SIMULASI BASIC ACCESS-LIST
BY:DAYWALKER@CNC-108
http://www.ittelkom.ac.id/pinguin
http://iwing.wordpress.com
TOPOLOGY DIAGRAM
Pada Kesempatan ini akan disimulasikan tentang basic Access-list.Topology yang akan
disimulasikan adalah seperti gambar diatas ini : (untuk teorinya silahkan googling, disini kita
hanya berlatih utk mengkonfigurasi saja T_T).
Program yang saya gunakan adalah Packet Tracer 5.1, device yang dibutuhkan untuk simulasi
ini adalah:
4 buah Router seri 1841 beserta tambahan wic serial (sesuai kebutuhan)
5 buah switch seri 2940
6 buah PC
2 buah server
Langsung saja kita mulai konfigurasinya :
Device Interface IP Address Subnet Mask Default Gateway
cnc1
S0/0/0 10.1.1.1 255.255.255.252 N/A
F0/0 192.168.10.1 255.255.255.0 N/A
F0/1 192.168.11.1 255.255.255.0 N/A
cnc2
S0/0/0 10.1.1.2 255.255.255.252 N/A
S0/0/1 10.1.2.1 255.255.255.252 N/A
S0/1/1 10.1.3.1 255.255.255.252 N/A
F0/0 192.168.20.1 255.255.255.0 N/A
cnc3 S0/0/0 10.1.2.2 255.255.255.252 N/A
F0/0 192.168.30.1 255.255.255.0 N/A
cnc4 S0/0/0 10.1.3.2 255.255.255.252 N/A
F0/0 192.168.40.1 255.255.255.0 N/A
S1 vlan 1 192.168.10.2 255.255.255.0 192.168.10.1
S2 vlan 1 192.168.11.2 255.255.255.0 192.168.11.1
S3 vlan 1 192.168.20.2 255.255.255.0 192.168.20.1
S4 vlan 1 192.168.30.2 255.255.255.0 192.168.30.1
S5 vlan 1 192.168.40.2 255.255.255.0 192.168.40.1
PC0 NIC 192.168.10.10 255.255.255.0 192.168.10.1
PC1 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC2 NIC 192.168.30.10 255.255.255.0 192.168.30.1
PC3 NIC 192.168.30.11 255.255.255.0 192.168.30.1
PC4 NIC 192.168.40.10 255.255.255.0 192.168.40.1
PC5 NIC 192.168.40.11 255.255.255.0 192.168.40.1
WEB SERVER NIC 192.168.20.254 255.255.255.0 192.168.20.1
DNS SERVER NIC 192.168.20.253 255.255.255.0 192.168.20.1
1. Konfigurasi di Router cnc1 yaitu:
Router>ena
Router#conf t
Router(config)#hostname cnc1
cnc1(config)#
cnc1(config)#no ip domain-lookup
cnc1(config)#enable secret pinguin108
cnc1(config)#service password-encryption
cnc1(config)#line con 0
cnc1(config-line)#pass pinguin
cnc1(config-line)#login
cnc1(config-line)#line vty 0 4
cnc1(config-line)#pass pinguin
cnc1(config-line)#login
cnc1(config-line)#exit
cnc1(config)#int f0/0
cnc1(config-if)#ip add 192.168.10.1 255.255.255.0
cnc1(config-if)#no shut
cnc1(config-if)#int f0/1
cnc1(config-if)#ip add 192.168.11.1 255.255.255.0
cnc1(config-if)#no shut
cnc1(config-if)#int s0/0/0
cnc1(config-if)#ip add 10.1.1.1 255.255.255.252
cnc1(config-if)#clock rate 64000
cnc1(config-if)#no shut
cnc1(config-if)#exit
cnc1(config)#
cnc1(config)#router ospf 1
cnc1(config-router)#net 192.168.10.0 0.0.0.255 area 0
cnc1(config-router)#net 192.168.11.0 0.0.0.255 area 0
cnc1(config-router)#net 10.1.1.0 0.0.0.3 area 0
cnc1(config-router)#^Z
cnc1#wr mem
Building configuration...
[OK]
2. Konfigurasi di Router cnc2 yaitu:
Router>ena
Router#conf t
Router(config)#hostname cnc2
cnc2(config)#no ip domain-lookup
cnc2(config)#enable secret pinguin108
cnc2(config)#service password-encryption
cnc2(config)#line con 0
cnc2(config-line)#pass pinguin
cnc2(config-line)#login
cnc2(config-line)#line vty 0 4
cnc2(config-line)#pass pinguin
cnc2(config-line)#login
cnc2(config-line)#exit
cnc2(config)#int s0/0/0
cnc2(config-if)#ip add 10.1.1.2 255.255.255.252
cnc2(config-if)#no shut
cnc2(config-if)#
cnc2(config-if)#int s0/0/1
cnc2(config-if)#ip add 10.1.2.1 255.255.255.252
cnc2(config-if)#clock rate 64000
cnc2(config-if)#no shut
cnc2(config-if)#
cnc2(config-if)#int s0/1/1
cnc2(config-if)#ip add 10.1.3.1 255.255.255.252
cnc2(config-if)#clock rate 64000
cnc2(config-if)#no shut
cnc2(config-if)#
cnc2(config-if)#int f0/0
cnc2(config-if)#ip add 192.168.20.1 255.255.255.0
cnc2(config-if)#no shut
cnc2(config-if)#exit
cnc2(config)#router ospf 1
cnc2(config-router)#net 10.1.1.0 0.0.0.3 area 0
cnc2(config-router)#net 10.1.2.0 0.0.0.3 area 0
cnc2(config-router)#net 10.1.3.0 0.0.0.3 area 0
cnc2(config-router)#net 192.168.20.0 0.0.0.255 area 0
cnc2#wr mem
Building configuration...
[OK]
3. Konfigurasi di Router cnc3 yaitu:
Router>ena
Router#conf t
Router(config)#hostname cnc3
cnc3(config)#no ip domain-lookup
cnc3(config)#enable secret pinguin108
cnc3(config)#service password-encryption
cnc3(config)#line con 0
cnc3(config-line)#pass pinguin
cnc3(config-line)#login
cnc3(config-line)#line vty 0 4
cnc3(config-line)#pass pinguin
cnc3(config-line)#login
cnc3(config-line)#exit
cnc3(config)#int s0/0/0
cnc3(config-if)#ip add 10.1.2.2 255.255.255.252
cnc3(config-if)#no shut
cnc3(config-if)#int f0
cnc3(config)#int f0/0
cnc3(config-if)#ip add 192.168.30.1 255.255.255.0
cnc3(config-if)#no shut
cnc3(config-if)#exit
cnc3(config)#router ospf 1
cnc3(config-router)#net 10.1.2.0 0.0.0.3 area 0
cnc3(config-router)#net 10.1.2.0 0.0.0.3 area 0
cnc3(config-router)#net 192.168.30.0 0.0.0.255 area 0
cnc3(config-router)#^Z
cnc3#wr mem
Building configuration...
[OK]
4. Konfigurasi di Router cnc4 yaitu:
Router>ena
Router#conf t
Router(config)#hostname cnc4
cnc4(config)#
cnc4(config)#no ip domain-lookup
cnc4(config)#enable secret pinguin108
cnc4(config)#service password-encryption
cnc4(config)#line con 0
cnc4(config-line)#pass pinguin
cnc4(config-line)#login
cnc4(config-line)#line vty 0 4
cnc4(config-line)#pass pinguin
cnc4(config-line)#login
cnc4(config-line)#exit
cnc4(config)#
cnc4(config)#int s0/0/0
cnc4(config-if)#ip add 10.1.3.2 255.255.255.252
cnc4(config-if)#no shut
cnc4(config)#int f0/0
cnc4(config-if)#ip add 192.168.40.1 255.255.255.0
cnc4(config-if)#no shut
cnc4(config-if)#exit
cnc4(config)#router ospf 1
cnc4(config-router)#net 10.1.3.0 0.0.0.3 area 0
cnc4(config-router)#net 192.168.40.0 0.0.0.255 area 0
cnc4(config-router)#^Z
cnc4#wr mem
Building configuration...
[OK]
cnc4#
5. Konfigurasi di Switch SW1 yaitu:
Switch>ena
Switch#conf t
Switch(config)#hostname SW1
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.10.2 255.255.255.0
SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip default-gateway 192.168.10.1
SW1(config)#^Z
SW1#wr mem
Building configuration...
[OK]
SW1#
6. Konfigurasi di Switch SW2 yaitu:
Switch>ena
Switch#conf t
Switch(config)#hostname SW2
SW2(config)#int vlan 1
SW2(config-if)#ip add 192.168.11.2 255.255.255.0
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.11.1
SW2(config)#^Z
SW2#wr mem
Building configuration...
[OK]
SW2#
7. Konfigurasi di Switch SW3 yaitu:
Switch>ena
Switch#conf t
Switch(config)#hostname SW3
SW3(config)#int vlan 1
SW3(config-if)#ip add 192.168.20.2 255.255.255.0
SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.20.1
SW3(config)#^Z
SW3#wr mem
Building configuration...
[OK]
SW3#
8. Konfigurasi di Switch SW4 yaitu:
Switch>ena
Switch#conf t
Switch(config)#hostname SW4
SW4(config)#int vlan 1
SW4(config-if)#ip add 192.168.30.2 255.255.255.0
SW4(config-if)#no shut
SW4(config-if)#exit
SW4(config)#ip default-gateway 192.168.30.1
SW4(config)#^Z
SW#wr mem
Building configuration...
[OK]
SW4#
9. Konfigurasi di Switch SW5 yaitu:
Switch>ena
Switch#conf t
Switch(config)#hostname SW5
SW5(config)#int vlan 1
SW5(config-if)#ip add 192.168.40.2 255.255.255.0
SW5(config-if)#no shut
SW5(config-if)#exit
SW5(config)#ip default-gateway 192.168.40.1
SW5(config)#^Z
SW#wr mem
Building configuration...
[OK]
SW5#
10. Konfigurasi tiap tiap PC sesuai dengan ip, dns dan default gateway masing-masing,
setelah itu cek konektifitas menggunakan ping utility.
11. Nah sekarang kita akan melakukan percobaan access list standard dan access list
extended ada beberapa scenario, yaitu
a) Skenario A, yaitu network 192.168.40.0/24 tidak bisa mengakses network
192.168.10.0/24 dan network 192.168.11.0/24. Caranya adalah
Tentukan dulu interface router mana yang akan dipasangkan ACL (dianjurkan
untuk membaca tutorial nya terlebih dahulu, maaf kalau saya juga salah dalam
penempatannya hi3, kan masih belajar ^_^) nah kalau menurut saya interface
yang cocok dipasang ACL scenario A adalah interface s0/0/0 Router cnc1 dan
dipasang inbound.
Perintahnya yaitu :
cnc1#conf t
cnc1(config)#ip access-list standar skenarioA
cnc1(config-std-nacl)#deny 192.168.40.0 0.0.0.255
cnc1(config-std-nacl)#permit any
cnc1(config-std-nacl)#exit
cnc1(config)#int s0/0/0
cnc1(config-if)#ip access-group skenarioA in
cnc1(config-if)#^Z
cnc1#
cnc1#wr mem
Building configuration...
[OK]
cnc1#
Nah sekarang pengujian, kita ping dari network 192.168.40.0/24 dan
192.168.30.0/24, ke network 192.168.10.0/24 dan 192.168.11.0/24.
Ok, scenario A berjalan dengan lancar
Untuk menghilangkan access list scenario A caranya adalah
cnc1#conf t
cnc1(config)#int s0/0/0
cnc1(config-if)#no ip access-group skenarioA in
cnc1(config-if)#exit
cnc1(config)#no ip access-list standard skenarioA
b) Skenario B, host 192.168.40.10/24 tidak dapat mengakses network 192.168.10.0/24
akan tetapi host 192.168.40.11/24 dapat mengaksesnya.
Tentukan dulu interface router mana yang akan dipasangkan ACL (dianjurkan untuk
membaca tutorial nya terlebih dahulu, maaf kalau saya juga salah dalam penempatannya
hi3, kan masih belajar ^_^) nah kalau menurut saya interface yang cocok dipasang ACL
scenario B adalah interface F0/0 Router cnc1 dan dipasang outbound.
Perintahnya yaitu :
cnc1#conf t
cnc1(config)#ip access-list standard skenarioB
cnc1(config-std-nacl)#deny host 192.168.40.10
cnc1(config-std-nacl)#permit any
cnc1(config-std-nacl)#exit
cnc1(config)#int f0/0
cnc1(config-if)#ip access-group skenarioB out
cnc1(config-if)#^Z
Nah pengujian pertama kita ping dari host 192.168.40.10/24 ke network 192.168.10/24
Nah pengujian kedua kita ping dari host 192.168.40.11/24 ke network 192.168.10/24
Ok, scenario B berjalan dengan lancar
Untuk menghilangkan access list scenario B caranya adalah
cnc1#conf t
cnc1(config)#int f0/0
cnc1(config-if)#no ip access-group skenarioB out
cnc1(config-if)#exit
cnc1(config)#no ip access-list standard skenarioB
c) Nah untuk sekarang kita akan belajar mengenai extended access list, pada scenario c
kasusnya adalah sebagai berikut, host pc 192.168.30.10/24 tidak bias mengakses Web
server, akan tetapi bisa men-telnet interface f0/0 router cnc2 192.168.20.1/24 dan
pada scenario d host pc 192.168.30.11/24 dapat mengakses Web server akan tetapi
bisa mengakses telnet interface f0/0 router cnc2 192.168.20.1/24, Caranya adalah:
Tentukan dulu interface router mana yang akan dipasangkan ACL (dianjurkan untuk
membaca tutorial nya terlebih dahulu, maaf kalau saya juga salah dalam penempatannya
hi3, kan masih belajar ^_^) nah kalau menurut saya interface yang cocok dipasang ACL
scenario C dan D adalah interface f0/0 Router cnc3 dan dipasang inbound.
Perintahnya :
cnc3#conf t
cnc3(config)#access-list 100 deny tcp host 192.168.30.10 host 192.168.20.254 eq www
cnc3(config)#access-list 100 deny tcp host 192.168.30.11 host 192.168.20.1 eq telnet
cnc3(config)#access-list 100 permit ip any any
cnc3(config)#int f0/0
cnc3(config-if)#ip access-group 100 in
cnc3(config-if)#^Z
cnc3#wr mem
Pengujiannya adalah pada host 192.168.30.10/24 membuka server www.ittelkom.ac.id
dan men-telnet 192.168.20.1 dan hasil secara teori adalah host tersebut tidak bisa
membuka web server, akan tetapi bisa men-telnet interface f0/0 cnc2.
Pengujian berikutnya adalah pada host 192.168.30.11/24 membuka server
www.ittelkom.ac.id dan men-telnet 192.168.20.1 dan hasil secara teori adalah host
tersebut bisa membuka web server, akan tetapi tidak bisa men-telnet interface f0/0
cnc2.
Untuk menghilangkan access list scenario C dan D caranya adalah
cnc3#conf t
cnc3(config)#no access-list 100
cnc3(config)#int f0/0
cnc3(config-if)#no ip access-group 100 in
cnc3(config-if)#^Z
ok, teman-teman sekian dulu dan mudah-mudahan dapat bermanfaat, wassalam.
Tips (ga tau bener atau salah):
Kalau Standard ACL cari interface yang paling dekat dengan destination
Kalau Extended ACL cari interface yang paling deket dengan source