Access Control List - ACL

Bongga Arifwidodo, SST, MT.

bongga@ittelkom-pwt.ac.id
Outline :

• Konsep ACL
• Wildcard Masking
• Basic configuration
a. Konsep ACL

• Access List bekerja menyaring lalu-lintas data suatu

network dengan mengontrol apakah paket-paket
tersebut dilewatkan atau dihentikan pada alat
penghubung (Interface) router.
• Router menguji semua paket data untuk menentukan
apakah paket tersebut diijinkan untuk lewat atau tidak
berdasarkan kriteria yang ditentukan di dalam Access
List.
 ACL (1)

• Kriteria yang digunakan Access

List dapat berupa alamat asal
paket data tersebut, alamat
tujuan, jenis lapisan protokol atau
informasi lain yang berkaitan.

• Access-list sebagai dasar “firewall-

router” ini diterapkan diantara
network internal dan network Fungsi Traffic Filters untuk Mencegah Trafic

eksternal seperti internet atau

diantara dua network seperti
pada gambar.
ACL (2)

 Access List (ACL) biasa digunakan untuk filtering.

 Ada 2 macam access list yaitu standard dan
extented.
b. Wildcard Mask

• suatu urutan angka-angka yang mengefektifkan paket

Routing di dalam subnets suatu jaringan.
• Fungsi dari wildcard mask: Wildcard mask
panjangnya 32-bit yang dibagi menjadi empat octet.
• Wildcard mask adalah pasangan IP address. Angka 1
dan 0 pada mask digunakan untuk
mengidentifikasikan bit-bit IP address.
Wildcard Mask (1)

• Wildcard mask dan subnet mask dibedakan oleh

dua hal.
• Subnet mask menggunakan biner 1 dan 0 untuk
mengidentifikasi jaringan, subnet dan host.
• Wildcard mask menggunakan biner 1 atau 0 untuk
memfilter IP address individual atau grup untuk
diijinkan atau ditolak akses.
• Persamaannya hanya satu dua-duanya sama-sama
32-bit.
Wildcard Mask (2)

• cara mendapatkan nilai wildcard mask:

missal IP = 192.168.1.0 /30
Subnet Mask =255.255.255.252
maka Wildcard=0.0.0.3
• cara menghitungnya :
Subnet Mask = 255.255.255.252
-> 11111111. 11111111. 11111111. 11111100
Kebalikanya adalah wildcard yaitu,
Wildcard = 00000000. 00000000. 00000000. 00000011
-> wildcard dari 255.255.255.252
 c. Basic Configuration
• Standard ACL

Lakukan konfigurasi supaya PC LAN dapat ping ke server

Konfigurasi interface dan routing pada Router0.

Router(config)#int fa0/1
Router(config-if)#ip add 192.168.1.1 255.255.255.0

Router(config-if)#no sh
Router(config-if)#int fa0/0
Router(config-if)#ip add 10.10.10.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#ip route 20.20.20.0 255.255.255.0 10.10.10.2

Konfigurasi interface dan routing pada Router1.

Router(config)#int fa0/0
Router(config-if)#ip add 10.10.10.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int fa0/1
Router(config-if)#ip add 20.20.20.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#ip route 192.168.1.0 255.255.255.0 10.10.10.1
Berikan IP pada server dan coba cek web server melalui browser pada PC LAN.
Cek ping dari PC LAN ke web server.
PC>ping 20.20.20.2
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 20.20.20.2: bytes=32 time=0ms TTL=126
Reply from 20.20.20.2: bytes=32 time=0ms TTL=126
Reply from 20.20.20.2: bytes=32 time=0ms TTL=126
Reply from 20.20.20.2: bytes=32 time=0ms TTL=126 Pada standard access list, semua service akan
Ping statistics for 20.20.20.2: diblok, baik UDP untuk akses browser atau ICMP
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
untuk ping.
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms Untuk memilih hanya service tertentu saja, gunakan
extended access list.
Sekarang konfigurasikan standard access list agar PC LAN tidak dapat mengakses
web server. Set access list pada router dan interface yang paling dekat dengan
destination.
Router(config)#access-list 10 deny 192.168.10.0 ?
A.B.C.D Wildcard bits
<cr>
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 10 permit any
Router(config)#int fa0/1
Router(config-if)#ip access-group 1 out

Cek ping dan akses browser dari PC LAN ke web server.

PC>ping 20.20.20.2
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Ping statistics for 20.20.20.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Cek access list pada Router1.

Router#show access-lists
Standard IP access list 10
deny 192.168.1.0 0.0.0.255 (64 match(es))
permit any (5 match(es))
Router#
  Daftar akses standar (Standard Access List) mempergunakan alamat pengiriman paket dalam
pembuatan daftar akses.
 Untuk membuat daftar IP akses standar dari global configuration mode adalah :

Router(config)#access-list <nomor daftar akses IP standar> <permit atau deny> <IP address>
<wildcard mask>

Nomor daftar aksess IP standar adalah 1 sampai 99.

Permit atau deny adalah parameter untuk mengijinkan atau menolak.
IP address adalah alamat pengirim atau asal.
Wildcard mask adalah untuk menentukan jarak dari suatu subnet.
 • Extended Access List

Extented access list mengizinkan hanya service tertentu saja yang diblok. Gambar
dibawah adalah jenis-jenis service beserta aplikasinya.