Kamis, 29 Desember 2011

Bikin Access-List di Layer 3 Perangkat Cisco

Bukan maksud hati buat sok2an, karna masih ada langit di atas langit. Cuman share pengalaman karna musti mendisplinkan user2 yg gak mau bersiin kompienya.
Mau gak mau cara tangan besi harus diterapkan. Salah satu caranya ya pake access-list ini.
Ini contoh misalnya yang mau dikucilkan dari pergaulan itu si IP address 192.168.103.25 karena setelah menggunakan tools Packet Sniffer, ketauan dia yg broadcast besar, terus2an dan tentunya makan bandwidth. Walhasil, demi kepentingan user laen, si IP ini musti dikucilkan dulu

SWITCH_L3-(config)#access-list 102 deny tcp host 192.168.103.25 any
SWITCH_L3-(config)#access-list 102 permit ip any any
Maksud dari access-list ini adalah untuk access-list yg lebih detil atao extended, nomernya musti 100 sampe 199. 
Deny tcp = tolak semua bentuk komunikasi dalam protokol tcp
host 192.168.103.25 any = ini artinya dari host 192.168.103.25 (sebagai source address) ke segala arah penjuru mata angin (destination address). Variasi syntax ini bisa any any yg artinya dari mana2 ke mana2 atao x.x.x.x(network address) x.x.x.x(wildcard bits)
Lalu pada access list yg sama, gw tambahin permit ip any any. Ini penting karna sekali lu2 pade menggunakan access-list, by default access-list itu menerapkan rules deny any protocol any source any destination. Kalo lu gak pake tambahan ini, dijamin malah bikin putus client2 yg tidak berdosa laennya yg menjadi collateral damage. Pake access-list ini kan seakan2 lu nembak target pake precision munition yg gak menimbulkan epek2 pada client laen, yg kebetulan satu LAN dengan si biang kerok.

Setelah itu aplikasikan pada suatu interface di mana si biang kerok ini masuk.
SWITCH_L3-(config)#int gi1/0/3

SWITCH_L3-(config-if)#ip access-group 102 in
Artinya access-group ini menggunakan access-list nomer 102 yg telah dibuat di atas. in itu artinya inbound, artinya traffic yang masuk ke arah interface. Jadi maksudnya traffic ke arah interface gigabit ethernet 1/0/3...(ini teh contoh interface aja yah) dari arah si host 192.168103.25 akan langsung dihadang oleh back2 tangguh di interface gigabit ethernet 1/0/3.
Silakan mencoba. Sorry kalo kurang canggih. Begitulah pengetahuan gw yg masih dangkal, hehehe...yg penting kita masih mau belajar, Tul Gak?!

Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)