Konfigurasi VLAN pada CSS (Cloud Smart Switch)

Pada artikel sebelumnya kami telah membuat review untuk produk switch baru Mikrotik yakni CSS326-24G-2S+RM. Secara garis besar CSS326-24G-2S+RM memiliki fitur dan fungsi yang hampir sama dengan RB250GS series sebab keduanya sama-sama menggunakan SwOS. Namun pada CSS326-24G-2S+RM dibekali versi SwOS yang baru dimana di dalamnya juga ditambahkan fitur-fitur baru. Review tersebut bisa dibaca selengkapnya disini

Seperti yang sudah kita ketahui bahwa SwOS merupakan OS dengan banyak fitur switching di dalamnya, salah satunya SwOS mendukung untuk implementasi VLAN. Walaupun keduanya sama-sama menggunakan SwOS, namun konfigurasi VLAN pada CSS326-24G-2S+RM sedikit berbeda dengan RB250GS. 

Pada RB250GS pengaturan untuk bagaimana VLAN dilewatkan kita harus menentukan Ingress dan Egress policy pada tiap port ethernet yang digunakan. 

Detail langkah konfigurasi VLAN pada RB250GS dapat dilihat pada artikel RB250GS sebagai Multi Fungsi Switch 

Pada CSS326-24G-2S+RM parameter tersebut diubah dengan istilah yang lebih simple dengan fungsi yang sama sehingga memudahkan kita saat melakukan konfigurasi. Pengaturan pengelolaan VLAN diubah dengan nama parameter VLAN Receive pada tiap port ether. Terdapat 3 opsi yang bisa kita gunakan yakni Any, Only-Tagged, dan Only-Untagged. 

• Only Tagged - Memfungsikan port ethernet agar dapat menerima/melewatkan trafik dengan multiple VLAN, biasa diterapkan pada trunk-port. 
• Only Untagged - Diterapkan untuk ethernet ke arah perangkat client/host (access-port) 
• Any - Secara otomatis sytem akan menentukan untuk menjalankan fungsi Tagged atau Untagged.

Sebagai contoh kasus, terdapat topologi seperti berikut:

 

CSS326-24G-2S+RM menerima trafik multiple VLAN dari Router melalui Port1 (trunk-port), kemudian setiap VLAN akan didistribusikan ke perangkat client/host melalui Port2, Port3, dan Port 4 sesuai dengan VLAN-ID masing-masing sesuai topologi.

Langkah pertama kita akan konfigurasi terlebih dahulu pada Tab VLAN. Pada menu ini kita dapat mengaktifkan VLAN-Mode, menentukan policy VLAN-Receive dan Default-VLAN-ID untuk masing-masing port ethernet.

Agar dapat melewatkan trafik VLAN, ubah VLAN-Mode=enabled pada Port1, Port2, Port3 dan Port4.

Ubah VLAN Receive sesuai kebutuhan. Port1 karena berfungsi untuk trunking ke arah Router maka menggunakan VLAN-Receive=Only Tagged, sedangkan untuk Port2, Port3 dan Port4 sebagai Access-Port menggunakan VLAN-Receive=Only-Untagged.

Kemudian Default VLAN-ID kita tentukan sesuai fungsi dari masing-masing port. Untuk Port1 sebagai tagged / trunk port kita biarkan default dengan nilai Default-VLAN-ID=1. Sedangkan untuk Port2, Port3, Port4 sebagai Untagged / Access Port kita isikan dengan VLAN-ID sesuai pada topologi. 

Setelah langkah di atas selesai, lanjutkan untuk setting pada Tab VLANS. Pada menu ini kita tentukan VLAN Members, yakni pengaturan untuk setiap VLAN-ID akan diforward pada port ethernet berapa saja. Setiap kotak pada parameter Members mewakili port ethernet fisik, dimulai paling kiri mewakili ether1 terurut hingga paling kanan port26 (SFP). 

Sesuai topologi, kita akan melewatkan 3 VLAN-ID yakni VLAN-ID=10, 20 dan 30. Karena port ether1 merupakan trunk-port yang melewatkan semua VLAN-ID, maka port ether1 menjadi Members untuk semua VLAN-ID, sedangkan untuk Port2, Port3 dan Port4 sebagai Access-Port untuk satu VLAN-ID maka sesuaikan hanya sebagai member untuk satu VLAN-ID saja. Sebagai contoh seperti yang terlihat pada gambar, untuk VLAN-ID=10 memiliki port Members port ether1 dan port ether2. Untuk kombinasi VLAN-ID dan port yang lain tinggal disesuaikan. 

Simple Queue VS Queue Tree

Semakin maju kehidupan manusia seakan-akan kebutuhan internet semakin menjelma menjadi kebutuhan pokok. Fasilitas online pun semakin menjamur dimasyarakat, banyak orang ingin diperhatikan di dunia maya. Fasilitas untuk memajang foto diri hingga live streaming aktivitas keseharian menjadi trend. Begitu juga untuk akses informasi, dari media tulisan, media foto sampai dengan media yang sedang digemari saat ini yaitu media video. Seolah-olah seberapapun besar bandwidth yang dimiliki seperti tidak bisa membuat kita puas. 

Apabila bandwidth yang Anda miliki tidak diatur bisa jadi antar pengguna saling berebut dan kadang ada yang sampai tidak kebagian jatah bandwidth. Jika itu terjadi di Kantor pada jam operasional, pekerjaan yang sifatnya membutuhkan koneksi internet akan terganggu dan akan memberikan efek yang buruk untuk kinerja karyawan. Atau contoh lain jika itu terjadi di sebuah warnet, wifi area atau RT/RW net Anda, pasti akan timbul banyak komplain dari beberapa pelanggan yang sedang menikmati layanan internet Anda.

Perlu adanya management penggunaan bandwidth di tempat Anda supaya tidak terjadi hal yang tidak di inginkan seperti yang sudah disebutkan diatas. Solusinya bisa menggunakan router Mikrotik yang sudah sangat populer untuk melakukan tugas sebagai pengatur bandwidth. Banyak Fungsi yang bisa digunakan di Mikrotik Seperti HTB, Queue type, Burst, dll.

Management Bandwidth merupakan implementasi dari proses mengantrikan data, sehingga fungsi management bandwidth di Mikrotik disebut dengan istilah Queue. Ada dua metode Queue pada Mikrotik yaitu Simple Queue dan Queue Tree. Kedua metode tersebut memanfaatkan Memory/RAM di router sebagai buffer penampungan antrian paket data. Jika antrian paket data sudah memenuhi penampungan maka paket data yang tidak tertampung akan di Drop. Jika protocolnya TCP, paket yang di drop akan dikirim ulang oleh server.  

Simple Queue 

Merupakan metode bandwidth management termudah yang ada di Mikrotik. Menu dan konfigurasi yang dilakukan untuk menerapkan simple queue cukup sederhana dan mudah dipahami. Walaupun namanya simple queue sebenarnya parameter yang ada pada simple queue sangat banyak, bisa disesuaikan dengan kebutuhan yang ingin diterapkan pada jaringan. 

Parameter dasar dari simple queue adalah Target dan Max-limit. Target dapat berupa IP address, network address, dan bisa juga interface yang akan diatur bandwidthnya. Max-limit Upload / Download digunakan untuk memberikan batas maksimal bandwidth untuk si target. 

 

Simple Queue mampu melimit Upload, download secara terpisah atau Total(Upload+download) sekaligus dalam satu rule menggunakan tab Total. 

Setiap rule pada Simple Queue dapat berdiri sendiri ataupun dapat juga disusun dalam sebuah hierarki dengan mengarahkan Parent ke rule lain. Parameter-parameter lain juga bisa dimanfaatkan untuk membuat rule semakin spesifik seperti Dst, Priority, Packete Mark dan sebagainya. Salah satu contoh bisa di lihat di artikel Manajemen Bandwidth Menggunakan Simple Queue 

Queue Tree 

Merupakan fitur bandwidth management di Mikrotik yang sangat fleksibel dan cukup kompleks. Pendefinisian target yang akan dilimit pada Queue Tree tidak dilakukan langsung saat penambahan rule Queue namun dilakukan dengan melakukan marking paket data menggunakan Firewall Mangle.

 

Inilah yang menjadikan penerapan Queue Tree menjadi lebih kompleks. Langkah ini menjadi tantangan tersendiri, sebab jika salah pembuatan Mangle bisa berakibat Queue Tree tidak berjalan. 

Namun disisi lain penggunaan Mangle Packet-Mark ini juga menguntungkan, sebab akan lebih fleksible dalam menentukan traffic apa yang akan dilimit, bisa berdasar IP Address, Protocol, Port dan sebagainya. Setiap service pada jaringan dapat diberikan kecepatan yang berbeda. Sebagai contoh, bisa dilihat pada artikel penerapan Queue Tree untuk memberikan limit kecepatan yang berbeda antara traffic game online dan browsing. 

Mana lebih baik, Simple Queue atau Queue Tree ? 

Baik Simple Queue maupun Queue Tree memiliki keunggulannya masing-masing. Simple Queue, seperti namanya, cukup mudah dalam melakukan konfigurasi. Jika kebutuhannya untuk melakukan limitasi berdasarkan target IP Address atau interface, maka Simple Queue merupakan pilihan yang tepat. Sehingga kita tidak disibukkan dengan pengaturan mangle. 

Sedangkan Queue Tree, seperti yang sudah dijabarkan sebelumnya harus menggunakan Mangle, harus sangat cermat dalam pembuatannya. Namun jika kebutuhan Queue lebih detail berdasarkan service, protocol, port, dsb maka Queue Tree  adalah jawabannya. Simple Queue juga memiliki parameter mark-packet, namun dari sisi management akan lebih mudah jika mark-packet diterapkan pada Queue Tree. 

Dari segi penggunaan resource, baik Simple maupun Queue Tree sama-sama menggunakan resource RAM. Namun pada Queue Tree karena menggunakan kombinasi dengan Mangle maka resource CPU juga akan digunakan. 

Bagaimana jika keduanya digunakan? 

Secar teknis keduanya dapat berjalan bersamaan, namun perlu ketelitian yang lebih untuk menjaga keduanya agar tidak tumpang tindih.

Untuk mengetahui lebih detail, kita akan melihat alur proses yang terjadi di dalam Router. Di bawah ini merupakan gambaran aliran proses paket data (packet flow) RouterOS versi5. Proses pembacaan Queue dilakukan pada Global-in (prerouting) dan Global-Out (postrouting).

  

Sedangkan pada RouterOS versi 6.x, letak Simple Queue dan Queue Tree terjadi perubahan dan antara Simple Queue dan Queue Tree berdiri sendiri, bisa dilihat pada gambar di bawah. 

 

Berdasarkan Packet-Flow di atas, kita bisa melihat secara proses Queue Tree terbaca terlebih dahulu. Namun proses ini tidak berhenti dan tetap akan dilanjutkan ke proses berikutnya yakni Simple Queue. Sehingga jika terdapat sebuah paket data yang sama, kemudian dibuat Simple Queue dan Queue Tree secara bersamaan, maka hasil akhirnya kecepatan Client akan mengikuti limit yang terkecil.

Sebagai contoh, Simple Queue mendefinisikan Max Limit Upload/Download=1M/1M sedangkan Queue Tree menentukan upload/download=512k/512k . Maka hasil akhirnya client akan mendapat kecepatan sebesar 512k, sesuai limitasi terkecil. 

Dari pembahasan diatas maka akan lebih mudah jika kita implementasikan salah satu Queue saja. Selain mudah dalam konfigurasi, maintenance dan monitoring nya juga akan lebih mudah. 

Review SXT LTE

Produk wireless router Mikrotik identik dengan penggunaan wireless standart 802.11 A/B/G/N dan 802.11 AC. Namun tahukan Anda saat ini MikroTik meluncurkan produk baru dengan menggunakan standart LTE. Produk baru ini bernama SXT LTE. Perangkat embedded wireless yang dapat digunakan sebagai modem LTE di outdoor area. 

 

Produk SXT LTE memiliki slot ukuran Mini SIM, dimana kita bisa memasang SIM card langsung slot yang ada pada board. Langkah implementasi SXT LTE cukup mudah, pertama pasang sim card pada saat routerboard masih dalam kondisi mati. Setelah terpasang dengan baik, baru kemudian nyalakan router, tunggu sampai router berhasil booting dengan sempurna. Setelah itu, kita bisa coba login ke router secara biasa, seperti remote router lainnya. Jika SIM card terdetect dengan baik, otomatis akan muncul interface LTE pada router.

 

Biasanya status awal akan berwarna merah dengan informasi "PLMN search in progress", artinya SXT LTE sedang mencoba interkoneksi dengan jaringan LTE. Cukup ditunggu hingga status menjadi "R".

 

Dari hasil testing kami menggunakan provider 4G di indonesia, tidak perlu mengisi username, password, dan parameter lain. Otomatis SXT LTE dapat terkoneksi ke jaringan LTE tanpa setting yang terlalu rumit. Setelah status interface LTE menjadi "R", centang opsi "Add Default Route" dan "Use Peer DNS" agar router dapat terkoneksi ke Internet. 

 

Dengan mencentang opsi "Add Default Route" dan "Use Peer DNS" maka router akan mendapatkan informasi default gateway dan DNS otomatis dari provider.

 

Setelah tahap ini selesai, coba ping ke internet dari router untuk memastikan bahwa router sudah dapat terkoneksi ke internet. Jika koneksi internet dari jaringan LTE hendak di-share ke jaringan LAN, jangan lupa untuk membuat rule NAT Masquerade dengan out-interface LTE. Setting selanjutnya sama seperti setting ketika mengkoneksikan jaringan LAN ke internet biasanya. 

Catatan : 

Percobaan yang sudah dilakukan menggunakan Telkomsel, Indosat, dan XLdengan hasil terdetect dan terkoneksi dengan baik. Untuk saat ini SXT LTE belum support GSM dan 3G, juga belum support 4G Smartfren. 

[DHCP Security] - Pencegahan DHCP Rogue dengan Bridge Filter

Pada artikel sebelumnya kita sudah membahas mengenai DHCP Security untuk pencegahan terhadap adanya multiple DHCP Server atau DHCP Rogue. Salah satu contoh kita bisa menggunakan parameter "Authoritative" pada konfigurasi DHCP Server. Untuk lebih jelasnya bisa dilihat pada link disini.

Namun, selain cara tersebut kita juga bisa menggunakan alternatif lain yaitu dengan filtering trafik pada perangkat layer 2. Secara garis besar nantinya trafik DHCP Discover dari client hanya bisa dilakukan melalui link dimana DHCP Server "Asli" tersambung. Dan link yang lain akan ditutup jalurnya untuk trafik DHCP Discover.

Proses DHCP

DHCP (Dynamic Host Configuration Protocol) merupakan sebuah protokol yang digunakan untuk memberikan/distribusi IP Address ke perangkat-perangkat client di jaringan secara dinamis. Di MikroTik sendiri dapat difungsikan sebagai DHCP Sever maupun DHCP Client.

Untuk prosesnya sendiri DHCP menggunakan protokol transport UDP (User Datagram Protocl) dengan port 67 (Server) dan 68 (Client). Jika digambarkan dengan diagram proses DHCP sebagai berikut:

Dengan mengetahui proses cara kerja DHCP diatas kita bisa melakukan filtering trafiknya untuk mencegah adanya DHCP server lain yang dapat mengganggu dalam satu jaringan. Pada contoh kasus kali ini yang akan kita filter adalah trafik DHCP Discovery dari client. 

Contoh Kasus + LAB 

Contoh kasus terdapat sebuah topologi jaringan dimana dalam satu network /subnet/segment IP terdapat sebuah DHCP Server yang aktif. Secara tidak sengaja terdapat  sebuah DHCP Server lain aktif, sehingga ada kemungkinan Client malah akan mendapatkan IP Address dari DHCP Server Rogue ini. Akibatnya koneksi client menjadi terganggu, client menjadi tidak dapat melakukan akses ke internet karena mendapatkan informasi IP yang tidak sesuai. Dalam contoh kasus ini, kita akan melakukan bloking traffic DHCP Discover dari Client yang menuju selain ke DHCP Server aslinya. 

Seperti topologi diatas untuk filtering trafik kita bisa memanfaatkan sebuahRouter MikroTik dengan mode bridge. Dari mode bridge ini kita bisa memanfaatkan fitur bridge filter untuk menghandle komunikasi layer 2 yang melewati MikroTik tersebut.

Katakanlah sesuai topologi tersebut, DHCP Server yang asli tersambung di port ether1 MikroTik Bridge dan DHCP Rogue serta perangkat client tersambung di port yang lain. Dengan demikian kita bisa membuat rule untuk mengijinkan (ACCEPT) trafik DHCP Discover yang melewati ether1 dan melakukan blocking (DROP) di port ethernet yang lain.

Pengaturan filtering kita akan fokuskan pada MikroTik Bridge yaitu pada menuBridge --> Filters --> klik Add [+]. Kemudian untuk rule yang kita tambahkan ada 2 yaitu rule pertama untuk ACCEPT dan rule kedua untuk DROP. Rule tersebut adalah seperti berikut:

/interface bridge filter
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-interface=ether1 src-port=68
add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip src-port=68 

Jika dilihat melalui winbox rule-nya seperti berikut:

Dengan rule diatas ketika ada trafik dari client (DHCP Discovery) dengan Src.Port 68 dan Dst-Port 67, protocol UDP yang keluar dari ether1 maka akan di ACCEPT. Selain itu dengan jenis trafik yang sama interface keluar selain ether1 akan di DROP.

*) Catatan:

Rule ACCEPT pastikan ditaruh diurutan atas/nomor yang paling kecil. 

Setting Dasar Hotspot Mikrotik

Router Mikrotik memiliki banyak fitur, salah satu fitur yang cukup populer dan banyak digunakan adalah Hotspot. Kita sering menemukan sinyal internet wifi yang di password. Jadi jika ingin mengakses wifi tersebut harus tahu password-nya terlebih dahulu. Namun berbeda dengan Hotspot, kebanyakan wifi hotspot tidak di password dan semua user bisa connect dan akan diarahkan ke halaman login di Web Browser. Tiap user bisa login denganusername dan password yang berbeda-beda. Metode semacam inilah yang sering kita temukan di Kampus, wifi Cafe, Sekolah, Kantor, maupun area publik lainnya. 

Sebenarnya hotspot tidak hanya bisa diaplikasikan untuk jaringan wireless saja, namun juga bisa untuk jaringan kabel. Kelebihan Hotspot adalah kita dapat mengkonfigurasi jaringan yang hanya bisa digunakan dengan username dan password tertentu. Kita juga dapat melakukan manajemen terhadap user-user tersebut. Misalnya, mengatur durasi total penggunaan hotspot per user, membatasi berapa besar data yang dapat di download tiap user, mengatur konten apa saja yang boleh diakses user, dll. 

Hotspot merupakan fitur gabungan dari berbagai service yang ada di Mikrotik, antara lain : 

• DHCP server, digunakan untuk memberi layanan IP otomatis ke user
• Firewall NAT, untuk mentranslasi IP user ke IP yang bisa dikenali ke internet
• Firewall filter, untuk memblock user yang belum melakukan login
• Proxy, untuk memberikan tampilan halaman login 
• dan sebagainya

Tetapi beruntungnya, service-service tersebut tidak perlu kita buat secara manual. Bagaimana langkahnya, bisa dijabarkan sebagai berikut : 

Buka di menu IP > Hotspot > Hotspot Setup.

Dengan menekan tombol Hotspot Setup, wizard Hotspot akan menuntun kita untuk melakukan setting dengan menampilkan kotak-kotak dialog pada setiap langkah nya.

 

Langkah pertama, kita diminta untuk menentukan interface mana Hotspot akan diaktifkan. Pada kasus kali ini, Hotspot diaktifkan pada wlan1, dimana wlan1 sudah kita set sebagai access point (ap-bridge). Selanjutnya klik Next.

 

Jika di interface wlan1 sudah terdapat IP, maka pada langkah kedua ini, secara otomatis terisi IP Address yang ada di wlan1. Tetapi jika belum terpasang IP, maka kita bisa menentukan IP nya di langkah ini. Kemudian Klik Next. 

 

Langkah ketiga, tentukan range IP Address yang akan diberikan ke user (DHCP Server). Secara default, router otomatis memberikan range IP sesuai dengan prefix/subnet IP yang ada di interface. Tetapi kita bisa merubahnya jika dibutuhkan. Lalu klik Next.

 

Langkah selanjutnya, menentukan SSL Certificate jika kita akan menggunakan HTTPS untuk halaman loginnya. Tetapi jika kita tidak memiliki sertifikat SSL, kita pilihl none, kemudian klik Next

Jika diperlukan SMTP Server khusus untuk server hotspot bisa ditentukan, sehingga setiap request SMTP client diredirect ke SMTP yang kita tentukan. Karena tidak disediakan smtp server, IP 0.0.0.0 kami biarkan default. Kemudian klik Next.

Di langkah ini, kita meentukan alamat DNS Server. Anda bisa isi dengan DNS yang diberikan oleh ISP atau dengan open DNS. Sebagai contoh, kita menggunakan DNS Server Google. Lalu klik Next.

 

Selanjutnya kita diminta memasukkan nama DNS untuk local hotspot server. Jika diisikan, nantinya setiap user yang belum melakukan login dan akan akses ke internet, maka browser akan dibelokkan ke halaman login ini. Disini DNS name sebaiknya menggunakan format FQDN yang benar. Jika tidak diisikan maka di halaman login akan menggunakan url IP address dari wlan1. Pada kasus ini, nama DNS-nya diisi "hotspot.mikrotik.co.id". Lalu klik Next.

 

Langkah terakhir, tentukan username dan pasword untuk login ke jaringan hotspot Anda. Ini adalah username yang akan kita gunakan untuk mencoba jaringan hotspot kita.
Sampai pada langkah ini, jika di klik Next maka akan muncul pesan yang menyatakan bahwa setting Hotspot telah selesai.

 

Selanjutnya kita akan mencoba mengkoneksikan laptop ke wifi hotspot yang sudah kita buat. Kemudian buka browser dan akses web sembarang (pastikan Anda mengakses web yang menggunakan protokol http, karena hotspot mikrotik belum mendukung untuk redirect web yang menggunakan https), maka Anda akan dialihkan ke halaman login hotspot seperti pada gambar berikut ini:

Untuk mencobanya, silahkan coba login dengan username dan password yang telah Anda buat pada langkah sebelumnya. Jika berhasil login maka akan membuka halaman web yang diminta dan membuka popup halaman status Hotspot.