Rabu, 26 Oktober 2016

CCNA2 Cisco Packet Tracer 9.3.2.10 (Simulasi)



Configuring Extended ACLs



Untuk lebih tepat kontrol lalu lintas –filtering, Extended ACL dapat dibuat. Extended ACL diberi nomor 100-199 dan 2000-2699, menyediakan total 799 mungkin nomor Extended ACL. Extended ACL juga bisa dikasih nama.
Extended ACL lebih sering digunakan daripada standar ACL, karena mereka memberikan tingkat yang lebih besar dari kontrol.


Disini kita akan mencoba mengonfigurasi Extended ACL.
Addressing Table
 
Step 1 : Mengonfigurasi ACL untuk mengizinkan FTP dan ICMP.
a.    Dari mode konfigurasi global pada R1, masukkan perintah berikut untuk menentukan angka yang benar pertama untuk daftar Extended ACL.
R1(config)# access-list ?
<1-99>     IP standard access list
<100-199>  IP extended access list
b.    Tambahkan 100 perintah untuk perintah, diikuti dengan tanda tanya
R1(config)# access-list 100 ?
deny    Specify packets to reject
permit  Specify packets to forward
remark  Access list entry comment
c.    Untuk mengizinkan lalu lintas FTP, masukkan izin, diikuti dengan tanda tanya
R1(config)# access-list 100 permit ?
ahp    Authentication Header Protocol
eigrp  Cisco's EIGRP routing protocol
esp    Encapsulation Security Payload
gre    Cisco's GRE tunneling
icmp   Internet Control Message Protocol
ip     Any Internet Protocol
ospf   OSPF routing protocol
tcp    Transmission Control Protocol
udp    User Datagram Protocol
d.    ACL ini memungkinkan FTP dan ICMP. ICMP yang tercantum diatas, tetapi FTP tidak, karena FTP menggunakan TCP. Jadi anda memasukkan TCP. Masukkan TCP untuk lebih menyempurnakan ACL bantuan.
R1(config)# access-list 100 permit tcp ?
A.B.C.D  Source address
any      Any source host
host     A single source host
e.    Perhatikan bahwa kita bisa menyaring hanya untuk PC1 dengan menggunakan kata kunci host atau kita bisa membiarkan host manapun. Dalam hal ini, perangkat tersebut diperbolehkan yang memiliki alamat milik 172.22.34.64/27 jaringan. Masukkan alamat jaringan, diikuti dengan tanda tanya.
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D  Source wildcard bits
f. Hitung topeng wildcard menentukan berlawanan biner dari subnetmask.
11111111.11111111.11111111.11100000 = 255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31
g.    Masukkan topeng wildcard, diikuti tanda tanya lagi
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D  Destination address
any      Any destination host
eq       Match only packets on a given port number
gt       Match only packets with a greater port number
host     A single destination host
lt       Match only packets with a lower port number
neq      Match only packets not on a given port number
range    Match only packets in the range of port numbers
h.    Mengonfigurasi alamat tujuan. Dalam skenario ini, kita penyaringan lalu lintas untuk tujuan tunggal, server. Masukkan kata kunci tuan diikuti dengan alamat IP server.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?
dscp         Match packets with given dscp value
eq           Match only packets on a given port number
established  established
gt           Match only packets with a greater port number
lt           Match only packets with a lower port number
neq          Match only packets not on a given port number
precedence   Match packets with given precedence value
range        Match only packets in the range of port numbers
<cr>
i.     Perhatikan bahwa salah satu pilihan adalah <cr> (carriage return). Dengan kata lain, anda dapat menekan Enter dan pernyataan akan mengizinkan semua lalu lintas TCP. Namun. Kami hanya mengizinkan lalu lintas FTP; Oleh karena itu, masukan kata kunci eq, diikuti dengan tanda tanya untuk menampilkan pilihan yang tersedia. Lalu masukkan ftp dan tekan Enter.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?
<0-65535>  Port number
ftp        File Transfer Protocol (21)
pop3       Post Office Protocol v3 (110)
smtp       Simple Mail Transport Protocol (25)
telnet     Telnet (23)
www        World Wide Web (HTTP, 80)
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j.     Membuat penyataan daftar access kedua untuk mengizinkan ICMP (ping, dll) lalu lintas dari PC1 ke server. Perhatikan bahwa jumlah daftra access tetap sama dan jenis tertentu lalu lintas ICMP tidak perlu ditentukan.
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

k.   Semua lalu lintas lainnya ditolak, secara default.

Step 2 : Terapkan ACL pada interface yang benar untuk menyaring lalu lintas.
Dari perspektif R1 ini, lau lintas yang ACL 100 berlaku untuk inbound dari jaringan yang etrhubung ke GigabitEthernet0/0 antarmuka. Masukkan modus konfigurasi antar muka dan menerapkan ACL.
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in
Step 3 : Verifikasi pelaksanaan ACL
a.    Ping dari PC1 ke server. Jika ping tidak berhasik, memverifikasi alamat IP sebelum melanjutkan.
b.    FTP dari PC1 ke server. Username dan password keduanya cisco.
PC> ftp 172.22.34.62
c.    Keluar layanan FTP dari server.
ftp>quit
d.    Ping dari PC1 ke PC2. Host tujuan harus terjangkau, karena lalu lintas tidak secara explisit diizinkan.
Step 4 : Mengonfigurasi ACL untuk memungkinkan akses HTTP dan ICMP.
a.    ACL bernama memulai dengan kata kunci IP. Dari mode konfigurasi global R1, masukkan perintah berikut, diikuti dengan tanda tanya.
R1(config)# ip access-list ?
extended  Extended Access List
standard  Standard Access List
b.    Anda dapat mengonfigurasi bernama standar ACL dan Extended ACL. Daftar akses ini menyaring sumber dan tujuan alamat IP. Oleh karena itu, harus diperpanjang(extended). Masukkan HTTP_ONLY sebagai nama. (Untuk packet tracer mencetak gol, nama adalah case-sensitive.)
R1(config)#ip access-list extended HTTP_ONLY
c.    Perubahan yang cepat. Anda sekarang dalam modus konfigurasi bernama Extended ACL. Semua perangkat pada LAN PC2 membutuhkan akses TCP. Masukkan alamat jaringan, diikuti dengan tanda tanya.
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D  Source wildcard bits
d.  Cara alternatif untuk menghitung wildcard adalah untuk mengurangi subnetmask dari 255.255.255.255
  255.255.255.255
- 255.255.255.240
-----------------
=   0.  0.  0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e.    Selesai pernyataan dengan menentukan alamat server seperti yang anda lakukan tadi dan penyaringan lalu lintas www.
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f.    Membuat pernyataan daftar akses kedua untuk mengizinkan ICMP (ping,dll) lalu lintas dari PC2 ke server.
Catatan : Prompt tetap sama dan jenis tertentu lalu lintas ICMP tidak perlu ditentukan.
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g.    Semua lalu lintas lainnya ditolak, secara default. Keluar dari Extended bernama mode konfigurasi.
Step 5 : Terapkan ACL pada interface yang benar untuk menyaring lalu lintas.
Dari perspektif R1ini, lalu lintas yang mengakses daftar HTTP_ONLY berlaku untuk inbound dari jaringan yang terhubung ke GigabitEthernet0/1 antarmuka. Masukkan modus konfigurasi antarmuka dan menerapkan ACL.
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in
Step 6 : Verifikasi pelaksanaan ACL
a.    Ping dari PC2 ke server. Jika ping berhasil, memverifikasi alamat IP sebelum melanjutkan
b.    FTP dari PC2 ke server. Sambungan harus gagal
c.    Buka web browser pada PC2 dan masukkan alamat IP dari server sebagai URL. Koneksi harus sukses.

Selesai sudah beberapa konfigurasinya.. jangan malas-malas membaca yah..
Semoga bermanfaat.. Selamat Mencoba
Terima Kasih
















Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)