Cisco Access List

Sebelumnya pada artikel Cisco Vlan dan Subinterface telah dibahas mengenai pembagian area network dengan menggunakan vlan pada cisco switch dan subinterface pada cisco router.  Dimana masing – masing divisi (Finance, HR dan Marketing) dibagi berdasarkan area dan segmen network tersendiri dengan format ip address / network segmen untuk Finance adalah 10.1.101.0/24 , untuk HR adalah 10.1.102.0/24 dan untuk Marketing adalah 10.1.103.0/24 sedangkan untuk area server adalah 10.1.3.0/24.  Maksud dari pembagian segmen atau area network per masing – masing divisi adalah agar mencegah adanya broadcast traffic network dari satu divisi ke divisi lain, tetapi pada pembahasan cisco vlan dan subinterface secara prakteknya beberapa divisi tersebut masih bisa berkomunikasi, sehingga perlu adanya pembatasan traffic atau blok terhadap trafik network pada network segmen.  Pembatasan trafik dapat dilakukan menggunakan Access List yang konfigurasinya akan ditunjukkan di bawah ini :

network topology

Untuk membuat Access List, Core Router perlu di konfigurasi dengan langkah – langkah sebagai berikut :

1.  Membuat Access List dengan memasukkan command di bawah ini :

Core_Router(config)#ip access-list extended 101

Core_Router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 10.1.3.0 0.0.0.255

Penjelasan :

Tipe Access List terbagi menjadi 2 yaitu standard dan extended.  Perbedaan antara keduanya adalah Access List standard hanya memiliki format permit/deny source address sedangkan Access List extended memiliki format permit/deny source address, destination address.

Pada contoh di atas menggunakan tipe Access List extended sehingga penulisan command menjadi “ip access-list extended 101”.  Angka 101 disini adalah sebagai pengenal Access List atau semacam Access List ID.

Setelah menentukan tipe dan ID Access List kemudian menentukan cara filter si Access List tadi.  Format untuk Access List extended adalah “permit/deny, protokol, source address, wildcard source address, destination address, wildcard destination address, port (optional)”.  Sehingga untuk melakukan permit hanya dari segmen network divisi – divisi ke network segmen server adalah “permit ip 10.0.0.0 0.255.255.255 10.1.3.0 0.0.0.255”.  Untuk protokol disini dituliskan adalah “ip” sebenarnya ada pilihan lain yaitu “udp” dan “tcp”.  UDP dan TCP dipakai apabila akan melakukan permit/deny sampai ke level port number, tetapi karena yang dilakukan disini hanya sampai tingkat ip atau network segmen maka bisa menggunakan protokol ip.  Wildcard adalah kebalikan dari subnet mask, apabila kita biasanya menuliskan network area dan subnet masknya untuk network 10 class A dengan format 10.0.0.0 255.255.255.0, maka untuk wildcard nya adalah kebalikan dari subnet mask sehingga 10.0.0.0 0.0.0.255.  Untuk sisianya adalah port yang opsional kalau menggunakan protokol TCP atau UDP.

2.  Memasangkan Access List tersebut ke subinterface yang ada sehingga Access List dapat melakukan pengecekan dan filter network traffic pada interface tersebut

Core_Router(config)#interface fastEthernet 0/0.101
Core_Router(config-subif)#ip access-group 101 in
Core_Router(config-subif)#exit
Core_Router(config)#interface fastEthernet 0/0.102
Core_Router(config-subif)#ip access-group 101 in
Core_Router(config-subif)#exit
Core_Router(config)#interface fastEthernet 0/0.103
Core_Router(config-subif)#ip access-group 101 in
Core_Router(config-subif)#exit
Core_Router(config)#

Penjelasan :

Pada langkah kedua ini adalah memasangkan Access List yang ke interface yang ingin difilter.  Masuk ke interface yang dituju kemudian tuliskan “ip access-group AccessListID trafik in/out”.  Pada contoh di atas adalah melakukan filter terhadap trafik in pada interface-interface divisi-divisi terkait ke arah network segmen server.  Untuk interface network server tidak perlu dilakukan filter menggunakan Access List karena kita membiarkan server untuk bisa berkomunikasi ke divisi atau network area mana saja.

Nah untuk pembahasan Access List sudah selesai.  Apabila ingin lihat simulatornya bisa download file packet tracer disini. Simulator dibuat menggunakan Packet Tracer versi 5.3 yang bisa dicari dan didownload di internet😛.

Untuk artikel selanjutnya mungkin kita akan membahas mengenai Routing Protokol untuk menghubungkan Kantor Pusat (Head Office) dengan Cabang (Branch)

a simple man

Tagged with:
Posted in Knowledge
One comment on “Cisco Access List
  1. Irsal says:

    mantab gan tutornya..
    updated terus gan..
    ijin ctrl+D gan

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

October 2012
M T W T F S S
« Aug   Nov »
1234567
891011121314
15161718192021
22232425262728
293031  
Blog Stats
  • 72,745 hits
%d bloggers like this: