CHAPTER 7 CCNA2

-
ACCESS CONTROL LISTS

What is an ACL?
ACL adalah serangkaian perintah IOS yang mengontrol apakah router meneruskan atau menjatuhkan paket berdasarkan informasi yang ditemukan di header paket. ACL adalah salah satu fitur yang paling umum digunakan dari perangkat lunak Cisco IOS.

Ketika dikonfigurasi, ACL melakukan tugas-tugas berikut:

Batasi lalu lintas jaringan untuk meningkatkan kinerja jaringan. Misalnya, jika kebijakan perusahaan tidak mengizinkan lalu lintas video di jaringan, ACL yang memblokir lalu lintas video dapat dikonfigurasi dan diterapkan. Ini akan sangat mengurangi beban jaringan dan meningkatkan kinerja jaringan.
Berikan kontrol aliran lalu lintas. ACL dapat membatasi pengiriman pembaruan perutean untuk memastikan bahwa pembaruan berasal dari sumber yang dikenal.
Memberikan tingkat keamanan dasar untuk akses jaringan. ACL dapat memungkinkan satu host mengakses bagian jaringan dan mencegah host lain mengakses area yang sama. Misalnya, akses ke jaringan Sumber Daya Manusia dapat dibatasi untuk pengguna yang berwenang.
Filter lalu lintas berdasarkan jenis lalu lintas. Misalnya, ACL dapat mengizinkan lalu lintas email, tetapi memblokir semua lalu lintas Telnet.
Host layar untuk mengizinkan atau menolak akses ke layanan jaringan. ACL dapat mengizinkan atau menolak pengguna untuk mengakses jenis file, seperti FTP atau HTTP.
Secara default, router tidak memiliki ACL yang dikonfigurasi; oleh karena itu, secara default router tidak memfilter traffic. Lalu lintas yang memasuki router diarahkan hanya berdasarkan informasi di dalam tabel routing. Namun, ketika ACL diterapkan ke antarmuka, router melakukan tugas tambahan untuk mengevaluasi semua paket jaringan saat mereka melewati antarmuka untuk menentukan apakah paket dapat diteruskan.

Selain mengizinkan atau menolak lalu lintas, ACL dapat digunakan untuk memilih jenis lalu lintas yang akan dianalisis, diteruskan, atau diproses dengan cara lain. Misalnya, ACL dapat digunakan untuk mengklasifikasikan lalu lintas untuk memungkinkan pemrosesan prioritas. Kemampuan ini mirip dengan memiliki kartu VIP di sebuah konser atau acara olahraga. Pass VIP memberikan hak istimewa kepada tamu terpilih yang tidak ditawarkan kepada pemegang tiket masuk umum, seperti entri prioritas atau bisa memasuki area terbatas.


Packet Filtering
ACL adalah daftar urutan izin atau pernyataan ditolak, yang dikenal sebagai entri kontrol akses (ACE). ACE juga biasa disebut pernyataan ACL. Ketika lalu lintas jaringan melewati antarmuka yang dikonfigurasikan dengan ACL, router membandingkan informasi di dalam paket terhadap setiap ACE, secara berurutan, untuk menentukan apakah paket tersebut cocok dengan salah satu ACE. Proses ini disebut packet filtering.

Penyaringan paket mengontrol akses ke jaringan dengan menganalisis paket yang masuk dan keluar dan meneruskannya atau membuangnya berdasarkan kriteria yang diberikan. Penyaringan paket dapat terjadi pada Layer 3 atau Layer 4, seperti yang ditunjukkan pada gambar. Filter ACL standar hanya pada Layer 3. Filter ACL diperpanjang pada Layer 3 dan Layer 4.

Catatan: ACL yang diperluas berada di luar cakupan kursus ini.

Alamat IPv4 sumber adalah kriteria penyaringan yang ditetapkan di setiap ACE dari ACL IPv4 standar. Perute yang dikonfigurasikan dengan IPv4 ACL standar mengekstrak alamat IPv4 sumber dari header paket. Router mulai di bagian atas ACL dan membandingkan alamat untuk setiap ACE secara berurutan. Ketika pertandingan dibuat, router melakukan instruksi, baik mengizinkan atau menolak paket. Setelah pertandingan dibuat, ACE yang tersisa di ACL, jika ada, tidak dianalisis. Jika alamat IPv4 sumber tidak cocok dengan ACE mana pun di ACL, paket tersebut dibuang.

Pernyataan terakhir dari ACL selalu merupakan penolakan implisit. Pernyataan ini secara otomatis dimasukkan pada akhir setiap ACL meskipun tidak ada secara fisik. Tolak implisit memblokir semua lalu lintas. Karena penolakan implisit ini, ACL yang tidak memiliki setidaknya satu pernyataan izin akan memblokir semua lalu lintas.



ACL Operation
ACL menetapkan seperangkat aturan yang memberikan kontrol tambahan untuk paket yang memasukkan antarmuka masuk, paket yang menyampaikan melalui router, dan paket yang keluar dari antarmuka keluar router. ACL tidak bekerja pada paket yang berasal dari router itu sendiri.

ACL dapat dikonfigurasikan untuk berlaku pada lalu lintas masuk dan keluar seperti yang ditunjukkan pada gambar.

ACL masuk - Paket masuk diproses sebelum diarahkan ke antarmuka keluar. ACL masuk lebih efisien karena menghemat overhead pencarian routing jika paket dibuang. Jika paket diizinkan oleh ACL, maka paket tersebut akan diproses untuk routing. ACL masuk paling baik digunakan untuk memfilter paket ketika jaringan yang terhubung ke antarmuka masuk adalah satu-satunya sumber paket yang perlu diperiksa.
ACL Outbound - Paket masuk diarahkan ke antarmuka outbound, dan kemudian mereka diproses melalui ACL outbound. ACL Outbound paling baik digunakan ketika filter yang sama akan diterapkan ke paket yang berasal dari beberapa antarmuka masuk sebelum keluar dari antarmuka keluar yang sama.



Introducing ACL Wildcard Masking
Wildcard Masking

ACE IPv4 termasuk penggunaan topeng wildcard. Masker wildcard adalah string 32 digit biner yang digunakan oleh router untuk menentukan bit alamat mana yang akan diperiksa untuk suatu kecocokan.

Seperti halnya subnet mask, angka 1 dan 0 di wildcard mask mengidentifikasi cara memperlakukan bit alamat IPv4 yang sesuai. Namun, dalam topeng wildcard, bit ini digunakan untuk tujuan yang berbeda dan mengikuti aturan yang berbeda.

Topeng subnet menggunakan biner 1 dan 0 untuk mengidentifikasi jaringan, subnet, dan bagian host dari alamat IPv4. Topeng wildcard menggunakan biner 1s dan 0s untuk memfilter alamat IPv4 individu atau grup alamat IPv4 untuk mengizinkan atau menolak akses ke sumber daya.

Topeng wildcard dan subnet mask berbeda dalam cara mereka cocok dengan biner 1s dan 0s. Topeng wildcard menggunakan aturan berikut untuk mencocokkan biner 1 dan 0:

Wildcard mask bit 0 - Cocokkan nilai bit yang sesuai di alamat.
Wildcard mask bit 1 - Abaikan nilai bit yang sesuai di alamat.
Gambar 1 menunjukkan betapa berbedanya topeng wildcard menyaring alamat IPv4. Dalam contoh, ingat bahwa biner 0 menandakan bit yang harus cocok, dan biner 1 menandakan bit yang dapat diabaikan.

Topeng wildcard sering disebut sebagai topeng terbalik. Alasannya adalah bahwa, tidak seperti topeng subjaringan di mana biner 1 sama dengan kecocokan dan biner 0 tidak cocok, dalam topeng wildcard kebalikannya benar.

Menggunakan Topeng Wildcard

Tabel pada Gambar 2 menunjukkan hasil menerapkan wildcard mask 0.0.255.255 ke alamat IPv4 32-bit. Ingat bahwa biner 0 menunjukkan nilai yang cocok.

Catatan: Tidak seperti IPv4 ACL, IPv6 ACL tidak menggunakan topeng wildcard. Sebagai gantinya, panjang awalan digunakan untuk menunjukkan seberapa banyak sumber atau alamat IPv6 yang harus dicocokkan. IPv6 ACL berada di luar cakupan kursus ini.



Wildcard Mask Examples
Wildcard Masks to Match IPv4 Subnets

Masker Wildcard untuk Mencocokkan Ranges

Dua contoh pada Gambar 2 lebih kompleks. Dalam contoh 1, dua oktet pertama dan empat bit pertama dari oktet ketiga harus sama persis. Empat bit terakhir dalam oktet ketiga dan oktet terakhir dapat berupa angka yang valid. Ini menghasilkan topeng yang memeriksa rentang jaringan 192.168.16.0 hingga 192.168.31.0.

Contoh 2 memperlihatkan topeng wildcard yang cocok dengan dua oktet pertama, dan bit paling tidak signifikan dalam oktet ketiga. Oktet terakhir dan tujuh bit pertama dalam oktet ketiga dapat berupa angka yang valid. Hasilnya adalah topeng yang akan mengizinkan atau menolak semua host dari subnet ganjil dari jaringan utama 192.168.0.0.



Calculating the Wildcard Mask
Menghitung topeng wildcard bisa jadi menantang. Salah satu metode pintas adalah dengan mengurangi subnet mask dari 255.255.255.255.

Perhitungan Topeng Wildcard: Contoh 1

Pada contoh pertama pada gambar, anggap Anda ingin mengizinkan akses ke semua pengguna di jaringan 192.168.3.0. Karena subnet mask adalah 255.255.255.0, Anda bisa mengambil 255.255.255.255 dan kurangi subnet mask 255.255.255.0. Solusinya menghasilkan topeng wildcard 0.0.0.255.

Perhitungan Topeng Wildcard: Contoh 2

Pada contoh kedua dalam gambar, anggap Anda ingin mengizinkan akses jaringan untuk 14 pengguna di subnet 192.168.3.32/28. Subnet mask untuk subnet IPv4 adalah 255.255.255.240, oleh karena itu ambil 255.255.255.255 dan kurangi subnet mask 255.255.255.240. Solusi kali ini menghasilkan topeng wildcard 0.0.0.15.

Perhitungan Topeng Wildcard: Contoh 3

Pada contoh ketiga dalam gambar, anggap Anda hanya ingin mencocokkan jaringan 192.168.10.0 dan 192.168.11.0. Sekali lagi, Anda mengambil 255.255.255.255 dan kurangi topeng subjaringan biasa yang dalam hal ini adalah 255.255.254.0. Hasilnya adalah 0.0.1.255.

Anda dapat mencapai hasil yang sama dengan pernyataan seperti dua yang ditunjukkan di bawah ini:

R1 (config) # akses-daftar 10 izin 192.168.10.0 0.0.1.255

R1 (config) # akses-daftar 10 izin 192.168.11.0 0.0.1.255

Jauh lebih efisien untuk mengonfigurasi topeng wildcard dengan cara berikut:

R1 (config) # akses-daftar 10 izin 192.168.10.0 0.0.1.255

Pertimbangkan contoh di mana Anda harus mencocokkan jaringan dalam kisaran antara 192.168.16.0/24 hingga 192.168.31.0/24. Jaringan ini akan meringkas ke 192.168.16.0/20. Dalam hal ini, 0.0.15.255 adalah wildcard mask yang benar untuk mengonfigurasi satu pernyataan ACL yang efisien, seperti yang ditunjukkan di bawah ini:

R1 (config) # akses-daftar 10 izin 192.168.16.0 0.0.15.255



Wildcard Mask Keywords
Bekerja dengan representasi desimal bit wildcard mask bit bisa membosankan. Untuk menyederhanakan tugas ini, host kata kunci dan bantuan apa pun mengidentifikasi penggunaan masking wildcard yang paling umum. Kata kunci ini menghilangkan memasuki topeng wildcard ketika mengidentifikasi host tertentu atau seluruh jaringan. Kata kunci ini juga memudahkan untuk membaca ACL dengan memberikan petunjuk visual mengenai sumber atau tujuan kriteria.

Pengganti kata kunci host untuk topeng 0.0.0.0. Mask ini menyatakan bahwa semua bit alamat IPv4 harus cocok untuk memfilter hanya satu alamat host.

Opsi apa pun menggantikan alamat IPv4 dan mask 255.255.255.255. Topeng ini mengatakan untuk mengabaikan seluruh alamat IPv4 atau menerima alamat apa pun.

Contoh 1: Proses Masking Wildcard dengan Alamat IPv4 Tunggal

Dalam Contoh 1 pada gambar, alih-alih memasukkan 192.168.10.10 0.0.0.0, Anda dapat menggunakan host 192.168.10.10.

Contoh 2: Proses Masking Wildcard dengan Cocokkan Semua Alamat IPv4

Dalam Contoh 2 pada gambar, alih-alih memasukkan 0,0.0.0 255.255.255.255, Anda dapat menggunakan kata kunci apa saja dengan sendirinya.

Gambar menunjukkan contoh dari semua nol wildcard mask yang cocok dengan semua bit biner untuk I.P. alamat cocok Angka ini juga menunjukkan semua topeng wildcard yang menyiratkan I.P. alamat akan cocok.



General Guidelines for Creating ACLs
Menulis ACL bisa menjadi tugas yang kompleks. Untuk setiap antarmuka mungkin ada beberapa kebijakan yang diperlukan untuk mengelola jenis lalu lintas yang diizinkan untuk masuk atau keluar dari antarmuka itu. Router pada gambar memiliki dua antarmuka yang dikonfigurasi untuk IPv4 dan IPv6. Jika kita membutuhkan ACL untuk kedua protokol, pada kedua antarmuka dan di kedua arah, ini akan membutuhkan delapan ACL terpisah. Setiap antarmuka akan memiliki empat ACL; dua ACL untuk IPv4 dan dua ACL untuk IPv6. Untuk setiap protokol, satu ACL untuk lalu lintas masuk dan satu untuk lalu lintas keluar.

Catatan: ACL tidak harus dikonfigurasi di kedua arah. Jumlah ACL dan arahnya yang diterapkan pada antarmuka akan tergantung pada persyaratan yang diterapkan.

Berikut adalah beberapa panduan untuk menggunakan ACL:

Gunakan ACL di router firewall yang diposisikan di antara jaringan internal Anda dan jaringan eksternal seperti Internet.
Gunakan ACL pada router yang diposisikan di antara dua bagian jaringan Anda untuk mengontrol lalu lintas yang masuk atau keluar bagian tertentu dari jaringan internal Anda.
Konfigurasikan ACL pada router perbatasan, yaitu router yang terletak di tepi jaringan Anda. Ini memberikan buffer yang sangat mendasar dari jaringan luar, atau antara area yang kurang terkontrol dari jaringan Anda sendiri dan area yang lebih sensitif dari jaringan Anda.
Konfigurasikan ACL untuk setiap protokol jaringan yang dikonfigurasi pada antarmuka router perbatasan.
Aturan untuk Menerapkan ACL

Anda dapat mengonfigurasi satu ACL per protokol, per arah, per antarmuka:

Satu ACL per protokol - Untuk mengontrol arus lalu lintas pada antarmuka, ACL harus ditentukan untuk setiap protokol yang diaktifkan pada antarmuka.
Satu ACL per arah - ACL mengontrol lalu lintas satu arah pada satu waktu pada sebuah antarmuka. Dua ACL terpisah harus dibuat untuk mengontrol lalu lintas masuk dan keluar.
Satu ACL per antarmuka - ACL mengontrol lalu lintas untuk suatu antarmuka, misalnya, GigabitEthernet 0/0.



ACL Best Practices
Menggunakan ACL membutuhkan perhatian terhadap detail dan perhatian besar. Kesalahan bisa mahal dalam hal downtime, upaya pemecahan masalah, dan layanan jaringan yang buruk. Sebelum mengkonfigurasi ACL, perencanaan dasar diperlukan. Gambar tersebut menyajikan pedoman yang membentuk dasar dari daftar praktik terbaik ACL.



Where to Place ACLs
Penempatan ACL yang tepat dapat membuat jaringan beroperasi lebih efisien. ACL dapat ditempatkan untuk mengurangi lalu lintas yang tidak perlu. Misalnya, lalu lintas yang akan ditolak di tujuan jauh tidak boleh diteruskan menggunakan sumber daya jaringan di sepanjang rute ke tujuan itu.

Setiap ACL harus ditempatkan di tempat yang memiliki dampak terbesar pada efisiensi. Seperti yang ditunjukkan pada gambar, aturan dasarnya adalah:

Extended ACL - Temukan ACL yang diperluas sedekat mungkin dengan sumber lalu lintas yang akan difilter. Dengan cara ini, lalu lintas yang tidak diinginkan ditolak dekat dengan jaringan sumber tanpa melintasi infrastruktur jaringan.
ACL Standar - Karena ACL standar tidak menentukan alamat tujuan, tempatkan mereka sedekat mungkin dengan tujuan. Menempatkan ACL standar di sumber lalu lintas akan secara efektif mencegah lalu lintas tersebut mencapai jaringan lain melalui antarmuka tempat ACL diterapkan.
Penempatan ACL dan karenanya, tipe ACL yang digunakan juga dapat bergantung pada:

Tingkat kendali administrator jaringan - Penempatan ACL dapat bergantung pada apakah administrator jaringan memiliki kendali terhadap jaringan sumber dan tujuan.
Bandwidth dari jaringan yang terlibat - Memfilter lalu lintas yang tidak diinginkan pada sumbernya mencegah transmisi lalu lintas sebelum menghabiskan bandwidth pada jalur ke tujuan. Ini sangat penting dalam jaringan bandwidth rendah.
Kemudahan konfigurasi - Jika administrator jaringan ingin menolak lalu lintas yang datang dari beberapa jaringan, satu opsi adalah menggunakan ACL standar tunggal pada router yang paling dekat dengan tujuan. Kerugiannya adalah bahwa lalu lintas dari jaringan ini akan menggunakan bandwidth yang tidak perlu. ACL yang diperluas dapat digunakan pada setiap router tempat lalu lintas berasal. Ini akan menghemat bandwidth dengan menyaring lalu lintas di sumber tetapi membutuhkan pembuatan ACL tambahan pada beberapa router.
Catatan: Meskipun ACL yang diperluas berada di luar ruang lingkup ujian ICND1 / CCENT, Anda harus mengetahui pedoman umum untuk menempatkan ACL standar dan yang diperluas. Untuk sertifikasi CCNA, aturan umumnya adalah bahwa ACL yang diperluas ditempatkan sedekat mungkin ke sumber dan ACL standar ditempatkan sedekat mungkin ke tujuan.



Standard ACL Placement
Topologi pada gambar digunakan untuk menunjukkan bagaimana ACL standar dapat ditempatkan. Administrator ingin mencegah lalu lintas yang berasal dari jaringan 192.168.10.0/24 dari mencapai jaringan 192.168.30.0/24.

Mengikuti pedoman penempatan dasar untuk menempatkan ACL standar di dekat tujuan, gambar menunjukkan dua kemungkinan antarmuka pada R3 untuk menerapkan ACL standar:

R3 S0 / 0/1 interface - Menerapkan ACL standar untuk mencegah lalu lintas dari 192.168.10.0/24 memasuki antarmuka S0 / 0/1 akan mencegah lalu lintas ini mencapai 192.168.30.0/24 dan semua jaringan lain dapat dijangkau oleh R3. Ini termasuk jaringan 192.168.31.0/24. Karena maksud dari ACL adalah untuk menyaring lalu lintas yang diperuntukkan hanya untuk 192.168.30.0/24, ACL standar tidak boleh diterapkan ke antarmuka ini.
R3 G0 / 0 interface - Menerapkan ACL standar untuk lalu lintas yang keluar dari antarmuka G0 / 0 akan menyaring paket dari 192.168.10.0/24 ke 192.168.30.0/24. Ini tidak akan memengaruhi jaringan lain yang dapat dijangkau oleh R3. Paket dari 192.168.10.0/24 masih dapat mencapai 192.168.31.0/24.



Numbered Standard IPv4 ACL Syntax
Untuk menggunakan ACL standar bernomor pada router Cisco, Anda harus terlebih dahulu membuat ACL standar dan kemudian mengaktifkan ACL pada antarmuka.

Perintah konfigurasi global daftar akses mendefinisikan ACL standar dengan angka dalam kisaran 1 hingga 99. Cisco IOS Software Release 12.0.1 memperpanjang angka-angka ini dengan memungkinkan 1300 hingga 1999 digunakan untuk ACL standar. Ini memungkinkan maksimum 798 ACL standar yang mungkin. Angka-angka tambahan ini disebut sebagai ACL IPv4 yang diperluas.

Sintaks lengkap dari perintah ACL standar adalah sebagai berikut:

Router (config) # access-list access-list-number {deny | izin | komentar} sumber [source-wildcard] [log]

Gambar 1 memberikan penjelasan rinci tentang sintaks untuk ACL standar.

ACE dapat mengizinkan atau menolak host individu atau sejumlah alamat host. Untuk membuat pernyataan host dalam ACL 10 bernomor yang mengizinkan host tertentu dengan alamat IPv4 192.168.10.10, Anda akan memasukkan:

R1 (config) # access-list 10 host izin 192.168.10.10

Seperti yang ditunjukkan pada Gambar 2, untuk membuat pernyataan yang akan mengizinkan berbagai alamat IPv4 dalam ACL 10 bernomor yang mengizinkan semua alamat IPv4 di jaringan 192.168.10.0/24, Anda akan memasukkan:

R1 (config) # akses-daftar 10 izin 192.168.10.0 0.0.0.255

Untuk menghapus ACL, konfigurasi global tidak ada perintah daftar akses digunakan. Mengeluarkan perintah daftar akses-daftar mengkonfirmasi bahwa daftar akses 10 telah dihapus.

Biasanya, ketika administrator membuat ACL, tujuan dari setiap pernyataan diketahui dan dipahami. Namun, untuk memastikan bahwa administrator dan orang lain mengingat tujuan pernyataan, komentar harus dimasukkan. Kata kunci komentar digunakan untuk dokumentasi dan membuat daftar akses jauh lebih mudah untuk dipahami. Setiap komentar dibatasi hingga 100 karakter. ACL pada Gambar 3, meskipun cukup sederhana, digunakan untuk memberikan contoh. Saat meninjau ACL dalam konfigurasi menggunakan perintah show running-config, komentar tersebut juga ditampilkan.



Applying Standard IPv4 ACLs to Interfaces
Setelah standar IPv4 ACL dikonfigurasi, itu ditautkan ke antarmuka menggunakan perintah ip access-group dalam mode konfigurasi antarmuka:

Router (config-if) # ip access-group {access-list-number | access-list-name} {in | keluar}

Untuk menghapus ACL dari antarmuka, pertama masukkan perintah grup akses ip pada antarmuka, lalu masukkan perintah global daftar akses tidak untuk menghapus seluruh ACL.

Gambar 1 mencantumkan langkah-langkah dan sintaks untuk mengkonfigurasi dan menerapkan ACL standar bernomor pada router.

Gambar 2 menunjukkan contoh ACL yang dirancang untuk mengizinkan satu jaringan.

ACL ini hanya mengizinkan lalu lintas dari jaringan sumber 192.168.10.0 untuk diteruskan dari antarmuka S0 / 0/0. Lalu lintas dari jaringan selain 192.168.10.0 diblokir.

Baris pertama mengidentifikasi ACL sebagai daftar akses 1. Ini memungkinkan lalu lintas yang cocok dengan parameter yang dipilih. Dalam hal ini, alamat IPv4 dan wildcard mask yang mengidentifikasi jaringan sumber adalah 192.168.10.0 0.0.0.255. Ingatlah bahwa ada implisit menolak semua pernyataan yang setara dengan menambahkan jalur akses-daftar 1 menolak 0.0.0.0 255.255.255.255 atau akses-daftar menyangkal semua ke akhir ACL.

Ip access-group 1 out link interface perintah konfigurasi dan mengikat ACL 1 ke antarmuka Serial 0/0/0 sebagai filter keluar.

Oleh karena itu, ACL 1 hanya mengizinkan host dari jaringan 192.168.10.0/24 untuk keluar dari router R1. Itu menyangkal jaringan lain termasuk jaringan 192.168.11.0



Numbered Standard IPv4 ACL Examples
Gambar 1 menunjukkan contoh ACL yang memungkinkan subnet tertentu kecuali untuk host tertentu pada subnet itu.

Perintah pertama menghapus versi ACL sebelumnya. Pernyataan ACL berikutnya, menolak host PC1 yang terletak di 192.168.10.10. Setiap host lain di jaringan 192.168.10.0/24 kemudian diizinkan. Lagi-lagi pernyataan penolakan implisit cocok dengan setiap jaringan lainnya.

ACL diterapkan kembali ke antarmuka S0 / 0/0 dalam arah keluar.

Gambar 2 menunjukkan contoh ACL yang menolak host tertentu. ACL ini menggantikan contoh sebelumnya. Contoh ini masih memblokir lalu lintas dari host PC1 tetapi mengizinkan semua lalu lintas lainnya.

Dua perintah pertama sama dengan contoh sebelumnya. Perintah pertama menghapus versi ACL 1 sebelumnya dan pernyataan ACL berikutnya menyangkal host PC1 yang terletak di 192.168.10.10.

Baris ketiga adalah baru dan mengizinkan semua host lain. Ini berarti bahwa semua host dari jaringan 192.168.10.0/24 akan diizinkan kecuali untuk PC1, yang ditolak dalam pernyataan sebelumnya.

ACL ini diterapkan untuk antarmuka G0 / 0 ke arah inbound. Karena filter hanya memengaruhi LAN 192.168.10.0/24 pada G0 / 0, maka lebih efisien untuk menerapkan ACL ke antarmuka masuk. ACL dapat diterapkan ke S0 / 0/0 dalam arah keluar tetapi kemudian R1 harus memeriksa paket dari semua jaringan termasuk 192.168.11.0/24.



Named Standard IPv4 ACL Syntax
Memberi nama ACL membuatnya lebih mudah untuk memahami fungsinya. Ketika Anda mengidentifikasi ACL Anda dengan nama, bukan dengan angka, mode konfigurasi dan sintaksis perintah sedikit berbeda.

Gambar 1 menunjukkan langkah-langkah yang diperlukan untuk membuat standar bernama ACL.

Langkah 1. Mulai dari mode konfigurasi global, gunakan perintah daftar akses ip untuk membuat ACL bernama. Nama ACL adalah alfanumerik, peka huruf besar kecil, dan harus unik. Perintah nama standar akses-daftar ip digunakan untuk membuat standar bernama ACL. Setelah memasukkan perintah, router dalam mode standar (std) bernama ACL (nacl) seperti yang ditunjukkan oleh prompt kedua pada Gambar 1.

Catatan: ACL bernomor menggunakan daftar akses perintah konfigurasi global, sedangkan ACL bernama IPv4 menggunakan perintah daftar akses ip.

Langkah 2. Dari mode konfigurasi ACL yang bernama, gunakan izin atau tolak pernyataan untuk menentukan satu atau lebih kondisi untuk menentukan apakah suatu paket diteruskan atau dijatuhkan. Anda dapat menggunakan komentar untuk menambahkan komentar ke ACL.

Langkah 3. Terapkan ACL ke antarmuka menggunakan perintah ip access-group name. Tentukan apakah ACL harus diterapkan ke paket saat mereka memasuki antarmuka (masuk) atau diterapkan ke paket saat mereka keluar dari antarmuka (keluar).

Gambar 2 menunjukkan perintah yang digunakan untuk mengkonfigurasi standar bernama ACL pada router R1, antarmuka G0 / 0, yang menolak akses host 192.168.11.10 ke jaringan 192.168.10.0. ACL bernama NO_ACCESS.

Mengapitalisasi nama ACL tidak diperlukan, tetapi membuatnya menonjol saat melihat output running-config. Ini juga membuat kecil kemungkinan Anda secara tidak sengaja akan membuat dua ACL berbeda dengan nama yang sama tetapi dengan penggunaan huruf besar yang berbeda.



Method 1 - Use a Text Editor
Setelah seseorang terbiasa membuat dan mengedit ACL, mungkin lebih mudah untuk membangun ACL menggunakan editor teks seperti Microsoft Notepad. Ini memungkinkan Anda untuk membuat atau mengedit ACL dan kemudian menempelkannya ke antarmuka router. Untuk ACL yang ada, Anda dapat menggunakan perintah show running-config untuk menampilkan ACL, salin dan tempel ke dalam editor teks, buat perubahan yang diperlukan, dan rekatkan kembali ke antarmuka router.

Konfigurasi: Sebagai contoh, asumsikan bahwa alamat IPv4 host pada gambar salah dimasukkan. Alih-alih host 192.168.10.99, seharusnya host 192.168.10.10. Berikut langkah-langkah untuk mengedit dan memperbaiki ACL 1:

Langkah 1. Tampilkan ACL menggunakan perintah show running-config. Contoh pada gambar menggunakan kata kunci sertakan untuk hanya menampilkan ACE.

Langkah 2. Sorot ACL, salin, lalu tempelkan ke Microsoft Notepad. Edit daftar sesuai kebutuhan. Setelah ACL ditampilkan dengan benar di Microsoft Notepad, sorot dan salin.

Langkah 3. Dalam mode konfigurasi global, hapus daftar akses menggunakan perintah no akses-daftar 1. Kalau tidak, pernyataan baru akan ditambahkan ke ACL yang ada. Kemudian tempel ACL baru ke dalam konfigurasi router.

Langkah 4. Menggunakan perintah show running-config, verifikasi perubahannya

Harus disebutkan bahwa ketika menggunakan perintah no-access-list, rilis perangkat lunak IOS yang berbeda bertindak secara berbeda. Jika ACL yang telah dihapus masih diterapkan ke antarmuka, beberapa versi iOS bertindak seolah-olah tidak ada ACL yang melindungi jaringan Anda sementara yang lain menolak semua lalu lintas. Untuk alasan ini, adalah praktik yang baik untuk menghapus referensi ke daftar akses dari antarmuka sebelum mengubah daftar akses. Jika ada kesalahan dalam daftar baru, nonaktifkan dan pecahkan masalah. Dalam hal itu, jaringan tidak memiliki ACL selama proses koreksi.



Method 2 - Use Sequence Numbers
Seperti yang ditunjukkan pada gambar, konfigurasi awal ACL 1 termasuk pernyataan host untuk host 192.168.10.99. Ini salah. Tuan rumah seharusnya sudah dikonfigurasi sebagai 192.168.10.10. Untuk mengedit ACL menggunakan nomor urut, ikuti langkah-langkah ini:

Langkah 1. Tampilkan ACL saat ini menggunakan perintah show access-list 1. Output dari perintah ini akan dibahas secara lebih rinci di bagian ini. Nomor urut ditampilkan di awal setiap pernyataan. Nomor urut ditetapkan secara otomatis ketika pernyataan daftar akses dimasukkan. Perhatikan bahwa pernyataan yang salah konfigurasi memiliki nomor urut 10.

Langkah 2. Masukkan ip access-list perintah standar yang digunakan untuk mengkonfigurasi ACL bernama. ACL nomor 1, digunakan sebagai nama. Pertama, pernyataan yang salah konfigurasi perlu dihapus menggunakan perintah no 10 dengan 10 mengacu pada nomor urut. Selanjutnya, pernyataan nomor urut 10 baru ditambahkan menggunakan perintah, 10 deny host 192.168.10.10.

Catatan: Pernyataan tidak dapat ditimpa menggunakan nomor urut yang sama dengan pernyataan yang ada. Pernyataan saat ini harus dihapus terlebih dahulu, dan kemudian yang baru dapat ditambahkan.

Langkah 3. Verifikasi perubahan menggunakan perintah show access-list.

Sebagaimana dibahas sebelumnya, Cisco IOS mengimplementasikan logika internal ke daftar akses standar. Urutan masuknya ACE standar mungkin bukan urutan penyimpanan, tampilan, atau pemrosesan oleh router. Perintah show access-listing menampilkan ACE dengan nomor urutnya.



Editing Standard Named ACLs
Dalam contoh sebelumnya, nomor urut digunakan untuk mengedit ACL IPv4 bernomor standar. Dengan mengacu pada nomor urut pernyataan, pernyataan individual dapat dengan mudah dimasukkan atau dihapus. Metode ini juga dapat digunakan untuk mengedit standar bernama ACL.

Gambar tersebut menunjukkan contoh memasukkan garis ke ACL bernama.

Dalam output perintah show pertama, Anda dapat melihat bahwa ACL bernama NO_ACCESS memiliki dua baris bernomor yang menunjukkan aturan akses untuk workstation dengan alamat IPv4 192.168.11.10.
Dari mode konfigurasi daftar akses bernama, pernyataan dapat dimasukkan atau dihapus.
Untuk menambahkan pernyataan untuk menolak workstation lain perlu memasukkan garis bernomor. Dalam contoh tersebut, workstation dengan alamat IPv4 192.168.11.11 ditambahkan menggunakan nomor urut baru 15.
Output perintah show terakhir memverifikasi bahwa workstation baru sekarang ditolak aksesnya.
Catatan: Dalam mode konfigurasi daftar akses bernama, gunakan perintah no-urutan nomor untuk dengan cepat menghapus pernyataan individual.



Verifying ACLs
Seperti yang ditunjukkan pada Gambar 1, perintah show ip interface digunakan untuk memverifikasi ACL pada antarmuka. Output dari perintah ini termasuk nomor atau nama daftar akses dan arah penerapan ACL. Output menunjukkan router R1 memiliki daftar akses 1 diterapkan pada antarmuka keluar S0 / 0/0 dan daftar akses NO_ACCESS diterapkan pada antarmuka g0 / 0, juga dalam arah keluar.

Contoh pada Gambar 2 menunjukkan hasil mengeluarkan perintah show access-list pada router R1. Untuk melihat daftar akses individu, gunakan perintah show-daftar-daftar diikuti oleh nomor atau nama daftar akses. Pernyataan NO_ACCESS mungkin terlihat aneh. Perhatikan bahwa nomor urut 15 ditampilkan sebelum nomor urut 10. Ini adalah hasil dari proses internal router dan akan dibahas kemudian di bagian ini.



ACL Statistics
Setelah ACL diterapkan pada antarmuka dan beberapa pengujian telah terjadi, perintah show access-list akan menampilkan statistik untuk setiap pernyataan yang telah dicocokkan. Dalam output pada Gambar 1, perhatikan bahwa beberapa pernyataan telah cocok. Ketika lalu lintas dihasilkan yang harus cocok dengan pernyataan ACL, kecocokan yang ditunjukkan dalam output perintah daftar-akses menunjukkan akan meningkat. Misalnya, dalam contoh ini, jika ping dikeluarkan dari PC1 ke PC3 atau PC4, output akan menunjukkan peningkatan kecocokan untuk pernyataan penolakan ACL 1.

Keduanya mengizinkan dan menolak pernyataan akan melacak statistik untuk pertandingan; namun, ingatlah bahwa setiap ACL secara implisit menyangkal apa pun sebagai pernyataan terakhir. Pernyataan ini tidak akan muncul dalam perintah tampilkan daftar akses; oleh karena itu, statistik untuk pernyataan itu tidak akan muncul. Untuk melihat statistik untuk pernyataan tersirat yang tersirat, pernyataan tersebut dapat dikonfigurasi secara manual dan akan muncul di output.

Selama pengujian ACL, penghitung dapat dihapus menggunakan perintah penghitung daftar akses yang jelas. Perintah ini dapat digunakan sendiri atau dengan nomor atau nama ACL tertentu. Seperti yang ditunjukkan pada Gambar 2, perintah ini membersihkan penghitung statistik untuk ACL.



The access-class Command
Anda dapat meningkatkan keamanan jalur administratif dengan membatasi akses VTY. Membatasi akses VTY adalah teknik yang memungkinkan Anda menentukan alamat IP mana yang diizinkan untuk mengakses proses router EXEC. Anda dapat menentukan alamat IP mana yang diizinkan akses jarak jauh ke router Anda dengan ACL dan pernyataan kelas akses yang dikonfigurasi pada jalur VTY Anda. Gunakan teknik ini dengan SSH untuk lebih meningkatkan keamanan akses administratif.

Perintah kelas akses yang dikonfigurasikan dalam mode konfigurasi garis membatasi koneksi masuk dan keluar antara VTY tertentu (ke perangkat Cisco) dan alamat dalam daftar akses.

Sintaks perintah dari perintah kelas akses adalah:

Router (config-line) # access-class access-list-number {dalam [vrf-juga] | keluar}

Parameter di membatasi koneksi masuk antara alamat dalam daftar akses dan perangkat Cisco, sedangkan parameter keluar membatasi koneksi keluar antara perangkat Cisco tertentu dan alamat dalam daftar akses.

Contoh yang memungkinkan rentang alamat untuk mengakses jalur VTY 0 - 4 ditunjukkan pada Gambar 1. ACL pada gambar dikonfigurasi untuk mengizinkan jaringan 192.168.10.0 untuk mengakses jalur VTY 0 - 4 tetapi menolak semua jaringan lain.

Hal-hal berikut harus dipertimbangkan ketika mengonfigurasi daftar akses di VTY:

Daftar akses yang diberi nama dan bernomor dapat diterapkan ke VTY.
Pembatasan identik harus ditetapkan pada semua VTY, karena pengguna dapat mencoba untuk terhubung ke salah satu dari mereka.
Gunakan Pemeriksa Sintaks pada Gambar 2 untuk berlatih mengamankan akses VTY.

Catatan: Daftar akses berlaku untuk paket yang bepergian melalui router. Mereka tidak dirancang untuk memblokir paket-paket yang berasal dari router. Secara default, ACL keluar tidak mencegah koneksi akses jarak jauh yang dimulai dari router.



Verifying the VTY Port is Secured
Setelah ACL untuk membatasi akses ke jalur VTY dikonfigurasi, penting untuk memverifikasi bahwa itu berfungsi seperti yang diharapkan. Gambar ini menunjukkan dua perangkat yang mencoba terhubung ke R1 menggunakan SSH. Daftar akses 21 telah dikonfigurasi pada jalur VTY pada R1. PC1 berhasil sementara PC2 gagal membangun koneksi SSH. Ini adalah perilaku yang diharapkan, karena daftar akses yang dikonfigurasi memungkinkan akses VTY dari jaringan 192.168.10.0/24 sambil menolak semua perangkat lain.

Output untuk R1 menunjukkan hasil dari mengeluarkan perintah show access-list setelah upaya SSH oleh PC1 dan PC2. Kecocokan pada garis izin output adalah hasil dari koneksi SSH yang berhasil oleh PC1. Kecocokan dalam pernyataan penolakan adalah karena upaya yang gagal untuk membuat koneksi SSH oleh PC2, perangkat di jaringan 192.168.11.0/24.



The Implicit Deny Any
ACL entri tunggal dengan hanya satu entri ditolak memiliki efek menolak semua lalu lintas. Setidaknya satu izin ACE harus dikonfigurasi dalam ACL atau semua lalu lintas diblokir.

Untuk jaringan dalam gambar, menerapkan ACL 1 atau ACL 2 ke antarmuka S0 / 0/0 R1 dalam arah outbound akan memiliki efek yang sama. Jaringan 192.168.10.0 akan diizinkan untuk mengakses jaringan yang dapat dijangkau melalui S0 / 0/0, sedangkan 192.168.11.0 tidak akan diizinkan untuk mengakses jaringan tersebut. Dalam ACL 1, jika suatu paket tidak cocok dengan pernyataan izin, itu dibuang.


The Order of ACEs in an ACL
Cisco IOS menerapkan logika internal ketika menerima dan memproses ACE standar. Seperti dibahas sebelumnya, ACE diproses secara berurutan; Oleh karena itu, urutan masuknya ACE menjadi penting.

Sebagai contoh, pada Gambar 1, ACL 3 berisi dua ACE. ACE pertama menggunakan wildcard mask untuk menolak berbagai alamat, yang mencakup semua host di jaringan 192.168.10.0/24. ACE kedua adalah pernyataan host yang memeriksa host tertentu, 192.168.10.10, yang termasuk dalam jaringan 192.168.10.0/24. Logika internal IOS untuk daftar akses standar menolak pernyataan kedua dan mengembalikan pesan kesalahan karena itu adalah bagian dari pernyataan sebelumnya.

Konfigurasi pada Gambar 2 dari ACL 4 memiliki dua pernyataan yang sama tetapi dalam urutan terbalik. Ini adalah urutan pernyataan yang valid karena pernyataan pertama merujuk pada host tertentu, bukan rentang host.

Pada Gambar 3, ACL 5 menunjukkan bahwa pernyataan host dapat dikonfigurasi setelah pernyataan yang menunjukkan kisaran host. Tuan rumah tidak boleh berada dalam kisaran yang dicakup oleh pernyataan sebelumnya. Alamat host 192.168.11.10 bukan anggota dari jaringan 192.168.10.0/24 jadi ini adalah pernyataan yang valid.



Cisco IOS Reorders Standard ACLs
Urutan di mana ACE standar dimasukkan mungkin bukan urutan bahwa mereka disimpan, ditampilkan, atau diproses oleh router.

Gambar 1 menunjukkan konfigurasi daftar akses standar. Pernyataan rentang yang menolak tiga jaringan dikonfigurasikan terlebih dahulu diikuti oleh lima pernyataan host. Pernyataan host adalah semua pernyataan yang valid karena alamat IPv4 host mereka bukan bagian dari pernyataan rentang yang dimasukkan sebelumnya.

Perintah show running-config digunakan untuk memverifikasi konfigurasi ACL. Perhatikan bahwa pernyataan tercantum dalam urutan yang berbeda dari yang dimasukkan. Kami akan menggunakan perintah show akses-daftar untuk memahami logika di balik ini.

Seperti yang ditunjukkan pada Gambar 2, perintah daftar akses-daftar menampilkan ACE bersama dengan nomor urut mereka. Kita mungkin mengharapkan urutan pernyataan dalam output mencerminkan urutan masuknya mereka. Namun, keluaran daftar akses-acara menunjukkan bahwa ini bukan masalahnya.

Urutan daftar ACE standar adalah urutan yang digunakan oleh IOS untuk memproses daftar. Perhatikan bahwa pernyataan dikelompokkan menjadi dua bagian, pernyataan host diikuti oleh pernyataan jangkauan. Nomor urut menunjukkan urutan bahwa pernyataan itu dimasukkan, bukan urutan pernyataan akan diproses.

Pernyataan tuan rumah didaftar pertama tetapi tidak harus dalam urutan yang dimasukkan. IOS menempatkan pernyataan host dalam urutan menggunakan fungsi hashing khusus. Urutan yang dihasilkan mengoptimalkan pencarian entri ACL host. Pernyataan rentang ditampilkan setelah pernyataan tuan rumah. Pernyataan-pernyataan ini tercantum dalam urutan di mana mereka dimasukkan.

Catatan: Fungsi hashing hanya diterapkan pada pernyataan host dalam daftar akses standar IPv4. Rincian fungsi hashing berada di luar cakupan kursus ini.

Ingat bahwa ACL standar dan bernomor dapat diedit menggunakan nomor urut. Saat memasukkan pernyataan ACL baru, nomor urut hanya akan mempengaruhi lokasi pernyataan rentang dalam daftar. Pernyataan host akan selalu diurutkan menggunakan fungsi hashing.

Melanjutkan dengan contoh, setelah menyimpan konfigurasi berjalan, router dimuat ulang. Seperti yang ditunjukkan pada Gambar 2, perintah daftar akses-daftar menampilkan ACL dalam urutan yang sama, namun pernyataan telah dinomori ulang. Nomor urut sekarang dalam urutan numerik.



Routing Processes and ACLs
Ketika sebuah paket tiba di antarmuka router, proses router adalah sama, apakah ACL digunakan atau tidak. Ketika sebuah bingkai memasuki sebuah antarmuka, router memeriksa untuk melihat apakah alamat Layer 2 tujuan cocok dengan alamat Layer 2 interface-nya, atau apakah frame tersebut merupakan frame broadcast.

Jika alamat frame diterima, informasi frame dilucuti dan router memeriksa ACL pada antarmuka masuk. Jika ACL ada, paket diuji terhadap pernyataan dalam daftar.

Jika paket cocok dengan pernyataan, paket itu diizinkan atau ditolak. Jika paket diterima, maka akan diperiksa terhadap entri tabel routing untuk menentukan antarmuka tujuan. Jika entri tabel perutean ada untuk tujuan, paket tersebut kemudian dialihkan ke antarmuka keluar, jika tidak paket tersebut dijatuhkan.

Selanjutnya, router memeriksa apakah antarmuka keluar memiliki ACL. Jika ACL ada, paket diuji terhadap pernyataan dalam daftar.

Jika paket cocok dengan pernyataan, itu diizinkan atau ditolak.

Jika tidak ada ACL atau paket diizinkan, paket tersebut dienkapsulasi dalam protokol Layer 2 yang baru dan meneruskan antarmuka ke perangkat berikutnya.



Troubleshooting Standard IPv4 ACLs - Example 1
Menggunakan perintah show yang dijelaskan sebelumnya mengungkapkan sebagian besar kesalahan ACL yang lebih umum. Kesalahan yang paling umum adalah memasukkan ACE dalam urutan yang salah dan tidak menentukan aturan ACL yang memadai. Kesalahan umum lainnya termasuk menerapkan ACL menggunakan arah yang salah, antarmuka yang salah, atau alamat sumber yang salah.

Kebijakan Keamanan: PC2 seharusnya tidak dapat mengakses File Server.

Dalam Gambar 1, meskipun PC2 tidak dapat mengakses File Server, PC1 juga tidak. Saat melihat output dari perintah show-list access, hanya PC2 yang secara eksplisit ditolak. Namun, tidak ada pernyataan izin yang memungkinkan akses lain.

Solusi: Semua akses keluar antarmuka G0 / 0 ke LAN 192.168.30.0/24 saat ini secara implisit ditolak. Tambahkan pernyataan ke ACL 10 untuk mengizinkan semua lalu lintas lainnya, seperti yang ditunjukkan pada Gambar 2. PC1 sekarang harus dapat mengakses file server. Output dari perintah akses daftar-daftar memverifikasi bahwa ping dari PC1 ke File Server cocok dengan izin pernyataan apa pun.



Troubleshooting Standard IPv4 ACLs - Example 2
Kebijakan Keamanan: Jaringan 192.168.11.0/24 seharusnya tidak dapat mengakses jaringan 192.168.10.0/24.

Pada Gambar 1, PC2 tidak dapat mengakses PC1. Juga tidak dapat mengakses Internet melalui R2. Saat melihat output dari perintah show access-list, Anda dapat melihat bahwa PC2 cocok dengan pernyataan tolak. ACL 20 tampaknya dikonfigurasi dengan benar. Anda menduga bahwa itu harus diterapkan secara tidak benar dan melihat konfigurasi antarmuka untuk R1

Pada Gambar 2, perintah show run difilter untuk melihat konfigurasi antarmuka mengungkapkan bahwa ACL 20 diterapkan pada antarmuka yang salah dan ke arah yang salah. Semua lalu lintas dari 192.168.11.0/24 ditolak akses masuk melalui antarmuka G0 / 1.

Solusi: Untuk memperbaiki kesalahan ini, hapus ACL 20 dari antarmuka G0 / 1 dan terapkan keluar pada antarmuka G0 / 0, seperti yang ditunjukkan pada Gambar 3. PC2 tidak dapat mengakses PC1, tetapi sekarang dapat mengakses Internet.



Troubleshooting Standard IPv4 ACLs - Example 3
Kebijakan Keamanan: Hanya PC1 yang diizinkan akses jarak jauh SSH ke R1.

Pada Gambar 1, PC1 tidak dapat mengakses R1 dari jarak jauh menggunakan koneksi SSH. Melihat bagian konfigurasi yang sedang berjalan untuk jalur VTY mengungkapkan bahwa ACL bernama PC1-SSH diterapkan dengan benar untuk koneksi masuk. Jalur VTY dikonfigurasikan dengan benar untuk hanya mengizinkan koneksi SSH. Dari output perintah show access-list, Anda melihat bahwa alamat IPv4 adalah antarmuka G0 / 0 untuk R1, bukan alamat IPv4 PC1. Juga, perhatikan bahwa administrator mengkonfigurasi secara eksplisit menolak pernyataan apa pun di ACL. Ini membantu karena, dalam situasi ini, Anda akan melihat kecocokan untuk usaha yang gagal untuk mengakses R1 dari jarak jauh.

Solusi: Gambar 2 menunjukkan proses untuk memperbaiki kesalahan. Karena pernyataan yang perlu diperbaiki adalah pernyataan pertama, kami menggunakan urutan nomor 10 untuk menghapusnya dengan memasukkan no 10. Kami kemudian mengkonfigurasi alamat IPv4 yang benar untuk PC1. Perintah penghitung daftar akses yang jelas mengatur ulang output untuk hanya menampilkan kecocokan baru. Upaya dari PC2 untuk mengakses R1 dari jarak jauh berhasil, seperti yang ditunjukkan pada output untuk perintah show-daftar akses.



FTP Denied

FTP Denied

Skenario

Baru-baru ini dilaporkan bahwa virus sedang meningkat dalam jaringan bisnis kecil hingga menengah Anda. Administrator jaringan Anda telah melacak kinerja jaringan dan telah menentukan bahwa satu host tertentu secara konstan mengunduh file dari server FTP jarak jauh. Tuan rumah ini mungkin saja sumber virus yang bertahan di seluruh jaringan!

Gunakan Pelacak Paket untuk menyelesaikan aktivitas ini. Tulis nama ACL untuk menolak akses host ke server FTP. Terapkan ACL ke antarmuka paling efektif pada router.

Untuk menyelesaikan topologi fisik, Anda harus menggunakan:

Satu stasiun host PC
Dua sakelar
Satu Router Layanan Terpadu Cisco 1941 series
Satu server
Dengan menggunakan alat teks Paket Tracer, catat ACL yang Anda siapkan. Validasi bahwa ACL berfungsi untuk menolak akses ke server FTP dengan mencoba mengakses alamat server FTP. Amati apa yang terjadi saat dalam mode simulasi.

Simpan file Anda dan bersiaplah untuk membagikannya dengan siswa lain, atau dengan seluruh kelas.

Kegiatan Kelas - Instruksi FTP Ditolak

Komentar

Posting Komentar

Postingan populer dari blog ini

Latihan Cisco Packet Tracer 6.3.1.8

-
Gambar
Assalamualaikum Warahmatullahi Wabarakatuh Halo, selamat pagi:") Dalam blog kali ini saya akan berbagi cerita mengenai kegiatan kami dalam mengerjakan soal cisco packet tracer 6.3.1.8 pada saat sudah login ke packet tracer terlebih dahulu kita harus mengisi user, pada saat belum dikerjakan, gambar topologi nya masih natural/belum ter koneksi antara perangkat satu dengan perangkat lainnya.  seperti di bawah ini: setelah itu mulai mengerjakan tugas dengan mengikuti langkah-langkah yang sudah tertera. Sebelum menyambungkan antar perangkat menggunakan kabel, kita harus mengisi port-port pada router dan switch. Setelah itu baru lah kita menyambungkan perangkat menggunakan kabel dengan panduan langkah-langkah dari modul. Setelah semuanya tersambung kita akan memulai konfigurasi pada router east, dan hasil nya seperti di bawah ini. Jika semua tugas telah selesai dan telah dikerjakan dengan baik maka anda akan memperoleh nilai yang sudah di tentukan. ...
Baca selengkapnya

Latihan Cisco Packet Tracer

-
Gambar
Assalamualaikum Warahmatullahi Wabarakatuh Nah, dalam blog kali ini saya akan membagikan kegiatan-kegiatan kami hari ini. Setelah selesai membahas materi di Chapter 5, kami melanjutkan nya dengan mengerjakan soal-soal latihan yang ada di Cisco Packet Tracer.  Sekitar pukul 10 siang kami mengerjakan soal latihan 5.3.1.3 gambar nya di bawah ini ya Sehabis zuhur kami memutuskan untuk melanjutkan membahas materi di Chapter 5 dan setelah selesai kami mengerjakan soal latihan di cisco packet tracer 5.3.2.8 Nah, contoh soal-soal latihan yang kami kerjakan sudah ada diatas ya. Kami mengerjakannya dengan menggunakan bantuan langkah-langkah mengerjakan nya, bisa dilihat kotak putih yang ada disebelah topologi ya. Kotak tersebut berisi langkah-langkah mengerjakan soal latihan.  Demikian cerita dari saya hari ini, semoga bermanfaat Wassalamualaikum Warahmatullahi Wabarakatuh
Baca selengkapnya

RESUME CHAPTER 8 SUBNETTING IP NETWORK

-
Gambar
CHAPTER 8: SUBNETTING IP NETWORKS Broadcast Domains Dalam Ethernet LAN, perangkat menggunakan siaran untuk mencari: Perangkat lain - Perangkat menggunakan Address Resolution Protocol (ARP) yang mengirimkan siaran Layer 2 ke alamat IPv4 yang dikenal di jaringan lokal untuk menemukan alamat MAC terkait. Layanan - Host biasanya mendapatkan konfigurasi alamat IPv4 menggunakan Dynamic Host Configuration Protocol (DHCP) yang mengirimkan siaran di jaringan lokal untuk menemukan server DHCP. Switch menyebarkan siaran keluar semua antarmuka kecuali antarmuka yang diterima. Misalnya, jika sebuah saklar dalam gambar menerima siaran, itu akan meneruskannya ke switch lain dan pengguna lain yang terhubung dalam jaringan. Router tidak menyebarkan siaran. Ketika router menerima siaran, itu tidak meneruskannya keluar dari antarmuka lain. Misalnya, ketika R1 menerima siaran pada antarmuka Gigabit Ethernet 0/0, itu tidak meneruskan antarmuka lain. Oleh karena itu, setiap antarmuka ro...
Baca selengkapnya