Pengantar:
Access Control List (ACL) adalah
seperangkat perintah, yang dikelompokkan bersama-sama. Perintah ini
memungkinkan untuk menyaring traffic yang masuk atau meninggalkan sebuah
antarmuka. Sebuah wildcard mask memungkinkan untuk mencocokkan berbagai alamat
dalam pernyataan
ACL. Ada dua referensi, yang membuat router ke ACL, seperti, nomor dan nama.
Ini mendukung dua jenis referensi , penyaringan, seperti standard dan
extended. Anda harus terlebih dahulu mengkonfigurasi pernyataan ACL dan
kemudian mengaktifkannya.
Access Control List
Daftar akses kontrol yang dibuat
dalam modus konfigurasi global. Laporan memungkinkan administrator untuk deny
atau permit traffic yang masuk ke antarmuka. Setelah membuat kelompok dasar
pernyataan ACL, Anda perlu mengaktifkan mereka. Untuk menyaring antara
interface, ACL harus diaktifkan dalam antarmuka Sub-modus konfigurasi.
Dua jenis di mana router akan
merujuk ACL adalah:
- Bernomor âEUR "Serupa dengan nilai indeks
- Bernama âEUR "Memberikan nama yang unik untuk setiap ACLdengan ACL lain
Setiap referensi di atas untuk
ACL mendukung jenis penyaringan berikut:
- Standard âEUR "Filter hanya pada Source IP address dari dalam paket.
- Extended âEUR "Filter pada Source IP dan Destination IP dalam paket.
Membuat ACL
Anda dapat menggunakan perintah access-list
untuk membuat ACL.
Sintaks untuk membuat sebuah ACL
adalah:
access-list ACL_# permit |
deny conditions
where,
ACL_ # - Memungkinkan Anda untuk pernyataan
kelompok ke dalam satu daftar
permit | deny âEUR
"Menentukan tindakan yang akan dilakukan
conditions - Menentukan paket
mana yang cocok,
untuk router untuk menjalankan tindakan.
Bekerja dengan ACL
ACL adalah pernyataan, yang
dikelompokkan bersama-sama dengan menggunakan nama atau nomor. Ketika ACL mengirim paket pada router dari kelompok
pernyataan, router melakukan langkah-langkah untuk menemukan kecocokan untuk
laporan ACL. Router memproses setiap ACL dalam pendekatan top-down. Dalam
pendekatan ini, paket akan dibandingkan
dengan pernyataan pertama di ACL. Jika menempatkan router diantara paket dan pernyataan maka
router akan mengeksekusi
salah satu dari dua kondisi,
permit atau deny, yang disertakan dengan pernyataan.
Misalnya, Anda ingin
mengkonfigurasi router untuk memungkinkan traffic dari semua host
dengan subnet 190.20.15.0/25
kecuali host 190.20.15.1. Buat
ACL pada router, yang memiliki pernyataan dalam urutan sebagai berikut:
permit traffic from subnet 190.20.15.0/25
Deny traffic from host 190.20.15.1
Router menerima paket dari host
dengan source IP address 190.20.15.1. Ketika alamat ini cocok dengan pernyataan
pertama, ditemukan bahwa router harus menerima traffic dari host tersebut sebagai
host milik subnet 190.20.15.0/25. Pernyataan kedua tidak pernah dieksekusi,
sebagai pernyataan pertama akan selalu cocok. Akibatnya, tugas Anda menolak traffic dari host dengan IP
Address 190.20.15.1 tidak tercapai.
Untuk mencapainya,
Anda harus membalik urutannya. Perintah baru
dari pernyataan di atas adalah sebagai berikut:
Deny traffic dari
host 190.20.15.1
Permit traffic dari
subnet 190.20.15.0/25
Mengedit Entri
Anda mungkin perlu menambahkan,
menghapus, atau memodifikasi entri dalam ACL. Dalam ACL bernomor, Anda tidak
dapat menghapus entri tertentu dalam ACL. Anda perlu untuk menghapus daftar
seluruh di mana entri yang ada.
Untuk
menghapus ACL, masukkan perintah
berikut pada command prompt:
no access-list number
where
number- Menentukan jumlah ACL yang akan
dihapus
Untuk
mengedit ACL, lakukan langkah-langkah berikut:
Masuk pada command prompt:
show running-config
Pindahkan kursor ke entri ACL
yang diperlukan ke router.
Copy perintah ACL yang ada dan paste
ke editor teks.
Masukkan
sintaks ini pada command
prompt, untuk
menghapus ACL pada interface
no ip access-group ACL_#
Masukkan berikut ini pada command
prompt, untuk menghapus daftar akses lama:
no access-list ACL_#
Salin ACL dari editor teks dan
paste dalam Configuration mode
Untuk mengaktifkan ACL pada
interface router, masukkan berikut pada Command Prompt:
ip access-group
ACL_#
Standar ACL
Untuk membuat entri dalam standard
numbered IP ACL, masukkan berikut pada command prompt:
access-list
1-199|1600 permit | deny source
sources_IP_address
[wildcard_mask] [log]
Extended Numbered ACLs
Perintah untuk mengkonfigurasi Extended
Numbered ACLs lebih rumit seperti compated ke ACL standar. Perintah untuk
mengkonfigurasi Extended Numbered ACLs adalah:
access-list 100-199|2000-2699
permit | deny IP_protocol source_address source_wildcard mask [operator port]
destination_address destination_wildcard_mask [operator port] [established]
[log]
0 komentar:
Posting Komentar