1.
Cara
Kerja ACL
Keputusan dibuat berdasarkan pernyataan/statement cocok
dalam daftar akses dan kemudian menerima atau menolak sesuai apa yang
didefinisikan di daftar pernyataan. Perintah dalam pernyataan ACL adalah sangat
penting, kalau ditemukan pernyataan yang cocok dengan daftar akses, maka router
akan melakukan perintah menerima atau menolak akses.
Pada saat frame masuk ke interface, router memeriksa
apakah alamat layer 2 cocok atau apakah frame broadcast. Jikaalamat frame
diterima, maka informasi frame ditandai dan router memeriksa ACL pada interface
inbound.
Jika ada ACL, paket diperiksa lagi sesuai dengan daftar
akses. Jika paket cocok dengan pernyataan, paket akan diterima atau ditolak.
Jika paket diterima di interface, ia akan diperiksa sesuai dengan table routing
untuk menentukan interface tujuan dan di-switch keinterface itu. Selanjutnya
router memeriksa apakah interface tujuan mempunyaiACL. Jika ya, paket diperiksa
sesuai dengan daftar akses. Jika paketcocok dengan daftar akses, ia akan
diterima atau ditolak. Tapi jika tidak ada ACL paket diterima dan
paketdienkapsulasi di layer 2 dan di-forwardkeluar interface device berikutnya.
2.
Membuat
ACL
Ada dua tahap untuk membuat ACL. Tahap pertama masuk ke
mode global config kemudian memberikan perintah
access-listdan diikuti dengan parameter-parameter. Tahap kedua adalah
menentukanACL ke interface yang ditentukan.
Dalam TCP/IP, ACL diberikan ke satu atau lebih interface
dan dapat memfilter trafik yang masuk atau trafik yang keluar dengan
menggunakan perintah ip access-grouppada mode configuration interface. Perintah
access-groupdikeluarkan harus jelas dalam interface masuk atau keluar. Dan
untuk membatalkan perintah cukup diberikan perintah no access-list list-number.
amang@eepis-its.edu 144
Aturan-aturan yang digunakan untuk membuat access list:
·
Harus
memiliki satu access list per protokol per arah.
·
Standar
access list harus diaplikasikan ke tujuan terdekat.
·
Extended
access list harus harus diaplikasikan ke asal terdekat.
·
Inbound
dan outbound interface harus dilihat dari port arah masuk router.
·
Pernyataan
akses diproses secara sequencial dari atas ke bawah sampai ada yang cocok. Jika
tidak ada yang cocok maka paket ditolak dan dibuang.
·
Terdapat
pernyataan deny anypada akhir access
list. Dan tidak kelihatan di konfigurasi.
·
Access
list yang dimasukkan harus difilter dengan urutan spesifik ke umum. Host
tertentu harus ditolak dulu dan grup atau umum kemudian.
·
Kondisi
cocok dijalankan dulu. Diijinkan atau ditolak dijalankan jika ada pernyataan
yang cocok.
·
Tidak
pernah bekerja dengan access list yang dalam kondisi aktif.
·
Teks
editor harus digunakan untuk membuat komentar.
·
Baris
baru selalu ditambahkan di akhir access list. Perintah no accesslist x akan
menghapus semua daftar.
·
Access
list berupa IP akan dikirim sebagai pesan ICMP host unreachable ke pengirim dan
akan dibuang.
·
Access
list harus dihapus dengan hati-hati. Beberapa versi IOS akan mengaplikasikan
default deny any ke interface dan semua trafik akan berhenti.
·
Outbound
filter tidak akan mempengaruhitrafik yang asli berasal dari router local.
0 Komentar untuk "Proses ACL (Access Control List)"