Layer 2 VPN Frame Relay over MPLS

Kali ini saya akan kembali membahas tentang MPLS L2VPN, sebelumnya saya sudah membahas beberapa kali sebelumnya pada protokol Ethernet dan PPP, dan untuk sekarang adalah Frame Relay.
Teknologi MPLS L2VPN ini adalah sebuah penghubung antar segmen Network yang sama yang jaraknya berjauhan (terletak di PE yang berbeda) melalui Backbone MPLS, atau juga menghubungkan antar koneksi protokol Layer 2 yang jaraknya berjauhan (terletak di PE yang berbeda) seperti protokol Frame Relay ini.

Pengertian Frame Relay.

Frame Relay merupakan protokol encapsulation pada Layer 2, yang dapat menghubungkan dua atau lebih Router secara Multi-access tidak seperti PPP dan HDLC protokol point-to-point yang hanya dapat dua Router saja yang dihubungkan.

Untuk menghubungkan satu Router dengan Router lainnya Frame Relay menggunakan PVC, jika satu Router memiliki tetangga dua Router lainnya maka kita perlu membentuk dua PVC untuk masing-masing tetangga Router tersebut, jadi setiap koneksi antar Router memiliki jalur sendiri sendiri.

Setiap Router akan memiliki DLCI yang bersifat lokal untuk terhubung denga Router tetangga lainnya, jika ada dua tetangga Router maka Router tersebut akan memiliki dua DLCI untuk membentuk dua jalur PVC yang menuju ke dua Router tetangga tersebut.

Untuk menghubungkan antar Router, masing-masing Router akan terhubung dengan Frame Relay Switch, Switch ini yang akan melakukan pengalihan DLCI, jika pada MPLS yang akan menjadi Frame Relay Switch adalah Router PE, Router PE akan mengalihkan DLCI menuju Router PE lainnya.

Seperti yang sudah saya jelaskan sebelumnya, MPLS L2VPN akan membentuk jalur psuedowire untuk setiap koneksi Layer 2 yang ingin dibentuk, karena Frame Relay menggunakan PVC yang jumlahnya mungkin lebih dari satu dan juga karena Frame Relay tidak point-to-point mungkin kita akan mengkonfigurasi psuedowire lebih dari satu untuk konfigurasi saat ini.

Berikut ini adalah topolginya :

Pertama kita konfigurasi IP Address dan MPLS pada Router-Router yang bertindak sebagai MPLS Backbone.

    R1

    R1(config)#int lo0
    R1(config-if)#ip add 1.1.1.1 255.255.255.255
    R1(config-if)#exi
    R1(config)#int e0/0
    R1(config-if)#ip add 12.12.12.1 255.255.255.0
    R1(config-if)#mpls ip
    R1(config-if)#no sh
    R1(config-if)#exi

    R2

    R2(config)#int lo0
    R2(config-if)#ip add 2.2.2.2 255.255.255.255
    R2(config-if)#exi
    R2(config)#int e0/0
    R2(config-if)#ip add 12.12.12.2 255.255.255.0
    R2(config-if)#mpls ip
    R2(config-if)#no sh
    R2(config-if)#exi
    R2(config)#int e0/1
    R2(config-if)#ip add 23.23.23.2 255.255.255.0
    R2(config-if)#mpls ip
    R2(config-if)#no sh
    R2(config-if)#exi

    R3

    R3(config)#int lo0
    R3(config-if)#ip add 3.3.3.3 255.255.255.255
    R3(config-if)#exi
    R3(config)#int e0/0
    R3(config-if)#ip add 23.23.23.3 255.255.255.0
    R3(config-if)#mpls ip
    R3(config-if)#no sh
    R3(config-if)#exi

Lalu konfigurasi EIGRP agar antar Router tersebut dapat saling terhubung, dan MPLS dapat berjalan dengan baik.

    R1

    R1(config)#router eigrp 10
    R1(config-router)#no auto-summ
    R1(config-router)#net 1.1.1.1 0.0.0.0
    R1(config-router)#net 12.12.12.0 0.0.0.255
    R1(config-router)#exi

    R2

    R2(config)#router eigrp 10
    R2(config-router)#no auto-summ
    R2(config-router)#net 2.2.2.2 0.0.0.0
    R2(config-router)#net 23.23.23.0 0.0.0.255
    R2(config-router)#net 12.12.12.0 0.0.0.255
    R2(config-router)#exi

    R3

    R3(config)#router eigrp 10
    R3(config-router)#no auto-summ
    R3(config-router)#net 3.3.3.3 0.0.0.0
    R3(config-router)#net 23.23.23.0 0.0.0.255
    R3(config-router)#exi

Setelah selesai membuat MPLS Backbone, sekarang kita mulai konfigurasi L2VPN Frame Relay, kita berkonsentrasi konfigurasi pada Router PE saja yaitu R1 dan R3.

    R1
    Pertama konfigurasi Interface yang terhubung dengan CE, encapsulation menjadi frame relay.

    R1(config)#int s2/0    
    R1(config-if)#encapsulation frame-relay
    R1(config-if)#frame-relay intf-type dce
    R1(config-if)#no sh
    R1(config-if)#exi
    R1(config)#int s2/1
    R1(config-if)#encapsulation frame-relay
    R1(config-if)#frame-relay intf-type dce
    R1(config-if)#no sh
    R1(config-if)#exi

    Aktifkan frame-relay switching.

    R1(config)#frame-relay switching 

    Kita buat psuedowire sebagai jalur masing-masing DLCI yaitu 45 dan 65 yang mengarah ke Router R3, dan ingat VCID keduanya harus berbeda.

    R1(config)#connect R4-to-R5 s2/0 45 l2transport
    R1(config-fr-pw-switching)#xconnect 3.3.3.3 45 encap mpls

    Yang diatas merupakan psuedowire untuk menghubungkan R4 dan R5 dengan VCID 45, DLCI R4 untuk ke R5 adalah 45 dan dikirimkan ke 3.3.3.3 (R3) lewat MPLS. kemudian konfigurasi psuedowire berikutnya.

    R1(config)#connect R6-to-R5 s2/1 65 l2transport
    R1(config-fr-pw-switching)#xconnect 3.3.3.3 65 encap mpls

    yang diatas itu psuedowire untuk R6 terhubung dengan R5.
    R3
    Dan kita lanjut pada Router R3, penjelasan konfigurasi tidak jauh berbeda.

    R3(config)#int s2/0
    R3(config-if)#encapsulation frame-relay
    R3(config-if)#frame-relay intf-type dce
    R3(config-if)#no sh
    R3(config-if)#exi
    R3(config)#frame-relay switching
    R3(config)#connect R5-to-R4 s2/0 54 l2transport
    R3(config-fr-pw-switching)#xconnect 1.1.1.1 45 encap mpls
    R3(config-xconn)#exi
    R3(config-fr-pw-switching)#exi
    R3(config)#connect R5-to-R6 s2/0 56 l2transport
    R3(config-fr-pw-switching)#xconnect 1.1.1.1 65 encap mpls
    R3(config-xconn)#exi
    R3(config-fr-pw-switching)#exi

Kemudian konfigurasi Frame Relay pada Router CE, metode menghubungkan antar Router kali ini saya menggunakan point to multipoint artinya satu Router (R5.Hub) akan menjadi perantara untuk menghubungkan Router lainnya, yaitu menghubungkan antara R4.spoke dan R6.spoke.

    R4
    Konfigurasi interface dan DLCI pada Router.

    R4(config)#int s2/0
    R4(config-if)#encap frame-relay
    R4(config-if)#frame-relay interface-dlci 45
    R4(config-fr-dlci)#ip add 45.45.45.4 255.255.255.0
    R4(config-if)#ip ospf network non-broadcast
    R4(config-if)#no sh
    R4(config-if)#exi
    R4(config)#int lo0
    R4(config-if)#ip add 4.4.4.4 255.255.255.255
    R4(config-if)#exi

    Dan konfigurasi Routing OSPF.

    R4(config)#router ospf 10
    R4(config-router)#neighbor 45.45.45.5
    R4(config-router)#net 45.45.45.0 0.0.0.255 area 0
    R4(config-router)#net 4.4.4.4 0.0.0.0 area 0
    R4(config-router)#exi

    R6

    R6(config)#int s2/0
    R6(config-if)#encap frame-relay
    R6(config-if)#frame-relay interface-dlci 65
    R6(config-fr-dlci)#ip add 56.56.56.6 255.255.255.0
    R6(config-if)#ip ospf network non-broadcast
    R6(config-if)#no sh
    R6(config-if)#exi
    R6(config)#int lo0
    R6(config-if)#ip add 6.6.6.6 255.255.255.255
    R6(config-if)#exi
    R6(config)#router ospf 10
    R6(config-router)#neighbor 56.56.56.5
    R6(config-router)#net 56.56.56.0 0.0.0.255 area 0
    R6(config-router)#net 6.6.6.6 0.0.0.0 area 0
    R6(config-router)#exi

    R5.Hub
    Konfigurasi Interface encapsulation frame-relay.

    R5(config)#int lo0
    R5(config-if)#ip add 5.5.5.5 255.255.255.255
    R5(config-if)#exi
    R5(config)#int s2/0
    R5(config-if)#encap frame-relay
    R5(config-if)#no sh
    R5(config-if)#exi

    Pada Router ini kita buat dua subinterface untuk terhubung dengan R4 dan R6, pertama kita buat sub interface untuk R4.

    R5(config)#int s2/0.54 point-to-point 
    R5(config-subif)#frame-relay interface-dlci 54
    R5(config-fr-dlci)#ip add 45.45.45.5 255.255.255.0
    R5(config-subif)#ip ospf network non-broadcast
    R5(config-subif)#no sh
    R5(config-subif)#exi

    Kemudian untuk R6.

    R5(config)#int s2/0.56 point-to-point
    R5(config-subif)#frame-relay interface-dlci 56
    R5(config-fr-dlci)#ip add 56.56.56.5 255.255.255.0
    R5(config-subif)#ip ospf network non-broadcast
    R5(config-subif)#no sh
    R5(config-subif)#exi

    Dan konfigurasi Routing OSPF untuk mendistribusikan informasi Routing antar Router CE.

    R5(config)#router ospf 10
    R5(config-router)#neighbor 45.45.45.4
    R5(config-router)#neighbor 56.56.56.6
    R5(config-router)#net 45.45.45.0 0.0.0.255 area 0
    R5(config-router)#net 56.56.56.0 0.0.0.255 area 0
    R5(config-router)#net 5.5.5.5 0.0.0.0 area 0

Konfirmasi

Untuk melakukan konfirmasi pertama kita lihat Routing table pada salah satu Router CE, apakah sudah dapat saling berkomunikasi menggunakan OSPF.

R6(config)#do sh ip ro
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/129] via 56.56.56.5, 00:00:12, Serial2/0
5.0.0.0/32 is subnetted, 1 subnets
O 5.5.5.5 [110/65] via 56.56.56.5, 00:00:12, Serial2/0
6.0.0.0/32 is subnetted, 1 subnets
C 6.6.6.6 is directly connected, Loopback0
45.0.0.0/24 is subnetted, 1 subnets
O 45.45.45.0 [110/128] via 56.56.56.5, 00:00:12, Serial2/0
56.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 56.56.56.0/24 is directly connected, Serial2/0
L 56.56.56.6/32 is directly connected, Serial2/0

Lalu lakukan PING antar Router melalui interface loopback.

R6#ping 4.4.4.4 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 6.6.6.6
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 35/36/37 ms
R6#ping 5.5.5.5 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 6.6.6.6
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 18/18/18 ms

Layer 2 VPN Frame Relay over MPLS

Kali ini saya akan kembali membahas tentang MPLS L2VPN, sebelumnya saya sudah membahas beberapa kali sebelumnya pada protokol Ethernet dan PPP, dan untuk sekarang adalah Frame Relay.
Teknologi MPLS L2VPN ini adalah sebuah penghubung antar segmen Network yang sama yang jaraknya berjauhan (terletak di PE yang berbeda) melalui Backbone MPLS, atau juga menghubungkan antar koneksi protokol Layer 2 yang jaraknya berjauhan (terletak di PE yang berbeda) seperti protokol Frame Relay ini.

Pengertian Frame Relay.

Frame Relay merupakan protokol encapsulation pada Layer 2, yang dapat menghubungkan dua atau lebih Router secara Multi-access tidak seperti PPP dan HDLC protokol point-to-point yang hanya dapat dua Router saja yang dihubungkan.

Untuk menghubungkan satu Router dengan Router lainnya Frame Relay menggunakan PVC, jika satu Router memiliki tetangga dua Router lainnya maka kita perlu membentuk dua PVC untuk masing-masing tetangga Router tersebut, jadi setiap koneksi antar Router memiliki jalur sendiri sendiri.

Setiap Router akan memiliki DLCI yang bersifat lokal untuk terhubung denga Router tetangga lainnya, jika ada dua tetangga Router maka Router tersebut akan memiliki dua DLCI untuk membentuk dua jalur PVC yang menuju ke dua Router tetangga tersebut.

Untuk menghubungkan antar Router, masing-masing Router akan terhubung dengan Frame Relay Switch, Switch ini yang akan melakukan pengalihan DLCI, jika pada MPLS yang akan menjadi Frame Relay Switch adalah Router PE, Router PE akan mengalihkan DLCI menuju Router PE lainnya.

Seperti yang sudah saya jelaskan sebelumnya, MPLS L2VPN akan membentuk jalur psuedowire untuk setiap koneksi Layer 2 yang ingin dibentuk, karena Frame Relay menggunakan PVC yang jumlahnya mungkin lebih dari satu dan juga karena Frame Relay tidak point-to-point mungkin kita akan mengkonfigurasi psuedowire lebih dari satu untuk konfigurasi saat ini.

Berikut ini adalah topolginya :

Pertama kita konfigurasi IP Address dan MPLS pada Router-Router yang bertindak sebagai MPLS Backbone.

    R1

    R1(config)#int lo0
    R1(config-if)#ip add 1.1.1.1 255.255.255.255
    R1(config-if)#exi
    R1(config)#int e0/0
    R1(config-if)#ip add 12.12.12.1 255.255.255.0
    R1(config-if)#mpls ip
    R1(config-if)#no sh
    R1(config-if)#exi

    R2

    R2(config)#int lo0
    R2(config-if)#ip add 2.2.2.2 255.255.255.255
    R2(config-if)#exi
    R2(config)#int e0/0
    R2(config-if)#ip add 12.12.12.2 255.255.255.0
    R2(config-if)#mpls ip
    R2(config-if)#no sh
    R2(config-if)#exi
    R2(config)#int e0/1
    R2(config-if)#ip add 23.23.23.2 255.255.255.0
    R2(config-if)#mpls ip
    R2(config-if)#no sh
    R2(config-if)#exi

    R3

    R3(config)#int lo0
    R3(config-if)#ip add 3.3.3.3 255.255.255.255
    R3(config-if)#exi
    R3(config)#int e0/0
    R3(config-if)#ip add 23.23.23.3 255.255.255.0
    R3(config-if)#mpls ip
    R3(config-if)#no sh
    R3(config-if)#exi

Lalu konfigurasi EIGRP agar antar Router tersebut dapat saling terhubung, dan MPLS dapat berjalan dengan baik.

    R1

    R1(config)#router eigrp 10
    R1(config-router)#no auto-summ
    R1(config-router)#net 1.1.1.1 0.0.0.0
    R1(config-router)#net 12.12.12.0 0.0.0.255
    R1(config-router)#exi

    R2

    R2(config)#router eigrp 10
    R2(config-router)#no auto-summ
    R2(config-router)#net 2.2.2.2 0.0.0.0
    R2(config-router)#net 23.23.23.0 0.0.0.255
    R2(config-router)#net 12.12.12.0 0.0.0.255
    R2(config-router)#exi

    R3

    R3(config)#router eigrp 10
    R3(config-router)#no auto-summ
    R3(config-router)#net 3.3.3.3 0.0.0.0
    R3(config-router)#net 23.23.23.0 0.0.0.255
    R3(config-router)#exi

Setelah selesai membuat MPLS Backbone, sekarang kita mulai konfigurasi L2VPN Frame Relay, kita berkonsentrasi konfigurasi pada Router PE saja yaitu R1 dan R3.

    R1
    Pertama konfigurasi Interface yang terhubung dengan CE, encapsulation menjadi frame relay.

    R1(config)#int s2/0    
    R1(config-if)#encapsulation frame-relay
    R1(config-if)#frame-relay intf-type dce
    R1(config-if)#no sh
    R1(config-if)#exi
    R1(config)#int s2/1
    R1(config-if)#encapsulation frame-relay
    R1(config-if)#frame-relay intf-type dce
    R1(config-if)#no sh
    R1(config-if)#exi

    Aktifkan frame-relay switching.

    R1(config)#frame-relay switching 

    Kita buat psuedowire sebagai jalur masing-masing DLCI yaitu 45 dan 65 yang mengarah ke Router R3, dan ingat VCID keduanya harus berbeda.

    R1(config)#connect R4-to-R5 s2/0 45 l2transport
    R1(config-fr-pw-switching)#xconnect 3.3.3.3 45 encap mpls

    Yang diatas merupakan psuedowire untuk menghubungkan R4 dan R5 dengan VCID 45, DLCI R4 untuk ke R5 adalah 45 dan dikirimkan ke 3.3.3.3 (R3) lewat MPLS. kemudian konfigurasi psuedowire berikutnya.

    R1(config)#connect R6-to-R5 s2/1 65 l2transport
    R1(config-fr-pw-switching)#xconnect 3.3.3.3 65 encap mpls

    yang diatas itu psuedowire untuk R6 terhubung dengan R5.
    R3
    Dan kita lanjut pada Router R3, penjelasan konfigurasi tidak jauh berbeda.

    R3(config)#int s2/0
    R3(config-if)#encapsulation frame-relay
    R3(config-if)#frame-relay intf-type dce
    R3(config-if)#no sh
    R3(config-if)#exi
    R3(config)#frame-relay switching
    R3(config)#connect R5-to-R4 s2/0 54 l2transport
    R3(config-fr-pw-switching)#xconnect 1.1.1.1 45 encap mpls
    R3(config-xconn)#exi
    R3(config-fr-pw-switching)#exi
    R3(config)#connect R5-to-R6 s2/0 56 l2transport
    R3(config-fr-pw-switching)#xconnect 1.1.1.1 65 encap mpls
    R3(config-xconn)#exi
    R3(config-fr-pw-switching)#exi

Kemudian konfigurasi Frame Relay pada Router CE, metode menghubungkan antar Router kali ini saya menggunakan point to multipoint artinya satu Router (R5.Hub) akan menjadi perantara untuk menghubungkan Router lainnya, yaitu menghubungkan antara R4.spoke dan R6.spoke.

    R4
    Konfigurasi interface dan DLCI pada Router.

    R4(config)#int s2/0
    R4(config-if)#encap frame-relay
    R4(config-if)#frame-relay interface-dlci 45
    R4(config-fr-dlci)#ip add 45.45.45.4 255.255.255.0
    R4(config-if)#ip ospf network non-broadcast
    R4(config-if)#no sh
    R4(config-if)#exi
    R4(config)#int lo0
    R4(config-if)#ip add 4.4.4.4 255.255.255.255
    R4(config-if)#exi

    Dan konfigurasi Routing OSPF.

    R4(config)#router ospf 10
    R4(config-router)#neighbor 45.45.45.5
    R4(config-router)#net 45.45.45.0 0.0.0.255 area 0
    R4(config-router)#net 4.4.4.4 0.0.0.0 area 0
    R4(config-router)#exi

    R6

    R6(config)#int s2/0
    R6(config-if)#encap frame-relay
    R6(config-if)#frame-relay interface-dlci 65
    R6(config-fr-dlci)#ip add 56.56.56.6 255.255.255.0
    R6(config-if)#ip ospf network non-broadcast
    R6(config-if)#no sh
    R6(config-if)#exi
    R6(config)#int lo0
    R6(config-if)#ip add 6.6.6.6 255.255.255.255
    R6(config-if)#exi
    R6(config)#router ospf 10
    R6(config-router)#neighbor 56.56.56.5
    R6(config-router)#net 56.56.56.0 0.0.0.255 area 0
    R6(config-router)#net 6.6.6.6 0.0.0.0 area 0
    R6(config-router)#exi

    R5.Hub
    Konfigurasi Interface encapsulation frame-relay.

    R5(config)#int lo0
    R5(config-if)#ip add 5.5.5.5 255.255.255.255
    R5(config-if)#exi
    R5(config)#int s2/0
    R5(config-if)#encap frame-relay
    R5(config-if)#no sh
    R5(config-if)#exi

    Pada Router ini kita buat dua subinterface untuk terhubung dengan R4 dan R6, pertama kita buat sub interface untuk R4.

    R5(config)#int s2/0.54 point-to-point 
    R5(config-subif)#frame-relay interface-dlci 54
    R5(config-fr-dlci)#ip add 45.45.45.5 255.255.255.0
    R5(config-subif)#ip ospf network non-broadcast
    R5(config-subif)#no sh
    R5(config-subif)#exi

    Kemudian untuk R6.

    R5(config)#int s2/0.56 point-to-point
    R5(config-subif)#frame-relay interface-dlci 56
    R5(config-fr-dlci)#ip add 56.56.56.5 255.255.255.0
    R5(config-subif)#ip ospf network non-broadcast
    R5(config-subif)#no sh
    R5(config-subif)#exi

    Dan konfigurasi Routing OSPF untuk mendistribusikan informasi Routing antar Router CE.

    R5(config)#router ospf 10
    R5(config-router)#neighbor 45.45.45.4
    R5(config-router)#neighbor 56.56.56.6
    R5(config-router)#net 45.45.45.0 0.0.0.255 area 0
    R5(config-router)#net 56.56.56.0 0.0.0.255 area 0
    R5(config-router)#net 5.5.5.5 0.0.0.0 area 0

Konfirmasi

Untuk melakukan konfirmasi pertama kita lihat Routing table pada salah satu Router CE, apakah sudah dapat saling berkomunikasi menggunakan OSPF.

R6(config)#do sh ip ro
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/129] via 56.56.56.5, 00:00:12, Serial2/0
5.0.0.0/32 is subnetted, 1 subnets
O 5.5.5.5 [110/65] via 56.56.56.5, 00:00:12, Serial2/0
6.0.0.0/32 is subnetted, 1 subnets
C 6.6.6.6 is directly connected, Loopback0
45.0.0.0/24 is subnetted, 1 subnets
O 45.45.45.0 [110/128] via 56.56.56.5, 00:00:12, Serial2/0
56.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 56.56.56.0/24 is directly connected, Serial2/0
L 56.56.56.6/32 is directly connected, Serial2/0

Lalu lakukan PING antar Router melalui interface loopback.

R6#ping 4.4.4.4 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 6.6.6.6
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 35/36/37 ms
R6#ping 5.5.5.5 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 6.6.6.6
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 18/18/18 ms

Konfigurasi VLAN pada Switch Catalyst Cisco

Switch bekerja pada Layer2, dan secara default seluruh port interface Switch berada dalam satu Broadcast Domain yang sama atau satu Network yang sama. Tetapi pada Switch manageable seperti Cisco Catalyst memiliki sebuah fitur teknologi VLAN (Virtual LAN), yaitu teknologi pada Switch yang dapat membagi-bagi satu Switch menjadi beberapa Brodcast Domain yang berbeda-beda, sehingga dalam satu Switch menjadi seperti terdapat lebih dari satu jaringan LAN. Secara default seluruh port  interface pada Switch Cisco berada di VLAN-ID 1 atau VLAN default.

VLAN menggunakan VLAN-ID untuk mengidentifikasi suatu port-interface berada di VLAN mana dan juga untuk membedakan Brodcast domain yang ada pada Switch. Terdapat beberapa VLAN-ID yang dapat digunakan dan juga tidak, yaitu :

  • VLAN 1 : VLAN default pada Switch Cisco jika belum dikonfigurasi VLAN, tidak dapat dimodifikasi, dan dihapus.
  • VLAN 1 – 1005 : VLAN yang dapat digunakan untuk dibuat, dihapus, atau dimodifikasi.
Ketika frame memasuki suatu port interface dengan VLAN ID tertentu, maka frame tersebut akan ditandai dengan VLAN ID tersebut, dan frame itu hanya akan dikirimkan pada port interface yang memiliki VLAN ID sama dengan VLAN ID pada frame tersebut, dan juga pada jalur Trunk jika masuk dalam daftar. Untuk mengirimkan paket antar VLAN yang berbeda, diperlukan sebuah Router untuk melakukannya.
Untuk melakukan konfigurasi VLAN pada Switch Cisco Catalyst, berikut ini adalah sintaks konfigurasinya :
  • Buat beberapa VLAN yang nantinya akan digunakan.
  • Switch(config)#vlan [vlan-id]
  • Dan jika perlu berikan nama pada tiap VLAN -nya.
  • Switch(config-vlan)#name [nama]
  • Dan kemudian masuk pada sebuah Interface, lalu assign vlan pada Inteface tersebut.
  • Switch(config)#interface [slot/number]
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan [vlan-id]

Dan kemudian sekarang kita akan mencoba melakukan praktek VLAN pada topologi ini.

Pertama kita buat VLAN 10 dan 20 pada Switch, dan berikan nama jika diperlukan.

    Switch(config)#vlan 10
    Switch(config-vlan)#name sepuluh
    Switch(config-vlan)#exi
    Switch(config)#vlan 20
    Switch(config-vlan)#name duapuluh
    Switch(config-vlan)#exi

Kemudian assign VLAN tersebut pada interface yang diinginkan.

    Switch(config)#int ra e0/0-1
    Switch(config-if-range)#sw mo acc
    Switch(config-if-range)#sw acc vl 10
    Switch(config-if-range)#exi
    Switch(config)#int ra e0/2-3
    Switch(config-if-range)#sw mo acc
    Switch(config-if-range)#sw acc vl 20
    Switch(config-if-range)#exi

Untuk memastikan VLAN yang telah kita buat, kita dapat melihat VLAN Database pada Switch dengan perintah show vlan brief.

    Switch#sh vlan brief 

    VLAN Name Status Ports
    ---- -------------------------------- --------- -------------------------------
    1 default active Et1/0, Et1/1, Et1/2, Et1/3
    Et2/0, Et2/1, Et2/2, Et2/3
    Et3/0, Et3/1, Et3/2, Et3/3
    10 sepuluh active Et0/0, Et0/1
    20 duapuluh active Et0/2, Et0/3

    1002 fddi-default act/unsup
    1003 token-ring-default act/unsup
    1004 fddinet-default act/unsup
    1005 trnet-default act/unsup

Kemudian kita berikan IP Address pada masing-masing VPCS. Untuk VLAN 10 (10.10.10.0/24) dan VLAN 20 (20.20.20.0/24).

    VLAN 10

    PC1> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC2> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

    VLAN 20

    PC3> ip 20.20.20.3/24
    Checking for duplicate address...
    PC1 : 20.20.20.3 255.255.255.0

    PC4> ip 20.20.20.4/24
    Checking for duplicate address...
    PC1 : 20.20.20.4 255.255.255.0

    Setelah itu coba lakukan PING antar PC dalam satu VLAN yang sama.

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.437 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.386 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.864 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.525 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=0.592 ms

    PC4> ping 20.20.20.3

    84 bytes from 20.20.20.3 icmp_seq=1 ttl=64 time=0.560 ms
    84 bytes from 20.20.20.3 icmp_seq=2 ttl=64 time=0.637 ms
    84 bytes from 20.20.20.3 icmp_seq=3 ttl=64 time=0.936 ms
    84 bytes from 20.20.20.3 icmp_seq=4 ttl=64 time=0.527 ms
    84 bytes from 20.20.20.3 icmp_seq=5 ttl=64 time=0.597 ms

    Jika kita lakukan PING antar PC yang berbeda VLAN maka tidak dapat sampai paket PING (ICMP) nya.

    PC1> ping 20.20.20.3

    No gateway found

    Karena jika sudah berbeda VLAN, Switch tidak akan pernah mengirimkannya pada PC tujuan karena sudah berbeda VLAN dan juga Network/Broadcast Domain. Agar antar VLAN dapat berkomunikasi dibutuhkan sebuah Router yang akan melakukan Inter-VLAN Routing (Router on Stick)

Konfigurasi VLAN pada Switch Catalyst Cisco

Switch bekerja pada Layer2, dan secara default seluruh port interface Switch berada dalam satu Broadcast Domain yang sama atau satu Network yang sama. Tetapi pada Switch manageable seperti Cisco Catalyst memiliki sebuah fitur teknologi VLAN (Virtual LAN), yaitu teknologi pada Switch yang dapat membagi-bagi satu Switch menjadi beberapa Brodcast Domain yang berbeda-beda, sehingga dalam satu Switch menjadi seperti terdapat lebih dari satu jaringan LAN. Secara default seluruh port  interface pada Switch Cisco berada di VLAN-ID 1 atau VLAN default.

VLAN menggunakan VLAN-ID untuk mengidentifikasi suatu port-interface berada di VLAN mana dan juga untuk membedakan Brodcast domain yang ada pada Switch. Terdapat beberapa VLAN-ID yang dapat digunakan dan juga tidak, yaitu :

  • VLAN 1 : VLAN default pada Switch Cisco jika belum dikonfigurasi VLAN, tidak dapat dimodifikasi, dan dihapus.
  • VLAN 1 – 1005 : VLAN yang dapat digunakan untuk dibuat, dihapus, atau dimodifikasi.
Ketika frame memasuki suatu port interface dengan VLAN ID tertentu, maka frame tersebut akan ditandai dengan VLAN ID tersebut, dan frame itu hanya akan dikirimkan pada port interface yang memiliki VLAN ID sama dengan VLAN ID pada frame tersebut, dan juga pada jalur Trunk jika masuk dalam daftar. Untuk mengirimkan paket antar VLAN yang berbeda, diperlukan sebuah Router untuk melakukannya.
Untuk melakukan konfigurasi VLAN pada Switch Cisco Catalyst, berikut ini adalah sintaks konfigurasinya :
  • Buat beberapa VLAN yang nantinya akan digunakan.
  • Switch(config)#vlan [vlan-id]
  • Dan jika perlu berikan nama pada tiap VLAN -nya.
  • Switch(config-vlan)#name [nama]
  • Dan kemudian masuk pada sebuah Interface, lalu assign vlan pada Inteface tersebut.
  • Switch(config)#interface [slot/number]
    Switch(config-if)#switchport mode access
    Switch(config-if)#switchport access vlan [vlan-id]

Dan kemudian sekarang kita akan mencoba melakukan praktek VLAN pada topologi ini.

Pertama kita buat VLAN 10 dan 20 pada Switch, dan berikan nama jika diperlukan.

    Switch(config)#vlan 10
    Switch(config-vlan)#name sepuluh
    Switch(config-vlan)#exi
    Switch(config)#vlan 20
    Switch(config-vlan)#name duapuluh
    Switch(config-vlan)#exi

Kemudian assign VLAN tersebut pada interface yang diinginkan.

    Switch(config)#int ra e0/0-1
    Switch(config-if-range)#sw mo acc
    Switch(config-if-range)#sw acc vl 10
    Switch(config-if-range)#exi
    Switch(config)#int ra e0/2-3
    Switch(config-if-range)#sw mo acc
    Switch(config-if-range)#sw acc vl 20
    Switch(config-if-range)#exi

Untuk memastikan VLAN yang telah kita buat, kita dapat melihat VLAN Database pada Switch dengan perintah show vlan brief.

    Switch#sh vlan brief 

    VLAN Name Status Ports
    ---- -------------------------------- --------- -------------------------------
    1 default active Et1/0, Et1/1, Et1/2, Et1/3
    Et2/0, Et2/1, Et2/2, Et2/3
    Et3/0, Et3/1, Et3/2, Et3/3
    10 sepuluh active Et0/0, Et0/1
    20 duapuluh active Et0/2, Et0/3

    1002 fddi-default act/unsup
    1003 token-ring-default act/unsup
    1004 fddinet-default act/unsup
    1005 trnet-default act/unsup

Kemudian kita berikan IP Address pada masing-masing VPCS. Untuk VLAN 10 (10.10.10.0/24) dan VLAN 20 (20.20.20.0/24).

    VLAN 10

    PC1> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC2> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

    VLAN 20

    PC3> ip 20.20.20.3/24
    Checking for duplicate address...
    PC1 : 20.20.20.3 255.255.255.0

    PC4> ip 20.20.20.4/24
    Checking for duplicate address...
    PC1 : 20.20.20.4 255.255.255.0

    Setelah itu coba lakukan PING antar PC dalam satu VLAN yang sama.

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.437 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.386 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.864 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.525 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=0.592 ms

    PC4> ping 20.20.20.3

    84 bytes from 20.20.20.3 icmp_seq=1 ttl=64 time=0.560 ms
    84 bytes from 20.20.20.3 icmp_seq=2 ttl=64 time=0.637 ms
    84 bytes from 20.20.20.3 icmp_seq=3 ttl=64 time=0.936 ms
    84 bytes from 20.20.20.3 icmp_seq=4 ttl=64 time=0.527 ms
    84 bytes from 20.20.20.3 icmp_seq=5 ttl=64 time=0.597 ms

    Jika kita lakukan PING antar PC yang berbeda VLAN maka tidak dapat sampai paket PING (ICMP) nya.

    PC1> ping 20.20.20.3

    No gateway found

    Karena jika sudah berbeda VLAN, Switch tidak akan pernah mengirimkannya pada PC tujuan karena sudah berbeda VLAN dan juga Network/Broadcast Domain. Agar antar VLAN dapat berkomunikasi dibutuhkan sebuah Router yang akan melakukan Inter-VLAN Routing (Router on Stick)

Konfigurasi Port Security pada Switch Cisco

Pada Switch Cisco Catalyst terdapat fitur keamanan yaitu Port Security, yang dapat mengamankan setiap Port Interface Switch agar tidak dapat dimasuki oleh PC penyerang. Cara kerja Port Security adalah dengan menentukan MAC Address PC yang boleh memasuki atau mengakses suatu Port Interface Switch, terdapat beberapa metode untuk menentukannya yaitu :

  • Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
  • Dynamic : Switch secara otomatis mendeteksi MAC Address PC yang terhubung dengan suatu port Interface saat pertama kali. Kelemahan metode ini MAC Address PC akan hilang ketika Switch dimatikan.
  • Sticky : Ini pergabungan antara Static dan Dynamic, Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.

Jika ada sebuah frame masuk pada suatu Interface Switch dan MAC Address pengirim valid (yang boleh mengakses) maka Switch akan meneruskan Frame tersebut pada tujuannya, jika tidak maka Frame tersebut akan didrop dan Switch akan melakukan hukuman atau violation yaitu :

  • Protect : Switch akan men-drop frame tersebut, tanpa notifikasi.
  • Restrict : Switch akan mend-drop frame dan akan muncul notifikasi.
  • Shutdown : Swicth akan mend-drop frame dan mematikan port Interface tersebut.

Setelah saya bahas sedikit teori tentang Port Security, sekarang kita cari tahu cara konfigurasi-nya pada Switch Cisco Catalyst :

  • Pertama masuk konfigurasi Interface Switch yang ingin diamankan.
  • Switch(config)#interface [slot/number]
  • Kemudian kita aktifkan port security pada Interface ini
  • Switch(config-if)#switchport port-security
  • Dan masukan MAC Address PC yang diperbolehkan mengakses Interface ini.
  • Switch(config-if)#switchport port-security mac-address [H.H.H]

    Jika ingin menggunakan Stiky

    Switch(config-if)#switchport port-security mac-address sticky
  • Lalu tentukan violation yang akan dilakukan pada Switch jika ada penyusup.
  • Switch(config-if)#switchport port-security violation [protect/restrict/shutdown]

Dan Sekarang kita akan coba mempraktekan pada topologi dibawah ini :

Kita konfigurasi Switch dengan port-security pada masing-masing port :

    SW1(config)#int e0/0
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio protect
    SW1(config)#int e0/1
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr 0050.7966.6801
    SW1(config-if)#sw port-securi vio restrict
    SW1(config-if)#ex
    SW1(config)#int e0/2
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio shut
    SW1(config-if)#exi

Kemudian kita konfigurasi IP Address pada masing-masing PC. PC yang saya gunakan sekarang merupakan VPCS.

    PC1> ip 10.10.10.1/24
    Checking for duplicate address...
    PC1 : 10.10.10.1 255.255.255.0

    PC2> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC3> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

Setelah itu kita lakukan PING dari salah satu PC ke PC lainnya.

    PC1> ping 10.10.10.2

    84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.274 ms
    84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.849 ms
    84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.914 ms
    84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.739 ms
    84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.814 ms

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.241 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.520 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.573 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.716 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=1.011 ms

    Dan kita coba lihat status port-security pada Switch.

    SW1#sh port-security               
    Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
    (Count) (Count) (Count)
    ---------------------------------------------------------------------------
    Et0/0 1 1 0 Protect
    Et0/1 1 1 0 Restrict
    Et0/2 1 1 0 Shutdown
    ---------------------------------------------------------------------------
    Total Addresses in System (excluding one mac per port) : 0
    Max Addresses limit in System (excluding one mac per port) : 4096

Setelah selesai konfigurasi, untuk melihat apa yang terjadi jika MAC Address tidak valid, maka coba tukar posisi PC pada tempat lain yang berlawanan, dan lakukan PING lagi.

    PC1> ping 10.10.10.2

    host (10.10.10.2) not reachable

    PC1> ping 10.10.10.3

    host (10.10.10.3) not reachable

    Dan inilah yang terjadi pada Switch, akan muncul notifikasi pada port security restrict dan shutdown.

    SW1#
    *Mar 29 01:18:10.019: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/2, putting Et0/2 in err-disable state
    SW1#
    *Mar 29 01:18:10.020: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6800 on port Ethernet0/2.
    *Mar 29 01:18:11.025: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:12.021: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:59.408: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/1.

Konfigurasi Port Security pada Switch Cisco

Pada Switch Cisco Catalyst terdapat fitur keamanan yaitu Port Security, yang dapat mengamankan setiap Port Interface Switch agar tidak dapat dimasuki oleh PC penyerang. Cara kerja Port Security adalah dengan menentukan MAC Address PC yang boleh memasuki atau mengakses suatu Port Interface Switch, terdapat beberapa metode untuk menentukannya yaitu :

  • Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
  • Dynamic : Switch secara otomatis mendeteksi MAC Address PC yang terhubung dengan suatu port Interface saat pertama kali. Kelemahan metode ini MAC Address PC akan hilang ketika Switch dimatikan.
  • Sticky : Ini pergabungan antara Static dan Dynamic, Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.

Jika ada sebuah frame masuk pada suatu Interface Switch dan MAC Address pengirim valid (yang boleh mengakses) maka Switch akan meneruskan Frame tersebut pada tujuannya, jika tidak maka Frame tersebut akan didrop dan Switch akan melakukan hukuman atau violation yaitu :

  • Protect : Switch akan men-drop frame tersebut, tanpa notifikasi.
  • Restrict : Switch akan mend-drop frame dan akan muncul notifikasi.
  • Shutdown : Swicth akan mend-drop frame dan mematikan port Interface tersebut.

Setelah saya bahas sedikit teori tentang Port Security, sekarang kita cari tahu cara konfigurasi-nya pada Switch Cisco Catalyst :

  • Pertama masuk konfigurasi Interface Switch yang ingin diamankan.
  • Switch(config)#interface [slot/number]
  • Kemudian kita aktifkan port security pada Interface ini
  • Switch(config-if)#switchport port-security
  • Dan masukan MAC Address PC yang diperbolehkan mengakses Interface ini.
  • Switch(config-if)#switchport port-security mac-address [H.H.H]

    Jika ingin menggunakan Stiky

    Switch(config-if)#switchport port-security mac-address sticky
  • Lalu tentukan violation yang akan dilakukan pada Switch jika ada penyusup.
  • Switch(config-if)#switchport port-security violation [protect/restrict/shutdown]

Dan Sekarang kita akan coba mempraktekan pada topologi dibawah ini :

Kita konfigurasi Switch dengan port-security pada masing-masing port :

    SW1(config)#int e0/0
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio protect
    SW1(config)#int e0/1
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr 0050.7966.6801
    SW1(config-if)#sw port-securi vio restrict
    SW1(config-if)#ex
    SW1(config)#int e0/2
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio shut
    SW1(config-if)#exi

Kemudian kita konfigurasi IP Address pada masing-masing PC. PC yang saya gunakan sekarang merupakan VPCS.

    PC1> ip 10.10.10.1/24
    Checking for duplicate address...
    PC1 : 10.10.10.1 255.255.255.0

    PC2> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC3> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

Setelah itu kita lakukan PING dari salah satu PC ke PC lainnya.

    PC1> ping 10.10.10.2

    84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.274 ms
    84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.849 ms
    84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.914 ms
    84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.739 ms
    84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.814 ms

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.241 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.520 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.573 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.716 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=1.011 ms

    Dan kita coba lihat status port-security pada Switch.

    SW1#sh port-security               
    Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
    (Count) (Count) (Count)
    ---------------------------------------------------------------------------
    Et0/0 1 1 0 Protect
    Et0/1 1 1 0 Restrict
    Et0/2 1 1 0 Shutdown
    ---------------------------------------------------------------------------
    Total Addresses in System (excluding one mac per port) : 0
    Max Addresses limit in System (excluding one mac per port) : 4096

Setelah selesai konfigurasi, untuk melihat apa yang terjadi jika MAC Address tidak valid, maka coba tukar posisi PC pada tempat lain yang berlawanan, dan lakukan PING lagi.

    PC1> ping 10.10.10.2

    host (10.10.10.2) not reachable

    PC1> ping 10.10.10.3

    host (10.10.10.3) not reachable

    Dan inilah yang terjadi pada Switch, akan muncul notifikasi pada port security restrict dan shutdown.

    SW1#
    *Mar 29 01:18:10.019: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/2, putting Et0/2 in err-disable state
    SW1#
    *Mar 29 01:18:10.020: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6800 on port Ethernet0/2.
    *Mar 29 01:18:11.025: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:12.021: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:59.408: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/1.

Static MAC Address Table pada Switch Cisco

Secara default Switch akan mengisi MAC Address table secara otomatis ketika ada PC atau Host yang mengirimkan sebuah Frame baik itu Unicast, Multicast ataupun Broadcast, MAC Address table akan diisi dengan melihat MAC Address pengirim sebuah frame dan di port interface mana frame itu datang, dan kemudian barulah MAC Address beserta lokasi port-nya dimasukan dalam MAC Address Table.

Selain secara dynamic/otomatis, kita dapat melakukan mapping secara manual pada MAC Address table Switch Cisco atau Static. Kita bebas menentukan suatu PC/Router dengan MAC Address tertentu berada di port interface ini atau itu, kelebihan menggunakan metode ini Forwarding Frame menjadi lebih cepat saat Switch pertama kali hidup, dan juga untuk tujuan keamanan agar jaringan LAN tidak dapat diserang dengan ARP Spooffing atau biasanya disebut NetCut, dengan mengubah-ubah isi MAC Address table agar suatu PC atau Router tidak terhubung. Jika port sudah di mapping dengan suatu PC dengan MAC Address tertentu, maka selain dari PC tersebut frame yang dikirim akan di drop.

Untuk melakukan konfigurasi Static MAC Address table pada Cisco berikut ini adalah sintaks dan perintahnya :

  • Masukan MAC Address dan port tempat MAC Address tersebut berada, beserta VLAN-ID dari port tersebut.
  • Switch(config)# mac address-table static [H.H.H] vlan [Vlan-id] interface [slot/number] 

Dan sekarang kita akan coba Praktekan pada topologi dibawah ini.

Pertama kita konfigurasi Static MAC Address table pada Switch.

    SW1(config)#mac add static 0050.7966.6800 vl 1 int e0/0
    SW1(config)#mac add static 0050.7966.6801 vl 1 int e0/1
    SW1(config)#mac add static 0050.7966.6802 vl 1 int e0/2

Kemudian kita lihat pada MAC Address table Switch ini.

    SW1#sh mac address-table 
    Mac Address Table
    -------------------------------------------

    Vlan Mac Address Type Ports
    ---- ----------- -------- -----
    1 0050.7966.6800 STATIC Et0/0
    1 0050.7966.6801 STATIC Et0/1
    1 0050.7966.6802 STATIC Et0/2
    Total Mac Addresses for this criterion: 3

Setelah konfigurasi MAC Address table selesai sekarang kita konfigurasi IP Address pada PC. PC yang saya gunakan adalah VPCS.

    PC1> ip 10.10.10.1/24
    Checking for duplicate address...
    PC1 : 10.10.10.1 255.255.255.0

    PC2> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC3> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

Setealah konfigurasi IP Address selesai , kita lakukan PING dari satu PC Ke PC lainnya untuk memastikan konfigurasi apakah sudah benar.

    PC1> ping 10.10.10.2

    84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.425 ms
    84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.834 ms
    84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.928 ms
    84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.457 ms
    84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.894 ms

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.244 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.700 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.617 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.784 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=0.677 ms

Static MAC Address Table pada Switch Cisco

Secara default Switch akan mengisi MAC Address table secara otomatis ketika ada PC atau Host yang mengirimkan sebuah Frame baik itu Unicast, Multicast ataupun Broadcast, MAC Address table akan diisi dengan melihat MAC Address pengirim sebuah frame dan di port interface mana frame itu datang, dan kemudian barulah MAC Address beserta lokasi port-nya dimasukan dalam MAC Address Table.

Selain secara dynamic/otomatis, kita dapat melakukan mapping secara manual pada MAC Address table Switch Cisco atau Static. Kita bebas menentukan suatu PC/Router dengan MAC Address tertentu berada di port interface ini atau itu, kelebihan menggunakan metode ini Forwarding Frame menjadi lebih cepat saat Switch pertama kali hidup, dan juga untuk tujuan keamanan agar jaringan LAN tidak dapat diserang dengan ARP Spooffing atau biasanya disebut NetCut, dengan mengubah-ubah isi MAC Address table agar suatu PC atau Router tidak terhubung. Jika port sudah di mapping dengan suatu PC dengan MAC Address tertentu, maka selain dari PC tersebut frame yang dikirim akan di drop.

Untuk melakukan konfigurasi Static MAC Address table pada Cisco berikut ini adalah sintaks dan perintahnya :

  • Masukan MAC Address dan port tempat MAC Address tersebut berada, beserta VLAN-ID dari port tersebut.
  • Switch(config)# mac address-table static [H.H.H] vlan [Vlan-id] interface [slot/number] 

Dan sekarang kita akan coba Praktekan pada topologi dibawah ini.

Pertama kita konfigurasi Static MAC Address table pada Switch.

    SW1(config)#mac add static 0050.7966.6800 vl 1 int e0/0
    SW1(config)#mac add static 0050.7966.6801 vl 1 int e0/1
    SW1(config)#mac add static 0050.7966.6802 vl 1 int e0/2

Kemudian kita lihat pada MAC Address table Switch ini.

    SW1#sh mac address-table 
    Mac Address Table
    -------------------------------------------

    Vlan Mac Address Type Ports
    ---- ----------- -------- -----
    1 0050.7966.6800 STATIC Et0/0
    1 0050.7966.6801 STATIC Et0/1
    1 0050.7966.6802 STATIC Et0/2
    Total Mac Addresses for this criterion: 3

Setelah konfigurasi MAC Address table selesai sekarang kita konfigurasi IP Address pada PC. PC yang saya gunakan adalah VPCS.

    PC1> ip 10.10.10.1/24
    Checking for duplicate address...
    PC1 : 10.10.10.1 255.255.255.0

    PC2> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0

    PC3> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0

Setealah konfigurasi IP Address selesai , kita lakukan PING dari satu PC Ke PC lainnya untuk memastikan konfigurasi apakah sudah benar.

    PC1> ping 10.10.10.2

    84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.425 ms
    84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.834 ms
    84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.928 ms
    84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.457 ms
    84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.894 ms

    PC1> ping 10.10.10.3

    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.244 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.700 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.617 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.784 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=0.677 ms

Cara konfigurasi VTP pada Cisco

Bayangkan ketika kita membuat sebuah jaringan yang terdiri dari beberapa VLAN setiap Switch nya, jumlah Switch yang ingin dikonfigurasi VLAN sebanyak 20 atau lebih dan jumlah VLAN ada 10 lebih tiap Switchnya, jika kita satu per satu memasukan VLAN pada setiap database VLAN Switch akan memakan waktu dan tenaga yang banyak. Kita dapat mengakalinya dengan salah satu protokol miliki Cisco yaitu VTP.

VTP kepanjangan dari VLAN Trunking Protocol adalah protokol Cisco Priopertary yang berfungsi untuk mendistribusikan VLAN Database dari satu Switch ke Switch lainnya lewat jalur Trunk yang menghubungkan antar Switch, dengan kita menggunakan VTP pada Switch saat mengkonfigurasi VLAN kita hanya perlu memasukan VLAN pada salah satu Switch dan dari Switch tersebut database VLAN akan dikirimkan pada setiap Switch lewat jalur Trunk. Dalam VTP terdapat tiga mode pada Switch yaitu :

  • VTP Server : Switch pada mode ini adalah Switch yang bertugas untuk mengirimkan dan mendistribusikan VLAN database pada Switch VTP Client, pada Switch inilah kita memasukan VLAN-VLAN yang ingin kita konfigurasi pada setiap Switch. Pada Switch server kita dapat memodifikasi VLAN database seperti menambahkan, mengubah, dan menghapus.
  • VTP Transparent : Sesuai namanya, Switch ini bersifat transparan artinya Switch dengan mode ini hanya meneruskan VLAN database yang dikirim oleh server menuju Switch lainnya, tidak mengambil atau mensingkronkan VLAN database dari server. Tetapi pada Switch mode transparent kita dapat membuat VLAN untuk dia sendiri tetapi tidak akan dikirimkan.
  • VTP Client : Switch dengan mode VTP Client akan menerima VLAN Database yang dikirim server dan memasukannya dalam VLAN Database Client itu sendiri (mensingkronkan), pada Switch Client kita tidak dapat melakukan modifikasi terhadap VLAN Database seperti menambahkan, menghapus, dan merubah.

VTP dapat dibagi menjadi beberapa bagian yang disebut dengan Domain setiap domain memiliki nama tersendiri sebagai pembeda, untuk keamanan pada Domain VTP kita dapat memberikannya password untuk setiap Switch yang ingin bergabung dengan sebuah Domain VTP.

Saya contohkan konfigurasi VTP pada Switch Cisco pada gambar berikut :

Saya akan membuat beberapa VLAN pada VTP Server yang akan dikirimkan pada VTP Client lewat jalur trunk, sedangkan pada VTP Transparent hanya sebagai penerus dan memiliki VLAN Database sendiri. Domain saya beri nama dzikra.id dan saya amankan menggunakan password.
Pertama kita buat jalur trunk :

VTPServer(config)#int g0/1
VTPServer(config-if)#sw mode trunk
VTPTransparent(config)#int g0/1
VTPTransparent(config-if)#sw mo tr
VTPTransparent(config-if)#exit
VTPTransparent(config)#int g0/2
VTPTransparent(config-if)#sw mo tr
VTPClient(config)#int g0/1
VTPClient(config-if)#sw mo trunk

Setelah selesai jalur trunk sekarang kita aktifkan VTP pada Server lalu atur domain beserta passwordnya

VTPServer(config)#vtp mode server
VTPServer(config)#vtp domain dzikra.id
VTPServer(config)#vtp password rahasia

Pada VTP Server kita buat beberapa VLAN

VTPServer(config)#vlan 10
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 20
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 30
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 40
VTPServer(config-vlan)#exi

Lalu konfigurasi pada VTP Transparent dan VTP Client

VTPTransparent(config)#vtp mode transparent
VTPTransparent(config)#vtp domain dzikra.id
VTPTransparent(config)#vtp password rahasia
VTPClient(config)#vtp mode client
VTPClient(config)#vtp domain dzikra.id
VTPClient(config)#vtp password rahasia

Buat beberapa VLAN untuk VTP Transparent

VTPTransparent(config)#vlan 11
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 12
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 13
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 14
VTPTransparent(config-vlan)#exi

Setelah selesai konfigurasi sekarang kita lihat VLAN Database pada Client dan Transparent :

VTPClient#sh vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/2
10 VLAN0010 active
20 VLAN0020 active
30 VLAN0030 active
40 VLAN0040 active

1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
--More--
VTPTransparent#sh vlan 

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
11 VLAN0011 active
12 VLAN0012 active
13 VLAN0013 active
14 VLAN0014 active

1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
11 enet 100011 1500 - - - - - 0 0
--More--

Kesimpulan

Dengan menggunakan VTP managemen VLAN menjadi terpusat pada satu Switch, tidak perlu repot repot memasukan vlan pada setiap Switch yang jumalhnya sangat banyak, cukup pada satu Switch maka Switch yang lainnya akan mengikuti.

Cara konfigurasi VTP pada Cisco

Bayangkan ketika kita membuat sebuah jaringan yang terdiri dari beberapa VLAN setiap Switch nya, jumlah Switch yang ingin dikonfigurasi VLAN sebanyak 20 atau lebih dan jumlah VLAN ada 10 lebih tiap Switchnya, jika kita satu per satu memasukan VLAN pada setiap database VLAN Switch akan memakan waktu dan tenaga yang banyak. Kita dapat mengakalinya dengan salah satu protokol miliki Cisco yaitu VTP.

VTP kepanjangan dari VLAN Trunking Protocol adalah protokol Cisco Priopertary yang berfungsi untuk mendistribusikan VLAN Database dari satu Switch ke Switch lainnya lewat jalur Trunk yang menghubungkan antar Switch, dengan kita menggunakan VTP pada Switch saat mengkonfigurasi VLAN kita hanya perlu memasukan VLAN pada salah satu Switch dan dari Switch tersebut database VLAN akan dikirimkan pada setiap Switch lewat jalur Trunk. Dalam VTP terdapat tiga mode pada Switch yaitu :

  • VTP Server : Switch pada mode ini adalah Switch yang bertugas untuk mengirimkan dan mendistribusikan VLAN database pada Switch VTP Client, pada Switch inilah kita memasukan VLAN-VLAN yang ingin kita konfigurasi pada setiap Switch. Pada Switch server kita dapat memodifikasi VLAN database seperti menambahkan, mengubah, dan menghapus.
  • VTP Transparent : Sesuai namanya, Switch ini bersifat transparan artinya Switch dengan mode ini hanya meneruskan VLAN database yang dikirim oleh server menuju Switch lainnya, tidak mengambil atau mensingkronkan VLAN database dari server. Tetapi pada Switch mode transparent kita dapat membuat VLAN untuk dia sendiri tetapi tidak akan dikirimkan.
  • VTP Client : Switch dengan mode VTP Client akan menerima VLAN Database yang dikirim server dan memasukannya dalam VLAN Database Client itu sendiri (mensingkronkan), pada Switch Client kita tidak dapat melakukan modifikasi terhadap VLAN Database seperti menambahkan, menghapus, dan merubah.

VTP dapat dibagi menjadi beberapa bagian yang disebut dengan Domain setiap domain memiliki nama tersendiri sebagai pembeda, untuk keamanan pada Domain VTP kita dapat memberikannya password untuk setiap Switch yang ingin bergabung dengan sebuah Domain VTP.

Saya contohkan konfigurasi VTP pada Switch Cisco pada gambar berikut :

Saya akan membuat beberapa VLAN pada VTP Server yang akan dikirimkan pada VTP Client lewat jalur trunk, sedangkan pada VTP Transparent hanya sebagai penerus dan memiliki VLAN Database sendiri. Domain saya beri nama dzikra.id dan saya amankan menggunakan password.
Pertama kita buat jalur trunk :

VTPServer(config)#int g0/1
VTPServer(config-if)#sw mode trunk
VTPTransparent(config)#int g0/1
VTPTransparent(config-if)#sw mo tr
VTPTransparent(config-if)#exit
VTPTransparent(config)#int g0/2
VTPTransparent(config-if)#sw mo tr
VTPClient(config)#int g0/1
VTPClient(config-if)#sw mo trunk

Setelah selesai jalur trunk sekarang kita aktifkan VTP pada Server lalu atur domain beserta passwordnya

VTPServer(config)#vtp mode server
VTPServer(config)#vtp domain dzikra.id
VTPServer(config)#vtp password rahasia

Pada VTP Server kita buat beberapa VLAN

VTPServer(config)#vlan 10
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 20
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 30
VTPServer(config-vlan)#exi
VTPServer(config)#vlan 40
VTPServer(config-vlan)#exi

Lalu konfigurasi pada VTP Transparent dan VTP Client

VTPTransparent(config)#vtp mode transparent
VTPTransparent(config)#vtp domain dzikra.id
VTPTransparent(config)#vtp password rahasia
VTPClient(config)#vtp mode client
VTPClient(config)#vtp domain dzikra.id
VTPClient(config)#vtp password rahasia

Buat beberapa VLAN untuk VTP Transparent

VTPTransparent(config)#vlan 11
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 12
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 13
VTPTransparent(config-vlan)#exi
VTPTransparent(config)#vlan 14
VTPTransparent(config-vlan)#exi

Setelah selesai konfigurasi sekarang kita lihat VLAN Database pada Client dan Transparent :

VTPClient#sh vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/2
10 VLAN0010 active
20 VLAN0020 active
30 VLAN0030 active
40 VLAN0040 active

1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
--More--
VTPTransparent#sh vlan 

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
11 VLAN0011 active
12 VLAN0012 active
13 VLAN0013 active
14 VLAN0014 active

1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
11 enet 100011 1500 - - - - - 0 0
--More--

Kesimpulan

Dengan menggunakan VTP managemen VLAN menjadi terpusat pada satu Switch, tidak perlu repot repot memasukan vlan pada setiap Switch yang jumalhnya sangat banyak, cukup pada satu Switch maka Switch yang lainnya akan mengikuti.