PRAKTIKUM JARINGAN KOMPUTER
I. Dasar Firewall (Filter, NAT, Mangle)
Filter
Sub-menu: /ip firewall penyaring
Firewall mengimplementasikan packet filtering dan dengan demikian
menyediakan fungsi keamanan yang digunakan untuk mengatur arus data, dari dan
melaui router. Seiring dengan Network Address Translation itu berfungsi sebagai
alat untuk mencegah akses tidak sah ke jaringan langsung terpasang dan router
itu sendiri serta sebagai filter untuk lalu lintas keluar.
Jaringan firewall tetap ancaman luar dari data sensitive tersedia
di dalam jaringan. Setiap kali jaringan yang berada bergabung bersama-sama,
selalu ada ancaman bahwa seseorang dari luar jaringan anda akan masuk ke LAN
anda. Seperti pembobolan dapat mengakibatkan data yang pribadi yang dicuri dan
didistribusikan, data berharga yang diubah atau dihancurkan, atau seluruh hard
drive yang terhaspus. Firewall digunakan sebagai sarana untuk mencegah atau
meminimalkan risiko keamanan yang melekat dalam menghubungkan ke jaringan lain.
Firewall dikonfigurasi memainkan peran kunci dalam jaringan yang efisien dan
aman penyebaran insfrastur.
NAT
Network Address Translation adalah standart Internet yang
memungkinkan host pada jaringan area local untuk menggunakan satu set alamat IP
untuk komunikasi internal dan satu set alamat IP untuk komunikasi eksternal.
Sebuah LAN yang menggunakan NAT disebut sebagai natted jaringan.Untuk NAT
berfungsi, harus ada geteway NAT disetiap natted jaringan.NAT Gateway (NAT
route) melakukan penulisan ulang alamat IP dalam perjalanan perjalanan paket
dari / ke LAN.
Ada dua jenis NAT :
Sumber NAT atau srcnat.Jenis NAT dilakukan pada paket yang berasal
dari jaringan natted. Sebuah router NAT akan mengganti sumber alamat pribadi IP
dari sebuah paket dengan alamat IP baru public karena perjalanan melalui
router. Setiap operasi diterapkan ke paket balasan dalam arah lainnya.
Tujuan NAT atau dstnat.Jenis NAT dilakukan pada paket yang
ditujukan ke jaringan natted. Hal ini umumnya digunakan untuk membuat host di
jaringan pribadi untuk dapat diakses dari Internet. Sebuah router NAT melakukan
dstnat menggantikan alamat IP tujuan dari sebuah paket IP karena perjalanan
melalui router terhadap jaringan pribadi.
Host di belakang router NAT enable tidak memiliki konektivitas
end-to-end yang benar. Oleh karena itu beberapa protocol internet mungkin tidak
bekerja dengan scenario NAT. Peayanan yang membutuhkan inisiasi koneksi TCP
dari luar jaringan pribadi atau status protocol seperti UDP, dapat terganggu.
Selain itu, beberapa protocol yang inheren bertentangan dengan NAT, contoh
tebal adalah AH protocol IPsec suite.
Untuk mengatasi keterbatasan ini RouterOS mencakup sejumlah disebut
NAT pembantu, yang memungkinkan NAT traversal untuk berbagi protocol.
Mangle
Mangle adalah semacam ‘penanda’ yang menandai paket untuk proses
selanjutnya dengan tanda khusus. Banyak fasilitas lain di RouterOS menggunakan
tanda ini, misalnya pohon antrian, NAT, routing. Mereka mengidentifikasi paket
berdasarkan tanda dan memprosesnya sesuai. Tanda mangle hanya ada dalam router,
mereka tidak ditransmisikan melalui jaringan.
Selain itu, fasilitas mangle digunakan untuk
memodifikasi beberapa bidang dalam header IP, seperti TOS (DSCP) dan bidang
TTL.
II.
Bridge dan Routing
Bridge
Ethernet seperti jaringan (
Ethernet , Ethernet over IP , IEEE802.11 di ap - bridge atau modus jembatan ,
WDS , VLAN ) dapat dihubungkan bersama-sama menggunakan MAC jembatan . Fitur
jembatan memungkinkan interkoneksi host terhubung untuk memisahkan LAN (
menggunakan EoIP , jaringan didistribusikan secara geografis dapat dijembatani
juga jika jenis interkoneksi jaringan IP ada antara mereka) seolah-olah mereka
melekat pada satu LAN . Sebagai jembatan yang transparan , mereka tidak muncul
dalam daftar traceroute , dan tidak ada utilitas dapat membuat perbedaan antara
tuan rumah bekerja di salah satu LAN dan sejumlah bekerja di LAN lain jika LAN
ini dijembatani ( tergantung pada cara LAN saling berhubungan , latency dan
data rate antara host mungkin beragam) .
Jaringan loop mungkin muncul ( sengaja atau
tidak ) dalam topologi kompleks. Tanpa perlakuan khusus, loop akan mencegah
jaringan dari berfungsi normal , karena mereka akan menyebabkan longsoran -
seperti paket perkalian . Setiap jembatan menjalankan algoritma yang menghitung
berapa loop dapat dicegah . STP dan RSTP memungkinkan jembatan untuk
berkomunikasi satu sama lain , sehingga mereka dapat menegosiasikan topologi
loop bebas . Semua koneksi alternatif lain yang dinyatakan akan membentuk loop
, diletakkan ke standby , sehingga seharusnya gagal koneksi utama, koneksi lain
bisa mengambil tempatnya . Algoritma pesan konfigurasi Pertukaran ini ( BPDU -
Bridge Protocol Data Unit ) secara berkala , sehingga semua jembatan akan
diperbarui dengan informasi terbaru tentang perubahan dalam topologi jaringan .
( R ) STP memilih jembatan akar yang responosible untuk konfigurasi ulang
jaringan , seperti memblokir dan membuka port dari jembatan lain . Jembatan
akar adalah jembatan dengan ID jembatan terendah.
Routing
RIB ( Routing Information Base ) berisi
informasi routing yang lengkap , termasuk rute statis dan kebijakan aturan
routing dikonfigurasi oleh pengguna , informasi routing belajar dari protokol
routing , informasi tentang jaringan yang terhubung . RIB digunakan untuk menyaring
informasi routing , menghitung rute terbaik untuk setiap awalan tujuan,
membangun dan memperbarui Forwarding Information Base dan untuk
mendistribusikan rute antara protokol routing yang berbeda .
Secara default keputusan forwarding hanya
didasarkan pada nilai alamat tujuan . Setiap rute memiliki properti dst
-address , yang menentukan semua tujuan alamat rute ini dapat digunakan untuk .
Jika ada beberapa rute yang berlaku untuk alamat IP tertentu , yang paling
spesifik ( dengan netmask terbesar ) digunakan . Operasi ini ( menemukan rute
yang paling spesifik yang cocok dengan alamat yang diberikan ) disebut routing
table lookup .
Jika tabel routing berisi beberapa rute yang
sama dengan dst-address , hanya satu dari mereka dapat digunakan untuk paket ke
depan . Rute ini diinstal ke FIB dan ditandai sebagai aktif.
Ketika keputusan forwarding menggunakan
informasi tambahan , seperti alamat sumber paket , hal itu disebut kebijakan
routing . Kebijakan routing diimplementasikan sebagai daftar aturan kebijakan
routing yang pilih tabel routing yang berbeda berdasarkan alamat tujuan ,
alamat sumber , sumber antarmuka , dan routing yang tanda ( dapat diubah oleh
aturan firewall mangle ) paket.
Semua rute secara default disimpan dalam tabel
routing utama. Rute dapat diberikan ke tabel routing tertentu dengan menetapkan
properti routing tanda mereka dengan nama tabel routing lain. Routing tabel
yang direferensikan oleh nama mereka , dan dibuat secara otomatis ketika mereka
dirujuk dalam konfigurasi.
Setiap tabel routing hanya dapat memiliki satu
rute aktif untuk setiap nilai dst - alamat IP prefix .
Ada berbagai kelompok dipilih, berdasarkan
asal-usul dan sifat mereka .
default route
Route dengan dst -address 0.0.0.0 / 0 berlaku
untuk setiap alamat tujuan . Rute tersebut disebut rute default . Jika tabel
routing berisi rute default aktif, maka tabel routing lookup dalam tabel ini
tidak akan pernah gagal.
III. Tunnel, VPN dan Proxy
PPTP
PPTP terowongan yang aman
untuk mengangkut lalu lintas IP menggunakan PPP . PPTP merangkum PPP dalam garis
virtual yang berjalan di atas IP . PPTP menggabungkan PPP dan MPPE ( Microsoft
Point to Point Encryption ) untuk membuat link terenkripsi . Tujuan protokol
ini adalah untuk membuat koneksi yang aman dikelola dengan baik antara router
serta antara router dan klien PPTP ( klien tersedia untuk dan / atau termasuk
dalam hampir semua OS termasuk Windows ) .
PPTP termasuk PPP otentikasi dan akuntansi
untuk setiap koneksi PPTP . Otentikasi dan akuntansi penuh masing-masing
sambungan dapat dilakukan melalui klien RADIUS atau lokal .
MPPE 40bit RC4 dan MPPE enkripsi RC4 128bit
yang didukung.
Lalu lintas PPTP menggunakan
port TCP 1723 dan IP protokol GRE ( Generic Routing Encapsulation , protokol IP
ID 47 ) , seperti yang diberikan oleh Internet Assigned Numbers Authority (
IANA ) . PPTP dapat digunakan dengan firewall dan router dengan memungkinkan
lalu lintas yang ditujukan untuk port TCP 1723 dan protocol 47 lalu lintas yang
akan disalurkan melalui firewall atau router.
L2TP
L2TP adalah protokol
terowongan aman untuk mengangkut lalu lintas IP menggunakan PPP. L2TP merangkum
PPP dalam garis virtual yang berjalan di atas IP , Frame Relay dan protokol
lainnya ( yang saat ini tidak didukung oleh MikroTik RouterOS ) . L2TP
menggabungkan PPP dan MPPE ( Microsoft Point to Point Encryption ) untuk
membuat link terenkripsi . Tujuan protokol ini adalah untuk memungkinkan Layer
2 dan PPP endpoint untuk berada di perangkat yang berbeda dihubungkan oleh
jaringan packet-switched . Dengan L2TP , pengguna memiliki Layer 2 koneksi ke
konsentrator akses - LAC ( misalnya , Bank modem , ADSL DSLAM , dll ) , dan
konsentrator kemudian terowongan frame PPP individu untuk Network Access Server
- NAS . Hal ini memungkinkan proses yang sebenarnya dari PPP paket untuk
dipisahkan dari penghentian Layer 2 sirkuit . Dari perspektif pengguna , tidak
ada perbedaan fungsional antara memiliki sirkuit L2 berhenti dalam sebuah NAS
langsung atau menggunakan L2TP .
Hal ini juga mungkin berguna
untuk menggunakan L2TP seperti protokol tunneling lainnya dengan atau tanpa
enkripsi . Standar L2TP mengatakan bahwa cara yang paling aman untuk
mengenkripsi data menggunakan L2TP atas IPsec ( Catatan bahwa itu adalah modus
default untuk Microsoft L2TP klien) karena semua kontrol L2TP dan paket data
untuk terowongan tertentu muncul sebagai homogen UDP / IP paket data ke sistem
IPsec .
L2TP termasuk PPP otentikasi
dan akuntansi untuk setiap koneksi L2TP . Otentikasi dan akuntansi penuh
masing-masing sambungan dapat dilakukan melalui klien RADIUS atau lokal .
L2TP lalu lintas menggunakan protokol UDP untuk
kedua kontrol dan data paket . UDP port 1701 digunakan hanya untuk link
pembentukan , lalu lintas lebih lanjut menggunakan UDP port yang tersedia (
yang mungkin atau mungkin tidak 1701 ) . Ini berarti bahwa L2TP dapat digunakan
dengan firewall dan router ( bahkan dengan NAT ) dengan memungkinkan lalu
lintas UDP yang akan disalurkan melalui firewall atau router .
Web
Proxy
MikroTik RouterOS melakukan
proxy HTTP dan HTTP -proxy ( untuk FTP , HTTP dan HTTPS protokol ) permintaan .
Proxy server melakukan fungsi Internet Cache objek dengan menyimpan objek
Internet yang diminta , yaitu , data yang tersedia melalui HTTP dan FTP
protokol pada sistem diposisikan dekat dengan penerima dalam bentuk mempercepat
browsing pelanggan dengan memberikan mereka meminta salinan file dari proxy
cache pada jaringan lokal kecepatan . MikroTik RouterOS mengimplementasikan
fitur server proxy berikut :
> Regular HTTP Proxy -
pelanggan ( sendiri ) menentukan apa server proxy untuk dia
> Transparan Proxy -
pelanggan tidak tahu tentang proxy yang diaktifkan dan ada tidak memerlukan
konfigurasi tambahan untuk web browser client .
> Daftar akses dengan
metode sumber, tujuan , dan URL yang diminta ( HTTP firewall )
> Daftar Cache akses
untuk menentukan objek ke cache , dan yang tidak.
> Direct Access List -
untuk menentukan sumber daya harus diakses secara langsung , dan yang - melalui
server proxy lain
> Logging fasilitas -
memungkinkan untuk mendapatkan dan menyimpan informasi tentang operasi proksi
> Induk dukungan proxy
- memungkinkan untuk menentukan server proxy lain , ( ' jika mereka tidak
memiliki objek yang diminta meminta orang tua mereka, atau ke server asli.
IV. HOTSPOT, DHCP, QUEUE
Hotspot
HotSpot adalah cara
untuk mengotorisasi pengguna untuk mengakses beberapa sumber daya jaringan,
tetapi tidak menyediakan enkripsi lalu lintas. Untuk login, pengguna dapat
menggunakan hampir semua browser web (HTTP atau protokol HTTPS), sehingga
mereka tidak diharuskan untuk menginstal software tambahan. Gateway akuntansi
uptime dan jumlah lalu lintas setiap klien telah menggunakan, dan juga dapat
mengirimkan informasi ini ke server RADIUS. Sistem HotSpot mungkin membatasi
bitrate setiap pengguna tertentu, jumlah lalu lintas, uptime dan beberapa
parameter lain yang disebutkan lebih lanjut dalam dokumen ini.
Sistem HotSpot
ditargetkan untuk menyediakan otentikasi dalam jaringan lokal (untuk pengguna
jaringan lokal untuk mengakses Internet), tetapi mungkin juga akan digunakan
untuk mengotorisasi akses dari jaringan luar untuk mengakses sumber daya lokal
(seperti gateway otentikasi untuk dunia luar untuk mengakses jaringan Anda).
Hal ini dimungkinkan untuk memungkinkan pengguna untuk mengakses beberapa
halaman web tanpa otentikasi menggunakan fitur Walled Garden.
DHCP
DHCP (Dynamic Host
Configuration Protocol) diperlukan untuk distribusi mudah alamat IP dalam
jaringan. The MikroTik RouterOS implementasi termasuk server dan client bagian
dan kompatibel dengan RFC 2131.
Queue
Antrian digunakan untuk
membatasi dan memprioritaskan lalu lintas :
a. Data rate limit untuk alamat IP tertentu , subnet ,
protokol , port , dan parameter lainnya.
b. Membatasi lalu lintas peer-to -peer.
c. Memprioritaskan beberapa paket aliran atas orang lain
d. Mengkonfigurasi semburan lalu lintas untuk browsing
web lebih cepat.
e. Menerapkan batasan yang berbeda berdasarkan waktu.
f.
Saham
yang tersedia lalu lintas antara pengguna yang sama , atau tergantung pada
beban saluran.
Implementasi antrian di
MikroTik RouterOS didasarkan pada Hierarchical Token Bucket ( HTB ) . HTB
memungkinkan untuk membuat struktur hirarkis antrian dan menentukan hubungan
antara antrian.
Di RouterOS , struktur
hirarkis dapat dipasang pada 4 tempat yang berbeda :
a. global in: mewakili semua interface masukan secara
umum (antrian Ingress) Antrian melekat ke global -in berlaku untuk lalu lintas
yang diterima oleh router sebelum paket filtering.
b.
global
out: mewakili semua output interface pada umumnya (antrian egress)
c.
global
total: mewakili semua input dan output interface bersama-sama (dengan kata lain
itu adalah agregasi global-in dan global-out). Digunakan dalam kasus ketika
pelanggan memiliki batas tunggal untuk kedua, upload dan download.
d.
interface
name : - merupakan satu antarmuka keluar tertentu. Hanya lalu lintas yang
ditunjuk untuk pergi keluar melalui interface ini akan melewati antrian HTB
ini.
Ada dua cara yang
berbeda cara mengkonfigurasi antrian di RouterOS :
/queue menu sederhana - dirancang untuk memudahkan
konfigurasi sederhana, tugas sehari-hari antrian (seperti klien tunggal upload
/ download pembatasan , pembatasan lalu lintas P2P , dll).
/antrian pohon menu - untuk melaksanakan tugas antrian
canggih ( seperti kebijakan prioritas global, kelompok pengguna keterbatasan).
Membutuhkan arus paket ditandai dari / ip firewall mangle fasilitas.
V. Komunikasi antar Router dan Koneksi ISP
List
hardware:
1.2
(dua) RB
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
- Cabel
UTP
- Kabel
UTP ISP
- Kabel
UTP antar RB
- Kabel UTP client (sesuai jumlah client)
Tahapan
:
1.
Prepaire
Install Hardware
2.
Koneksi
RB melalui winbox dari computer
3.
Setting
IP di RB pertama & kedua
4.
Uji
koneksi dari computer client ke RB pertama&kedua
5.
Konfigurasi
routes di RB pertama &kedua
6.
Uji
koneksi antar RB pertama & kedua
7.
Setting
ISP disalah satu RB pertama atau kedua
8.
Uji
koneksi internet di semua client
VI. Komunikasi antar Router, Koneksi ISP &
Radio
Hardware:
Nanostation M5
Wireless: 5Ghz Atheros, 27dBm Adjustable down to 8dBm, AES Encryption
|
Memory Information: 32MB SDRAM, 8MB Flash
|
Mount and mounting strap (Nanobracket is optional, sold separately)
|
Operating Temperature: -30C to +80C
|
Power Method: Passive PoE
|
Power Supply (included): Power Injector 110-240VAC 24VDC .5A North
American-style plug
|
Size: 29.4 cm x 8 cm x 3cm, Weight: .4kg
|
Approvals: FCC Part 15.247, IC RS210, CE
|
RoHS Compliance: YES
|
Tahapan:
1. Prepaire Install Hardware
2. Koneksi RB melalui winbox dari
komputer
3. Setting RB 1 (pemancar)
4. Setting Accesspoint Pemancar
(antena)
5. Setting Antena Penerima
6. Setting RB 2 (Penerima)
UMSIDA
Fakultas Sains Dan Teknologi
Tidak ada komentar:
Posting Komentar