![Modul MTCNA PDF [PDF]](https://pdfs.asia/img/200x200/modul-mtcna-pdf.jpg)
15 0 11 MB
Pemateri: Ahmad Anggra Juang Satria, S.Tr.Kom, MTCNA, MTCRE, FCNS [email protected] | 0811 7723 010
Perkenalkan Diri Anda Silahkan perkenalkan diri anda: • Nama beserta panggilan? • Perusahaan / Instansi / Universitas? • Pengalaman tentang internetworking? • Pengalaman menggunakan produk Mikrotik? • Apa yang diharapkan dari training ini? • Rencana kedepan setelah mengikuti training ini?
Tujuan Training MTCNA 1. Mempelajari karakteristik, fitur dan kemampuan Mikrotik RouterOS. 2. Mempelajari proses instalasi, konfigurasi, maintenance dan troubleshoot Mikrotik RouterOS. 3. Pembekalan sebelum melakukan ujian sertifikasi MTCA. 4. Mendapatkan kualifikasi sebagai Mikrotik Certified Network Associate.
Roadmap Sertifikasi Mikrotik
Akun Mikrotik • Registrasi akun di https://www.mikrotik.com/client/ • Pastikan nama anda ditulis lengkap dalam profil, karena otomatis akan tercetak dalam sertifikat. • Informasikan email anda ke instruktur, peserta harus mendapat invitation dari instruktur.
Tentang Ujian Sertifikasi • Online test terdiri dari 25 soal dengan waktu pengerjaan 60 menit. • Soal setiap ujian acak, dengan beberapa soal mungkin ada yang sama dengan soal sebelumnya. • Score passing 60%, nilai 50% - 59% dapat melakukan ujian ulang (maksimal satu kali lagi). • Harap berhati-hati ketika menjawab soal, disamping soal menggunakan bahasa Inggris banyak juga soal dengan model menjebak.
Contoh Test Latihan ujian dapat diakses melalui Account My Training Session Try example test
Skedul Training Materi
Durasi
Hari ke-1
Modul 1: Intro + dasar TCP/IP,
300 Menit
Hari ke-4
Modul 2: Wireless
300 Menit
Hari ke-7
Modul 3: Bridging, Modul 4: Routing
300 Menit
Hari ke-10
Modul 5: Firewall
300 Menit
Hari ke-13
Modul 6: Tunnel
300 Menit
Hari ke-16
Modul 7: QoS, Modul 8: Network Management
300 Menit
INTRODUCTION & TCP/IP Modul - 1
Background Mikrotik • Lokasi Perusahaan: Riga, Latvia (Eropa Utara) • Produsen software dan hardware router. • Menjadikan teknologi internet lebih murah, cepat, handal dan terjangkau luas. • Motto Mikrotik : Routing the World. • Pendiri (1996): John Trully & Arnis Reikstins.
Sejarah Mikrotik
Jenis Produk Mikrotik MikroTik RouterOS • Software untuk mengubah PC biasa menjadi sebuah Router yang handal. • Berbasis Linux Kernel. • Diinstall sebagai Sistem Operasi. • Biasanya diinstall pada powerPC / MIPS MikroTik RouterBOARD • Built in hardware (board) yang menggunakan RouterOS sebagai Operating System-nya. • Tersedia dari model low end sampai dengan model high end.
Fitur Mikrotik RouterOS mendukung berbagai perangkat berbasis: • Ethernet, wireless card, V35, ISDN, USB Storage, USB 3G/4G modem, E1/T1. Memiliki fitur yang melebihi sebuah router biasa: • User management (DHCP, Hotspot, Radius etc). • Routing (RIP, OSPF, BGP, RIPng, OSPFv3). • Firewall & NAT (fully customized dan berbasis Linux). • QoS (fully customized dan berbasis Linux). • Tunnel/VPN (EoIP, PPTP, L2TP, PPPoE, SSTP, OpenVPN). • Real-Time Tools (Torch, watchdog, mac-ping, MRTG, sniffer).
Arsitektur RouterBoard • Aristektur RotuerBoard dibedakan berdasarkan jenis dan kinerja processor. • Versi software/OS untuk setiap arsitektur berbeda.
Mikrotik vs Cisc* How does this software compare to using a Cisco router? • You can do almost everything that a proprietary router does at a fraction of the cost of such a router and have flexibility in upgrading, ease of management and maintenance. • Anda dapat melakukan hampir semua fitur yang dimiliki propierty router tersebut (Cisc*) dengan biaya yang jauh lebih murah dan memiliki fleksibilitas dalam meng-upgrade, kemudahan manajemen dan pemeliharaan. Source: https://wiki.mikrotik.com/wiki/Manual:RouterOS_FAQ
Konvensi Penamaan RouterBoard RB CCR
– RouterBOARD – Cloud Core Router – 1036 (angka 36 menunjukkan jumlah core)
CRS U A H G I S 2,5 2nD
– Cloud Router Switch – dilengkapi port USB – Advanced, umumnya lisensi diatas level 4 – High performance, cpu lebih tinggi – Gigabit Ethernet – Injector, mendukung PoE – SFP ( Small-Form Pluggable) port untuk fiber optic – frekuensi radio 2 GHz atau 5 Ghz – dual channel (MIMO)
Akses ke RouterOS Metode Akses
Koneksi
CLI
Keyboard
Direct PC
yes
Serial Console
Kabel Serial
Yes
Telnet & SSH
Layer 3
Yes
Winbox
Layer 3
Yes
FTP
Layer 3
Yes
API
Socket Programming
HTTP
Layer 3
MAC-Telnet
Layer 2
GUI
IP
Yes Yes
Yes Yes Yes
Yes yes
Yes
Winbox • Cara paling efisien untuk mengkonfigurasikan Mikrotik adalah dengan menggunakan tool Winbox • Winbox dapat ditemukan di: – Web www.mikrotik.com – Web interface router Miktrotik – Copy installer dari teman
Winbox adalah proprietary software milik Mikrotik yang digunakan untuk mengkonfigurasikan router Mikrotik secara GUI dan juga support internal CLI. Hanya dapat me-manage perangkat berbasis Mikrotik RouterOS. Tidak dapat memanage perangkat Mikrotik lain conto SWOS seperti RB250G, 260G, 260GS.
Tampilan Menu Winbox
Webfig Setelah versi RouterOS 5.0, Mikrotik memperkenalkan access interface via web interface yang memiliki fitur dan fungsi yang hampir sama persis dengan Winbox
QuickSet Mode
Deskripsi
CPE
Perangkat disisi client (umumnya router client WISP)
Home AP
Menerima koneksi internet dari kabel/modem, kemudian memancarkan via Wireless AP
PTP-Bridge
Sambungan wireless antara gedung, berfungsi untuk menggantikan kabel untuk koneksi jarak jauh
WISP AP
Digunakan secara point-to-multipoint di BTS WISP
Terminal Akses menggunakan terminal berguna ketika seperti bandwidth terbatas, running script, limitasi dari router ISP dan lain-lain. Beberapa cara untuk melakukan koneksi terminal seperti: • Telnet (non secured connection menggunakan TCP port 23) • SSH (secured connection menggunakan port TCP 22) • Serial console (kabel serial) • Terminal console via winbox & webfig
Auto completion & History Command • RouterOS dilengkapi dengan fitur command autocompletion dengan menekan tombol (TAB) dan double (TAB). • Fitur menyingkat command seperti /ip fi fi untuk /ip firewall filter. • Tombol keyboard atas digunakan untuk melihat history dari perintah yang sudah dimasukan sebelumnya. • Tanda ? digunakan untuk melihat perintah yang tersedia pada command ataupun subcommand
Telnet & SSH Untuk mengakses router Mikrotik menggunakan telnet ataupun SSH dapat menggunakan aplikasi seperti PuTTY yang dapat di-download dari http://www.chiark.greenend.org.uk/~sgtatham/puty/download.html
Serial Console • Serial console dapat digunakan ketika akses terhadap router Mikrotik tidak memungkinkan secara remote karena beberapa kemungkinan seperti lupa password, salah konfigurasi dan lain-lain. • Serial console dibutuhkan juga saat kita menggunakan Netinstall. • Remote via serial console membutuhkan kabel DB-9. • Menggunakan program HyperTerminal contoh PuTTY. • Setting default adalah baud rate 115200, data bits 8, parity none, stop bits 1 dan flow control none.
Dasar TCP/IP • TCP/IP dan Subnetting adalah prasyarat untuk mengikuti training MTCNA. • Diharapkan peserta training mempelajari lebih dalam tentang TCP/IP dan subnetting menggunakan sumber dari luar seperti buku dan website.
Basic Internetworking - Hub •
•
•
•
•
Contoh dari sebuah internetworking paling sederhana adalah sebuah LAN dengan sebuah hub. Dalam sebuah hub semua hub semua node yang terkoneksi ke hub adalah 1 collosion domain Dalam 1 collosion domain bandwidth terbagi sebesar berapa banyak user hub tersebut. Jika terdapat user mengirim data ke user lain dalam 1 hub maka user lainnya juga akan menerima data tersebut (broadcast). Sebuah hub atau beberapa hub yang terhubung adalah satu collosion domain dan satu broadcast domain.
Basic Internetworking - Switch •
• • • •
Berbeda dengan hub, switch dalam sebuah network memiliki collosion domain masing-masing untuk setiap portnya. Pada switch apabila sebut user mengirim data untuk user lain maka user hanya user tersebut yang dapat menerima data. Kecuali apabila alamat user tersebut tidak diketahui (di-broadcast). Pada switch tidak mungkin terjadi event collision seperti hub. Oleh sebab itu bandwidth pada switch exclusive untuk user tersebut (dedicated). Switch menggunakan MAC address untuk melakukan komunikasi.
Basic Internetworking - Router • Untuk memecah broadcast domain diperlukan perangkat yang bernama router. • Router menggunakan IP address untuk melakukan komunikasi. • Router dapat menangani masalah yang ditimbulkan pada switch dan hub seperti broadcast stormn.
Basic Internetworking Didalam sebuah jaringan bisa terdapat beberapa network device seperti: • Firewall • Router • Switch • Access Point • Server • Computer • IP Phone • Printer • Dan lain-lain. Gambar disamping memperlihatkan tipikal internetworking yang sering anda temui.
Internetworking Model – OSI • OSI model terdiri dari 7 lapisan. • Lapisan teratas mendefinisikan bagaimana aplikasi berinteraksi dengan user. • Sedangkan lapisan bawah mendefinisikan bagaimana data dirikim.
Gambar – OSI Top Layer
Gambar – OSI Button Layer
TCP- Connection Oriented • Pada model OSI trasport layer terdapat 2 buah protokol yaitu TCP dan UDP. • Protokol UDP mengirimkan data tanpa adanya jaminan data akan diterima oleh target atau tidak diterima oleh target. • Sedangkan protokol TCP mengirimkan data dengan jaminan data akan sampai dengan tujuan. • Untuk mencapai hal tersebut protokol TCP menggunakan teknik “3-Way Handshake”.
Switch/Bridge di OSI Model • Switch men-forward data menggunakan MAC Address Table. • Dikarenakan switch mengerti pengalamatan MAC address maka switch berada pada layer 2 OSI model. • Switch juga terkadang disebut dengan nama Multi Port Bridge.
Hub di OSI Model • Hub bekerja seperti repeater yang akan menforward semua data yang diterima. • Apabila seorang user mengerim data pada user lain maka data akan diforward keseluruh port yang ada pada hub. • Oleh sebab itu HUB berada di layer 1 pada OSI model.
Topologi Jaringan Pada Layer 1 OSI • Bus Topology – pada topologi ini setiap node (perangkat network) terkoneksi menggunakan satu kabel. • Ring Topology – pada topologi ini setiap node terkoneksi dengan node lainnya dan membentuk lingkaran(setiap node memiliki setidanya 2 buah NIC). • Ring Topology – pada topologi ini setiap node terkoneksi pada sebuah concentrator (hub atau switch). • Mesh Topology – pada topologi ini setiap node terhubung satu sama lain dengan tujuan untuk redunansi.
Internetworking Model – OSI
Ethernet Networking CSMA/CD • Pada jaringan berbasis ethernet dikenal sebuah teknik Carrier Sense Multiple Access with Collision Detection (CSMA/CD). • Teknik ini digunakan untuk menangani masalah yang ada pada hub seperti collision ,yang dimana perangkat berbagi bandwith untuk menggunakan hub dan terkadang dua buah dapat saja mengirimkan data secara bersamaan yang dapat mengakibatkan tabrakan (collision).
Ethernet Networking CSMA/CD Cara kerja CSMA/CD ketika collision terjadi adalah: 1. Mengirimkan signal keseluruh perangkat yang ada bahwa collision telah terjadi. 2. Perangkat yang menjalankan CSMA/CD akan menjalankan algoritma backoff secara acak. 3. Setiap perangkat akan berhenti untuk mengirimkan data sementara waktu selama “backoff timer” berjalan. 4. Semua host dapat mengirimkan data setelah backof timer habis.
Efek samping yang ditimbulkan oleh jaringan berbasis CSMA/CD karena collision adalah delay, throughput rendah dan kongensi.
Ethernet Networking Half Duplex • •
• •
•
Pada mode half duplex, host mengirimkan data mengunakan 1 pair kabel UTP. Pada hub semua user/host dapat mengirim data secara bersamaan dan apabila data dikirim secara bersamaan dapat menimbulkan tabrakan atau collision karena data diforward kesemua port. Half duplex menggunakan CSMA/CD untuk mengatasi masalah collision. Semua port pada hub beroperasi pada mode half duplex. Bandwith pada mode half duplex terbagi rata antar host.
Ethernet Networking Full Duplex • Pada mode full duplex, host mengirimkan data menggunakan 2 pair dari kabel UTP. • Full duplex mengirimkan data secara point-to-point antara host. • Full duplex mendapatkan bandwitdh penuh. • Collision tidak akan terjadi pada mode full duplex. • Semua perangkat mendukung full duplex kecuali hub. • Secara teori speed yang didapatkan oleh sebuah port dengan mode full duplex adalah 2 kali lipat, contoh apabila ada port 100 Mbps maka akan mendapatkan secara teori 200 Mbps (aggregate).
Konversi Binary ke Decimal • IPv4 mempunyai 4 oktet yang masing berjumlah total 4 byte dengan masing-masing oktet berukuran 1 byte. • Total dari bit yang digunakan pada IPv4 adalah 32 bit dengan masingmasing oktet terdiri dari 8 bit. • Nilai berkisar dari 1 sampai 255 (20 s/d 27). • Untuk mendapatkan nilai desimal dari binary untuk sebuah oktetk IPv4 adalah mengalikan setiap bit oktet dengan 2n dan kemudian menjumlahkan total dari oktet tersebut contoh :
Konversi Decimal ke Binary • Untuk melukan konversi desimal ke binary dapat menggunakan bilang desimal dibagi 2 secara repititif, untuk hasil pembagian tidak bersisa tulisakan 0 sedangkan untuk hasil pembagian bersisa tuliskan 1. • Hasil pembagian dibulatkan nilai terendah apabila ada bilangan pecahan. • Untuk kasus IPv4 pembagian dilakukan sampai 8 kali. • Hasil akhir adalah ambil bilangan biner dari paling bawah ke atas.
Konversi Binary ke Decimal • Untuk mempermudah proses subnetting (akan dibahas dibab selanjutnya) ada baiknya anda menghafal tabel berikut:
Pengkabelan Ethernet • Dalam pengkabelan ethernet terdapat 2 jenis pengkabelan yaitu crossover & straight-through. • Crossover untuk menghubungkan antara switch to switch, host to host, hub to hub, hub to switch dan router to router. Intinya device dengan tipe signaling yang sama. • Sedangkan straight-through menghubungkan antara switch to pc, switch to router dan lain-lain. Intinya device dengan tipe signaling yang berbeda.
Pengkabelan Ethernet
Enkapsulisasi Data •
•
•
Setiap data yang akan dikirim akan melalui proses enkapsulisasi. Hal yang harus digaris bawahi tiap layer memiliki istilah tersendiri untuk data yang telah dienkapsulisasi. Data yang diterima target akan mengalami proses kebalikan yaitu dekapsulisasi dimulai dari OSI layer 1 sampai OSI layer 7.
Enkapsulisasi Data • Setiap data yang dienkapsulisasi akan ditambahkan header dan data dari layer sebelumnya ditambahkan ke belakang setiap layer OSI.
TCP/IP • Secarah kasar model TCP/IP adalah versi terpadu dari model OSI. • TCP/IP juga dikenal dengan sebutan DoD model. • TCP/IP terdiri dari 4 layer yaitu: – Process/Application layer – Host-to-Host/transport layer – Internet layer – Network access atau link layer
Protocol Pada TCP/IP
TCP vs UDP • Transmission Control Protocol (TCP) adalah protokol pada internet layer model TCP/IP untuk mengirimkan data secara aman. • User Datagram Protocol (UDP) adalah protokol untuk mengirim data secara cepat pada internet layer model TCP/IP. • TCP cocok untuk pengiriman data yang sensitif terhadap kerusakan data seperti web, ssh, ftp, telnet, imap dan lain-lain • UDP cocok untuk pengiriman data yang tidak sensitif terhadap kehilangan data seperti VPN, video, games, dns dan lain-lain.
Port Number • Pada layer internet TCP/IP atau transport OSI, baik protokol TCP dan UDP menggunakan port untuk mengirimkan data ke target. • Secara garis besar penggunaan port adalah : 1. 2.
3.
Dari 0 – 1023 adalah well-know ports assign by IANA sebagai “destination port” Dari 1024 – 49151 adalah registered port assign by IANA but not permanent sebagai “destination port” Dari 1024 – 65535 adalah unregistered atau dynamic atau private atau ephemeral ports digunakan oleh sistem operasi atau aplikasi untuk mengirim data sebagai “source port”
Port Number • Port digunakan oleh sistem operasi sebagai pintu masuk dan keluar data yang akan dikirim.
Protocol Di Model OSI Dan TCP/IP Protocol adalah standar yang digunakan dalam TCP/IP atau OSI layer untuk bagaimana suatu data dikirim. Beberapa protoko yang sering digunakan seperti: • Transmission Control Protocol (TCP) contoh SMTP • User Datagram Protocol (UDP) contoh DNS, SNMP • Internet Control Message Protocol (ICMP) contoh ping, traceroute • Hypertext Transfer Protocol (HTTP) contoh web • Post Office Protocol (POP) contoh email client • File Transfer Protocol (FTP) • Dan lain-lain
MAC Address Media Access Control (MAC) adalah alamat fisik pada jaringan computer yang berada pada layer 2 pada OSI layer atau pada interface layer pada model TCP/IP. Dalam sebuah perangkat yang mendukung jaringan berbasis TCP/IP MAC address ditanam dalam sebuah network interface card (NIC). MAC address merupakan alamat unik yang memiliki panjang 48-bit. • MAC address terdiri dari 12 digit bilangan hexadecimal (0 s/d F), 6 digit pertama merepresentasikan vendor dan 6 selanjutnya adalah nomor unik dari NIC. • Contoh MAC address: 02-00-4C-4F-4F-50
ARP •
•
•
•
Address Resolution Protocol (ARP) adalah protokol yang berfungsi mapping alamat IP address (logikal) menjadi alamat hardware (MAC address). Umumnya sebuah sistem operasi akan menyimpan tabel mapping antara IP address dengan MAC address baik secara statik atau dinamis. Apabila sistem operasi tidak menemukan, maka sistem operasi akan melakukan ARP broadcast. Source adalah ip dan mac address dari host sedangakan destination adalah broadcast MAC address (FF:FF:FF:FF:FF) dan broadcast IP address.
IP Address IP (Internet Protocol) terdapat dalam Network Layer (layer 3) OSI. IP address digunakan untuk pengalamatan suatu PC / host secara logis. IPv4 • Pengalamatan 32 bit • Jumlah maksimal host 4,294,967,296 • Contoh Penulisan 192.168.10.150 IPv6 • Pengalamatan 128 bit • Jumlah maksimal host 340,282,366,920,938,463,374,607,431,768,211,456 • Contoh penulisan 2001:db8:3c4d:12::1234:56ab
IP Terminology • Bit- satu digit/bits yaitu 1 dan 0. • Byte – 8 bits. • Oktet – oktet terdiri dari 1 byte atau 8 bit. Pada IPv4 terdapat 4 oktet dengan total 4 byte atau 32 bit. • Network Address – idenditas dari sebuah subnet dan biasanya menjadi tujuan dari proses routing contoh 10.0.0.0 , 172.16.0.0, 192.168.0.0 , 192.168.0.64 (tergantung subnet mask dari network address). • Broadcast Address – digunakan oleh aplikasi dan host untuk mengirim informasi kesemua host. Contoh 255.255.255.255 , 192.168.0.255, 192.168.0.63 (tergantung subnet mask dari network address).
Anatomy IP Address
Network Address Type • Network address terdiri dari beberapa kelas seperti kelas A, B, C, D dan E. • Kelas A sampai D dapat digunakan sedangkan kelas E untuk penelitian. • Kelas A mulai dari desimal 0 (00000000) sampai 127 (01111111) Kelas B mulai dari 128 (10000000) sampai dengan 191 (10111111). • Kelas C mulai dari 192(11000000) sampai dengan 223 (11011111). • Kelas D (224 – 239) sebagai multicast addresses and Class E (240 – 255) untuk keperluan penelitian.
Private Address (RFC 1918) Berdasarkan jenisnya IP address dibedakan menjadi IP Public dan IP Private. • IP Public adalah IP address yang digunakan untuk koneksi jaringan global (internet) secara langsung bersifat unik. • IP Private digunakan untuk jaringan lokal (LAN) • Alokasi IP Private adalah sbb:
Type IPv4 Address Berikut tipe-tipe dari IPv4 address: • Loopback – alamat yang digunakan untuk mengetes IP stack dari komputer. • Broadcast – dikirim kesemua node pada semua network. – Limited broadcast 255.255.255.255 contoh DHCP paket. – Directed broadcast 192.168.0.255 contoh NBSN paket.
• Unicast – mengirimkan data ke satu node (antar node). • Multicast – mengirimkan data dari satu node ke grup.
Unicast
Broadcast
Multicast
IP Bogon IP Bogon adalah IP yang tidak dapat dipakai karena tidak diatur dalam aturan organisasi internet. • IP bogon biasanya muncuk karena kesalahan konfigurasi yang tidak disengaja atau sengaja untuk tujuan tertentu. • Contoh IP bogon : : 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.0.0.0/24, 192.0.2.0/24, 192.168.0.0/16, 198.18.0.0/15, 198.51.100.0/24, 203.0.113.0/24, 224.0.0.0/4, dsb • Bogons dapat difilter menggunakan ACLs atau BGP blackholing. • IP bisa digolongkan IP untuk saat ini, bisa jadi kedepannya bukan merupakan IP bogon lagi jida ditetapkan oleh organisasi internet nasional (IANA).
Subnetting Alamat IP didesain untuk digunakan secara berkelompok (sub-jaringan/subnet). • Subnetting adalah cara untuk memisahkan dan mendistribusikan beberapa alamat IP. • Subnet dapat mengingkatkan performa dan security. • Host/perangkat yang terletak pada subnet Yang sama dapat berkomunikasi satu sama lain secara langsung (tanpa melibatkan router/proses routing).
Subnetting
Cara Mendefinisikan Subnet
Subnet Mask • Subnet mask digunakan untuk mendapatkan network address/ID dan broadcast address/ID dari sebuah subnet. • Dalam implementasinya anda dapat menggunakan custom subnet mask (classless) ataupun default subnet mask (classfull).
Classless Inter-domain Routing (CIDR) • CIDR juga disebut sebagai supernetting. • CIDR adalah classless IP address, pada CIDR tidak mengenal istilah kelas IP address seperti IP address kelas A, B, C dan lain-lain. • Pengelompokan IP address berdasarkan kelasnya (A,B,C,D,E) disebut classfull IP address. • Valid untuk memberikan subnet mask 255.255.254.0 pada IP kelas C 192.168.0.0. • Selain menggunakan subnet mask CIDR juga dapat mengunakan notasi prefix contoh192.168.0.0 255.255.254.0 192.168.0.0/23
Subnetting Cheatsheet
Mencari Broadcast ID Dan Network ID • Untuk menentukan network ID dan Broadcast dari sebuah subnet mengunakan subnet mask tertentu kemudian dilakukan operasi logika AND. • Cara lebih mudah dengan memperhatikan blok subnet dan mencari alamat pertama dan alamat terakhir.
Lab Subnetting Berdasarkan IP address 192.168.0.30/25 carilah data berikut? • Subnet mask. • Jumlah subnet. • Jumlah host persubnet. • Blok subnet. • Network address. • Broadcast address. • Valid hosts.
Lab Subnetting Rumus mencari data tersebut adalah: • Jumlah subnet – 2n (n adalah jumlah subnet bits (1) yang digunakan/pinjam untuk subnetting). • Jumlah host persubnet – (2n)-2 (n adalah jumlah host bits (0) yang tersisa subnetting). • Blok subnet – 256 – n (n adalah oktet terakhir dari subnet mask yang tidak 0). • Network address – menggunakan operasi “AND” atau menggunakan alamat pertama dari blok subnet. • Broadcast address – menggunakan operasi “AND” dan membuat 1 (meng-on kan host bits) atau menggunakan alamat terakhir kuran g 1 dari block subnet baru. • Valid hosts – IP address yang valid setalah network address dan sebelum broadcast address.
Lab Subnetting • 192.168.0.30/25 • Subnet mask /25 = 255.255.255.128(11111111.11111111.11111111.10000000). • Jumlah subnet 2^1 = 2 subnet . • Jumlah host persubnet 2^7-2 = 126 hosts. • Blok subnet 256-128 = 128, jadi blok subnet dari 0 dan 128. • Network address 192.168.0.0 • Broadcast address 192.168.0.127 • Valid hosts. 192.168.0.1-192.168.0.126
Lisensi • Fitur-fitur pada RouterOS bergantung dari jenis atau level lisensi yang ada pada RouterOS atau RouterBoard. • Level dari lisensi juga menentukan batasan upgrade. • Lisensi melekat pada storage atau media penyimpanan RouterOS contoh hard disk, NAND, thumb drive dan lain-lain. • Bila media penyimpanan diformat denga non Mikrotik maka lisensi akan invalid.
Level Lisensi
Lisensi dan Upgrade Versi • Lisensi menentukan versi berapa RouterOS dapat diinstall/upgrade disuatu hardware. • L1 dan L4 mengijinkan upgrade 1 versi diatansya, L5 dan L6 mengijinkan upgrade sampai 2 versi diatasnya.
Versi Mikrotik Fitur-fitur Mikrotik selain ditentukan oleh lisensi yang digunakan, juga ditentukan oleh versi dari Mikrotik yang terinstall. • Pada RouterOS versi Mikrotik dapat dilihat dari paket yang terinstall. • Paket yang terinstall menunjukan fitur apa saja yang didukung oleh RouterOS.
Melihat Versi RouterOS
Paket dan Fitur Paket
Sumber: https://wiki.mikrotik.com/wiki/Manual:System/Packages
Manajemen Paket • Coba disable, enable dan uninstall paket IPv6. • Perhatikan juga kapasitas dari NAND(storage) sebelum dan setelah uninstall. • Perintah-perintah tersebut tidak akan dieksekusi sebelum router direboot.
Paket Upgrade dan Downgrade • Untuk faktor keamanan dan kehandalan ada baiknya anda usahakan untuk upgrade paket ke versi terbaru. • Upgrade juga berguna untuk fix bugs, fitur baru dan lain-lain. • Downgrade perlu dilakukan apabila hardware kurang support terhadap versi baru atau terdapat bug pada versi yang digunakan • Upgrade paket harus memperhatikan aturan level dan lisensi yang berlaku. • Upgrade dan downgrade juga harus memperhatikan kompatibilitas terhadap arsitektur hardware.
Upgrade/downgrade • •
Pemilihan paket sangat penting dalam melakukan upgrade/downgrade, jenis & arsitektur hardware memiliki software yang berbeda. Bila ragu anda dapat melakukan pengecekan dan download di www.mikrotik.com/download
RouterOS Release • Bugfix only – fixes, no new features • Current – same fixes + new features • Release candidate – considered as a nightly build version
Mengupload Paket Paket yang akan diinstall (versi lama/baru) harus diupload terlebih dahulu ke router pada bagian file. • Upload dapat dilakukan dengan drag and drop (winbox) atau menggunakan FTP client. • Upload paket tidak dapat menggunakan via drag and drop winbox apabila koneksi menggunakan MAC address. • Untuk melakukan upgrade paket router harus direboot.
Mengupload Paket Baru • Upgrade router and ke versi terbaru. • Pastikan winbox menggunakan koneksi via IP. • Reboot setelah selesai upload dan liat hasilnya.
Mengupload Paket Baru • Cek log untuk melihat apabila ada error.
RouterBOOT
Hard Reset Khusus RouterBoard memiliki rangkaian untuk reset pada board dengan cara menjumper sambil menyalakan RB, RB akan kembali ke konfigurasi awal/default.
Soft Reset Apabila anda masih bisa masuk kedalam system Mikrotik, softreset dapat dilakukan dengan perintah:
Reinstall RouterOS Install ulang router dapat mengembalikan router ke default factory setting: • Install dapat dilakukan menggunakan media CD dan software netinstall. • RouterBoard hanya dapat diinstall ulang menggunakan software netinstall.
Reset Konfigurasi Router Anda dapat melakukan reset konfigurasi router Mikoritk apabila: • Lupa username atau password atau keduanya • Saat konfigurasi terlalu komplek dan perlu start dari awal Reset konfigurasi dapat dilakukan dengan cara: • Hard reset secara fisik. • Soft reset secara software. • Install ulang
Netinstall Untuk melakukan instalasi menggunakan netinstall, RB harus disetting agar booting dari jaringan (ethernet) dengan cara: • Setting via serial console • Setting via terminal console • Winbox • Tombol reset
Setting BIOS via Serial Console • tampilan untuk masuk dalam setup yaitu “Press any key within 2 seconds to enter setup”
Setting BIOS via Winbox
Reinstall RouterOS
Netinstall Proses
Konfigurasi Netinstall
Proses Netinstall
Router Idendity
Manajemen Login
Manajemen Login - Group • Group merupakan pengelompokan previlage atau hak akses yang akan diberikan pada user. • Ada 3 default previlage yang ada di Mikrotik yaitu full, read dan write namu anda dapat melakukan customize sendiri.
Manajemen Login - Akses • Masing-masing user dapat dibatasi hak aksesnya berdasarkan group. • Masing-masing user jgua dapat dibatasi berdasarkan IP address yang digunakan. • Misalkan si A hanya boleh login dengan IP A atau hanya boleh login dari network A.
Manajemen Login – IP Service • Membatasi service yang dapat diakses oleh user dan dari IP tertentu. • Setting konfigurasinya ada di menu IP > Services. • Untuk keamanan anda juga dapat mengganti default port pada masing-masing services.
Manajemen Login Lab Gantilah identitas router menjadi Nom0r_. Manajemen user: • Buatlah username baru dalam kelompok group full. • Buatlah user “admin” hanya dapat diakses dari IP selain IP laptop anda. • Coba login dengan user baru dan user “admin”. Manajemen services: • Gantilah port telnet menjadi port 8080 • Buatlah agar winbox hanya dapat diakses dari IP laptop anda.
Mikrotik Neighbour Discovery Protocol • MNDP memudahkan konfigurasi dan manajemen jaringan dengan memungkinkan setiap router Mikrotik untuk menemukan router Mikrotik lainnya yang terhubung dalam jaringan langsung (layer 2). • MNDP juga memungkinkan kita menemukan router Mikrotik menggunakan winbox. • Fitur-fitur MNDP adalah sebagai berikut: – Bekerja pada koneksi IP – Bekerja pada semua non-dinamic interface – Mendistribusikan informasi dasar pada versi software
• Mikrotik RouterOS mampu menemukan router yang menjalankan MNDP, CDP (Cisco Discovery Protocol) dan LLDP (Link Layer Discovery Protocol).
Blocking MNDP Untuk menyembunyikan Mikrotik anda agar tidak muncul pada winbox MNDP scan, perlu dilakukan limitasi akses MNDP dengan cara: 1. Block port UDP 5678 menggunakan firewall filter rule. 2. Disable MNDP pada menu IP Neigbors Discovery.
Backup & Restore Konfigurasi dalam router dapat dibackup dan disimpan untuk dapat digunakan kemudian hari. Ada 2 jenis backup yaitu: 1. Binary file (.backup) – – –
Tidak dapat dibaca text editor. Membackup keseluruhan konfigurasi router. Create point of return (dapat kembali seperti semula)
2. Script file (.rsc) – – –
Berupa script dan dapat dibaca text editor. Dapat membackup sebagian atau seluruh konfigurasi router. Tidak mengembalikan ke konfigurasi semula melainkan menambahkan script tertentu pada konfigurasi utama.
Binary Backup & Restore
Binary Backup & Restore
Script Backup & Restore
Script Backup & Restore
Backup & Reset Lab • Buatlah backup dengan jenis backup binary dan backup script. • Pindahkan file backup binary dan backup script ke komputer atau laptop anda. • Coba buka dan edit file .backup dan file .rsc tersebut.
Konfigurasi Inisialisasi • Coba anda simulasikan koneksi jaringan dasar LAN yang terhubung internet. • Setting koneksi internet menggunakan Mikrotik sebagai perangkat router yang melakukan Network Address Translation (NAT).
Konfigurasi LAN • Set IP address pada laptop/komputer client. • Sesuaikan IP dengan nomor peserta.
Konfigurasi LAN • Settinglah IP address pada interface ether1.
Konfigurasi LAN • Lakukan koneksi ke router menggunakan winbox via IP bukan MAC.
Konfigurasi WAN • Membuat security profile.
Konfigurasi WAN • Set wlan1 sebagai client.
Konfigurasi WAN • Set interface wlan1 dengan mode station.
Konfigurasi WAN • Mode station dapat melakukan scan radio untuk mendapatkan SSID dari sebuah AP.
Konfigurasi WAN • Wireless terkoneksi ditandai dengan flag R pada menu Wireless Tables interfaces.
Set DHCP Client • Agar mendapatkan IP secara otomatis dari ISP tambahkan interface wlan1 sebagai interface DHCP client.
Set DHCP Client
Set DNS • Umumnya informasi DNS Server diperoleh dari provider, disini sebagai contoh kita masukkan DNS Google. • Allow Remote Request mengaktifan MikroTik sebagai DNS Proxy
Pengecekan Koneksi Internet • Lakukan ping dan tracerouter kesalah satu domain internet contoh www.google.com.
Konfigurasi Firewall NAT • Agar client dapat terkoneksi dengan internet maka dari sisi router harus melakukan fungsi NAT pada IPv4.
Network Time Protocol • • •
Umumnya RouterBoard Mikrotik tidak memiliki battery untuk clocking secara internal (kecuali RB230 dan powerpc). NTP berguna untuk sinkronisasi waktu antara router/server untuk kepentingan seperti pembacaan log. NTP juga dapat menggunakan server NTP public sepertia asia.pool.ntp.org, id.pool.ntp.org, ntp.ui.ac.id, time.windows.com dan lain-lain.
NTP Client Status Message Fase sinkronisasi NTP client adalah sebagai berikut: • Started : start service NTP • Reached : terkoneksi dengan NTP server • Synchronized : sinkronasi waktu dengan NTP server • Timeset : mengganti waktu/tanggal lokal sesuai waktu NTP server
Have Any Connection Issue? Router tidak bisa ping ke luar? • Cek apakah wireless sudah terkoneksi. • Cek DHCP client apakah sudah running dan mendapatkan IP. Router bisa ping ke ip public tapi tidak bisa ping domain name luar? • Checkp IP DNS (allow remote request). Komputer tidak dapat ping ke router? • Cek IP address dan pastikan subnetnya sama.
Komputer bisa ping ke IP luar tapi tidak bisa ping domain? • Cek setting IP DNS dikomputer dan dirouter.
WIRELESS Modul - 2
Wireless Pada Mikrotik • RouterOS mendukung beberapa modul radio (wireless card) untuk jaringan WLAN atau Wi-Fi (wireless fidelity). • Wi-Fi memiliki standar & spesifikasi IEEE 802.11 dan menggunakan frekuensi 2,4 GHz dan 5 GHz. • Mikrotik mendukung standar IEEE 802.11a/b/g/n/ac – – – –
802.11a – frekuensi radio 5 GHz, bandwidth 54 Mbps. 802.11b – frekuensi radio 2,4 GHz, bandwidth 11 Mbps. 802.11g – frekuensi radio 2,4 GHz, bandwidth 54 Mbps. 802.11n – frekuensi radio 2,4 GHz atau 5 GHz, bandwidth 300 Mbps (hanya support lisensi level 4 keatas). – 802.11ac – frekuensi radio 5 GHz, channel 80 MHz, bandwidth 866 Mbps.
Wireless Band • Band merupakan mode kerja frekuensi dari suatu perangkat wireless. • Untuk menghubungkan 2 perangkat, kedua harus bekerja pada band frekuensi yang sama.
Wireless – Frequency Channel • Frequency channel adalah pembagian frekuensi dalam suatu band dimana Access Point (AP) beroperasi. • Nilai-nilai channel bergantung pada band yang dipilih, kemampuan wireless card dan aturan/regulasi frekuensi suatu negara. • Range frekuensi channel untuk masing-masing band adalah sebagai berikut: – 2,4 GHz – 2412 s/d 2499 MHz – 5 GHz = 4920 s/d 6100 MHz
802.11 b/g Channels
IEEE 802.11a – 5 GHz, 54 Mbps
Wireless – Lebar Channel • • • •
Lebar channel adalah rentang frekuensi batas bawah dan batas atas dalam sebuah channel. Mikrotik dapat mengatur beberapa lebar channel yang digunakan. Default lebar channel yang digunakan adalah 22 MHz. Lebar channel dapat diperkecil (5MHz) untuk meminimalisasi frekuensi atau diperbesar (40MHz) untuk mendapatkan throughput atau bandwith yang lebih besar.
Ilustrasi Lebar Channel • Single Input Single Output (SISO) vs Multiple Inpute Multiple Output (MIMO). • SISO diibaratkan jalur yang lebih kecil dan MIMO diibaratkan jalur yang lebih besar. • MIMO memanfaatkan channel bonding ataupun dual antenna untuk mendapatkan bandwidth yang lebih besar.
Wireless – Regulasi Frekuensi • Setiap negara sudah membuat regulasi tertentu terkait penggunaan frekuensi wirelless untuk internet carrier. • Indonesia telah diizinkan untuk menggunakan frekuensi 2.4GHz secara umum/bebas berdasarkan KEPMENHUB No. 2/2005 berkat perjuangan para penggerak internet sejak tahun 2001. • Regulasi tersebut disebut sebagai “country-regulation” dalam Mikrotik. • Namun apabila diinginkan untuk membuka semua frekuensi yang dapat digunakan oleh wireless card, dapat menggunakan pilihan “superchanne”.
Regulasi Frekuensi 5.8 GHz
Lab – Regulasi Frekuensi • Ada beberapa channel frekuensi default Mikrotik? • Lihat dimenu Wireless wlan1 Wireless.
Regulasi Frekuensi • Ada berapa channel frekuensi untuk country regulation Indonesia? • Lihat dari menu Wireless wlan1 Wireless Advanced.
Regulasi Frekuensi
Kaidah Dalam Wireless Kaidah dalam wireless: • TX Power – daya pancar signal wireless • RX Sensivity – sensitifitas menerimal signal • Looese – hambatan karena kabel atau konduktor • EIRP – daya pancaran total beserta Antenna • Free Space Loss (FSL) – hambatan udara Kaidah wireless outdoor: • Line of Sight – hambatan dan penghalang • Freznel Zone – media rambat frequency • Lengkungan Bumi – medan bumi penghalang WLAN jarak jauh
Line of Sight (LOS) • Aplikasi Wireless LAN diluar ruangan harus memenuhi prinsip LOS.
Lengkungan Bumi & Fresnel Zone • Konektifitas yang baik akan terbangun jika fresnel zone terpenuhi.
Konsep Koneksi Wireless • Koneksi tejadi antara access point (AP) dengan satu atau lebih station. • Koneksi antara WDS-Slave dengan WDS-Slave. • Koneksi terjadi apabila ada kesamaan SSID dan kesamaan band. • Station secara otomatis mengikuti channel dan frekuensi dari AP. • Station hanya dapat melakukan scan AP dengan list channel frekuensi yang diset pada station.
Mode Interface Wireless • • • • • • • • • •
Alignment Only AP Bridge Bridge Nstream dual slave Station Station bridge Station pseudobridge Station pseudobridge clone Station WDS WDS Slave
Mode Interface Wireless AP Mode: • AP-bridge – wireless difungsikan sebagai access point. • Bridge – hampir sama dengan mode AP-bridge tapi hanya menerima koneksi dari 1 station/client, mode ini dipakai untuk topologi point to point (PTP). Station Mode: • Station – scan dan connect AP dengan frekuensi & SSID yang sama. Mode ini tidak dapat dibridge. • Station-bridge – sama seperti station, mode ini propierty Mikrotik dan mampu melakukan L2 bridging selain WDS. • Station-WDS – sama seperti station, namun membentuk koneksi WDS dengan AP yang menjalankan WDS. • Station-pseudobridge – sama dengan mode station, dengan tambahan MAC address translation untuk bridge. • Station-pseudobridge-clone – sama seperti station-pseudobridgem menggunakan station-bridge-clone-mac address untuk konek ke AP.
Mode Interface Wireless Special Mode: • Alignment-only – mode transmit secara terus menerus digunakan untuk positioning antena jarak jauh. • Nstreme-dual-slave – digunakan untuk sistem nstreme-dual. • WDS-Slave – sama seperti ap-bridge, namum melakukan scan ke AP dengan SSID yang sama dan melakukan koneksi dengan WDS. Apabilan link terputus akan melanjutkan scanning.
Lab – Wireless AP & Station
Lab – wirelss AP & Station • Samakan SSID, band dan frekuensi. • Setup IP address interface wlan menjadi IP AP = 10.10.10.1/24 IP station = 10.10.10.2/24. • Pastikan koneksi layer 1 (wireless) terhubung baru lalukan cek koneksi layer 3 (ping atau traceroute). • Lakukan ping dari masing-masing router.
Wireless Tools Ada beberapa tool dalam wireless Mikrotik yang dapat digunakan untuk mengoptimasi link: • Scan – melihat informasi AP yang aktif beserta SSID dan memudahkan untuk membuat koneksi ke AP yang aktif. • Align – untuk pointing antenna. • Sniff – untuk melihat lalu lintas paket data dijaringan. • Snooper – seperti tool scan, tetapi informasi AP yang aktif secara lengkap seperti SSID, channel, signal strength, utilisasi dan station dari masing-masing AP. • Bw Test – digunakan untuk melakukan pengecekan throughput yang didapat pada router Mikrotik.
Lab – Wireless Tools • Gunakan tool Frequency Use dan Snooper untuk pemilihan channel yang optimum, serta lakukan bandwith test.
Wireless MAC Filtering • Access point, dapat dilakukan pembatasan hak akses dimana AP hanya menerima koneksi dari station atau client yang sudah terdaftar. • Station, agat tidak tertipu dengan SSID AP yang sama, adapat dilock agar terkoneksi dengan AP yang sudah didaftarkan. • AP – Access List. • Station – Connect List.
Access Point – Access List • Access list pada access point menfilter station mana saja yang boleh terkoneksi.
Access Point – Default Authenticate • Access List dapat berfungsi apabila wireless default authenticate di non aktifkan (uncheck).
Station – Connection List Pada wireless station, connection list membatasi AP mana saja yang boleh dan tidak boleh terkoneksi.
Registration List • Pada Access Point dan station, Registration List berisi data AP/station yang sedang terkoneksi. • Untuk memudahkan filtering pada Access List dan Connection List, menggunakan menu “Copy to Access/Connection List”.
Default Authenticated • Untuk menggunakan pilihan Connection List dan Access List baik pada AP atau Station pilihan Default Authenticated harus di uncheck.
Lab – Wireless MAC Filtering • Buathlah topology AP-Station dengan SSID yang sama.
Lab – MAC Filtering • Filter MAC address agar koneksi point to poing anda tidak mudah dikacaukan oleh koneksi lain. • Masukkan data MAC address wireless partnet ke list yang benar. Jika sebagai station masukan kedalam Connect-List, apabila sebagai AP masukan kedalam Access-List. • Untuk setting wireless pada AP, default authenticate harus di-uncheck, agar tidak semua client bisa terauthentikasi secara otomatis. • Coba untuk konek ke AP yang bukan pasangan Access-List.
Drop Koneksi Antar Client • Default forward (hanya dapat disetting pada access point). • Digunakan untuk mengijinkan/tidak komunikasi antar client/station yang terkoneksi dalam 1 Access Point. • Default forward biasanya didisable untuk keamanaan hotspot client.
Lab – Default Forwarding • Cobalah ping antar peserta ketika default forwarding check dan uncheck.
NV2 (nstreme versi 2) • NV2 adalah protokol wireless proprietary Mikrotik. • Hanya untuk koneksi wireless sesama Mikrotik (Contoh Point to Point antar Mikrotik Router). • Meningkatkan performa link wireless, terutama pada jarak jauh. • Lebih kebal terhadap interferensi dibandingan standar 802.11 standard. • Nstreme harus diaktifkan di AP & station (bukan komputer biasa). • Konfigurasi Nstreme hanya di AP dan klien harus menyamakan. • Merupakan penyempurnaan dari nstreme.
Setup NV2 • Set wireless protocol NV2
Setup NV2 • Masukan parameter NV2, jika ingin mengamankan network.
802.11 vs NV2
Wireless Security • Untuk pengamanan koneksi wireless, tidak hanya cukup dengan menggunakan MACFiltering, karena data yang lewat kejaringan bisa diambil, analisa dan disalah gunakan. • Terdapat metode keamanan yang dapat digunakan yaitu: – Authentication (WPA-PSK, WPA,AEP). – Enkripsi (AES, TKIP, WEP) – Tunnel
Wireless Security Profile • WEP sudah dinyatakan sebagai teknologi yang deprecated karena kurang aman.
Wireless Encryption - WPA • Pilihan wireless encryption terdapat pada menu Wireless Security Profile. • Security profile diberi nama sesuai keinginan untuk implementasikan dalam interface wireless.
802.11N • Meningkatkan data rate sampai dengan 300 Mbps. • Dapat menggunakan lebar pita 20 MHz atau 2x20 MHz (channel bonding). • Dapt bekerja pada pada frekuensi 2,4 GHz dan 5 GHz. • MIMO (Multiple Input Multiple Output) – SDM – Spatial Division Multiplexing. – Stream atau pancaran multi-spatial yang berkerja pada masing-masing antena (multi antena). – Antenna yang digunakan dapat lebih dari 1 dan dikonfigurasikan untuk transmit dan receive.
Channel Bonding • Menggabungkan 20 + 20 MHz (uppler atau lower). • Menginkatkan troughput menjadi 300 Mbps (teori).
Station Bridge • Station bridge adalah fitur Mirkotik sejak versi 5 yang memungkinkan station untuk dibridge. • Station bridge hanya akan berjalan pada koneksi antar Mikrotik (versi 5 keatas).
Lab- Simple Wireless Bridge • Buat koneksi ke SSID Trainer, dengan mode station pseudobrigde pastikan security profile frekuensi, dan protokol sesuai. • Buatlah brigde di router dengan member port wlan1 dan ether yang terhubung ke laptop. • Set IP Laptop anda ke DHCP, apakah mendapatkan IP?
BRIDGING Modul - 3
Konsep Bridging • Menggabungkan 2 atau lebih interface yang bertipe ethernet atau sejenisnya seolah-olah berada dalam 1 segmen/subnet network yang sama. • Proses penggabungan ini terjadi pada layer data link. • Mengaktifkan bridge pada 2 buah interface akan menonaktifkan fungsi routing diantara kedua interface tersebut. • Mengemulasikan mode switch secara software pada dua atau lebih interface.
Illustrasi Bridging • Memanfaatkan port-port pada RouterBoard untuk menghubungkan perangkat-perangkat jaringan supaya berada dalam satu subnet/bridge network yang sama layalnya seperti switch.
Topologi Bridge pada WLAN • Bayangkan network wireless yang terdiri dari beberapa BTS. • Dari beberapa BTS tersebut networknya dibuat menjadi satu subnet dan tidak berbeda subnet antara 1 BTS dan yang lain.
Sistem Bridge Adapun kelemahan penggunaan bridge adalah: • Sulit untuk mengatur trafik broadcast (misalnya akibat device mulfunction, dll). • Permasalahan pada satu segment akan membuat masalah disemua segment yang diterapkan bridge (misalnya broadcast storm akan mengakibatkan semua segment bermasalah). • Sulit untuk membuat fail over system. • Sulit untuk melihat kualitas link pada tiap segment. • Beban trafik pada setiap perangkant yang dilalui akan berat, karena akumulasi traffic.
Bridge Ports Berikut ini jenis interface yang dapat dijadikan bridge port: • Ethernet • VLAN – Merupakan bagian dari ethernet atau wireless interface – Jangan melakukan bridge sebuah VLAN dengan interface induknya.
• Wireless AP, WDS dan station-pseudobridge – Station-pseudobridge tidak dapat dibongin.
• Ethernet over IP (EoIP) • PPTP – Selama bridge dilakukan baik disisi server maupun client menggunakan bridge control protocol (BCP).
Bridge Interface • Kita tidak harus memasang IP address pada sebuah bridge interface. • Jika kita menonaktifkan bridge, pada IP address yang terpasang pada bridge akan menjadi invalid. • Kita tidak bisa membuat bridge dengan interface yang bukan bertipe ethernet seperti synchronous(serial), IPIP, PPoE, dll. • Namun kita bisa lakukan bridge pada interface tersebut dengan membuat EoIP tunnel terlebih dahulu.
Lab - Membuat Bride Interface • Akses menu Bridge di tab general dengan nama Bridge.
Lab – Konfigurasi Bridge • Alokasikan port ke bridge.
Lab - Bridge Monitoring • Untuk melihat MAC address host yang terkoneksi dengan bridge seperti berikut.
Bridge 2 Router • Berpasanganlah dengan teman, buatlah konfigurasi bridge berikut ini, sehingga dari laptop A bisa melakukan ping ke laptop B.
Switchchips • Dibeberapa hardware RouterBoard, chipset ethernet yang terpasang memiliki fitur Switchchip yang memiliki fungsi hampir sama dengan bridge. • switchip tidak dapat menggabungkan virtual interface seperti vlan, pptp dan lain-lain.
Switchchips – Wire Speed • Dengan Switchchip, memungkinkan tranfer data antar port bisa mencapai cable speed tanpa membebani processor.
Switchchips • Fitu switchchip yang tertanam di RouterBoard.
Logic Switchchips • Konfigurasi switchchips port ether4 dan ether5 dengan master port di ether3.
Logic Switchchips • Seolah-olah memiliki RouterBoard dengan 3 ports yang ether3 nya terhubung ke switch 4 ports. • Komunikasi antar port diethernet switch tidak akan melalui CPU RouterBoard.
ROUTING Modul - 4
Routing • Routing adalah pengaturan jalur antar segment. • Network yang berbeda berdasarkan IP address. • Bekerja pada OSI layer 3 (network). • Untuk menghubungkan network yang berbeda segment (subnet) memerlukan sebuah perangkat yang mampu melakukan proses routing yaitu router.
Contoh Aplikasi Routing • Penghubung komunikasi antar network yang berbeda segmen.
Keunggulan Fungsi Routing • Memungkinkan kita melakukan pemantauan dan pengelolaan jaringan yang lebih baik. • Lebih aman (firewall filtering lebih mudah). • Trafik broadcast hanya terkonsentrasi dilocal network segmen yang sama. • Untuk network skala besar, routing bisa diimplementasikan menggunakan dynamic routing protocol (RIP/OSPF/BGP).
Aplikasi Routing Di Wireless ISP (WISP)
Tipe Informasi Routing Dynamic route: • Akan dibuat secara otomatis saat menambahkan IP address pada interface. • Informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF dan BGP. Static route: • Informasi routing dibuat secara manual oleh admin untuk mengatur kearah mana trafik tertentu akan disalurkan. • Default route adalah salah satu contoh dari static route.
Menambahkan Routing
Tipe Routing
Connected Routes • Connected routes adalah routing yang otomatis di tambahkan sistem ketika kita mengset IP address diinterface router dengan state DAC (dynamic, active, connected).
Parameter Routing
Destination: • Destination address – 222.152.211.0 (network address) • Network mask – 255.255.255.0 atau /24 • 0.0.0.0/0 – atau lebih dikenal dengan istilah default network. Gateway: • IP address gateway harus merupakan IP address yang satu subnet dengan IP yang terpasang pada salah satu interface dan merupakan IP address dari router tetangga. • Bisa juga menggunakan nama interface dari router (umumnya digunakan ketika IP bersifat dinamik contoh ppp interface). Pref Source: • Source IP address dari paket yang akan meninggalkan router. Distance: • Beban untuk kalkulasi pemilihan routing.
Konsep Dasar Routing • IP address gateway harus merupakan IP address yang subnetnya sama dengan salah satu IP address yang terpasang pada router (connect directly) • Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP address. • Default gateway pada router B adalah router A. • IP address yang menjadi default gateway router B adalah 10.10.2.1 karena IP address tersebut berada dalam subnet yang sama dengan salah satu IP address pada router A (10.10.2.2/24). • Setting Static default route adalah dstaddress=0.0.0.0/0 gateway=10.10.2.1
Pemilihan Routing Untuk pemilihan routing, router akan memilik berdasarkan: 1. Rule routing yang paling spesifik tujuannya contoh 192.168.0.128/28 akan dipilih karena lebih spesifik dari 192.168.0.0/24 2. Distance – router akan memilih routing dengan distance yang paling kecil. 3. Round Robin (random) – akan dilakukan apabila ada 2 buah routing yang memiliki distance yang sama.
Pemilihan Routing • Untuk koneksi dengan destination 192.168.0.1, manakah urutan prioritas rule yang digunakan?
Lab – Static Route • Set router sesuai dengan skenario diagram. • Dari laptop 1 ping ke laptop 2, bagaimana hasilnya? • Contoh static route R1 ke R2: • Tambahkan static route di R1 /ip route add dst=192.168.2.0/24 gateway=10.10.10.2 • Tambahkan static route di R2 /ip route add dst=192.168.1.0/24 gateway=10.10.10.1 • Test ping kembali, bagaimana hasilnya?
FIREWALL Modul - 5
Dasar Firewall • Firewall digunakan untuk melindungi jaringan atau perangkat jaringan contoh router dari akses yang tidak dikehendaki baik yang berasal dari luar (internet) maupun dari client (intranet/LAN). • Firewall juga digunakan untuk memfilter akses antar network yang melewati router. • Dalam Mikrotik, firewall diimplementasikan dalam fitur filter dan NAT.
Firewall Filter Rule • Setiap firewall filter rule diorganisir dalam chain atau rantai. • Dalam firewall filter terdapat 3 default chain yaitu input, forward dan output. • Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah. • Paket dicocokkan dengan kriteria/persyaratan dalam suatu chain, apabila tidak cocok paket akan melalui kriteria/persyaratan chain berikutnya/dibawahnya. • Paket yang memenuhi kriteria langsung diproses dan tidak diteruskan dirule bawahnya untuk itu berhati-hatilah dalam membuat rule. • By default Mikrotik mengijinkan semua paket untuk lewat.
Packet Flow Terdapat tiga aturan dasar packet flow yaitu: • INPUT- menuju ke router. • OUTPUT – dari router. • FORWARD – melalui router.
Firewall Filter • Menambahkan firewall filter.
Firewall Filter Rule • Prinsip seperti pada konsep IF… THEN… programming. • IF (jika) packet memenuhi syarat pada rule yang dibuat. • THEN (maka) action apa yang dilakukan pada packet tersebut.
Firewall – IF (Condition) •
Jika memenuhi syarat seperti asal alamat (src address), tujuan alamat (dst address) dan lain-lain.
Firewall – THEN (Action) • Maka eksekusi action (aksi) seperti accept, drop, reject dll.
Firewall Tactic • Dalam penerapan firewall terdapat 2 metode yang umum digunakan yaitu: – Drop Some Accept All: yaitu teknik melakukan drop terhadap beberapa jenis paket tertentu kemudian mengijinkan semua jenis paket untuk lewat. – Allow Some Drop All: yaitu teknik membolehkan beberapa jenis paket untuk lewat selebihnya dilakukan drop.
• Taktik Drop Some Accept All umumnya diterapkan pada router yang berada ditengah-tengah jaringan contoh router pada ISP atau router core. • Sedangkan taktik Allow Some Drop All umumnya diterapkan pada sisi end user seperti router user yang terkoneksi internet (edge router/CPE ) atau pada setiap host contoh server.
Lab- Memproteksi Router • Cobalah buat firewall yang hanya memperbolehkan IP address dari laptop anda sendiri untuk mengakses router anda.
Lab – Memproteksi Router
Lab – Memproteksi Router
Lab – Memproteksi Router
Logging • Kita dapat mengatur aktivitas atau fitur apa yang akan ditampilkan dalam log. • Kita juga dapat mengirimkan log ke syslog server tertentu menggunakan default protocol UDP port 514. • Pengaturan logging ada dalam menu System Logging.
Lab – Firewall Loging • Firewall logging adalah fitur untuk mencatat (menampilkan pada log) aktifitas jaringan yang kita inginkan. • Buatlah filter rule pada menu IP>Firewall>Filter Rules, untuk loggin semua paket ICMP yang mengarah ke interface wlan1.
Lab – Firewall Logging • Coba ping dari laptop IP interface wlan1 dan amati log pada router anda.
Connection Tracking • Connection tracking dapat dilihat pada menu IP>Firewall>Connection. • Connection tracking mempunyai kemampuan untuk melihat informasi koneksi seperti source dan destination IP, port yang digunakan, status koneksi, tipe protokol dan lain-lain. • Status koneksi pada connection tracking adalah: – Established packet sudah diketahui sebagai packet yang sudah ada. – New packet adalah packet baru atau packet adalah packet yang berasalah dari packet sebelumnya yang terputus. – Related packet baru tetapi memiliki relasi dengan packet sebelumnya contoh populer seperti FTP dan ICMP error message. – Invalid packet yang tidak berasalah dari packet manapun yang diketahui dan pada waktu yang bersamaan tidak membuat packet yang valid untuk komunikasi.
Connection Tracking
Implementasi Connection Tracking • Pada saat membuat firewall, pada baris paling atas umunya dibuat rule sebagai berikut: – – – –
Connection state invalid Drop Connection state established Accept Connection state related Accept Connection state new Diproses ke rule berikutnya.
• Rule seperti ini akan sangat menghemat resource router karena proses filtering selanjutnya akan dilakukan ketika koneksi dimulai (connection state = new).
Connection Tracking • Jika di-disable maka fitu berikut akan ikut terdisable juga. – NAT – Firewall connection-bytes connection-mark connection-type connection-state connection-limit connection-rate layer7-protocol p2p new-connection-mark tarpit – P2P (torrent) mathing in simple queues.
Connection Tracking
Lab – Buatlah Firewall Untuk Connection State • Pada IP>Firewall>Filter Rule buat Chain Forward. – Connection state invalid action Drop – Connection state established action Accept – Connection state new action pass-through – Connection state related action Accept
Firewall – Address List • Address-list digunakan untuk memfilter group IP address dengan 1 rule firewall. • Address-list juga bisa merupakan list IP hasil dari rule firewall yang memiliki action “add to address list”. • Satu line address-list dapat berupa subnet, range IP address atau 1 host IP address.
Lab – Address List
Lab – Block Situs Tertentu • Kita akan block akses dari LAN ke situs tertentu contoh youtube.com.
Lab – Block Situs Tertentu • Sebelumnya kita harus mengetahui IP address dari youtube, gunakan perintah nslookup pada CMD untuk mengetahui IP yang digunakan oleh domain youtube.com atau bisa juga ping ke domain www.youtube.com.
Lab – Block Situs • Buatlah Filter Rule, Chain=forward, Dst. Address = 209.85.175.91, Action=drop. • Ulangi untuk semua IP address dari youtube.com. • Coba browsing kembali ke youtube.com.
Lab – Block Situs • Kita juga dapat memblok situs menggunakan address-list. • Daftarkan semua IP youtube.com ke address-list dan beri nama misalkan “ip-youtuber”. • Kemudian buat firewall rule untuk block address-list ip-youtuber.
NAT- Masquerade • NAT adalah suatu metode untuk menghubungkan banyak komputer ke internet dengan menggunakan satu atau lebih IP address public. • NAT digunakan karena alasan ketersediaan alamat IP public. • NAT juga digunakan untuk menggabungkan 2 buah jaringan LAN dengan alamat subnet yang sama.
NAT • Ada dua tipe NAT dalam firewall Mikrotik. • Source NAT atau srcnat diberlakukan untuk paket yang berasal dari network yang di NAT (private/LAN) contoh mengganti semua IP address private yang keluar menujur internet. • Destination NAT atau dstnat diberlakukan untuk paket yang menuju jaringan yang di NAT atau umunya IP public, biasanya digunakan untuk mengakses dari luar beberapa service pada jaringan internal contoh mapping antara web server internal menggunakan IP address private dengan 1 IP address public.
scrNAT • Source Network Address Translation
dstNAT • Destination Network Address Translation.
Lab - dstNAT • Redirect port http IP WAN router ke IP web server lokal (LAN).
Lab – DMZ Web Server • Install dan jalankan program web server disalah satu laptop pesertan (LAN). • Buatlah rule pada IP>Firewall>NAT untuk redirect port 80 router ke IP address dan port web server lokal.
TUNNEL Modul - 6
Tunnel • Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data dijaringan. • Paket data mengalami sedikit pengubahan atau modifikasi, yaitu penambahan header dari tunnel. • Ketika data sudah melewati tunnel dan sampai pada tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dilepas).
Ilustrasi Tunnel
VPN • Virtual Private Network (VPN) adalah sebuah cara aman untuk mengakses local area network dengan menggunakan internet atau jaringan public. • Tunnel atau terowongan merupakan kunci utama pada VPN, koneksi pribadi dalam VPN dapat terjadi dimana saja selama terdapat tunnel.
EoIP • Ethernet over IP Protocol (EoIP) merupakan protocol proprietary milik Mikrotik untuk membangun bridge dan tunnel antar router Mikrotik, dimana interface EoIP akan dianggap sebagai ethernet. • Tunnel ID di EoIP harus sama diantara kedua interface EoIP. • MAC address diantara interface EoIP harus dibedakan.
Ilustrasi EoIP
Lab - EoIP • Menghubungkan 2 site yang berbeda via internet.
Lab – EoIP Tunnel • New EoIP tunnel interface. Masukan alamat IP router yang terkoneksi dengan rounter anda pastikan Tunnel ID nya sama.
Bridge EoIP Tunnel • Masukkan dalam interface bridge, interface EoIP yang telah dibuat beserta ether1.
PPP • Point to Point Protocol (PPP) adalah protocol layer 2 yang digunakan untuk komunikasi secara serial. • Untuk menjalankan koneksi PPP, Mikrotik RouterOS harus memiliki port/interface serial, line telephone port berupa RJ11 (PSTN) atau modem seluler (PCI atau PCMCIA). • Kemudian PPP baru mendapatkan IP address untuk koneksi internet. • Mikrotik dapat digunakan sebagai PPP server atau PPP client.
Setting PPP Client • Ilustrasi New PPP interface untuk koneksi menggunakan tipe kabel serial.
PPTP Tunneling • Point to Point Tunneling Protocol (PPTP) melakukan tunneling IP packet kedalam PPP data link layer menggunakan protocol TCP dan GRE (Generic Routing Encapsulation). • PPTP menggunakan enkripsi MPPE (Microsoft Point to Point Encryption) 40 – 128 bit. • PPTP menggunakan port TCP 1723. • PPTP support hampir disemua sistem operasi. • Sebelum menjalankan PPTP server, hal yang perlu diperhatikan adalah setting PPP secret dan PPP profiles.
PPP Profile • PPP profile digunakan untuk setting IP local address dan remote address, remote address dapat menggunakan IP pool.
PPP Secret • Semua koneksi yang menggunakan protocol PPP selalu melibatkan authentikasi username dan password. • Secara local, username dan password ini disimpan dan diatur dalam PPP secret. • Username dan password ini juga dapat disimpan dalam RADIUS server terpisah. • PPP secret (database local PPP) menyimpan username dan password yang diberikan ke pelanggan/user. • PPP secret dipakai untuk koneksi client: async, ISDN, L2TP, OpenVPVN, PPPoE, PPTP dan SSTP.
Lab – Tunneling • Membuat tunnel interface antar router.
Lab – Mengaktifkan PPTP Server • Aktifkan PPTP server pada menu PPP>Interface>PPTP Server.
PPP Secret • PPP user yang dikaitkan dengan profile.
Mikrotik PPTP Client • Add new interface PPTP pada tab Dial Out isikan dengan IP public dari router Office, username dan password kemudian apply.
Lab – Tunneling (Mikrotik – Windows) • Koneksi PPTP client dengan Windows.
Lab – PPTP Client Windows • Konfigurasi koneksi baru dengan Windows.
Lab – PPTP Client Windows • Pilihlah connect using VPN, masukan IP VPN server.
Lab - PPTP Client Windows • Masukan username & password.
PPPoE • Point to Point over Ethernet (PPPoE) adalah enkapsulalsi frame PPP kedalam paket ethernet. • PPoE biasanya dipakai untuk jasa layanan ADSL untuk menghubungkan modem ADSL (kabel modem) didalam jaringan ethernet (TCP/IP). • PPPoE adalah point to point dimana harus ada satu point ke satu point lagi. Lalu apabila point yang pertama adalah router ADSL kita, lalu dimana point satunya lagi? • Tapi bagaimana si modem ADSL bisa tahu point satunya lagi apabila anda(biasanya) hanya mendapatkan username dan password dari provider? • Tahapan awalnya dari PPPoE adalah PADI (PPP Active Discovery Initiation). PADI mengirimkan paket broadcast ke jaringan untuk mencari dimana lokasi Access Conectrator di sisi ISP.
PPPoE Handshake
Tahapan Koneksi PPPoE • PADI (PPP Acive Discovery initiation) – disini PPPoE client mengirimkan paket broadcast ke jraingan dengan alamat MAC address FF:FF:FF:FF:FF:FF. PPPoE client mencari dimana lokasi PPPoE server dalam jaringan. • PADO (PPP Active Discovery Offer) – PADO ini merupakan jawaban dari PPPoE server atas PADI yang dikirimkan sebelumnya. PPPoE server memberikan idenditas berupa MAC addressnya. • PADR (PPP Active Discovery Request) – merupakan konfirmasi dari PPPoE client ke server. Disini PPPoE client sudah dapat menghubungi PPPoE server menggunakan MAC addressnya, berbeda dengan PADI yang masih berupa broadcast.
Tahapan Koneksi PPPoE (Cont’) • PADS (PPP Active Discovery Session Confirmation) – dari PPPoE server ke client. Session-confirmation disini memang berarti ada session ID yang diberikan oleh server kepada client. Pada tahapan ini juga terjadi negosiasi username, password dan IP address. • PADT (PPP Active Discovery Terminate) – bisa dikirim dari server ataupun client, ketika salah satu ingin mengakhiri koneksinya.
Debug Packet PPPoE
Lab – PPoE • Aktifkan PPPoE server dimenu PPP>PPPoE Server.
Lab – IP Pool Untuk Client PPPoE • Memberikan range IP kepada user PPPoE yang melakukan dialup.
Lab – PPPoE User (Secret) • Membuat PPPoE user di MikroTik.
Lab – Setup PPPoE Client (Windows)
Lab – Setup PPPoE Client (Windows) • Menginputkan username dan password yang telah dicreate di MikroTik.
QUALITY OF SERVICE (QOS) Modul - 7
Rate Limit Pada RouterOS, dikenal 2 jenis batasan rate limit: 1. CIR (Committed Information Rate) – dalam keadaan terburuk client akan mendapatkan bandwidth sesuai dengan “limit-at” (dengan asumsi bandwidth yang tersedia cukup untuk CIR semua client). 2. MIR (Maximal Information Rate) – jika masih ada bandwidth yang tersisa setelah semua client mencapai “limit-at”, maka client bisa mendapatkan bandwidth tambah hingga “maxlimit”.
QoS – Bandwidth Limiter
QoS – Bandwidth Limiter • Shapper – melakukan drop pada paket yang telah melewati batasan aturan. Dapat diimplementasikan di ingress(paket menuju router) interface atau outgress interface(paket keluar dari router) interface. Shapper memiliki kelebihan lebih hemat resource dan tidak membutuhkan buffer pada RouterOS, jadi ketika paket melewati batasan aturan paket tersebut langsung didrop. • Scheduller – melakukan delay terhadap paket yang melewati batasan aturan. Hanya dapat diimplementasikan di outgress interface. Shapper memiliki kelebihan bandwidth yang didapat user jauh lebih baik dari shapper tetapi membutuhkan buffer, paket yang telah melewati batasan aturan akan didelay.
Simple Queue • Pada RouterOS, bandwith limit dapat dilakukan dengan berbagai cara contoh wireless access list, ppp secret dan hotspot user. • Simple queue mengatur batasan bandwidth dengan janya mendifinisikan parameter IP address (target adderess) dari host/koneksi yang dilimit. • Simple queue paling sederhana hanya melakukan pembatasan bandwidth max-limit (MIR).
Lab – Simple Queue • Batasi bandwith laptop anda 32k Upload dan 64k Download.
Lab – Test Bandwidth • Buka website cbn.speedtest htpp://speedtest.cbn.net.id/ • Berapa hasil test upload dan download yang anda dapat?
Lab – Check Bandwidth Status
QoS Feature “Burst” • Burst adalah salah satu cara untuk meningkatkan performance koneksi HTTP/HTTPS. • Burst digunakan untuk mengijinkan naiknya data reate dalam waktu yang singkat (burst time). • Jika average data rate lebih kecil dari burs-threshold, burst dapat digunakan (actual data rate dapat mencapai burstlimit). • Average data rate dihitung dari detik terakhir burst time. • Contoh aplikasi yang sangat bermanfaat ketika menggunakan fitur burst adalah koneksi web browser dan video. • Tukang download tidak akan mendapatkan manfaat dari fitur burst ini.
Perhitungan Burst Time • Burts-limit – nilai bandwidth maksimum (upload/download) manakalah burst terjadi. Nilai burst-limit harus lebih besar dari max-limit. • Burst-time – periode waktu yang digunakan untuk menghitung data rate rata-rata. Perlu diingat, burtstime bukan menunjukan berapa lama terjadinya burst time. • Burst-treshold – nilai ini menentukan kapan burst bisa dijalankan dan dihentikan. Nilai burst-treshold umumnya ¾ dari nilai max-limit. Jika nilai rata-rata lebih rendah maka burst akan dijalankan namun jika nilai rata-rata lebih tinggi maka burst akan dihentikan.
Perhitungan Burst Time • Rumus lama burst dijalankan adalah (burstthreshold/burst-limit) x burst-time. • Misalkan anda menkonfigurasikan limit-at = 128kbps, max-limit=512kbps, bursttreshold=384kbps, burst-limit=1024kbps dan burst-time=8s. • Maka lama burst dijalankan adalah (384/1024)x8 = 3 detik.
Illustrasi QoS Burst
Lab- Burst Simple Queue • Queue>Simple> + (buat baru).
Lab- Burst Simple Queue
Jenis Queue Scheduler queues: • BFIFO (Bytes First-In First-Out) • PFIFO (Pakcet First-in First-Out) • RED (Random Early Detect). • SFQ (Stochastic Fairness Queuing) Shaper Queues: • PCQ (Per Connection Queue) • HTB (Hierarchical Token Bucket)
Menambahkan Queue Types
PQC (Per Connection Queue) • PCQ dibuat sebagai penyempurnaan SFQ. • PCT tidak membatasi jumlah sub-queue. • PCQ membutuhkan memori yang cukup besar.
PCQ • PCQ akan membuat subqueue, berdasarkan parameter pcq-classifier (srcaddress, dst-address, src-port dan dst-port). • Dimungkinkan untuk membatasi maksimal data rate untuk setiap subqueue (pcq-rate) dan jumlah paket data (pcq-limit). • Total ukuran queue pada PCQ-subqueue tidak bisa melebihi jumlah paket sesuai pcq-total-limit.
Contoh Penggunaan PCQ • • • •
PCQ rate diset di 128k dengan max-limit=512k. PCQ akan menghitung user aktif dan membagi secara rata dengan maksimal limit rate 128k. Tidak semua bandwidht dibagikan apabila total bandwidth dari semua user kurang dari nilai max-limit. Bandwidth akan dibagi rata keseluruh user sesuai jumlah user contoh 4 user 128k, 7 user 73k, 8 user 64k dengan maksimal rate 512k.
Contoh Penggunaan PCQ • PCQ rate=0. • Maka bandwidth akan dibagikan secara dinamis sesuai jumlah user. • Contoh 1 user 512k, 2 user 256k , 3 user 170k dan seterusnya.
HTB • HTB (Hierarchical Token Bucket).
Struktur HTB • Setiap queue bisa menjadi parent untuk queue lainnya. • Semua child queue (tidak peduli berapa banyak level parentnya) akan berada pada level HTB yang sama (paling bawah). • Semua child queue akan mendapatkan trafik sekurang-kurangnya sebesar limit-at.
Lab - PCQ
PCQ – Scripts LAB
Posisi Queue • Queue pada RouterOS dilakukan pada parent interface: • Interface fisik (ether1, ether2, wlan1…). • Interface virtual: – Global In – Global Out – Global Total
• Simple Queue secara otomatis menggunakan virtual interface untuk melakukan queueing. • Sejak RouterOS versi 6 hanya ada Global-Out.
Posisi Queue • Global-in: mewakili semua interface input (ingress queue). Queue yang melekat ke global-in, berlaku untuk lalu lintas yang diterima oleh router sebelum paket filtering. • Global-out: mewakili semua interface output pada umumnya (egress queue), traffic setelah filtering. • Global-total: mewakili semua input dan output interface bersama-sama (dengan kata lain itu agregrasi global-in dan global-out). Digunakan dalam kasus ketika pelanggan memiliki limit-at untuk total upload dan download. • : merupakan salah satu outgoing interface tertentu. Hanya lalu lintas yang ditunjukan untuk pergi keluar melalui interface ini yang akan melewati HTB queue.
Mangle Structure • Mangle diatur dan diorganisasikan chains. • Ada 5 built in chain mangle dalam Mikrotik: – Prerouting: masuk menuju router sebelum proses routing. – Postrouting: keluar meninggalkan router setelah proses routing. – Input: trafik menuju router. – Output: trafik berasal dan meninggalkan router. – Forward: trafik yang melewati router.
• Jika dibutuhkan user dapat membuat chain baru dengan nama tertentu.
Penggunaan Mange Untuk Queue • Aliran (stream) traffic. – Upstream: PC in-interface(LAN) prerouting(marking packet upstream) global-in(limitasi upstream) routing –decision forward postrouting global-out(walaupun sudah ada global-out, tidak perlu limitasi disini karena sudah dilimit diglobal-in) out-interface(WAN) Destination-server.
– Downstream: Destination-server in-interface(WAN) prerouting global-in routing-decision forward postrouting(magle packet downstream disini agar bisa dilimit diglobal-out) global-out (limitasi downstream terjadi disini) outinterface(LAN) PC.
Packet Flow Diagram
Packet Flow Diagram (Cont’)
Packet Flow Diagram (Cont’)
Network Management Modul - 8
Koneksi Host to Host Ketika anda melakukan ping dari host A ke host B dalam keadaan sistem operasi baru booting tanpa MAC address static adalah sebagai berikut: 1. Host A memeriksa tabel ARP cache internal. 2. Bila tidak ada dia akan bertanya dengan mengirimkan pake broadcast ke network, siapa IP 192.168.43.2 dan berapa MAC addressnya. 3. Host B me-replay “Saya pemilik IP 182.168.43.2, MAC address saya adalah 00:6A:22:45:30:3D”. 4. Host A menerima informasi dari host B dan menambahkan entry pada tabel ARP cachenya.
ARP • Meskipun pengalamatan paket data menggunakan IP address, alamat hardware atau MAC address-lah yang digunakan untuk melakukan komunikasi data antar host-to-host pada connected network. • ARP digunakan untuk mapping layer 3 OSI (IP) ke layer 2 OSI (MAC address). • Router memiliki tabel entri ARP, biasanya tabel ARP dibuat secara dinamis oleh router, tetapi untuk meningkatkan keamanan jaringan dapat juga dibuat secara statik sebagian atau semuanya dengan menambahkan manual pada entry ARP table.
Interface ARP Mode • Enable – mode ini secara default enable pada semua interface Mikrotik. Semua ARP akan ditemukan dibuat secara dinamik pada ARP tabel. • Proxy ARP – router dengan mode ini bertindak sebagai transparan proxy ARP antara node yang berbeda subnet atau tidak terhubung langsung. • Reply Only – pada mode ini router hanya mereply APR statis yang ditemukan di tabel ARP, akses ke router dan ke jaringan dibelakang router(subnet lain) hanya dapat diakses oleh kombinasi IP dan MAC address yang ditemukan ditabel ARP. Pada mode ini konfigurasi static MAC address hanya perlu dilakukan dirouter tidak perlu diclient. • Disable – pada mode ini permintaan APR dari klien tidak dijawab oleh router. Oleh karena itu, static ARP entry harus ditambahkan disamping disisi router juga disisi client. Misalnya pada Windows menggunaka nperintah “arp –s 192.168.2.1 00-ab-cd-62-32-09”.
Interface ARP –Proxy ARP • Dengan Proxy ARP, Host A dengan alamat 172.16.1.2/16 pada gambar dibawah mampu menghubungi Host D dengan alamat 172.16.2.3/24 walau berbeda subnet. • Host A mengira bahwa Host D satu network, sedangkan Host D tidak satu network dengan Host A.
Sumber: https://wiki.mikrotik.com/wiki/Manual:IP/ARP
Mode ARP
Lab –ARP Mode • Koneksikan laptop dengan salah satu interface, berikan IP kemudianping . • Set mode ARP ke reply-only. • Delete ARP laptop dari menu IP>ARP. • Test ping kembali.
Lab – DHCP Server • DHCP sever dapat dijalankan pada masing-masing interface dirouter. • Untuk memudahkan seting DHCP server, sebelumnya tambahkan IP address untuk interface yang akan menjalankan DHCP server. • Setting DHCP server pada menu IP>DHCP Server>DHCP Setup.
Web Proxy • Topologi sederhana dari web proxy. • RouterOS dikonfigurasikan sebagai web proxy.
Lab – Web Proxy
Testing Web Proxy • Buka browser, dan kunjungi halaman http://whatismyproxy.com • Apa yang tercantum diinformasi website tersebut? • Cek pada IP>Web Proxy>Connections.
Transparant Proxy • Adalah jenis proxy yang memaksakan traffic browsing dari user dibelokkan ke proxy server. • Set pada IP>Firewall>Nat --- Action Redirect to Port 8080.
Tools Pada RouterOS • E-mail – tool untuk mengirimkan email (biasanya digunakan untuk alert dari router). • Netwatch – digunakan untuk mendeteksi link hidup atau mati, kemudian diasosiasikan dengan action contoh email. • Ping – tool untuk mengecek apa sebuah host hidup atau mati. • Traceroute - mengecek rute pada network. • Profiler (CPU load) – melihat proses yang menggunakan resource paling banyak. • System Idendity – set idenditas atau nama unik router.
Email
Netwatch • Merupakan tools yang berfungsi untuk melakukan monitoring perangkat network. • Netwat dapat mengembalikan status UP dan DOWN. • Ketika terjadi events, netwatch dapat diset untuk melakukan aksi tertentu (dengan script). • Contoh mengemail administrator ketika salah satu Host down.
Ping • Digunakan sebagi basic troubleshooting saat mengetes sambungan jaringan.
Traceroute
Profiler
System Identity
Graphing
Meminta Bantuan Ke Mikrotik
Meminta Bantuan Ke Mikrotik
System Logging & Debug Log
Tools Logging
Logging Rules
