Selasa, 16 Januari 2018

Memahami Acces Control List ( ACL )

Konsep Konfigurasi Access List (ACL)

 

Pada bahasan sebelumnya kita membahas mengenai NAT yang sederhananya berfungsi mengoptimalkan pemakaian IP address public yang dipakai secara bersama dalam jaringan lokal. Tapi  selama nyemplung di blog Emulanetwork, pernah gak terbayang dalam benak kita untuk lebih mengoptimalkan jaringan komputer, baik LAN maupun WAN? Seperti paket mana yang diijinkan masuk ke dalam sebuah jaringan internal dan paket mana yang ditolak, atau paket mana saja yang akan dilepas ke jaringan eksternal (inside global) dan paket mana yang tidak di lepas, atau alamat-alamat mana saja yang diijinkan melakukan koneksi dengan alamat-alamat spesifik dan mana yang tidak boleh, atau layanan-layanan apa saja yang boleh digunakan oleh suatu alamat dan layanan-layanan apa saja yang tidak boleh, atau…. alamat-alamat mana saja yang boleh dan tidak boleh mengakses layanan-layanan khusus..?
Yup, benar sekali kawan… itulah beberapa fungsi sederhana dari Access List.
Dalam bahasa jaringan, sebernarnya access list merupakan sebuah daftar yang dirancang untuk menampung aturan-aturan yang digunakan untuk mengkontrol paket-paket yang lalu-lalang dalam sebuah jaringan, khususnya paket-paket datagram yang melewati sebuah router. Nah, sebelum terkena proses access list, paket-paket tersebut terlebih dahulu harus mendapat izin routing untuk melintas antar jaringan dari router-router yang terhubung, apabila izin routing (permit or deny) telah di dapat, maka proses access list diterapkan pada paket tersebut.
Berikut adalah KONFIGURASI ACL :

Task 1: Standard ACL utk mengeblok telnet dari luar
Router-SBY:
(config)# access-list 1 remark  ***permit user dari LAN***
(config)# access-list 1 permit 10.1.1.0 0.0.0.255
(config)# line vty 0 4
(config-line)# access-class 1 in
Router-MDN:
(config)# access-list 1 remark  ***permit user dari LAN***
(config)# access-list 1 permit 10.1.5.0 0.0.0.255
(config)# line vty 0 4
(config-line)# access-class 1 in
Contoh mengedit ACL di IOS 12.3 :
(config)# ip access-list standard 1
(config-std-nacl)# no 10
(config-std-nacl)# 10 permit 10.1.5.0 0.0.0.255
Menghapus konfigurasi standard ACL:
(config)# line vty 0 4
(config-line)# no access-class 1 in
(config-line)# exit
(config)# no access-list 1
Task 2: Extended ACL utk mengeblok FTP & TFTP dari luar
Router-SBY:
(config)# access-list 100 deny udp any host 10.1.1.11 eq 69 log               ATAU  eq tftp
(config)# access-list 100 deny tcp any host 10.1.1.11 range 20 21 log                     ATAU range ftp-data ftp
(config)# access-list 100 permit ip any any log
(config)# int s0/1
(config-if)# ip access-group 100 in
# sh access-list
# sh ip int s0/1 
Menghapus konfigurasi extended ACL:
(config)# int f0/0
(config-if)# no ip access-group 100 out
(config-if)# int s0/1
(config-if)# no ip access-group 100 in
(config-if)# exit
 

Access Control List (ACL) - Standard & Extended

      Sekarang apa sih ACL itu? ACL (Access Control List) adalah kumpulan list kondisi dari setiap akses. Jadi dapat men-filter­ paket data yang tidak diinginkan dan dapat diimplementasikan sebagai Access Policy.  Cara kerja ACL adalah sebagai berikut:
 
·      ACL selalu membaca setiap list-nya tersebut dengan cara sequential atau berurut.
·   Ketika ada paket data, ACL membaca dan membandingkan setiap list yang sudah dibuat. Jika sesuai, maka dijalankan perintah list tersebut.
·     Di dalam ACL terdapat implicit “deny” di akhir list ACL. Ini artinya jika tidak ada paket data yang sesuai, maka paket akan di-drop.

Ada 2 macam ACL itu, yaitu:
1.    Standard (1-99)     ->  Melakukan filter berdasarkan dari IP saja. Diletakkan di paling TERDEKAT dari DESTINATION (IP tujuan).
      Command line­-nya adalah sebagai berikut:
-   Daftarkan ACL-nya terlebih dahulu dengan:
R3(config)#access-list [nomor ACL] permit/deny [IP yg akan dikontrol access-nya]
-   Setelah didaftar, masukkan ACL-nya ke interface-nya:
R3(config)#interface [interface yang paling terdekat dengan IP destination]
R3(config-if)#ip access-group [nomor ACL yg sudah dibuat] in/out
2.    Extended (100-199)  ->   Melakukan filter berdasarkan IP, TCP/UDP, dan port. Diletakkan di paling TERDEKAT dari SOURCE (IP asal).
      Command line­-nya adalah sebagai berikut:
-   Daftarkan ACL-nya terlebih dahulu dengan:
R3(config)#access-list [nomor ACL] permit/deny [tipe paket yang akan diakses] [IP Source] [IP Destination] [perintah pembanding] [port yg akan ditutup]
-   Setelah didaftar, masukkan ACL-nya ke interface-nya:
R3(config)#interface [interface yang paling terdekat dengan IP source]
R3(config-if)#ip access-group [nomor ACL yg sudah dibuat] in/out

Ok.. untuk lebih jelasnya, kita langsung masuk ke case jaringan di bawah ini:
Permasalahan pertama (P1) -> PC-A tidak boleh berkomunikasi dengan PC-C, tetapi PC-A dapat berkomunikasi dengan yang lainnya.
Solusi (P1) ->  Memakai ACL Standard dan taruh ACL tersebut pada R3 di Fa0/0 sebagai outbond.
Permasalahan kedua (P2) ->  PC-A bisa berkomunikasi ke semua perangkat tetapi tidak bisa mengakses HTTP ke Web Server
Solusi (P2) ->  Memakai ACL Extended dan taruh ACL tersebut pada R1 di FA0/0 sebagai inbound.
Kita lakukan solusi untuk permasalahan pertama. Langkah-langkahnya adalah sebagai berikut:
1.    Buka Packet Tracer, lalu pakai perangkat yang sesuai dengan table di bawah ini.
2.    Konfigurasi IP setiap PC. 
3. Lakukan konfigurasi R1, R2, R3, Switch0, dan Switch1. Ane anggap kalian sudah pada bisa untuk konfigurasi semuanya, jadi ane cuman kasih tabel interface-nya aja.
Karena kita memakai ACL standard, berarti kita lakukan konfigurasi ACL di dalam R3.
R3 con0 is now available

Press RETURN to get started.

R3>ena
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#access-list 1 deny 10.10.10.2
R3(config)#access-list 1 permit any
R3(config)#int fa0/0
R3(config-if)#ip access-group 1 out
R3(config-if)#do sh run
Building configuration...

Current configuration : 762 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 1 out
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 no ip address
!
interface Serial0/0/1
 ip address 200.200.200.2 255.255.255.252
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.0.255 area 0
 network 200.200.200.0 0.0.0.3 area 0
!
ip classless
!
access-list 1 deny host 10.10.10.2
access-list 1 permit any
!
line con 0
line vty 0 4
 login
!
end

R3(config-if)#
Bila berhasil maka akan seperti gambar di bawah ini.
Kita akan memakai ACL Extended, berarti kita lakukan konfigurasi ACL di dalam R1. Sebelum itu, kita lakukan penghapusan terhadap ACL standard tadi di R3.
R3 con0 is now available

Press RETURN to get started.

R3>en
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#int fa0/0
R3(config-if)#no ip access-group 1 out
R3(config-if)#do sh run
Building configuration...

Current configuration : 739 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 no ip address
!
interface Serial0/0/1
 ip address 200.200.200.2 255.255.255.252
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 192.168.0.0 0.0.0.255 area 0
 network 200.200.200.0 0.0.0.3 area 0
!
ip classless
!
access-list 1 deny host 10.10.10.2
access-list 1 permit any
!
line con 0
line vty 0 4
 login
!
end

R3(config-if)#
Sekarang kita pakai ACL Extended pada R1.
R1 con0 is now available

Press RETURN to get started.

User Access Verification

R1>ena
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#access-list 101 deny tcp host 10.10.10.2 host 192.168.0.2 eq www
R1(config)#access-list 101 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 101 in
R1(config-if)#do sh run
Building configuration...

Current configuration : 917 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip access-group 101 in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 100.100.100.1 255.255.255.252
 clock rate 128000
!
interface Serial0/0/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 10.10.10.0 0.0.0.255 area 0
 network 100.100.100.0 0.0.0.3 area 0
!
ip classless
!
!
access-list 101 deny tcp host 10.10.10.2 host 192.168.0.2 eq www
access-list 101 permit ip any any
!
line con 0
line vty 0 4
!
end

R1(config-if)#
Hasil yang didapat seperti gambar di bawah ini. Jadi semuanya dapat melakukan ping dan bisa akses ke web server, kecuali untuk netwok 10.10.10.2 yang bisa ping tetapi tidak dapat membuka web server.

 

Daftar Proses Acces Control List ( ACL )

  1. Cara Kerja ACL

 
 
   Keputusan dibuat berdasarkan pernyataan/statement cocok dalam daftar akses dan kemudian menerima atau menolak sesuai apa yang didefinisikan di daftar pernyataan. Perintah dalam pernyataan ACL adalah sangat penting, kalau ditemukan pernyataan yang cocok dengan daftar akses, maka router akan melakukan perintah menerima atau menolak akses. 
   Pada saat frame masuk ke interface, router memeriksa apakah alamat layer 2 cocok atau apakah frame broadcast. Jikaalamat frame diterima, maka informasi frame ditandai dan router memeriksa ACL pada interface inbound. 
   Jika ada ACL, paket diperiksa lagi sesuai dengan daftar akses. Jika paket cocok dengan pernyataan, paket akan diterima atau ditolak. Jika paket diterima di interface, ia akan diperiksa sesuai dengan table routing untuk menentukan interface tujuan dan di-switch keinterface itu. Selanjutnya router memeriksa apakah interface tujuan mempunyaiACL. Jika ya, paket diperiksa sesuai dengan daftar akses. Jika paketcocok dengan daftar akses, ia akan diterima atau ditolak. Tapi jika tidak ada ACL paket diterima dan paketdienkapsulasi di layer 2 dan di-forwardkeluar interface device berikutnya. 


2. Membuat ACL
 
     Ada dua tahap untuk membuat ACL. Tahap pertama masuk ke mode global config kemudian memberikan perintah  access-listdan diikuti dengan parameter-parameter. Tahap kedua adalah menentukanACL ke interface yang ditentukan. 
     Dalam TCP/IP, ACL diberikan ke satu atau lebih interface dan dapat memfilter trafik yang masuk atau trafik yang keluar dengan menggunakan perintah ip access-grouppada mode configuration interface. Perintah access-groupdikeluarkan harus jelas dalam interface masuk atau keluar. Dan untuk membatalkan perintah cukup diberikan perintah no access-list list-number. amang@eepis-its.edu  144
 Aturan-aturan yang digunakan untuk membuat access list: 
·         Harus memiliki satu access list per protokol per arah.
·         Standar access list harus diaplikasikan ke tujuan terdekat.
·         Extended access list harus harus diaplikasikan ke asal terdekat.
·         Inbound dan outbound interface harus dilihat dari port arah masuk router.
·       Pernyataan akses diproses secara sequencial dari atas ke bawah sampai ada yang cocok. Jika tidak ada yang cocok maka paket ditolak dan dibuang.
·         Terdapat pernyataan  deny anypada akhir access list. Dan tidak kelihatan di konfigurasi.
·      Access list yang dimasukkan harus difilter dengan urutan spesifik ke umum. Host tertentu harus ditolak dulu dan grup atau umum kemudian.
·         Kondisi cocok dijalankan dulu. Diijinkan atau ditolak dijalankan jika ada pernyataan yang cocok.
·         Tidak pernah bekerja dengan access list yang dalam kondisi aktif.
·         Teks editor harus digunakan untuk membuat komentar.
·       Baris baru selalu ditambahkan di akhir access list. Perintah no accesslist x akan menghapus semua daftar.
·         Access list berupa IP akan dikirim sebagai pesan ICMP host unreachable ke pengirim dan akan dibuang.
·         Access list harus dihapus dengan hati-hati. Beberapa versi IOS akan mengaplikasikan default deny any ke interface dan semua trafik akan berhenti.
·         Outbound filter tidak akan mempengaruhitrafik yang asli berasal dari router local.



Konsep Acess Control List


Bagian ini menjelaskan konsep ACL.
Masker

Masker digunakan dengan alamat IP di ACL IP untuk menentukan apa yang harus diizinkan dan ditolak. Masker untuk mengkonfigurasi alamat IP pada antarmuka dimulai dengan 255 dan memiliki nilai besar di sisi kiri, misalnya alamat IP 209.165.202.129 dengan topeng 255.255.255.224. Masker untuk IP ACL adalah kebalikannya, misalnya topeng 0.0.0.255. Ini kadang disebut topeng terbalik atau topeng wildcard. Ketika nilai topeng dipecah menjadi biner (0s dan 1s), hasilnya menentukan bit alamat mana yang harus dipertimbangkan dalam memproses lalu lintas. A 0 menunjukkan bahwa bit alamat harus dipertimbangkan (exact match); 1 di topeng adalah "tidak peduli". Tabel ini selanjutnya menjelaskan konsepnya.

Mask Example
network address (traffic that is to be processed) 10.1.1.0
mask 0.0.0.255
network address (binary) 00001010.00000001.00000001.00000000
mask (binary) 00000000.00000000.00000000.11111111


Berdasarkan topeng biner, Anda dapat melihat bahwa tiga set pertama (oktet) harus sesuai dengan alamat jaringan biner yang diberikan dengan tepat (00001010.00000001.00000001). Kumpulan angka terakhir "tidak peduli" (.11111111). Oleh karena itu, semua lalu lintas yang dimulai dengan 10.1.1. Pertandingan sejak oktet terakhir "tidak peduli". Oleh karena itu, dengan masker ini, alamat jaringan 10.1.1.1 sampai 10.1.1.255 (10.1.1.x) diproses.

Kurangi topeng normal dari 255.255.255.255 untuk menentukan topeng invers ACL. Dalam contoh ini, topeng terbalik ditentukan untuk alamat jaringan 172.16.1.0 dengan topeng normal 255.255.255.0.

     255.255.255.255 - 255.255.255.0 (topeng normal) = 0.0.0.255 (topeng terbalik)

Perhatikan persamaan ACL ini.
Sumber / sumber-wildcard 0.0.0.0/255.255.255.255 berarti "ada". 
Sumber / wildcard dari 10.1.1.2/0.0.0.0 sama dengan "host 10.1.1.2" 

Sejak lima bit pertama cocok, delapan jaringan sebelumnya dapat diringkas menjadi satu jaringan (192.168.32.0/21 atau 192.168.32.0 255.255.248.0). Semua delapan kemungkinan kombinasi dari tiga bit tingkat rendah relevan untuk rentang jaringan yang dimaksud. Perintah ini mendefinisikan ACL yang memungkinkan jaringan ini. Jika Anda mengurangi 255.255.248.0 (topeng normal) dari 255.255.255.255, ia menghasilkan 0.0.7.255.

     access-list acl_permit izin ip 192.168.32.0 0.0.7.255

Pertimbangkan rangkaian jaringan ini untuk penjelasan lebih lanjut.

     192.168.146.0/24
     192.168.147.0/24
     192.168.148.0/24
     192.168.149.0/24

Dua oktet pertama dan oktet terakhir sama untuk setiap jaringan. Tabel ini merupakan penjelasan bagaimana meringkasnya.

Oktet ketiga untuk jaringan sebelumnya dapat ditulis seperti yang terlihat pada tabel ini, sesuai dengan posisi bit oktet dan nilai alamat untuk masing-masing bit.
 
Decimal 128 64 32 16 8 4 2 1
146 1 0 0 1 0 0 1 0
147 1 0 0 1 0 0 1 1
148 1 0 0 1 0 1 0 0
149 1 0 0 1 0 1 0 1

M M M M M ? ? ?
  
Tidak seperti contoh sebelumnya, Anda tidak bisa meringkas jaringan ini menjadi satu jaringan. Jika diringkas ke satu jaringan, mereka menjadi 192.168.144.0/21 karena ada lima bit serupa pada oktet ketiga. Jaringan yang dirangkum ini 192.168.144.0/21 mencakup rentang jaringan dari 192.168.144.0 sampai 192.168.151.0. Di antaranya, jaringan 192.168.144.0, 192.168.145.0, 192.168.150.0, dan 192.168.151.0 tidak ada dalam daftar empat jaringan yang ada. Untuk menutupi jaringan spesifik yang dimaksud, Anda memerlukan minimal dua jaringan yang dirangkum. Empat jaringan yang diberikan dapat diringkas ke dalam dua jaringan ini:

    Untuk jaringan 192.168.146.x dan 192.168.147.x, semua bit cocok kecuali yang terakhir, yang merupakan "tidak peduli." Ini bisa ditulis sebagai 192.168.146.0/23 (atau 192.168.146.0 255.255.254.0).

    Untuk jaringan 192.168.148.x dan 192.168.149.x, semua bit cocok kecuali yang terakhir, yang merupakan "tidak peduli". Ini bisa ditulis sebagai 192.168.148.0/23 (atau 192.168.148.0 255.255.254.0).
Output ini mendefinisikan ACL yang diringkas untuk jaringan di atas.


    --- Perintah ini digunakan untuk mengizinkan akses akses untuk perangkat dengan IP! --- alamat di kisaran 192.168.146.0 sampai 192.168.147.254.

    akses-daftar 10 izin 192.168.146.0 0.0.1.255


    ! --- Perintah ini digunakan untuk mengizinkan akses akses untuk perangkat dengan IP! --- alamat di kisaran 192.168.148.0 sampai 192.168.149.254

    akses-daftar 10 izin 192.168.148.0 0.0.1.255
Proses ACL
Lalu lintas yang masuk ke router dibandingkan dengan entri ACL berdasarkan urutan entri yang terjadi di router. Pernyataan baru ditambahkan ke bagian akhir daftar. Router terus mencari sampai ada kecocokan. Jika tidak ada kecocokan yang ditemukan saat router mencapai akhir daftar, lalu lintas ditolak. Untuk alasan ini, Anda harus memiliki entri yang sering dipukul di bagian atas daftar. Ada penolakan tersirat untuk lalu lintas yang tidak diizinkan. ACL single entry hanya dengan satu menolak masukan memiliki efek menyangkal semua lalu lintas. Anda harus memiliki setidaknya satu pernyataan izin di ACL atau semua lalu lintas diblokir. Kedua ACL (101 dan 102) ini memiliki efek yang sama.


    --- Perintah ini digunakan untuk mengizinkan lalu lintas IP dari jaringan 10.1.1.0! --- ke jaringan 172.16.1.0. Semua paket dengan satu sumber! --- alamat yang tidak di kisaran ini akan ditolak.

    access-list 101 ijin ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255


    --- Perintah ini digunakan untuk mengizinkan lalu lintas IP dari jaringan 10.1.1.0! --- ke jaringan 172.16.1.0. Semua paket dengan satu sumber! --- alamat yang tidak di kisaran ini akan ditolak.

    access-list 102 ijin ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 102 menolak ip apapun
Dalam contoh ini, entri terakhir sudah cukup. Anda tidak memerlukan tiga entri pertama karena TCP mencakup Telnet, dan IP mencakup TCP, User Datagram Protocol (UDP), dan Internet Control Message Protocol (ICMP).


    --- Perintah ini digunakan untuk mengizinkan lalu lintas Telnet! --- dari mesin 10.1.1.2 sampai mesin 172.16.1.1.

    access-list 101 izin tcp host 10.1.1.2 host 172.16.1.1 eq telnet


    --- Perintah ini digunakan untuk mengizinkan lalu lintas tcp dari! --- 10.1.1.2 mesin induk ke 172.16.1.1 mesin host.

    daftar akses 101 host tcp izin 10.1.1.2 host 172.16.1.1


    --- Perintah ini digunakan untuk mengizinkan lalu lintas udp dari! --- 10.1.1.2 mesin induk ke 172.16.1.1 mesin host.

    daftar akses 101 izin udp host 10.1.1.2 host 172.16.1.1


    --- Perintah ini digunakan untuk mengizinkan lalu lintas ip dari jaringan --- 10.1.1.0 ke jaringan 172.16.1.10.

    access-list 101 ijin ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Tentukan Ports and Message Types
Selain menentukan sumber ACL dan tujuannya, adalah mungkin untuk menentukan port, jenis pesan ICMP, dan parameter lainnya. Sumber informasi yang bagus untuk port yang terkenal adalah RFC 1700 leavingcisco.com. Jenis pesan ICMP dijelaskan di RFC 792 leavecisco.com.
Router dapat menampilkan teks deskriptif pada beberapa port yang terkenal. Gunakan ? untuk bantuan.

    access-list 102 ijin tcp host 10.1.1.1 host 172.16.1.1 eq?
      Bgp Border Gateway Protocol (179)
      pengisi daya generator karakter (19)
      cmd Perintah jarak jauh (rcmd, 514)
Selama konfigurasi, router juga mengubah nilai numerik menjadi lebih banyak nilai user-friendly. Ini adalah contoh di mana Anda mengetikkan nomor jenis pesan ICMP dan ini menyebabkan router mengubah nomor menjadi sebuah nama.

    access-list 102 izin icmp host 10.1.1.1 host 172.16.1.1 14
menjadi

    access-list 102 izin icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply

Jenis-jenis ACL

standard ACL

      Standard ACL merupakan jenis ACL yang paling sederhana. Standard ACL hanya melakukan filtering pada alamat sumber (Source) dari paket yang dikirimkan. Alamat sumber yang dimaksud dapat berupa alamat sumber dari jaringan (Network Address) atau alamat sumber dari host. Standard ACL dapat diimplementasikan pada proses filtering protocol TCP, UDP atau pada nomor port yang digunakan. Meskipun demikian, Standard ACL hanya mampu mengijinkan atau menolak paket berdasarkan alamat sumbernya saja. Berikut ini adalah contoh konfigurasi dari Standard ACL.
Router(config)#access-list list list [nomor daftar akses IP standar] [permit / deny] [IP address] [wildcard mask]
Pada konfigurasi di atas, nomor daftar akses IP adalah 1 – 99, kemudian permit / deny adalah sebuah parameter untuk mengizinkan atau menolak hak akses. IP address diisi dengan alamat pengirim atau alamat asal, kemudian wildcard mask adalah untuk menentukan jarak dari suatu subnet.

Extended ACL

   Extended ACL merupakan jenis ACL yang mampu memberikan tingkat keamanan yang lebih baik ketimbang Standard ACL. Extended ACL mampu melakukan filtering pada alamat sumber (source) dan alamat tujuan (destination). Selain itu extended ACL memberikan keleluasaan kepada admin jaringan dalam melakukan proses filtering dengan tujuan yang lebih spesifik.
Router(config)#access-list [nomor daftar akses IP extended] [permit atau deny] [protokol] [source address] [wildcard mask] [destination address] [wildcard mask] [operator] [informasi port]
Pada konfigurasi diatas, nomor daftar akses IP extended adalah 100 – 199, kemudian sama dengan standart ACL permit atau deny adalah sebuah parameter untuk mengizinkan atau menolak hak akses. Protokol dapat diisi dengan TCP, UDP, dsb. Destination address diisi dengan alamat yang akan dituju, wildcard mask untuk menentukan jarak subnet. Operator dapat diisi seperti eq
 
 

 

Diposting oleh di 3 komentar:
Langganan: Komentar (Atom)