengakses ke jaringan 192.168.1.0 di Router0, maka daftar aksesnya sebagai berikut :

Router0(config)#access-list 10 permit 192.168.5.1 0.0.0.0

Ket :

- Daftar akses ini hanya mengijinkan satu IP Address yaitu 192.168.5.1 karena wildcard mask 0.0.0.0 hanya membandingkan seluruh IP Address dari alamat sumber paket

Nah, setelah pembuatan daftar akses selesai, daftar akses yag telah dibuat baik seperti dalam contoh 1 ataupun contoh 2 tadi harus ditempatkan ke dalam 1 interface. Dalam hal ini daftar akses dibuat untuk akses ke network 192.168.1.0 pada Router0, interface fastethernet0/0. Maka dari configuration mode masuk ke interface yang akan dipakai kemudia menerapkan daftar akses ke interface tersebut.

Router0(config)#int f0/0

Router0(config-if)#ip access-group 10 out

Ket:

> Perintah ini akan menerapkan daftar akses nomor 10 ke interface fastethernet0/0 yang dipilih.
> Parameter out menandakan daftar akses berlaku untuk ijin akses keluar dari interface fastethernet0/0, Router0. Sedangkan parameter in digunakan untuk paket yang masuk ke router interface. Jika in atau out tidak diketik maka secara default adalah out.

Untuk penghapusan daftar akses yang telah dibuat adalah sebagai berikut :

Router0(config)#no access-list 10

Ket :

- Perintah diatas akan menghapus daftar akses nomor 10

DAFTAR AKSES IP EXTENDED

Daftar akses IP Extended (Extended IP Access List) lebih rumit dan lebih banyak memiliki parameter. Adapun parameter yang dapat diatur meliputi : alamat pengirim/sumber (source address), alamat penerima (destination address), port number dan protokol yang digunakan. Contoh seperti dibawah ini :

Router(config)#access-list

Ket:

> Nomor daftar akses IP Extended adalah antara 100-199

> Permit/deny adalah parameter untuk menolak atau mengijinkan

> Protocol adalah protokol IP seperti TCP, UDP, IXMP, dan lain-lain

> Source address adalah alamat pengirim atau asal

> Destination address adalah alamat penerima yang dituju

> Wildcard mask adalah selubung

> Operator adalah seperti eq(equal), lt(large then), gt(greater then)

> Informasi port berupa nomor port, dns, ftp, www, telnet, smpt, dll.

Misalnya diinginkan akses IP Extended yang mengijinkan ftp dari network 192.168.1.0 ke host dengan IP address 192.168.5.1. daftar akses ini bisa dibuat dengan perintah:

Router2(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.5.1 0.0.0.0 eq ftp

Untuk menerapkan daftar akses yang telah dibuat ke serial0/0 dari Router2: