Thursday, June 26, 2014

Pengenalan VPN

VPN (Virtual Private Network) dalam arti yang sederhana ialah koneksi secara logical
yang menghubungkan dua node melalui public network. Koneksi logical tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3 VPN. Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu menambahkan “delivery header” dalam paket data yang menuju ke site tujuan. Untuk Layer 2 VPN, delivery header-nya berada di Layer 2. Sedangkan untuk Layer 3, delivery header-nya berada di Layer 3. ATM dan Frame Relay adalah contoh dari Layer 2 VPN. GRE, L2TP, MPLS, dan IPSec adalah contoh dari Layer 3 VPN.
IPSec protocol diciptakan oleh kelompok kerja IPSec dibawah naungan IETF. Arsitektur dan komponen fundamental dari IPSec VPN seperti yang didefinisikan oleh RFC2401 adalah:
- Security protocols : Authentication Header (AH) dan encapsulation security payload (ESP)
- Key management : ISAKMP, IKE, SKEME
- Algorithms : enkripsi dan authentikasi
Enkripsi ialah proses transformasi dari plain text/data asli ke dalam data terenkripsi yang menyembunyikan data asli. Untuk melihat (dekripsi) data asli, penerima data yang terenkripsi harus mempunyai kunci/key yang cocok dengan yang telah didefinisikan oleh pengirim. Dekripsi ialah kebalikan dari enkripsi, yaitu proses transformasi dari data yang terenkripsi ke bentuk data asli. Algoritma Kriptografi atau yang biasa disebut cipher adalah fungsi/perhitungan matematis yang digunakan untuk enkripsi dan dekripsi. Algoritma Kriptografi terbagi dua jenis:

Symmetric
Pada metode ini, pengirim maupun penerima menggunakan kunci rahasia yang sama untuk melakukan enkripsi dan dekripsi data. DES, 3DES, dan AES adalah beberapa algoritma yang popular

Asymmetric
Metode ini sedikit lebih rumit. Kunci untuk melakukan enkripsi dan dekripsi berbeda, kunci untuk melakukan enkripsi disebut public key sedangkan untuk dekripsi disebut private key. Proses generate, distribusi, dan penyimpanan key disebut key management. Key management default dari IPSec ialah Internet Key Exchange Protocol (IKE). Security Association adalah blok basic dari IPSec yang juga merupakan input dari SA database (SADB) yang mengandung informasi tentang security yang telah disepakati untuk IKE atau IPSec. SA terdiri dari dua tipe:
- IKE atau ISAKMP SA
- IPSec SA
Untuk menuju IKE atau ISAKMP SA, IKE beroperasi dalam dua fase:
- Fase 1
Fase ini menciptakan ISAKMP SA (atau sering juga disebut IKE SA) yang bertujuan menciptakan secure channel diantara IKE peers sehingga proses negoisasi fase 2 dapat berjalan lebih secure
- Fase 2
Fase ini menyediakan proses negotiation dan establishment dari IPSec SA dengan menggunakan ESP atau AH untuk memproteksi lalu lintas data.

Konfigurasi IKE fase 1 pada Cisco IOS Router
     Crypto isakmp policy 1
     encr 3des
     authentication pre-share
     group 2
IKE fase 1 membutuhkan authentication method. Authentication method sendiri ada dua tipe, yaitu pre-shared key dan digital signatures.

Pre-shared key authentication
Pada metode ini, baik pengirim atau penerima harus mempunyai pre-shared key yang sama. Bila pre-shared key tidak sama, maka IKE Tunnel tidak akan terbentuk. Konfigurasi pre-shared key pada Cisco IOS Router Crypto isakmp key pre-shared_key address x.x.x.x


Contoh Kasus :

 
 Keterangan skenario gambar:
 a. Pada gambar sekenario menunjukkan 2 subnet jaringan private yang berbeda,  yaitu10.10.1.0/24     
     dan 10.30.1.0/24 yang akan dihubungkan menggunakan VPN.  Asumsikan 2 subnet jaringan  
     tersebut terletak di Jakarta dan Surabaya, sedangkan IPv4 Network adalah jaringan milik ISP.
b. Masing‐masing Router R1 dan R2 terhubung melalui kabel serial.

Konfigurasi pada Cisco Router Jakarta
Konfigurasi interface pada Router 1
R1> enable
R1#configure terminal
R1 (config)#interface fastethernet 0/0
R1 (config‐if)#ip address 10.10.1.1 255.255.255.0
R1 (config‐if)#no shutdown
R1(config‐if)#exit
R1 (config)#interface serial 0/1/0
R1 (config‐if)#ip address 192.168.1.1 255.255.255.0
R1 (config‐if)#no shutdown
R1 (config‐if)#exit
R1 (config)#
Untuk melihat hasil konfigurasi :
R1#show ip interface brief
Amati dan catat hasil perintah di atas.

Konfigurasi pada Cisco Router Surabaya
Lakukan hal yang sama pada Router 2:

R2> enable
R2#configure terminal
R2 (config)#interface fastethernet 0/0
R2 (config‐if)#ip address 10.30.1.1 255.255.255.0
R2 (config‐if)#no shutdown
R2(config‐if)#exit
R2 (config)#interface serial 0/1/0
R2 (config‐if)#ip address 192.168.1.2 255.255.255.0
R2(config‐if)#clock rate 64000 => asumsi bahwa posisi DCE di R2
R2 (config‐if)#no shutdown
R2 (config‐if)#exit
R2 (config)#
Untuk melihat hasil konfigurasi ketikan sebagai berikut:
R2# show ip interface brief
Amati dan catat hasil perintah di atas.
Tahapan untuk melakukan tunneling dari R1 ke R2 dengan melewati jaringan IPv4.
Untuk melakukannya lakukan langkah sebagai berikut pada CLI:
Pada Router Jakarta:

R1> enable
R1#configure terminal
   Berikan access‐list agar jaringan jkt‐sby bisa saling interkoneksi
R1 (config)#ip access‐list extended jkt‐sby
R1 (config‐ext‐nacl)#permit ip 10.10.1.0 0.0.0.255 10.30.1.0 0.0.0.255
R1 (config‐ext‐nacl)#exit
   Konfigurasi dengan VPN menggunakan isakmp, policy 1 adalah prioritasnya
R1 (config)#crypto isakmp policy 1
   Enkripsi yang digunakan adalah triple DES, sebagai symmetric cryptography.
R1 (config‐isakmp)#encr 3des
   Authentication menggunakan pre‐share key, dimana kedua kunci harus sama antara jaringan    
   Jakarta dan Surabaya
R1 (config‐isakmp)#authentication pre‐share
   Untuk pertukaran kunci, digunakan Diffie Helman group 2
R1 (config‐isakmp)#group 2
R1 (config‐isakmp)#exit
    Berikan nama kunci, dalam hal ini : vpnxyz untuk koneksi ke 192.168.1.2 (Surabaya)
R1 (config)#crypto isakmp key vpnxyz address 192.168.1.2
   Setting ipsec dengan nama transform‐set : 6 dan protocol security yang digunakan
   adalah esp‐3des dan esp‐sha‐hmac
R1 (config)#crypto ipsec transform‐set 6 esp‐3des esp‐sha‐hmac
R1 (cfg‐crypto‐trans)#exit
   Setting crypto map dengan nama : vpn‐ngn dengan nomor urut 1
R1 (config)#crypto map vpn‐ngn 1 ipsec‐isakmp
   Set koneksi ke jaringan 192.168.1.2 (Surabaya)
R1 (config‐crypto‐map)#set peer 192.168.1.2
   Set transform‐set : 6 (ini harus sesuai dengan settingan di atas)
R1 (config‐crypto‐map)#set transform‐set 6
   Set address : jkt‐sby (ini harus sesuai dengan nama ACL)
R1 (config‐crypto‐map)#match address jkt‐sby
R1 (config‐crypto‐map)#exit
   Berikan crypto map di atas pada interface serial 0/1/0
R1 (config)#interface serial0/1/0
R1 (config‐if)#crypto map vpn‐ngn
R1 (config‐if)#exit
   Setting static route untuk koneksi dari Jakarta ke Surabaya
R1 (config)#ip route 10.30.1.0 255.255.255.0 192.168.1.2
R1 (config)#exit

Pada Router Subaya

R2> enable
R2#configure terminal
   Berikan access‐list agar jaringan sby‐jkt bisa saling interkoneksi
R2 (config)#ip access‐list extended sby‐jkt
R2 (config‐ext‐nacl)#permit ip 10.30.1.0 0.0.0.255 10.10.1.0 0.0.0.255
R2 (config‐ext‐nacl)#exit
   Konfigurasi dengan VPN menggunakan isakmp
R2 (config)#crypto isakmp policy 1
R2 (config‐isakmp)#encr 3des
R2 (config‐isakmp)#authentication pre‐share
R2 (config‐isakmp)#group 2
R2 (config‐isakmp)#exit
   Berikan nama kunci, dalam hal ini : vpnxyz untuk koneksi ke 192.168.1.1 (Jakarta)
R2 (config)#crypto isakmp key vpnxyz address 192.168.1.1
R2 (config)#crypto ipsec transform‐set 6 esp‐3des esp‐sha‐hmac
R2 (cfg‐crypto‐trans)#exit
   Setting crypto map dengan nama : vpn‐ngn
R2 (config)#crypto map vpn‐ngn 1 ipsec‐isakmp
R2 (config‐crypto‐map)#set peer 192.168.1.1
R2 (config‐crypto‐map)#set transform‐set 6
R2 (config‐crypto‐map)#match address sby‐jkt
R2 (config‐crypto‐map)#exit
   Berikan crypto map di atas pada interface serial 0/1/0
R2 (config)#interface serial0/1/0
R2 (config‐if)#crypto map vpn‐ngn
R2 (config‐if)#exit
   Setting static route untuk koneksi dari Jakarta ke Surabaya
R2 (config)#ip route 10.10.1.0 255.255.255.0 192.168.1.1
R2 (config)#exit
   Untuk mengecek konfigurasi, ketikkan sebagai berikut:
Tabel routing
R1#show ip route
Policy pada isakmp
R1# show crypto isakmp policy
   Koneksi antara Jakarta dan Surabaya
R1# show crypto isakmp sa
   Pemetaan konfigurasi
R1# show crypto map
   Protokol security yang digunakan
R1# show crypto ipsec transform‐set
Amati dan catat hasilnya pada masing‐masing router.
   Untuk mengetahui jumlah paket yang dikirim, ketikkan perintah :
R1# show crypto ipsec sa
Posted by at No comments:
Labels:

Friday, June 13, 2014

RUMUS CEPAT PENYELESAIAN PERHITUNGAN SUBNET SECARA MANUAL

# Ini rumus cepat / modifikasi dari penulis, boleh dipakai, boleh enggak. Niat awal untuk pribadi. Tingkat akurasi 100%.

# Scope: Perhitungan subnet manual pada kelas C
# Pembahasan:
# 1. hapalan tabel subnet
# 2. menghitung jumlah subnet
# 3. mencari jumlah host per subnet
# 4. mencari subnet Id, broadcast Id, dan range Available IP address.

Pembahasan:
  1. Hapalkan tabel subnet, terutama untuk mencari angka "slash" (/24, /25, dst). Semua rumus dimulai dari nilai slash. apabila nilai muncul dari nilai subnet mask, maka harus diconvert terlebih dahulu ke nilai slash. Misalkan niai subnet mask = 255.255.255.224, maka nilai slash adalah /27.
  2.  Untuk mencari jumlah subnet apabila diketahui nilai "slash"-nya. disimbulkan nilai slash adalah s, jumlah subnet adalah js. js = 2^(s mod 8). misal diketahui nilai slash adalah /27, maka nilai js = 2^(26 mod 8) = 2^3 = 8. Maka js = 8.
  3. Untuk mencari jumlah host per subnet apabila diketahui nilai "slash"-nya. disimbulkan jumlah host per subnet = jh/s. jh/s = (2^(32-s))-2. misal diketahui nilah slash adalah /27, maka nilai jh/s = (2^(32-27)-2) = (2^5)-2 = 32-2 = 30.
  4. Untuk mencari subnet ID, broadcash ID, dan range apabila diketahui nilai "slash"-nya. 
Tabel Subnet Mask

Misalkan diketahui IP Address 192.92.92.56 dengan subnet mask 255.255.255.224. Maka harus dirubah dulu nilai subnet mask menjadi nilai slash, yaitu slash /27 (check tabel subnet mask). Diketahui IP address adalah 192.92.92.56, maka nilai titik IP (disimbulkan ti) adalah 56. dan titik subnet (disimbulkan ts) adalah 224.

Step 1: cari block subnetnya, caranya...
- mencari tahu class ip berdasarkan subnetnya. Dilihat dari nilai slash, maka IP tersebut adalah kelas C (27/8 = 3,..), maka subnet dan broadcash ID nantinya berkisar pada subnet 192.92.92.n .
- menghitung block subnetnya. block subnet disimbulkan denga bs  dan objek n subnet mask.  maka bs = 256 - ts. Sehingga dalam kasus di atas, bs = 256-224 = 32.

Step 2: Menghitung lokasi IP berdasarkan IP berdasarkan rentang block. rentang block disimbulkan dengan rb. sehingga nilai rb = ti/bs. maka nilai rb = 56/32 = 1,... karena nilainya 1,...(baca:satu koma sekian), maka nilai rb ada dua, yaitu rb1 = 1 dan rb2 = 2. ((studi kasus lain, misal nilai rb = 3,... maka nilai rb1 = 3 dan rb2 = 4. jika belum paham bisa tanya langsung)).

Step 3: Menentukan subnet Id, broadcash Id, dan Range berdasarkan nilai rb (last step). menentukan rentang ip. disimbolkan ri. nilai ri ada dua, yaitu ri1 dan ri2. ri1 = bs * rb1, dan ri2 = bs*rb2. maka ri1 = 32 * 1 = 32, dan ri2 = 32 * 2 = 64, sehingga:
subnet Id = 192.92.92.ri1 = 192.92.92.32
broadcash Id = 192.92.92.(ri2-1) = 192.92.92.63
range = 192.92.92.(ri1+1) s.d 192.92.92.(ri2-2) = 192.92.92.33 s.d 192.92.92.62
Posted by at No comments:
Labels:

Thursday, June 12, 2014

CARA KONFIGURASI DASAR VLAN PADA ROUTER CISCO

Untuk artikel kali ini kita akan membuat jaringan dengan menggunakan VLAN Sederhana.Apa itu Vlan? Vlan disebut juga Virtual Lan dan VLAN merupakan suatu model jaringan yang tidak terbatas pada lokasi fisik seperti LAN , hal ini mengakibatkan suatu network dapat dikonfigurasi secara virtual tanpa harus menuruti lokasi fisik peralatan. Penggunaan VLAN akan membuat pengaturan jaringan menjadi sangat fleksibel dimana dapat dibuat segmen yang bergantung pada organisasi atau departemen, tanpa bergantung pada lokasi workstation.
Untuk Konfigurasinya saya beri contoh Topologinya seperti gambar di bawah ini :
Berikut langkah langkah pembuatan VLAN
  1. Langkah Awal buat sketsa jaringan yang akan kita buat
  2. Buatlah Topology Seperti gambar diatas
  3. Berilah IP Address, Subnet mask, dan Gateway pada masing-masing komputer sesuai dengan data diatas.
  4. Konfigurasi R1 dan Swith
Create lah vlan database pada R1 kemudian beri IP pada setiap interface vlan yang data kita buat
  • Create Vlan Data Base
Router>enable
Router#vlan database
Router(vlan)#vlan 10
Router(vlan)#vlan 20
Router(vlan)#vlan 30
Router(vlan)#vlan 40
Router(vlan)#exit
  • Berilah IP masing-masing Interface Vlan
Router#configure terminal
Router(config)#hostname Khairil_System
Khairil_System(config)#interface vlan 10
Khairil_System(config-if)#description Vlan Network-A
Khairil_System(config-if)#ip address 10.10.1.254 255.255.255.0
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit
Khairil_System(config)#interface vlan 20
Khairil_System(config-if)#description Vlan Network-B
Khairil_System(config-if)#ip address 10.10.5.254 255.255.255.0
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit
Khairil_System(config)#interface vlan 30
Khairil_System(config-if)#description Vlan Network-C
Khairil_System(config-if)#ip address 172.18.18.254 255.255.255.0
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit
Khairil_System(config)#interface vlan 40
Khairil_System(config-if)#description Vlan Network-C
Khairil_System(config-if)#ip address 172.19.19.254 255.255.255.0
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit

  • Kemudian Konfigurasi R1 untuk melewatkan vlan 10 dan Vlan 20 ke SW1 & vlan 30, Vlan40 ke SW2, makan di Router R1 yang terhubung ke Swith SW1 dan SW2 kita harus mengkonfigurasi interface agar berfungsi sebagai Trunk untuk vlan yang dimaksud tasi.

Konfigurasi untuk Fa0/2/0
Khairil_System(config)#interface fa0/2/0
Khairil_System(config-if)#description trunk Vlan10-20 to SW-1
Khairil_System(config-if)#switchport trunk allowed vlan 10
Khairil_System(config-if)#switchport trunk allowed vlan add 20
Khairil_System(config-if)#switchport mode trunk
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit
Konfigurasi untuk Fa0/2/1
Khairil_System(config)#interface fa0/2/1
Khairil_System(config-if)#description Trunk Vlan20-40 to SW3
Khairil_System(config-if)#switchport trunk allowed vlan 30
Khairil_System(config-if)#switchport trunk allowed vlan add 40
Khairil_System(config-if)#switchport mode trunk
Khairil_System(config-if)#no shutdown
Khairil_System(config-if)#exit

Nahh untuk konfigrasi di Router R1 nya sudah selesai, dan simpan lah hasil configurasinya.Kemudian kita akan konfigurasi Switch nya
  • Konfigurasi switch SW1
Buatlah vlan data base terlebih dahulu di switch SW1

Switch>enable
Switch#vlan database
Switch(vlan)#vlan 10
Switch(vlan)#vlan 20
Switch(vlan)#exit

Kemudian konfigurasilah semua interface yang ada di Swith SW1. Disini fastEthernet0/24 yang terhubugn ke Router R1 berfungsi sebagai Trunk yang melewati Vlan 10 dan Vlan 20 dan di karenakan pada interface Routersudah dibuat yang hanya melewatkan vlan 10 dan 20 maka fastEthernet0/24 cukup di kjonfigurasi sebagai mode Trunk saja, demikian juga fastEthernet0/24 yang berda di Swith SW2

Switch#config terminal
Switch(config)#hostname SW1
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#description Trunk to R1
SW1(config-if)#switchport mode trunk
SW1(config-if)#no shutdown
SW1(config-if)#exit

Kemudian konfigurasi lah interface Fa0/1 dan Fa0/2 nya juga yang terhubung di PC-A dan PC-B

SW1(config)#interface fastEthernet 0/1
SW1(config-if)#description Port To PC-A
SW1(config-if)#switchport access vlan 10
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface fa0/2
SW1(config-if)#description port To PC-B
SW1(config-if)#switchport access vlan 20
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#

  • Konfigurasi switch SW2
Buatlah vlan data base terlebih dahulu di swith SW2 seperti konfigurasi yang kita lakukan pada SW1
Switch>enable
Switch#vlan database
Switch(vlan)#vlan 30
Switch(vlan)#vlan 40
Switch(vlan)#exit

Kemudian konfigurasilah semua interface yang ada di Swith SW2 seperti yang kita lakukan pada Swith SW1

Switch#config terminal
Switch(config)#hostname SW2
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#description Trunk to R1
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shutdown
SW2(config-if)#exit

SW2(config)#interface fastEthernet 0/1
SW2(config-if)#description Port to PC-C
SW2(config-if)#switchport access vlan 30
SW2(config-if)#no shutdown
SW2(config-if)#exit
SW2(config)#interface fastEthernet 0/2
SW2(config-if)#description Port to PC-D
SW2(config-if)#switchport access vlan 40
SW2(config-if)#no shutdown
SW2(config-if)#exit

Untuk konfigurasi pada SW1 dan SW2 sudah selesai dan simpang lah hasil konfigurasinya
Setelah Konfigurasi Swith dan Router telah selesai kemudian berilah IP addres pada setiap PC seperti data pada Topology di atas dan Test Koneksi dengan Ping dari PC ke PC Pada semua PC.
Posted by at No comments:
Labels:
Subscribe to: Posts (Atom)