Home » Posts filed under
Showing posts with label cisco. Show all posts
Showing posts with label cisco. Show all posts

Jawaban Soal tentang ACL

Seperti yang sudah dijanjikan pada artikel ini, berikut adalah jawaban pertanyaan - pertanyaan tentang Access Control List

1. Ada 3 (tiga) solusi untuk masalah ini : 
access-list 3 permit host 192.168.2.10 
access-list 2 permit 192.168.2.10 0.0.0.0 
access-list 4 permit 192.168.2.10

Semua access list diatas akan memberikan hasil yang sama, INGAT, terdapat statement "deny all" disetiap akhir access list yang tidak terlihat, dan nomor Standard Access List  antara 1 - 99 dan 1300 - 1999. 


2. access-list 5 deny host 170.192.25.251
    access-list 5 permit any

 3. Karena IP Address 196.168.2.10 /24 mempunyai 254 host, kita akan menggunakan widlcard mask agar lebih mudah.
access-list 10 permit 192.168.2.0 0.0.0.255

4. interface  fastethernet0/0
    ip access-group 13 in
    access-list 13 deny host 151.25.5.28
    access-list 13 deny 101.65.2.33 0.0.0.0
    access-list 13 permit any 

 5. Access list 25 diterapkan pada interface  fa0/1 dengan arah inbound (in), sehingga semua traffic IP dari host 111.23.4.1 akan di ijinkan. Sedangkan traffic dari network 202.45.0.0/24 akan di-drop, dan semua traffic dari IP Address lainnya akan diijinkan.

6. interface serial1/1
    ip access-group 15 out 
   
    access-list 15 permit host 151.25.5.28
    access-list 15 permit host 101.65.2.33
    
7. interface fastethernet1/0
    ip access-group 101 in

    interface serial1/1
    ip access-group 101 out

    access-list 101 deny tcp any host 48.55.50.24 eq www
    access-list 101 permit tcp any any eq www

8. ACL ini akan menolak traffic yang berasal dari 102.202.1.25 untuk keluar melalui interface serial 0/1, dan mengijinkan semua IP Address yang lain keluar melalui interface serial 0/1.

9. misal kan access list diterapkan pada interface serial 1/1, konfigurasinya adalah 
interface serial1/1
ip access-group 102 in

access-list 102 permit udp any 0.0.0.0 255.255.255.254 eq tftp
access-list 102 permit tcp any 0.0.0.0 255.255.255.254 eq telnet

10. access-list 10 permit 202.25.43.0 0.0.0.255
     access-list 10 deny 172.16.0.0 0.0.255.255

11. Konfigurasi ini akan menolak traffic telnet yang masuk dari 202.150.23.5 menuju ke 102.202.1.25 melalui interface serial1/0, menolak akses tftp dan mengijinkan semua IP traffic.

Soal dan Jawaban: Access Control List

Berikut ini latihan soal dan jawaban untuk membantu kita lebih memahami ACL. Untuk dasar teori dan penjelasan tentang Standard ACL dapat dilihat disini, sedangkan untuk extended ACL lihat disini

1. Buat aturan acl yang mengijinkan (permit) traffic dari host 192.168.2.10, tetapi menolak (deny) semua ip traffik dari host yang lain.

2. Design acl yang deny traffic dari 170.192.25.251, tapi membolehkan dari ip yang lain

3. Buat aturan acl yang membolehkan traffic dari host 196.168.2.10 /24 , tetapi mem-blok semua ip traffik dari host yang lain.

4. Design-lah ACL yang menolak traffic dari host 151.25.5.28 dan 101.65.2.33, mengijinkan dari IP Address yang lain. Terapkan pada inbound interface fa0/0.

5. Berikut statement acl sebuah router
interface fastethernet0/1
ip access-group 25 in

access-list 25 permit host 111.23.4.1
access-list 25 deny 202.45.0.0 0.0.0.255
access-list 25 permit any

Apa hasil dari statement acl diatas ?

6. Design-lah ACL yang mengijinkan traffic dari host 151.25.5.28 dan 101.65.2.33, menolak dari ip yang lain. Terapkan pada outbound interface serial 1/1.

7. Buatlah ACL yang menolak traffic HTTP yang menuju webserver ip 48.55.50.24, mengijinkan traffic HTTP ke webserver lain dan menolak traffic IP yang lainnya. Terapkan ACL tersebut pada inbound interface fast ethernet 1/0 dan outbound serial  1/1.

 8. Berikut statement acl sebuah router 
interface serial0/1
ip access-group 150 out

access-list 150 deny host 102.202.1.25
access-list 150 permit 203.45.1.0 0.0.0.255
access-list 150 permit any

Apa hasil dari statement acl diatas ?

9. Buat ACL yang mengijinkan hanya host yang mempunyai akhiran IP Address genap dapat mengakses tftp server, menolak telnet traffic untuk host yang berakhiran IP Address ganjil.

10. Buatlah ACL yang mengijinkan semua traffic dari host pada subnet 202.25.43.0/24, menolak semua traffic yang menuju 172.16.0.0/16

11.  Berikut statement acl sebuah router 
interface serial1/0
ip access-group 150 in

access-list 150 deny tcp 202.150.25.3 0.0.0.0 host 102.202.1.25 eq 23
access-list 150 deny udp any any eq tftp 
access-list 150 permit ip any any

Apa hasil acl diatas ?

Untuk jawaban, tunggu artikel berikutnya.


Ahhh... ACL, lagi ...?

Pada postingan lalu, kita telah mempelajari Standard ACL, dan sedikit menyinggung tentang Extended ACL. Extended ACL menyediakan fitur yang lebih fleksibel untuk menyaring paket data. Jika pada Standard ACL, paket data di-filter berdasarkan source IP Address, Extended ACL akan mem-filter paket data berdasarkan source dan destination IP Address, source dan destination port serta protocol.

Fleksibilitas inilah yang membuat kita dapat membuat Access Control List yang sangat spesifik sesuai dengan kebutuhan. Contohnya kita dapat membolehkan traffik email sementara pada saat yang sama, memblok file transfer dan browsing.

Konfigurasi Extended ACL

Sintaks dasar untuk mengkonfigurasikan Extended ACL adalah :
 access-list acl-nomor [permit|deny] protocol source [source-wildcard] dest [dest-wildcard] [logic dest-port]  
contoh topologi extended acl
Pada contoh ini kita akan mengkonfigurasikan extended acl yang memblok (deny) trafik ftp ke network 10.0.0.0 /24 , tapi membolehkan ke network yang lain.
cat: 
ftp menggunakan port 20 dan 21

Definisikan protokol, source, destination dan port mana yang diblok,
Router(config)#access-list 101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 20
Router(config)#access-list 101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0 eq 21
Router(config)#access-list 101 permit ip any any

Terapkan acl 101 pada interface
Router(config)#interface fa0/0
Router(config-if)#ip access-group 101 out

Perhatikan bahwa kita harus membuat trafik lain tidak diblok ( access-list permit 101 ip any any) karena ada pada akhir setiap acl terdapat "deny all" yang memblok semua trafik.
Seperti yang kita lihat pada contoh acl diatas, destination  ditullis dengan "118.10.1.6 0.0.0.0" yang menentukan host. Kita dapat juga menggunakan perintah "host 118.10.1.6".
Pernyataan "118.10.1.6 0.0.0.0" mengunakan wildcard masking.

Logic Operator ACL

Pada contoh acl diatas, terdapat statement "eq" yang berarti "equal". Berikut ini adalah logic operator yang digunakan oleh Cisco IOS
gt = greater than
eq = equal to
neq = not equal to
range = range of port number

Named ACL

Sifat manusia yang pelupa membuat kita lebih mudah mengingat nama daripada mengingat nomor. Membuat nama ACL akan memudahkan kita mengingat fungsinya, contoh ACL diatas lebih mudah diingat dengan nama NO_FTP.
Sintaks dasar untuk mengkonfigurasikan named ACL 
ip access-list [standard | extended] nama-acl

Untuk contoh acl diatas, versi named acl

Router(config)#ip access-list NO_FTP
deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 20
Router(config-ext-nacl)#101 deny tcp 10.0.0.0 0.0.0.255 118.10.1.6 0.0.0.0  eq 21
Router(config-ext-nacl)#101 permit any any
Router(config-ext-nacl)#end
Router(config)#interface fa0/0
Router(config-if)# ip access-group NO_FTP out

Ahhh ACL, Access Control List

ACL atau Access Control List adalah sekumpulan aturan . Tujuannya untuk meningkatkan keamanan jaringan 
Pada keluarga *NIX/Linux dikenal dengan nama packet filtering / netfilter dengan software-nya yang populer, iptables.

Cara kerja ACL pada Cisco IOS
  1. Paket data yang masuk atau keluar akan dibandingkan dengan statement pertama dari access-list
  2. Jika paket data cocok, aksi akan dilakukan (permit atau deny). Proses berakhir untuk paket data.
  3. Jika tidak cocok, ulangi langkah 1 dan 2 dengan statement berikutnya (top - down processing)
  4. Jika paket data tidak cocok dibandingkan dengan seluruh baris accessl-list, paket akan di deny.

ACL dapat di kelompokkan menjadi 2 tipe
  • Standard ACL
  • Extended ACL
Pada gambar dibawah ini kita dapat melihat jenis ACL yang didukung oleh Cisco IOS versi 12.4. 
Cisco's Access Control List

Standard Access Control List 

Standar ACL akan menyaring paket data hanya berdasarkan Source IP Address atau subnet, pada dasarnya hanya membolehkan permit atau deny untuk seluruh paket data. Untuk ACL yang lebih fleksibel dapat menggunakan Extended ACL yang menyaring paket data berdasarkan source dan destination IP Address, source dan destination port, dan protokol TCP/IP seperti ICMP, UDP dan TCP, lebih jelasnya lihat disini.


Pada Cisco IOS, untuk membuat ACL yang kita lakukan adalah:
  1. Definisikan rule menggunakan perintah access-list.
  2. Langkah berikutnya, menerapkan rule -yang telah didefinisikan sebelumnya- pada interface menggunakan perintah access-group, dengan arah inbound atau outbound.

Sintaks ACL

access-list accesss-list number [permit | deny] [ip address | any] [wildcard mask(opt)]

access-list number 
Standard ACL nomor 1 sampai 99 dan 1300 - 1999
Extended ACL nomor 100 - 199  dan 2000-2099                             
wildcard mask  lihat disini

contoh:
access-list 1 permit 192.168.1.1 0.0.0.0
router(config)#interface fa0/0
router(config-int)#ip access-group 1 in

tergantung interface dan direction, jika acl diatas diterapkan pada interface fa0/0 dengan perintah "ip access-group 1 in " maka hanya traffic dari 192.168.1.1 yang diteruskan ke interface fa0/0 , jika menggunakan "ip access-group 1 out" maka hanya traffic dari 192.168.1.1 yang boleh keluar dari interface fa0/0.


Pedoman untuk membuat Access List

Design dan implementasi jaringan yang baik dapat menambah keamanan. Berikut beberapa hal yang perlu diperhatikan dalam mengkonfigurasi ACL
  • Pilih jenis ACL apakah standar atau extended berdasarkan kondisi 
  • ACL akan di eksekusi dari baris pertama sampai baris terakhir (top-down), sehingga jika baris pertama cocok, baris berikutnya tidak akan diproses. Buatlah sedemikian rupa sehingga aturannya dari spesifik ke general.
  • Hanya boleh satu ACL per interface, per protocol, per direction yang diijinkan.
  • Tempatkan Standard ACL sedekat mungkin dengan destination traffic , dan Extended ACL source sedekat mungkin dengan source traffic.
  • Ada statement deny all pada setiap acl yang kita buat, sehingga setiap acl setidaknya harus mempunyai satu statement permit, jika tidak semua traffic akan di deny / drop.

Monitoring Access Control List pada Cisco IOS

Perintah berikut ini berguna untuk memeriksa konfigurasi ACL
  • show access-list
  • show access-list access-list number
  • show ip access-list
  • show ip interface
  • show running-config 

Konfigurasi RIP dengan otentikasi

Ada beberapa cara untuk mengamankan jaringan komputer, menggunakan Access Control List, menggunakan password untuk otentikasi, tunnelling dll. Salah satu cara adalah mengamankan pertukaran informasi antara router, sehingga kita dapat memastikan bahwa informasi yang dimasukkan ke tabel routing valid. RIP versi 2 telah mendukung otentikasi.   Ada dua pilihan otentikasi plain-text atau md5. Pada cisco defaultnya adalah plain-text.
topologi jaringan
Router R1 dan R2 terkoneksi langsung melalui interface serial-nya. Menggunakan routing protocol RIP, kita ingin agar paket update yang dikirim dan diterima oleh router tersebut terotentikasi.
Konfigurasi interfase serial, agar kedua router terkoneksi

 Konfigurasi dasar Router R1

Konfigurasi dasar Router R2
Tes koneksi antar router

Konfigurasi RIP versi 2

Ok... sebelum melanjutkan pada konfigurasi otentikasi, kita kembali ke basic. Kita aktifkan RIP pada kedua router.
konfiurasi RIPv2 pada Router R1

konfiurasi RIPv2 pada Router R2

Verifikasi RIP

Pastikan bahwa kedua router telah saling bertukar informasi,
verify RIPv2 pada R1
verify RIPv2 pada R2


Setelah kita memastikan bahwa kedua router dapat mengirim dan menerima paket update, kita akan membuat key chain, key dan key string, yang akan digunakan untuk otentikasi.

Konfigurasi parameter otentikasi
konfigurasi key chain, key dan key string pada R1
konfigurasi key chain, key dan key string pada R2


catatan :
  • key chain "kunci" tidak perlu sama pada kedua router
  • nomor identifikasi "key 1" tidak perlu sama KECUALI menggunakan otentikasi md5
  • "key string p4ssw0rd " adalah password sebenarnya, harus sama pada kedua router

 

Konfigurasi plain-text otentikasi

konfigurasi plain-text pada R1
konfigurasi plain-text pada R2

 

Verifikasi plain-text otentikasi

debug ip rip
seperti kita lihat diatas, hasil dari perintah debug ip rip, passwordnya terlihat jelas. Pilihan labih baik adalah menggunakan otentikasi md5.

 

Konfigurasi dan verifikasi otentikasi md5

Mari kita setting otentikasi md5 pada Router R1, mengaktifkan debug pada Router R2 untuk melihat apa yang terjadi,

konfigurasi md5 pada R1

Pada Router R2, 
konfigurasi md5 pada R2

Pada hasil perintah "debug ip rip " , kita dapat melihat R2 mengabaikan paket update yang diterima dari Router R1 dengan informasi "(invalid authentication)". Kemudian kita setting otentikasi md5 pada Router R2, informasi paket update dapat saling diterima oleh kedua router seperti yang terlihat pada hasil "debug ip rip" di Router R1

Otentikasi md5 pada cisco router sangat mudah untuk dikonfigurasikan, seperti yang terlihat dari tutorial diatas.

Routing Dinamis

Pada artikel tentang statis routing, hanya terdapat sedikit router yang perlu dikonfigurasi. Bagaimana jika kita mempunyai banyak router dan menggunakan routing statis ?
Sudah tentu, kita akan mempunyai banyak rute yang menunjuk pada setiap network dan kita tidak mempunyai backup. Bagaimana jika salah satu link gagal ?
Routing dinamis adalah jawabannya. Routing dinamis akan mengirim informasi tentang network kepada tiap router yang berpartisipasi.

Ada 2 (dua) istilah yang mirip tetapi sangat berbeda artinya.
1. Routing Protocol
2. Routed Protocol

 Routing protocol digunakan antar router untuk saling bertukar informasi tentang routing dan membangun tabel routing.
Routed protocol adalah protocol yang kita routing-kan contoh IPv4, Appletalk dll.

Ada 2 tipe routing protocol :
1. Interior Gateway Protocol, pertukaran informasi routing dalam satu Autonomous System (AS), contoh RIP, EIGRP, OSPF
2. Exterior Gateway Protocol, pertukaran informasi routing diantara beberapa Autonomous System (AS).

 Berdasarkan cara kerjanya, routing protocol dibedakan menjadi 3:
1. Distance Vector, menggunakan algoritma yang sederhana, cocok digunakan untuk network skala kecil. Untuk penjelasan detail disini. Contoh routing protocol-nya adalah RIP
2. Link State,  menggunakan algoritma routing yang kompleks, sering digunakan untuk network skala menengah sampai besar. Penjelasan detail disini. Contoh OSPF,IS-IS.
3. Balanced Hybrid/Hybrid, mempunyai fitur yang mirip Distance Vector dan Link State, contoh EIGRP.

Administrative Distance (AD)

Administrative Distance (AD) adalah ukuran kepercayaan suatu informasi routing yang diterima dari router tetangga. AD akan bernilai antara 0 - 255, dimana nilai 0 adalah rute paling terpercaya sedangkan nilai 255 paling tidak terpercaya.
Jika informasi rute mempunyai nilai AD yang sama, maka routing protocol akan menggunakan metric sebagai pembedanya. Tapi jika Ad dan Metric bernilai sama routing protocol akan me-load balance trafiknya.

Tabel Administrative Distance Cisco


Metric

Metric adalah cara untuk mengukur atau membandingkan. Routing protocol menggunakan metric untuk memilih rute terbaik ketika terdapat banyak rute yang menuju satu network yang sama. 
Terdapat beberapa parameter yang digunakan untuk mengukur metric diantaranya:
  • Hop Count 
  • Bandwith 
  • Load 
  • Delay 
  • Reliability 
  • Cost
Penggunaan metric untuk routing protocol,
RIP : Hop Count, rute terbaik akan di-install pada tabel routing dengan nilai terendah.
EIGRP : Bandwidth, delay, reliability dan load, rute terbaik dipilih dengan nilai terendah yang dihitung dari 4 parameter ini, secara default hanya bandwidth dan delay yang digunakan
OSPF : Cost, rute terbaik digunakan dengan nilai cost terendah.

Wildcard Masking...

Pada Cisco IOS, Wildcard masking sering digunakan untuk beberapa keperluan, diantaranya access-list. Access-list tidak menggunakan subnet mask, begitu juga beberapa routing protokol seperti EIGRP, OSPF. Jadi bagaimana kita menggunakan wildcard masking?
Untuk memahami cara kerja dan bagaimana kita menggunakannya, ada aturan dasarnya :
  • bit 0 -- nilai cocok  
  • bit 1 -- nilai diabaikan  
Kita akan bermain subnet mask 255.255.255.0 dan bilangan binari
Ini adalah oktet pertama dari subnet 255.255.255.0 dalam bentuk bilangan binari, seperti yang kita lihat semua bit bernilai 1 yang akan membuat bilangan 255.
subnet 255




Ini juga oktet pertama dari subnet mask 255.255.255.0, tetapi sekarang menggunakan bit wildcard
wildcard_subnet_255


Jadi, jika kita harus menggunakan wildcard, kita balikkan saja bitnya, dari "on" ke "off" atau dari 0 ke 1 begitu pula sebaliknya dari "off" ke "on" atau dari 1 ke 0. 

Sudah jelas?
OK kita coba lagi dengan subnet mask 255.255.255.128, apa wildcardnya?
Saya hanya akan menunjukkan oktet ke 4 saja dalam bentuk binari.
128 = 10000000 
Ini adalah oktet ke-empat (128) dalam bentuk bit, kita balikkan bitnya
??? = 01111111
nilai 01111111 sama dengan 127 dalam bentuk desimal.
Jadi subnet mask 255.255.255.128 akan menjadi 0.0.0.127 dalam bentuk wildcard.

 OK kita telah tahu bagaimana mencari wildcard masking, lalu  bagaimana menggunakannya?
Wildcard masking digunakan untuk :

1. Menentukan single host
Untuk menentukan single host, berarti setiap bit harus cocok dengan ip address. Bit yang mempunyai arti nilai cocok adalah bit 0. Sehingga wildcard mask untuk single host adalah 0.0.0.0

2. Menentukan subnet
Untuk subnet kita akan perlu untuk mencocokkan setiap bit pada bagian NETWORK
contoh aja biar jelas, misalkan ip 192.168.1.125/25. Notasi CIDR /25 = 255.255.255.128 sehingga wildcard masknya adalah 192.168.1.125 0.0.0.127

3. Jarak ip address / block size
Aturan yang sama berlaku 0-nilai cocok, 1-abaikan. Jika kita punya ip address 172.16.0.1 sampai 172.16.1.255, bagaimana menentukan wildcard masknya?
Kita pecah oktet ketiga
172.16.0.x  ------- binari 00000000
172.16.1.x  ------- binari 00000001
Kita ingin mencocokkkan bit yang ke-23. Subnet untuk /23 adalah 255.255.254.0 maka wildcard masknya adalah 0.0.1.255

Keren kan?

Setting DHCP pada Router Cisco

Jika kita membuat jaringan LAN dengan 10 - 20 komputer, kita akan dengan mudah memberi ip address pada setiap komputer. Bayangkan jika jumlah komputernya ratusan atau ribuan ? Tentu akan melelahkan mengerjakan pekerjaan yang sama berulang - ulang , dan akan menghabiskan banyak waktu hanya untuk memberi ip address pada setiap komputer. Ada cara yang lebih mudah dan efisien, yaitu menggunakan DHCP.

Apa itu DHCP ?


DHCP atau Dynamic Host Configuration Protocol adalah protokol yang digunakan untuk memudahkan pemberian ip address dalam satu jaringan. Penjelasan detail lihat disini

OK, cukup penjelasannya. Langsung saja praktek menggunakan gns3 dengan topologi jaringan seperti gambar dibawah ini...
topologi jaringan menggunakan DHCP
Langsung saja buka gns3, buat topologi seperti gambar diatas. Untuk PC menggunakan emulator vpcs. Ios c3640-jk9s-mz.124-16.bin

 Konfigurasi pada router R1

R1(config)#service dhcp
R1(config)#ip dhcp excluded-address 192.168.0.1
R1(config)#ip dhcp excluded-address 172.16.0.254
R1(config)#ip dhcp pool 0
R1(dhcp-config)#network 192.168.0.0 /24
R1(dhcp-config)#default-router 192.168.0.1
R1(dhcp-config)#exit
R1(config)#ip dhcp pool 1
R1(dhcp-config)#network 172.16.0.0 /24
R1(dhcp-config)#default-router 172.16.0.254
R1(dhcp-config)#exit
R1(config)#


catatan :
service dhcp: mengaktifkan fitur dhcp pada router
ip dhcp excluded-address (ip-address): ip yang tidak dialokasikan untuk client dhcp
ip dhcp pool (name): nama unik untuk DHCP server
network: ip addres yang dialokasikan untuk client dhcp

Selanjutnya kita akan menguji apakah server DHCP sudah berfungsi dengan benar atau tidak. Jalankan vpcs dan ketikkan dhcp pada prompt vpcs. Untuk lebih jelas perhatikan gambar - gambar dibawah ini.

setting dhcp di vpcs

Komputer belum mempunyai ip address
perintah dhcp di vpcs

Pada prompt vpcs, beri perintah dhcp,
dhcp works

Semua komputer telah mendapatkan ip address.

Cara Cepat Subnetting

Pada artikel ini telah di bahas cara subnetting menggunakan bilangan binari. Tetapi cara tersebut bukanlah cara yang cocok bagi setiap orang, berikut ini saya akan bagikan salah satu cara melakukan subnetting dengan cepat. Yang harus diingat adalah :
1. Kelas IP Address dan  subnet mask default-nya
2. Tabel di bawah ini 
tabel cidr subnetting cepat






A. Mencari berapa banyak subnet dan host

Kita ambil ip 192.168.15.0/27 sebagai contoh, kita tahu 192.X.X.X adalah IP address Kelas C dengan subnet mask defaultnya 255.255.255.0 atau dalam format CIDR /24.
Untuk mencari jumlah subnet, bit subnet yang diberikan minus bit subnet default sehingga
27 - 24 = 3 (bit yang dipinjam). Maka  2 ^ 3 = 8 (Inilah jumlah subnet)
Untuk mencari jumlah host, 32 minus bit yang diberikan, sehingga 32 - 27 = 5.  Maka 
(2 ^ 5 ) - 2 = 32 - 2 = 30 (Inilah jumlah host yang dapat digunakan).

contoh berikutnya: 
172.23.14.0/28
Ini adalah Ip address kelas B, default subnet mask-nya adalah 16.
Untuk mencari subnet:
28 - 16 = 12 ---> 2^12 = 4096 (jumlah subnet)
Untuk mencari host :
32 - 28 = 4 ---> (2^4) - 2  = 16 -2 = 14 (jumlah host dalam setiap subnet)

satu contoh lagi ...
10.10.10.0/16
Jumlah subnetnya
16 - 8 = 8 ---> 2^8 = 256
Jumlah hostnya
32 - 16 = 16 ---> (2^16) - 2 =  65536 - 2 = 65534

B. Mencari network dan broadcastnya

Untuk mencari network address dan broadcast address dari ip yang diberikan, kita akan berkenalan dengan magic number. Magic number memberikan gambaran tentang subnet- subnet yang terdapat dalam ip address. Magic number dicari menggunakan rumus :

256 - subnet mask = magic number. 

contoh : 
128.0.0.0                               256 - 128 = 128
255.192.0.0                           256 - 192  = 64
255.255.240.0                        256 - 240 = 16
255.255.255.248                    256 - 248 = 8 
 
Misalkan kita diberi ip address oleh ISP 192.12.180.15/28, berapa network address dan broadcastnya?
192.12.180.14/28  ---> format cidr, diubah dalam bentuk desimal sehingga menjadi

ip address 192.12.180.14
subnet mask 255.255.255.240

Karena ini adalah ip address kelas C, oktet yang penting adalah oktet keempat ( yang digaris bawahi dan berwarna merah).

langkah - langkahnya
1. Cari magic number --> 256 - 240 = 16.
2. Ambil oktet keempat dari ip address dan dibagi dengan magic number ---> 14 : 16 = 0,875
3. Ambil bilangan bulat hasil dari langkah 2, kalikan dengan magic number ---> 0 x 16 = 0.

Sehingga dari ip address 192.12.180.14/28, network addressnya adalah 192.16.180.0 dengan  broadcast address 192.12.180.15

Jika kita susun  dalam bentuk tabel 
tabel ip






Contoh lagi...
IP address 172.21.98.116/23
Subnet masknya = /23 = 255.255.254.0

1. 256 - 254 = 2
2. 98 : 2 = 49 
3. 2 x 49 = 98

 Sehingga network address kita 172.21.98.0 dengan broadcast address-nya 172.21.99.255
dalam bentuk tabel :
tabel ip




Ingat, untuk dapat melakukan subnetting dengan cepat diperlukan banyak latihan.

Konfigurasi Static Routing dengan GNS3

Pada tutorial ini, kita akan menghubungkan dua -atau lebih- router dengan static route menggunakan GNS3.

Static route vs Dynamic route


Statis route adalah metode dimana network administrator memberitahu router kemana untuk mengirimkan lalu lintas paket data. Route statis sering digunakan jika hanya terdapat sedikit perangkat router atau hanya ada satu rute dari sumber ke tujuan. 
Sedangkan Dynamic route, menggunakan routing protokol (OSPF, EIGRP, BGP) untuk menentukan jalur terbaik dari sumber ke tujuan. Router  berkomunikasi dengan router lain menggunakan routing protocol. 

Sintaks untuk routing statis adalah :
ip route [destination-network] [mask] [next-hop-address | exit-interface]

ip route,  perintah untuk membuat stitis route
destination-network,  network yang akan kita masukkan dalam tabel routing
mask, subnet yang digunakan oleh destination-network
next-hop-address,  IP address dari router yang terhubung langsung (directly connected)
exit-interface,  interface router dimana paket akan keluar

 Sekarang kita akan menggunakan contoh dalam konfigurasi routing statis. Misalkan perusahaan kita mempunyai 3 cabang yang terletak di lokasi yang berbeda. Sebagai seorang admin network tugas kalian menghubungkan 3 jaringan tersebut, sehingga karyawan dalam 3 LAN yang berbeda dapat saling berkomunikasi satu sama lain. Setelah pertimbangan matang, kalian memutuskan untuk menghubungkan mereka menggunakan routing statis.

Jalankan GNS3, tempatkan 3 router seperti pada gambar dibawah ini, disini menggunakan IOS c3640-jk9s-mz.124-16.bin. Kita menggunakan 3 Host yang mewakili LAN 
gambar Konfigurasi route statis dengan GNS3
network diagram


Konfigurasi awal pada ROUTER_1:

ROUTER_1(config)# no ip routing
ROUTER_1(config)# ip routing
ROUTER_1(config)# interface s1/0
ROUTER_1(config-if)# description Koneksi ke ROUTER_2
ROUTER_1(config-if)# ip address 172.16.0.1 255.255.255.252
ROUTER_1(config-if)# no shut
ROUTER_1(config-if)# interface fa0/0
ROUTER_1(config-if)# desc Koneksi ke LAN A
ROUTER_1(config-if)# ip add 192.168.0.1 255.255.255.0
ROUTER_1(config-if)# no shut
ROUTER_1(config-if)# exit

Konfigurasi pada ROUTER_2:

ROUTER_2(config)# no ip routing
ROUTER_2(config)# ip routing
ROUTER_2(config)# interface s1/0
ROUTER_2(config-if)# description Koneksi ke ROUTER_1
ROUTER_2(config-if)# ip address 172.16.0.2 255.255.255.252
ROUTER_2(config-if)# no shut
ROUTER_2(config-f)# interfaces s1/1
ROUTER_2(config-if)# desc Koneksi ke ROUTER_3
ROUTER_2(config-if)# ip address 172.16.1.1 255.255.255.252
ROUTER_2(config-if)# no shut   
ROUTER_2(config-if)# interface fa0/0
ROUTER_2(config-if)# desc Koneksi ke LAN B
ROUTER_2(config-if)# ip add 10.10.10.1 255.255.255.0
ROUTER_2(config-if)# no shut
ROUTER_2(config-if)# exit

Konfigurasi pada ROUTER_3:

ROUTER_3(config)# no ip routing
ROUTER_3(config)# ip routing
ROUTER_3(config)# interface s1/0
ROUTER_3(config-if)# description Koneksi ke ROUTER_2
ROUTER_3(config-if)# ip address 172.16.1.2 255.255.255.252
ROUTER_3(config-if)# no shut
ROUTER_3(config-if)# interface fa0/0
ROUTER_3(config-if)# desc Koneksi ke LAN C
ROUTER_3(config-if)# ip add 192.168.10.1 255.255.255.0
ROUTER_3(config-if)# no shut
ROUTER_3(config-if)# exit

Perhatikan perintah no ip routing, perintah ini berfungsi untuk membersihkan tabel routing, sedangkan perintah ip routing mengaktifkan kembali fungsi routing pada router. 
Sekarang kita cek tabel routing pada ROUTER_1, ROUTER_2 dan ROUTER_3 menggunakan perintah show ip route
Pada Router_1
ROUTER_1# show ip route
gambar show ip route ROUTER_1
Huruf C berarti "connected" atau "directly connected", terdapat 2 network yang terhubung langsung pada ROUTER_1 yaitu 172.16.0.0/30 dan 192.168.0.0/24.

Pada ROUTER_2
gambar show ip route ROUTER_2
 
 Pada ROUTER_3
gambar show ip route ROUTER_3

Pada ROUTER_1
ROUTER_1(config)#ip route 10.10.10.0 255.255.255.0 172.16.0.2
ROUTER_1(config)#ip route  192.168.10.0 .255.255.255.0 172.16.0.2
ROUTER_1(config)#ip route 172.16.1.0 255.255.255.252 172.16.0.2

Pada ROUTER_2
ROUTER_2(config)# ip route 192.168.0.0 255.255.255.0 172.16.0.1
ROUTER_2(config)# ip route 192.168.10.0 255.255.255.0 S1/1

Pada ROUTER_3
ROUTER_3(config)#ip route 10.10.10.0 255.255.255.0 172.16.1.1
ROUTER_3(config)#ip route 192.168.0.0 255.255.255.0 172.16.1.1 
ROUTER_3(config)#ip route 172.16.0.1 255.255.255.252 172.16.1.1

Sekarang kita akan mencoba tes koneksi menggunakan perintah ping
gambar hasil ping ROUTER_1
Pada ROUTER_2

gambar Hasil Ping ROUTER_2
Perhatikan pada ROUTER_2, setelah menambahkan perintah
ROUTER_2(config)# ip route 192.168.0.0 255.255.255.0 172.16.0.1
ROUTER_2(config)# ip route 192.168.10.0 255.255.255.0 S1/1

tabel router berisi
S 192.168.10.0/24 is directly connected, Serial1/1
S 192.168.0.0/24  [1/0] via 172.16.0.1

 Huruf "S" memberitahukan kita, ini adalah statis route, network 192.168.10.0 dan 192.168.0.0 adalah tujuan kemana paket diteruskan, khusus network 192.168.0.0 router akan mengirim paket ke 172.16.0.1, sedangkan [1/0] 1 adalah administrative distance (AD) dan 0 adalah metric.
Router akan memperlakukan  route statis yang menunjuk ke interface, sama dengan directly connected, sehingga mempunyai AD 0,  yang tidak ditampilkan pada tabel routing.
Download file konfigurasi gns3 disini dan disini
Subscribe to: Posts ( Atom )