bab 6: virtual lans (vlans) - Official Site of REZA ADITYA FIRDAUS
advertisement
BAB 6: VIRTUAL LANS
(VLANS)
Reza Aditya Firdaus
Cisco Certified Network Associate R&S
Masalah pada Design Jaringan
Failure Domain yang tak
terbatas
Broadcast Domain yang besar
Banyaknya trafik MAC unicast
yang tidak diketahui
Trafik muticast yang tak
terbatas
Sulit dalam pemeliharaan
Kemungkinan kelemahan
keamanan
Virtual LAN (VLAN)
Definisi: Sebuah Logical Group dari Network user
dan resources yang terhubung ke port switch secara
administrative
Dapat
memperkecil Broadcast Domain
Pengelompokan berdasarkan:
Lokasi
Fungsi
Departemen
Aplikasi
atau protokol
Fitur dari VLAN
Segmentation
Flexibility
Security
VLAN = Broadcast Domain = Logical Network (Subnet)
Switch dengan 3 Broadcast Domain
LAN Terhubung ke Router
VLAN pengganti batas fisik
Operasi pada VLAN
Operasi pada VLAN
Setiap Logical VLAN seperti sebuah Physical Bridge
yang terpisah
VLAN dapat menjangkau hingga beberapa Switch
Trunk dapat membawa beberapa VLAN
Trunk menggunakan enkapsulasi khusus untuk
membedakan antar VLAN yang berbeda
VLAN Memberships
Static VLAN
Merupakan metode yang biasa digunakan dalam membuat
VLAN
Lebih aman, karena VLAN dibuat secara manual oleh
admin.
Dynamic VLAN
Pemberian VLAN pada Node (port) secara otomatis dengan
autentikasi MAC Address, Protocol, alamat network, dll
VLAN Management Policy Server (VMPS) akan melakukan
pemetaan (mapping) dari database MAC Address untuk
pemberian VLAN.
VLAN Memberships
Static VLANs
Dynamic VLANs
Identifikasi VLAN
Access Link
Sebuah
link yang merupakan bagian dari satu VLAN
Trunk Link
Membawa
beberapa VLAN
Frame Tagging
Sebuah cara melacak pengguna atau Frame saat
mereka melakukan perjalanan pada Switch
Identifikasi
user berdasarkan VLAN ID yang diberikan
VLAN ID akan dihapus sebelum keluar Trunk Link dan
Access Link
Frame Tagging
Metode VLAN Identifikasi
Inter-Switch Link (ISL)
Merupakan
Cisco Proprietary
Bekerja hanya pada Fast Ethernet dan Gigabit
Ethernet
IEEE 802.1Q
Dibuat
oleh IEEE sebagai metode standar Frame
Tagging
Digunakan untuk trunking antara Cisco dan Non-Cisco
Switch
Inter-Switch Link Protocol (ISL)
802.1Q Trunking
Native VLAN
VLAN Trunking Protocol (VTP)
Tujuan: Untuk memanage semua VLAN yang telah
dikonfigurasi melalui sebuah Switch dan dipelihara
secara konsisten
Memungkinkan Adminstrator untuk menambah, menghapus,
dan mengganti nama VLAN
Manfaat:
Konfigurasi VLAN yang konsisten
Mengizinkan trunking melalui mix network
Penelusuran akurat
Pelaporan yang dinamis
Plug-and-Play
Sebuah VTP server harus di buat untuk memanage
VLAN.
Fitur VTP
Mode VTP
Secara default terkonfigurasi pada switch
Minimum satu server untuk satu VTP Domain
Bisa membuat perubahan VLAN
Mengirim dan mem-forward
VTP Advertisement
Konfigurasi disimpan di NVRAM
Synchronizes
Tidak bisa
membuat
perubahan VLAN
Bisa membuat perubahan
VLAN untuk lokal saja
Menerima VTP
Adversitement
Mem-forward VTP
advertisement
Konfigurasi tidak
disimpan di
NVRAM
Konfigurasi disimpan pada
NVRAM
Synchronizes
synchronize
Operasi pada VTP
VTP Advertisement dikirim sebagai Multicast Frame
VTP server dan Client akan tersinkronisasi
VTP Advertisement dikirim setiap 5 menit atau
ketika terjadi perubahan
VTP Pruning
VTP pruning adalah fitur yang Anda gunakan untuk
menghilangkan atau memangkas lalu lintas trafik yang
tidak perlu
Contoh VTP Pruning: Tanpa Pruning
Pada gambar dibawah ini sebuah switch tanpa VTP Pruning
diaktifkan. Port 1 pada Switch A dan port 2 pada Switch D
diset sebagai RED VLAN. Jika Broadcast dikirim dari host
yang terhubung ke Switch A, maka Switch A akan
mengalirkan Broadcast dan setiap Switch di jaringan akan
menerimanya, meskipun Switch C, E, dan F portnya tidak
diset sebagai RED VLAN
Contoh VTP Pruning:
Menggunakan Pruning
Broadcast traffic dari Switch A tidak akan di forward
ke switch C, E, dan F karena trafik untuk RED VLAN
sudah di pangkas pada link yang terlihat di gambar
Konfigurasi VLAN dan Trunk
1.
2.
3.
4.
5.
6.
Configurasi dan Verifikasi VTP
Configurasi dan Verifikasi 802.1Q Trunk
Buat dan modifikasi sebuah VLAN pada VTP
Server Switch
Terapkan Switch Port ke sebuah VLAN dan
verifikasi
Eksekusi penambahan, pemindahan, dan
penggantian pada Server Switch jika diperlukan
Simpan konfigurasi VLAN
Cara Konfigurasi VTP
VTP secara default pada Cisco Catalyst Switch:
Nama VTP Domain: None
VTP Mode: Server Mode
VTP Pruning: Enable atau Disable (tergantung Model)
VTP Password: Null
VTP Version: Version 1
Sebuah switch dapat secara otomatis menjadi bagian dari
domain ketika menerima advertisement dari sebuah server
Sebuah VTP Client dapat menghapus sebuah VTP Server
Database jika client memiliki Revision Number lebih tinggi
Sebuah Domain Name tidak dapat dihapus setelah di buat,
itu hanya bisa di ganti.
Membuat VTP Domain
SwitchX# configure terminal
SwitchX(config)# vtp mode [ server | client | transparent ]
SwitchX(config)# vtp domain domain-name
SwitchX(config)# vtp password password
SwitchX(config)# vtp pruning
SwitchX(config)# end
Contoh: Konfigurasi dan Verifikasi VTP
SwitchX(config)# vtp domain ICND
Changing VTP domain name to ICND
SwitchX(config)# vtp mode transparent
Setting device to VTP TRANSPARENT mode.
SwitchX(config)# end
SwitchX# show vtp status
VTP Version
: 2
Configuration Revision
: 0
Maximum VLANs supported locally : 64
Number of existing VLANs
: 17
VTP Operating Mode
: Transparent
VTP Domain Name
: ICND
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAA
Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05
SwitchX#
Review 802.1Q Trunking
Pastikan bahwa Native VLAN untuk 802.1Q Trunk sama untuk kedua sisi
Trunk Link
Pastikan Native VLAN Frame adalah untagged
Sebuah Trunk Port tidak dapat menjadi Secure Port
Semua 802.1Q Trunking Port pada sebuah EtherChannel Group harus
memiliki konfigurasi yang sama
Konfigurasi 802.1Q Trunking
SwitchX(config-if)#
switchport mode {access |
dynamic {auto | desirable} | trunk}
Konfigurasi Trunking karakteristik sebuah port
SwitchX(config-if)#
switchport mode trunk
Konfigurasi Port sebagai sebuah VLAN Trunk
Verifikasi Konfigurasi Trunk
SwitchX# show interfaces interface [switchport | trunk]
SwitchX# show interfaces fa0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
. . .
SwitchX# show interfaces fa0/11 trunk
Port
Fa0/11
Port
Fa0/11
Port
Fa0/11
Mode
desirable
Encapsulation
802.1q
Status
trunking
Native vlan
1
Vlans allowed on trunk
1-4094
Vlans allowed and active in management domain
1-13
Cara konfigurasi VLAN
Maksimum jumlah VLAN tergantung jenis Switch
Umumnya Cisco Catalyst Switch mendukung 128
Spanning Tree Instance yang terpisah (satu per VLAN)
VLAN 1 dalah default pada Ethernet VLAN
CDP dan VTP Advertisement dikirim ke VLAN 1
IP Address dari Cisco Caltalyst Switch ada pada
Management VLAN (VLAN 1)
Jika menggunakan VTP, Switch harus menjadi VTP
Server atau Transparent Mode untuk bisa menambah
dan menghapus VLAN.
Cara Menambah dan Verifikasi VLAN
SwitchX# configure terminal
SwitchX(config)# vlan 2
SwitchX(config-vlan)# name switchlab99
SwitchX# show vlan [brief | id vlan-id || name vlan-name]
SwitchX# show vlan id 2
VLAN Name
Status
Ports
---- -------------------------------- --------- ------------------------------2
switchlab99
active
Fa0/2, Fa0/12
VLAN Type SAID
MTU
Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----2
enet 100002
1500 0
0
.
.
.
SwitchX#
Menerapkan Switch Port ke sebuah
VLAN
SwitchX(config-if)#switchport access [vlan vlan# | dynamic]
SwitchX# configure terminal
SwitchX(config)# interface range fastethernet 0/2 - 4
SwitchX(config-if)# switchport access vlan 2
SwitchX# show vlan
VLAN
---1
2
Name
Status
Ports
-------------------------------- --------- ---------------------default
active
Fa0/1
switchlab99
active
Fa0/2, Fa0/3, Fa0/4
Verifikasi VLAN Membership
SwitchX# show vlan brief
SwitchX# show vlan brief
VLAN Name
---- -------------------------------1
default
2
switchlab99
3
vlan3
4
vlan4
1002 fddi-default
1003 token-ring-default
Status
--------active
active
active
active
act/unsup
act/unsup
VLAN
---1004
1005
Status
Ports
--------- ------------------------------act/unsup
act/unsup
Name
-------------------------------fddinet-default
trnet-default
Ports
------------------------------Fa0/1
Fa0/2, Fa0/3, Fa0/4
Verifikasi VLAN Membership
SwitchX(config-if)#show interfaces interface switchport
SwitchX# show interfaces fa0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 2 (switchlab99)
Trunking Native Mode VLAN: 1 (default)
--- output omitted ----
Penambahan, Pemindahan, dan
Penggantian VLAN
Ketika menggunakan VTP, Switch harus menjadi VTP
Server atau Transparent Mode untuk bisa menambah,
mengganti, atau menghapus VLAN
Ketika anda membuat perubahan VLAN dari Switch
VTP Server, maka perubahan akan dipropagasikan ke
switch lain yang berada pada VTP Domain
Penggantian VLAN biasanya akibat ada perubahan
pada IP Network
Ketika anda menghapus VLAN, setiap port pada VLAN
yang tidak dipindahkan ke active VLAN tidak akan
mampu berkomunikasi dengan PC lain.
Inter-VLAN routing
Pada awalnya untuk merutekan trafik antar VLAN
pada sebuah jaringan non-VLAN-Trunk. Maka
sebuah Router harus terhubung ke masing masing
VLAN
Masalah dan Solusi Inter-VLAN
Kebutuhan perangkat End-User untuk menemukan Host
yang berada di Luar VLANnya.
Kebutuhan Host untuk berkomunikasi dengan VLAN
lainnya.
Untuk memindahkan trafik dari satu VLAN ke VLAN
lainnya harus melalui sebuah Router
Interface Logic dan Fisik
Memisahkan Interface Fisik kedalam
Sub-Interface
Setiap VLAN akan memiliki IP Network dan Subnet
sendiri setelah dibuat Sub Interface
Konfigurasi Inter-VLAN Routing
Sydney
Sydney
Sydney
Sydney
(config)#interface FastEthernet 0/0.1
(config-subif)#description Management VLAN1
(config-subif)#encapsulation dot1q 1
(config-subif)#ip address 192.168.1.1 255.255.255.0
Sydney
Sydney
Sydney
Sydney
(config)#interface FastEthernet 0/0.2
(config-subif)#description Accounting VLAN2
(config-subif)#encapsulation dot1q 2
(config-subif)#ip address 192.168.2.1 255.255.255.0
Sydney
Sydney
Sydney
Sydney
(config)#interface FastEthernet 0/0.3
(config-subif)#description Accounting VLAN3
(config-subif)#encapsulation dot1q 3
(config-subif)#ip address 192.168.3.1 255.255.255.0
Contoh #1 Inter-VLAN Routing
2960#config t
2960(config)#interface fa0/1
2960(config-if)#switchport mode trunk
Contoh #2 Inter-VLAN Routing
Contoh #2 Inter-VLAN Routing
Konfigurasi Switch:
2960#config t
2960(config)#int f0/1
2960(config-if)#switchport
2960(config-if)#int f0/2
2960(config-if)#switchport
2960(config-if)#int f0/3
2960(config-if)#switchport
2960(config-if)#int f0/4
2960(config-if)#switchport
2960(config-if)#int f0/5
2960(config-if)#switchport
2960(config-if)#int f0/6
2960(config-if)#switchport
mode trunk
access vlan 1
access vlan 1
access vlan 3
access vlan 3
access vlan 2
Contoh #2 Inter-VLAN Routing
Konfigurasi Router:
ISR#config t
ISR(config)#int f0/0
ISR(config-if)#no ip address
ISR(config-if)#no shutdown
ISR(config-if)#int f0/0.1
ISR(config-subif)#encapsulation dot1q 1
ISR(config-subif)#ip address 192.168.10.17 255.255.255.240
ISR(config-subif)#int f0/0.2
ISR(config-subif)#encapsulation dot1q 2
ISR(config-subif)#ip address 192.168.10.33 255.255.255.240
ISR(config-subif)#int f0/0.3
ISR(config-subif)#encapsulation dot1q 3
ISR(config-subif)#ip address 192.168.10.49 255.255.255.240
Contoh #3 Inter-VLAN Routing
2960#config t
2960(config)#int f0/1
2960(config-if)#switchport mode trunk
2960(config-if)#int f0/2
2960(config-if)#switchport access vlan 1
2960(config-if)#int f0/3
2960(config-if)#switchport access vlan 2
ISR#config t
ISR(config)#int f0/0
ISR(config-if)#no ip address
ISR(config-if)#no shutdown
ISR(config-if)#int f0/0.1
ISR(config-subif)#encapsulation dot1q 1
ISR(config-subif)#ip address 172.16.10.1 255.255.255.128
ISR(config-subif)#int f0/0.2
ISR(config-subif)#encapsulation dot1q 2
ISR(config-subif)#ip address 172.16.10.254 255.255.255.128
Switch Security
Beberapa ancaman
pada saat instalasi fisik:
Ancaman
(serangan)
pada Hardware
Ancaman (serangan) dari
Linkungan
Ancaman (serangan) dari
Listrik
Ancaman (serangan)
pada saat pemeliharaan
Konfigurasi Password Switch
Konfigurasi Login Banner
Mendefinisikan dan mengaktifkan banner
tercustomize yang akan ditunjukkan sebelum promt
username dan password
SwitchX# banner motd # " Access for authorized users only. Please enter your
username and password. “#
Perbandingan Telnet dan SSH
Telnet
Metode
umum yang biasa digunakan untuk remote
Tidak Secure
SSH-encrypted
!– The username command create the username and password for the SSH session
Username cisco password cisco
!
ip domain-name mydomain.com
!
crypto key generate rsa
!
ip ssh version 2
!
line vty 0 4
login local
transport input ssh
Konfigurasi Port Security
Dibawah ini adalah contoh untuk configurasi Cisco
Catalyst 2960 series
SwitchX(config-if)#switchport port-security [ mac-address macaddress | mac-address sticky [mac-address] | maximum value |
violation {restrict | shutdown}]
SwitchX(config)#interface fa0/5
SwitchX(config-if)#switchport mode access
SwitchX(config-if)#switchport port-security
SwitchX(config-if)#switchport port-security maximum 1
SwitchX(config-if)#switchport port-security mac-address sticky
SwitchX(config-if)#switchport port-security violation shutdown
Verifikasi Port Security pada Catalyst
2960 Series
SwitchX#show port-security [interface interface-id] [address] [ |
{begin | exclude | include} expression]
SwitchX#show port-security
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address
Security Violation Count
interface fastethernet 0/5
: Enabled
: Secure-up
: Shutdown
: 20 mins
: Absolute
: Disabled
: 1
: 1
: 0
: 0
: 0000.0000.0000
: 0
Verifikasi Port Security pada Catalyst
2960 Series
SwitchX#sh port-security address
Secure Mac Address Table
------------------------------------------------------------------Vlan
Mac Address
Type
Ports
Remaining Age
(mins)
--------------------------------1
0008.dddd.eeee
SecureConfigured
Fa0/5
------------------------------------------------------------------Total Addresses in System (excluding one mac per port)
: 0
Max Addresses limit in System (excluding one mac per port) : 1024
SwitchX#sh port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)
(Count)
(Count)
-------------------------------------------------------------------------Fa0/5
1
1
0
Shutdown
--------------------------------------------------------------------------Total Addresses in System (excluding one mac per port)
: 0
Max Addresses limit in System (excluding one mac per port) : 1024
Mengamankan Port yang tidak
digunakan
Port yang tidak aman dapat menciptakan sebuah
lubang keamanan
Sebuah Switch yang di tancapkan pada sebuah
port yang tidak digunakan akan tertambah dalam
jaringan
Mengamankan port yang tidak digunakan dengan
menon-aktifkan interface (port)
Cara Non-Aktifkan Interface (port)
Untuk menon-aktifkan interface, menggunakan
perintah shutdown pada interface configuration
mode
Untuk mengaktifkannya anda tinggal ketik perintah
no shutdown dari mode yang sama
SwitchX(config-if)#shutdown
TERIMA KASIH