Cisco Router mengunakan metode yang disebut “packet filter” untuk mengatur akses lalulin- tas data melewati router. Paket-paket
data yang datang ke router difilter (disaring) untuk menentukan paket
data mana yang akan ditolak dan paket data mana yang akan diteruskan ke
suatu alamat jaringan (network address) atau ke suatu alamat komputer
(host address) tertentu.
Metode paket filter yang dipakai oleh Cisco Router menggunakan daftar akses yang berfungsi sebagai berikut :
- Setiap paket data yang diterima oleh router dicocokkan dengan isi daftar akses yang diterapkan pada router interface baris per baris
- Bila ditemukan suatu baris yang cocok, maka paket data tersebut diteruskan atau ditolak berdasarkan perintah dari baris tersebut
- Jika tidak ada baris yang cocok, perlu diketahui bahwa semua daftar akses list jika dibuat, secara otomatis akan diakhiri dengan perintah ?implicit deny? yang berarti jika ijin tidak disebutkan secara khusus dalam daftar akses maka paket akan ditolak
Daftar akses tergantung pada jenis protokol jaringan
yang dipakai dan penggunaannya ter- diri atas beberapa tipe yang
ditandai dari nomor daftar akses yang dipakai seperti terlihat pada
tabel dibawah ini:
Daftar akses IP Standart (Standard IP Access Lists)
menggunakan alamat pengirim (source address) paket dalam pembuatan
daftart aksesnya. Untuk membuat daftar IP akses standar, dari global
configuration mode:
Router(config)#access-list <nomor daftar akses IP standar> <permit / deny> <source address> <wildcard mask>
Dimana:
•Nomor daftar akses IP standar adalah 1 sampai 99
•Permit atau Deny adalah parameter untuk mengijinkan atau menolak
•Source address adalah alamat pengirim atau asal
•Wildcard
mask adalah selubung yang digunakan untuk memungkinkan penerimaan atau
penolakan suatu IP address atau kelompok dari sejumlah IP address
Seperti pada gambar percobaan dibawah ini (sama seperti gambar sebelumnya):
gambar jaringan
Jika ingin mengijinkan semua host dari network
192.168.6.0 mengakses ke network 192.168.1.0 di Router1. Maka untuk
membuat daftar aksesnya adalah seperti berikut :
Router1(config)#access-list 10 permit 192.168.6.0 0.255.255.255
Daftar akses ini mengijinkan semua host dengan network ID 192.168.6.0. Pada wildcard
mask yang digunakan yaitu: 0.255.255.255 atau angka
biner 00000000.11111111.11111111.11111111. Bit 0 dari wildcard mask
memerintahkan router untuk membandingkan posisi IP address
suatu paket dengan source address daftar akses,
dalam hal ini 192.168.6.0. Jika address den- gan bit 0 semua cocok, maka
daftar akses berlaku untuk paket tersebut. Sedangkan bit 1 dari
wildcard mask memerintahkan router untuk mengabaikan bit yang
bersesuaian dengan IP address tersebut. Jadi dalam hal ini, bila network
ID paket adalah 192.168.6.0, maka daftar akses berlaku untuk paket
tersebut untuk host ID apa saja, karena hanya network ID dari IP Address
yang dibandingkan.
Jika sekarang diberikan ijin hanya kepada satu
workstation dengan IP address 192.168.6.1 dari network 192.168.6.0 agar
dapat mengakses network 192.168.1.0 lewat Router1, maka daftar akses
dapat diketik sebagai berikut:
Router1(config)#access-list 10 permit 192.168.6.1 0.0.0.0
Daftar akses ini hanya mengijinkan satu IP address
192.168.6.1 karena wildcard mask 0.0.0.0 akan membandingkan seluruh IP
address dari source address paket.
Setelah pembuatan daftar akses selesai, daftar akses
yang telah terbuat tadi harus ditem- patkan pada suatu interface. Dalam
hal ini daftar akses dibuat untuk akses ke network 192.168.1.0 Router1,
interface fastethernet0. Untuk itu dari privileged mode, masuk ke
interface yang akan dipakai dan kemudian menerapkan daftar akses ke
interface tersebut dengan mengetikkan perintah:
Router1(config)#int fastethernet0Router1(config-if)#ip access-group 10 out
Perintah ini akan menerapkan daftar akses nomor 10 ke
interface fastethernet0 yang dip- ilih. Parameter “out” di akhir
perintah ip access-group 10, menandakan bahwa daftar akses berlaku untuk izin akses keluar dari interface fastethernet0, Router1.
Sedangkan parameter “in” digunakan untuk paket yang
masuk ke router interface. Jika in atau out tidak diketik, maka out
adalah sebagai default.
Penghapusan suatu daftar akses yang telah dibuat adalah dengan perintah:
Router(config)#noaccess-list 10
akan menghapus daftar akses nomor 10
Daftar Akses IP Extended
Daftar Akses IP Extended (Extended IP Access List)
lebih rumit dan memiliki lebih banyak parameter yang dapat diatur antara
lain: alamat pengirim (source address), alamat pener- ima (destination
address), port number, dan protokol seperti dibawah ini:
Router(config)#access-list <nomer daftar akses IP extended>
<permit/deny> <protocol> <source address> <wildcard mask>
<destination address> <wildcard mask> <operator> <informasi port>
Dimana:
- Nomor daftar akses IP extended adalah antara 100 sampai 199
- Permit atau Deny adalah parameter untuk menolak atau mengijinkan
- Protokol IP adalah seperti TCP, UDP, IXMP, dan
lain-lain - Source Address adalah alamat pengirim atau asal
- Destination Address adalah alamat penerima yang dituju
- Wildcard mask adalah selubung
- Operator adalah seperti eq(equal), lt(larger then), gt(greater then)
- Informasi Port berupa nomor port, dns, ftp, www, telnet, smtp dll
Misalnya diinginkan akses IP extended yang
mengijinkan ftp dari network 192.168.1.0 ke host dengan IP address
192.168.6.1. Daftar akses ini bisa dibuat dengan mengetikkan perintah:
Router3(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.6.1 0.0.0.0 eq ftp
Selanjutnya menerapkan access list yang telah dibuat ke interface Serial0/0 Router3:
Router3(config-if)#ip access-group 100 in
Daftar akses ini akan mengijinkan lalulintas ftp dari network 192.168.1.0 ke host dengan IP address 192.168.6.1.
next article >>> Kesimpulan Praktikum Cisco Network Router 2600 Series
next article >>> Kesimpulan Praktikum Cisco Network Router 2600 Series
Popular
Tags
Videos
0 komentar:
Posting Komentar