Viva le Blog!

Wednesday, 30 April 2014

WAN

WAN connection options
Private
- Dedicated : Leased Line
- Switched : Circuit switched, Packet switched

Public
- Internet: Broadband VPN

Di dalam koneksi WAN real-world, customer premise equipment (CPE), yang mana biasanya adalah sebuah ruter, adalah data terminal equipment. Ruter ini terhubung ke service provider melalui sebuah perangkat data circuit-terminating equipment (DCE) umumnya sebuah modem atau sebuah CSU/DSU. Perangkat DCE ini digunakan untuk mengubah data dari DTE kedalam bentuk yang dapat diterima bagi service provider WAN.

Di dalam situasi real-world, satu ruter bisa ada di New York, sementara ruter lainnya ada di Sidney, Australia.

Di dalam lab academy, tidak ada WAN cloud, tidak ada service provider, ruter-ruter dihubungkan secara langsung dengan menggunakan kabel back-to-back DTE-DCE.

LAB Konfigurasi Ruter sebagai DHCP server dan sebagai DHCP RELAY

Pada lab ini akan dibuat:
1. R1 sebagai DHCP server bagi PC0 dan PC1
2. R1 sebagai DHCP relay dan Server0 sebagai DHCP server bagi PC0 dan PC1

Skenario 1: R1 sebagai DHCP server untuk PC0 dan PC1
Preparasi Switch S1
Switch# conf t
Switch(config)# hostname S1
S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 10
S1(config-if)# interface fa0/2
S1(config-if)# description link_to_R1
S1(config-if)# switchport mode trunk
S1(config-if)# interface f0/3
S1(config-if)# switchport mode access

Preparasi Router R1
Router(config)# hostname R1
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config)# interface f0/0.10
R1(config-if)# encapsulation dot1Q 10
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# description subinterface_vlan10
R1(config-if)# interface f0/0.20
R1(config-if)# encapsulation dot1Q 20
R1(config-if)# ip address 192.168.20.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# description subinterface_vlan20
R1(config-if)# interface fa0/1
R1(config-if)# ip address 192.168.30.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# router ospf 1
R1(config-router)# network 192.168.10.0 0.0.0.255 area 0
R1(config-router)# network 192.168.20.0 0.0.0.255 area 0
R1(config-router)# network 192.168.30.0 0.0.0.255 area 0
R1(config-router)# exit
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
R1(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10
R1(config)# ip dhcp pool LAN10
R1(dhcp-config)# network 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.40.2
R1(dhcp-config)# exit
R1(config)# ip dhcp pool LAN20
R1(dhcp-config)# network 192.168.20.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.20.1
R1(dhcp-config)# dns-server 192.168.40.2
R1(dhcp-config)# exit
R1(config)#

Preparasi Router R2
Router# conf t
Router(config)# hostname R2
R2(config)# interface fa0/0
R2(config-if)# ip address 192.168.30.2 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# description to_R1
R2(config-if)# exit
R2(config)# interface fa0/1
R2(config-if)# ip address 192.168.40.1 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# description to_Server0
R2(config-if)# exit
R2(config)# router ospf 1
R2(config-router)# network 192.168.40.0 0.0.0.255 area 0
R2(config-router)# network 192.168.30.0 0.0.0.255 area 0
R2(config-router)# exit

Sekarang test PC0 dan PC1 sudah bisa dapat alamat IP DHCP apa belum. Seharusnya sih sudah.

Skenario 2: DHCP servernya dipindah, bukan lagi R1 tapi Server0 sekarang yang jadi DHCP server.

Preparasi router R1
R1(config)# no ip dhcp pool LAN10
R1(config)# no ip dhcp pool LAN20
R1(config)# interface f0/0.10
R1(config-subif)# ip helper-address 192.168.40.2
R1(config-subif)# exit
R1(config)# interface fa0/0.20
R1(config-subif)# ip helper-address 192.168.40.2
R1(config-subif)# exit

Set up Server0
Klik icon Server0 pada packet tracer, pada tab Config, klik DHCP, isi data berikut:
Pool Name: PoolLAN10
Default Gateway: 192.168.10.1
DNS Server: 192.168.40.2
Start IP address: 192.168.10.100
Subnet mask: 255.255.255.0

Kemudian klik tombol Add.

Untuk pool yang kedua isi data berikut:
Pool Name: PoolLAN20
Default Gateway: 192.168.20.1
DNS Server: 192.168.40.2
Start IP address: 192.168.20.100
Subnet mask: 255.255.255.0

Kemudian klik tombol Add.

Sekarang test PC0 dan PC1 sudah bisa dapat alamat IP DHCP apa belum. Seharusnya sih sudah.

Well done, ente dah bisa ngonfig DHCP server dan DHCP relay pada Cisco IOS

Preparasi
1. Router ISP harus diberitahu bagaimana cara menjangkau alamat IP 209.165.200.254 (alamat IP public nya Server-PT)
RouterISP# ip route 209.165.200.254 255.255.255.255 209.165.200.225

2. Buat skema NAT di RouterNAT
Pertama, Static NAT
Usage: ip nat inside source static [ip private] [ip public]

RouterNAT# config t
RouterNAT(config)# interface f0/0
RouterNAT(config-if)# ip nat inside
RouterNAT(config-if)# interface f0/1
RouterNAT(config-if)# ip nat outside
RouterNAT(config-if)# exit
RouterNAT(config)# ip nat inside source static 192.168.20.1 209.165.200.254

Test NAT
Ping dari Server-PT ke Router ISP. Harusnya success/reply.

Kedua, Dynamic NAT
Usage: ip nat pool [name-pool] [ip public-ip public] netmask []
Preparasi
Disini, perusahaan XYZ membeli 4 buah IP public dari service provider (209.165.200.241 - 209.165.200.246). Router ISP harus dikonfigurasi bagaimana cara untuk mencapai 4 IP public ini
RouterISP# no ip route 209.165.200.254 255.255.255.255 209.165.200.225
RouterISP# ip route 209.165.200.240 255.255.255.252 209.165.200.225

Mulai mengkonfigurasi NAT
RouterNAT# config t
RouterNAT(config)# no ip nat inside source static 192.168.20.1 209.165.200.254
RouterNAT(config)# ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.240

RouterNAT(config)# ip access-list standard NAT
RouterNAT(config-std-nacl)# permit 192.168.20.0 0.0.0.255
RouterNAT(config-std-nacl)# exit

RouterNAT(config)# ip nat inside source list NAT pool MY-NAT-POOL

RouterNAT(config)# interface f0/0
RouterNAT(config-if)# ip nat inside
RouterNAT(config-if)# interface f0/1
RouterNAT(config-if)# ip nat outside

Test NAT
Ping dari Server-PT ke Router ISP. Harusnya success/reply.

Ketiga, Dynamic NAT dengan command overload
RouterNAT(config)# no ip nat inside source list NAT pool MY-NAT-POOL
RouterNAT(config)# ip nat nat inside source list NAT pool MY-NAT-POOL overload

Selamat, anda telah berhasil membuat NAT!

Tuesday, 29 April 2014

Basic konfigurasi NAT dan DHCP

Langkah-langkah:
1. Prepare the network
2. Perform basic router configuration
3. Configure a Cisco IOS DHCP server
4. Configure static routing and default routing
5. Configure static NAT
6. Configure dynamic NAT with a pool of address

1. Prepare the network.
Pada file .pka terlampir network sudah disiapkan.

2. Perform basic router configuration
Configure the R1, R2 and ISP routers according to the following guidelines:
- Configure the device hostname
- Disable DNS lookup
- Configure a privileged EXEC mode password
- Configure a message-of-the-day banner
- Configure a password for the console connections
- Configure a password for all vty connections
- Configure IP address on all routers. The PCs receive IP addressing from DHCP later in the lab.
- Enable OSPF with process ID 1 on R1. Do not advertise the 209.165.200.224/27 network

3. Configure PC1 and PC2 to receive an IP address through DHCP

4. Configure a Cisco IOS DHCP server
The goal for this LAB is to have devices on the network 192.168.10.0/24 and 192.168.11.0/24 request IP address via DHCP from R2.

Perangkat lunak Cisco IOS mendukung konfigurasi sebuah server DHCP yang disebut easy IP.

Step 1: Exclude alamat-alamat yang secara statis diberikan contoh: alamat IP interface router-router, alamat IP server.

Server DHCP mengasumsikan semua alamat IP di dalam pool-nya bisa dibagikan ke klien DHCP. Kamu harus menjelaskan alamat IP yang DHCP server ga boleh berikan ke PC klien. Alamat IP yang gak boleh diberikan kesiapa-siapa ini biasanya alamat statik yang di booking oleh interface router, alamat IP switch, server-server, dan printer jaringan.

Perintah ip dhcp excluded-address mencegah ruter untuk memberikan suatu alamat atau memberikan sekelompok alamat IP ke klien DHCP. Perintah dibawah ini memberikan contoh:
R2(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
R2(config)# ip dhcp excluded-address 192.168.11.1. 192.168.11.10

Step 2: Mengkonfigurasi pool
Buat pool DHCP dengan menggunakan perintah ip dhcp pool dan berinama R1Fa0.
R2(config)# ip dhcp pool R1Fa0

Lanjut dengan menjelaskan subnet yang akan digunakan ketika memberikan alamat IP. Pool-pool secara otomatis berasosiasi dengan sebuah interface berdasarkan network statement. Sekarang router bersikap sebagai sebuah DHCP server, membagi-bagikan alamat-alamat di subnet 192.168.10.0/24 dimulai dengan 192.168.10.1

R2(dhcp-config)# network 192.168.10.0 255.255.255.0

Konfigurasikan alamat default-router dan alamat server domain-name bagi network tersebut. Klien menerima pengaturan-pengaturan ini melalui DHCP, bersama dengan alamat IP

R2(dhcp-config)# dns-server 192.168.11.5
R2(dhcp-config)# default-router 192.168.10.1

Karena perangkat dari jaringan 192.168.11.0/24 juga meminta alamat-alamat dari R2, maka pool terpisah harus dibuat untuk melayani perangkat-perangkat pada network tersebut. Perintah-perintahnya sama dengan perintah-perintah yang ditunjukkan diatas:
R2(config)# ip dhcp pool R1Fa1
R2(dhcp-config)# network 192.168.11.0 255.255.255.0
R2(dhcp-config)# dns-server 192.168.11.5
R2(dhcp-config)# default-router 192.168.11.1

Step 3: Test DHCP
Pada PC1 dan PC2 test apakah masing-masing PC menerima satu alamat IP secara otomatis.

Step 4: Mengkonfigurasi alamat helper
Layanan network seperti DHCP bergantung pada broadcast layer 2 untuk bisa bekerja. Ketika server yang menyediakan layanan ini berada pada subnet yang berbeda dengan klien, server tidak dapat menerima paket-paket broadcast (biasanya paket-paket broadcast ini terhenti pada ruter atau dengan kata lain, ruter-ruter tidak meneruskan paket broadcast). Sehingga klien gagal mendapatkan alamat IP secara otomotis dari DHCP server.

Karena server DHCP dan klien DHCP tidak pada subnet yang sama, konfigurasi R1 untuk meneruskan paket-paket broadcast ke R2, dimana R2 adalah server DHCP, menggunakan perintah ip helper-address (perintah pada konfigurasi interface).

Perhatikan bahwa ip helper-address harus dikonfigurasi pada setiap interface yang terlibat.
R1(config)# interface fa0/0
R1(config-if)# ip helper-address 10.1.1.2
R1(config-if)# interface f0/1
R1(config-if)# ip helper-address 10.1.1.2

Step 5: Release dan renew alamat IP pada PC1 dan PC2
Tergantung atas apakah PC-PC kamu pernah digunakan di lab yang berbeda, atau terkoneksi ke internet, mereka mungkin sudah menerima alamat IP secara otomatis dari server DHCP yang berbeda. Kita butuh membersihkan alamat IP ini dengan menggunakan perintah ipconfig /release dan ipconfig /renew.

Step 6: Memeriksa konfigurasi DHCP pada ruter DHCP server
Kamu dapat memeriksa konfigurasi server DHCP dalam beberapa cara yang berbeda. Kamu dapat mengeluarkan perintah show ip dhcp binding untuk melihat alamat IP DHCP yang saat ini sedang diserahkan. Contohnya, output berikut ini menunjukkan bahwa alamat IP 192.168.10.11 telah diberikan kepada alamat MAC 3031.632e.3537.6563. Peminjaman IP berakhir pada 14 September 2007, jam 7:33 pm.

Perintah show ip dhcp pool menampilkan informasi tentang pool-pool DHCP yang saat ini terkonfigurasi pada ruter. Pada output ini, pool R1Fa0 dikonfigurasi pada R1. Satu alamat telah dipinjamkan dari pool ini. Klien berikutnya yang menyampaikan permintaan akan menerima 192.168.10.12

Perintah debug ip dhcp server events dapat sangat berguna dalam memecahkan masalah peminjaman-peminjaman pada Cisco IOS DHCP server. Gambar berikut ini adalah output dari debug pada R1 setelah menghubungkan sebuah host. Perhatikan bahwa bagian yang disorot menunjukkan DHCP memberikan klien sebuah alamat 192.168.10.12 dan mask 255.255.255.0

5. Konfigurasi Static routing dan default routing
ISP menggunakan static ruting untuk menjangkau semua network diatas R2. Akan tetapi, R2 menterjemahkan alamat-alamat private kedalam alamat public sebelum mengirimkan trafik ke ISP. Oleh karena itu, ruter ISP harus dikonfigurasi dengan alamat public yang menjadi bagian dari konfigurasi NAT pada R2. Masukkan static route berikut pada ruter ISP:

ISP(config)# ip route 209.165.200.240 255.255.255.240 serial 0/0/1

Static route ini mencakup semua alamat yang di-assign ke R2 untuk penggunaan public.

Konfigurasi sebuah default route pada R2 dan propagasikan rute ini dalam OSPF:
R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.226
R2(config)# router ospf 1
R2(config-router)# default-information originate
R2(config-router)# end

Izinkan beberapa detik untuk R1 dapat mempelajari default route yang dikirimkan dari R2 dan kemudian cek ruting tabel R1. Sebagai alternatif, kamu dapat membersihkan tabel ruting R1 dengan perintah clear ip route *. Sebuah default route yang menunjuk ke R2 akan muncul di tabel ruting R1.

Dari R1, ping interface serial 0/0/1 pada ruter ISP (209.165.200.226)

6. Konfigurasi Static NAT
Step 1: Secara statik memetakan sebuah alamat IP publik ke alamat IP private
R2(config)# ip nat inside source static 192.168.20.254 209.165.200.254

Step 2: Jelasin inside NAT interface dan outside NAT interface
Sebelum NAT dapat bekerja, kamu harus menjelaskan interfaces mana yang inside dan interface mana yang outside.
R2(config)# interface serial 0/0/1
R2(config-if)# ip nat outside
R2(config)# interface fa0/0
R2(config-if)# ip nat inside

Step 3: Verify static NAT configuration
Dari ruter ISP, ping alamat IP public 209.165.200.254

7. Konfigurasi NAT dynamic dengan pool alamat-alamat
Sementara static NAT menyediakan pemetaan permanen antara alamat internal dan sebuah alamat IP publik spesifik, NAT dinamis memetakan alamat IP private ke alamat public. Alamat IP publik ini datang dari sebuah pool NAT.

Step 1: Define a pool of global addresses
Buat sebuah pool alamat-alamat yang kemana alamat-alamat source yang cocok diterjemahkan. Perintah berikut membuat sebuah pool yang bernama MY-NAT-POOL yang menterjemahkan alamat-alamat yang cocok ke sebuah alamat IP yang tersedia di dalam range 209.165.200.241 - 209.165.200.246

R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248

Step 2: Buat sebuah ACL extended untuk mengidentifikasi alamat-alamat inside yang akan diterjemahkan.
R2(config)# ip access-list extended NAT
R2(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any
R2(config-ext-nacl)# permit ip 192.168.11.0 0.0.0.255 any

Step 3: Binding pool MY-NAT-POOL dengan ACL yang baru dibuat untuk mendirikan translasi source dinamis.
R2(config)# ip nat inside source list NAT pool MY-NAT-POOL

Sebuah ruter boleh mempunyai lebih dari satu pool NAT dan lebih dari satu ACL. Perintah diatas memerintahkan router pool alamat mana yang digunakan untuk menterjemahkan host-host yang diperbolehkan oleh ACL.

Step 4: Tentukan NAT interface inside dan NAT interface outside
R2(config)# interface serial 0/0/0
R2(config-if)# ip nat inside

Step 5: Verify the configuration
Pada R2 (ruter yang bertugas sebagai NAT), keluarkan perintah show ip nat translation dan show ip nat statistics

Pengkabelan UTP

Router ke router : Kabel Cross
Router ke switch : Kabel Straight
Router ke access-point :
Router ke PC :

Switch ke Router
Switch ke Switch
Switch ke Access-point
Switch ke PC

Access-point ke Router
Access-point ke Switch
Access-point ke Access-point
Access-point ke PC

PC ke Router
PC ke Switch
PC ke Access-Point
PC ke PC: Kabel Cross

Access-list Exercise

Tugas 1:
Blok akses semua host dari network 192.168.10.0/24 ke host-host network 192.168.30.0/24

1. Tes ping dari PC1 ke PC3 atau dari PC1 ke interface f0/0 R3 terlebih dahulu. Dipastikan hasilnya reply.

2. Selanjutnya mulai proses pembuatan access list.
Buat access-list untuk blok access PC1 ke PC3 atau ke interface f0/0 r3
R3(config)#ip access-list standard STND-1
R3(config)#deny 192.168.11.0 0.0.0.255 log
R3(config-std-nacl)# permit any

3. Aplikasikan access-list STND-1 yang telah dibuat diatas ke interface Serial 0/0/1 R3 agar berfungsi sebagai filter paket masuk ke R3 yang melalui interface Serial0/0/1

R3(config)# interface serial 0/0/1
R3(config-if)# ip access-group STND-1 in
R3# copy run start

4. Test ACL
Tes kembali ping dari PC1 ke PC3 atau dari PC1 ke interface f0/0 R3.
Hasilnya akan timeout

Tugas 2:
Blok akses semua host 192.168.10.0 ke alamat-alamat internet; dalam hal ini alamat internet diwakili oleh interface loopback0 R2 yang sengaja disimulasikan sebagai alamat internet.

1. Tes ping dari PC1 ke 209.165.200.225. Hasilnya dipastikan berhasil.

2. Selanjutnya mulai pembuatan access-list extended, karena alamat tujuan yang dilarang diketeahui yaitu 209.165.200.225.

Kalau alamat tujuan yang dilarang tidak dijelaskan/dispesifikasikan, maka boleh menggunakan access-list standard.

R1(config)# ip access-list extended EXTEND-1
R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 host 209.165.200.255
R1(config-ext-nacl)#permit any any
R1(config-ext-nacl)#end

3. Aplikasikan access-list EXTEND-1 ke interface f0/0 R1
R1(config)# interface fa0/0
R1(config-if)# ip access-group EXTEND-1 in
R1(config-if)# exit
R1(config)# exit
R1# copy run start

4. Test ACL
Test ping dari PC1 ke 209.165.200.225. Jika fail, maka ACL sudah berjalan.

Tugas 3: Kontrol access ke line-line VTY dengan standard ACL
Misalkan network 192.168.10.0/24 adalah network administrator IT suatu perusahaan XYZ. Konfigurasilah agar hanya PC dari network ini yang boleh melakukan remote administration (telnet) ke perangkat-perangkat jaringan misal: router dan switch di perusahaan itu.

1. Konfigurasi ACL
R2(config)# ip access-list standard REMOTEADM
R2(config-std-nacl)# permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)# permit 192.168.30 0.0.0.255
R2(config)#line vty 0 4
R2(config-line)# access-class TASK-5 in
R2(config-line)# end
R2# copy run start

2. Test ACL

Footnote:
access list standard selalu close to destination
access list extended selalu close to source

accesslist extended selalu inbound
accesslist standard tergantung:
- jika kaki router hanya 2, accesslist standard biasanya inbound,
- jika kaki router lebih dari 2, accesslist standard biasanya outbound
- jika kaki router di sub interface, accesslist standard biasanya outbound

Basic access control lists exercise

An essential part of network security is being able to control what kind of traffic is being permitted to reach your network, and where that traffic is coming from.

Tugas: You are configuring a standard ACL. The ACL is designed to block traffic from the 192.168.11.0/24 network located in a student lab from accessing any local network on R3.

Solution:
Step 1: Create the ACL on router R3
- In global configuration mode, create a standard named ACL called STND-1

R3(config)# ip access-list standard STND-1

- While in standard configuration mode, add a statement that denies any packets with a source address of 192.168.11.0/24 and prints a message to the console for each matched packet.
R3(config-std-nacl)# deny 192.168.11.0 0.0.0.255 log

- Permit all other traffic
R3(config-std-nacl)# permit any

Step 2: Apply the ACL
Apply the ACL STND-1 as a filter on packets entering R3 through Serial interface 0/0/1
R3(config)# interface serial 0/0/1
R3(config-if)# ip access-group STND-1 in
R3(config-if)# end
R3# copy run start

Step 3: Test the ACL
Before testing the ACL, make sure that the console of R3 is visible. This will allow you to see the access list log message when packet is denied.

Test the ACL by pinging from PC2 to PC3. Since the ACL is designed to block traffic with source address from the 192.168.11.0/24 network, PC2 (192.168.11.10) should not be able to ping PC3

You can also use an extended ping from fa0/1 interface on R1 to the Fa0/1 interface on R3.
R1# ping ip
Target IP address: 192.168.30.1
Repeat count[5]:
Datagram size[100]:
Timeout in seconds[2]:
Extended commands[n]: y
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP echoes to 192.168.30.1. timeout is 2 seconds:
Packet sent with source address of 192.168.11.1
U.U.U
Success rate is 0 percent (0/5)

You should see the following message on the R3 console:
*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet

Di privileged EXEC mode on R3, issue the show access-list command.You see the output similiar to the following. Each line of an ACL has an associated counter showing how many packets have matched the rule.

Standard IP access list STND-1
10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches)
20 permit any (25 matches)

The purpose of this ACL was to block hosts from the 192.168.11.0/24 network. Any other hosts such as those on the 192.168.10.0/24 network should be allowed access to the networks on R3. Conduct another test from PC1 to PC3 to ensure that this traffic is not blocked.

You can also use an extended ping from the Fa0/0 interface on R1 to the Fa0/1 interface on R3.

R1#ping ip
Target IP address: 192.168.30.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

Tugas 2: Configuring an Extended ACL
Kalau ingin lebih halus, kamu harus menggunakan extended ACL. Extended ACL dapat menyaring trafik berdasarkan lebih dari hanya alamat source. Extended ACL bisa memfilter protocol, alamat source, alamt destination IP, dan source port number dan destination port number.

Satu tambahan policy lagi untuk jaringan ini, semua perangkat dari LAN 192.168.10.0/24 hanya dibolehkan untuk mencapai jaringan internal; komputer-komputer di jaringan ini tidak diperbolehkan untuk mengakses internet. Oleh karena itu, komputer-komputer ini harus diblok untuk mencapai alamat IP 209.165.200.225. Karena persyaratan ini butuh memaksakan source dan destination, maka sebuah ACL extended dibutuhkan.

Pada tugas ini, kamu mengkonfigurasi sebuah extended ACL pada R1 yang memblok trafik yang berasal dari perangkat manapun di jaringan 192.168.10.0/24 untuk mengakses 209.165.200.255 (ISP tersimulasi). ACL ini akan diaplikasikan outbound pada inteface serial 0/0/0 R1.

Sebuah best-practice untuk mengaplikasikan extended ACL adalah meletakkan mereka sedekat mungkin ke sumber.

Sebelum dimulai, pastikan bahwa kamu bisa ping ke 209.165.200.225 dari PC1.

Langkah 1: mengkonfigurasi sebuah ACL extended bernama
Di mode global configuration, buat sebuah ACL extended bernama EXTEND-1

R1(config)#ip access-list extended EXTEND-1

Perhatikan perubahan prompt untuk menunjukkan bahwa kamu sekarang berada di mode extended ACL. Dari prompt ini, tambahkan statement-statement penting untuk meblok trafik dari network 192.168.10.0/24 ke host 209.165.200.255. Gunakan kata host ketika mendefinisikan tujuan.

R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

Ingat kembali implisit "deny all" memblok semua trafik jika tidak ada statement permit tambahan. Tambahkan pernyataan permit untuk memastikan bahwa trafik yang lain tidak terblok

R1(config-ext-nacl)#permit ip any any

Langkah 2: mengaplikasikan ACL
ACL standard, best practice nya adalah meletakkan ACL dekat dengan destination. Extended ACL biasanya diletakkan dekat dengan sumber (source). The EXTEND-1 ACL akan diletakkan pada interface serial, dan akan menyaring trafik outbound.

R1(config)#interface serial 0/0/0
R1(config-if)#ip access-group EXTEND-1 out log
R1(config-if)#end
R1#copy run start

Langkah 3: menguji ACL
Dari PC1, coba ping interface loopback R2. Ping ini seharusnya fail, karena semua trafik dari network 192.168.10.0/24 difilter ketika tujuan adalah 209.165.200.255. Jika tujuan alamat lain, ping akan berhasil.

Catatan: Trafik yang digenerate oleh R1 tidak bisa difilter dengan menggunakan ACL ini.

Untuk lebih lanjutnya, kamu bisa memastikan ini dengan mengeluarkan perintah show ip access-list pada R1 setelah mengeping.

R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches)
20 permit ip any any

Tugas 3: Mengendalikan akses ke line-line VTY dengan sebuah standard ACL
Sebuah ACL bisa diaplikasikan ke line-line vty, memungkinkan kamu untuk membatasi akses remote administration ke host-host tertentu atau network-network tertentu.

Pada contoh berikut ini, kamu akan mengkonfigurasikan sebuah standard ACL untuk mengizinkan host-host dari 2 network untuk bisa mengakses line-line VTY router. Host-host yang lain di-deny.

Langkah 1: Konfigurasi ACL

R2(config)#ip access-list standard TASK-5
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255

Langkah 2: Mengaplikasikan ACL pada line vty 0 4

R2(config)#line vty 0 4
R2(config-line)#access-class TASK-5 in
R2(config-line)#end
R2#copy run start

Langkah 3: Menguji ACL
Telnet ke R2 dari R1. Percobaan koneksi akan gagal, karena IP address R1 termasuk yang ter-deny.
Telnet ke R2 dari R3. Percobaan koneksi akan berhasil;, karena alamat IP R3 tidak termasuk yang ter-deny.

Tugas 4: Troubleshooting ACL
Ketika sebuah ACL tidak secara benar dikonfigurasi atau diaplikasikan ke interface yang salah atau dalam arah yang salah, trafik jaringan akan bisa terganggu.

Step 1: Menghilangkan ACL STND-1 dari S0/0/1 router R3
Pada tugas awal, kamu telah membuat dan mengaplikasikan sebuah ACL standar bernama pada R3. Dengan menggunakan perintah show running-config untuk melihat ACL dan penempatannya. Kamu harusnya melihat bahwa sebuah ACL bernama STND-1 telah dikonfigurasi dan diaplikasikan inbound pada Serial 0/0/1. Ingat kembali bahwa ACL ini dirancang untuk memblok semua trafik jaringan dengan alamat source dari 192.168.11.0/24 dalam mengakses LAN pada R3.

Untuk menghilangkan ACL, pergi ke mode konfigurasi interface untuk Serial0/0/1 pada R3. Gunakan perintah no ip access-group STND-1 in untuk menghilangkan ACL dari interface.

R3(config)#interface serial 0/0/1
R3(config-if)#no ip access-group STND-1 in

Gunakan perintah show running-config untuk mengkonfirmasikan bahwa ACL telah dihilangkan dari interface Serial0/0/1.

Step 2: Mengaplikasikan ACL STND-1 pada S0/0/1 outbound