BAB III ANALISA DAN PERANCANGAN
3.1. Analisis Masalah 1.1.1. Teknologi VPN Topologi jaringan hub-and-spoke tidak lagi memadai untuk kebutuhan bisnis saat ini. perusahaan membutuhkan topologi jaringan any-to-any Virtual Private Network (VPN) dan virtual private LAN services (VPLS) network. Meskipun perusahaan tersebut telah menerapkan Multiprotocol Label Switching (MPLS) yang memisahkan traffic dari internet publik dengan traffic lokal, namun badan regulasi menganjurkan untuk mengenkripsi setiap traffik yang melewati jalur MPLS tersebut. Untuk memberikan full mesh atau bahkan partial mess konektivitas, solusi berbasis tunnel memerlukan penyediaan konektivitas kompleks. Seperti complex mesh tidak hanya memiliki persyaratan prosesor dan memori yang lebih tinggi, tetapi sulit untuk provisioning, troubleshoot, dan mengelola. Beberapa overhead provisioning dapat dikurangi dengan menggunakan DMVPN. Namun, DMVPN membutuhkan secondary routing pada pada overlay infrastruktur melalui tunnel, yang menghasilkan suboptimal Routing. Overlay topologi routing yang juga mengurangi skalabilitas yang melekat pada topologi jaringan IP VPN yang mendasarinya. Cisco Grup Encrypted Transportasi VPN (GET VPN) memperkenalkan konsep grup yang terpercaya. untuk menghilangkan point-to-point tunnel dan juga overlay routing. Semua group members (GMs) berbagi Security Association (SA) bersama, yang disebut group SA. hal ini memungkinkan GMs untuk mendekrisikan traffic yang di enkripsi oleh GM yang lain. Teknologi GETVPN menjadi solusi yang dirancang untuk permasalahan yang diatasi perusahaan tersebut.Router yang ingin melakukan komunikasi secara aman harus 19 1
http://digilib.mercubuana.ac.id/
2
mendaftarkan diri sebagai Group Member ke dalam GETVPN group. Key Server akan membuat key khusus yang nantinya akan disebarkan kepada seluruh Group Member. Konfigurasi pun menjadi mudah dan komunikasi akan menjadi lebih efektif dengan terbentuknya jalur komunikasi any-to-any atau full mesh secara otomatis antar setiap Group Member yang sudah terdaftar. Key Server yang akan menjadi otak atau pusat GETVPN juga memiliki sistem failover sehingga jaringan yang dibentuk dengan sistem ini tidak hanya aman, efektif, dan juga mudah dikonfigurasi.
1.1.2. Identifikasi masalah Jaringan PT.XYZ memiliki pusat di Jakarta dan kantor cabang yang terletak dibeberapa daerah. Cabang-cabang tersebut dihubungkan melalui jalur Multiprotocol Label Switching (MPLS) Telkom. MPLS sendiri adalah suatu metode forwarding (meneruskan data/paket melalui suatu jaringan dengan menggunakan informasi label yang dilekatkan pada IP). Sehingga memungkinkan suatu router akan meneruskan suatu paket dengan hanya melihat label yang melekat pada paket tersebut, sehingga tidak perlu lagi melihat alamat IP tujuan. Jaringan PT.XYZ terhubung secara terpusat menggunakan teknologi Site to Site VPN menggunakan IPSec GRE (Generic Routing Encapsulation), traffic dari setiap Site akan di-enkapsulasi menggunakan IPSec GRE sehingga data tidak bisa disadap saat melawati WAN. Akan tetapi tunnel yang terbentuk dari cabang hanya mengarah ke Jakarta saja, sehingga traffic antar cabang akan diarahkan dulu ke Jakarta baru diteruskan ke cabang tujuan. Jaringan milik PT.XYZ berpusat di Jakarta, semua traffic dari kantor cabang akan diarahkan kepusat karena tunnel yang terbentuk belum full-mesh, sehingga apabila Core Router di Jakarta down maka jaringan secara keseluruhan tidak dapat berkomunikasi. Apabila hal ini terjadi, maka dampaknya sangatlah mempengaruhi kinerja perusahaan, seluruh karyawan tidak dapat menggunakan internet, bertukar data, maupun berkomunikasi sesama karyawan. PT.XYZ harus memiliki perangkat backup untuk menghandle Core Router #1. Sehingga jika
http://digilib.mercubuana.ac.id/
3
sewaktu-waktu link atau perangkat tersebut down, traffic bisa dialihkan kesana, dan jaringan masih bisa digunakan. Penggunaan VPN tunnel akan sangat merepotkan apabila ada penambahan cabang, karena dalam waktu dekat akan ada penambahan puluhan kantor cabang di pulau Jawa. Konfigurasi VPN tunnel dilakukan secara manual sehingga untuk membentuk konektivitas any-to-any kita harus membuat tunnel ke seluruh cabang di Indonesia, hal ini beresiko dan merepotkan engineer karena memungkinkan terjadinya kesalahan konfigurasi yang berakibat tidak tercapainya komunikasi end-to-end antar cabang yang bersangkutan.
Gambar 3.0.1 Topologi Lama
Gambar 3.0.2 IPsec Point-to-Point lama
http://digilib.mercubuana.ac.id/
4
1.1.3. Usulan Pemecahan Masalah Untuk mengatasi masalah-masalah yang dihadapi oleh PT.XYZ seperti yang telah dijelaskan diatas, Teknologi tunnel-less VPN diperlukan untuk menjawab kebutuhan PT.XYZ. Dengan GETVPN, penambahan puluhan cabang tidak lagi menjadi masalah karena engineer tidak perlu membuat ratusan bahkan ribuan tunnel lagi, GETVPN akan meng-handle secara otomatis. Komunikasi cabang ke cabang juga akan lebih cepat karena GETVPN mendukung konektivitas any-toany, sehingga transmisi data akan lebih efektif. Untuk mendukung sistem jaringan tersebut, ditambahkan satu buah Cisco Router 2921 milik PT.XYZ, router tersebut digunakan sebagai Secondary Key Server. Secondary Key Server akan berfungsi apabila sewaktu-waktu Primary Key Server mati, maka sistem failover secara otomatis akan berjalan, sehingga traffic data akan tetap terenkripsi.
Gambar 3.0.3 Topologi Baru
Gambar 3.0.4 GETVPN, Tunnel-less VPN
http://digilib.mercubuana.ac.id/
5
3.2. Solusi GETVPN 1.2.1. Manfaat GETVPN Cisco Group Encrypted Transport adalah solusi WAN VPN nextgeneration yang merupakan salah satu kategori VPN baru, salah satu yang tidak menggunakan tradisional
tunnel
point-to-point.
Untuk pertama
kalinya,
menghilangkan kebutuhan untuk membuat kompromi antara kecerdasan jaringan dan privasi data. Model keamanan baru memperkenalkan konsep “trusted” group member routers, yang menggunakan metodologi keamanan umum yang independen dari hubungan point-to-point. dengan menghilangkan point-to-point tunnel, Cisco Group Encrypted Transport VPN dapat menjadi skala jauh lebih tinggi dengan mengakomodasi aplikasi multicast dan cabang-cabang untuk transaksi. Cisco Group Encrypted Transport VPN menambahkan any-to-any enkripsi untuk jaringan MPLS tanpa tunnel overlay, maintaining the high scale, manageability, and routing intelligence jaringan MPLS yang ada. Memenuhi persyaratan perusahaan yang sadar keamanan. mencari keseimbangan dalam kontrol jaringan karena mereka dapat menambahkan enkripsi untuk jaringan sendiri. Selain itu, meredakan kompleksitas dalam menambahkan any-to-any IPsec ke jaringan MPLS yang besar. Selain itu, mentaati peraturan-tentang enkripsi seperti HIPAA dan PCI.
1.2.2. Perbandingan GETVPN
DMVPN Infrastructure
Public Internet
network
Transport
Network Style
FlexVPN
GETVPN
Public Internet Transport
Private IP Transport
Hub-Spoke and
Hub-Spoke and Spoke-
Spoke-toSpoke; (Site-
toSpoke; (Site-to-Site and
to-Site)
Client-to-Site)
http://digilib.mercubuana.ac.id/
Any-to-Any; (Site-toSite)
6
Dynamic routing on tunnels
Routing Failover
Route Distribution
Redundancy
Model Peer-to-Peer
Encryption Style
IP Multicast
Protection
Dynamic routing on tunnels or IKEv2 routing Route Distribution Model
Peer-to-Peer Protection
Multicast replication
Multicast replication at
at hub
hub
Dynamic routing on IP WAN Route Distribution Model + Stateful Group Protection Multicast replication in IP WAN network
Table 3.1 Perbandingan GETVPN
Gambar 3.6 Perbandingan Tunnel-less dengan tunnel
Seperti ditunjukkan dalam tabel diatas, terlihat banyak manfaat yang kita dapat dari penerapan GETVPN ini, yang akan menjadi solusi dari permasalahan yang dihadapi oleh perusahaan-perusahaan saat ini.
http://digilib.mercubuana.ac.id/
7
1.2.3. Cara kerja GETVPN Cisco VPN GET menghindari masalah pada skala, dengan mengganti koneksi pair-wise IKE dengan Kelompok sistem manajemen kunci yang dinamis. Keamanan grup dalam GET VPN memiliki tiga langkah : Langkah 1 : Gateway VPN bergabung dalam grup dengan menghubungi key server yang terpusat menggunakan protokol pendaftaran. Setelah proses otentikasi, key server memvalidasi bahwa gateway VPN adalah perangkat yang berwenang dalam grup VPN, dan memberikan GET VPN IPsec policy dan kunci terkini ke gateway VPN. Langkah 2 : Gateway VPN menggunakan grup policy dan kunci yang dikeluarkan oleh key server untuk berpartisipasi dalam grup GET VPN, mereka tidak perlu langsung mengotentikasi satu sama lain. Gateway VPN dengan demikian dapat mengenkripsi dan mendekripsi paket IP yang beredar dalam kelompok. Langkah 3 : key server mendistribusikan kunci grup baru untuk gateway VPN yang diperlukan, menggunakan protokol rekey. dengan langkah-langkah ini, GET VPN dapat melindungi lalu lintas antara gateway VPN dengan efisien dan aman.
Gambar 3.0.5 GETVPN Overview
http://digilib.mercubuana.ac.id/
8
1.2.4. CISCO GETVPN Trust Model Memahami trust model dari solusi keamanan sangat diperlukan sebelum mempertimbangkan untuk melakukan implementasi. IPsec VPN tradisional menggunakan bilateral trust model sederhana. Ini berarti bahwa setiap pasangan gateway VPN langsung mengotentikasi satu sama lain, dan mengatur sesi IPsec yang private untuk berpasangan. Hal ini diperlukan ketika informasi lewat di antara dua gateway VPN harus dirahasiakan antara dua gateway VPN tersebut, dan juga disampaikan hanya kepada VPN pasangannya. Sebagai contoh, perhatikan skenario extranet yang ditunjukkan pada gambar dibawah, di mana Perusahaan 1 telah mengatur koneksi IPsec VPN untuk perusahaan lainnya.
Gambar 3.0.6 Tradisional IPsec
Dalam skenario ini, Perusahaan 1 tidak ingin perusahaan lain untuk berkomunikasi menggunakan VPN ini-mereka hanya harus berkomunikasi dengan Perusahaan 1. paket disampaikan dalam satu link VPN dimaksudkan hanya untuk satu rekan VPN gateway. Ketika IPsec VPN memiliki persyaratan ini, tradisional IKE / IPsec VPN harus terus digunakan untuk melindungi data. Solusi Cisco VPN
http://digilib.mercubuana.ac.id/
9
(IPsec / Generic Routing Encapsulation [GRE], Easy VPN, Dinamis Multipoint VPN [DMVPN]) mengadopsi model keamanan kepercayaan bilateral untuk melindungi lalu lintas antara dua rekan. Sebaliknya, Cisco VPN GET menggunakan trust model kelompok, dan cocok untuk penyebaran di mana satu set gateway VPN milik domain yang sama (yaitu, perusahaan yang sama atau koalisi) dan berwenang untuk berbagi informasi yang sama di antara mereka. Misalnya, dalam jaringan yang ditunjukkan pada Gambar dibawah, gateway VPN bertindak sebagai gateway perusahaan untuk WAN pribadi seperti MPLS VPN. Semua gateway (berlabel "GW1" sampai "GW9") berada dalam perusahaan yang sama, dan identik berwenang untuk melewatkan traffic data perusahaan antara mereka. Bersama-sama mereka melindungi traffic perusahaan yang melewati WAN swasta, dan traffic dapat diteruskan dari anggota apapun kepada anggota lain dalam WAN.
Gambar 3.0.7 Trust model GETVPN
http://digilib.mercubuana.ac.id/
10
1.2.5. Kapan GETVPN digunakan Trust model grup/kelompok yang digunakan oleh GET VPN sesuai hanya jika gateway VPN benar-benar bertindak sebagai sebuah kelompok. Biasanya, gateway bertindak sebagai kelompok jika karakteristik berikut ini benar: ● Hal ini tidak perlu untuk setiap gateway VPN untuk langsung mengotentikasi setiap gateway rekan VPN-nya. Hal ini dapat diterima tergantung pada entitas terpusat (yaitu, key server), dan key server tersebut menentukan gateway VPN mana yang berwenang untuk menjadi rekan VPN. ● Semua gateway VPN dipercaya untuk mendekripsi setiap paket yang dienkripsi dan diteruskan oleh gateway GET VPN lainnya. Selain itu, tidak gateway VPN tidak perlu untuk menentukan paket mana yang dikirim oleh suatu VPN gateway. ●
Network
Address
Translation
(NAT)
tidak
digunakan
untuk
mengaburkan alamat IP dari gateway VPN atau server kunci. Karakteristik ini biasanya ditemukan dalam jaringan MPLS, serta private WAN lainnya seperti Frame Relay. Jika salah satu pernyataan di atas adalah tidak benar untuk jaringan (misalnya, link langsung ke Internet), tidak cocok untuk mengimplementasikan GET VPN.
3.3. Protokol GETVPN GET VPN menggunakan beberapa protokol, banyak yang standar Internet. Pada bagian ini, akan menjelaskan setiap protokol yang digunakan, termasuk fitur keamanannya.
http://digilib.mercubuana.ac.id/
11
1.3.1. VPN Gateway registration ke key server
GET VPN menggunakan Group Domain of Interpretation (GDOI) group key management protocol (RFC 3547) yang dikembangkan oleh IETF. Protokol pendaftaran GDOI menyediakan otentikasi bilateral yang kuat melalui penggunaan preshared key atau sertifikat digital. Menggunakan protokol pendaftaran, seperti yang ditunjukkan pada Langkah 1, masing-masing gateway VPN register dengan key sever, meminta policy dan keys untuk bergabung ke grup. GDOI key server akan memastikan bahwa gateway VPN tersebut apakah berwenang untuk bergabung dengan grup, sebelum mengeluarkan group policy dan keys untuk grup. kebijakan Rekey dan keys didistribusikan ke gateway VPN bersama dengan kebijakan IPsec dan kunci. Semua pesan yang dilindungi dengan kerahasiaan, dan integritas. 1.3.2. Protokol GETVPN GET VPN menggunakan Encapsulating Security Payload (ESP) protokol (RFC 2406) untuk memberikan kerahasiaan, integritas, dan perlindungan untuk paket yang mengalir di antara gateway VPN. Ini adalah protokol yang sama digunakan oleh tradisional IPsec VPN. Kebijakan keamanan menentukan bagaimana paket data yang dilindungi (misalnya, nilai Security Parameters Index [SPI], pilihan cipher, kunci seumur hidup) dikonfigurasi pada key server GDOI dan dikirim selama proses pendaftaran gateway VPN. Key ini yang digunakan untuk mendownload Asosiasi Keamanan IPsec tertentu saat proses pendaftaran. GET VPN menggunakan ESP dalam mode tunnel, yang melindungi seluruh paket data, serta header IP yang diterima oleh gateway VPN. Pengolahan mode tunnel menambahkan header IP baru untuk paket setelah ESP enkapsulasi. GET VPN menggunakan metode mode tunnel yang disebut "mode tunnel dengan mempertahankan alamat" yang salinan sumber asli dan tujuan dari header IP inner untuk header IP luar. Mode tunnel dengan mempertahankan alamat berbeda dari mode tunnel normal, di mana alamat source dan destination pada paket diambil dari alamat sumber dan destination gateway VPN. Dengan mode tunnel normal, paket hanya
http://digilib.mercubuana.ac.id/
12
dapat dialihkan antara dua gateway VPN melalui penyedia layanan jaringan WAN pribadi dan tidak dapat disampaikan melalui setiap rute alternatif ke tujuan, bahkan meskipun ada rute alternatif. Ini adalah masalah jika routing ke atau melalui tujuan gateway VPN gagal karena lalu lintas yang dilindungi oleh IPsec dapat dijatuhkan. mempertahankan alamat memungkinkan paket untuk melintasi melalui jalur asimetris dalam jaringan WAN swasta, yang memungkinkan loadsharing antara link dan failover cepat. Bagian lain dari header IP akan disalin ke dalam header IP luar di kedua mode tunnel normal dan mode tunnel dengan mempertahankan. Tergantung pada konfigurasi, ini termasuk Tipe field Layanan, bidang Identifikasi, dan “Don’t Fragment” Datagram bit”.
Gambar 3.0.8 Routing melalui Private WAN
Gambar 5 memberikan contoh routing melalui penyedia layanan WAN swasta. Bila tidak ada tunneling digunakan, paket-paket dari H1 ke H2 dikirim di WAN pribadi dengan sumber dan tujuan (S, D) field di header IP set ke H1 dan H2. Hal ini memungkinkan routing protokol WAN untuk rute paket melalui GW5 ataupun GW6. Namun, jika tradisional IPsec mode tunnel ditambahkan, paket dapat disampaikan di WAN pribadi antara GW1 dan GM5. Dalam beberapa kasus (misalnya, routing untuk GW5 menjadi tidak stabil), paket akan terus di tunnel dari GM1 ke GM5 meskipun mereka bisa disampaikan melalui GW6, sehingga menghasilkan "Black Holes" di mana failover tidak berjalan, dan membutuhkan
http://digilib.mercubuana.ac.id/
13
upaya yang besar untuk mendeteksi dan memperbaiki. Mekanisme tunneling dimaksudkan untuk bereaksi terhadap situasi paket "Black Holes" ini. Perusahaan yang menggunakan layanan jaringan WAN swasta biasanya mengharapkan penyedia layanan WAN untuk rute paket mereka dengan alamat sumber dan tujuan paket asli. Artinya, bagian dari layanan yang disediakan oleh WAN swasta adalah untuk memisahkan paket perusahaan dari perusahaan lain di WAN swasta. Hal ini menghasilkan topologi jaringan di mana tidak ada kebutuhan untuk "menyembunyikan" alamat perusahaan. Mode tunnel dengan mempertahankan alamat adalah satu-satunya metode tunnel yang memungkinkan paket IP multicast akan dialihkan native. GET VPN menggunakan mode ini untuk paket Multicast dan Unicast untuk mengoptimalkan pengiriman paket. Perlindungan Replay adalah fungsi penting yang disediakan oleh ESP. menghentikan penyerang dari menangkap dan mengirim ulang paket data. Metode perlindungan ulangan ESP tradisional menggunakan nomor urut, Namun, ini tidak skala untuk GET VPN. Sebaliknya, GET VPN mencakup metode perlindungan ulangan berbasis waktu di mana setiap paket ESP yang terbaru yang dikirim oleh gateway VPN tidak diterima jika melangkahi paket sebelumnya. GET administrator VPN dapat mengkonfigurasi usia paket, yang jika terlampaui, hasil dalam paket ditolak.
1.3.3. Pembaruan Key Server Sebuah key Server GDOI perlu secara berkala mendistribusikan status baru kelompok. Ia melakukannya dengan mengirimkan "rekey" pesan ke gateway VPN. Gateway VPN memvalidasi pesan rekey terhadap kebijakan yang diterima pada saat pendaftaran. Protokol rekey diberi label "3" pada Gambar 2. Pesan rekey sering dikirim sebagai pesan IP Multicast, yang merupakan metode yang direkomendasikan untuk GET VPN. Selain itu, GET VPN mendukung distribusi pesan rekey sebagai paket Unicast, cocok untuk WAN pribadi atas layanan
http://digilib.mercubuana.ac.id/
14
jaringan operator yang tidak mendukung IP Multicast. penggantian rekey policy dan key disediakan selama proses rekey. Pesan GDOI rekey adalah otentik menggunakan tanda tangan digital. Hal ini juga dienkripsi untuk kerahasiaan, dan termasuk perlindungan replay. Penghapusan disengaja atau penghapusan berbahaya atas pesan GDOI rekey tidak akan menyebabkan gateway VPN dibiarkan tanpa Asosiasi Keamanan. Sebuah server kunci GDOI dapat dikonfigurasi untuk memancarkan kembali GDOI rekey pesan untuk meningkatkan kemungkinan bahwa semua gateway VPN akan menerima pesan GDOI tertentu. Namun, ketika Asosiasi Keamanan yang dekat dengan akhir hidup mereka dan tidak ada pengganti Asosiasi Keamanan yang diterima, maka gateway VPN akan memulai proses pendaftaran dengan server kunci untuk mendapatkan pengganti Asosiasi Keamanan. Jadi, sementara pesan rekey memudahkan distribusi pengganti group policy, nonreceipt pesan rekey tidak akan mempengaruhi konektivitas kelompok.
1.3.4. Sinkronisasi Key Server Sebuah server tunggal GDOI key dalam GET VPN dapat menjadi titik tunggal kegagalan dalam jaringan. GET VPN mendukung satu set kooperatif key server yang bersama-sama menerima pendaftaran dari gateway VPN dan mendistribusikan pesan GDOI rekey. The GDOI key server menggunakan proprietary kooperatif Key Server Protokol untuk berkomunikasi di antara mereka dan pertukaran group policy saat ini dan key. Jika salah satu key server tidak berfungsi, maka server yang tersisa akan terus mendistribusikan group policy dan keys ke gateway VPN. Hal ini membantu memastikan bahwa kelompok akan terus berfungsi secara normal selama salah satu dari server kunci dapat dicapai Protokol sinkronisasi GDOI key menyediakan otentikasi timbal balik dari key server. status kelompok hanya ditukar dengan key server yang berwenang, ditentukan dalam konfigurasi. Semua paket yang dilindungi dengan kerahasiaan, integritas, dan perlindungan replay.
http://digilib.mercubuana.ac.id/
15
1.3.5. Keandalan GETVPN GET VPN dirancang untuk digunakan pada kasus di mana gateway VPN dalam jumlah yang besar perlu berkomunikasi dalam mesh. Kegagalan manajemen kunci GET VPN akan mempengaruhi seluruh VPN. Oleh karena itu keandalan sistem merupakan komponen wajib dari solusi, dan diimplementasikan dalam komponen VPN GET sebagai berikut: ● mendukung untuk kooperatif Key Server yang memelihara dan mendistribusikan group policy yang sama. Hal ini memungkinkan sistem untuk beroperasi bahkan ketika subset dari server utama adalah nonoperational atau tidak terjangkau. ● Gateway VPN memiliki kemampuan untuk mendaftar dengan satu set key server. Hal ini meningkatkan peluangnya untuk memperoleh status kelompok bahkan ketika subset dari server utama adalah nonoperational atau tidak terjangkau. ● Kedua key server dan gateway VPN bertanggung jawab untuk memastikan bahwa gateway VPN memiliki key terbaru sebelum key saat ini berakhir. ● Dalam IPsec tradisional, tunnel ESP paket diarahkan ke gateway VPN tunggal dapat dijatuhkan jika gateway VPN menjadi tidak dapat dijangkau. GET VPN, bagaimanapun, menggunakan model mempertahankan alamat ESP, yang membantu memastikan bahwa paket perusahaan tidak akan di drop tetapi dialihkan dalam jaringan penyedia layanan.
1.3.6. Rekomendasi Kriptografi Tabel
dibawah memberikan panduan umum mengenai algoritma
kriptografi untuk pendaftaran GDOI, IPsec ESP, GDOI rekey, dan protocol kooperatif Key Server.
http://digilib.mercubuana.ac.id/
16
Table 2 Algoritma Kriptografi
Advanced Encryption Standard (AES) cipher adalah cipher yang direkomendasikan untuk digunakan dengan GET VPN. AES menggunakan ukuran kunci besar, yang memungkinkan AES dalam mode CBC dengan kunci 128-bit untuk memberikan keamanan yang diperlukan untuk implementasi GET VPN skala kecil dan besar. Penggunaan ukuran kunci yang lebih besar (misalnya, kunci 256-bit) diperbolehkan jika kebijakan memerlukan itu, namun akan mengakibatkan peningkatan ukuran pesan manajemen kunci dalam mengirim kunci tersebut. Selain itu, penggunaan akselerasi hardware dianjurkan pada platform yang tersedia.
http://digilib.mercubuana.ac.id/
17
3.4. Perancangan
1.4.1. Network Topologi design
Gambar 3.0.9 Topologi Baru
Topologi baru yang dirancang menambahkan dua router Cisco 2921, jenis router tersebut dipilih karena mengikuti standar perusahaan yang bersangkutan. Kedua router tersebut akan difungsikan menjadi Primary Key Server, dan Secondary Key Server. Dengan topologi tersebut Jaringan akan tetap berjalan walaupun salah satu Key Server di Jakarta mati. Desain redudansi tersebut sangat penting, khususnya untuk perusahaan dengan infrastruktur terpusat seperti PT.XYZ. Untuk perusahaan berskala besar dan berkembang seperti PT.XYZ penambahan cabang akan sering kali dilakukan setiap tahunnya, sehingga teknologi VPN terbaru yaitu GETVPN sangat diperlukan untuk mengatasi kerumitan yang terjadi sebelumnya. Dengan menggunakan teknologi GETVPN ini, penambahan kantor cabang baru bisa di-manage lebih mudah, konfigurasi policy terpusat hanya di Key Server saja. Untuk komunikasi cabang ke cabang akan di-support oleh Primary Key Server, Key Server akan membagikan sebuah key ke seluruh cabang yang termasuk dalam areanya.
http://digilib.mercubuana.ac.id/
18
1.4.2. Spesifikasi Sistem Emulator
a) Software yang digunakan untuk Emulator GETVPN Software yang digunakan untuk perancangan dan ujicoba antara lain :
GNS3 (Untuk ujicoba jaringan)
Dynamips (Untuk konfigurasi)
Microsoft Visio (Untuk menggambar jaringan)
IOS Cisco yang digunakan : Router 2921 menggunakan Cisco IOS c2900-universalk9mz.SPA.151-4-M5.bin, Cisco Catalyst 3750 menggunakan IOS c3725-adventerprisek9-mz.124-15.T14.bin.
http://digilib.mercubuana.ac.id/
