Konfigurasi Dasar Cisco Switch
fathurhoho

Konfigurasi Dasar Cisco Switch

Published by:
Umumnya, konfigurasi adalah tahapan yang paling disukai seorang pelajar, sayangnya banyak sekali pemula yang langsung lompat ke konfigurasi extrem seperti InterVLAN dengan puluhan region, Rapid Spanning Tree, private VLAN, dan seterusnya tanpa memahami konsep dasar terlebih dahulu.

Artikel ini merupakan lanjutan dari Konsep Dasar Switching sebelumnya.
Jika kamu belum memahaminya. Saya sarankan untuk membacanya sekarang.

Saya tidak menggunakan topologi yang kompleks disini, cukup dengan SATU BUAH switch. Kamu dapat menggunakan Catalyst Switch layer 2 jenis apapun, enaknya gunakan Catalyst 2960 Layer 2. Jika kamu punya perangkat asli, bagus sekali.

Jika tidak, silakan pakai packet tracer saja.

Kenapa tidak menggunakan GNS3? Karena ini hanya konfigurasi dasar, semuanya bisa dilakukan bahkan dengan packet tracer. Jika kamu ingin menggunakan GNS3, silakan.

Saya menggunakan Cisco Catalyst 3750 seperti gambar berikut:
Cisco Catalyst 3750
Cisco Catalyst 3750
Perhatikan beberapa bagian yang saya tandai pada gambar:
  1. Tombol mode, sebut saja tombol sakti. Biasanya digunakan untuk reset password.
  2. LED Indicator. Ini penting diperhatikan. Contohnya SYST, jika normal LED akan berwarna hijau. Jika amber / kekuningan / pijar, itu artinya switchnya kacau, siap-siap diganti.
  3. Switch yang saya gunakan mendukung console over USB. Cisco menyediakan kabel ini atau kita bisa membelinya. Catalyst 3750 ini juga mendukung stacking, tidak perlu dipikirkan di ruang lingkup CCNA. Kita hanya perlu mengetahui fungsi stacking itu untuk menyatukan beberapa switch menjadi satu fisik.

Baiklah, selebihnya kamu bisa merujuk ke docs Cisco agar lebih jelas.

Saya sengaja membahas ini pertama sebagai gambaran saja, agar nantinya tidak canggung ketika mengkonfigurasi perangkat asli. Apalagi jika kebiasaan menggunakan packet tracer, sedikit sekali pelajar yang mencoba mencaritau gambaran fisik yang ada di packet tracer, padahal ini penting.

Ingat, walaupun saya menggunakan multilayer switch, topik kita kali ini sebatas layer 2 switch. Tidak lebih, sehingga konfigurasi yang kita lakukan juga tidak banyak.

Setidaknya ada 3 kriteria switch ketika baru dinyalakan:

  1. Switch bersifat out of the box, nyalain, selesai. Semua port akan aktif dan siap digunakan.
  2. Tidak ada tombol power. Command buat power off / shutdown juga tidak ada.
  3. Tidak selalu switch yg kita gunakan keadaannya clear (dalam arti konfigurasi nya kosong).
Itulah yang akan kita bahas kali ini.

1 Konfigurasi Awal Cisco Catalyst Switch

Ada sebuah rahasia, tidak seperti laptop atau handphone, switch tidak punya layar!
Mantaps!

Jadi, cara konfigurasi di dunia nyata tidak seperti di packet tracer atau di GNS3, tinggal klik, lalu berhadapan dengan CLI.

Ada 2 cara:
  • Cara pertama: Akses langsung dengan kabel console. Caranya sudah saya jelaskan disini.
  • Cara kedua: Menggunakan telnet atau SSH. Ini yang akan kita konfigurasi.
Kalau kamu menggunakan packet tracer, caranya seperti berikut:
Konfigurasi Dasar Cisco Switch
Sesuaikan nilai bits, flow control, dst sesuai gambar. Lalu OK. Jangan lupa untuk mengkonfigurasi IP address di PC client seperti tertera pada gambar, catat juga mac address masing-masing client.
We will playing with them.

Pertama, saya hanya ingin memastikan kalau konfigurasi switch benar-benar kosong. Jika masih ada konfigurasi yang lama, mari kita kosongkan.
Switch#erase startup-config 
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]y[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Switch#reload
Lalu gunakan perintah # show ip interface brief
Perhatikan bari interface VLAN, down atau up?

Apapun hasil yang kamu liat disana, interface tersebut harus UP. Ingat, di interface switch layer 2 tidak bisa diberi IP. Oleh karena itu kita memberi IP di interface VLAN, defaultnya adalah VLAN 1. Native vlan, untuk kebutuhan management juga defaultnya di VLAN 1.

Cisco menyarankan untuk menggantinya ke VLAN lain demi alasan keamanan. Tidak kita bahas sekarang.

Berikut konfigurasinya:
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int vlan 1
Switch(config-if)#ip add 172.16.20.1 255.255.255.192
Switch(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Selanjutnya konfigurasi telnet di switch, lakukan perintah seperti berikut:
Switch(config)#line vty 0 15
Switch(config-line)#password fathurhoho-telnet
Switch(config-line)#login
Switch(config-line)#exit
Jangan lupa berikan password untuk enable:
Switch(config)#enable password fathurhoho-en
Kalau tidak, ketika melakukan telnet nanti tidak akan bisa masuk ke privilleged mode. Kamu akan mendapat pesan error seperti ini:
Switch>en
% No password set
Nah, sekarang kita sudah bisa melakukan telnet dari PC lain tanpa harus repot-repot nyolok kabel console ke switch. Tapi, kamu belum bisa melakukan telnet ke switch dari jaringan lain (remote network).

Mengingat topologi sekarang hanya dalam satu jaringan, tidak kita lakukan.
Nanti jika topologinya berkembang, tinggal gunakan perintah berikut di mode configuration:
Switch(config)#ip default-gateway ?
A.B.C.D  IP address of default gateway
Oh ya, Pertama kali terhubung ke switch dengan kabel console tadi kita tidak diminta memasukkan password apapun. For security purpose, mari lakukan konfigurasi yang sama di line console.

Bedanya line console cuma 1, karena ini line fisik.
Switch(config)#line console 0
Switch(config-line)#password fathurhoho-console
Switch(config-line)#login
Switch(config-line)#exit
Sampai disitu saja.

Tujuan utamanya agar kita bisa melakukan remote ke switch + memberi sedikit pengamanan. Penjelasan konfigurasi yang lebih detil seperti local authentication, ssh, jenis-jenis privillege, akan saya bahas di lain kesempatan.

Sekarang silakan lakukan percobaaan telnet dari PC-A ke switch. Kalau gagal, usahakan berhasil :))

2 Konfigurasi Port Security Switch

Kembali ke kriteria switch yang sudah saya katakan diawal, pertama kali switch dinyalakan, semua port nya akan aktif dan siap pakai.

Ini berarti, siapapun bisa menghubungkan perangkatnya ke switch dan siap terkoneksi ke jaringan kita. Oleh karena itu praktik terbaiknya adalah dengan mematikan port-port yang tidak terpakai dan mengamankan port switch. Setelah itu perlu juga dilakukan konfigurasi port security.

Nantinya hanya perangkat tertentu (berdasarkan mac address) yang bisa terhubung ke switch.

Langsung ke topologinya.
Konfigurasi port-security Switch
Skenarionya seperti berikut:
  • Hanya PC-C yang bisa terhubung ke fa0/3, tidak boleh ada perangkat lain. Daftarkan mac address PC-C ke port fa0/3 switch secara statis.
  • Hanya PC-B dan PC-A yang bisa terhubung ke fa0/2. Daftarkan mac address PC-A dan PC-B ke port fa0/3 secara dinamis.
  • Jika terjadi pelanggaran (violation), maka port tersebut akan shutdown otomatis.
Sebelum kita mulai, saya kasih penjelasan tentang port security di switch.

a. Konsep Dasar Switchport Port-Security Catayst Switch

Port switch yang sudah dikonfigurasi port-security akan memeriksa mac address source dari sebuah frame yang dia terima. Jika mac address tersebut sudah terdaftar baik dengan statis maupun dinamis, maka frame akan diforward.

Hanya dengan mendaftarkan mac address tidak akan membuat port security aktif, ada parameter lain yang harus dikonfigurasi, yaitu:
  • Jumlah maksimum mac address yang allowed.
  • Action yang dilakukan ketika violation terjadi.
Perhatikan output dari perintah berikut:
Switch(config)#int range fa0/1 -3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security 
Switch(config-if)#do show port-security int fa0/3
 Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
 Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
 Security Violation Count : 0
Konfigurasi port-security harus dilakukan dibawah interface configuration mode. Mode switchport port security harus access, atau trunk. Tidak akan berhasil jika masih auto negotiation. Negotiation mode ini akan kita bahas jika sudah sampai ke VLAN dasar.

Cara mengaktifkan port-security cukup dengan perintah #switchport port-security.
Secara default, violation mode adalah shutdown, dan maximum mac address adalah 1. Ini yang akan kita ubah sesuai skenario.

Maksimum mac address yang bisa didaftarkan juga beda-beda, tergantung switch. Biasanya dari 4096 - 8192 bahkan bisa lebih, silakan di share di kolom komentar kapasitas switch yg kamu gunakan. Secure-up disitu artinya port switch saya sudah terkoneksi ke hosts, kalau belum maka statusnya akan secure-down.

Ingat,..
ini status port security, bukan status interface physical switch -- dan seterusnya hingga security violation count yang berarti jumlah violation yang telah terjadi di port security tersebut.

b. Violation Mode pada Switchport Port Security Cisco Catalyst Switch

Disini kita hanya menggunakan violation shutdown, sebenarnya ada 3.
Silakan jika kamu ingin mencoba violation mode yang lain:
  • Violation mode shutdown: menyebabkan status interface akan menjadi err-disabled state. After that, we should re-up this interface manually!
  • Violation mode restrict dan protect, keduanya hampir sama. Tapi port tidak akan err-disabled state.
Lebih jelas lihat tabel berikut:
Switch(config-if)#switchport port-security violationShutdownProtectRestrict
Interface akan disabled dengan status err-disabledYaTidakTidak
Membuat traffic yang datang dari arah portYaYaYa
Increment jumlah violation count yang terjadiYaTidakYa
Mengirim pesan log dan SNMPTidakYaYa

c. Konfigurasi

Namanya keamanan biasa selalu berbanding terbalik dengan kenyamanan. Dengan violation mode shutdown, kita harus mengaktifkan lagi port-port tersebut secara manual, merepotkan.

Faktanya, hal seperti ini hanya sering dilakukan di jaringan skala kecil, jika sudah enterprise lebih memilih menerapkan 802.1x (protokol authentikasi di ethernet).

Selain itu, mendaftarkan mac address perangkat satu persatu juga tak kalah merepotkan. Bayangkan kamu harus mendaftarkan ratusan mac address host di jaringan. wohoho.

Satu-satu solusinya adalah dengan menggunakan sticky mac address. Secara dinamis, switch akan mencatat mac address perangkat yang pertama kali terhubung ke dirinya, sampai jumlah maximum yang sudah kita tentukan. Hasilnya nanti akan terlihat di runnig-configuration.

Baiklah, masih ingat skenario kita tadi? Saya hanya tidak ingin menyertakan konfigurasi panjang disini tanpa penjelasan apa-apa. Karena konfigurasi tanpa pemahaman konsep sama saja, percuma.

Oke.
Mari kita selesaikan secara adat.

Sesuaikan konfigurasi berikut dengan lab kamu masing-masing.
Switch(config)#int range fa0/1 -3
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security violation shutdown 
Switch(config-if-range)#int fa0/3
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address 0004.9A58.21E5
Switch(config-if)#int fa0/2
Switch(config-if)#switchport port-security maximum 2
Switch(config-if)#switchport port-security mac-address sticky

Setelah itu lakukan hal berikut:
  • Putus sambungan PC-A dari switch, lalu hubungkan PC-C ke fa0/3.
  • Putus sambungan PC-A dari switch, lalu hubungkan PC-C ke fa0/2.
  • Verifikasi status port security di switch. Bandingkan dengan status port security di fa0/1, agar kamu bisa membedakan status port yang normal dengan port yang has violation occured.

Silakan nge-lab secara out of the box, kamu bisa menciptakan skenario sendiri. Lihat jumlah violation count dan log (jika kamu menggunakan mode protect atau restrict).
Happy config!!

# Challenge-Lab!! Configuring Switchport Port-Security and Basic IP Routing

Challenge Lab Basic Routing and Switching
#Challenge-Lab#
Basic Configuration Switching and Routing
Seperti biasa, saya menyediakan lab sebagai bahan latihan.
Sesungguhnya lab ini tidak sekejam yang dibayangkan.

Konfigurasi Routing

  • R1 - menggunakan next-hop IP address
  • R2 - menggunakan exit interface
  • Gateway harus benar, pastikan semua perangkat bisa saling komunikasi (PING).

Konfigurasi Switching

  • SW1 - Daftarkan mac address PC-A ke port e1 switch agar nanti switch langsung menforward frame tanpa harus learning address lagi, begitu juga port SW2 yang mengarah ke R2.
  • Setiap switch harus bisa di telnet, lakukan konfigurasi password telnet maupun console. Jangan lupa konfigurasi password untuk privilleged mode.
  • Lakukan konfigurasi port security dengan maximum number mac address 5 di port SW2 ke SW3, jika ada mac address baru, pastikan frame ke discard, khusus SW3 port tidak shutdown dan event ini harus terekam di log switch.

Selebihnya konfigurasi sesuai pada gambar, IP maupun interfacenya silakan disesuaikan dengan lab masing-masing. Jika kamu kesulitan, silakan mengisi kolom komentar dibawah ini.

Mengenai routing, kamu dapat membaca artikel saya tentang Konsep Dasar Routing dan Konfigurasinya.

Referensi

• Todd Lammle - CCNA Routing Switching Complete Study Guide 2nd Version
• Wendell Odom - CCENT/CCNA ICND1 100-105 Official Certification Guide
• Paul Browning - Cisco CCNA in 60 Days
• https://www.cisco.com/: Catalyst Installation Guide

2 comments:

  1. Kak nanya, jika saat pertama menggunakan
    Switch tidak dikonfigurasi terlebih dahulu apa yang akan terjadi kak

    ReplyDelete
    Replies
    1. Seperti yang sudah disinggung di atas, switch sifatnya out of the box, bisa langsung digunakan tanpa diconfig:
      - Mode port defaultnya akan "Dynamic Auto": bisa trunk, bisa access. Mode access dengan default vlan 1
      - Semua interface dalam keadaan UP, bisa digunakan tanpa harus "no shut" oleh admin

      Delete

Berkomentarlah dengan bijak