dropdown_menu

Kamis, 02 April 2026

Access List

 Access-list pada Cisco merupakan mekanisme filtering trafik yang digunakan untuk mengkontrol paket yang diizinkan permit atau ditolak deny saat melewati router atau switch Layer 3.

Access list bekerja dengan cara membandingkan informasi pada paket seperti source IP addressdestination IP address dan protocol terhadap rules yang telah dibuat secara berurutan dari atas kebawah. Ketika sebuah paket cocok dengan salah satu rule, maka aksi dari rule tersebut langsung diterapkan tanpa mengecek rule berikutnya.

Access list sering digunakan untuk meningkatkan keamanan jaringan, membatasi akses antar jaringan, serta mengontrol lalu lintas agar lebih efisien. Selain itu, access list juga dapat diterapkan pada interface (inbound atau outbound) maupun digunakan untuk keperluan lain seperti NAT dan routing policy.

Salah satu tipe access-list yang ada pada Cisco adalah Standard Access List

Standard Access List

Standard Access List adalah jenis access list yang melakukan filtering hanya berdasarkan pada source IP address. Karena sifatnya yang sederhana, standard ACL biasanya ditempatkan sedekat mungkin dengan tujuan (destination) agar tidak memblokir trafik yang seharusnya masih diperlukan di jalur lain.

Umumnya standard access list digunakan untuk:

  • Membatasi akses dari host atau network tertentu ke jaringan lain berdasarkan source IP address
  • Sebagai filter dasar pada konfigurasi seperti VTY access (remote login)
  • Source IP address yang akan digunakan NAT PAT

Konfigurasi Standard Access List dapat menggunakan dua cara berikut:

Menggunakan Number

Standard ACL dengan metode number menggunakan range nomor 1–99 atau extended range 1300–1999

Format perintah:

access-list <nomor> {permit | deny} <source-ip> <wildcard-mask>

Contoh:

access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny any

Penjelasan:

  • 10: nomor ACL
  • permit: mengizinkan packet dengan source IP address 192.168.1.0/24
  • deny any: menolak semua trafik lainnya (explicit deny)

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group 10 in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 ip access-class 10

Menggunakan Nama (name-based)

Named ACL menggunakan nama sebagai identifikasi sehingga lebih fleksibel dan mudah dibaca

Format perintah:

ip access-list standard <nama>
 permit <source-ip> <wildcard-mask>
 deny any

Contoh:

ip access-list standard BLOCK_LAN
 permit 192.168.1.0 0.0.0.255
 deny any

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group BLOCK_LAN in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 ip access-class BLOCK_SSH_FROM_OUTSIDE
Numbered ACL: lebih sederhana, cocok untuk konfigurasi cepat Named ACL: lebih fleksibel, bisa diedit (tambah/hapus rule tanpa hapus semua)

Extended Access List

Extended Access List adalah jenis access list yang melakukan filtering berdasarkan beberapa parameter sekaligus, seperti source IP address, destination IP address, protokol (TCP/UDP/ICMP), serta port number. Dengan kemampuan ini, extended ACL memberikan kontrol yang jauh lebih spesifik dibandingkan standard ACL.

Karena filtering yang dilakukan lebih detail, extended ACL biasanya ditempatkan sedekat mungkin dengan sumber (source) agar trafik yang tidak diinginkan dapat diblokir sejak awal dan tidak membebani jaringan.

Umumnya extended access list digunakan untuk:

  • Membatasi akses berdasarkan kombinasi source dan destination IP address
  • Mengontrol trafik berdasarkan protokol (TCP, UDP, ICMP, dll)
  • Melakukan filtering berdasarkan port number (misalnya HTTP, HTTPS, SSH)
  • Digunakan dalam skenario keamanan jaringan yang lebih kompleks
  • Digunakan pada konfigurasi seperti firewall sederhana dan NAT (misalnya menentukan trafik yang diizinkan untuk NAT)

Konfigurasi Extended Access List dapat menggunakan dua cara berikut:

Menggunakan Number

Extended ACL dengan metode number menggunakan range nomor 100–199 atau extended range 2000–2699

Format perintah:

access-list <nomor> {permit | deny} <protocol> <source-ip> <wildcard-mask> <destination-ip> <wildcard-mask> [operator port]

Contoh:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 deny ip any any

Penjelasan:

  • 100: nomor ACL
  • permit tcp: mengizinkan protokol TCP
  • 192.168.1.0 0.0.0.255: source network
  • any: destination (semua tujuan)
  • eq 80: hanya untuk port HTTP
  • deny ip any any: menolak semua trafik lainnya (explicit deny)

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group 100 in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 access-class 100 in

Menggunakan Nama (name-based)

Named Extended ACL menggunakan nama sebagai identifikasi sehingga lebih fleksibel dan mudah dibaca serta dapat diedit secara langsung (menambah atau menghapus rule tertentu tanpa menghapus seluruh ACL).

Format perintah:

ip access-list extended <nama>
 permit <protocol> <source-ip> <wildcard-mask> <destination-ip> <wildcard-mask> [operator port]
 deny ip any any

Contoh:

ip access-list extended WEB_ONLY
 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 deny ip any any

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group WEB_ONLY in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 access-class WEB_ONLY in
Numbered ACL: lebih sederhana, cocok untuk konfigurasi cepat Named ACL: lebih fleksibel, mudah dibaca, dan dapat diedit per rule tanpa menghapus keseluruhan konfigurasi

Extended Access List

Extended Access List adalah jenis access list yang melakukan filtering berdasarkan beberapa parameter sekaligus, seperti source IP address, destination IP address, protokol (TCP/UDP/ICMP), serta port number. Dengan kemampuan ini, extended ACL memberikan kontrol yang jauh lebih spesifik dibandingkan standard ACL.

Karena filtering yang dilakukan lebih detail, extended ACL biasanya ditempatkan sedekat mungkin dengan sumber (source) agar trafik yang tidak diinginkan dapat diblokir sejak awal dan tidak membebani jaringan.

Umumnya extended access list digunakan untuk:

  • Membatasi akses berdasarkan kombinasi source dan destination IP address
  • Mengontrol trafik berdasarkan protokol (TCP, UDP, ICMP, dll)
  • Melakukan filtering berdasarkan port number (misalnya HTTP, HTTPS, SSH)
  • Digunakan pada konfigurasi seperti firewall sederhana dan NAT (misalnya menentukan trafik yang diizinkan untuk NAT)

Konfigurasi Extended Access List dapat menggunakan dua cara berikut:

Menggunakan Number

Extended ACL dengan metode number menggunakan range nomor 100–199 atau extended range 2000–2699

Format perintah:

access-list <nomor> {permit | deny} <protocol> <source-ip> <wildcard-mask> <destination-ip> <wildcard-mask> [operator port]

Contoh:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 deny ip any any

Penjelasan:

  • 100: nomor ACL
  • permit tcp: mengizinkan protokol TCP
  • 192.168.1.0 0.0.0.255: source network
  • any: destination (semua tujuan)
  • eq 80: hanya untuk port HTTP
  • deny ip any any: menolak semua trafik lainnya (explicit deny)

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group 100 in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 access-class 100 in

Menggunakan Nama (name-based)

Named Extended ACL menggunakan nama sebagai identifikasi sehingga lebih fleksibel dan mudah dibaca serta dapat diedit secara langsung (menambah atau menghapus rule tertentu tanpa menghapus seluruh ACL).

Format perintah:

ip access-list extended <nama>
 permit <protocol> <source-ip> <wildcard-mask> <destination-ip> <wildcard-mask> [operator port]
 deny ip any any

Contoh:

ip access-list extended WEB_ONLY
 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 deny ip any any

Contoh penerapannya:

Filtering pada interface:

interface g0/0
 ip access-group WEB_ONLY in

Pada virtual line untuk Remote Access (SSH/Telnet)

line vty 0
 access-class WEB_ONLY in
Diposting oleh di
Label: , , ,

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)