Modul Cli Pelatihan Bsn

Published on February 2017 | Categories: Documents | Downloads: 41 | Comments: 0 | Views: 230
of 23
Download PDF   Embed   Report

Comments

Content

I.

GNS3 GNS3 merupakan kepanjangan dari Graphical Network Simulator yang merupakan simulator jaringan berbasis grafis, memungkinkan kita untuk melakukan simulasi atau percobaan pada jaringan bahkan jaringan yang rumit sekalipun. Dengan menggunakan GNS3 kita dapat merancang dan mengimplementasikan jaringan mendekati keadaan yang sebenarnya, karena GNS3 bisa diintegrasikan ke jaringan fisik. Itu adalah salah satu alasan mengapa GNS3 juga seringkali disebut sebagai emulator. Selama ini mungkin kita hanya belajar bagaimana cara mensimulasikan sebuah jaringan kecil di dalam suatu software yang kita kenal dengan Packet Tracer. Tentu Anda pasti sudah tidak asing lagi. Namun, pada pelatihan kali ini kita akan menggunakan GNS3. Apakah bedanya dengan Packet Tracer? Perlu Anda ketahui bahwa Packet Tracer hanyalah sebuah simlator yang artinya adalah ia hanya mensimulasikan, sedangkan GNS3, GNS3 adalah program emulator yang artinya dengan menggunakan software GNS3 maka kita sebenarnya sedang benar-benar menggunakan IOS dari Cisco. GNS3 memungkinkan simulasi jaringan yang kompleks, karena menggunakan operating system asli dari perangkat jaringan, seperti Cisco dan Juniper. Sehingga kita berada di kondisi yang lebih nyata ketika mengkonfigurasi router secara langsung, berbeda dengan Packet Tracer. GNS3 merupakan software yang recommended untuk digunakan oleh network engineer, network administrator, ataupun mereka yang ingin mempelajari materi sertifikasi seperti Cisco CCNA, CCNP, CCIP dan CCIE, ataupun Juniper JNCIA, JNCIS, dan JNCIE. Beberapa fitur yang dimiliki oleh GNS3 adalah : Mendukung tingkat kerumitan topologi suatu desain jaringan Mampu melakukan emulasi platform router Cisco IOS, IPS, PIX, dan JunOS (terlihat pada daftar perangkat yang ada pada GNS3) Mampu menghubungan jaringan simulasi ke dunia nyata Mampu melakukan Capturing untuk melakukan traffic jaringan dengan menggunakan software Wireshark Mampu mensimulasikan ATM dan Frame Relay

II.

Instalasi Software Untuk mendapatkan software GNS3 pada PC atau laptop kita, terlebih dahulu kita harus mendownload software GNS3 yang biasanya sudah dibundel dengan software pendukungnya. Kemudian hal penting yang harus diketahui adalah IOS image. IOS image yang digunakan tergantung dengan perangkat yang akan kita gunakan. Anda bisa mendownload software-software yang Anda butuhkan tersebut di www.gns3.net. Versi terbaru dari GNS3 adalah 0.8.4. Namun pada pelatihan kali ini, kita akan menggunakan versi 0.8.3. Untuk pengguna Windows, Anda dapat langsung melakukan instalasi dengan menjalankan GNS3-0.8.3-win32-all-in-one.exe dan mengikuti langkah-langkah instalasi yang ditampilkan.

III.

Skema Jaringan Gambar dibawah ini merupakan skema jaringan yang akan kita simulasikan pada GNS3.

Gambar 1 : Skema Topologi Jaringan

Kasus : Gambar di atas merupakan skema jaringan yang berskala medium, memiliki 6 router Cisco c7200. R1 terhubung langsung dengan C1 yang merupakan client dalam jaringan ini. C1 adalah jaringan kecil yang memiliki 2 host. Dalam kasus ini, R6 adalah router yang difungsikan juga sebagai server. R6 bisa menyediakan informasi-informasi yang dibutuhkan oleh client nya. Namun tidak sembarang client yang bisa mengakses layanan yang diberikan oleh R6. R6 membatasi client nya. Host 1 bisa menikmati layanan yang diberikan oleh R6, namun tidak bisa melakukan ping, karena dikhawatirkan dapat membahayakan server yaitu seperti melakukan proses flooding. Sementara host 2 adalah host yang dicurigai oleh server, host 2 tidak bisa melakukan perintah apapun, karena R6 telah mem-“block”nya. R1 adalah router yang berperan sebagai admin dalam jaringan ini. Untuk memberikan kemudahan dalam melakukan fungsi-fungsi seorang network administrator, maka router-router lain selain R1 pun diharapkan dapat me-remote R1. Hal ini dimaksudkan untuk membuat jaringan yang lebih fleksibel. Sehingga bila terjadi sesuatu dengan R1, kelima router lainnya dapat “menggantikan” posisinya. Dengan fasilitas seperti itu, R1 bukan berarti mengabaikan keamanan yang ada pada jaringan. R1 membatasi router yang bisa meremotenya dalam waktu bersamaan. R1 memfasilitasi 3 router saja untuk bisa melakukan remote dalam waktu yang bersamaan. Tidak hanya pembatasan hak remote, sistem keamanan yang diterapkan pada jaringan ini antara lain adalah remote dengan menggunakan enkripsi, hak privilege setiap user, access-list yang diterapkan untuk R6, AAA, dan juga VPN. Dalam pertukaran data, jaringan ini menggunakan routing protocol OSPF. Apa yang dimaksud dengan remote menggunakan enkripsi data? Apa yang dimaksud dengan privilege? Apa yang dimaksud dengan access-list, AAA, dan VPN? Semua akan kita bahas secara praktek.

Penjabaran IP Address : Dapat kita lihat pada gambar diatas, bahwa jaringan memiliki 7 subnet. Berikut penjabaranmnya beserta dengan ilustrasi nama jaringan LAN nya. 1. Subnet 10.11.6.1/24 Terdiri dari 1 cloud (C1) yang terhubung langsung ke router (R1) dengan menggunakan koneksi fastEthernet  C1 : - IP Address : 10.11.6.21/24 - IP Gateway : 10.11.6.1 2. Subnet 201.222.222.0/30, yang merupakan subnet untuk link antara R1 melalui port f0/1 dan R2 melalui port f0/0  IP port f0/1 R1 : 201.222.222.2/30  IP port f0/0 R2 : 201.222.222.1/30 3. Subnet 202.222.222.0/30, yang merupakan subnet untuk link antara R2 melalui port f0/1 dan R3 melalui port f0/0  IP port f0/1 R2 : 202.222.222.1/30  IP port f0/0 R3 : 202.222.222.2/30 4. Subnet 203.222.222.0/30, yang merupakan subnet untuk link antara R2 melalui port f1/0 dan R4 melalui port f0/1  IP port f1/0 R2 : 203.222.222.1/30  IP port f0/1 R4 : 203.222.222.2/30 5. Subnet 204.222.222.0/30, yang merupakan subnet untuk link antara R3 melalui port f0/1 dan R5 melalui port f0/0  IP port f0/1 R3 : 204.222.222.2/30  IP port f0/0 R5 : 204.222.222.1/30 6. Subnet 205.222.222.0/30, yang merupakan subnet untuk link antara R4 melalui port f0/0 dan R5 melalui port f1/0  IP port f0/0 R4 : 205.222.222.2/30  IP port f1/0 R5 : 205.222.222.1/30 7. Subnet 206.222.222.0/30, yang merupakan subnet untuk link antara R5 melalui port f0/1 dan R6 melalui port f0/0  IP port f0/1 R5 : 206.222.222.1/30  IP port f0/0 R6 : 206.222.222.2/30

IV.

Konfigurasi Jaringan Sebelum kita melakukan config pada router, hal pertama yang harus kita perhatikan adalah mendownload Cisco IOS Image dari internet. Pada pelatihan kali ini, kita menggunakan router Cisco seri c7200. Maka IOS Image yang kita download, harus disesuaikan dengan pemilihan router kita. Cisco IOS Image adalah OS router Cisco yang berwujud file dengan ekstensi .bin. Sebagai contoh, karena kita menggunakan router c7200, maka IOS Image yang kita gunakan c7200-advipservicesk9-mz124-20.bin. Cara menginputkan IOS Image ini kedalam GNS3 kita adalah melalui menu Edit  IOS Images and hypervisors  Settings  Browse Image file  Save.

Gambar 2 : Menambahkan IOS Image

Gambar diatas adalah cara untuk menginputkan IOS Image ke dalam GNS3 kita. Sekarang mari kita buka GNS 3 kita, dan mempraktekannya. Terlebih dahulu isi nama project Anda  centang “Save IOS startup configurations”  OK. Pastikan kita tahu dimana project directory kita. Perhatikan gambar dibawah ini, ini adalah tampilan awal ketika Anda membuka GNS3 Anda.

Gambar 3 : New Project

Sekarang jendela GNS3 sudah terbuka dan kita bisa melihat workspace nya. Sebelum memulai, ada 2 hal yang harus dipastikan. Yaitu Dynamips dan Qemu. Pastikan untuk melakukan testing terhadap Dynamips dan Qemu sebelum kita memulai pekerjaan kita. Apabila kita tidak mentestingnya terlebih dahulu, maka GNS3 kita akan berpeluang besar untuk mengeluarkan pesan error yaitu “Connection Refused”, yang menyebabkan kita harus menutup GNS3 kita dan membukanya lagi sementara konfigurasi di dalam devicenya pun dipastikan tidak tersimpan.

Gambar 4 : Testing Dynamips

Gambar 5 : Testing Qemu

Drag 6 router c7200 dan 1 cloud dengan posisi topologi seperti ini.

Gambar 6 : topologi tanpa link

Sekarang kita sudah men-drag 6 router dan 1 cloud seperti pada gambar diatas. Langkah selanjutnya, bagaimana caranya menghubungan ke-6 router tersebut. Pada menu bar yang ada di bagian atas jendela GNS3, klik Add a link  klik Manual. Kemudian arahkan panah berbentuk tanda “+” ke setiap router, dan hubungkan setiap router tersebut. Setelah selesai menyetting link antar router, langkah selanjutnya adalah setting link untuk menyambungkan R1 dengan C1. Kita akan menggunakan Loopback Adapter sebagai IP Address client. Lakukan settingan dibawah ini pada C1. Klik Start  Control Panel  Network & Internet  Network & Sharing Center  Change Adapter Settings  Klik LAN yang merupakan Microsoft Loopback Adapter

Gambar 7 : Adapter Settings

Setiap laptop atau PC pasti besar kemungkinan akan berbeda tentang Local Area Connection yang mana yang merupakan Microsoft Loopback Adapter. Disini yang menjadi Microsoft Loopback Adapter adalah LAN 6. Pada Internet Protocol 4 (TCP/Ipv4), klik Properties. Klik “Use the following IP address” seperti gambar dibawah ini dan isikan IP nya.

Gambar 8 : Setting IP Loopback

Kemudian OK. Setelah selesai setting Loopback Adapter, langkah selanjutnya adalah menginputkan NIO Ethernet nya. Cari LAN6 dan klik Add. Kemudian OK. Sekarang kita sudah bisa menyambungkan C1 dengan R1.

Gambar 9 : Memasang NIO Ethernet

Tampilan topologi akan terlihat seperti gambar dibawah ini. Tampak pada gambar bahwa link berwarna merah, artinya router belum hidup dan link nya belum berfungsi. Untuk menghidupkannya, klik tombol Start yang ada di menu bar. Secara otomatis semua node akan menyala dan berwarna hijau. Namun jika Anda ingin menghidupkan router satu per-satu, Anda bisa melakukan klik kanan pada router  Start. Kemudian jika Anda menggunakan laptop dalam mengikuti pelatihan ini, jangan lupa untuk melakukan klik kanan pada router  Idle PC. Ini dikarenakan GNS3 berfungsi sebagai emulator yang memakan RAM cukup besar. Idle PC dilakukan untuk menghindari laptop dari lagged.

Gambar 10 : topologi dalam keadaan router mati

Setelah semua langkah-langkah diatas diikuti, sekarang kita akan melakukan konfigurasi pada dengan setiap router. Konfigurasi awal adalah mengenalkan IP Address dan melakukan pe-routing-an dengan menggunakan routing protocol OSPF. Konfigurasi pada Router 1 untuk interface fastEthernet 0/0 :

Konfigurasi pada Router 1 untuk interface fastEthernet 0/1 :

Konfigurasi pada Router 2 untuk interface fastEthernet 0/0 :

Konfigurasi pada Router 2 untuk interface fastEthernet 0/1 :

Konfigurasi pada Router 2 untuk interface fastEthernet 1/0 :

Konfigurasi pada Router 3 untuk interface fastEthernet 0/0 :

Konfigurasi pada Router 3 untuk interface fastEthernet 0/1 :

Konfigurasi pada Router 4 untuk interface fastEthernet 0/1 :

Konfigurasi pada Router 4 untuk interface fastEthernet 0/0 :

Konfigurasi pada Router 5 untuk interface fastEthernet 0/0 :

Konfigurasi pada Router 5 untuk interface fastEthernet 1/0 :

Konfigurasi pada Router 5 untuk interface fastEthernet 0/1 :

Konfigurasi pada Router 6 untuk interface fastEthernet 0/1 :

Setelah selesai memasang IP Address pada setiap interface pada router, langkah selanjutnya adalah routing. Bagaimana cara melakukan routing OSPF? Sangat mudah. Konfigurasi yang harus dilakukan juga tidak panjang dan rumit. Cukup mengenalkan routing OSPF sebagai routing protocol yang akan kita gunakan, kemudian kenalkan network yang ada persis di samping router. Misalnya, terlihat pada skema jaringan bahwa R1 memiliki 2 network yang terhubung langsung di sampingnya. Kemudian R2 memiliki 3 network yang terhubung langsung di sampingnya. Dan R6, memiliki 1 network yang terhubung langsung di sampingnya. Berikut ini adalah contoh config OSPF di R1. Ini adalah tampilan ketika kita ingin menampilkan konfigurasi kita. Namun pada saat mengkonfigurasikan langsung, kita tidak perlu mengetikkan perintah log-adjacency-changes. Untuk mengonfigurasi OSPF routing, kita menggunakan perintah router ospf 1 dan perintah network. Perintah router ospf 1 berperan untuk mengaktifkan protokol OSPF pada router, sedang perintah network mengatakan pada protokol routing tentang network mana yang akan di-advertise. Konfigurasi OSPF Routing pada R1
Router1(config)#router ospf 1 Router1(config-router)#network 10.11.6.0 0.0.0.255 area 0 Router1(config-router)#network 201.222.222.0 0.0.0.3 area 0

Konfigurasi OSPF Routing pada R2
Router2(config)#router ospf 1 Router2(config-router)#network 202.222.222.0 0.0.0.3 area 0 Router2(config-router)#network 201.222.222.0 0.0.0.3 area 0 Router2(config-router)#network 203.222.222.0 0.0.0.3 area 0 Konfigurasi OSPF Routing pada R3 Router3(config)#router ospf 1 Router3(config-router)#network 202.222.222.0 0.0.0.3 area 0 Router3(config-router)#network 204.222.222.0 0.0.0.3 area 0 Konfigurasi OSPF Routing pada R4 Router4(config)#router ospf 1 Router4(config-router)#network 203.222.222.0 0.0.0.3 area 0 Router4(config-router)#network 205.222.222.0 0.0.0.3 area 0 Konfigurasi OSPF Routing pada R5 Router5(config)#router ospf 1 Router5(config-router)#network 204.222.222.0 0.0.0.3 area 0 Router5(config-router)#network 205.222.222.0 0.0.0.3 area 0 Router5(config-router)#network 206.222.222.0 0.0.0.3 area 0 Konfigurasi OSPF Routing pada R6 Router6(config)#router ospf 1 Router6(config-router)#network 206.222.222.0 0.0.0.3 area 0

Sekarang Anda sudah melakukan konfigurasi OSPF routing. Cobalah melakukan ping dari R1 ke R6, apakah berhasil? Jangan lupa, setiap kali kita melakukan konfigurasi, ingatlah untuk selalu menuliskan perintah copy run start. Perintah tersebut berfungsi agar konfigurasi yang sudah Anda lakukan dapat disimpan di NVRAM.

SSH (Secure Shell)
Konfigurasi SSH pada R1 :

Remote R1 dari R6 menggunakan SSH :

Setelah Anda melakukan konfigurasi tersebut, lihat pada Wireshark. Apa perbedaannya jika Anda melakukan remote dengan telnet?

PRIVILEGE LEVEL

ACCESS-LIST
Untuk kebutuhan filtering, Cisco IOS menyediakan access-list yang dapat berguna bagi para administrator untuk melakuan filtering, controling, dan manajemen paket-paket yang ‘hilir-mudik’ dalam jaringan. Access-lists berperan untuk mengizinkan atau tidaknya paket-paket mana saja yang boleh masuk kedalam network internal, kemudian mana saja paket-paket yang boleh dilepas ke network eksternal, dan address-address mana saja yang diizinkan melakukan koneksi dengan address-address spesifik, serta service mana saja yang diperbolehkan untuk diakses dan mana yang tidak. Berdasarkan skema jaringan dan kasus yang ada, printscreen dibawah ini merupakan konfigurasi access-list. Terlihat dibawah bahwa terdapat command access-list 100 permit

tcp host 10.11.6.20 host 206.222.222.2 eq 80 yang artinya client dengan ip 10.11.6.20 diperbolehkan untuk dapat mengakses layanan HTTP yang disediakan oleh ip 206.222.222.2 dengan menggunakan protocol tcp. Kemudian terdapat command access-list 100 deny icmp host 10.11.6.20 host 206.222.222.2 yang artinya client dengan ip 10.11.6.20 tidak diizinkan untuk melakukan ping ke 206.222.222.2, sehingga ketika client mencoba ping melalui cmd Windows, ping tidak akan berhasil dan mengeluarkan host-unreachable. Setelah itu dapat dilihat terdapat perintah access-list 100 deny ip any any yang artinya selain perintah yang telah didefinisikan sebelumnya, maka akses yang lain akan diblok semua jika kondisi bersesuaian.

Setelah melakukan konfigurasi access-list di R1, langkah selanjutnya adalah ip http server di R6. Mengapa? Karena sesuai dengan kasus, kita akan memposisikan R6 sebagai server penyedia informasi yang bisa diakses oleh client. Berikut adalah settingan konfigurasinya.

Setelah selesai melakukan konfigurasi, client bisa langsung mengakses alamat ip address server. Sebelumnya, client harus melakukan login, terdapat proses authentikasi. Username dan password yang harus Anda inputkan adalah username dan password yang sudah Anda definisikan sebelumnya di konfigurasi access-list, seperti dibawah ini.

Jika Anda berhasil, tampilan yang akan muncul seperti dibawah ini.

Akses HTTP sudah berhasil. Sekarang coba Anda melakukan ping ke ip R6 dari cmd Windows. Apa yang terjadi? Coba bandingkan dengan melakukan ping ke ip R4, apa yang terjadi? Coba bandingkan lagi dengan mengubah perintah access-list 100 deny ip any any dengan access-list 100 permit ip any any, apa yang terjadi? Bagaimana perubahannya?

AAA (Authentication, Authorization, Accounting)
Printscreen dibawah merupakan konfigurasi AAA di R1.

Cobalah untuk mengetes konfigurasi AAA yang telah Anda setting di R6 dengan menggunakan telnet. Masukkan username dan password yang Anda set menjadi admin.

Sekarang lihat hasil AAA di R1.

Mengimplementasikan VPN Over IPSec di CLI
R1
admin>enable admin#conf t admin(config)#access-list 100 permit ip host 10.11.6.20 host 206.222.222.2 admin(config)#crypto isakmp enable admin(config)#crypto isakmp policy 1 admin(config-isakmp)#encryption aes 256 admin(config-isakmp)#hash sha admin(config-isakmp)#authentication pre-share admin(config-isakmp)#group 5 admin(config-isakmp)#exit admin(config)#crypto isakmp key 6 akses address 206.222.222.2 admin(config)#crypto ipsec transform-set pelatihan admin(config)#crypto ipsec transform-set pelatihan esp-aes esp-sha-hmac admin(config)#crypto map pelatihan 1 ipsec-isakmp admin(config-crypto-map)#set peer 206.222.222.2 admin(config-crypto-map)#match address 100 admin(config-crypto-map)#set transform-set pelatihan admin(config-crypto-map)#exit admin(config)#interface fa0/1 admin(config-if)#crypto map pelatihan

R2
admin>enable admin#conf t admin(config)#access-list 100 permit ip host 206.222.222.2 host 10.11.6.20 admin(config)#crypto isakmp enable admin(config)#crypto isakmp policy 1 admin(config-isakmp)#encryption aes 256 admin(config-isakmp)#hash sha admin(config-isakmp)#authentication pre-share admin(config-isakmp)#group 5 admin(config-isakmp)#exit admin(config)#crypto isakmp key 6 akses address 201.222.222.2 admin(config)#crypto ipsec transform-set pelatihan admin(config)#crypto ipsec transform-set pelatihan esp-aes esp-sha-hmac admin(config)#crypto map pelatihan 1 ipsec-isakmp admin(config-crypto-map)#set peer 201.222.222.2 admin(config-crypto-map)#match address 100 admin(config-crypto-map)#set transform-set pelatihan admin(config-crypto-map)#exit admin(config)#interface fa0/1 admin(config-if)#crypto map pelatihan

Sekarang cobalah untuk mem-ping host 10.11.6.20 dari server atau R6. Terlebih dahulu start capturing pada link antara R6 dan R5. Buka Wireshark Anda, kemudian lihatlah ketika Anda melakukan ping, protocol akan berubah dari ICMP menjadi ISAKMP kemudian ESP.

NTP Server dan Syslog Server

Gambar diatas adalah topologi untuk skema jaringan yang akan Anda setting NTP Server dan Syslog. Langkah-langkah pengerjaan : Buka software Packet Tracer, buatlah topologi seperti diatas. Router yang digunakan adalah Router seri 2811. Pasang modul pada router. Klik dua kali pada router, matikan routernya, drag modul. Pilih modul yang memiliki 2 fastEthernet. Lakukan hal yang sama untuk kedua modul tersebut. Nyalakan kembali modulnya. Tunggu sampai proses booting selesai, kemudian setting IP menggunakan GUI, pastikan IP nya sesuai dengan interface yang tertera. Jangan lupa untuk men-ceklist Port Status ketika Anda melakukan setting IP. Sekarang kita beranjak ke NTP Server. Buka server Anda, pada Config, pastikan NTP dan Syslog dalam keadaan On. Setting NTP pada Router0 dan Router1 Router#conf t Router(config)#ntp server 192.168.2.2 Router(config)#exit Router#show clock Setting Syslog pada Router0 dan Router1 Router(config)#logging 192.168.2.2 Router(config)#logging trap debugging Router(config)#logging on

1. 2. 3. 4. 5.

6. Setelah Anda selesai melakukan konfigurasi tersebut, cara pengecekan NTP adalah dengan mengecek dengan command show clock. Kemudian jam di network tersebut akan muncul. Jam tersebut sama dengan jam ada pada Server Anda. 7. Pengecekan Syslog dilakukan dengan membuka server Anda, Config, kemudian Syslog. Lihat pada tabel. Perubahan apakah yang terjadi? Itu merupakan pesan-pesan yang disampaikan oleh Router yang berguna untuk proses audit dan manajemen jaringan. Message itu adalah pesan log yang dapat berisikan error-error sistem, login-login yang gagal, perubahan yang terjadi pada status interface dan status network, dan pelanggaran yang terjadi pada security router.

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close