BAB 6: VIRTUAL LANS (VLANS) Reza Aditya Firdaus
Cisco Certified Network Associate R&S
Masalah pada Design Jaringan
Failure Domain yang tak terbatas Broadcast Domain yang besar Banyaknya trafik MAC unicast yang tidak diketahui Trafik muticast yang tak terbatas Sulit dalam pemeliharaan Kemungkinan kelemahan keamanan
Virtual LAN (VLAN)
Definisi: Sebuah Logical Group dari Network user dan resources yang terhubung ke port switch secara administrative Dapat
memperkecil Broadcast Domain Pengelompokan berdasarkan: Lokasi
Fungsi Departemen
Aplikasi
atau protokol
Fitur dari VLAN Segmentation Flexibility Security
VLAN = Broadcast Domain = Logical Network (Subnet)
Switch dengan 3 Broadcast Domain
LAN Terhubung ke Router
VLAN pengganti batas fisik
Operasi pada VLAN
Operasi pada VLAN
Setiap Logical VLAN seperti sebuah Physical Bridge yang terpisah VLAN dapat menjangkau hingga beberapa Switch Trunk dapat membawa beberapa VLAN Trunk menggunakan enkapsulasi khusus untuk membedakan antar VLAN yang berbeda
VLAN Memberships
Static VLAN Merupakan metode yang biasa digunakan dalam membuat VLAN Lebih aman, karena VLAN dibuat secara manual oleh admin.
Dynamic VLAN Pemberian VLAN pada Node (port) secara otomatis dengan autentikasi MAC Address, Protocol, alamat network, dll VLAN Management Policy Server (VMPS) akan melakukan pemetaan (mapping) dari database MAC Address untuk pemberian VLAN.
VLAN Memberships
Static VLANs
Dynamic VLANs
Identifikasi VLAN
Access Link Sebuah
link yang merupakan bagian dari satu VLAN
Trunk Link Membawa
beberapa VLAN
Frame Tagging
Sebuah cara melacak pengguna atau Frame saat mereka melakukan perjalanan pada Switch Identifikasi
user berdasarkan VLAN ID yang diberikan VLAN ID akan dihapus sebelum keluar Trunk Link dan Access Link
Frame Tagging
Metode VLAN Identifikasi
Inter-Switch Link (ISL) Merupakan
Cisco Proprietary Bekerja hanya pada Fast Ethernet dan Gigabit Ethernet
IEEE 802.1Q Dibuat
oleh IEEE sebagai metode standar Frame Tagging Digunakan untuk trunking antara Cisco dan Non-Cisco Switch
Inter-Switch Link Protocol (ISL)
802.1Q Trunking
Native VLAN
VLAN Trunking Protocol (VTP)
Tujuan: Untuk memanage semua VLAN yang telah dikonfigurasi melalui sebuah Switch dan dipelihara secara konsisten
Memungkinkan Adminstrator untuk menambah, menghapus, dan mengganti nama VLAN
Manfaat: Konfigurasi VLAN yang konsisten Mengizinkan trunking melalui mix network Penelusuran akurat Pelaporan yang dinamis Plug-and-Play
Sebuah VTP server harus di buat untuk memanage VLAN.
Fitur VTP
Mode VTP Secara default terkonfigurasi pada switch Minimum satu server untuk satu VTP Domain Bisa membuat perubahan VLAN
Mengirim dan mem-forward VTP Advertisement Konfigurasi disimpan di NVRAM
Synchronizes Tidak bisa membuat perubahan VLAN
Bisa membuat perubahan VLAN untuk lokal saja
Menerima VTP Adversitement
Mem-forward VTP advertisement
Konfigurasi tidak disimpan di NVRAM
Konfigurasi disimpan pada NVRAM
Synchronizes
synchronize
Operasi pada VTP
VTP Advertisement dikirim sebagai Multicast Frame VTP server dan Client akan tersinkronisasi VTP Advertisement dikirim setiap 5 menit atau ketika terjadi perubahan
VTP Pruning
VTP pruning adalah fitur yang Anda gunakan untuk menghilangkan atau memangkas lalu lintas trafik yang tidak perlu
Contoh VTP Pruning: Tanpa Pruning
Pada gambar dibawah ini sebuah switch tanpa VTP Pruning diaktifkan. Port 1 pada Switch A dan port 2 pada Switch D diset sebagai RED VLAN. Jika Broadcast dikirim dari host yang terhubung ke Switch A, maka Switch A akan mengalirkan Broadcast dan setiap Switch di jaringan akan menerimanya, meskipun Switch C, E, dan F portnya tidak diset sebagai RED VLAN
Contoh VTP Pruning: Menggunakan Pruning
Broadcast traffic dari Switch A tidak akan di forward ke switch C, E, dan F karena trafik untuk RED VLAN sudah di pangkas pada link yang terlihat di gambar
Konfigurasi VLAN dan Trunk 1. 2.
3.
4.
5.
6.
Configurasi dan Verifikasi VTP Configurasi dan Verifikasi 802.1Q Trunk Buat dan modifikasi sebuah VLAN pada VTP Server Switch Terapkan Switch Port ke sebuah VLAN dan verifikasi Eksekusi penambahan, pemindahan, dan penggantian pada Server Switch jika diperlukan Simpan konfigurasi VLAN
Cara Konfigurasi VTP
VTP secara default pada Cisco Catalyst Switch:
Nama VTP Domain: None VTP Mode: Server Mode VTP Pruning: Enable atau Disable (tergantung Model) VTP Password: Null VTP Version: Version 1
Sebuah switch dapat secara otomatis menjadi bagian dari domain ketika menerima advertisement dari sebuah server Sebuah VTP Client dapat menghapus sebuah VTP Server Database jika client memiliki Revision Number lebih tinggi Sebuah Domain Name tidak dapat dihapus setelah di buat, itu hanya bisa di ganti.
Membuat VTP Domain SwitchX# configure terminal SwitchX(config)# vtp mode [ server | client | transparent ] SwitchX(config)# vtp domain domain-name SwitchX(config)# vtp password password SwitchX(config)# vtp pruning SwitchX(config)# end
Contoh: Konfigurasi dan Verifikasi VTP SwitchX(config)# vtp domain ICND Changing VTP domain name to ICND SwitchX(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. SwitchX(config)# end SwitchX# show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 17 VTP Operating Mode : Transparent VTP Domain Name : ICND VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAA Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05 SwitchX#
Review 802.1Q Trunking
Pastikan bahwa Native VLAN untuk 802.1Q Trunk sama untuk kedua sisi Trunk Link Pastikan Native VLAN Frame adalah untagged Sebuah Trunk Port tidak dapat menjadi Secure Port Semua 802.1Q Trunking Port pada sebuah EtherChannel Group harus memiliki konfigurasi yang sama
Konfigurasi 802.1Q Trunking SwitchX(config-if)#
switchport mode {access |
dynamic {auto | desirable} | trunk}
Konfigurasi Trunking karakteristik sebuah port
SwitchX(config-if)#
switchport mode trunk
Konfigurasi Port sebagai sebuah VLAN Trunk
Verifikasi Konfigurasi Trunk SwitchX# show interfaces interface [switchport | trunk] SwitchX# show interfaces fa0/11 switchport Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) . . . SwitchX# show interfaces fa0/11 trunk Port Fa0/11 Port Fa0/11 Port Fa0/11
Mode desirable
Encapsulation 802.1q
Status trunking
Native vlan 1
Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1-13
Cara konfigurasi VLAN
Maksimum jumlah VLAN tergantung jenis Switch Umumnya Cisco Catalyst Switch mendukung 128 Spanning Tree Instance yang terpisah (satu per VLAN) VLAN 1 dalah default pada Ethernet VLAN CDP dan VTP Advertisement dikirim ke VLAN 1 IP Address dari Cisco Caltalyst Switch ada pada Management VLAN (VLAN 1) Jika menggunakan VTP, Switch harus menjadi VTP Server atau Transparent Mode untuk bisa menambah dan menghapus VLAN.
Cara Menambah dan Verifikasi VLAN SwitchX# configure terminal SwitchX(config)# vlan 2 SwitchX(config-vlan)# name switchlab99 SwitchX# show vlan [brief | id vlan-id || name vlan-name]
SwitchX# show vlan id 2 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------2 switchlab99 active Fa0/2, Fa0/12 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----2 enet 100002 1500 0 0 . . . SwitchX#
Menerapkan Switch Port ke sebuah VLAN SwitchX(config-if)#switchport access [vlan vlan# | dynamic]
SwitchX# configure terminal SwitchX(config)# interface range fastethernet 0/2 - 4 SwitchX(config-if)# switchport access vlan 2 SwitchX# show vlan VLAN ---1 2
Name Status Ports -------------------------------- --------- ---------------------default active Fa0/1 switchlab99 active Fa0/2, Fa0/3, Fa0/4
Verifikasi VLAN Membership SwitchX# show vlan brief SwitchX# show vlan brief VLAN Name ---- -------------------------------1 default 2 switchlab99 3 vlan3 4 vlan4 1002 fddi-default 1003 token-ring-default
Status --------active active active active act/unsup act/unsup
VLAN ---1004 1005
Status Ports --------- ------------------------------act/unsup act/unsup
Name -------------------------------fddinet-default trnet-default
Ports ------------------------------Fa0/1 Fa0/2, Fa0/3, Fa0/4
Verifikasi VLAN Membership SwitchX(config-if)#show interfaces interface switchport
SwitchX# show interfaces fa0/2 switchport Name: Fa0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 2 (switchlab99) Trunking Native Mode VLAN: 1 (default) --- output omitted ----
Penambahan, Pemindahan, dan Penggantian VLAN
Ketika menggunakan VTP, Switch harus menjadi VTP Server atau Transparent Mode untuk bisa menambah, mengganti, atau menghapus VLAN Ketika anda membuat perubahan VLAN dari Switch VTP Server, maka perubahan akan dipropagasikan ke switch lain yang berada pada VTP Domain Penggantian VLAN biasanya akibat ada perubahan pada IP Network Ketika anda menghapus VLAN, setiap port pada VLAN yang tidak dipindahkan ke active VLAN tidak akan mampu berkomunikasi dengan PC lain.
Inter-VLAN routing
Pada awalnya untuk merutekan trafik antar VLAN pada sebuah jaringan non-VLAN-Trunk. Maka sebuah Router harus terhubung ke masing masing VLAN
Masalah dan Solusi Inter-VLAN
Kebutuhan perangkat End-User untuk menemukan Host yang berada di Luar VLANnya. Kebutuhan Host untuk berkomunikasi dengan VLAN lainnya. Untuk memindahkan trafik dari satu VLAN ke VLAN lainnya harus melalui sebuah Router
Interface Logic dan Fisik
Memisahkan Interface Fisik kedalam Sub-Interface
Setiap VLAN akan memiliki IP Network dan Subnet sendiri setelah dibuat Sub Interface
Konfigurasi Inter-VLAN Routing Sydney Sydney Sydney Sydney
(config)#interface FastEthernet 0/0.1 (config-subif)#description Management VLAN1 (config-subif)#encapsulation dot1q 1 (config-subif)#ip address 192.168.1.1 255.255.255.0
Sydney Sydney Sydney Sydney
(config)#interface FastEthernet 0/0.2 (config-subif)#description Accounting VLAN2 (config-subif)#encapsulation dot1q 2 (config-subif)#ip address 192.168.2.1 255.255.255.0
Sydney Sydney Sydney Sydney
(config)#interface FastEthernet 0/0.3 (config-subif)#description Accounting VLAN3 (config-subif)#encapsulation dot1q 3 (config-subif)#ip address 192.168.3.1 255.255.255.0
Contoh #1 Inter-VLAN Routing
2960#config t 2960(config)#interface fa0/1 2960(config-if)#switchport mode trunk
Contoh #2 Inter-VLAN Routing
Contoh #2 Inter-VLAN Routing Konfigurasi Switch: 2960#config t 2960(config)#int f0/1 2960(config-if)#switchport 2960(config-if)#int f0/2 2960(config-if)#switchport 2960(config-if)#int f0/3 2960(config-if)#switchport 2960(config-if)#int f0/4 2960(config-if)#switchport 2960(config-if)#int f0/5 2960(config-if)#switchport 2960(config-if)#int f0/6 2960(config-if)#switchport
mode trunk access vlan 1 access vlan 1 access vlan 3
access vlan 3 access vlan 2
Contoh #2 Inter-VLAN Routing Konfigurasi Router: ISR#config t ISR(config)#int f0/0 ISR(config-if)#no ip address ISR(config-if)#no shutdown ISR(config-if)#int f0/0.1 ISR(config-subif)#encapsulation dot1q 1 ISR(config-subif)#ip address 192.168.10.17 255.255.255.240 ISR(config-subif)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address 192.168.10.33 255.255.255.240 ISR(config-subif)#int f0/0.3 ISR(config-subif)#encapsulation dot1q 3 ISR(config-subif)#ip address 192.168.10.49 255.255.255.240
Contoh #3 Inter-VLAN Routing 2960#config t 2960(config)#int f0/1 2960(config-if)#switchport mode trunk 2960(config-if)#int f0/2 2960(config-if)#switchport access vlan 1 2960(config-if)#int f0/3 2960(config-if)#switchport access vlan 2 ISR#config t ISR(config)#int f0/0 ISR(config-if)#no ip address ISR(config-if)#no shutdown ISR(config-if)#int f0/0.1 ISR(config-subif)#encapsulation dot1q 1 ISR(config-subif)#ip address 172.16.10.1 255.255.255.128 ISR(config-subif)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address 172.16.10.254 255.255.255.128
Switch Security
Beberapa ancaman pada saat instalasi fisik: Ancaman
(serangan) pada Hardware Ancaman (serangan) dari Linkungan Ancaman (serangan) dari Listrik Ancaman (serangan) pada saat pemeliharaan
Konfigurasi Password Switch
Konfigurasi Login Banner
Mendefinisikan dan mengaktifkan banner tercustomize yang akan ditunjukkan sebelum promt username dan password
SwitchX# banner motd # " Access for authorized users only. Please enter your username and password. “#
Perbandingan Telnet dan SSH
Telnet Metode
umum yang biasa digunakan untuk remote Tidak Secure
SSH-encrypted !– The username command create the username and password for the SSH session Username cisco password cisco ! ip domain-name mydomain.com ! crypto key generate rsa ! ip ssh version 2 ! line vty 0 4 login local transport input ssh
Konfigurasi Port Security
Dibawah ini adalah contoh untuk configurasi Cisco Catalyst 2960 series
SwitchX(config-if)#switchport port-security [ mac-address macaddress | mac-address sticky [mac-address] | maximum value | violation {restrict | shutdown}] SwitchX(config)#interface fa0/5 SwitchX(config-if)#switchport mode access SwitchX(config-if)#switchport port-security SwitchX(config-if)#switchport port-security maximum 1 SwitchX(config-if)#switchport port-security mac-address sticky SwitchX(config-if)#switchport port-security violation shutdown
Verifikasi Port Security pada Catalyst 2960 Series SwitchX#show port-security [interface interface-id] [address] [ | {begin | exclude | include} expression]
SwitchX#show port-security Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address Security Violation Count
interface fastethernet 0/5 : Enabled : Secure-up : Shutdown : 20 mins : Absolute : Disabled : 1 : 1 : 0 : 0 : 0000.0000.0000 : 0
Verifikasi Port Security pada Catalyst 2960 Series SwitchX#sh port-security address Secure Mac Address Table ------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) --------------------------------1 0008.dddd.eeee SecureConfigured Fa0/5 ------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 SwitchX#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------------Fa0/5 1 1 0 Shutdown --------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024
Mengamankan Port yang tidak digunakan
Port yang tidak aman dapat menciptakan sebuah lubang keamanan Sebuah Switch yang di tancapkan pada sebuah port yang tidak digunakan akan tertambah dalam jaringan Mengamankan port yang tidak digunakan dengan menon-aktifkan interface (port)
Cara Non-Aktifkan Interface (port)
Untuk menon-aktifkan interface, menggunakan perintah shutdown pada interface configuration mode Untuk mengaktifkannya anda tinggal ketik perintah no shutdown dari mode yang sama
SwitchX(config-if)#shutdown
TERIMA KASIH