Tentang Access List pada Cisco Router

      Tak ada komentar pada Tentang Access List pada Cisco Router

Pertama kali saya menggunakan Router Cisco, selain belajar tentang routing juga belajar tentang access list pada Cisco Router. Pada saat itu  koneksi dari kantor cabang ke data center menggunakan link komunikasi dengan kapasitas bandwidth yang masih kecil (128kbps). Karena kondisi tersebut maka saya di minta untuk membatasi akses dari kantor cabang ke data center. Konsep pembatasan akses pada saat itu dengan mengatur komputer hanya bisa mengakses service atau port dari aplikasi gunakan. Misalnya jika aplikasi berbasis http (port 80) maka komputer di cabang hanya bisa mengakses http servicenya saja, untuk port yang lain tidak di ijinkan. Konsep tersebut selain meringankan link komunikasi dari paket-paket yang tidak penting, juga untuk mengamankan server dari serangan virus yang bisa menyebar dari komputer cabang. Pada contekan ini saya akan cerita tentang access list Cisco Router, untuk lengkapnya sebagai berikut.

Pengertian Access List

Access List atau yang biasa dikenal dengan ACL (Access Control List) merupakan sebuah metode  yang di gunakan untuk melakukan filtering terhadap lalulintas data  pada jaringan. Dengan menerapkan ACL, router bisa menerima atau menolak paket dari suatu host yang menuju ke tujuan tertentu (misalnya server). Access list ini seperti halnya rule-rule pada firewall, berisikan list atau daftar kondisi yang di buat oleh administrator jaringan. Daftar kondisi ini nantinya akan menjadi pedoman bagi router untuk melakukan pengecekan terhadap paket yang keluar masuk interface router. Kondisi akan di baca dari urutan paling atas ke bawah. Oleh karena itu ketika membuat rule atau kondisi, biasanya administrator jaringan akan membuat rule yang spesifik dahulu kemudian yang paling akhir adalah rule yang bersifat umum.

Cara Kerja Access List

Pada kondisi normal, router akan mencarikan rute yang tepat untuk sebuah paket yang melewatinya dan memilih interface mana yang harus di gunakan agar sampai pada tujuan. Saat menggunakan access list, sebelum paket dapat memasuki atau keluar dari interface router maka paket akan diperiksa.

Rule-rule access list akan memeriksa berbagai informasi dalam sebuah paket, seperti IP Address atau port-port tujuan. Paket yang masuk atau keluar dari router akan di periksa mengikuti rule-rule yang sudah ditentukan hingga kondisi tersebut terpenuhi. Jika tidak ada yang terpenuhi pada rule pertama, paket akan di periksa rule kedua, dan begitu seterusnya. Saat sebuah rule sudah terpenuhi maka router akan melakukan aksi untuk menerima atau menolak.

Saat paket tidak memenuhi semua rule yang kita tetapkan maka otomatis paket akan di drop. Kondisi tersebut terjadi karena setiap akhir access list terdapat perintah “implicit deny”. Untuk lebih detailnya cara kerja access list bisa kita lihat pada gambar di bawah.access list pada cisco router Dari penjelasan sebelumnya kita dapat menyimpulan cara kerja access list pada Router Cisco sebagai berikut:

  1. Setiap paket akan di periksa dengan setiap rule atau kondisi access list secara berurutan.
  2. Jika kondisi sudah terpenuhi maka router akan menerima atau menolak paket sesuai perintah.
  3. Jika paket tidak memenuhi semua kondisi yang ada maka akan otomatis di tolak oleh router.

Jenis-Jenis Access List

Bedasarkan jenis protocol dan penggunaannya pada Cisco terdapat dua jenis acces list yaitu Standard Access List dan Extended Access List.

Standard Access List

Standard Access List merupakan bentuk sederhana dari access list. Access list ini menggunakan alamat pengirim (source address) dalam pembuatan  rule access list. Kita tidak bisa menentukan protokol mana yang akan router terima atau tolak. Untuk membuat Standard Access List kita akan menggunakan perintah berikut pada Cisco Router.

Router(config)# access-list [list number] [permit|deny] [source address] [wildcard mask] [log]

Dimana :

  • access-list merupakan perintah access list itu sendiri
  • list number merupakan nomor access list yang kita berikan. Untuk standard access list nomornya mulai dari 1 sampai 99.
  • permit|deny merupakan parameter untuk menerima atau menolak
  • source address merupakan alamat ip address pengirim
  • wildcard mask (opsional) merupakan bit bit wildcard mask untuk di aplikasikan pada IP Address yang serupa dengan subnet mask.
  • log (opsional) merupakan perintah agar router membuat log paket-paket yang memenuhi kondisi access list.

Berikut saya berikan beberapa contoh penerapan standard access list pada Cisco Router.

access-list 1 permit 192.168.1.88 0.0.0.0

Perintah di atas  akan menerima atau mengijinkan paket host 192.168.1.88 melewati router.

access-list 1 deny 192.168.2.0 0.0.0.255

Perintah di atas akan menolak semua paket dari segmen jaringan 192.168.2.0/24 melewati router.

Baca Juga : Konfigurasi Standard Access List pada Cisco Router

Extended Access List

Extended Access List merupakan access list yang lebih spesifik dari Standard Access List. Jika pada standard access list router hanya memeriksa berdasarkan alamat pengirim. Pada extended access list selain memeriksa alamat pengirim router juga akan memeriksa alamat tujuan, dan jenis protokolnya seperti http,ftp, icmp dan lainnya. Untuk membuat Extended Access List kita akan menggunakan perintah berikut pada Cisco Router.

Router(config)# access-list [list number] [permit|deny] [protocol] [source spesification] [destination spesification] [operator] [port spesification] [log]

Dimana :

  • access-list merupakan perintah access list itu sendiri
  • list number merupakan nomor access list yang kita berikan. Untuk standard access list nomornya mulai dari 100 sampai 199.
  • permit|deny merupakan parameter untuk menerima atau menolak
  • protocol merupakan tipe protocol dari paket (seperti ip, tcp, udp, icmp)
  • source spesification merupakan alamat ip address dan wildcard mask dari pengirim
  • destination spesification merupakan alamat ip address dan wildcard mask dari tujuan paket
  • operator seperti eq (equal), lt(less than), gt (great than)
  • port specification merupakan port spesifik (seperti http, www, ftp,telnet) hanya untuk protocol TCP dan UDP
  • log (opsional) merupakan perintah agar router membuat log paket-paket yang memenuhi kondisi access list.

Berikut saya berikan beberapa contoh penerapan standard access list pada Cisco Router.

access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 172.18.20.88 eq www

Perintah di atas  akan mengijinkan paket dari segmen jaringan 192.168.1.0/24 yang akan mengkases port 80(www)  host 172.18.20.88  melewati router.

access-list 101 deny icmp 192.168.2.0 0.0.0.255 any

Perintah di atas akan menolak semua paket dari segmen jaringan 192.168.2.0/24 untuk melakukan ping (icmp) ke semua alamat tujuan. Parameter “any” pada contoh di atas berarti semua ip address baik itu jika di tempatkan pada source dan destination.

Baca Juga : Konfigurasi Extended Access List pada Cisco Router

Named Access List

Berdasarkan penulisannya, access list dapat definisikan dengan menggunakan sistem penomoran (Numbered Access List) atau menggunakan sistem penamaan (Named Access List). Beberapa contoh konfigurasi access list yang ada di atas tadi merupakan contoh numbered access list. Nomor 1-99 di gunakan untuk  Standard Access List  sedangkan 100-199 digunakan untuk Extended Access List. Untuk  membuat named access list pada Cisco kita bisa menggunakan perintah berikut.

Router(config)# ip access-list [standard|extended] [nama access list]

Kemudian kita lanjutkan dengan membuat rule-rulenya. Berikut saya berikan beberapa contoh penerapan named access list pada Cisco Router.

Router(config)#ip access-list standard ALLOW_GROUP
Router(config-std-nacl)#permit host 192.168.1.88

Konfigurasi di atas mendefinisikan access list standard dengan nama ALLOW_GROUP, sedangkan rule yang di buat adalah mengijinkan host 192.168.1.88

Penempatan Acces List Pada Interface

Setelah kita membuat rule-rule atau kondisi access list (baik standard access list ataupun extended access list), pastikan kita memasang atau menerapkan pada interface router. Hal ini karena proses pemeriksaan terhadap paket data oleh access list terjadi ketika paket  tersebut sampai di interface router. Ada dua penempatan yang bisa dipilih yakni in (untuk trafik inbound) dan out (untuk trafik outbound) pada interface router. Inbound adalah paket yang masuk ke dalam interface router. Sementara outbound adalah paket yang keluar dari interface router menuju keluar router. Untuk perintah penempatan access list pada interface Cisco Router sebagai berikut:

Router(config-if)#ip access-group [list number |named list] [in|out]

Pada perintah tersebut  jika menggunakan penempatan in, maka access list  akan memeriksa paket yang masuk ke dalam interface tersebut. Sedagkan jika menggunakan penempatan out, maka access list akan memeriksa paket yang keluar dari interface tersebut.

Selain di tempatkan pada interface fisik, access list juga dapat di letakkan pada interface virtual router yakni pada vty. Penggunaan access list pada vty biasanya untuk membatasi terhadap koneksi remoteyang masuk ke router, seperti koneksi telnet atau ssh.

Demikianlah sedikit  tentang access list pada cisco. Semoga bisa bermanfaat untuk kita semua.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *