Blok IP from Router [Route Map]
Ada beberapa settingan router yang menurutku bagus untuk disimpan dalam catatan harian.
Awalnya dapat instruksi dari pelanggan untuk dapat mem"blok" ip pc yang beralamat 172.22.8.27 & 172.22.8.33 pada router dilokasi agar tidak dapat ber"internetan" seperti ip pc yang lain. Kebetulan, router yg ada di manage oleh perusahaan penyedia jasa komunikasi data. Jadi pengelolaannya bukan di bawah kontrol pelanggan.
Setelah dicek dan menerapkan beberapa perintah accest-list tambahan, ip pc tersebut berhasil di blok. Yang membuat settingan ini penting karena access-list yang diterapkan di interface router menggunakan route map, padahal selama ini aku biasa menggunakan access-list extended. Biar catatannya ga hilang, maka aku coba memaparkannya di sini.
======================================================
PELANGGAN# sh run
Building configuration…
Current configuration : 3063 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname PELANGGAN
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 $1$Wk3H$GDRVm7K271yD5TOOQRTPJ0
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
voice-card 2
!
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
username admin password 7 0608983989438748680E324541071809
!
!
!
!
interface FastEthernet0/0
description Link to LAN
ip address 172.22.8.1 255.255.255.0
ip policy route-map blok-internet
speed auto
!
interface Serial0/0
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ansi
!
interface Serial0/0.1 point-to-point
description Link to WAN
ip address 172.16.6.10 255.255.255.252
frame-relay interface-dlci 50
!
interface Serial0/1
no ip address
shutdown
!
ip classless
!
!
no ip http server
no ip http secure-server
!
ip access-list extended blok-internet
deny ip host 172.22.8.22 any
deny ip host 172.22.8.23 any
deny ip host 172.22.8.25 any
deny ip host 172.22.8.26 any
deny ip host 172.22.8.27 any
deny ip host 172.22.8.33 any
permit ip 172.22.8.0 0.0.0.255 any
ip access-list extended fr
permit ip 172.22.8.0 0.0.0.255 128.65.11.0 0.0.0.255
permit ip 172.22.8.0 0.0.0.255 172.22.2.0 0.0.0.255
permit ip 172.22.8.0 0.0.0.255 192.168.11.0 0.0.0.255
!
route-map blok-internet permit 5
match ip address fr
set ip next-hop 172.16.6.9
!
route-map blok-internet permit 10
match ip address blok-internet
set ip next-hop 172.22.8.10
!
!
control-plane
!
!
!
voice-port 2/0
cptone ID
!
voice-port 2/1
cptone ID
!
!
!
!
!
!
dial-peer voice 100 pots
destination-pattern 100
!
dial-peer voice 200 pots
destination-pattern 200
!
!
line con 0
login local
line aux 0
line vty 0 4
password 7 06080E32454107898989766767771809
login local
!
end
PELANGGAN#
======================================================
Untuk memverifikasi access-list yang terpasang berhasil diterapkan atau tidak maka gunakan perintah : show access-list. Selanjutnya, kita dapat menambahkan daftar ip lan yang akan diblok sesuai dengan kebijakan masing-masing administrator.