Enterprise Networking - Praktikum Lab

Daftar Pertemuan

Pertemuan 1 Pertemuan 2 Pertemuan 3 Pertemuan 4 Pertemuan 5 Pertemuan 6 Pertemuan 7 Pertemuan 8 Pertemuan 9 Pertemuan 10 Pertemuan 11 Pertemuan 12 Pertemuan 13 Pertemuan 14 Pertemuan 15 Pertemuan 16

ACL Quick Links

Konsep ACL Scenario 1: Block Admin-IT Scenario 2: Allow Specific PC Scenario 3: Department Isolation Best Practices

ACL Number Ranges

1-99: Standard IP ACL

100-199: Extended IP ACL

1300-1999: Standard IP (expanded)

2000-2699: Extended IP (expanded)

Pertemuan 10: Standard ACL Implementation

Progress Pembelajaran 10/16

Tujuan Pembelajaran

Mahasiswa mampu mengontrol traffic jaringan dengan Access Control List (ACL) Standard untuk permit/deny traffic berdasarkan source IP address, serta memahami placement dan implementation best practices.

Konsep Access Control List (ACL)

1. Pengertian ACL

ACL (Access Control List) adalah daftar peraturan yang digunakan oleh router atau switch untuk mengontrol traffic yang masuk atau keluar dari interface. ACL berfungsi sebagai firewall dasar untuk network security.

Jenis-Jenis ACL

Standard ACL: Filter berdasarkan source IP address only
Extended ACL: Filter berdasarkan source/destination IP, protocol, port
Named ACL: ACL dengan nama bukan angka
Numbered ACL: ACL dengan nomor identifier

Karakteristik Standard ACL

Number range: 1-99, 1300-1999
Hanya memfilter berdasarkan source IP
Placement: Close to destination
Lebih simple dan less granular
Cocok untuk basic traffic filtering

2. ACL Processing Rules

ACL diproses secara sequential dari atas ke bawah. Setiap packet dibandingkan dengan setiap rule sampai ditemukan match.

Sequential Processing

ACL diproses dari top to bottom

→

First Match

Packet di-match dengan rules secara berurutan

→

Action Taken

Action pertama yang match dijalankan

→

Implicit Deny

Semua traffic lain secara default denied

3. Wildcard Masks

Wildcard mask menentukan bagian mana dari IP address yang harus di-match. Berbeda dengan subnet mask yang menentukan network portion.

IP Address	Wildcard Mask	Deskripsi	Contoh Match
192.168.10.0	0.0.0.255	Seluruh network 192.168.10.0/24	192.168.10.1 - 192.168.10.254
192.168.10.10	0.0.0.0	Single host specific	192.168.10.10 only
192.168.0.0	0.0.255.255	Network 192.168.0.0/16	192.168.x.x
0.0.0.0	255.255.255.255	Any host (semua IP)	Semua IP addresses

Tips Wildcard Mask:

Wildcard mask adalah kebalikan dari subnet mask. Untuk network /24, subnet mask 255.255.255.0, wildcard mask 0.0.0.255.

4. ACL Placement Strategy

Standard ACL Placement

"Place close to destination"

Standard ACL hanya filter berdasarkan source IP
Jika ditaruh dekat source, bisa memblokir akses yang tidak diinginkan
Lebih efektif ditaruh dekat destination network
Mencegah unintended consequences

Extended ACL Placement

"Place close to source"

Extended ACL bisa filter berdasarkan destination
Lebih efektif ditaruh dekat source network
Menghemat bandwidth dengan memblokir traffic lebih awal
Lebih granular control

Job Sheet Praktikum

Informasi Job Sheet

Durasi: 170 menit

Topik: Standard ACL Implementation

Bobot: 5%

Tujuan: Kontrol traffic berdasarkan source IP

Tools: Cisco Packet Tracer

Penilaian: Unjuk Kerja

Diagram Topologi

Admin Department

192.168.10.0/24

PC1: 192.168.10.10

PC2: 192.168.10.20

Router2

ACL Applied Here

Block Admin → IT

Allow Specific PC

Sales Department

192.168.20.0/24

PC3: 192.168.20.10

PC4: 192.168.20.20

IT Department

192.168.30.0/24

PC5: 192.168.30.10

PC6: 192.168.30.20

Keterangan Topologi:

3 Router yang saling terhubung via serial interfaces
Masing-masing router memiliki 1 department dengan 2 PC
Admin (192.168.10.0/24), Sales (192.168.20.0/24), IT (192.168.30.0/24)
ACL diimplementasikan di Router2 sebagai central point
OSPF routing untuk konektivitas penuh sebelum ACL

IP Addressing Plan

Device	Interface	IP Address	Subnet Mask	Department
Router1	Gig0/0	192.168.10.1	255.255.255.0	Admin
Router1	Serial0/0/0	10.0.12.1	255.255.255.252	Link to Router2
Router2	Serial0/0/0	10.0.12.2	255.255.255.252	Link to Router1
Router2	Serial0/0/1	10.0.23.1	255.255.255.252	Link to Router3
Router3	Serial0/0/1	10.0.23.2	255.255.255.252	Link to Router2
Router3	Gig0/0	192.168.30.1	255.255.255.0	IT
PC1	NIC	192.168.10.10	255.255.255.0	Admin
PC2	NIC	192.168.10.20	255.255.255.0	Admin
PC3	NIC	192.168.20.10	255.255.255.0	Sales
PC4	NIC	192.168.20.20	255.255.255.0	Sales
PC5	NIC	192.168.30.10	255.255.255.0	IT
PC6	NIC	192.168.30.20	255.255.255.0	IT

Langkah Kerja Detail

Langkah 1: Persiapan Topologi dan Basic Connectivity

Buat topologi dan konfigurasi OSPF routing untuk konektivitas penuh sebelum ACL:

Konfigurasi OSPF pada semua router:

                                            ! Pada semua router:

                                            router ospf 1

                                            network 192.168.10.0 0.0.0.255 area 0

                                            network 192.168.20.0 0.0.0.255 area 0

                                            network 192.168.30.0 0.0.0.255 area 0

                                            network 10.0.12.0 0.0.0.3 area 0

                                            network 10.0.23.0 0.0.0.3 area 0

                                            exit

Verifikasi konektivitas sebelum ACL:

                                            ! Dari PC1 test ke semua PC lain

                                            ping 192.168.20.10   ! Ke PC3 - harus berhasil

                                            ping 192.168.30.10   ! Ke PC5 - harus berhasil

                                            ! Semua ping harus success sebelum implementasi ACL

Scenario 1: Block Admin Department from Accessing IT Department

Implementasi ACL untuk memblokir akses dari seluruh Admin department ke IT department:

Buat Standard ACL di Router2:

                                            ! Block Admin network (192.168.10.0/24) ke IT

                                            access-list 10 deny 192.168.10.0 0.0.0.255

                                            access-list 10 permit any

                                            ! Apply ACL pada interface menuju IT Department

                                            interface serial 0/0/1

                                            ip access-group 10 out

                                            exit

Verifikasi ACL:

                                            show access-lists

                                            show ip interface serial 0/0/1

Testing:

Dari PC1 (Admin) ping ke PC5 (IT): Harus GAGAL
Dari PC3 (Sales) ping ke PC5 (IT): Harus BERHASIL
Dari PC1 (Admin) ping ke PC3 (Sales): Harus BERHASIL

Keterangan:

ACL diletakkan di Router2 interface menuju IT department (outbound). Statement permit any diperlukan karena ada implicit deny di akhir ACL.

Scenario 2: Allow Only Specific Admin PC to Access Sales Department

Implementasi ACL yang hanya mengizinkan PC1 (192.168.10.10) untuk mengakses Sales department:

Buat Standard ACL di Router1:

                                            ! Allow hanya PC1 (192.168.10.10)

                                            access-list 20 permit host 192.168.10.10

                                            access-list 20 deny 192.168.10.0 0.0.0.255

                                            access-list 20 permit any

                                            ! Apply ACL pada interface menuju Sales Department

                                            interface serial 0/0/0

                                            ip access-group 20 out

                                            exit

Testing:

Dari PC1 (192.168.10.10) ping ke PC3: Harus BERHASIL
Dari PC2 (192.168.10.20) ping ke PC3: Harus GAGAL
Dari PC2 ping ke PC5 (IT): Harus BERHASIL (karena tidak diblokir)

Penting:

Perhatikan urutan statement ACL. Statement yang lebih spesifik harus diletakkan di atas yang lebih general.

Scenario 3: Complex Policy - Department Isolation

Implementasi policy kompleks dengan multiple restrictions:

Policy Requirements:

Admin bisa akses Sales, tapi tidak bisa akses IT
Sales bisa akses semua department
IT tidak bisa akses Admin, tapi bisa akses Sales

Implementasi di Router2 (pusat):

                                            ! Block Admin ke IT

                                            access-list 30 deny 192.168.10.0 0.0.0.255

                                            ! Block IT ke Admin

                                            access-list 40 deny 192.168.30.0 0.0.0.255

                                            access-list 40 permit any

                                            ! Apply ACLs

                                            interface serial 0/0/1   ! Menuju IT

                                            ip access-group 30 out

                                            exit

                                            interface serial 0/0/0   ! Menuju Admin

                                            ip access-group 40 out

                                            exit

Testing Comprehensive:

From	To	Expected	Reason
PC1 (Admin)	PC3 (Sales)	SUCCESS	Admin boleh akses Sales
PC1 (Admin)	PC5 (IT)	FAIL	Admin diblokir ke IT
PC5 (IT)	PC1 (Admin)	FAIL	IT diblokir ke Admin
PC5 (IT)	PC3 (Sales)	SUCCESS	IT boleh akses Sales
PC3 (Sales)	PC1 (Admin)	SUCCESS	Sales boleh akses semua

Langkah 4: Verification dan Troubleshooting

Verifikasi ACL functionality dan troubleshooting common issues:

ACL Verification Commands:

                                            ! Show semua ACL

                                            show access-lists

                                            show ip access-lists

                                            ! Show interface dengan applied ACL

                                            show ip interface serial 0/0/0

                                            show ip interface serial 0/0/1

                                            ! Monitor ACL statistics

                                            show access-lists 10

                                            show access-lists 20

                                            ! Clear ACL counters untuk testing baru

                                            clear access-list counters

Troubleshooting Common Issues:

                                            ! ACL applied wrong direction

                                            show ip interface serial 0/0/0

                                            ! Wrong order of statements

                                            show running-config | include access-list

                                            ! Missing implicit deny

                                            debug ip packet

                                            ! Wrong wildcard mask

                                            show access-lists

ACL Best Practices

Configuration Best Practices

Gunakan remark statements untuk dokumentasi
Test ACL dalam maintenance window
Backup configuration sebelum modifikasi ACL
Gunakan sequence numbers untuk easy editing
Document ACL purposes dan changes

Security Best Practices

Place standard ACLs close to destination
Gunakan named ACLs untuk better management
Implementasi least privilege principle
Regularly review dan update ACL rules
Monitor ACL hits untuk anomaly detection

Common Mistakes to Avoid:

Lupa access-list [number] permit any setelah deny statement
Apply ACL wrong direction (in/out)
Wrong wildcard mask calculation
Statement order incorrect (ACL processed sequentially)
Lupa implicit deny at the end

Checklist Verifikasi

Scenario	Test Case	Expected Result	Verification Command	Status
Scenario 1	PC1 → PC5	FAIL	`ping 192.168.30.10`	Check
Scenario 1	PC3 → PC5	SUCCESS	`ping 192.168.30.10`	Check
Scenario 2	PC1 → PC3	SUCCESS	`ping 192.168.20.10`	Check
Scenario 2	PC2 → PC3	FAIL	`ping 192.168.20.10`	Check
Scenario 3	PC5 → PC1	FAIL	`ping 192.168.10.10`	Check

PPP Authentication Extended ACL