Monday, July 14, 2014

LAB - STP dan Port Security


Konfigurasi kali ini bagaimana membuat metode atau cara agar mencegah port pada switch yang tidak digunakan di non-aktifkan interfacenya (port).


Gambar : Topologi beserta informasi konfigurasi

Tujuan lab :
  1. Memahami perbedaan skill dasar dari status port protocol spanning-tree .
  2. Verifikasi perbedaan status port spaning tree .
 
Konfigurasi  R1
Router>     => tanda ''>" menunjukkan hirarki user mode.
Router>enable     => mengaktifkan atau pindah hirarki ke privilege mode.
Router#conf t       => sebenarnya perintah lengkapnya adalah configure terminal ,namun bisa di singkat.
Enter configuration commands, one per line.  End with CNTL/Z.  
Router(config)#interface fa0/0   => memasuki interface untuk konfigurasi lebih lanjut.
Router(config-if)#ip address 10.0.0.1 255.255.255.252   => command create ip address dan subnetmask
Router(config-if)#no shutdown       => secara default, router itu off / mati. jadi harus diberikan command "no shutdown" sehingga interfacenya dapat on.
Router(config)#hostname R1     => mengganti host name dari nama "router" menjadi "R1"
R1(config-if)#end 
R1#

Konfigurasi SW1
Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname SW1
SW1(config)#vtp mode server        => SW1 di jadikan sebagai VTP server
Device mode already VTP SERVER.
SW1(config)#vtp domain cisco   => membuat nama / username vtp yang defaultnya NULL(kosong) menjadi cisco
Changing VTP domain name from NULL to cisco
SW1(config)#vtp password cisco  => memberi password pada vtp
Setting device VLAN database password to cisco
SW1(config)#interface vlan 10   => membuat sebuah interface VLAN virtual dengan ID 10
SW1(config-if)#ip add 10.0.0.2 255.255.255.252
SW1(config)#int f0/2
SW1(config-if)#switchport mode access   => command  mengaktifkan vtp mode client 
SW1(config-if)#switchport access vlan 10  =>  command vlan 10 dijadikan vtp mode client
 SW1(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
SW1(config-if)#end
SW1#

* VTP server akan melakukan perubahan VLAN jika diperlukan serta mengirimkan dan memforward VTP advertisment
* Setelah membuat interface vlan 10 (logic), dipastikan interface fa0/2 (fisik) di konfigurasi sbg mode access sehingga bisa melakukan tes koneksi ke R1

Konfigurasi Port Security Pada Interface 
SW1
SW1#conf t
SW1(config)#int fa0/2
SW1(config-if)#switchport port-security     => (perintah untuk memberikan keamanan pada portnya)
SW1(config-if)#switchport port-security maximum 1    =>  (hanya satu batas max. nya)
SW1(config-if)#switchport port-security violation shutdown
SW1(config-if)#end
SW1#

*port-security maximum 1 => untuk menentukan maksimum perangkat yang diperbolehkan untuk satu port tertentu, dalam hal ini hanya memperbolehkan 1 perangkat pada port interface fa0/2..
*Setelah melakukan konfigurasi pada SW1 dan jika ingin melihat hasil konfigurasi port security nya ,maka lakukan juga konfigurasi interface Fa0/0 pada routernya (R1)..

R1
R1#conf t
R1(config)#interface f0/0
R1(config-if)#mac-address 0001.9689.de02
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
R1(config-if)#end
R1#
 
*0001.9689.de02 => merupakan alamat MAC address pada interface Fa0/2 (SW1), dapat diketahui dengan mengetikkan perintah "show interface f0/2" pada SW1

Verifikasi
Tes koneksi dari SW1 ke R1
   
*Terlihat dari gambar di atas bahwa perangkat switch telah terkoneksi dengan perangkat router.


Status interface dari VLAN 10
  
*Dari gambar di atas telihat bahwa Interface VLAN 10 yang dibuat telah aktif dengan IP 10.0.0.1, serta terdapat VLAN1. VLAN 1 digunakan sebagai manajemen bandwidth.

Status spanning-tree pada interface Fa0/2
 

*Perhatikan garis kotak di atas,
  1. Role = Desg    => menginformasikan bahwa port yang ditentukan telah memiliki cost terkecil, di tandai dengan forwarding port. 
  2. Status = FWD  => status pada interface dengan port yang akan memforward frame 
  3. COST = 19 => Cost yang lebih kecil akan dijadikan sebagai root bridget,sedangkan root bridge adalah link yang selalu terhubung dengan path terpendek ke root bridge. 
  4. Type = P2P  => tipe yang digunakan adalah tipe point to point.

Hasil Port Security pada Interface


Status Interface fa0/2 yang telah UP dan belum di konfigurasi port-security
 
*Ketikkan perintah "show ip interface brief " maka Dari garis kotak menunjukkan bahwa interface fa0/2 statusnya telah "UP" dan yang lain masih "down".

Hasil konfigurasi port security pada interface

Status Interface fa0/2 yang telah down dan telah di konfigurasi port-security

  

kemudian perhatikan gambar di bawah ini, gambar tersebut merupakan kondisi dimana port keamanan untuk int f0/2 belum di atur atau di konfigurasi.



Setelah port pada interface Fa0/2  dikonfigurasi pada SW1 dan R1 nya maka hasil yang didapat sebagai berikut :     
*terlihat bahwa status portya telah "secure-shutdown" artinya untuk mengamankan port yang tidak digunakan maka dengan status secure-shutdown maka port tersebut telah aman.
*switchport port-security max ? => Menunjukkan bahwa jumlah yang dapat diberikan pada port-securitynya adalah 1 hingga 132 maksimum pengalamatan.

*dibawah ini merupakan fitur dari violation yang dapat dipilih :

 

Penjelasan :

  1. protect : ketika violation terjadi maka switchport akan membiarkan traffic dari MAC address yang diketahui untuk meneruskan pengirimannya sementara trafik yang tidak dikenal akan di drop. ketika menggunakan fitur ini maka tidak ada pesan notifikasi yang di kirim ketika terjadi violation.
  2. restrict : hampir sama dengan protect namun ada indikasi atau notifikasi bahwa telah terjadi violation dengan mengirimkan notifikasinya dengan SNMP
  3. shutdown : portnya akan di shutdown secara otomatis bila ada MAC address yang tidak terdaftar sebelumnya
 


Posted by at No comments:
Subscribe to: Posts (Atom)