Pertemuan 10: IP Addressing Design & ACL Logic

Minggu ke-10
Topik: IP Addressing & ACL
Dosen: Ir. H.A. Mooduto, M.Kom.

1. Pendahuluan: Seni Merancang Pengalamatan Jaringan

Pentingnya IP Addressing Design

IP addressing design adalah fondasi dari jaringan enterprise yang sehat. Desain yang baik memengaruhi:

  • Skalabilitas: Kemampuan jaringan untuk berkembang
  • Manageability: Kemudahan troubleshooting dan management
  • Security: Kemampuan mengimplementasikan kebijakan keamanan
  • Efficiency: Optimalisasi penggunaan alamat IP

Analogi Sistem Alamat

Merancang pengalamatan IP seperti merancang sistem alamat di kota. Jika terencana baik, pengiriman paket (data) menjadi efisien dan terarah.

Sistem Alamat Kota

  • Nama Jalan + Nomor Rumah
  • Kode Pos untuk area
  • Navigasi yang mudah
  • Ekspansi terencana

IP Addressing

  • Network + Host Address
  • Subnet Mask untuk segmentasi
  • Routing yang efisien
  • Scalability terstruktur

2. Prinsip Dasar IP Addressing Design

A. Hierarchical Addressing Design

Struktur pengalamatan harus mengikuti hierarki jaringan untuk memudahkan management dan routing.

Contoh Hierarchical IP Addressing:

10.0.0.0/8 Enterprise Wide
10.1.0.0/16 Region/Site A
10.2.0.0/16 Region/Site B
10.3.0.0/16 Region/Site C
10.1.1.0/24 Building 1
10.1.2.0/24 Building 2
10.1.3.0/24 Building 3

Keuntungan Hierarchical Design:

Route Summarization

Efisiensi dalam routing tables

Easy Troubleshooting

Lokasi masalah berdasarkan alamat IP

Predictable Growth

Ekspansi jaringan yang terencana

Security Policies

Implementasi ACL yang konsisten

B. Penggunaan RFC 1918 Address Space

Private IP ranges untuk enterprise internal networks:

10.0.0.0/8

16,777,214 hosts

Recommended untuk: Large enterprise networks

10.0.0.1 - 10.255.255.254

172.16.0.0/12

1,048,574 hosts

Recommended untuk: Medium enterprise networks

172.16.0.1 - 172.31.255.254

192.168.0.0/16

65,534 hosts

Recommended untuk: Small office networks

192.168.0.1 - 192.168.255.254

Important Note:

RFC 1918 addresses tidak boleh di-routing di internet. Gunakan NAT untuk internet connectivity.

C. VLSM (Variable Length Subnet Mask)

Teknik subnetting dengan mask yang berbeda untuk kebutuhan yang berbeda, mengoptimalkan penggunaan IP address.

Contoh Alokasi Efisien dengan VLSM:

10.1.0.0/23 510 hosts
Data Center
10.1.2.0/24 254 hosts
User VLAN
10.1.3.0/25 126 hosts
Wireless Users
10.1.3.128/26 62 hosts
VoIP Phones
10.1.4.0/30 2 hosts
Point-to-Point Links

Perhitungan VLSM Step-by-Step:

1
Identify Requirements

Tentukan jumlah host yang dibutuhkan untuk setiap segment

2
Sort by Size

Urutkan dari kebutuhan terbesar ke terkecil

3
Allocate Subnets

Alokasikan subnet mask sesuai kebutuhan

4
Document

Dokumentasikan semua alokasi untuk future reference

3. Structured IP Addressing Scheme untuk Enterprise

A. Functional-Based Allocation

Alokasi berdasarkan fungsi perangkat dalam jaringan.

Contoh: Site Jakarta - 10.1.0.0/16

Infrastructure (10.1.0.0/20)
10.1.0.0/24 Routers
10.1.1.0/24 Switches
10.1.2.0/24 Firewalls
10.1.3.0/24 Network Management
Servers (10.1.16.0/20)
10.1.16.0/24 Web Servers
10.1.17.0/24 Database Servers
10.1.18.0/24 Application Servers
10.1.19.0/24 File Servers
Users (10.1.32.0/19)
10.1.32.0/23 VLAN Engineering
10.1.34.0/24 VLAN Marketing
10.1.35.0/24 VLAN Guest

B. Geographic-Based Allocation

Alokasi berdasarkan lokasi fisik perangkat.

Contoh: Perusahaan Nasional

Jakarta Region
10.1.0.0/16
Head Office 10.1.0.0/20
Data Center 10.1.16.0/20
Branch Offices 10.1.32.0/19
Surabaya Region
10.2.0.0/16
East Office 10.2.0.0/20
Factory 10.2.16.0/20
Medan Region
10.3.0.0/16
North Office 10.3.0.0/20
Warehouse 10.3.16.0/20
Bali Region
10.4.0.0/16
Resort Office 10.4.0.0/20

C. Best Practices IP Addressing

Consistent Numbering

Gunakan numbering yang konsisten untuk interface types across the network

Reserve for Growth

Reserve 20-30% IP blocks untuk future expansion

Document Everything

Maintain documentation dalam IPAM (IP Address Management) system

Avoid Random Allocation

Selalu planning ahead, hindari random IP assignment

Tips untuk Lulusan D3:

Start with /24 Subnets

Mudah untuk management dan troubleshooting

Use .1 as Gateway

Konsisten menggunakan .1 sebagai default gateway

Document VLAN-Subnet Mapping

Maintain mapping antara VLAN IDs dan subnet

Plan for Redundancy

Alokasi IP untuk HSRP/VRRP addresses

4. Access Control List (ACL) Logic dan Design

A. Konsep Dasar ACL

ACL (Access Control List) adalah sequential list of permit or deny statements yang mengontrol traffic flow dalam jaringan.

Jenis ACL:

Standard ACL
Basic
  • Filter berdasarkan source IP only
  • Numbered: 1-99, 1300-1999
  • Less granular control
  • Simple configuration
access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny any
Extended ACL
Advanced
  • Filter berdasarkan source/destination IP, protocol, port
  • Numbered: 100-199, 2000-2699
  • Granular control
  • More complex configuration
access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 443 access-list 101 deny ip any any
Named ACL
Modern
  • Extended ACL dengan nama bukan number
  • More descriptive
  • Easier management
  • Can be edited incrementally
ip access-list extended WEB-ACCESS permit tcp 192.168.1.0 0.0.0.255 any eq www permit tcp 192.168.1.0 0.0.0.255 any eq 443 deny ip any any

B. ACL Processing Logic

Cara Kerja ACL:

1
Top-down Processing

ACL dicek dari atas ke bawah sequentially

2
First Match Applies

Ketika ketemu match, proses berhenti dan rule tersebut diaplikasikan

3
Implicit Deny Any

Di akhir ACL ada deny ip any any secara implicit

Contoh ACL Flow:

Line 1: permit tcp 10.1.1.0 0.0.0.255 any eq 80
← MATCH → Traffic DIPERBOLEHKAN
Line 2: permit tcp 10.1.1.0 0.0.0.255 any eq 443
Tidak diproses (karena sudah match di line 1)
Implicit: deny ip any any
Default deny untuk traffic lainnya

Tips Desain ACL:

Specific First

Letakkan rules yang paling specific di atas

Frequent Traffic

Place frequently matched rules near the top

Explicit Deny

Always include explicit deny for logging

Test Thoroughly

Test ACL dengan expected traffic patterns

C. ACL Placement Strategy

Aturan Emas Penempatan ACL:

Standard ACL
Near Destination

Standard ACL hanya filter berdasarkan source IP, jadi tempatkan dekat destination untuk menghindari blocking traffic yang tidak intended.

[User]
[Router] ← Standard ACL
[Server]
Extended ACL
Near Source

Extended ACL filter berdasarkan multiple criteria, jadi tempatkan dekat source untuk early filtering dan menghemat bandwidth.

[User] ← Extended ACL
[Router]
[Server]

Contoh Implementasi di Enterprise Network:

User VLAN Extended ACL (source)
Distribution Layer Standard ACL (dest)
Server Farm Extended ACL (server)
User VLAN ACL

Filter traffic dari users sebelum masuk ke core network

Distribution ACL

Basic filtering berdasarkan destination networks

Server Farm ACL

Granular control untuk server access

5. Advanced ACL Design Techniques

A. Time-Based ACL

ACL yang aktif hanya pada waktu tertentu, useful untuk security policies berdasarkan waktu.

Contoh Implementasi:

! Define time range time-range BUSINESS-HOURS periodic weekdays 8:00 to 17:00 ! Apply to ACL ip access-list extended WORK_HOURS permit tcp 10.1.1.0 0.0.0.255 any eq 80 time-range BUSINESS-HOURS permit tcp 10.1.1.0 0.0.0.255 any eq 443 time-range BUSINESS-HOURS deny tcp any any eq 80 time-range BUSINESS-HOURS deny tcp any any eq 443 time-range BUSINESS-HOURS ! Apply to interface interface GigabitEthernet0/1 ip access-group WORK_HOURS in

Keuntungan Time-Based ACL:

  • Enhanced security during off-hours
  • Compliance dengan business policies
  • Automatic enforcement tanpa manual intervention
  • Flexible scheduling options

B. Reflexive ACL

Untuk session-based filtering (stateful), hanya mengizinkan return traffic untuk established sessions.

Contoh Implementasi:

! Outbound ACL ip access-list extended OUTBOUND permit tcp any any reflect TCP-TRAFFIC permit udp any any reflect UDP-TRAFFIC ! Inbound ACL ip access-list extended INBOUND evaluate TCP-TRAFFIC evaluate UDP-TRAFFIC deny ip any any ! Apply to interfaces interface GigabitEthernet0/0 ip access-group OUTBOUND out ip access-group INBOUND in

Cara Kerja Reflexive ACL:

  1. Outbound traffic dicreate session entry
  2. Reflexive ACL automatically allows return traffic
  3. Session entries timeout setelah inactivity
  4. Enhanced security tanpa complex configuration

C. ACL untuk Security Zones

Design ACL berdasarkan zona keamanan dengan different trust levels.

Contoh Zona Keamanan Enterprise:

INSIDE ZONE (Trusted)
permit ip 10.1.0.0 0.0.255.255 any

Internal corporate network dengan full trust

DMZ ZONE (Semi-Trusted)
permit tcp any 10.1.16.0 0.0.15.255 eq 80
permit tcp any 10.1.16.0 0.0.15.255 eq 443

Public servers dengan controlled access

OUTSIDE ZONE (Untrusted)
deny ip any any

Internet dan external networks dengan no trust

Zone-Based Policy Recommendations:

Inside → DMZ

Permit most traffic dengan logging

Inside → Outside

Permit web traffic dengan restrictions

DMZ → Inside

Restrict strictly, hanya essential services

Outside → DMZ

Permit only specific services (HTTP/HTTPS)

6. Studi Kasus: Enterprise Network Design

Scenario: Perusahaan dengan 3 Gedung

Gedung A - Head Office

  • Management (50 users)
  • Finance (30 users)
  • HR (20 users)
  • Data Center

Gedung B - Engineering

  • Development (100 users)
  • Testing Lab (50 devices)
  • Research (30 users)

Gedung C - Support

  • Customer Support (80 users)
  • Marketing (40 users)
  • Guest WiFi

Step 1: IP Addressing Design

10.10.0.0/16 - Enterprise Network

Infrastructure
10.10.1.0/24 Network Devices
Servers
10.10.16.0/20 Data Center
Building A Users
10.10.32.0/20 Management/Finance/HR
Building B Users
10.10.48.0/20 Engineering/Development
Building C Users
10.10.64.0/20 Support/Marketing
Guest Network
10.10.240.0/20 Guest WiFi

Step 2: ACL Design untuk Security Policy

Internet Access Policy

ip access-list extended INTERNET-OUT permit tcp 10.10.32.0 0.0.15.255 any eq 80 permit tcp 10.10.32.0 0.0.15.255 any eq 443 permit udp 10.10.32.0 0.0.15.255 any eq 53 deny ip any any log

Server Access Policy

ip access-list extended SERVER-ACCESS permit tcp 10.10.32.0 0.0.0.255 host 10.10.16.10 eq 22 permit tcp 10.10.32.0 0.0.0.255 host 10.10.16.20 eq 3389 permit tcp 10.10.48.0 0.0.15.255 10.10.16.0 0.0.15.255 eq 1521 deny ip any 10.10.16.0 0.0.15.255 log

Inter-Building Communication

ip access-list extended INTER-BUILDING permit ip 10.10.32.0 0.0.15.255 10.10.48.0 0.0.15.255 permit ip 10.10.32.0 0.0.15.255 10.10.64.0 0.0.15.255 deny ip 10.10.48.0 0.0.15.255 10.10.64.0 0.0.15.255

7. Workshop Desain: Unjuk Karya (Bobot 10%)

Tugas Individu: Rancang skema pengalamatan dan ACL untuk:

Startup Tech Company

  • 1 office (3 lantai)
  • 50 employees
  • Cloud servers (simulasikan dengan VLAN)
  • Guest WiFi
  • Development dan production environment

Deliverables yang Diharapkan:

IP Addressing Scheme

Dengan subnetting yang efisien menggunakan VLSM

ACL Rules

Untuk internet dan server access policies

Dokumentasi

Justification untuk setiap keputusan design

Kriteria Penilaian:

Kelayakan dan Keamanan Desain (60%)

  • Structured IP addressing scheme
  • Appropriate subnet sizes
  • Security considerations
  • Scalability for future growth

Efisiensi Penggunaan IP Address (20%)

  • Minimal wasted IP addresses
  • Proper VLSM implementation
  • Reserved space for expansion

Logika ACL yang Tepat (20%)

  • Correct ACL syntax
  • Proper rule ordering
  • Security zone implementation
  • Documentation and comments

8. Tools untuk IP Address Management

A. Spreadsheet Template untuk Mahasiswa D3

Simple IPAM untuk project kecil dan learning purposes:

Network Segment Subnet Gateway VLAN Purpose Notes
Infrastructure 10.1.0.0/24 10.1.0.1 10 Network Devices Routers, Switches
Servers 10.1.1.0/24 10.1.1.1 20 Application Servers Web, Database
Users 10.1.2.0/23 10.1.2.1 30 Employee Workstations Engineering Dept
Wireless 10.1.4.0/24 10.1.4.1 40 Corporate WiFi 802.1x secured
Guest 10.1.5.0/24 10.1.5.1 50 Guest Access Internet only

B. Software Tools (Enterprise)

SolarWinds IPAM

Enterprise-grade IP address management

Commercial

phpIPAM

Open source IP address management

Open Source

Infoblox

Enterprise DDI solution

Enterprise

9. Common Mistakes dan How to Avoid Them

A. IP Addressing Mistakes

Random Allocation

Critical

Problem: Assigning IP addresses tanpa plan

Solution: Gunakan hierarchical design dengan structured allocation

No Room for Growth

High

Problem: Using all available IP space tanpa reserved blocks

Solution: Reserve 20-30% untuk future expansion

Inconsistent Numbering

Medium

Problem: Different numbering schemes across network

Solution: Buat standard dan ikuti konsisten across all devices

B. ACL Mistakes

Wrong Order of Rules

Critical

Problem: General rules sebelum specific rules

Solution: Always place specific rules first dalam ACL

Missing Implicit Deny

High

Problem: Forgetting about implicit deny any

Solution: Selalu test ACL dengan expected traffic patterns

No Documentation

Medium

Problem: ACL rules tanpa comments atau documentation

Solution: Comment setiap rule dengan purpose dan business justification

10. Kaitannya dengan Dunia Kerja D3

Skill yang Dicari Employer:

Structured IP Design

Ability to design structured IP schemes untuk enterprise networks

ACL Configuration

ACL configuration untuk security policies dan traffic control

Troubleshooting

Troubleshooting connectivity issues related to IP addressing dan ACLs

Documentation

Documentation skills untuk network diagrams dan configuration

Job Roles yang Relevan:

Network Support Engineer

Technical support untuk network issues

Security Analyst

Implement security policies menggunakan ACLs

Network Administrator

Manage IP addressing dan network configurations

Tips untuk Technical Interview:

Subnetting Questions

Practice cepat menghitung subnet requirements

ACL Scenarios

Bisa menjelaskan ACL logic untuk given requirements

Design Thinking

Demonstrate structured approach to network design