ACCESS CONTROL LISTS Operasi Standar dan Tinjauan Konfigurasi ACL Administrator dapat mengontrol lalu lintas jaringan berdasarkan sejumlah karakteristik, termasuk port TCP yang diminta. Lebih mudah untuk memahami bagaimana ACL menyaring lalu lintas dengan memeriksa dialog yang terjadi selama percakapan TCP, seperti ketika meminta halaman web. Ketika klien meminta data dari server web, IP mengelola komunikasi antara PC (sumber) dan server (tujuan). TCP mengelola komunikasi antara browser web (aplikasi) dan perangkat lunak server jaringan. Segmen TCP ditandai dengan flag yang menunjukkan tujuannya: sebuah SYN memulai (menyinkronkan) sesi; ACK adalah pengakuan bahwa segmen yang diharapkan telah diterima, dan FIN menyelesaikan sesi. SYN / ACK mengakui bahwa transfer disinkronkan. Segmen data TCP termasuk protokol tingkat yang lebih tinggi yang diperlukan untuk mengarahkan data aplikasi ke aplikasi yang benar. Ada dua jenis ACL Cisco IPv4 adalah standar dan diperluas. ACL standar dapat digunakan untuk mengizinkan atau menolak lalu lintas hanya dari alamat IPv4 sumber. Tujuan paket dan port yang terlibat tidak dievaluasi. ACL standar dibuat dalam mode konfigurasi global. Paket ACL filter IPv4 yang diperluas berdasarkan pada beberapa atribut: Jenis protokol Sumber alamat IPv4 Alamat IPv4 tujuan Sumber port TCP atau UDP Port TCP atau UDP tujuan Informasi jenis protokol opsional untuk kontrol yang lebih baik ACL standar dan yang diperpanjang dapat dibuat menggunakan nomor atau nama untuk mengidentifikasi ACL dan daftar pernyataannya. Menggunakan ACL bernomor adalah metode yang efektif untuk menentukan tipe ACL pada jaringan yang lebih kecil dengan lalu lintas yang lebih homogen. Namun, sejumlah tidak memberikan informasi tentang tujuan ACL. Untuk alasan ini, nama dapat digunakan untuk mengidentifikasi Cisco ACL. Gambar tersebut merangkum aturan yang harus diikuti untuk menunjuk ACL bernomor dan bernama ACL. Dimana harus menempatkan ACL? Setiap ACL harus ditempatkan di tempat yang memiliki dampak terbesar pada efisiensi. Seperti yang ditunjukkan pada gambar, aturan dasarnya adalah: Perpanjangan ACL - Temukan ACL yang dipanjangkan sedekat mungkin dengan sumber lalu lintas yang akan difilter. Dengan cara ini, lalu lintas yang tidak diinginkan ditolak dekat dengan jaringan sumber tanpa melintasi infrastruktur jaringan. ACL Standar - Karena ACL standar tidak menentukan alamat tujuan, tempatkan mereka sedekat mungkin dengan tujuan. Jika ACL standar ditempatkan di sumber lalu lintas, "izin" atau "penolakan" akan terjadi berdasarkan alamat sumber yang diberikan di mana pun lalu lintas itu ditakdirkan. Penempatan ACL dan karenanya, tipe ACL yang digunakan, juga dapat bergantung pada berbagai faktor: Tingkat kendali administrator jaringan - Penempatan ACL dapat bergantung pada apakah administrator jaringan memiliki kendali terhadap jaringan sumber dan tujuan. Bandwidth dari jaringan yang terlibat - Memfilter lalu lintas yang tidak diinginkan pada sumbernya mencegah transmisi lalu lintas sebelum mengkonsumsi bandwidth pada jalur ke tujuan. Ini sangat penting dalam jaringan bandwidth rendah. Kemudahan konfigurasi - Jika administrator jaringan ingin menolak lalu lintas yang datang dari beberapa jaringan, satu opsi adalah menggunakan ACL standar tunggal pada router yang paling dekat dengan tujuan. Kerugiannya adalah bahwa lalu lintas dari jaringan ini akan menggunakan bandwidth secara tidak perlu. ACL yang diperluas dapat digunakan pada setiap router tempat lalu lintas berasal. Ini akan menghemat bandwidth dengan menyaring lalu lintas di sumbernya, tetapi membutuhkan pembuatan ACL tambahan pada beberapa router. Catatan : Untuk sertifikasi CCNA, aturan umumnya adalah bahwa ACL yang diperluas ditempatkan sedekat mungkin dengan sumber dan ACL standar ditempatkan sedekat mungkin ke tujuan. Perpanjangan ACL IPv4 Untuk kontrol penyaringan lalu lintas yang lebih tepat, ACL IPv4 yang diperpanjang dapat dibuat. ACL yang diperluas diberi nomor 100 hingga 199 dan 2000 hingga 2699, memberikan total 799 kemungkinan ACL yang diperpanjang. ACL yang diperpanjang juga bisa dinamai. ACL yang diperpanjang digunakan lebih sering daripada ACL standar karena ACL memberikan tingkat kontrol yang lebih besar. Seperti yang ditunjukkan pada gambar, seperti ACL standar, ACL diperpanjang memiliki kemampuan untuk memeriksa alamat sumber paket, tetapi mereka juga memiliki kemampuan untuk memeriksa alamat tujuan, protokol, dan nomor port (atau layanan). Ini memberikan lebih banyak kriteria yang menjadi dasar ACL. Misalnya, satu ACL yang diperluas dapat memungkinkan lalu lintas email dari jaringan ke tujuan tertentu sambil menolak transfer file dan penelusuran web. ACL yang diperpanjang dapat menyaring : Alamat sumber Alamat tujuan Protokol Port Number Kemampuan untuk memfilter pada protokol dan nomor port memungkinkan administrator jaringan untuk membangun ACL yang sangat spesifik. Aplikasi dapat ditentukan dengan mengkonfigurasi nomor port atau nama port yang terkenal. Untuk menerapkan ACL ke antarmuka, pertama-tama pertimbangkan apakah lalu lintas yang akan difilter masuk atau keluar. Ketika pengguna di LAN internal mengakses situs web di Internet, lalu lintas adalah lalu lintas yang keluar ke Internet. Ketika pengguna internal menerima email dari Internet, lalu lintas masuk ke router lokal. Namun, ketika menerapkan ACL ke antarmuka, masuk dan keluar memiliki arti yang berbeda. Dari pertimbangan ACL, masuk dan keluar mengacu pada antarmuka router. Dalam topologi pada gambar, R1 memiliki tiga antarmuka. Ini memiliki antarmuka serial, S0 / 0/0, dan dua antarmuka Gigabit Ethernet, G0 / 0 dan G0 / 1. Ingatlah bahwa ACL yang diperluas biasanya diterapkan dekat dengan sumber. Dalam topologi ini antarmuka yang paling dekat dengan sumber lalu lintas target adalah antarmuka G0 / 0. Lalu lintas permintaan web dari pengguna pada LAN 192.168.10.0/24 terhubung ke antarmuka G0 / 0. Mengembalikan lalu lintas dari koneksi yang ada ke pengguna di LAN keluar dari antarmuka G0 / 0. Contoh ini menerapkan ACL ke antarmuka G0 / 0 di kedua arah. ACL masuk, 103, memeriksa jenis lalu lintas. ACL outbound, 104, memeriksa lalu lintas kembali dari koneksi yang ada. Ini akan membatasi akses Internet 192.168.10.0 untuk memungkinkan hanya penelusuran situs web. Catatan : Daftar akses bisa diterapkan pada antarmuka S0 / 0/0 tetapi dalam kasus itu, proses ACL router harus memeriksa semua paket yang memasuki router, tidak hanya lalu lintas ke dan dari 192.168.11.0. Ini akan menyebabkan pemrosesan yang tidak perlu oleh router. Setelah ACL dikonfigurasikan dan diterapkan pada antarmuka, gunakan perintah Cisco IOS show untuk memverifikasi konfigurasi. Contoh teratas menunjukkan perintah Cisco IOS yang digunakan untuk menampilkan konten semua ACL. Contoh di bawah menunjukkan hasil mengeluarkan perintah show ip interface g0 / 0 pada router R1. Tidak seperti ACL standar, ACL tambahan tidak menerapkan logika dan fungsi hashing internal yang sama. Output dan nomor urut yang ditampilkan dalam perintah show-list keluaran adalah urutan di mana pernyataan dimasukkan. Entri host tidak secara otomatis terdaftar sebelum entri range. Perintah show ip interface digunakan untuk memverifikasi ACL pada antarmuka dan arah penerapannya. Output dari perintah ini termasuk nomor atau nama daftar akses dan arah penerapan ACL. Nama ACL dengan huruf besar BROWSING dan SURFING menonjol pada output layar. Setelah konfigurasi ACL diverifikasi, langkah selanjutnya adalah mengonfirmasi bahwa ACL berfungsi sesuai rencana; memblokir dan mengizinkan lalu lintas seperti yang diharapkan. Pedoman yang dibahas sebelumnya di bagian ini, menyarankan bahwa ACL harus dikonfigurasikan pada jaringan uji dan kemudian diimplementasikan pada jaringan produksi. ACL yang diperpanjang dapat diedit dengan salah satu dari dua cara: Metode 1 Editor teks - Menggunakan metode ini, ACL disalin dan ditempelkan ke editor teks tempat perubahan dilakukan. Daftar akses saat ini dihapus menggunakan perintah no access-list . ACL yang dimodifikasi kemudian ditempelkan kembali ke dalam konfigurasi. Metode 2 Nomor urut - Nomor urut dapat digunakan untuk menghapus atau menyisipkan pernyataan ACL. Perintah ip access-list extended digunakan untuk memasuki mode konfigurasi bernama-ACL. Jika ACL diberi nomor alih-alih dinamai, nomor ACL digunakan dalam parameter nama . ACE dapat dimasukkan atau dihapus. Pada gambar administrator perlu mengedit ACL bernama SURFING untuk memperbaiki kesalahan ketik pada pernyataan jaringan sumber. Untuk melihat nomor urut saat ini, perintah show access-lists digunakan. Pernyataan yang akan diedit diidentifikasi sebagai pernyataan 10. Pernyataan asli dihapus dengan perintah no sequence_ # . Pernyataan yang dikoreksi ditambahkan menggantikan pernyataan yang asli. ACL IPv6 ACL IPv6 mirip dengan ACL IPv4 dalam pengoperasian dan konfigurasi. Menjadi akrab dengan daftar akses IPv4 membuat ACv IPv6 mudah dipahami dan dikonfigurasi. Dalam IPv4 ada dua jenis ACL, standar dan diperluas. Kedua jenis ACL dapat diberi nomor atau bernama ACL. Dengan IPv6, hanya ada satu jenis ACL, yang setara dengan perpanjangan IPv4 bernama ACL. Tidak ada ACL bernomor di IPv6. IPv4 ACL dan IPv6 ACL tidak dapat berbagi nama yang sama. Meskipun IPv4 dan IPv6 ACL serupa, ada tiga perbedaan signifikan di antara mereka: Perbedaan pertama adalah perintah yang digunakan untuk menerapkan IPv6 ACL ke antarmuka. IPv4 menggunakan perintah ip access-group untuk menerapkan IPv4 ACL ke antarmuka IPv4. IPv6 menggunakan perintah traffic-filter ipv6 untuk melakukan fungsi yang sama untuk antarmuka IPv6. Tidak seperti IPv4 ACL, IPv6 ACL tidak menggunakan topeng wildcard. Sebaliknya, panjang awalan digunakan untuk menunjukkan seberapa banyak sumber atau alamat IPv6 yang harus dicocokkan. Perbedaan besar terakhir harus dengan penambahan dua pernyataan izin implisit di akhir setiap daftar akses IPv6. Pada akhir setiap standar IPv4 atau ACL yang diperluas, Anda dapat deny any atau deny ip any any secara implisit . IPv6 mencakup deny ipv6 any any serupa dengan pernyataan apa pun di akhir setiap IPv6 ACL. Perbedaannya adalah IPv6 juga mencakup dua pernyataan implisit lainnya secara default: permit icmp any any nd-na dan permit icmp any any nd-na. Kedua pernyataan ini memungkinkan router untuk berpartisipasi dalam IPv6 yang setara dengan ARP untuk IPv4. Ingat bahwa ARP digunakan dalam IPv4 untuk menyelesaikan alamat Layer 3 ke alamat MAC Layer 2. Seperti yang ditunjukkan pada gambar, IPv6 menggunakan pesan ICMP Neighbor Discovery (ND) untuk mencapai hal yang sama. ND menggunakan pesan Neighbor Solicitation (NS) dan Neighbor Advertising (NA). Pesan ND dirangkum dalam paket IPv6 dan membutuhkan layanan dari lapisan jaringan IPv6 sementara ARP untuk IPv4 tidak menggunakan Lapisan 3. Karena IPv6 menggunakan layanan Layer 3 untuk penemuan tetangga, IPv6 ACL perlu secara implisit mengizinkan paket ND untuk dikirim dan diterima pada antarmuka. Khususnya, baik pesan Neighbor Discovery - Neighbor Advertising (nd-na) dan Neighbor Discovery - Neighbor Discovery (nd-ns) diizinkan. Perintah yang digunakan untuk memverifikasi daftar akses IPv6 mirip dengan yang digunakan untuk IPv4 ACL. Dengan menggunakan perintah ini, daftar akses IPv6 RESTRICTED-ACCESS yang dikonfigurasi sebelumnya dapat diverifikasi. Output mengonfirmasi bahwa RESTRICTED-ACCESS ACL dikonfigurasikan masuk pada antarmuka G0 / 0. Perintah daftar akses daftar menampilkan semua daftar akses pada router termasuk IPv4 dan IPv6 ACL. Perhatikan bahwa dengan IPv6 ACL nomor urut terjadi di akhir pernyataan dan bukan di awal seperti dengan daftar akses IPv4. Meskipun pernyataan muncul dalam urutan yang dimasukkan, mereka tidak selalu bertambah dengan 10. Ini karena pernyataan pernyataan yang dimasukkan menggunakan nomor urut tetapi tidak ditampilkan dalam output dari perintah show access-lists. Mirip dengan ACL yang diperluas untuk IPv4, daftar akses IPv6 ditampilkan dan diproses dalam urutan pernyataan dimasukkan. Ingat, IPL4 standar ACL menggunakan logika internal yang mengubah urutan dan urutan pemrosesan mereka. Output dari perintah show running-config mencakup semua ACE dan pernyataan pernyataan. Pernyataan komentar dapat datang sebelum atau setelah mengizinkan atau menolak pernyataan tetapi harus konsisten dalam penempatannya. Ketika sebuah paket tiba di antarmuka router, proses router adalah sama, apakah ACL digunakan atau tidak. Saat sebuah bingkai memasuki sebuah antarmuka, router memeriksa untuk melihat apakah alamat Layer 2 tujuan cocok dengan alamat Layer 2 interface-nya, atau apakah frame tersebut merupakan frame broadcast. Jika alamat frame diterima, informasi frame dihapus dan router memeriksa ACL pada antarmuka masuk. Jika ACL ada, paket diuji terhadap pernyataan dalam daftar. Jika paket cocok dengan pernyataan, paket itu diizinkan atau ditolak. Jika paket diterima, maka akan diperiksa terhadap entri tabel routing untuk menentukan antarmuka tujuan. Jika entri tabel perutean ada untuk tujuan, paket tersebut kemudian dialihkan ke antarmuka keluar, jika tidak paket dijatuhkan. Selanjutnya, router memeriksa apakah antarmuka keluar memiliki ACL. Jika ACL ada, paket diuji terhadap pernyataan dalam daftar. Jika paket cocok dengan pernyataan, itu diizinkan atau ditolak. Jika tidak ada ACL atau paket diizinkan, paket tersebut dienkapsulasi dalam protokol Layer 2 yang baru dan meneruskan antarmuka ke perangkat berikutnya.