Konfigurasi Dasar Cisco Switch
Umumnya, konfigurasi ialah tahapan yang paling disukai seorang pelajar, sayangnya berbagai pemula yang eksklusif lompat ke konfigurasi extrem menyerupai InterVLAN dengan puluhan region, Rapid Spanning Tree, private VLAN, dan seterusnya tanpa memahami konsep dasar terlebih dahulu.
Artikel ini merupakan lanjutan dari Konsep Dasar Switching sebelumnya.
Jika kau belum memahaminya. Saya sarankan untuk membacanya sekarang.
Saya tidak memakai topologi yang kompleks disini, cukup dengan SATU BUAH switch. Kamu sanggup memakai Catalyst Switch layer 2 jenis apapun, enaknya gunakan Catalyst 2960 Layer 2. Jika kau punya perangkat asli, manis sekali.
Jika tidak, silakan pakai packet tracer saja.
Kenapa tidak memakai GNS3? Karena ini hanya konfigurasi dasar, semuanya sanggup dilakukan bahkan dengan packet tracer. Jika kau ingin memakai GNS3, silakan.
Saya memakai Cisco Catalyst 3750 menyerupai gambar berikut:
Perhatikan beberapa bab yang saya tandai pada gambar:
Baiklah, selebihnya kau sanggup merujuk ke docs Cisco biar lebih jelas.
Saya sengaja membahas ini pertama sebagai citra saja, biar nantinya tidak canggung saat mengkonfigurasi perangkat asli. Apalagi kalau kebiasaan memakai packet tracer, sedikit sekali pelajar yang mencoba mencaritau citra fisik yang ada di packet tracer, padahal ini penting.
Ingat, walaupun saya memakai multilayer switch, topik kita kali ini sebatas layer 2 switch. Tidak lebih, sehingga konfigurasi yang kita lakukan juga tidak banyak.
Mantaps!
Jadi, cara konfigurasi di dunia faktual tidak menyerupai di packet tracer atau di GNS3, tinggal klik, kemudian berhadapan dengan CLI.
Ada 2 cara:
Sesuaikan nilai bits, flow control, dst sesuai gambar. Lalu OK. Jangan lupa untuk mengkonfigurasi IP address di PC client menyerupai tertera pada gambar, catat juga mac address masing-masing client.
We will playing with them.
Pertama, saya hanya ingin memastikan kalau konfigurasi switch benar-benar kosong. Jika masih ada konfigurasi yang lama, mari kita kosongkan.
Perhatikan bari interface VLAN, down atau up?
Apapun hasil yang kau liat disana, interface tersebut harus UP. Ingat, di interface switch layer 2 tidak sanggup diberi IP. Oleh alasannya itu kita memberi IP di interface VLAN, defaultnya ialah VLAN 1. Native vlan, untuk kebutuhan management juga defaultnya di VLAN 1.
Cisco menyarankan untuk menggantinya ke VLAN lain demi alasan keamanan. Tidak kita bahas sekarang.
Berikut konfigurasinya:
Mengingat topologi kini hanya dalam satu jaringan, tidak kita lakukan.
Nanti kalau topologinya berkembang, tinggal gunakan perintah berikut di mode configuration:
Bedanya line console cuma 1, alasannya ini line fisik.
Tujuan utamanya biar kita sanggup melaksanakan remote ke switch + memberi sedikit pengamanan. Penjelasan konfigurasi yang lebih detil menyerupai local authentication, ssh, jenis-jenis privillege, akan saya bahas di lain kesempatan.
Sekarang silakan lakukan percobaaan telnet dari PC-A ke switch. Kalau gagal, usahakan berhasil :))
Ini berarti, siapapun sanggup menghubungkan perangkatnya ke switch dan siap terkoneksi ke jaringan kita. Oleh alasannya itu praktik terbaiknya ialah dengan mematikan port-port yang tidak terpakai dan mengamankan port switch. Setelah itu perlu juga dilakukan konfigurasi port security.
Nantinya hanya perangkat tertentu (berdasarkan mac address) yang sanggup terhubung ke switch.
Langsung ke topologinya.
Skenarionya menyerupai berikut:
Hanya dengan mendaftarkan mac address tidak akan membuat port security aktif, ada parameter lain yang harus dikonfigurasi, yaitu:
Cara mengaktifkan port-security cukup dengan perintah #switchport port-security.
Secara default, violation mode ialah shutdown, dan maximum mac address ialah 1. Ini yang akan kita ubah sesuai skenario.
Maksimum mac address yang sanggup didaftarkan juga beda-beda, tergantung switch. Biasanya dari 4096 - 8192 bahkan sanggup lebih, silakan di share di kolom komentar kapasitas switch yg kau gunakan. Secure-up disitu artinya port switch saya sudah terkoneksi ke hosts, kalau belum maka statusnya akan secure-down.
Ingat,..
ini status port security, bukan status interface physical switch -- dan seterusnya hingga security violation count yang berarti jumlah violation yang telah terjadi di port security tersebut.
Silakan kalau kau ingin mencoba violation mode yang lain:
Faktanya, hal menyerupai ini hanya sering dilakukan di jaringan skala kecil, kalau sudah enterprise lebih menentukan menerapkan 802.1x (protokol authentikasi di ethernet).
Selain itu, mendaftarkan mac address perangkat satu persatu juga tak kalah merepotkan. Bayangkan kau harus mendaftarkan ratusan mac address host di jaringan. wohoho.
Satu-satu solusinya ialah dengan memakai sticky mac address. Secara dinamis, switch akan mencatat mac address perangkat yang pertama kali terhubung ke dirinya, hingga jumlah maximum yang sudah kita tentukan. Hasilnya nanti akan terlihat di runnig-configuration.
Baiklah, masih ingat skenario kita tadi? Saya hanya tidak ingin menyertakan konfigurasi panjang disini tanpa klarifikasi apa-apa. Karena konfigurasi tanpa pemahaman konsep sama saja, percuma.
Oke.
Mari kita selesaikan secara adat.
Sesuaikan konfigurasi berikut dengan lab kau masing-masing.
Setelah itu lakukan hal berikut:
Silakan nge-lab secara out of the box, kau sanggup membuat skenario sendiri. Lihat jumlah violation count dan log (jika kau memakai mode protect atau restrict).
Happy config!!
Seperti biasa, saya menyediakan lab sebagai materi latihan.
Sesungguhnya lab ini tidak sekejam yang dibayangkan.
Selebihnya konfigurasi sesuai pada gambar, IP maupun interfacenya silakan diubahsuaikan dengan lab masing-masing. Jika kau kesulitan, silakan mengisi kolom komentar dibawah ini.
Mengenai routing, kau sanggup membaca artikel saya ihwal Konsep Dasar Routing dan Konfigurasinya.
• Todd Lammle - CCNA Routing Switching Complete Study Guide 2nd Version
• Wendell Odom - CCENT/CCNA ICND1 100-105 Official Certification Guide
• Paul Browning - Cisco CCNA in 60 Days
• https://www.cisco.com/: Catalyst Installation Guide
Sumber https://www.fathurhoho.id/
Umumnya, konfigurasi ialah tahapan yang paling disukai seorang pelajar, sayangnya berbagai pemula yang eksklusif lompat ke konfigurasi extrem menyerupai InterVLAN dengan puluhan region, Rapid Spanning Tree, private VLAN, dan seterusnya tanpa memahami konsep dasar terlebih dahulu. Artikel ini merupakan lanjutan dari Konsep Dasar Switching sebelumnya.
Jika kau belum memahaminya. Saya sarankan untuk membacanya sekarang.
Saya tidak memakai topologi yang kompleks disini, cukup dengan SATU BUAH switch. Kamu sanggup memakai Catalyst Switch layer 2 jenis apapun, enaknya gunakan Catalyst 2960 Layer 2. Jika kau punya perangkat asli, manis sekali.
Jika tidak, silakan pakai packet tracer saja.
Kenapa tidak memakai GNS3? Karena ini hanya konfigurasi dasar, semuanya sanggup dilakukan bahkan dengan packet tracer. Jika kau ingin memakai GNS3, silakan.
Saya memakai Cisco Catalyst 3750 menyerupai gambar berikut:
 |
| Cisco Catalyst 3750 |
- Tombol mode, sebut saja tombol sakti. Biasanya dipakai untuk reset password.
- LED Indicator. Ini penting diperhatikan. Contohnya SYST, kalau normal LED akan berwarna hijau. Jika amber / kekuningan / pijar, itu artinya switchnya kacau, siap-siap diganti.
- Switch yang saya gunakan mendukung console over USB. Cisco menyediakan kabel ini atau kita sanggup membelinya. Catalyst 3750 ini juga mendukung stacking, tidak perlu dipikirkan di ruang lingkup CCNA. Kita hanya perlu mengetahui fungsi stacking itu untuk menyatukan beberapa switch menjadi satu fisik.
Baiklah, selebihnya kau sanggup merujuk ke docs Cisco biar lebih jelas.
Saya sengaja membahas ini pertama sebagai citra saja, biar nantinya tidak canggung saat mengkonfigurasi perangkat asli. Apalagi kalau kebiasaan memakai packet tracer, sedikit sekali pelajar yang mencoba mencaritau citra fisik yang ada di packet tracer, padahal ini penting.
Ingat, walaupun saya memakai multilayer switch, topik kita kali ini sebatas layer 2 switch. Tidak lebih, sehingga konfigurasi yang kita lakukan juga tidak banyak.
Setidaknya ada 3 kriteria switch saat gres dinyalakan:
- Switch bersifat out of the box, nyalain, selesai. Semua port akan aktif dan siap digunakan.
- Tidak ada tombol power. Command buat power off / shutdown juga tidak ada.
- Tidak selalu switch yg kita gunakan keadaannya clear (dalam arti konfigurasi nya kosong).
1 Konfigurasi Awal Cisco Catalyst Switch
Ada sebuah rahasia, tidak menyerupai laptop atau handphone, switch tidak punya layar!Mantaps!
Jadi, cara konfigurasi di dunia faktual tidak menyerupai di packet tracer atau di GNS3, tinggal klik, kemudian berhadapan dengan CLI.
Ada 2 cara:
- Cara pertama: Akses eksklusif dengan kabel console. Caranya sudah saya jelaskan disini.
- Cara kedua: Menggunakan telnet atau SSH. Ini yang akan kita konfigurasi.
We will playing with them.
Pertama, saya hanya ingin memastikan kalau konfigurasi switch benar-benar kosong. Jika masih ada konfigurasi yang lama, mari kita kosongkan.
Switch#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]y[OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Switch#reloadLalu gunakan perintah # show ip interface brief
Perhatikan bari interface VLAN, down atau up?
Apapun hasil yang kau liat disana, interface tersebut harus UP. Ingat, di interface switch layer 2 tidak sanggup diberi IP. Oleh alasannya itu kita memberi IP di interface VLAN, defaultnya ialah VLAN 1. Native vlan, untuk kebutuhan management juga defaultnya di VLAN 1.
Cisco menyarankan untuk menggantinya ke VLAN lain demi alasan keamanan. Tidak kita bahas sekarang.
Berikut konfigurasinya:
Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int vlan 1 Switch(config-if)#ip add 172.16.20.1 255.255.255.192 Switch(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSelanjutnya konfigurasi telnet di switch, lakukan perintah menyerupai berikut:
Switch(config)#line vty 0 15 Switch(config-line)#password fathurhoho-telnet Switch(config-line)#login Switch(config-line)#exitJangan lupa berikan password untuk enable:
Switch(config)#enable password fathurhoho-enKalau tidak, saat melaksanakan telnet nanti tidak akan sanggup masuk ke privilleged mode. Kamu akan menerima pesan error menyerupai ini:
Switch>en % No password setNah, kini kita sudah sanggup melaksanakan telnet dari PC lain tanpa harus repot-repot nyolok kabel console ke switch. Tapi, kau belum sanggup melaksanakan telnet ke switch dari jaringan lain (remote network).
Mengingat topologi kini hanya dalam satu jaringan, tidak kita lakukan.
Nanti kalau topologinya berkembang, tinggal gunakan perintah berikut di mode configuration:
Switch(config)#ip default-gateway ? A.B.C.D IP address of default gatewayOh ya, Pertama kali terhubung ke switch dengan kabel console tadi kita tidak diminta memasukkan password apapun. For security purpose, mari lakukan konfigurasi yang sama di line console.
Bedanya line console cuma 1, alasannya ini line fisik.
Switch(config)#line console 0 Switch(config-line)#password fathurhoho-console Switch(config-line)#login Switch(config-line)#exitSampai disitu saja.
Tujuan utamanya biar kita sanggup melaksanakan remote ke switch + memberi sedikit pengamanan. Penjelasan konfigurasi yang lebih detil menyerupai local authentication, ssh, jenis-jenis privillege, akan saya bahas di lain kesempatan.
Sekarang silakan lakukan percobaaan telnet dari PC-A ke switch. Kalau gagal, usahakan berhasil :))
2 Konfigurasi Port Security Switch
Kembali ke kriteria switch yang sudah saya katakan diawal, pertama kali switch dinyalakan, semua port nya akan aktif dan siap pakai.Ini berarti, siapapun sanggup menghubungkan perangkatnya ke switch dan siap terkoneksi ke jaringan kita. Oleh alasannya itu praktik terbaiknya ialah dengan mematikan port-port yang tidak terpakai dan mengamankan port switch. Setelah itu perlu juga dilakukan konfigurasi port security.
Nantinya hanya perangkat tertentu (berdasarkan mac address) yang sanggup terhubung ke switch.
Langsung ke topologinya.
- Hanya PC-C yang sanggup terhubung ke fa0/3, dilarang ada perangkat lain. Daftarkan mac address PC-C ke port fa0/3 switch secara statis.
- Hanya PC-B dan PC-A yang sanggup terhubung ke fa0/2. Daftarkan mac address PC-A dan PC-B ke port fa0/3 secara dinamis.
- Jika terjadi pelanggaran (violation), maka port tersebut akan shutdown otomatis.
a. Konsep Dasar Switchport Port-Security Catayst Switch
Port switch yang sudah dikonfigurasi port-security akan menilik mac address source dari sebuah frame yang ia terima. Jika mac address tersebut sudah terdaftar baik dengan statis maupun dinamis, maka frame akan diforward.Hanya dengan mendaftarkan mac address tidak akan membuat port security aktif, ada parameter lain yang harus dikonfigurasi, yaitu:
- Jumlah maksimum mac address yang allowed.
- Action yang dilakukan saat violation terjadi.
Switch(config)#int range fa0/1 -3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#do show port-security int fa0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0Konfigurasi port-security harus dilakukan dibawah interface configuration mode. Mode switchport port security harus access, atau trunk. Tidak akan berhasil kalau masih auto negotiation. Negotiation mode ini akan kita bahas kalau sudah hingga ke VLAN dasar.
Cara mengaktifkan port-security cukup dengan perintah #switchport port-security.
Secara default, violation mode ialah shutdown, dan maximum mac address ialah 1. Ini yang akan kita ubah sesuai skenario.
Maksimum mac address yang sanggup didaftarkan juga beda-beda, tergantung switch. Biasanya dari 4096 - 8192 bahkan sanggup lebih, silakan di share di kolom komentar kapasitas switch yg kau gunakan. Secure-up disitu artinya port switch saya sudah terkoneksi ke hosts, kalau belum maka statusnya akan secure-down.
Ingat,..
ini status port security, bukan status interface physical switch -- dan seterusnya hingga security violation count yang berarti jumlah violation yang telah terjadi di port security tersebut.
b. Violation Mode pada Switchport Port Security Cisco Catalyst Switch
Disini kita hanya memakai violation shutdown, bahwasanya ada 3.Silakan kalau kau ingin mencoba violation mode yang lain:
- Violation mode shutdown: menyebabkan status interface akan menjadi err-disabled state. After that, we should re-up this interface manually!
- Violation mode restrict dan protect, keduanya hampir sama. Tapi port tidak akan err-disabled state.
| Switch(config-if)#switchport port-security violation | Shutdown | Protect | Restrict |
|---|---|---|---|
| Interface akan disabled dengan status err-disabled | Ya | Tidak | Tidak |
| Membuat traffic yang tiba dari arah port | Ya | Ya | Ya |
| Increment jumlah violation count yang terjadi | Ya | Tidak | Ya |
| Mengirim pesan log dan SNMP | Tidak | Ya | Ya |
c. Konfigurasi
Namanya keamanan biasa selalu berbanding terbalik dengan kenyamanan. Dengan violation mode shutdown, kita harus mengaktifkan lagi port-port tersebut secara manual, merepotkan.Faktanya, hal menyerupai ini hanya sering dilakukan di jaringan skala kecil, kalau sudah enterprise lebih menentukan menerapkan 802.1x (protokol authentikasi di ethernet).
Selain itu, mendaftarkan mac address perangkat satu persatu juga tak kalah merepotkan. Bayangkan kau harus mendaftarkan ratusan mac address host di jaringan. wohoho.
Satu-satu solusinya ialah dengan memakai sticky mac address. Secara dinamis, switch akan mencatat mac address perangkat yang pertama kali terhubung ke dirinya, hingga jumlah maximum yang sudah kita tentukan. Hasilnya nanti akan terlihat di runnig-configuration.
Baiklah, masih ingat skenario kita tadi? Saya hanya tidak ingin menyertakan konfigurasi panjang disini tanpa klarifikasi apa-apa. Karena konfigurasi tanpa pemahaman konsep sama saja, percuma.
Oke.
Mari kita selesaikan secara adat.
Sesuaikan konfigurasi berikut dengan lab kau masing-masing.
Switch(config)#int range fa0/1 -3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security violation shutdown Switch(config-if-range)#int fa0/3 Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address 0004.9A58.21E5 Switch(config-if)#int fa0/2 Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security mac-address sticky
Setelah itu lakukan hal berikut:
- Putus sambungan PC-A dari switch, kemudian hubungkan PC-C ke fa0/3.
- Putus sambungan PC-A dari switch, kemudian hubungkan PC-C ke fa0/2.
- Verifikasi status port security di switch. Bandingkan dengan status port security di fa0/1, biar kau sanggup membedakan status port yang normal dengan port yang has violation occured.
Silakan nge-lab secara out of the box, kau sanggup membuat skenario sendiri. Lihat jumlah violation count dan log (jika kau memakai mode protect atau restrict).
Happy config!!
# Challenge-Lab!! Configuring Switchport Port-Security and Basic IP Routing
 |
| #Challenge-Lab# Basic Configuration Switching and Routing |
Sesungguhnya lab ini tidak sekejam yang dibayangkan.
Konfigurasi Routing
- R1 - memakai next-hop IP address
- R2 - memakai exit interface
- Gateway harus benar, pastikan semua perangkat sanggup saling komunikasi (PING).
Konfigurasi Switching
- SW1 - Daftarkan mac address PC-A ke port e1 switch biar nanti switch eksklusif menforward frame tanpa harus learning address lagi, begitu juga port SW2 yang mengarah ke R2.
- Setiap switch harus sanggup di telnet, lakukan konfigurasi password telnet maupun console. Jangan lupa konfigurasi password untuk privilleged mode.
- Lakukan konfigurasi port security dengan maximum number mac address 5 di port SW2 ke SW3, kalau ada mac address baru, pastikan frame ke discard, khusus SW3 port tidak shutdown dan event ini harus terekam di log switch.
Selebihnya konfigurasi sesuai pada gambar, IP maupun interfacenya silakan diubahsuaikan dengan lab masing-masing. Jika kau kesulitan, silakan mengisi kolom komentar dibawah ini.
Mengenai routing, kau sanggup membaca artikel saya ihwal Konsep Dasar Routing dan Konfigurasinya.
Referensi
• Wendell Odom - CCENT/CCNA ICND1 100-105 Official Certification Guide
• Paul Browning - Cisco CCNA in 60 Days
• https://www.cisco.com/: Catalyst Installation Guide
Sumber https://www.fathurhoho.id/
