.. Welcome ..



.. Welcome to 'Komunitas Cisco' site ..



Jumat, 03 Mei 2013

Konfigurasi ACL


Konfigurasi ACL





Access Control List (ACL) merupakan fasilitas untuk mengatur suatu traffic data boleh lewat atau tidak. Dalam access list ada dua jenis yaitu standard dan extended.
Standard acl hanya bisa mendeteksi alamat ip asal, nomornya berkisar antara 1-99 dan 1300-1999, peletakkannya di dekat network tujuan,dengan arah out jika extended bisa mendeteksi alamat ip asal dan tujuannya (beserta portnya), nomornya berkisar 100-199 dan 2000-2699, peletakannya di dekat network asal dengan arah in.
Masih menggunakan topologi yang sama, mari kita coba terapkan ACL pada topology berikut


Task 1: Standard ACL utk mengeblok telnet dari luar
Router-SBY:
(config)# access-list 7 remark  ***permit user dari LAN***
(config)# access-list 7 permit 10.1.1.0 0.0.0.255

(config)# line vty 0 4
(config-line)# access-class 7 in
(config-line)# end

Router-MDN:
(config)# access-list 7 remark  ***permit user dari LAN***
(config)# access-list 7 permit 10.1.5.0 0.0.0.255

(config)# line vty 0 4
(config-line)# access-class 7 in
(config-line)# end

Router-JKT:
(config)# access-list 9 remark  ***permit user dari LAN***
(config)# access-list 9 permit 10.1.3.0 0.0.0.255

(config)# line vty 0 4
(config-line)# access-class 9 in
(config-line)# end

# sh access-list

Contoh mengedit ACL di IOS 12.3 :
(config)# ip access-list standard 1
(config-std-nacl)# no 10
(config-std-nacl)# 10 permit 10.1.5.0 0.0.0.255

Menghapus konfigurasi standard ACL:
(config)# line vty 0 4
(config-line)# no access-class 7 in
(config-line)# exit

(config)# no access-list 7
(config)# end

# sh access-list

Task 2: Extended ACL utk mengeblok FTP & TFTP dari luar

Router-SBY:
(config)# access-list 100 deny udp any host 10.1.1.7 eq 69  log ATAU    eq tftp  log
(config)# access-list 100 deny tcp any host 10.1.1.7 range 20 21 log  ATAU range ftp-data ftp  log
(config)# access-list 100 permit ip any any log

(config)# int s0/1
(config-if)# ip access-group 100 in
(config-if)# end

# sh access-list
# sh ip int s0/1 

Router-MDN:
(config)# access-list 100 deny udp any host 10.1.5.11 eq 69  log    ATAU  eq tftp
(config)# access-list 100 deny tcp any host 10.1.5.11 range 20 21 log  ATAU range ftp-data ftp
(config)# access-list 100 permit ip any any log

(config)# int s0/1
(config-if)# ip access-group 100 in
(config-if)# end

Router-JKT:
(config)# access-list 100 deny udp any host 10.1.3.11 eq 69  log  ATAU  eq tftp
(config)# access-list 100 deny tcp any host 10.1.3.11 range 20 21 log    ATAU range ftp-data ftp
(config)# access-list 100 deny udp any host 10.1.3.12 eq 69  log  ATAU  eq tftp
(config)# access-list 100 deny tcp any host 10.1.3.12 range 20 21 log    ATAU range ftp-data ftp
(config)# access-list 100 permit ip any any log

(config)# int s0/1
(config-if)# ip access-group 100 in

(config)# int f0/1
(config-if)# ip access-group 100 in
(config-if)# end

# sh access-list
# sh ip int s0/1 


Menghapus konfigurasi extended ACL:
Router-SBY:
(config-if)# int s0/1
(config-if)# no ip access-group 100 in
(config-if)# exit

(config)# no access-list 100

Router-MDN:
(config-if)# int s0/1
(config-if)# no ip access-group 100 in
(config-if)# exit

(config)# no access-list 100





Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)