BAB 6: VIRTUAL LANS (VLANS)

BAB 6: VIRTUAL LANS (VLANS) Reza Aditya Firdaus

Cisco Certified Network Associate R&S

Masalah pada Design Jaringan 







 

Failure Domain yang tak terbatas Broadcast Domain yang besar Banyaknya trafik MAC unicast yang tidak diketahui Trafik muticast yang tak terbatas Sulit dalam pemeliharaan Kemungkinan kelemahan keamanan

Virtual LAN (VLAN) 

Definisi: Sebuah Logical Group dari Network user dan resources yang terhubung ke port switch secara administrative  Dapat

memperkecil Broadcast Domain  Pengelompokan berdasarkan:  Lokasi

 Fungsi  Departemen

 Aplikasi

atau protokol

Fitur dari VLAN  Segmentation  Flexibility  Security

VLAN = Broadcast Domain = Logical Network (Subnet)

Switch dengan 3 Broadcast Domain

LAN Terhubung ke Router

VLAN pengganti batas fisik

Operasi pada VLAN

Operasi pada VLAN 

  

Setiap Logical VLAN seperti sebuah Physical Bridge yang terpisah VLAN dapat menjangkau hingga beberapa Switch Trunk dapat membawa beberapa VLAN Trunk menggunakan enkapsulasi khusus untuk membedakan antar VLAN yang berbeda

VLAN Memberships 

Static VLAN Merupakan metode yang biasa digunakan dalam membuat VLAN  Lebih aman, karena VLAN dibuat secara manual oleh admin. 



Dynamic VLAN Pemberian VLAN pada Node (port) secara otomatis dengan autentikasi MAC Address, Protocol, alamat network, dll  VLAN Management Policy Server (VMPS) akan melakukan pemetaan (mapping) dari database MAC Address untuk pemberian VLAN. 

VLAN Memberships

Static VLANs

Dynamic VLANs

Identifikasi VLAN 

Access Link  Sebuah



link yang merupakan bagian dari satu VLAN

Trunk Link  Membawa

beberapa VLAN

Frame Tagging 

Sebuah cara melacak pengguna atau Frame saat mereka melakukan perjalanan pada Switch  Identifikasi

user berdasarkan VLAN ID yang diberikan  VLAN ID akan dihapus sebelum keluar Trunk Link dan Access Link

Frame Tagging

Metode VLAN Identifikasi 

Inter-Switch Link (ISL)  Merupakan

Cisco Proprietary  Bekerja hanya pada Fast Ethernet dan Gigabit Ethernet 

IEEE 802.1Q  Dibuat

oleh IEEE sebagai metode standar Frame Tagging  Digunakan untuk trunking antara Cisco dan Non-Cisco Switch

Inter-Switch Link Protocol (ISL)

802.1Q Trunking

Native VLAN

VLAN Trunking Protocol (VTP) 

Tujuan: Untuk memanage semua VLAN yang telah dikonfigurasi melalui sebuah Switch dan dipelihara secara konsisten 



Memungkinkan Adminstrator untuk menambah, menghapus, dan mengganti nama VLAN

Manfaat: Konfigurasi VLAN yang konsisten  Mengizinkan trunking melalui mix network  Penelusuran akurat  Pelaporan yang dinamis  Plug-and-Play 



Sebuah VTP server harus di buat untuk memanage VLAN.

Fitur VTP

Mode VTP  Secara default terkonfigurasi pada switch  Minimum satu server untuk satu VTP Domain  Bisa membuat perubahan VLAN

 Mengirim dan mem-forward VTP Advertisement  Konfigurasi disimpan di NVRAM

 Synchronizes  Tidak bisa membuat perubahan VLAN

 Bisa membuat perubahan VLAN untuk lokal saja

 Menerima VTP Adversitement

 Mem-forward VTP advertisement

 Konfigurasi tidak disimpan di NVRAM

 Konfigurasi disimpan pada NVRAM

 Synchronizes

 synchronize

Operasi pada VTP  



VTP Advertisement dikirim sebagai Multicast Frame VTP server dan Client akan tersinkronisasi VTP Advertisement dikirim setiap 5 menit atau ketika terjadi perubahan

VTP Pruning 

VTP pruning adalah fitur yang Anda gunakan untuk menghilangkan atau memangkas lalu lintas trafik yang tidak perlu

Contoh VTP Pruning: Tanpa Pruning 

Pada gambar dibawah ini sebuah switch tanpa VTP Pruning diaktifkan. Port 1 pada Switch A dan port 2 pada Switch D diset sebagai RED VLAN. Jika Broadcast dikirim dari host yang terhubung ke Switch A, maka Switch A akan mengalirkan Broadcast dan setiap Switch di jaringan akan menerimanya, meskipun Switch C, E, dan F portnya tidak diset sebagai RED VLAN

Contoh VTP Pruning: Menggunakan Pruning 

Broadcast traffic dari Switch A tidak akan di forward ke switch C, E, dan F karena trafik untuk RED VLAN sudah di pangkas pada link yang terlihat di gambar

Konfigurasi VLAN dan Trunk 1. 2.

3.

4.

5.

6.

Configurasi dan Verifikasi VTP Configurasi dan Verifikasi 802.1Q Trunk Buat dan modifikasi sebuah VLAN pada VTP Server Switch Terapkan Switch Port ke sebuah VLAN dan verifikasi Eksekusi penambahan, pemindahan, dan penggantian pada Server Switch jika diperlukan Simpan konfigurasi VLAN

Cara Konfigurasi VTP 

VTP secara default pada Cisco Catalyst Switch:  

   





Nama VTP Domain: None VTP Mode: Server Mode VTP Pruning: Enable atau Disable (tergantung Model) VTP Password: Null VTP Version: Version 1

Sebuah switch dapat secara otomatis menjadi bagian dari domain ketika menerima advertisement dari sebuah server Sebuah VTP Client dapat menghapus sebuah VTP Server Database jika client memiliki Revision Number lebih tinggi Sebuah Domain Name tidak dapat dihapus setelah di buat, itu hanya bisa di ganti.

Membuat VTP Domain SwitchX# configure terminal SwitchX(config)# vtp mode [ server | client | transparent ] SwitchX(config)# vtp domain domain-name SwitchX(config)# vtp password password SwitchX(config)# vtp pruning SwitchX(config)# end

Contoh: Konfigurasi dan Verifikasi VTP SwitchX(config)# vtp domain ICND Changing VTP domain name to ICND SwitchX(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. SwitchX(config)# end SwitchX# show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 17 VTP Operating Mode : Transparent VTP Domain Name : ICND VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAA Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05 SwitchX#

Review 802.1Q Trunking 

  

Pastikan bahwa Native VLAN untuk 802.1Q Trunk sama untuk kedua sisi Trunk Link Pastikan Native VLAN Frame adalah untagged Sebuah Trunk Port tidak dapat menjadi Secure Port Semua 802.1Q Trunking Port pada sebuah EtherChannel Group harus memiliki konfigurasi yang sama

Konfigurasi 802.1Q Trunking SwitchX(config-if)#

switchport mode {access |

dynamic {auto | desirable} | trunk}

 Konfigurasi Trunking karakteristik sebuah port

SwitchX(config-if)#

switchport mode trunk

 Konfigurasi Port sebagai sebuah VLAN Trunk

Verifikasi Konfigurasi Trunk SwitchX# show interfaces interface [switchport | trunk] SwitchX# show interfaces fa0/11 switchport Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) . . . SwitchX# show interfaces fa0/11 trunk Port Fa0/11 Port Fa0/11 Port Fa0/11

Mode desirable

Encapsulation 802.1q

Status trunking

Native vlan 1

Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1-13

Cara konfigurasi VLAN  

  



Maksimum jumlah VLAN tergantung jenis Switch Umumnya Cisco Catalyst Switch mendukung 128 Spanning Tree Instance yang terpisah (satu per VLAN) VLAN 1 dalah default pada Ethernet VLAN CDP dan VTP Advertisement dikirim ke VLAN 1 IP Address dari Cisco Caltalyst Switch ada pada Management VLAN (VLAN 1) Jika menggunakan VTP, Switch harus menjadi VTP Server atau Transparent Mode untuk bisa menambah dan menghapus VLAN.

Cara Menambah dan Verifikasi VLAN SwitchX# configure terminal SwitchX(config)# vlan 2 SwitchX(config-vlan)# name switchlab99 SwitchX# show vlan [brief | id vlan-id || name vlan-name]

SwitchX# show vlan id 2 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------2 switchlab99 active Fa0/2, Fa0/12 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----2 enet 100002 1500 0 0 . . . SwitchX#

Menerapkan Switch Port ke sebuah VLAN SwitchX(config-if)#switchport access [vlan vlan# | dynamic]

SwitchX# configure terminal SwitchX(config)# interface range fastethernet 0/2 - 4 SwitchX(config-if)# switchport access vlan 2 SwitchX# show vlan VLAN ---1 2

Name Status Ports -------------------------------- --------- ---------------------default active Fa0/1 switchlab99 active Fa0/2, Fa0/3, Fa0/4

Verifikasi VLAN Membership SwitchX# show vlan brief SwitchX# show vlan brief VLAN Name ---- -------------------------------1 default 2 switchlab99 3 vlan3 4 vlan4 1002 fddi-default 1003 token-ring-default

Status --------active active active active act/unsup act/unsup

VLAN ---1004 1005

Status Ports --------- ------------------------------act/unsup act/unsup

Name -------------------------------fddinet-default trnet-default

Ports ------------------------------Fa0/1 Fa0/2, Fa0/3, Fa0/4

Verifikasi VLAN Membership SwitchX(config-if)#show interfaces interface switchport

SwitchX# show interfaces fa0/2 switchport Name: Fa0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 2 (switchlab99) Trunking Native Mode VLAN: 1 (default) --- output omitted ----

Penambahan, Pemindahan, dan Penggantian VLAN 







Ketika menggunakan VTP, Switch harus menjadi VTP Server atau Transparent Mode untuk bisa menambah, mengganti, atau menghapus VLAN Ketika anda membuat perubahan VLAN dari Switch VTP Server, maka perubahan akan dipropagasikan ke switch lain yang berada pada VTP Domain Penggantian VLAN biasanya akibat ada perubahan pada IP Network Ketika anda menghapus VLAN, setiap port pada VLAN yang tidak dipindahkan ke active VLAN tidak akan mampu berkomunikasi dengan PC lain.

Inter-VLAN routing 

Pada awalnya untuk merutekan trafik antar VLAN pada sebuah jaringan non-VLAN-Trunk. Maka sebuah Router harus terhubung ke masing masing VLAN

Masalah dan Solusi Inter-VLAN 





Kebutuhan perangkat End-User untuk menemukan Host yang berada di Luar VLANnya. Kebutuhan Host untuk berkomunikasi dengan VLAN lainnya. Untuk memindahkan trafik dari satu VLAN ke VLAN lainnya harus melalui sebuah Router

Interface Logic dan Fisik

Memisahkan Interface Fisik kedalam Sub-Interface 

Setiap VLAN akan memiliki IP Network dan Subnet sendiri setelah dibuat Sub Interface

Konfigurasi Inter-VLAN Routing Sydney Sydney Sydney Sydney

(config)#interface FastEthernet 0/0.1 (config-subif)#description Management VLAN1 (config-subif)#encapsulation dot1q 1 (config-subif)#ip address 192.168.1.1 255.255.255.0

Sydney Sydney Sydney Sydney

(config)#interface FastEthernet 0/0.2 (config-subif)#description Accounting VLAN2 (config-subif)#encapsulation dot1q 2 (config-subif)#ip address 192.168.2.1 255.255.255.0

Sydney Sydney Sydney Sydney

(config)#interface FastEthernet 0/0.3 (config-subif)#description Accounting VLAN3 (config-subif)#encapsulation dot1q 3 (config-subif)#ip address 192.168.3.1 255.255.255.0

Contoh #1 Inter-VLAN Routing

2960#config t 2960(config)#interface fa0/1 2960(config-if)#switchport mode trunk

Contoh #2 Inter-VLAN Routing

Contoh #2 Inter-VLAN Routing Konfigurasi Switch: 2960#config t 2960(config)#int f0/1 2960(config-if)#switchport 2960(config-if)#int f0/2 2960(config-if)#switchport 2960(config-if)#int f0/3 2960(config-if)#switchport 2960(config-if)#int f0/4 2960(config-if)#switchport 2960(config-if)#int f0/5 2960(config-if)#switchport 2960(config-if)#int f0/6 2960(config-if)#switchport

mode trunk access vlan 1 access vlan 1 access vlan 3

access vlan 3 access vlan 2

Contoh #2 Inter-VLAN Routing Konfigurasi Router: ISR#config t ISR(config)#int f0/0 ISR(config-if)#no ip address ISR(config-if)#no shutdown ISR(config-if)#int f0/0.1 ISR(config-subif)#encapsulation dot1q 1 ISR(config-subif)#ip address 192.168.10.17 255.255.255.240 ISR(config-subif)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address 192.168.10.33 255.255.255.240 ISR(config-subif)#int f0/0.3 ISR(config-subif)#encapsulation dot1q 3 ISR(config-subif)#ip address 192.168.10.49 255.255.255.240

Contoh #3 Inter-VLAN Routing 2960#config t 2960(config)#int f0/1 2960(config-if)#switchport mode trunk 2960(config-if)#int f0/2 2960(config-if)#switchport access vlan 1 2960(config-if)#int f0/3 2960(config-if)#switchport access vlan 2 ISR#config t ISR(config)#int f0/0 ISR(config-if)#no ip address ISR(config-if)#no shutdown ISR(config-if)#int f0/0.1 ISR(config-subif)#encapsulation dot1q 1 ISR(config-subif)#ip address 172.16.10.1 255.255.255.128 ISR(config-subif)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address 172.16.10.254 255.255.255.128

Switch Security 

Beberapa ancaman pada saat instalasi fisik:  Ancaman

(serangan) pada Hardware  Ancaman (serangan) dari Linkungan  Ancaman (serangan) dari Listrik  Ancaman (serangan) pada saat pemeliharaan

Konfigurasi Password Switch

Konfigurasi Login Banner 

Mendefinisikan dan mengaktifkan banner tercustomize yang akan ditunjukkan sebelum promt username dan password

SwitchX# banner motd # " Access for authorized users only. Please enter your username and password. “#

Perbandingan Telnet dan SSH 

Telnet  Metode

umum yang biasa digunakan untuk remote  Tidak Secure 

SSH-encrypted !– The username command create the username and password for the SSH session Username cisco password cisco ! ip domain-name mydomain.com ! crypto key generate rsa ! ip ssh version 2 ! line vty 0 4 login local transport input ssh

Konfigurasi Port Security 

Dibawah ini adalah contoh untuk configurasi Cisco Catalyst 2960 series

SwitchX(config-if)#switchport port-security [ mac-address macaddress | mac-address sticky [mac-address] | maximum value | violation {restrict | shutdown}] SwitchX(config)#interface fa0/5 SwitchX(config-if)#switchport mode access SwitchX(config-if)#switchport port-security SwitchX(config-if)#switchport port-security maximum 1 SwitchX(config-if)#switchport port-security mac-address sticky SwitchX(config-if)#switchport port-security violation shutdown

Verifikasi Port Security pada Catalyst 2960 Series SwitchX#show port-security [interface interface-id] [address] [ | {begin | exclude | include} expression]

SwitchX#show port-security Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address Security Violation Count

interface fastethernet 0/5 : Enabled : Secure-up : Shutdown : 20 mins : Absolute : Disabled : 1 : 1 : 0 : 0 : 0000.0000.0000 : 0

Verifikasi Port Security pada Catalyst 2960 Series SwitchX#sh port-security address Secure Mac Address Table ------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) --------------------------------1 0008.dddd.eeee SecureConfigured Fa0/5 ------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 SwitchX#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------------Fa0/5 1 1 0 Shutdown --------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024

Mengamankan Port yang tidak digunakan 





Port yang tidak aman dapat menciptakan sebuah lubang keamanan Sebuah Switch yang di tancapkan pada sebuah port yang tidak digunakan akan tertambah dalam jaringan Mengamankan port yang tidak digunakan dengan menon-aktifkan interface (port)

Cara Non-Aktifkan Interface (port) 



Untuk menon-aktifkan interface, menggunakan perintah shutdown pada interface configuration mode Untuk mengaktifkannya anda tinggal ketik perintah no shutdown dari mode yang sama

SwitchX(config-if)#shutdown

TERIMA KASIH