Artikel ini merupakan lanjutan dari Konsep Dasar Switching sebelumnya.
Jika kamu belum memahaminya. Saya sarankan untuk membacanya sekarang.
Saya tidak menggunakan topologi yang kompleks disini, cukup dengan SATU BUAH switch. Kamu dapat menggunakan Catalyst Switch layer 2 jenis apapun, enaknya gunakan Catalyst 2960 Layer 2. Jika kamu punya perangkat asli, bagus sekali.
Jika tidak, silakan pakai packet tracer saja.
Kenapa tidak menggunakan GNS3? Karena ini hanya konfigurasi dasar, semuanya bisa dilakukan bahkan dengan packet tracer. Jika kamu ingin menggunakan GNS3, silakan.
Saya menggunakan Cisco Catalyst 3750 seperti gambar berikut:
Cisco Catalyst 3750 |
- Tombol mode, sebut saja tombol sakti. Biasanya digunakan untuk reset password.
- LED Indicator. Ini penting diperhatikan. Contohnya SYST, jika normal LED akan berwarna hijau. Jika amber / kekuningan / pijar, itu artinya switchnya kacau, siap-siap diganti.
- Switch yang saya gunakan mendukung console over USB. Cisco menyediakan kabel ini atau kita bisa membelinya. Catalyst 3750 ini juga mendukung stacking, tidak perlu dipikirkan di ruang lingkup CCNA. Kita hanya perlu mengetahui fungsi stacking itu untuk menyatukan beberapa switch menjadi satu fisik.
Baiklah, selebihnya kamu bisa merujuk ke docs Cisco agar lebih jelas.
Saya sengaja membahas ini pertama sebagai gambaran saja, agar nantinya tidak canggung ketika mengkonfigurasi perangkat asli. Apalagi jika kebiasaan menggunakan packet tracer, sedikit sekali pelajar yang mencoba mencaritau gambaran fisik yang ada di packet tracer, padahal ini penting.
Ingat, walaupun saya menggunakan multilayer switch, topik kita kali ini sebatas layer 2 switch. Tidak lebih, sehingga konfigurasi yang kita lakukan juga tidak banyak.
Setidaknya ada 3 kriteria switch ketika baru dinyalakan:
- Switch bersifat out of the box, nyalain, selesai. Semua port akan aktif dan siap digunakan.
- Tidak ada tombol power. Command buat power off / shutdown juga tidak ada.
- Tidak selalu switch yg kita gunakan keadaannya clear (dalam arti konfigurasi nya kosong).
1 Konfigurasi Awal Cisco Catalyst Switch
Ada sebuah rahasia, tidak seperti laptop atau handphone, switch tidak punya layar!Mantaps!
Jadi, cara konfigurasi di dunia nyata tidak seperti di packet tracer atau di GNS3, tinggal klik, lalu berhadapan dengan CLI.
Ada 2 cara:
- Cara pertama: Akses langsung dengan kabel console. Caranya sudah saya jelaskan disini.
- Cara kedua: Menggunakan telnet atau SSH. Ini yang akan kita konfigurasi.
Sesuaikan nilai bits, flow control, dst sesuai gambar. Lalu OK. Jangan lupa untuk mengkonfigurasi IP address di PC client seperti tertera pada gambar, catat juga mac address masing-masing client.
We will playing with them.
Pertama, saya hanya ingin memastikan kalau konfigurasi switch benar-benar kosong. Jika masih ada konfigurasi yang lama, mari kita kosongkan.
Switch#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]y[OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Switch#reloadLalu gunakan perintah # show ip interface brief
Perhatikan bari interface VLAN, down atau up?
Apapun hasil yang kamu liat disana, interface tersebut harus UP. Ingat, di interface switch layer 2 tidak bisa diberi IP. Oleh karena itu kita memberi IP di interface VLAN, defaultnya adalah VLAN 1. Native vlan, untuk kebutuhan management juga defaultnya di VLAN 1.
Cisco menyarankan untuk menggantinya ke VLAN lain demi alasan keamanan. Tidak kita bahas sekarang.
Berikut konfigurasinya:
Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int vlan 1 Switch(config-if)#ip add 172.16.20.1 255.255.255.192 Switch(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSelanjutnya konfigurasi telnet di switch, lakukan perintah seperti berikut:
Switch(config)#line vty 0 15 Switch(config-line)#password fathurhoho-telnet Switch(config-line)#login Switch(config-line)#exitJangan lupa berikan password untuk enable:
Switch(config)#enable password fathurhoho-enKalau tidak, ketika melakukan telnet nanti tidak akan bisa masuk ke privilleged mode. Kamu akan mendapat pesan error seperti ini:
Switch>en % No password setNah, sekarang kita sudah bisa melakukan telnet dari PC lain tanpa harus repot-repot nyolok kabel console ke switch. Tapi, kamu belum bisa melakukan telnet ke switch dari jaringan lain (remote network).
Mengingat topologi sekarang hanya dalam satu jaringan, tidak kita lakukan.
Nanti jika topologinya berkembang, tinggal gunakan perintah berikut di mode configuration:
Switch(config)#ip default-gateway ? A.B.C.D IP address of default gatewayOh ya, Pertama kali terhubung ke switch dengan kabel console tadi kita tidak diminta memasukkan password apapun. For security purpose, mari lakukan konfigurasi yang sama di line console.
Bedanya line console cuma 1, karena ini line fisik.
Switch(config)#line console 0 Switch(config-line)#password fathurhoho-console Switch(config-line)#login Switch(config-line)#exitSampai disitu saja.
Tujuan utamanya agar kita bisa melakukan remote ke switch + memberi sedikit pengamanan. Penjelasan konfigurasi yang lebih detil seperti local authentication, ssh, jenis-jenis privillege, akan saya bahas di lain kesempatan.
Sekarang silakan lakukan percobaaan telnet dari PC-A ke switch. Kalau gagal, usahakan berhasil :))
2 Konfigurasi Port Security Switch
Kembali ke kriteria switch yang sudah saya katakan diawal, pertama kali switch dinyalakan, semua port nya akan aktif dan siap pakai.Ini berarti, siapapun bisa menghubungkan perangkatnya ke switch dan siap terkoneksi ke jaringan kita. Oleh karena itu praktik terbaiknya adalah dengan mematikan port-port yang tidak terpakai dan mengamankan port switch. Setelah itu perlu juga dilakukan konfigurasi port security.
Nantinya hanya perangkat tertentu (berdasarkan mac address) yang bisa terhubung ke switch.
Langsung ke topologinya.
Skenarionya seperti berikut:
- Hanya PC-C yang bisa terhubung ke fa0/3, tidak boleh ada perangkat lain. Daftarkan mac address PC-C ke port fa0/3 switch secara statis.
- Hanya PC-B dan PC-A yang bisa terhubung ke fa0/2. Daftarkan mac address PC-A dan PC-B ke port fa0/3 secara dinamis.
- Jika terjadi pelanggaran (violation), maka port tersebut akan shutdown otomatis.
a. Konsep Dasar Switchport Port-Security Catayst Switch
Port switch yang sudah dikonfigurasi port-security akan memeriksa mac address source dari sebuah frame yang dia terima. Jika mac address tersebut sudah terdaftar baik dengan statis maupun dinamis, maka frame akan diforward.Hanya dengan mendaftarkan mac address tidak akan membuat port security aktif, ada parameter lain yang harus dikonfigurasi, yaitu:
- Jumlah maksimum mac address yang allowed.
- Action yang dilakukan ketika violation terjadi.
Switch(config)#int range fa0/1 -3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#do show port-security int fa0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0Konfigurasi port-security harus dilakukan dibawah interface configuration mode. Mode switchport port security harus access, atau trunk. Tidak akan berhasil jika masih auto negotiation. Negotiation mode ini akan kita bahas jika sudah sampai ke VLAN dasar.
Cara mengaktifkan port-security cukup dengan perintah #switchport port-security.
Secara default, violation mode adalah shutdown, dan maximum mac address adalah 1. Ini yang akan kita ubah sesuai skenario.
Maksimum mac address yang bisa didaftarkan juga beda-beda, tergantung switch. Biasanya dari 4096 - 8192 bahkan bisa lebih, silakan di share di kolom komentar kapasitas switch yg kamu gunakan. Secure-up disitu artinya port switch saya sudah terkoneksi ke hosts, kalau belum maka statusnya akan secure-down.
Ingat,..
ini status port security, bukan status interface physical switch -- dan seterusnya hingga security violation count yang berarti jumlah violation yang telah terjadi di port security tersebut.
b. Violation Mode pada Switchport Port Security Cisco Catalyst Switch
Disini kita hanya menggunakan violation shutdown, sebenarnya ada 3.Silakan jika kamu ingin mencoba violation mode yang lain:
- Violation mode shutdown: menyebabkan status interface akan menjadi err-disabled state. After that, we should re-up this interface manually!
- Violation mode restrict dan protect, keduanya hampir sama. Tapi port tidak akan err-disabled state.
Switch(config-if)#switchport port-security violation | Shutdown | Protect | Restrict |
---|---|---|---|
Interface akan disabled dengan status err-disabled | Ya | Tidak | Tidak |
Membuat traffic yang datang dari arah port | Ya | Ya | Ya |
Increment jumlah violation count yang terjadi | Ya | Tidak | Ya |
Mengirim pesan log dan SNMP | Tidak | Ya | Ya |
c. Konfigurasi
Namanya keamanan biasa selalu berbanding terbalik dengan kenyamanan. Dengan violation mode shutdown, kita harus mengaktifkan lagi port-port tersebut secara manual, merepotkan.Faktanya, hal seperti ini hanya sering dilakukan di jaringan skala kecil, jika sudah enterprise lebih memilih menerapkan 802.1x (protokol authentikasi di ethernet).
Selain itu, mendaftarkan mac address perangkat satu persatu juga tak kalah merepotkan. Bayangkan kamu harus mendaftarkan ratusan mac address host di jaringan. wohoho.
Satu-satu solusinya adalah dengan menggunakan sticky mac address. Secara dinamis, switch akan mencatat mac address perangkat yang pertama kali terhubung ke dirinya, sampai jumlah maximum yang sudah kita tentukan. Hasilnya nanti akan terlihat di runnig-configuration.
Baiklah, masih ingat skenario kita tadi? Saya hanya tidak ingin menyertakan konfigurasi panjang disini tanpa penjelasan apa-apa. Karena konfigurasi tanpa pemahaman konsep sama saja, percuma.
Oke.
Mari kita selesaikan secara adat.
Sesuaikan konfigurasi berikut dengan lab kamu masing-masing.
Switch(config)#int range fa0/1 -3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security violation shutdown Switch(config-if-range)#int fa0/3 Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address 0004.9A58.21E5 Switch(config-if)#int fa0/2 Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security mac-address sticky
Setelah itu lakukan hal berikut:
- Putus sambungan PC-A dari switch, lalu hubungkan PC-C ke fa0/3.
- Putus sambungan PC-A dari switch, lalu hubungkan PC-C ke fa0/2.
- Verifikasi status port security di switch. Bandingkan dengan status port security di fa0/1, agar kamu bisa membedakan status port yang normal dengan port yang has violation occured.
Silakan nge-lab secara out of the box, kamu bisa menciptakan skenario sendiri. Lihat jumlah violation count dan log (jika kamu menggunakan mode protect atau restrict).
Happy config!!
# Challenge-Lab!! Configuring Switchport Port-Security and Basic IP Routing
#Challenge-Lab# Basic Configuration Switching and Routing |
Sesungguhnya lab ini tidak sekejam yang dibayangkan.
Konfigurasi Routing
- R1 - menggunakan next-hop IP address
- R2 - menggunakan exit interface
- Gateway harus benar, pastikan semua perangkat bisa saling komunikasi (PING).
Konfigurasi Switching
- SW1 - Daftarkan mac address PC-A ke port e1 switch agar nanti switch langsung menforward frame tanpa harus learning address lagi, begitu juga port SW2 yang mengarah ke R2.
- Setiap switch harus bisa di telnet, lakukan konfigurasi password telnet maupun console. Jangan lupa konfigurasi password untuk privilleged mode.
- Lakukan konfigurasi port security dengan maximum number mac address 5 di port SW2 ke SW3, jika ada mac address baru, pastikan frame ke discard, khusus SW3 port tidak shutdown dan event ini harus terekam di log switch.
Selebihnya konfigurasi sesuai pada gambar, IP maupun interfacenya silakan disesuaikan dengan lab masing-masing. Jika kamu kesulitan, silakan mengisi kolom komentar dibawah ini.
Mengenai routing, kamu dapat membaca artikel saya tentang Konsep Dasar Routing dan Konfigurasinya.
Referensi
• Wendell Odom - CCENT/CCNA ICND1 100-105 Official Certification Guide
• Paul Browning - Cisco CCNA in 60 Days
• https://www.cisco.com/: Catalyst Installation Guide
Kak nanya, jika saat pertama menggunakan
ReplyDeleteSwitch tidak dikonfigurasi terlebih dahulu apa yang akan terjadi kak
Seperti yang sudah disinggung di atas, switch sifatnya out of the box, bisa langsung digunakan tanpa diconfig:
Delete- Mode port defaultnya akan "Dynamic Auto": bisa trunk, bisa access. Mode access dengan default vlan 1
- Semua interface dalam keadaan UP, bisa digunakan tanpa harus "no shut" oleh admin