Video: Extended Access List (ACL) for the Cisco CCNA - Part 1 2024
Daftar Kontrol Akses Extended (ACL) memungkinkan Anda mengizinkan atau menolak lalu lintas dari alamat IP tertentu ke alamat IP dan port tujuan tertentu. Ini juga memungkinkan Anda untuk menentukan berbagai jenis lalu lintas seperti ICMP, TCP, UDP, dll. Tak perlu dikatakan lagi, ini sangat rinci dan memungkinkan Anda untuk menjadi sangat spesifik.
Jika Anda berniat membuat firewall packet filtering untuk melindungi jaringan Anda, ini adalah Extended ACL yang perlu Anda buat.
Contoh yang akan digunakan mencakup router yang terhubung ke segmen 192. 168. 8. 0/24 pada antarmuka internal ( FastEthernet 0/0 ) menggunakan alamat 192. 168. 8. 1/24, dan ke segmen 10. 0. 2. 0/24 pada antarmuka eksternal ( FastEthernet 0/1 ) dengan menggunakan alamat 10. 0. 2. 1 / 24.
Dalam kasus ini, Anda akan mengelola jaringan 192. 168. 8. 0/24 dan beberapa grup yang tidak dikenal dan tidak dipercaya mengelola keseluruhan jaringan, seperti yang ditunjukkan. Di jaringan ini, Anda ingin mengizinkan pengguna mengakses hanya server web di luar jaringan. Untuk mendukung ini, Anda perlu membuat dua ACL, 101 dan 102.
Anda menggunakan access-list 101 untuk mengatur lalu lintas yang meninggalkan kantor dan access-list 102 untuk mengatur lalu lintas yang berasal dari jaringan yang tidak dipercaya ke kantor.
Membuat ACL 101
Router1> aktifkan Password: Router1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Akhiri dengan CNTL / Z. Router1 (config) # access-list 101 remark ACL ini untuk mengendalikan lalu lintas router outbound. Router1 (config) # access-list 101 mengizinkan tcp 192. 168. 8. 0 0. 0. 0. 255 setiap eq 80 Router1 (config) # access-list 101 mengizinkan tcp 192. 168. 8. 0 0. 0. 0. 255 setiap eq 443 Router1 (config) # akhir
Membuat ACL 102
Router1> aktifkan Password: Router1 # configure terminal Masukkan perintah konfigurasi, satu per baris. Akhiri dengan CNTL / Z. Router1 (config) # access-list 102 remark ACL ini untuk mengendalikan lalu lintas router masuk. Router1 (config) # access-list 102 mengizinkan tcp 192. 168. 8. 0 0. 0. 0. 255 mendirikan Router1 (config) # end
Jika Anda memeriksa ACL 101, rincian pada format dari perintahnya adalah sebagai berikut:
-
ACL adalah nomor 101
-
Ini mengizinkan lalu lintas
-
Ini memungkinkan lalu lintas TCP
-
Sumber yang diizinkan dari didefinisikan oleh 192. 168. 8. 0 dengan sebuah wildcard mask 0. 0. 0. 255
-
Host tujuan adalah host
-
Lalu lintas TCP yang diperbolehkan ada di port 80
-
Baris kedua sama, namun memungkinkan lalu lintas pada port TCP 443
Jika Anda melakukan pemeriksaan yang sama dengan ACL kedua, ACL 102, Anda harus mengikuti yang berikut ini:
-
ACL adalah nomor 102
-
Ini memungkinkan lalu lintas
-
Ini memungkinkan lalu lintas TCP
-
sumber yang diizinkan dari host manapun
-
Host tujuan didefinisikan oleh 192.168. 8. 0 dengan topeng wildcard 0. 0. 0. 255
-
Lalu lintas TCP yang diizinkan adalah lalu lintas pada sesi yang sudah mapan
Item terakhir di ACL 102 adalah sesuatu yang perlu dilihat sedikit lagi.. Dalam ilustrasi berikut, komputer klien pada jaringan 192. 168. 8. 0/24 telah menciptakan sesi TCP dengan server jauh. Sesi TCP ini memiliki proses handshaking yang menetapkan port apa yang akan digunakan, yang merupakan port yang dipilih secara acak pada klien dan port 80 di server.
Port yang digunakan di ACE bergantung pada alamat tujuan, dan dalam kasus ini, port tujuan adalah port yang dipilih secara acak pada klien. Alih-alih menentukan bahwa setiap port yang mungkin terbuka, yang tidak akan aman, pilihannya adalah mengatakan bahwa sesi yang ada pada klien diperbolehkan. Oleh karena itu, jika klien membuka koneksi, ACL ini akan memungkinkan lalu lintas masuk kembali.
