Jejak Berjejak

Melanjutkan cerita mengenai topologi wireless, berikut adalah contoh konfigurasi untuk backbone (core) switch:
Create Intervlan routing di core (L3) switch
Create 4 buah vlan di Core switch, vlan 1: management vlan, vlan 10: serverfarm vlan, vlan 20: user vlan, vlan 30: guest vlan
interface Vlan1
description Management Device
ip address 10.1.1.1 255.255.255.0
ip helper-address 10.1.10.13
!
interface Vlan10
description ServerFarm VLAN
ip address 10.1.10.1 255.255.255.0
!
interface Vlan20
description User VLAN
ip address 10.1.20.1 255.255.255.0
ip helper-address 10.1.10.13
!
interface Vlan30
description Guest VLAN
ip address 10.1.30.1 255.255.255.0
ip helper-address 10.1.10.13
!

Konfigurasi DHCP Server
Client dhcp akan dibagi menjadi dua yakni user dan guest
ip domain-name idlab.co.id
ip dhcp excluded-address 10.1.20.1 10.1.20.100
ip dhcp excluded-address 10.1.30.1 10.1.30.200
!
ip dhcp pool UserPool
network 10.1.20.0 255.255.255.0
default-router 10.1.20.1
dns-server 10.1.10.13
!
ip dhcp pool GuestPool
network 10.1.30.0 255.255.255.0
default-router 10.1.30.1
dns-server 10.1.10.13

Koneksi etherchannel dari backbone switch ke floor switch
Backbone switch (port fa0/23-24) :
interface Port-channel1
description Backbone to Floor
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/23
description Trunk to Floor switch
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
!
interface FastEthernet0/24
description Trunk to Floor switch
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable

Floor switch (port fa0/23-24) :
interface FastEthernet0/23
description Trunk to Backbone switch
switchport trunk allowed vlan 1,10,20,30
switchport mode trunk
channel-group 1 mode desirable
!
interface FastEthernet0/24
description Trunk to Backbone switch
switchport trunk allowed vlan 1,10,20,30
switchport mode trunk
channel-group 1 mode desirable

Bersambung….
Pembahasan selanjutnya akan dibahas konfigurasi di Floor switch. Semoga membantu.

Kali ini saya ingin share mengenai konfigurasi dari wireless campus network sederhana dengan menggunakan perangkat Cisco.
Ada tiga point yang ingin saya share disini, agar pembahasannya tidak kepanjangan dalam satu halaman, maka pembahasan konfigurasinya akan saya bagi menjadi empat bagian: pendahuluan, fungsi core switch (backbone switch), fungsi floor switch (access switch), dan fungsi Access Point.

Pendahuluan
Berikut adalah topologi jaringan wireless sederhana:

Untuk contoh topologi ini saya menggunakan perangkat:
Core switch (Layer 3 switch, semisal Catalyst 3560)
Access switch (Layer 2 catalyst, semisal Catalyst 2960)
Access Point (Cisco Access point, semisal Aironet AP-1240)

Berikut adalah point-point yang akan saya share:
1.Core switch berfungsi sebagai:
#Layer 3 switch dengan intervlan routing, disini terdapat tiga vlan: vlan user, guest, dan management
#DHCP server untuk client wireless
#Koneksi core switch/backbone switch ke floor switch menggunakan etherchannel

2.Floor switch, berfungsi sebagai:
#Layer 2 switch, dimana ada 3 vlan: vlan user, vlan guest, dan vlan management

3.Access point berfungsi sebagai:
#Radius Server Lokal.
#Mengijinkan akses beberapa vlan (vlan user, vlan guest, dan vlan management),
#Client wireless yang bisa mengakses jaringan dibagi mejadi dua, pertama user asumsinya bisa akses data/server plus akses internet sedangkan guest hanya diijinkan hanya akses ke internet
#User menggunakan WPA security dan LEAP autentification (disini menggunakan AP sekaligus sebagai Radius server untuk LEAP autentication. Sedangkan guest menggunakan WPA shared key.

Untuk pendahuluan saya rasa cukup. Pada tulisan berikutnya, saya akan share konfigurasi di Core Switch.

Remote access VPN memungkinkan remote atau mobile user untuk bisa terkoneksi ke jaringan perusahaan. Kalau dulu service ini dilayani oleh koneksi dial up dengan menggunakan modem analog. Perusahaan menyediakan banyak pool modem dan akses server untuk mengakomodasi kebutuhan remote tersebut.

Dalam perkembangan selanjutnya koneksi dial up digantikan dengan koneksi broadband DSL dan cable modem yang memungkinkan user korporat berpindah dari dial up ke remote akses vpn untuk komunikasi yang lebih baik.

Berikut adalah langkah-langkah (command line) untuk mengkonfigurasi remote access vpn di Cisco ASA:
Pertama, konfigurasi interface ASA
!–interface name
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)# no shutdown
ASA(config-if)# nameif outside
!–security level
ASA(config-if)#security-level 0
!–ip address
ASA(config-if)# ip address 20.1.1.50 255.0.0.0
!–Enable crypto isakmp
ASA(config)# crypto isakmp enable outside

Kedua, konfigurasi IP Pool
!–konfigurasi IP Pool
ASA(config)# ip local poolname 30.1.1.1-30.1.1.50
ASA(config)# route outside 0 0 20.0.0.0

Ketiga, konfigurasi user account
ASA(config)# username ism password Cisco.123

Keempat, mendefinisikan ISAKMP policy: authentication, encryption, hash, dan group
!–mendefinisikan isakmp policy 10
ASA-(config)#crypto isakmp policy 10
!–enable des ecryption
ASA(config-isakmp)#encryption des
!–enable algorithm md5 for hashing
ASA(config-isakmp)#hash md5
!–enable metode Pre-shared
ASA(config-isakmp)#authentication pre-share
!–enable diffie-Helman group 2
ASA(config-isakmp)#group 2
!–keluar dari mode crypto isakmp
ASA(config-isakmp)#exit

Kelima, membuat IPsec transform set
!–tipe enkripsinya des dan tehnik hashingnya md5-hmac
ASA(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac
!–terapkan transform set
ASA(config)# crypto dynamic-map dmap 10 set transform-set ts2
!–panggil dynamic-map di crypto map dengan nama imap
ASA(config)#crypto map imap 10 ipsec-isakmp dynamic dmap

Keenam, konfigurasi tunnel group
!–create group untuk IT departemen
ASA(config)# tunnel-group itdept type ipsec-ra
!–create group policy
ASA(config)# tunnel-group itdept general-attributes
ASA(config-general)# address-pool poolname
ASA(config-general)# exit
ASA(config)# tunnel-group itdept ipsec-attributes
ASA(config-ipsec)# pre-shared-key Cisco
ASA(config-ipsec)# exit

Tujuh, apply crypto map di interface outside
ASA(config)# crypto map imap interface outside

Delapan, verifikasi secure tunnel dengan menggunakan Cisco VPN Client
Tunnel group: itdept
share key: Cisco
Username: ism
Password:Cisco.123

Semoga membantu.

Dalam konfigurasi router Cisco, biasanya kita mendefinisikan jumlah koneksi remote (via telnet/ssh) yang bisa aktif pada saat bersamaan ke router, seperti contoh berikut:
line vty 0 4
exec-timeout 30 0
login local
Berarti ada maksimal 5 koneksi yang bisa terjadi pada saat bersamaan (line 0, 1, 2, 3, dan 4).
Setiap kali kita/user yang konek sengaja atau tidak ketika selesai remote dia tidak exit/logout dari session, sehingga session koneksi tsb masih menggantung:
DSASWI1#systat
Line User Host(s) Idle Location
1 vty 0 ismt idle 5w1d 10.1.1.41
2 vty 1 ismt idle 2w1d 10.1.1.61
3 vty 2 ismt idle 4d12h 10.1.1.61
* 4 vty 3 ismt idle 00:00:00 10.103.50.22
5 vty 4 ismt idle 07:00:12 10.103.50.22
Contoh diatas menunjukkan ada 5 session yang masuk, session yang aktif ditandai dengan tanda * di depan
Jika session yang menggantung sudah maksimal sesuai kita definikan line vty 0 4, otomatis session telnet/ssh berikutnya akan ditolak.
Jika begitu kita harus konek via console untuk membuang session vty yang tidak aktif, gunakan perintah clear
DSASWI1#clear line vty 0
(membuang session di line vty 0), lakukan juga untuk session lain yang tidak aktif (menggantung).
Semoga membantu.

Jika kita terlanjur upgrade IOS, dan ternyata IOS tsb tidak cocok dengan spesifikasi hardwarenya, membuat routernya menjadi hang, maka untuk mengembalikan ke IOS sebelumnya, mulailah main-main dengan mode ROMMON, hiks…hiks…
Langkah-langkahnya sebagai berikut:
1.siapkan koneksi dari komputer ke router via console
2.reboot router
3.tekan key [Ctrl][Break]
4.masuk ke mode rommon:
rommon 1 > IP_ADDRESS=192.168.1.10
rommon 2 > IP_SUBNET_MASK=255.255.255.0
rommon 3 > DEFAULT_GATEWAY=192.168.1.1
rommon 4 > TFTP_SERVER=192.168.1.1
rommon 5 > TFTP_FILE=c2800nm-spservicesk9-mz.124-3i.bin
rommon 6 > tftpdnld
rommon 7 > reset
Isi flash akan terhapus semuanya dan digantikan dengan IOS yang kita copy dari tftp server ke router.
Semoga membantu.

Kalo di tulisan saya sebelumnya adalah bagaimana mengkonfigurasi Cisco ASA sebagai dial PPPoE klien, maka pembahasan kali ini bagaimana konfigurasi Cisco router sebagai gateway koneksi ke internet via PPPoE.
Topologi sederhananya seperti berikut:

!— aktifkan vpdn
vpdn enable

interface FastEthernet0/0
description Router-Inside
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
description PPPoE to ISP
no ip address
duplex auto
speed auto
!—pppoe enable
pppoe enable
pppoe-client dial-pool-number 1
!
!—Create interface Dialer1
interface Dialer1
mtu 1492
!—x.x.x.x adalah ip publik yang diberikan oleh ISP
ip address x.x.x.x 255.255.255.255
ip nat outside
!—encapsulation ppp
encapsulation ppp
!—create dialer pool
dialer pool 1
!—create dialer group
dialer-group 1
!—autentifikasi menggunakan pap
ppp authentication pap callin
!—username dan pap
ppp pap sent-username abcdef password ***********
!
!—default routing ke arah eksternal network (internet)
ip route 0.0.0.0 0.0.0.0 Dialer1

!—default routing ke internal network
ip route 10.1.1.0 255.255.255.0 172.16.1.2

ip nat inside source list 1 interface Dialer1 overload
access-list 1 permit 10.1.1.0 0.0.0.255

Semoga membantu.

Kali ini saya ingin sharing cara konfigurasi Cisco ASA (security appliance) sebagai Point to Point over Ethernet (PPPoE) Client. Sudah jamak diketahui terutama di kota besar seperti Jakarta, ISP memberikan layanan PPPoE. Cisco ASA ini menjadi gateway dari network klien untuk bisa koneksi internet.
Berikut adalah topologinya:

interface Ethernet0/1
nameif outside
security-level 0
!—VPDN Group untuk PPPoE klien
pppoe client vpdn group ISM
!—x.x.x.x adalah IP Publik yang diberikan oleh ISP
ip address x.x.x.x 255.255.255.255 pppoe

interface Ethernet0/2
nameif inside
security-level 100
ip address 10.10.10.254 255.255.255.0

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

!−−− Mendefinisikan group VPDN yang dipakai untuk PPPoE.
vpdn group ISM request dialout pppoe

!−−− Asosiasi username yang diperoleh dari ISP group VPDN.
vpdn group ISM localname cisco

!−−− pilih protokol autentifikasi.
vpdn group ISM ppp authentication pap

!−−− Create user name dan password koneksi PPPoE.
vpdn username cisco password *********

Semoga membantu.

Kali ini saya ingin sharing mengenai object group di Cisco IOS command. Ambil contoh berikut, jika kita punya access-list yang ingin kita tambahan di router seperti ini:
ip access-list extended inside-in
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq www
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq https
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq ftp
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq ftp-data
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq ssh
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq telnet
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq www
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq https
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq ftp
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq ftp-data
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq ssh
access-list inside-in extended permit tcp 10.1.20.0 255.255.255.0 any eq telnet

Jika kita ingin menambahkan port lain, misalkan smtp, maka kita create acl baru seperti ini:
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq smtp
access-list inside-in extended permit tcp 10.1.10.0 255.255.255.0 any eq smtp

Coba bandingkan jika kita gunakan command object group
router#conf t
router(config)#
object-group service USER-TCP tcp
port-object eq www
port-object eq https
port-object eq ftp
port-object eq ftp-data
port-object eq ssh
port-object eq telnet
port-object eq smtp

object-group network USER
network-object 10.1.10.0 255.255.255.0
network-object 10.1.20.0 255.255.255.0

Kita tuliskan access listnya sbb:
access-list inside-in extended permit tcp object-group USER any object-group USER-TCP

Jadi jika kita ingin menambahkan akses ke port lain kita hanya cukup tambahkan no port/name di object-group service USER-TCP tcp nya saja, begitu juga jika kita ingin tambahkan host/segmen yang bisa akses port2 yang didefinisikan di object-group service, tinggal menambahkan host/segment di object-group network USER.
Semoga membantu.

Sudah lama nih ngak nulis lagi. Kali ini saya ingin share mengenai access-list antar VLAN.
Begini ceritanya, ada satu kasus di dimana di LAN nya dilakukan segmentasi menggunakan VLAN dengan alasan sekuriti, dll. Antara server farm, user dan manager dibedakan VLAN nya. Misalkan ada VLAN Server Farm, VLAN Manager dan VLAN User.
Skenarionya seperti ini:
1.Masing-masing pc di VLAN User dan VLAN manager hanya bisa akses ke Server via port http, ssh dan ping, selain itu di blok.
2.Pc di VLAN User dan VLAN Manager tidak boleh saling berkomunikasi kecuali untuk kebutuhan file dan printer sharing dan ping, selain itu di blok. Artinya masing-masing Manager dan User bisa saling share file dan printer.
Ilustrasinya sbb:

Konfigurasi sederhananya di cisco catalyst sbb:
Di Core Switch (L3 switch) dibuatkan switched virtual interface (SVI)
Create masing-masing VLAN:
VLAN Server Farm
VLAN 2
name VLAN_SERVER

VLAN Manager
VLAN 10
name VLAN_MGR

VLAN User:
VLAN 20
name VLAN_USR

Dibuatkan gateway untuk masing-masing VLAN menggunakan SVI:
Interface VLAN 2
ip address 10.1.2.254 255.255.255.0
description Gateway Server Farm

Interface VLAN10
ip address 10.1.10.254 255.255.255.0
description Gateway Manager

Interface VLAN 20
ip address 10.1.20.254 255.255.255.0
description Gateway User

Untuk sederhananya, di core switch diassign beberapa access port untuk User, Manager dan Server. Assign port di access switch sesuai dengan pembagian VLAN. Misalkan PC User konek ke port switch Fa1/0, PC Manager konek ke port switch Fa1/1, dan Server konek ke port switch Fa1/2
User:
interface Fa1/0
switchport mode access
switchport access vlan 20
Manager:
interface Fa1/1
switchport mode access
switchport access vlan 10
Server:
interface Fa1/2
switchport mode access
switchport access vlan 2

Sesuai skenario diatas, masing-masing PC user dan PC manager hanya bisa akses ke server via port http dan ssh, diluar itu di blok, dan Masing-masing PC User dan Manager bisa saling share printer dan file, diluar itu di blok.
Access list yang dibuat untuk VLAN User:

Extended IP access list FilterMGR-VLAN10
10 permit tcp host 10.1.10.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.10.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.10.100 host 10.1.20.100 eq 445
40 permit tcp host 10.1.10.100 eq 445 host 10.1.20.100
50 permit tcp host 10.1.10.100 host 10.1.20.100 range 137 139
60 permit icmp any any

Extended IP access list FilterUSR-VLAN20
10 permit tcp host 10.1.20.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.20.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.20.100 host 10.1.10.100 eq 445
40 permit tcp host 10.1.20.100 eq 445 host 10.1.10.100
50 permit tcp host 10.1.20.100 range 137 139 host 10.1.10.100
60 permit icmp any any

Apply access-list yang baru dibuat ke masing-masing SVI VLAN manager dan User:
SVI VLAN Manager:
Interface VLAN10
ip access-group FilterMGR-VLAN10 in

SVI VLAN User:
Interface VLAN20
ip access-group FilterUSR-VLAN20 in

Keterangan:
Tcp port 445 adalah port yang dipakai untuk file sharing (SMB)
Tcp port 137-139 adalah port yang dipakai untuk printer sharing

Satu hal lagi, jangan lupa, pastikan jika di client ada personal firewall (semisal windows firewall), pastikan di masing-masing pc user dan managernya, port tcp 137-139 dan 445 nya allow untuk beda segmen.

Troubleshooting:
Ada implisit deny di akhir masing-masing access list diatas. Artinya jika policy yang dibuat tidak memenuhi kriteria access list diatas maka selanjutnya paket akan di drop (implisit deny). Cuma untuk membantu memastikan/melihat bahwa acl yang kita buat dan di apply ke masing-masing interface itu sudah betul dan dicapture langsung di log cataksyt, ada perintah yang bisa digunakan untuk mengeceknya.
1.Aktifkan logging buffered di Core switch agar kita bisa liat langsung bekerjanya access list tersebut
SWCORE(config)#logging buffered informational
2.Tambahkan di baris terakhir dari access-list yang kita buat access-list deny ip any any log untuk melihat apakah list yang kita buat sudah sesuai keinginan.
Misalkan untuk VLAN User
Extended IP access list FilterUSR-VLAN20
10 permit tcp host 10.1.20.100 host 10.1.2.100 eq www
20 permit tcp host 10.1.20.100 host 10.1.2.100 eq ssh
30 permit tcp host 10.1.20.100 host 10.1.10.100 eq 445
40 permit tcp host 10.1.20.100 eq 445 host 10.1.10.100
50 permit tcp host 10.1.20.100 range 137 139 host 10.1.10.100
60 permit icmp any any
70 deny ip any any log <——- tambahkan
3.Coba lakukan tes koneksi dari pc user ke manager atau sebaliknya. Misalkan di manager port telnetnya kebuka, coba lakukan telnet dari pc user ke pc manager, maka di layar catalyst akan muncul lognya.

Semuga uraian ini membantu. Terima kasih.

Saya melanjutkan cerita mengenai betapa powerfullnya Cisco Emulator ini, saya akan memulainya dengan bahasan mengenai Bridging dan Switching (L2&L3), disini berisi:
#topologi jaringan
#file konfigurasi (.net), yang di run menggunakan dynagen (atau GNS3)
#initial config, dan capture konfigurasi router

Seperti dikatakan di bahasan saya sebelumnya mengenai GNS3, untuk mengfungsikan router menjadi switch bisa dengan menggunakan module etherswitch (NM-16ESW), cuma memiliki keterbatasan fitur, antara lain konfigurasi VLAN hanya bisa menggunakan command vlan database, bukan di mode config seperti yang diremokendasikan:

P1DSW1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.

Point:
Disini fungsi switch (L2/L3) baik access switch dan distribution switch digantikan dengan router seri 3725 dengan IOS versi (c3725-adventerprisek9-mz.124-15.T5.BIN) ditambah dengan modul NM-16ESW.
Sedangkan untuk fungsi host digunakan Virtual PC Simulator (vpcs).

Untuk penjelasan yang cukup detail mengenai ini bisa merujuk ke link ini: http://ccie-in-3-months.blogspot.com/search/label/dynamips
Terkait dengan bahasan ini, saya ringkas beberapa hal dari link diatas:
@create vlan di config mode ternyata hidden command!!
P1DSW1(config)#vlan ?
accounting VLAN accounting configuration
ifdescr VLAN subinterface ifDescr
P1DSW1(config)#vlan 1900
P1DSW1(config-vlan)#
P1DSW1(config-vlan)#

@Disini kita hanya bisa create extended-range vlans (1006-4094).
@Extended-range Vlan bisa dicreate asalkan VTP mode harus di set transparent (nilai defaultnya VTP adalah Server mode).

Saya kira untuk kebutuhan lab ini sudah cukup, betul ya?

#Topologi Jaringan
Topologi jaringan untuk switching digambarkan sbb:

Gambar 1. Topologi untuk Switching

Keterangan:
P1ASW1 dan P2ASW2 adalah access switch
P1DSW1 dan P2DSW2 adalah distribution switch
PC1 dan PC2 adalah host

#Konfigurasi File (.net)
Untuk file konfigurasi ini saya gunakan di dynagen (dengan GNS3 tentunya lebih memudahkan karena ditambah tampilan grafis untuk topologi jaringannya, sangat memudahkan secara visual)

File .net: bcmsn01.net
################
autostart = false

[[ROUTER P2ASW2]]
model = 3725
console = 2004
slot1 = NM-16ESW
Fa1/5 = NIO_udp:30001:127.0.0.1:20001

###########
Cara membaca dan membuat file .net ini bisa merujuk pada tutorial offline yang ada di folder \Dynamips\docs\ ketika kita pertama kali menginstal bundle dynagen (+dynamips) di laptop kita. Untuk versi online, bisa merujuk pada bahasan sebelumnya mengenai GNS3.

#Initial Config dan Capture Konfigurasi
Untuk kebutuhan lab ini dan selanjutnya, saya gunakan initial config seperti ini, silakan sesuaikan dengan kebutuhan anda.
@apply di config mode
###########
config-register 0x2102
service password-encryption
enable secret cisco
logging buffered
clock timezone GMT 0
line con 0
no exec-timeout
logging synchronous
no ip domain-lookup
line vty 0 4
no exec-timeout
secret cisco
login
exit
exit
clear logging
copy run start
exit
###########

Gambar 2. Vlan 1900 dan 1901 adalah vlan yang dicreate di config mode

Gambar 3. Show vtp status

Gambar 4. Show int status

Topologi diatas bisa digunakan untuk mempelajari module exam BCMSN: VLAN, Trunking, VTP, Spanning Tree, Portfast, L3 Switching, QoS, dll
Silakan melanjutkan, mari kita sama-sama belajar!.