Add to collection(s) Add to saved
  1. No category
Uploaded by User55397

ACCESS CONTROL LISTS

advertisement 
ACCESS CONTROL LISTS
Operasi Standar dan Tinjauan Konfigurasi ACL
Administrator dapat mengontrol lalu lintas jaringan berdasarkan sejumlah karakteristik, termasuk
port TCP yang diminta. Lebih mudah untuk memahami bagaimana ACL menyaring lalu lintas dengan
memeriksa dialog yang terjadi selama percakapan TCP, seperti ketika meminta halaman web.
Ketika klien meminta data dari server web, IP mengelola komunikasi antara PC (sumber) dan server
(tujuan). TCP mengelola komunikasi antara browser web (aplikasi) dan perangkat lunak server jaringan.
Segmen TCP ditandai dengan flag yang menunjukkan tujuannya: sebuah SYN memulai
(menyinkronkan) sesi; ACK adalah pengakuan bahwa segmen yang diharapkan telah diterima, dan FIN
menyelesaikan sesi. SYN / ACK mengakui bahwa transfer disinkronkan. Segmen data TCP termasuk protokol
tingkat yang lebih tinggi yang diperlukan untuk mengarahkan data aplikasi ke aplikasi yang benar.
Ada dua jenis ACL Cisco IPv4 adalah standar dan diperluas.
ACL standar dapat digunakan untuk mengizinkan atau menolak lalu lintas hanya dari alamat IPv4
sumber. Tujuan paket dan port yang terlibat tidak dievaluasi. ACL standar dibuat dalam mode konfigurasi
global.
Paket ACL filter IPv4 yang diperluas berdasarkan pada beberapa atribut:






Jenis protokol
Sumber alamat IPv4
Alamat IPv4 tujuan
Sumber port TCP atau UDP
Port TCP atau UDP tujuan
Informasi jenis protokol opsional untuk kontrol yang lebih baik
ACL standar dan yang diperpanjang dapat dibuat menggunakan nomor atau nama untuk mengidentifikasi
ACL dan daftar pernyataannya.
Menggunakan ACL bernomor adalah metode yang efektif untuk menentukan tipe ACL pada jaringan yang
lebih kecil dengan lalu lintas yang lebih homogen. Namun, sejumlah tidak memberikan informasi tentang
tujuan ACL. Untuk alasan ini, nama dapat digunakan untuk mengidentifikasi Cisco ACL.
Gambar tersebut merangkum aturan yang harus diikuti untuk menunjuk ACL bernomor dan bernama ACL.
Dimana harus menempatkan ACL?
Setiap ACL harus ditempatkan di tempat yang memiliki dampak terbesar pada efisiensi. Seperti yang
ditunjukkan pada gambar, aturan dasarnya adalah:
 Perpanjangan ACL - Temukan ACL yang dipanjangkan sedekat mungkin dengan sumber lalu lintas yang
akan difilter. Dengan cara ini, lalu lintas yang tidak diinginkan ditolak dekat dengan jaringan sumber
tanpa melintasi infrastruktur jaringan.
 ACL Standar - Karena ACL standar tidak menentukan alamat tujuan, tempatkan mereka sedekat
mungkin dengan tujuan. Jika ACL standar ditempatkan di sumber lalu lintas, "izin" atau "penolakan"
akan terjadi berdasarkan alamat sumber yang diberikan di mana pun lalu lintas itu ditakdirkan.
Penempatan ACL dan karenanya, tipe ACL yang digunakan, juga dapat bergantung pada berbagai faktor:
 Tingkat kendali administrator jaringan - Penempatan ACL dapat bergantung pada apakah
administrator jaringan memiliki kendali terhadap jaringan sumber dan tujuan.
 Bandwidth dari jaringan yang terlibat - Memfilter lalu lintas yang tidak diinginkan pada sumbernya
mencegah transmisi lalu lintas sebelum mengkonsumsi bandwidth pada jalur ke tujuan. Ini sangat
penting dalam jaringan bandwidth rendah.
 Kemudahan konfigurasi - Jika administrator jaringan ingin menolak lalu lintas yang datang dari
beberapa jaringan, satu opsi adalah menggunakan ACL standar tunggal pada router yang paling dekat
dengan tujuan. Kerugiannya adalah bahwa lalu lintas dari jaringan ini akan menggunakan bandwidth
secara tidak perlu. ACL yang diperluas dapat digunakan pada setiap router tempat lalu lintas berasal.
Ini akan menghemat bandwidth dengan menyaring lalu lintas di sumbernya, tetapi membutuhkan
pembuatan ACL tambahan pada beberapa router.
Catatan : Untuk sertifikasi CCNA, aturan umumnya adalah bahwa ACL yang diperluas ditempatkan sedekat mungkin
dengan sumber dan ACL standar ditempatkan sedekat mungkin ke tujuan.
Perpanjangan ACL IPv4
Untuk kontrol penyaringan lalu lintas yang lebih tepat, ACL IPv4 yang diperpanjang dapat dibuat. ACL
yang diperluas diberi nomor 100 hingga 199 dan 2000 hingga 2699, memberikan total 799 kemungkinan ACL
yang diperpanjang. ACL yang diperpanjang juga bisa dinamai.
ACL yang diperpanjang digunakan lebih sering daripada ACL standar karena ACL memberikan tingkat
kontrol yang lebih besar. Seperti yang ditunjukkan pada gambar, seperti ACL standar, ACL diperpanjang
memiliki kemampuan untuk memeriksa alamat sumber paket, tetapi mereka juga memiliki kemampuan untuk
memeriksa alamat tujuan, protokol, dan nomor port (atau layanan). Ini memberikan lebih banyak kriteria yang
menjadi dasar ACL. Misalnya, satu ACL yang diperluas dapat memungkinkan lalu lintas email dari jaringan ke
tujuan tertentu sambil menolak transfer file dan penelusuran web.
ACL yang diperpanjang dapat menyaring :
 Alamat sumber
 Alamat tujuan
 Protokol
 Port Number
Kemampuan untuk memfilter pada protokol dan nomor port memungkinkan administrator jaringan untuk
membangun ACL yang sangat spesifik. Aplikasi dapat ditentukan dengan mengkonfigurasi nomor port atau
nama port yang terkenal.
Untuk menerapkan ACL ke antarmuka, pertama-tama pertimbangkan apakah lalu lintas yang akan difilter
masuk atau keluar. Ketika pengguna di LAN internal mengakses situs web di Internet, lalu lintas adalah lalu
lintas yang keluar ke Internet. Ketika pengguna internal menerima email dari Internet, lalu lintas masuk ke
router lokal. Namun, ketika menerapkan ACL ke antarmuka, masuk dan keluar memiliki arti yang berbeda. Dari
pertimbangan ACL, masuk dan keluar mengacu pada antarmuka router.
Dalam topologi pada gambar, R1 memiliki tiga antarmuka. Ini memiliki antarmuka serial, S0 / 0/0, dan dua
antarmuka Gigabit Ethernet, G0 / 0 dan G0 / 1. Ingatlah bahwa ACL yang diperluas biasanya diterapkan dekat
dengan sumber. Dalam topologi ini antarmuka yang paling dekat dengan sumber lalu lintas target adalah
antarmuka G0 / 0.
Lalu lintas permintaan web dari pengguna pada LAN 192.168.10.0/24 terhubung ke antarmuka G0 / 0.
Mengembalikan lalu lintas dari koneksi yang ada ke pengguna di LAN keluar dari antarmuka G0 / 0. Contoh ini
menerapkan ACL ke antarmuka G0 / 0 di kedua arah. ACL masuk, 103, memeriksa jenis lalu lintas. ACL
outbound, 104, memeriksa lalu lintas kembali dari koneksi yang ada. Ini akan membatasi akses Internet
192.168.10.0 untuk memungkinkan hanya penelusuran situs web.
Catatan : Daftar akses bisa diterapkan pada antarmuka S0 / 0/0 tetapi dalam kasus itu, proses ACL router harus memeriksa
semua paket yang memasuki router, tidak hanya lalu lintas ke dan dari 192.168.11.0. Ini akan menyebabkan pemrosesan
yang tidak perlu oleh router.
Setelah ACL dikonfigurasikan dan diterapkan pada antarmuka, gunakan perintah Cisco IOS show
untuk memverifikasi konfigurasi. Contoh teratas menunjukkan perintah Cisco IOS yang digunakan untuk
menampilkan konten semua ACL. Contoh di bawah menunjukkan hasil mengeluarkan perintah show ip
interface g0 / 0 pada router R1.
Tidak seperti ACL standar, ACL tambahan tidak menerapkan logika dan fungsi hashing internal yang
sama. Output dan nomor urut yang ditampilkan dalam perintah show-list keluaran adalah urutan di mana
pernyataan dimasukkan. Entri host tidak secara otomatis terdaftar sebelum entri range.
Perintah show ip interface digunakan untuk memverifikasi ACL pada antarmuka dan arah
penerapannya. Output dari perintah ini termasuk nomor atau nama daftar akses dan arah penerapan ACL.
Nama ACL dengan huruf besar BROWSING dan SURFING menonjol pada output layar.
Setelah konfigurasi ACL diverifikasi, langkah selanjutnya adalah mengonfirmasi bahwa ACL berfungsi
sesuai rencana; memblokir dan mengizinkan lalu lintas seperti yang diharapkan.
Pedoman yang dibahas sebelumnya di bagian ini, menyarankan bahwa ACL harus dikonfigurasikan pada
jaringan uji dan kemudian diimplementasikan pada jaringan produksi.
ACL yang diperpanjang dapat diedit dengan salah satu dari dua cara:
 Metode 1 Editor teks - Menggunakan metode ini, ACL disalin dan ditempelkan ke editor teks tempat
perubahan dilakukan. Daftar akses saat ini dihapus menggunakan perintah no access-list . ACL yang
dimodifikasi kemudian ditempelkan kembali ke dalam konfigurasi.
 Metode 2 Nomor urut - Nomor urut dapat digunakan untuk menghapus atau menyisipkan
pernyataan ACL. Perintah ip access-list extended digunakan untuk memasuki mode konfigurasi
bernama-ACL. Jika ACL diberi nomor alih-alih dinamai, nomor ACL digunakan dalam parameter nama .
ACE dapat dimasukkan atau dihapus.
Pada gambar administrator perlu mengedit ACL bernama SURFING untuk memperbaiki kesalahan ketik pada
pernyataan jaringan sumber. Untuk melihat nomor urut saat ini, perintah show access-lists digunakan.
Pernyataan yang akan diedit diidentifikasi sebagai pernyataan 10. Pernyataan asli dihapus dengan perintah no
sequence_ # . Pernyataan yang dikoreksi ditambahkan menggantikan pernyataan yang asli.
ACL IPv6




ACL IPv6 mirip dengan ACL IPv4 dalam pengoperasian dan konfigurasi. Menjadi akrab dengan daftar
akses IPv4 membuat ACv IPv6 mudah dipahami dan dikonfigurasi.
Dalam IPv4 ada dua jenis ACL, standar dan diperluas. Kedua jenis ACL dapat diberi nomor atau
bernama ACL.
Dengan IPv6, hanya ada satu jenis ACL, yang setara dengan perpanjangan IPv4 bernama ACL. Tidak
ada ACL bernomor di IPv6.
IPv4 ACL dan IPv6 ACL tidak dapat berbagi nama yang sama.
Meskipun IPv4 dan IPv6 ACL serupa, ada tiga perbedaan signifikan di antara mereka:

Perbedaan pertama adalah perintah yang digunakan untuk menerapkan IPv6 ACL ke antarmuka. IPv4
menggunakan perintah ip access-group untuk menerapkan IPv4 ACL ke antarmuka IPv4. IPv6
menggunakan perintah traffic-filter ipv6 untuk melakukan fungsi yang sama untuk antarmuka IPv6.

Tidak seperti IPv4 ACL, IPv6 ACL tidak menggunakan topeng wildcard. Sebaliknya, panjang awalan
digunakan untuk menunjukkan seberapa banyak sumber atau alamat IPv6 yang harus dicocokkan.

Perbedaan besar terakhir harus dengan penambahan dua pernyataan izin implisit di akhir setiap daftar
akses IPv6. Pada akhir setiap standar IPv4 atau ACL yang diperluas, Anda dapat deny any atau deny ip
any any secara implisit . IPv6 mencakup deny ipv6 any any serupa dengan pernyataan apa pun di akhir
setiap IPv6 ACL. Perbedaannya adalah IPv6 juga mencakup dua pernyataan implisit lainnya secara
default: permit icmp any any nd-na dan permit icmp any any nd-na.
Kedua pernyataan ini memungkinkan router untuk berpartisipasi dalam IPv6 yang setara dengan ARP
untuk IPv4. Ingat bahwa ARP digunakan dalam IPv4 untuk menyelesaikan alamat Layer 3 ke alamat MAC
Layer 2. Seperti yang ditunjukkan pada gambar, IPv6 menggunakan pesan ICMP Neighbor Discovery (ND)
untuk mencapai hal yang sama. ND menggunakan pesan Neighbor Solicitation (NS) dan Neighbor
Advertising (NA).

Pesan ND dirangkum dalam paket IPv6 dan membutuhkan layanan dari lapisan jaringan IPv6
sementara ARP untuk IPv4 tidak menggunakan Lapisan 3. Karena IPv6 menggunakan layanan Layer 3 untuk
penemuan tetangga, IPv6 ACL perlu secara implisit mengizinkan paket ND untuk dikirim dan diterima pada
antarmuka. Khususnya, baik pesan Neighbor Discovery - Neighbor Advertising (nd-na) dan Neighbor Discovery
- Neighbor Discovery (nd-ns) diizinkan.
Perintah yang digunakan untuk memverifikasi daftar akses IPv6 mirip dengan yang digunakan untuk
IPv4 ACL. Dengan menggunakan perintah ini, daftar akses IPv6 RESTRICTED-ACCESS yang dikonfigurasi
sebelumnya dapat diverifikasi. Output mengonfirmasi bahwa RESTRICTED-ACCESS ACL dikonfigurasikan masuk
pada antarmuka G0 / 0.
Perintah daftar akses daftar menampilkan semua daftar akses pada router termasuk IPv4 dan IPv6
ACL. Perhatikan bahwa dengan IPv6 ACL nomor urut terjadi di akhir pernyataan dan bukan di awal seperti
dengan daftar akses IPv4. Meskipun pernyataan muncul dalam urutan yang dimasukkan, mereka tidak selalu
bertambah dengan 10. Ini karena pernyataan pernyataan yang dimasukkan menggunakan nomor urut tetapi
tidak ditampilkan dalam output dari perintah show access-lists.
Mirip dengan ACL yang diperluas untuk IPv4, daftar akses IPv6 ditampilkan dan diproses dalam urutan
pernyataan dimasukkan. Ingat, IPL4 standar ACL menggunakan logika internal yang mengubah urutan dan
urutan pemrosesan mereka.
Output dari perintah show running-config mencakup semua ACE dan pernyataan pernyataan.
Pernyataan komentar dapat datang sebelum atau setelah mengizinkan atau menolak pernyataan tetapi harus
konsisten dalam penempatannya.
Ketika sebuah paket tiba di antarmuka router, proses router adalah sama, apakah ACL digunakan atau
tidak. Saat sebuah bingkai memasuki sebuah antarmuka, router memeriksa untuk melihat apakah alamat Layer
2 tujuan cocok dengan alamat Layer 2 interface-nya, atau apakah frame tersebut merupakan frame broadcast.
Jika alamat frame diterima, informasi frame dihapus dan router memeriksa ACL pada antarmuka
masuk. Jika ACL ada, paket diuji terhadap pernyataan dalam daftar.
Jika paket cocok dengan pernyataan, paket itu diizinkan atau ditolak. Jika paket diterima, maka akan
diperiksa terhadap entri tabel routing untuk menentukan antarmuka tujuan. Jika entri tabel perutean ada
untuk tujuan, paket tersebut kemudian dialihkan ke antarmuka keluar, jika tidak paket dijatuhkan.
Selanjutnya, router memeriksa apakah antarmuka keluar memiliki ACL. Jika ACL ada, paket diuji
terhadap pernyataan dalam daftar.
Jika paket cocok dengan pernyataan, itu diizinkan atau ditolak. Jika tidak ada ACL atau paket diizinkan,
paket tersebut dienkapsulasi dalam protokol Layer 2 yang baru dan meneruskan antarmuka ke perangkat
berikutnya.
Related documents
ACL
ACL
RSPAD GATOT SOEBROTO DITESAD SOP PEMBERIAN TERAPI
RSPAD GATOT SOEBROTO DITESAD SOP PEMBERIAN TERAPI
Stetoskop Wireless dengan Output Grafik dan Suara Tamppil
Stetoskop Wireless dengan Output Grafik dan Suara Tamppil
Blue Border
Blue Border
Pedoman Penulisan TA SI_KA SEPT 2006
Pedoman Penulisan TA SI_KA SEPT 2006
RANCANG BANGUN PROXY SERVER DAN ANALISIS
RANCANG BANGUN PROXY SERVER DAN ANALISIS
Proxy Server
Proxy Server
DESAIN SISTEM
DESAIN SISTEM
Proxy Server - Dahlan Abdullah
Proxy Server - Dahlan Abdullah
Proxy Server
Proxy Server
Download
advertisement