MTCNA MikroTik Certified Network Associate Training
Rofiq Fauzi, MTCNA, MTCRE, MTCWE, MTCTCE, MTCINE, Trainer ID-Networkers | www.Training-MikroTik.com
www.training-mikrotik.com
Page 1
Rofiq Fauzi • Using MikroTik (v.2.97) since 2005, as Network Engineer at WISP company • 2007, Network & Wireless Engineer at INDOSAT Central Java Area • 2008, Network Network & Telco elco Procur Procureme ement nt at INDOSA INDOSAT T Head Quarter • 2012 2012--Now Now, Mik MikroT roTik Cons Consul ulttant ant & Cer Certifi tifie ed Traine ainer r (MTCNA, MTCRE, MTCTCE, MTCWE, MTCINE, Certified Trainer) at I at ID-Networkers D-Networkers..
CONSULTANT
http://www.mikrotik.com/consultants/asia/indonesia
CERTIFIED TRAINER
http://www.mikrotik.com/training/partners/asia/indonesia
www.training-mikrotik.com
Page 2
ID-NETWORKERS EXPERT LEVEL TRAINERS & CONSULTANS In the Most Prestigious Networking Certification
OVERVIEW We are young entrepreneurs, we are only one training partner & consultant who has expert level traine iners in the the mos most prest estigious network networking ing certif certifica ication tion,, CCIE CCIE Guru Guru , JNCIE JNCIE Guru Guru and MTCIN MTCINE E guru, guru, which which very very limite limited d number in Indonesia even Asia. Proven that hundred of our students pass the certification exam every year. We are the biggest certification factory in Indonesia.
WEBSITE www.id-networkers.com www.training-mikrotik.com
Page 3
Our Clients
www.training-mikrotik.com
Page 4
Perkenalkan Diri Anda • Silahkan perkenalkan perkenalkan diri anda: – Nama? – Devisi/Group/Bagian? Devisi/Group/Ba gian? – Pengalaman menggunakan MikroTik? Mi kroTik? – Pengalaman tentang jaringan? jarin gan? – Apa yang diharapkan dari training t raining ini?
www.training-mikrotik.com
Page 5
Tujuan Training MTCNA 1. Memp empelaj elajar arii karak araktteris eristi tik, k, fit fitur-fi r-fitu turr dan dan kemampuan MikroTik RouterOS. 2. Memp empelaj elajar arii cara insta stalasi lasi,, konfi onfig gura urasi, si, fungsi, maintenance dan troubleshoot dasar MikroTik RouterOS. 3. Mendapatkan kualifikasi sebagai MikroTik Certified Network Associate.
www.training-mikrotik.com
Page 6
Sertifikasi MikroTik
• Sertifikasi berjenjang, berjenjang, kalau belum lulus MTCNA MTCNA belum bisa ikut ujianlevel ujianlevel engineer • Masa berlaku berlaku sertifikat sertifikat selama 3 tahun, tahun, setelah setelah itu bisa diperpanjang diperpanjang dengan cara ujian lagi www.training-mikrotik.com
Page 7
Connect Internet • Wifi = IDN-TRAINING • Password = 12345lupa
www.training-mikrotik.com
Page 8
Registrasi Account di Mikrotik.com •
Untuk training training dan ujian MTCNA MTCNA peserta peserta harus teregistrasi teregistrasi di official official web mikrotik
•
Regi Regist ste er accou ccount nt di www.mikrotik.com, www.mikrotik.com , pada pada menu menu acco accoun untt isi isi semua form yang disediakan
•
Pastika Pastikan n nama anda ditulis ditulis lengka lengkap p dalam profil profil,, karena karena otomatis otomatis akan tercetak dalam sertifikat.
•
Infor Informas masika ikan n email email anda anda ke inst instru ruktu kturr (rofiq (rofiq.f .fau auzi zi@g @gmai mail. l.co com), m), peserta harus mendapat invitation dari instruktur. www.training-mikrotik.com
Page 9
Tentang Ujian MTCNA • Online test terdiri terdiri atas 25 soal soal dalam dalam waktu waktu 1 jam. • Soal setiap setiap test test random, random, dengan dengan beberapa beberapa soal soal mungkin mungkin ada yang sama dengan soal sebelumnya. • Pass Passin ing g grade grade 60%, nilai 60%, nilai 50%-59% bisa test ulang. • Hati-h Hati-hati ati membaca membaca soal, soal, disamping disamping bahasa bahasa inggris inggris dari dari soal yang kadang-kad kadang-kadang ang kurang mudah dipahami, juga banyak jebakan batman . • Silahkan melakukan latihan test training di web mikr mikrot otik ik,, dan dan liha lihatt scor scoren eny ya.
www.training-mikrotik.com
Page 10
Latihan Test • Setelah mendapatkan invitation dari trainer, trainer, peserta dapat dapat melakukan latihan ujian MTCNA di website mikrotik.com • Latihan ujian MTCNA ada di menu Account , My training session, Try example test
www.training-mikrotik.com
Page 11
MTCNA – Outline • Module 1 – Introduction Introduction of MikroTi MikroTik k RouterO RouterOS S – TCP/IP Review • Module Module 2 - Firewa Firewallll • Module Module 3 - Wireless Wireless • Modul Module e 4 - QoS QoS • Module Module 5 - Bridgi Bridging ng • Module 6 - Network Network Management Management • Module Module 7 – Routing Routing • Modul Module e 8 – Tunnel Tunnels s
www.training-mikrotik.com
Page 12
BAB I Introduction MikroTik RouterOS & RouterBOARD
www.training-mikrotik.com
Page 13
Sejarah MikroTik • Lokasi : Riga, Latvia (Eropa Utara) • Produsen Produsen software software dan hardware hardware router. router. • Menjadikan teknologi internet lebih murah, cepat, handal dan terjangkau luas. • Motto Mikrotik : Routing Routing the the World. World. • Founder (1996): John Trully & Arnis Reikstins.
www.training-mikrotik.com
Page 14
Jenis MikroTik • MikroTik RouterOSTM Operating sistem yang bisa diinstall di PC dan
menjadikannya sebuah Router yang handal. Berbasis Linux Diinstall sebagai Sistem Operasi Biasanya diinstall pada power PC
• MikroTik RouterBOARD Built in hardware (board) yang menggunakan
RouterOS sebagai Operating Sistemnya. Tersedia mulai low-end s/d high-end Router. www.training-mikrotik.com
Page 15
Fitur-Fitur Mikrotik • Rout Router er OS apabi apabila la diins diinstal talll pada pada PC/V PC/Vir irtua tuall machin machine, e, akan support driver driver perangkat perangkat Ethern rne et, Wir Wireles eless s Card, ard, V35, 35, ISDN, DN, USB USB Mass ass Ethe Storage, USB 3G Modem, E1/T1. • Memiliki Memiliki fitur fitur yang melebihi sebuah “router” “router” User Management (DHCP, Hotspot, Radius, dll). Routing (RIP, OSPF, BGP, RIPng, OSPF V3). Firewall & NAT (fully-customized, linux based). QoS/Bandwidth limiter (fully customized, linux based). Tunnel
(EoIP, OpenVPN).
PPTP,
L2TP,
PPPoE,
SSTP,
Real-time Tools (Torch, watchdog, mac-ping, MRTG,
sniffer).
www.training-mikrotik.com
Page 16
RouterBOARD - Type • RouterBoard RouterBoard memiliki memiliki sistem sistem kode tertent tertentu u
RB751
Seri / Kelas Router Jumlah Slot MiniPCI / Wireless Jumlah Port Ethernet
• Kode Kode Lain ada di belakang belakang tipe tipe U - dilengkapi port USB
biasanya diatas lisensi level 4 A - Advanced, biasanya H - Hight Performance, processor processor lebih tinggi R - dilengkapi wireless card embedded. G - dilengkapi port ethernet Gigabit 2nD – dual channel www.training-mikrotik.com
Page 17
Arsitektur RouterBoard •
Arsitektur Arsitektur RouterBoard RouterBoard dibedakan dibedakan berdasar berdasarkan kan jenis dan kinerja processor,
•
software/OS software/OS untuk setiap setiap arsitektur arsitektur berbeda berbeda
•
Secara lengkap dapat dilihat dilihat di di www. www.mikrotik.co mikrotik.com/down m/download load
www.training-mikrotik.com
Page 18
MikroTik VS Cisco source: http://wiki.MikroTik.com/wiki/Manual:RouterOS_FAQ How does this software compare to using a Cisco router? You can do almost everything everything that a proprietary router does at a fraction of the cost of of such a router and have flexibility in upgrading, ease of management and maintenance. maintenance . Anda dapat melakukan hampir semua yang yang dilakukan dilakukan propri proprieta etary ry router tersebut (Cisco) dengan hanya sebagian kecil dari biaya router tersebut dan memiliki flek fleksib sibil ilit itas as dala dalam m meng mengup upgra grade de,, kemu kemuda dahan han mana manaje jeme men n dan dan peme pemeli liha hara raan an..
www.training-mikrotik.com
Page 19
Prerequisites MTCNA Training TCP / IP Basic
www.training-mikrotik.com
Page 20
Internet Protocol Inte Intern rnet et Prot Protoc ocol ol adalah adalah sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan, komunikasi, dan perpindahan data antara dua atau lebih titik komputer. Tugas Internet Protocol •
Melakuka Melakukan n deteksi deteksi koneksi koneksi fisik. fisik.
•
Melakukan Melakukan metode “jabat-tanga “jabat-tangan” n” (handshaking) (handshaking)..
•
Negosiasi Negosiasi berbagai berbagai macam karakteristik karakteristik hubungan. hubungan.
•
Mengawali Mengawali dan mengakhiri mengakhiri suatu pesan/sessio pesan/session. n.
•
Bagaimana Bagaimana format pesan yang yang digunakan. digunakan.
•
Apa yang yang dilakukan dilakukan apabila apabila terjadi terjadi error pengiriman?. pengiriman?.
•
Mengkalkulasi Mengkalkulasi dan menentukan menentukan jalur pengiriman. pengiriman.
•
Mengakh Mengakhiri iri suatu suatu koneksi. koneksi.
www.training-mikrotik.com
Page 21
OSI Layer Model • Tid Tidak ada adanya nya suat uatu protokol yang ang sama, membuat banyak perangkat tidak bisa saling berkomunikasi. • Open System Interconnection atau Interconnection atau OSI layer 7 adalah 7 adalah model odel arsi arsitek tektur tural al jarin jaringa gan n yang yang dikemb dikembang angka kan n oleh oleh Interna Internation tional al Organ Organiz ization ation for Standa Standardi rdizat zation ion (ISO) (ISO) di Eropa tahun1977. • Sebel Sebelum um ada OSI, OSI, sistem sistem jaring jaringan an san sangat gat terg tergan antu tung ng pemaso sok k pera perang ngka katt jari jaring ngan an yang ang kepada vendor r pema berbeda-beda. • Model Model Osi layer layer 7 merupak merupakan an koneksi koneksi logis logis yang yang harus harus terjadi agar terjadi komunikasi data dalam jaringan.
www.training-mikrotik.com
Page 22
OSI 7 Leyer - Koneksi Antar Host
www.training-mikrotik.com
Page 23
OSI Layer • Apabila 7 OSI Layer susah untuk dihafal, maka Layer 1, Layer 2 dan Layer 3 adalah suatu keharus arusa an, karena dapat pat men menunju njukkan bedanya antara Hub/bridge, Switch dan Router • Ketig etiga anya nya ber berada ada di lay layer yang ang ber berbeda beda sehi sehingg ngga a memi memili liki ki cara cara kerj kerja a yang yang berbe berbeda da tentunya Layer
Name
Device
Data Unit
Addressing
Layer 3
Network
Router
Paket
IP Address
Layer 2
Data Link
Switch
Frame
MAC Address
Layer 1
Physical
Hub
Bit
0111001110
Device
Router Switch Hub
Connectivity Antar network yang berbeda Antar network yang sama Antar network yang sama
www.training-mikrotik.com
Data T ransfer
Memory
Destination IP Address
Routing Table
Berdasar MAC Address Tujuan Broadcast ke semua port
MAC Address Table none
Page 24
Protocol • Protocol Protocol menentukan menentukan prosedur prosedur pengiriman pengiriman data. • Protocol Protocol yang sering digunakan: digunakan: Transmission Control Protocol (TCP) User Datagram Protocol (UDP) DNS
Message Protocol (ICMP) (ICMP) ping Internet Control Message traceroute Hypertext Transfer Protocol (HTTP) web Post Office Protocol (POP3)email File Transfer Protocol (FTP)
Access Protocol (IMAP) (IMAP)email Internet Message Access dll www.training-mikrotik.com
Page 25
Port • Port Port adal adalah ah sebu sebuah ah apli aplikas kasii-sp spes esif ifik ik atau atau pros proses es soft softwa ware re menjala jalan nkan kan serv ervise ise spes spesifi ifik k pada pada Komp Kompute uter/h r/hos ostt yang yang men untuk komunikasi jaringan. • Juml Jumlah ah tota totall port port Host ost adal adalah ah 6553 65535, 5, den dengan gan klas klasiifika fikasi si penomoran sebagai berikut: 1. Dari Dari 0 s/d 1023 1023 (well-known ports), 2. Dari Dari 1024 1024 s/d 49151 49151 (registered port ), ), 3. Dari Dari 4915 49152 2 s/d s/d 65535 65535 (unregistered / dynamic, private or ephemeral ports)
www.training-mikrotik.com
Page 26
Port yang Biasa Digunakan Port No
Protocol
Service
Remark
21
TCP
FTP
File Transfer Protocol
23
TCP
Telnet
Remote access
25
TCP
SMTP
Simple Mail Transfer Protocol
53
UDP
DNS
Domain Name Server
80
TCP
HTTP
Hypertext Transfer Protocol
110
TCP
POP3
Post Office Protocol v3
123
UDP
NTP
Network Time Protocol
137
TCP
NetBIOS-ns
NetBIOS – Name Service
161
UDP
SNMP
Simple Network Monitoring Protocol
3128
TCP
HTTP - Proxy
Web-Cache (default by Squid)
8080
TCP
HTTP - Proxy
Web-Cache (c ( customized)
www.training-mikrotik.com
Page 27
Port Gudang - My Server
22
www.training-mikrotik.com
Page 28
MAC Address • MAC Address Address (Media (Media Access Access Contro Controll Address) Address) adalah adalah alamat alamat jaringan pada lapisan data-link (layer 2) dalam OSI 7 Layer Model. • Dalam Dalam sebuah sebuah kompute komputer, r, MAC MAC address address ditetapkan ditetapkan ke sebuah sebuah kartu jaringan (network interface card/NIC). • MAC MAC addr addres ess s meru merupa paka kan n alam alamat at yang yang unik unik yang yang memi memililiki ki panjang 48-bit. • MAC MAC terdiri terdiri atas 12 digit digit bilanga bilangan n heksade heksadesim simal al (0 s/d F), 6 digit pertama merepresentasikan vendor pembuat kartu jaringan. • Contoh Contoh MAC MAC Addres Address s : 02-00-4C-4F-05-50.
www.training-mikrotik.com
Page 29
IP Address • IP (Internet (Internet Protoc Protocol) ol) terdapat terdapat dalam dalam Netwo Network rk Layer Layer (layer (layer 3) OSI. • IP address address diguna digunakan kan untuk untuk pengal pengalama amatan tan suatu suatu PC / host host secara logic • Terdapa Terdapatt 2 jenis jenis IP Addres Address s IPv4 Pengalamatan Jumlah
32 bit
max host 4,294,967,296
IPv6 Pengalamatan
128 bit
Jumlah
max host 340,282,366,920,938,463,374,607,431,768,211,456 www.training-mikrotik.com
Page 30
IPv4 • IPv4 dieksp diekspresi resikan kan dalam dalam notasi notasi desimal desimal bertitik, bertitik, yang yang dibagi dibagi ke dalam 4 buah oktet berukuran 8-bit. • Karena Karena setiap setiap oktet berukura berukuran n 8-bit, 8-bit, maka nilainy nilainya a berkis berkisar ar antara 0 hingga 255 (20 s/d 27 ) • Aturan pengalamata pengalamatan n IPv4, IPv4, misal misal IP 192.148.41.1 192.148.41.1
11000000.10010100.00101111.00000001 1x27
+ 0x26 + 0x25 + 1x24 + 0x23 + 1x22 + 0x21 + 0x20
1x128 + 0x64 + 0x32 + 1x16 + 0x8 + 1 x4 + 0x2 + 0x1 128 +
0
+ 0
+ 16
+ 0
+
4 +
0
+
0
=
148
192 . 148 . 41 . 1 www.training-mikrotik.com
Page 31
Subneting • Dari 4 milyar IP address, tidak mungkin diberikan ke satu internet provider saja. • Alamat IP didesain untuk digunakan kan seca secarra berkelompok (sub-jaringan/subnet). • Subn Subnet etin ing g adal adalah ah cara cara untu untuk k memi memisa sahka hkan n dan dan mendistribusikan beberapa IP address. • Host/p Host/pera erangk ngkat at yang terlet terletak ak pada subnet subnet yang yang sama dapat berkomunikasi satu sama lain secara langsung (tanpa melibatkan router/routing). www.training-mikrotik.com
Page 32
Subneting •
Apabi Apabila la jarin jaringan gan dianal dianalogi ogikan kan sebua sebuah h jalan jalan,, apabil apabila a disep disepanj anjan ang g jalan cuma ada 8 rumah, ketua RT mengumumkan sesuatu dari rumah ke rumah lewat jalan itu.
•
Apabila sepanjang sepanjang jalan jalan sudah sudah penuh rumah butuh ada gang-gang gang-gang . Butuh ada ketua RT tiap gang untuk meminimalis transportasi saat pengumuman dan mengatur urusan RTnya sendiri
www.training-mikrotik.com
Page 33
Notasi Subnet • Subn Subne et ditu dituli lis s dala dalam m for format mat 32 bit bit (seper perti IP) IP), ata atau dalam bentuk desimal (prefix Length)
• Seba Sebaga gaii cont contoh oh,, netw networ ork k 192. 192.16 168. 8.1. 1.0 0 yang ang memi memili liki ki subnet mask 255.255.255.0 dapat direpresentasikan di dalam notasi prefix length sebagai 192.168.1.0/24.
www.training-mikrotik.com
Page 34
Network ID dan Broadcast • Dalam kelompok IP address address atau satu satu subnet subnet ada 2 IP yang sifatnya khusus – Network ID : identitas suatu kelompok IP / Subnet. – Broadcast : alamat IP yang digunakan untuk memanggil semua IP dalam satu kelompok. Host 192.168.0 192.168.0.1 .1 – 192.168.0.254 192.168.0.254
To Network 192.168.0.0/24
To All host (Broadcast) 192.168.0.255
www.training-mikrotik.com
Page 35
Perhitungan IP Subnet Tabel Subnetting Prefix
Subnet Mask
Jumlah IP
Jumlah Host (Jml IP − 2)
255.255.255.(256-jml 255.255.255.(256-jml IP)
/24
255.255.255.0
256
254
/25
255.255.255.128
128
126
/26
255.255.255.192
64
62
/27
255.255.255.224
32
30
/28
255.255.255.240
16
14
/29
255.255.255.248
8
6
/30
255.255.255.252
4
2
/31
255.255.255.254
2
-
/32
255.255.255.255
1
-
www.training-mikrotik.com
Page 36
Subneting 256 IP Address
/24
128 IP / Subnet
/25 /25
192.168.0.0/25 (192.168.0.0-192.168.0.127)
192.168.0.0/24 (192.168.0.0-192.168.0.255) 192.168.0.128/25 (192.168.0.128-192.168.0.255)
www.training-mikrotik.com
64 IP / Subnet
/26 /26 /26 /26 192.168.0.0/26 (192.168.0.0-192.168.0.63) 192.168.0.64/26 (192.168.0.64-192.168.0.127) 192.168.0.128/26 (192.168.0.128-192.168.0.191) 192.168.0.192/26 (192.168.0.192-192.168.0.255)
Page 37
Perhitungan Subnet Rumus menghitung Jumlah IP address dalam subnetmask: dimana n=prefix n=prefix subnet subnet 2(32-n) , dimana
Contoh, IP kelas C: 20.20.20.20/30, Tentukan Range IP, IP Host , Network ID, Broadcast da n Subnet Masknya: •
Jumlah Jumlah IP dalam dalam subnet: subnet: Gunakan Rumus 2(32-30) = 22 = 4
•
Range IP Range IP dicari berdasarkan kelipatan Jumlah IPnya (kelipatan (ke lipatan 4): 20.20.20.0 s/d 20.20.20.3 20.20.20.4 s/d 20.20.20.7, (8-11),(12-15)…terus sampai (252-255) IP addr addres ess s pada pada soal soal (20. (20.20 20.2 .20. 0.20 20)) ada ada pada pada rang range: e: 20.20.2 20.20.20.20 0.20 s/d 20.20.20 20.20.20.23 .23 www.training-mikrotik.com
Page 38
Perhitungan Subnet IP kelas C: 20.20.20.20/30, Tentukan Range IP, IP Host , Network ID, Broadcast dan Subnet Masknya : •
Netwo Network rk ID dan Boradc Boradcast ast:: Dari range IP yang telah ditemukan ditem ukan (20.20.20.20 s/d 20.20.20.23) IP terkecil digunakan untuk network ID, terbesar untuk Broadcast Network ID 20.20.20.20, Broadcast 20.20.20.23
•
IP Host Range IP dikurangi Network ID dan broadcast IP host 20.20.20.21 s/d 20.20.20.22 Jumlah IP host jumlah IP dalam subnet dikurangi dua
•
Subn Subnet et mask mask 255.255.255.(256 – jumlah IP) Subnet mask 255.255.255.252 www.training-mikrotik.com
Page 39
Kerjakan Soal Berikut Tentukan jumlah IP, network id & broadcast, IP Host, dan subnet mask dari IP address berikut: 1. 11.11. 11.11.11. 11.11/ 11/26 26 2. 22.22. 22.22.22. 22.22/ 22/28 28 3. 33.33. 33.33.33. 33.33/ 33/25 25 4. 44.44. 44.44.44. 44.44/ 44/29 29 5. 55.55. 55.55.55. 55.55/ 55/27 27 6. 66.66. 66.66.66. 66.66/ 66/28 28 7. 77.77. 77.77.77. 77.77/ 77/30 30
9. 99.99.99.99/25 10. 100.100.100.100/27 11.111.111.111.111/30 12. 122.122.122.122/25 13. 133.133.133.133/28 14.144.144.144.144/24 15.155.155.155.155/26 16.166.166.166.166/29
8. 88.88. 88.88.88. 88.88/ 88/31 31 www.training-mikrotik.com
Page 40
IP Address Kelas B IP address 12.12.12.12/ 12.12.12.12/22 22,, Tentukan Range IP, IP Host , Network ID, Broadcast dan Subnet Masknya : •
Translate Translate prefix netmask menjadi kelas C dengan dengan ditambah ditambah 8, menjadi (22 (22+8)=30 +8)=30
•
Jumlah IP prefix /30 dalam kelas C adalah adalah 2(32-30) = 4
•
Jumlah Jumlah IP dalam dalam kelas kelas B = 4 x 256 = 1024
Range IP Address •
Jumlah IP kelas C nya, nya, yaitu yaitu 4, Range IP diimple diimplementasikan mentasikan pada oktet ke 3 12.12.0 12.12.0.0 – 12.12.3 12.12.3.255, 12.12.4.0 12.12.4.0 – 12.12. – 12.12.7.255, 7.255, 8 – 11, 12 -15, -15, dan seterusnya
•
Rang Range e IP 12.12.12 12.12.12.0 .0 s/d 12.12.15 12.12.15.255 .255
•
Netw Networ ork k ID 12.12.12 12.12.12.0, .0, broadcast 12.12.15 12.12.15.255 .255
•
Jumlah Jumlah host host yg dapa dapatt diguna digunakan kan 12.12.12 12.12.12.1 .1 – 12.12.15 12.12.15.254 .254 Netmask = 255.255.(256-4).0 = 255.255.252 255.255.252.0 .0 www.training-mikrotik.com
Page 41
IP Address class B 256 IP Address
/24
512 IP / Subnet
/24
1024 IP / Subnet
/24
/24 /23 /24
www.training-mikrotik.com
/24
/22 /24
/24
Page 42
Kerjakan Soal Berikut 1. 11.11.11.11/23 2. 22.22.22.22/21 3. 33.33.33.33/20 4. 44.44.44.44/22 5. 55.55.55.55/18
www.training-mikrotik.com
Page 43
IP Privat •
Berdasa Berdasarkan rkan jeni jenisnya snya IP addres address s dibedaka dibedakan n menjadi menjadi IP Publ ublic dan ic dan IP Priva Private te..
•
IP Public Public adalah adalah IP addre addres s yang digunaka digunakan n untuk untuk koneksi koneksi jaringan jaringan global global (inter (internet net)) secara langsung dan bersifat unik.
•
IP Privat Private e diguna digunakan kan untuk untuk jaringan jaringan lokal (LAN) lokal (LAN)
•
Alokasi Alokasi IP Privat Privat adalah adalah sbb: sbb:
•
127.0.0.0 127.0.0.0 – 127.255.25 127.255.255.255 5.255 (loopback (loopback address) address)
•
224.0.0.0 224.0.0.0 – 239.255.25 239.255.255.255 5.255 (multicast) (multicast)
•
169.254.0. 169.254.0.0 0 - 169.254.25 169.254.255.255 5.255 ("link ("link local" local" addresses) addresses) www.training-mikrotik.com
Page 44
Modul 1 Mengkases MikroTik RouterOS
www.training-mikrotik.com
Page 45
Akses ke MikroTik RouterOS Akses Via
Keyboard
Koneksi
Langsung di PC
Text Base
yes
Telnet & SSH
Layer 3
yes
W inbox
Menggunakan OS W indows
yes
FTP
Layer 3
yes
yes yes yes
Socket Programing
Web (HTTP)
Layer 3
MAC-Telnet
Layer 2
Need IP
yes
Serial Console Konektor Kabel Serial
API
GUI
yes yes
ye yes
yes
www.training-mikrotik.com
Page 46
Winbox • Cara paling mudah dalam mengakses dan mengkonfigurasi MikroTik adalah menggunakan winbox. • Winbox dapat didapatkan didapatkan dari: – Web www www.mikrotik.com .mikrotik.com – Via http/web http/web IP atau domain Router MikroTik MikroTik – Copy dari media media penyimpanan
www.training-mikrotik.com
Page 47
Default Setting RouterBoard •
Rout Router erBo Boar ard d (RB) (RB) baru baru,, atau atau sete setela lah h di rese resett defu defual altt , memi memili liki ki default konfigurasi dari pabrikannya yaitu: – IP Address Ether 2-5 : 192.168.88.1/24 192.168.88.1/24 – Username “admin” password blank.
•
Untuk Untuk meremote meremote,, Laptop/P Laptop/PC C dihubungka dihubungkan n dengan dengan ether1 ether1 dan diset diset dengan IP 192.168.88.xxx/24.
www.training-mikrotik.com
Page 48
LAB – Konek Router • Ubah IP Komputer Komputer anda menjadi: menjadi: – IP Address 192.168.88.x – Netmask 255.255.255.0 255.255.255.0 • Ping ke RouterB RouterBOARD OARD (192.168.88 (192.168.88.1) .1) • Buka URL RouterBOAR RouterBOARD D (http://192.168.88.1 http://192.168.88.1)) • Download winbox dari halaman tersebut.
www.training-mikrotik.com
Page 49
Winbox Login
Network Discovery
Winbox digunakan untuk mengkonfigurasi mengko nfigurasi MikroTik MikroTik Router secara mudah
www.training-mikrotik.com
Page 50
Tampilan MikroTik – pada Winbox
Undo / Redo IP/MAC Addr, versi & tipe RB Show/Hide Password Traffic Load Menu
Area Kerja
www.training-mikrotik.com
Page 51
WebFig •
Sejak versi 5.0, interface interface via web web diperkenal diperkenalkan, kan, dengan dengan fungsifungsifungsi yang sama dengan Winbox.
•
Coba akses webfig webfig mikrotik mikrotik router router anda anda dengan dengan browser. browser.
www.training-mikrotik.com
Page 52
Konfigurasi Via Terminal • Dalam Dalam kondisi kondisi terten tertentu tu remote remote dan konfigu konfiguras rasii via via GUI tidak dak memung ungkinkan dik dikare arenak nakan halal-hal sepert erti; keterbatasan bandwidth, kebutuhan untuk running script, remote via ..x console, dll. • Remot Remote e & konfi konfigu gura rasi si term termin inal al bisa bisa dilak dilakuk ukan an deng dengan an cara: – Telnet ( via IP port 23, non secure secure connection) – SSH ( via via IP Port 22, lebih secure dari telnet) – Serial console (kabel serial)
www.training-mikrotik.com
Page 53
LAB-Telnet & SSH •
Gunakan MsDOS prompt (telnet), (telnet), atau program program SSH/Telne SSH/Telnett client client lainnya, seperti putty, winSCP untuk remote mikrotik.
IP MikroTik dan Port
www.training-mikrotik.com
Page 54
Serial Console • Seri Serial al Cons Console ole digu digunak nakan an apabil apabila a kita kita lupa/ lupa/sa salah lah telah telah mendisable semua interface pada MikroTik. • Serial Serial Console Console dibutuhk dibutuhkan an juga saat kita menggu menggunak nakan an Netinstall. • Remo Remote te via seri serial al cons consol ole e memb membut utuh uhk kan kabe kabell DB-9 DB-9 (atau converter USB ke DB-9). • Menggunakan Menggunakan program program HyperTerminal HyperTerminal.. • Baud Baud rate 11520 115200, 0, Data Data bits 8, Parit Parity y None, None, Stop bits bits 1, dan Flow Control None.
www.training-mikrotik.com
Page 55
Versi dan Lisensi Mikrotik
www.training-mikrotik.com
Page 56
Lisensi MikroTik • Fitu Fiturr-fi fitu turr Rout Router erOS OS dite ditent ntuk ukan an oleh oleh leve levell lise lisens nsii yang melekat pada perangkat. • Level dari lisensi juga menentukan batasan upgrade packet. • Lise Lisensi nsi melek melekat at pada pada storag storage/ e/med media ia penyi penyimp mpana anan n (ex. Hardisk, NAND, USB, Compact Flash). • Bila media pen penyimpanan diformat dengan non MikroTik, maka lisensi akan hilang.
www.training-mikrotik.com
Page 57
Level Lisensi MikroTik
www.training-mikrotik.com
Page 58
Lisensi dan Batasan Upgrade Versi •
Lisensi menentukan versi berapa diinstall/diupgrade di suatu hardware.
dari
MikroTikOS
yang
dapat
•
L1 dan 2 meng mengij ijin inka kan n upgr upgrad ade e 1 vers versi, i, L5 dan dan L6 mengi mengiji jink nkan an upgrad upgrade e sampai 2 versi.
Software ID => unik hardware ID untuk saat membeli lisensi
RouterOS ini diinstall pada Level 4, versi 5,7, sehingga dapat diupgrade sampai dengan versi 7.x
www.training-mikrotik.com
Page 59
Versi MikroTik • FiturFitur-fi fitur tur Mikr MikroTi oTik k selain selain diten ditentuk tukan an oleh oleh lise lisensi nsi yang digunakan, juga ditentukan oleh versi dari MikroTik yang terinstall. • Pada Pada Route RouterOS rOS,, versi versi MikroTi MikroTik k dapat dapat diliha dilihatt dari dari paket yang terinstall. • Paket Paket yang terin terinsta stallll menun menunju jukka kkan n fitur fitur apa saja saja yang didukung oleh RouterOS.
www.training-mikrotik.com
Page 60
Melihat Versi MikroTik System>Packages
Versi MikroTik Paket
www.training-mikrotik.com
Page 61
Paket – Fitur Paket
www.training-mikrotik.com
Page 62
Package – Enable/Disable • Pada menu System> System> Package Package
Package akan di disable setelah router di reboot www.training-mikrotik.com
Page 63
Paket – Uninstall
Package akan hilang setelah reboot router www.training-mikrotik.com
Page 64
LAB- Paket •
Uninst Uninstall all mpls packets packets..
•
Lihat hat kap kapasitas NAND NAND (men mendia peny penyiimpa mpanan) an) sesudah uninstall.
www.training-mikrotik.com
sebelum lum
dan
Page 65
Paket – Upgrade / Downgrade • Usah Usahak akan an sela selalu lu upgr upgrad ade e vers versii terb terbar aru, u, untu untuk k fix fix bugs, new feature dll. • Downg owngrrade ade dilak lakukan kan apab apabiila har hardwar dware e kurang ang mendukung terhadap versi baru atau terdapat bug pada versi aktifnya. • Upgr Upgrade ade paket paket harus harus mempe memperha rhati tikan kan aturan aturan level level dan lisensi yang berlaku. • Upgrade dan downgrade juga harus memperhatikan memperhatikan kompatibilitas terhadap jenis arsitektur hardware.
www.training-mikrotik.com
Page 66
LAB – Upgrade / Downgrade •
Pemili Pemilihan han paket paket sangat sangat penting penting dalam melaku melakukan kan upgrade upgrade / downgra downgrade, de, jenis & arsitektur hardware memiliki hardware memiliki software software yang berbeda. berbeda .
•
Bila ragu, dapat di crosschek www.mikrotik.com/download.html
www.training-mikrotik.com
dan
didownload
di
Page 67
LAB – Mengupload Paket • Pake Pakett yang yang akan akan diin diinst stal alll (ver (versi si lama lama/b /bar aru) u) haru harus s diupload terlebih dahulu ke router pada bagian file. • Upload Upload dapat dapat dilakuk dilakukan an denga dengan n dr (via drag ag-a -and nd dr drop op (via winbox), ataupun via FTP client. • Drag Drag and drop drop mengg mengguna unakan kan protoc protocol ol winb winbox ox (tcp port 8291) 91) untu untuk k kon koneks eksi IP dan men menggu ggunak nakan frame untuk koneksi mac address. • Apabila Apabila upload upload menggun menggunakan akan FTP, FTP, pastikan pastikan semua semua packet ket ter terupload load di folde olderr utam tama, buka ukan di sub folder • Untuk mengeksekusi direboot.
upgrade,
www.training-mikrotik.com
router
harus Page 68
LAB – Mengupload Paket Baru •
Upgrade Upgrade router anda ke versi terbaru.
•
Download Download versi terbaru dari web mikrotik.com mikrotik.com
•
Drag and drop file-file file-file *.npk ke jendela winbox. winbox.
•
Reboot setelah selesai upload, dan lihat hasilnya. hasilnya. www.training-mikrotik.com
Page 69
LAB – Mengupload Paket Baru Cek log untuk melihat apabila ada error, berikut adalah contoh apabila ada error
Cek kembali pada menu System>package untuk melihat update pacet yang telah kita lakukan
www.training-mikrotik.com
Page 70
Reset Konfigurasi • Reset konfigurasi konfigurasi MikroTik MikroTik diperlukan diperlukan jika: – Saat lupa username dan atau password password – Saat konfigurasi terlalu komplek dan perlu perlu ditata dari nol.
• Reset konfigurasi konfigurasi dapat dapat dilakukan dilakukan dengan cara: – Hard Reset, reset secara fisik. – Soft reset, reset secara software. – Install ulang. ulang. www.training-mikrotik.com
Page 71
Hard Reset •
Khusus Khusus RouterB RouterBoard oard memiliki rangkaian rangkaian untuk untuk reset pada board dengan cara menjumper sambil menyalakan RB, RB akan kembali ke konfigurasi awal/default.
www.training-mikrotik.com
Page 72
Soft Reset •
Jika kita masih masih bisa akses ke MikroT MikroTik, ik, lakukan lakukan reset lewat lewat reset menu
-Keep User Configuration Configuration:: reset dan kembalikan ke konfigurasi sebelumnya -No Default Configuration: Configuration: reset dan kembalikan k embalikan ke factory default configuration -Do Not Backup: MikroTik tidak akan membackup configurasi pada proses reset
www.training-mikrotik.com
Page 73
Install Ulang • Mikr Mikro otik tik dapat di inst insta all ulaa laang lya lyaknya nya operating system yang lain • Install ulang dapat mengembalikan mikrotik ke posisi awal/default. • Install dapat dilakukan menggunakan media CD dan software Netinstall. • RouterBOARD hanya dapat diinstall ulang menggunakan software Netinstall. www.training-mikrotik.com
Page 74
Install Ulang
Netinstall boot server ether1
Boot from ether1
www.training-mikrotik.com
Page 75
Install Ulang via Netinstall • RB harus dikoneksikan dikoneksikan dengan laptop/PC laptop/PC melalui primary ethernetnya (ether1) • Laptop/PC Laptop/PC harus menjalankan menjalankan program program netinstall netinstall • RB harus disetting disetting agar booting dari network/ network/ jaringan jaringan (ether1), dengan cara: – Setting via serial console – Setting via terminal console – Winbox – Tekan tombol reset
www.training-mikrotik.com
Page 76
NetInstall
• Software yang running under windows. • Digunakan untuk install dan reinstall RouterOS • Digunakan untuk reset password. harus • PC/Laptop yang menjalankan netinstall har terh terhub ubun ung g lang langsu sung ng deng dengan an rout router er melal melalui ui kabe kabell UTP atau LAN.
• Software netinstall dapat didownload di web resmi MikroTik.
www.training-mikrotik.com
Page 77
LAB – Reinstall RB 751 • Download Download RouterO RouterOS S dan dan Software Software Netinstall Netinstall terbaru terbaru di http://www.mikrotik.com/download.html • Pilih untuk seri routerboard routerboard yang sesuai
• Koneksikan Koneksikan laptop dengan Routerboard Routerboard di ether1 ether1 dan pastikan bisa ping www.training-mikrotik.com
Page 78
LAB – Reinstall RB 751 • Setting Setting Netins Netinstal talll
IP RouterOS Arahkan ke folder dimana paket (file npk) routeros disimpan di laptop kita
www.training-mikrotik.com
Page 79
Setting BIOS via winbox winbox Seting boot device MikroTik ada di menu System>Routerboard>Setting>Boot Device (Try-ethernet-once-then-nand)
www.training-mikrotik.com
Page 80
LAB – Reinstall RB 751 •
Reboot router melalui system system reboot, reboot, sampai terdeteksi terdeteksi 1 device device mikrotik di netinstallnya
•
Klik install, install, untuk memulai installasi installasi
www.training-mikrotik.com
Page 81
IP Services •
Menghidukan/ Menghidukan/mematikan mematikan service service yang yang dijalan dijalankan kan oleh oleh Router. Router.
•
Setting Setting konfigurasiny konfigurasinya a ada di menu IP>Servi IP>Services ces
•
Untuk Untuk keamanan keamanan kita kita juga juga dapat mengga mengganti nti/men /mengub gubah ah default default port port pada masing-masing services
www.training-mikrotik.com
Page 82
User Login Management • Akses ke router ditentukan ditentukan oleh menu user. • Manajemen Manajemen user dilakukan dilakukan dengan – GROUP – profil pengelompokan user, menentukan previlage yang bisa diperoleh suatu user. – USER – merupakan login (username & password dari suatu user. • Sesi Sesi user user yang ang seda sedang ng mela melaku kuk kan kone konek ksi ke rout router er dapat dilihat pada pa da menu System>Users>Active System>Users>Active Users
www.training-mikrotik.com
Page 83
User Login Management - Group • Group merupakan merupakan pengelompokan pengelompokan previlage/h previlage/hak ak akses akses yang akan diberikan pada user. • Ada 3 default previlage previlage yang yang ada di MikroTik MikroTik yaitu full, read dan write, namun diperbolehkan untuk customize sendiri.
www.training-mikrotik.com
Page 84
User Login Management - Akses •
Masing-masing Masing-masing user dapat dibatasi dibatasi hak aksesnya aksesnya berdasarkan berdasarkan group.
•
Masing-masing Masing-masing user juga juga dapat dapat dibata dibatasi si berdasarkan berdasarkan IP address address yang yang digunakannya.
•
Misalkan si A hanya boleh boleh login dengan IP A, atau hanya hanya boleh dari network A.
www.training-mikrotik.com
Page 85
LAB - User Login Management • Buatlah Buatlah satu user dengan dengan nama “katy” “katy” • Berikan Berikan previlage previlage agar agar user katy hanya hanya bisa melakukan melakukan reboot router via winbox • Caranya adalah, buat group dulu dengan previlage reboot dan winbox, winbox, baru setelah itu buat user katy dengan group reboot.
www.training-mikrotik.com
Page 86
LAB - User Login Management
www.training-mikrotik.com
Page 87
MikroTik Neighbor Discovery Protocol (MNDP) • MNDP MNDP memu memuda dahka hkan n konfi konfigur guras asii dan dan mana manaje jeme men n jari jaringa ngan n dengan gan memungkin kinkan kan setiap router ter Mikro kroTik Tik untuk mendeteksi MikroTik lainnya yang terhubung langsung • MNDP NDP fitu fitur: r: – bekerja pada layer layer 2 – bekerja pada semua non-dinamic interface – mendistribusikan informasi dasar • MNDP MNDP dapat berkomu berkomuni nikasi kasi dengan dengan CDP (Cisco (Cisco Discove Discovery ry Protocol). • Disa Disara ranka nkan n untu untuk k tida tidak k mema memanc ncar arkan kan MNDP MNDP ke inte interfa rface ce yang mengarah ke jaringan public.
www.training-mikrotik.com
Page 88
Block MNDP Untuk menyembunyikan mikrotik anda agar tidak muncul pada Winbox MNDP scan, atau muncul pada neigbors: 1.
Disabl Disable e MNDP MNDP pada menu IP Neig Neighb hbor ors s Disco Discove very ry
2.
Bloc Block k Port ort UDP prot protoc ocol ol port port 5678 5678 (por (portt untu untuk k komu komuni nika kasi si MNDP) NDP) menggunakan IP Fire Firewal walll Filt Filter er Rule ule
www.training-mikrotik.com
Page 89
Backup dan Restore •
Konf Konfig igur uras asii dala dalam m rout router er dapa dapatt diba diback ckup up dan dan disi disimp mpan an untu untuk k digunakan di kemudian kem udian hari. Ada 2 jenis backup back up yaitu yaitu 1.
Binary file (.backup)
2.
Tida Tidak k dapa dapatt diba dibaca ca text text editor. Membackup keseluruha keseluruhan n konfiguras konfigurasii router Create return point (dapat kembali seperti semula)
Script file (.rsc)
Berupa script, dapa dapatt diba dibaca ca dengan dengan text editor. Dap Dapat at memb membac acku kup p konfigurasi router.
sebagian
at a u
keseluruhan
Tida Tidak k meng mengem emba bali lika kan n ke konf konfig igur uras asii sepe sepert rtii semu semula la,, melainkan menambahkan script tertentu pada konfigurasi utama.
www.training-mikrotik.com
Page 90
Binary – Backup & Restore • Backup Backup ada pada menu File>backup File>backup
Format backup file: MikroTik-[tanggal][bulan][tahun]-[jam][menit] File dapat disimpan di PC dengan cara dragand-drop atau FTP
1. Tombol backup digunakan untuk backup konfigurasi router aktual. 2. Tombol restore restore digunakan untuk mengembalikan konfigurasi sesuai dengan file yang dipilih.
www.training-mikrotik.com
Page 91
Binary – Backup & Restore • Binary backup dan restore menggunakan terminal.
juga
dapat
dilakukan
• Backup Backup via teminal teminal kelebiha kelebihanya nya adalah adalah dapat memberi memberi nama file backup sesuai dengan keinginan kita
www.training-mikrotik.com
Page 92
Script – Backup & Restore • Backup dan rest estore deng denga an mode ode script dil dilaku akukan dengan perintah: – EXPORT akan menyimpan konfigurasi bentuk script yang dapat dibaca dan diolah.
dengan
– IMPORT akan menjalankan perintah yang terdapat dalam script. • IMPORT IMPORT/EX /EXPOR PORT T dapat dapat digunak digunakan an untuk untuk membacku membackup p sebagian konfigurasi. • IMPORT/EXP IMPORT/EXPORT ORT harus dilakukan dilakukan melalui melalui terminal. terminal. • EXPORT EXPORT tidak menyimpan menyimpan username username password password
www.training-mikrotik.com
Page 93
Script – Backup & Restore • Perintah EXPORT
www.training-mikrotik.com
Page 94
Script – Backup & Restore • Perintah IMPORT
www.training-mikrotik.com
Page 95
Perbedaan Export & Backup Perbedaan
Script Backup
Binnary Backup
Command
Export / Import
Backup / Restore
Bisa dengan menu klik
No
Yes
Backup all config
No (user&Pass )
Yes
Need reboot to restore
No
Yes
Backup sebagian config
Yes
No
Bisa dibaca test editor
Yes
No
www.training-mikrotik.com
Page 96
LAB - Backup & Restore • Buatlah Buatlah backu backup p konfig konfigura urasi si dengan dengan perint perintah ah backup dan export. • Pindah Pindahka kan n file file backup backup dan rsc ke komput komputer/ er/ laptop. • Coba buka dan edit file backup dan file rsc tersebut
www.training-mikrotik.com
Page 97
LAB – Koneksi Internet • Ini adalah simulasi simulasi jaringan jaringan dasar untuk koneksi koneksi internet internet • Setting koneksi koneksi internet internet menggunakan menggunakan mikrotik mikrotik sebagai sebagai Network Address Translation (NAT).
NAT NAT
www.training-mikrotik.com
Page 98
Konfigurasi LAN • Setting Setting IP pada Ethernet Ethernet Laptop
IP Laptop satu network dengan IP Mikrotik LAN Gateway Laptop adalah IP interface mikrotik LAN
www.training-mikrotik.com
Page 99
Konfigurasi LAN •
Setting Setting IP pada Ether1 Ether1 (ether (ether yang yang terhubung terhubung dengan dengan laptop) laptop)
www.training-mikrotik.com
Page 100
Konfigurasi WAN • Setting Setting wlan wlan pada MikroTi MikroTik k sebagai sebagai station. station.
Klik 2x untuk konfigure wlan1
www.training-mikrotik.com
Page 101
Konfigurasi WAN • Setting Setting wlan1 wlan1 sebagai sebagai station station - Setting wireless mode - Setting Setting SSID - Security Profile (yang sudah dibuat sebelumnya)
Klik Apply untuk mengeksekusi hasil konfigurasi
www.training-mikrotik.com
Page 102
Konfigurasi WAN • Mode station juga dapat digunakan untuk scan network untuk mempermudah konek ke sebuah AP.
• Pilih AP yang ingin dikoneksikan dan klik tombol connect www.training-mikrotik.com
Page 103
Konfigurasi WAN • Wireless Wireless telah terkoneksi terkoneksi
Huruf R (Running), menandakan wireless telah terkoneksi
AP yang terkoneksi terdaftar di Registration
www.training-mikrotik.com
Page 104
Konfigurasi WAN • Setting Setting DHCP DHCP client
DHCP Client running di wireless interface (wlan1) Set agar DNS, NTP dan default route otomatis didapatkan dari server www.training-mikrotik.com
Page 105
Seting DHCP Client • Setting Setting DHCP DHCP client Status bound menandakan bahwa wlan1 sudah mendapatkan IP address dari AP
Pada IP>address>interface IP>address>interface terdapat dynamic IP addres pada wlan1
www.training-mikrotik.com
Page 106
Testing • Coba lakukan ping dan dan traceroute traceroute dari MikroTi MikroTik k
www.training-mikrotik.com
Page 107
Setting NAT IP>firewall>NAT Chain : srcnat Out interface :wlan1 Action: masquerade
www.training-mikrotik.com
Page 108
Network Time Protocol •
Kebany Kebanyakan akan RB mikroti mikrotik k tidak memiliki memiliki batte battery ry untuk untuk clock inter internal nal (kecuali RB230 dan powerpc)
•
NTP untuk sinkronisasi sinkronisasi waktu antar router/serv router/server er lainnya. lainnya.
•
NTP juga bisa diarahkan ke public asia.pool.ntp.org, asia.pool.ntp.org, atau id.pool.ntp.org
•
Konfig Konfiguras urasiny inya a ada di menu syst system em ntp ntp clie client nt
NTP
server
seperti
Menandakan sudah terjadi syncronisasi waktu
www.training-mikrotik.com
Page 109
LAB- Network Network Time Protocol (NTP) •
Cobalah Cobalah seting seting Mikrotik Mikrotik menggunakan menggunakan NTP public public service service id.pool.ntp.org
www.training-mikrotik.com
Page 110
LAB- Network Network Time Protocol (NTP) •
Peserta Peserta 1 menggunakan menggunakan NTP NTP public public service service id.pool id.pool.ntp. .ntp.org, org, peserta peserta yang lain NTP server diarahkan ke peserta 1
www.training-mikrotik.com
Page 111
NTP Client Fase sinkronisasi NTP Client • Started : Started : start service NTP • Reached : Reached : terkoneksi dengan NTP server • Synchronized :sinkronisasi Synchronized :sinkronisasi waktu dengan NTP server • Timeset : mengganti waktu/tanggal lokal sesuai waktu NTP server
www.training-mikrotik.com
Page 112
Module 2 - Firewall
www.training-mikrotik.com
Page 113
Firewall – Overview • Untuk melindungi router dari luar, baik dari berasal dari WAN (internet) maupun dari client (local). • Untuk Untuk meli melindu ndungi ngi netwo netwok k dari dari netw netwok ok lain lain yang yang melewati router. • Dala Dalam m Mikro MikroTi Tik, k, fire firewa wallll ada ada bany banyak ak fitu fiturr yang yang semuanya dimasukkan dalam menu IP Firewall. • Firewall basic di MikroTik ada di IP Firewall Filter Rule. www.training-mikrotik.com
Page 114
Firewall Filter Rule • Setiap Firewall Firewall Filter Filter rule rule diorganisi diorganisirr dalam dalam chain (rantai) (rantai) yang berurutan. • Setiap aturan aturan chain chain yang yang dibuat dibuat akan akan dibaca dibaca oleh router dari atas ke bawah. • Di Firewall Firewall Filter Filter Rule Rule ada 3 default default chain chain (input, (input, forwa forward, rd, output). • Kita Kita juga juga bole boleh h memb membua uatt nama nama chai chain n ses sesuai uai deng dengan an keinginan kita • Pake Pakett dico dicoco cokk kkan an deng dengan an krit kriter eria ia/p /per ersy syar arat atan an dala dalam m suatu chain, apabila cocok paket akan melalui kriteria/persyaratan chain berikutnya/ di bawahnya. . www.training-mikrotik.com
Page 115
Packet Flow Tiga aturan dasar packet flow • INP INPUT – ke router ke router • OUTP OUTPUT UT – dari router dari router • FOR FORWARD WARD – melewati router melewati router Output Ping from Router Input Winbox
Forward WWW E-Mail
www.training-mikrotik.com
Page 116
Firewall Filter Rule •
IP Firewa Firewallll Filter Filter Rule Rule
www.training-mikrotik.com
Page 117
Firewall Filter Rule • Prinsip Prinsip IF….THEN…. IF….THEN…. • IF (jika) packet memenuhi syarat kriteria yang kita buat. • THEN (maka) action apa yang akan dilakukan pada packet tersebut
www.training-mikrotik.com
Page 118
Firewall Firewall – IF (Condition) IP>Firewall>Filter Rules>General
Source IP (IP client) Destination IP (IP internet) Protocol (TCP/UDP/ICMP, (TCP/UDP/ICMP, dll) Source port (biasanya port dari client) Destination port (service port tujuan) Interface (traffik masuk atau keluar)
Paket yang sebelumnya telah ditandai
www.training-mikrotik.com
Page 119
Firewall – THEN (Action) IP>Firewall>Filter Rules>Action - accept the packet. Packet is not passed to next firewall accept rule. add-dst-to-address-list - add destination address to address to address list specified list specified by address-list parameter add-src-to-address-list - add source address to address list specified by address-list parameter drop drop - silently drop the packet jump jump - jump to the user defined chain specified by the value of jump-target parameter - add a message to the system log containing following data: log in-interfa in-interface, ce, out-interface out-interface,, src-mac, src-mac, protocol, protocol, src-ip:por src-ip:port->ds t->dsttip:port and length of the packet. After packet is matched it is passed to next rule in the list, similar as passthrough passthrough passthrough - ignore this rule and go to next one (useful for statistics). - drop the packet and send an ICMP reject message reject return return - passes control back to the chain from where the jump took place capture res s and and hold holds s TCP TCP conn connec ectio tions ns (rep (repli lies es with with tarpit tarpit - captu SYN/ACK to the inbound TCP SYN packet)
www.training-mikrotik.com
Page 120
Firewall Strategy • Banyak traffik yang harus difilter dan dipilah mana yang harus di perbolehkan (accept) dan mana yang harus di buang (drop) • Ada 2 metode untuk menyederhanakan rule firewall yang kita buat: – Drop beberapa, beberapa, lainya diterima diterima (drop (drop few, accept any ) – Terima beberapa, lainya lainya dibuang (accept (accept few, drop any )
• By default bila tidak tidak ada rule apapun di firewall, firewall, semua traffik akan di accept oleh router.
www.training-mikrotik.com
Page 121
LAB – Protecting Our Router Cobalah buat firewall hanya memperbolehkan m emperbolehkan IP laptop sendiri yang hanya bisa akses router
Tentukan entuk an strategy, str ategy, ( Accept Accept Few & Drop Any .) .) Tentukan Chain (input)
www.training-mikrotik.com
Page 122
LAB – Protecting Our Router •
IF ada ada traff traffic ic input input yang berasal dari IP Laptop (192.168.88.2 (192.168.88.2))
•
Then tentuka tentukan n action action accept
www.training-mikrotik.com
Page 123
LAB – Protecting Our Router •
IF ada traffic traffic yang yang berasal berasal dari dari
atau “all”
•
Then tentuka tentukan n action action drop drop
www.training-mikrotik.com
Page 124
LAB – Protecting Our Router •
Akan ada 2 chain chain rules. rules.
•
Perh Perhat atik ikan an juml jumlah ah byte bytes s pada pada seti setiap ap chai chain n rule rule,, teta tetap p atau atauka kah h bertambah ketika kita melakukan akses ke router?
•
Cobalah masing-masing masing-masing peserta peserta untuk untuk melakukan melakukan ping, ping, akses web, dan remote winbox ke router peserta lain.
www.training-mikrotik.com
Page 125
LAB – Firewall Loging Firewall Logging adalah fitur untuk mencatat (menampilkan pada log) aktifitas yang yang jaringan j aringan yang kita inginkan. •
Buat filter filter rule rule pada pada menu IP>Firewall> IP>Firewall>Filter Filter Rules, Rules, untuk untuk logging logging semua yang ping router kita
www.training-mikrotik.com
Page 126
LAB – Firewall Loging Ping dari laptop IP interface wlan1 dan amati log pada router:
www.training-mikrotik.com
Page 127
Logging •
Kita dapat mengatur mengatur aktivitas aktivitas atau fitur apa yang akan ditampilka ditampilkan n dalam dalam log. log.
•
Kita Kita juga juga dapat dapat mengir mengirim imkan kan log ke syslog syslog serve serverr tenten tententu tu menggun menggunaka akan n defaul defaultt protocol UDP port 514.
•
Pengatura Pengaturan n logging logging ada dalam dalam menu System System Logging Logging
www.training-mikrotik.com
Page 128
Firewall – Address List • Address-lis Address-listt digunakan digunakan untuk untuk memfilte memfilterr group IP address dengan 1 rule firewall. • Addr Addres esss-lilist st juga juga bisa bisa meru merupa paka kan n list list IP hasi hasill dari dari rule rule fire firew wall all yang yang memil emilik ikii acti action on “add “add to address list” • Satu line addres ress-list dapat berup rupa sub subnet, range, atau 1 host IP address
www.training-mikrotik.com
Page 129
LAB– Address List •
Siapa Siapa dari lokal kita kita yang yang ping ke router, router, dia dia tidak bisa akses akses interne internett
•
Buat rule firewall firewall untuk memasukkan memasukkan setiap setiap IP yang yang melakukan melakukan ping ke dalam address-list dan beri nama address list “who-ping-me”.
www.training-mikrotik.com
Page 130
LAB– Address List •
Buat rule drop untuk address-list address-list “who-ping-me” “who-ping-me”
•
Rule ini akan akan bekerja jika ada yang yang ping ke router router saja
www.training-mikrotik.com
Page 131
LAB – Block content Kita akan block akses dari LAN ke k e situs tertentu, misalnya situs yang mengandung kata “porno”, tapi porno dalam hal ini kita ganti kata “mikrotik”
www.training-mikrotik.com
Page 132
LAB – Block content IP Firewall Filter Rule Add chain=forward content=mikrotik action=drop
www.training-mikrotik.com
Page 133
Connection Tracking
www.training-mikrotik.com
Page 134
Connection Tracking •
Connection Connection Tracking Tracking dapat dilihat pada menu IP>firewa IP>firewall>conne ll>connection. ction.
•
Connec Connectio tion n tracki tracking ng mempu mempunya nyaii kemamp kemampuan uan untuk melihat melihat inform informasi asi kone koneks ksii sepe sepert rtii sour source ce dan dan dest destiiniti nition on IP dan dan port port yang ang seda sedan ng digunakan, status koneksi, tipe protocol, dll.
•
Status Status koneksi pada connection connection tracking: tracking: – established = established = the the packet is part of already alre ady known connection, – new = new = the the packet starts a new connection or belongs to a connection that has not seen packets in both directions yet , – related = related = the packet starts a new connection, but is associated with an existing connection, such as FTP data transfer or ICMP error message. – invalid = invalid = the the packet does not belong to any known connection and, at the same time, does not open a valid new connection. connection .
www.training-mikrotik.com
Page 135
Connection Tracking
www.training-mikrotik.com
Page 136
Implementasi Connection Tracking • Pada Pada saat aat memb membua uatt fire firew wall, all, pada pada bar baris pali paling ng atas atas umumnya akan dibuat rule sebagai berikut: – Connection state invalid Drop – Connection state established Accept – Connection state related Accept – Connection state new Diproses ke rule berikutnya • System System rule rule ini akan sangat sangat menghemat menghemat resour resource ce router, router, karena proses filtering selanjutnya akan dilakukan ketika koneksi dimulai (connection state = new)
www.training-mikrotik.com
Page 137
LAB – Buatlah Firewall untuk Connection State •
Pada IP>Firewall IP>Firewall>Filter >Filter Rule buat chain
•
Chai Chain n Fow Foward ard – Connection state invalid action Drop – Connection state established action Accept – Connection state related action Accept – Connection state new action pass-through
www.training-mikrotik.com
Page 138
NAT - Masquarade •
NAT adalah suatu metode untuk menghubungkan menghubungkan banyak banyak komputer komputer ke jaringan internet dengan menggunakan satu atau lebih alamat IP.
•
NAT digunakan digunakan karena karena ketersediaan ketersediaan alamat IP public. public.
•
NAT juga juga digunakan digunakan untuk untuk alasan keamanan (security), (security), kemudahan kemudahan dan fleksibilitas dalam administrasi jaringan. NAT NAT Masquarade
WAN
www.training-mikrotik.com
Page 139
NAT Chain pada IP Firewall NAT 1. srcnat, dengan action yang diperbolehkan: 1. Masquarade Masquarade – subnet subnet LAN to 1 dinamic dinamic IP WAN 2. Src-nat Src-nat – subnet subnet LAN to 1 static IP WAN 3. Netmap – subnet LAN to different subnet WAN 4. Same Same – subne subnett LAN LAN to to same same subnet subnet WAN
2. dsnat (port fowarding), dengan action ac tion yang diperbolehkan: 1. Dst-nat Dst-nat – membelokk membelokkan an traffik ke luar router 2. Redirect Redirect – membelokk membelokkan an traffik ke router sendiri sendiri www.training-mikrotik.com
Page 140
DSTNAT
www.training-mikrotik.com
Page 141
LAB- DstNAT Redirect port http IP WAN router ke IP web server lokal (LAN)
NAT Netwok 192.168.1.2
http://192.168.1.2 www.training-mikrotik.com
Page 142
LAB – Dst-nat Web Server •
Install Install dan Jalankan program program web web server server di laptop laptop
•
Buat rule pada pada IP>Firewal IP>Firewall>NAT l>NAT untuk untuk redirect redirect port 81 router ke IP laptop dan port 80.
•
Coba dengan http:// router>:81 :81 dari laptop laptop peserta peserta lain www.training-mikrotik.com
Page 143
DNS • DN DNS (Domain Name System) berfungsi untuk menterjemahkan nama domain menjadi IP address. • Kita Kita lebih lebih mudah mudah meng mengin inga gatt nama nama domai domain n (deti (detik. k.co com) m) dibanding dengan IP addressnya (203.190.241.43). • DNS DNS memi memili liki ki data databa base se/c /cac ache he alam alamat at doma domain in dan dan IP address yang diperoleh dari primary DNS diatasnya. • Client yang menggunakan menggunakan cache tersebut.
DNS
• Pada periode tertentu chache akan mengambil dari DNS server diatasnya.
www.training-mikrotik.com
server
akan
diperbaharui
Page 144
LAB - Static DNS •
Paksa Paksa semua semua client client menggun menggunakan akan DNS DNS pada pada router router dengan dengan port foward fowarding ing (dst-nat)
•
Siapkan Siapkan content content warning warning (web (web server server dengan dengan tampilan tampilan index warning) warning)
•
Tambahkan Tambahkan static DNS yang ingin difilter difilter
DNS request
UDP 53
IP DNS Static Domain
IP
Kompas.com
192.168.88.10
www www.kompas .kompas.co .com m
192.16 192.168.8 8.88.1 8.10 0
www.training-mikrotik.com
Page 145
LAB – Transparent Static DNS •
Kita Kita dapat dapat memanip memanipula ulasi si cache cache DNS yang yang ada dengan dengan static static entry entry pada tabel DNS.
•
Misal Misal apabila apabila kita kita ping ping atau akses akses doma domain in kompas. kompas.com com maka maka akan akan direply oleh IP address yang bukan milik kompas, k ompas, diubah diubah dengan IP yang kita tentukan sendiri
•
Caranya Caranya adalah adalah sebagai sebagai berikut: berikut: – Set agar router kita menjadi DNS server – Set Primary DNS di router kita – Set static DNS untuk domain yang ingin kita buat static – Buat rule dst-nat agar setiap traffik DNS dibelokkan ke router kita
www.training-mikrotik.com
Page 146
LAB - Static DNS Mengaktifkan DNS cache dan membuat memb uat static DNS
www.training-mikrotik.com
Page 147
LAB - Static DNS •
Memaksa Memaksa traffic traffic dns request dari client untuk ke router
www.training-mikrotik.com
Page 148
LAB-Transparent DNS Nawala •
Kita akan melakukan block situs porno dengan transparent transparent DNS Nawala
www.training-mikrotik.com
Page 149
LAB – Transparent DNS Nawala •
Transparent Transparent DNS memaksa user untuk akses DNS server server tertentu tertentu
•
Buatlah Buatlah rule rule baru baru pada menu menu IP>Firewal IP>Firewall>NAT l>NAT , redirect redirect protoco protocoll TCP dan UDP port 53 ke k e IP port DNS Nawala 180.131.144.144
•
Coba dengan mengakses router LAN 1 dari dari LAN2 LAN2 melalui melalui browser browser www.training-mikrotik.com
Page 150
Module 3 - Wireless
www.training-mikrotik.com
Page 151
Wireless pada Mikrotik • Router RouterOS OS mendukun mendukung g beberap beberapa a modul modul radio radio (wireles (wireless s card) untuk jaringan WLA WLAN atau WiWi-Fi (Wir Wireless Fidelity). • Wi-Fi Wi-Fi memi memilik likii stand standar ar & spes spesif ifik ikas asii IEEE IEEE 802.11 802.11 dan dan menggunakan frekuensi 2,4GHz dan 5,8GHz. 5,8 GHz. • MikroTik MikroTik mendukung standar IEEE 802.11a/b/g/n 802.11a/b/g/n – 802.11a – frekuensi 5GHz, 54Mbps. – 802.11b – frekuensi 2,4GHz, 11 Mbps. – 802.11g – frekuensi 2,4GHz, 54Mbps. – 802.11n (Level 4 keatas) – frekuensi 2,4GHz atau 5GHz, 300Mbps www.training-mikrotik.com
Page 152
Wireless Band • Band merupakan mode kerja frekuensi dari suatu perangkat wireless. • Untu Untuk k meng menghu hubu bung ngka kan n 2 pera perang ngka kat, t, kedu keduan any ya haru harus s bekerja pada band frekuensi yang sama Band yang ada di list, bergantung pada jenis wireless wireless card yang yang digunakan.
www.training-mikrotik.com
Page 153
Wireless – Frequency Channel •
Frequency Frequency channel adalah pembagian pembagian frekuensi frekuensi dalam suatu band dimana dimana Access Point Point (AP) beroperasi.
•
Nilai-nilai Nilai-nilai channel bergantung bergantung pada band yang dipilih, dipilih, kemampuan wireless card, card, dan aturan aturan/re /regul gulasi asi frekuen frekuensi si suatu suatu negara negara..
•
Range frequency frequency channel untuk masing-masing masing-masing band adalah sbb: – 2,4Ghz = 2412 s/d 2499MHz – 5GHz = 4920 s/d s/d 6100MHz
www.training-mikrotik.com
Page 154
802.11 b/g Channels
www.training-mikrotik.com
Page 155
Wireless – Lebar Channel •
Lebar channel adalah rentang rentang frekuensi frekuensi batas bawah dan batas atas dalam 1 channel.
•
MikroTIk MikroTIk dapat dapat mengatur mengatur berapa berapa lebar channel yang akan digunakan. digunakan.
•
Default lebar channel yang digunakan digunakan adalah adalah 22Mhz (ditulis (ditulis 20MHz). 20MHz).
•
Lebar channel dapat dikecilkan dikecilkan (5MHz) (5MHz) untuk untuk meminim meminimasil asil frekuensi, frekuensi, atau dibesarkan (40MHz) untuk mendapatkan troughtput yang lebih besar.
www.training-mikrotik.com
Page 156
Wireless – Regulasi Frekuensi • Setiap negar egara a memil miliki iki regulasi asi ter tertent entu dala alam hal frekuensi wireless untuk internet carrier. • Indones Indonesia ia telah merdek merdeka a untuk untuk menggunak menggunakan an frekuensi frekuensi 2.4GHz berdasarkan KEPMENHUB No. 2/2005 berkat perjuangan para penggerak internet sejak tahun 2001 • Regu Regula lasi si ters terseb ebut ut dala dalam m mikr mikrot otik ik dide didefi fini nisi sika kan n pada pada bagian Wireless W ireless “country-regulation”. “country-regulation”. • Namu amun apabil bila dii diinginkan untuk ntuk membuk mbuka a semua mua frek frekue uens nsii yang ang dapa dapatt digu diguna naka kan n oleh oleh wirel ireles ess s card card,, dapat menggunakan pilihan “superchanne “superchannel”. l”.
www.training-mikrotik.com
Page 157
LAB-Regulasi Frekuensi • Ada berapa channel frekuensi frekuensi default default MikroTik? MikroTik? • Lihatnya Lihatnya di menu Wireless Wlan1 Wireless
www.training-mikrotik.com
Page 158
LAB-Regulasi Frekuensi •
Ada berapa channel channel frekuensi frekuensi untuk country country regulat regulation ion Indonesi Indonesia? a?
•
Lihatny Lihatnya a di menu Wireless Wlan1 Wireless Advanced Advanced Mode Mode
Coba ganti Frekuensi Mode = Superchannel
www.training-mikrotik.com
Page 159
LAB-Regulasi Frekuensi
Frequency Mode Pemilihan Country / Negara
1. manual-tx manual-tx-pow -power er Transmit power power diatur manual (tidak menyesuaikan dengan negara tertentu). 2. regulati regulation-d on-domain omain Frekuensi channel disesuaikan dengan frekuensi-frekuensi yang yang diijinkan di suatu negara.
Default 0, akan otomais menyesuaikan agar tidak melebihi EIRP country regulation
3. Superc Superchan hannel nel Membuka semua frekuensi yang bisa disupport oleh wireless card www.training-mikrotik.com
Page 160
Konsep Koneksi Wireless • Kesesuaian Kesesuaian Mode: Mode: (AP(AP-Statio Station, n, AP-Repeat AP-Repeater, er, Repeater Repeater-Repeater) • Kesesu Kesesuaian aian BAND BAND • Kesesu Kesesuaian aian SSID SSID • Kesesuaian Kesesuaian enkripsi enkripsi dan authentifikasi authentifikasi • Frek rekuans uansii chann hannel el tida tidak k perlu erlu sama sama,, station tion secar ecara a otomatis akan mengikuti channel frekuensi pada AP.
www.training-mikrotik.com
Page 161
Mode Interface Wireless • Alig Aligeme ement nt Only Only • AP Brid Bridge ge • Bridge • Nstrea Nstream m dual slave slave • Stat Statio ion n • Stat Station ion bridg bridge e • Station Station pseudob pseudobrid ridge ge • Station Station pseudob pseudobrid ridge ge clone clone • Stat Station ion wds wds • Wds slav slave e www.training-mikrotik.com
Page 162
Mode Interface Wireless AP Mode •
AP-bridge – AP-bridge – wireless difungsikan sebagai Akses Poin.
•
Bridge Bridge - hampir sama dengan AP-bridge, namun hanya bisa dikon eksi oleh 1 station/client, mode ini biasanya digunakan untuk point-to-point.
Station Mode •
Station – scan – scan dan conent AP dengan frekuensi & SSID yang sama, mode ini TIDAK DAPAT di BRIDGE
•
Station-bridge – Station-bridge – sama seperti station, mode ini adalah MikroTik proprietary. Mode untuk L2 bridging, brid ging, selain wds.
•
Station-wds – Station-wds – sama seperti station, namum membentuk koneksi W DS dengan AP yang menjalankan WDS.
•
seperti station,, dengan tambahan MAC station-pseudobridge – sama seperti station station-pseudobridge – address translation untuk bridge.
• station-pseudobridge-clone station-pseudobridge-clone – – Sama seperti station-pseudobridge seperti station-pseudobridge,, menggunakan station-bridge-clone-mac station-bridge-clone-mac address address untuk konek ke AP. www.training-mikrotik.com
Page 163
Interface Wireless Mode Spec Specia iall Mode Mode • alignment-only – alignment-only – mode transmit secara terusmene menerus rus digu diguna naka kan n untu untuk k posi positi tion onin ing g ante antena na jarak jauh. • nstreme-dual-slave – nstreme-dual-slave – digunakan untuk sistem nstreme-dual. • WDS-slave - Sama seperti ap-bridge, namun melakukan scan ke AP dengan SSID yang sama sama dan dan mela melaku kuka kan n kone koneks ksii deng dengan an WDS. WDS. Apabila link terputus, akan melanjutkan scanning. www.training-mikrotik.com
Page 164
LAB – Wireless AP & Station •
Buatlah Buatlah link link point point to to point point untuk melewatkan melewatkan bandw bandwith ith minimal 10M 50M
Peserta I
Peserta II
www.training-mikrotik.com
Page 165
LAB – Wireless AP & Station
Peserta I
Peserta II
Konfigurasi
Peserta I
Peserta II II
Mode
AP-Bridge/Bridge
Station
Band
Samakan
SSID
Samakan (unik untuk tiap pasangan)
Frequensi Security Profile IP addr ddress wlan1
Pilih
Tidak harus sama Samakan
10.10 0.10..10.1/24
10.10 0.10..10.2/24
www.training-mikrotik.com
Page 166
LAB – Wireless AP & Station • Satu Satu pese peserrta manja anjad di Acess cess Poin Pointt, satun tunya menj menjad adii Station (wireless mode) • Samakan SSID, band dan security security profile. • Setting IP Address Address interface interface wlan: IP AP= 10.10.10.1/24 IP station = 10.10.10.2/24 • Pas Pastik tikan konek oneks si wirel ireles ess s (lay layer 1) ter terhubu hubung ng,, baru aru dapat dilakukan ping antar IP (layer 3) • Lakukan Lakukan ping dari masing-masin masing-masing g MikroTik. MikroTik. • Lakukan Lakukan bandwidth bandwidth test antar Mikrotik Mikrotik
www.training-mikrotik.com
Page 167
Bandwidth Test •
Bandwidth Bandwidth test test digunakan digunakan untuk untuk mengukur seberapa seberapa besar besar link dapat mendeliver bandwidth
•
Untuk Untuk menjamin menjamin keakurat keakuratan, an, Bandwidth test hanya dijalankan disatu sisi Test to = IP lawan lawan kita kita User User & passwo password rd = user user passw password ord router yang kita test
• •
www.training-mikrotik.com
Page 168
LAB – Wireless AP & Station •
Coba gantilah gantilah frekuensi frekuensi untuk mendapatkan mendapatkan signal terbaik. terbaik.
Signal yang dikirim dan diterima oleh antena
Client Connection Quality (CCQ) yaitu nilai yang menyatakan seberapa efektifkah kapasitas bandwidth yang dapat digunakan
www.training-mikrotik.com
Page 169
Wireless Tools • Ada bebera beberapa pa tool dala dalam m wireless wireless MikroTik MikroTik yang yang dapat dapat digunak digunakan an untuk optimasi link. – Scan – untuk melihat informasi AP yang aktif, beserta SSID dan memudahkan memudahkan untuk untuk membuat koneksi ke AP aktif tersebut. – Align – Align – untuk pointing antenna. – Sniff – – untuk melihat lalu lintas paket data di jaringan. – Snooper – – seperti tool scan, informasi AP yang aktif secara leng lengka kap, p, SSID SSID,, chan channe nell yang ang digu diguna naka kan, n, sign signal al stre stren ngth, gth, utilisasi/traffic load dan jumlah station pada masing-masing AP. – Bw Test – digu diguna naka kan n untu untuk k test test band bandwi widt dth h khus khusus us untu untuk k MikroTik, bw test dapat didownload di web resmi MikroTik.
www.training-mikrotik.com
Page 170
LAB – Wireless Tools •
Gunakan tool Frequency Frequency Use dan Snooper Snooper untuk pemilihan pemilihan channel channel yang optimum, serta lakukan bandwidth test.
www.training-mikrotik.com
Page 171
LAB-Rate flapping •
Max data rate dapat dilihat dilihat di Wireless>Registra Wireless>Registration tion
www.training-mikrotik.com
Page 172
Wireless MAC Filtering • Acces ccess s Poin Pointt, dapat dilakukan pembatasan hak akse akses s dim dimana ana AP hany anya dapa dapatt dik dikonek onek oleh oleh station yang sudah kita tentukan. • Station, Station, juga dapat dilock agar terkoneksi dengan AP yg sudah ditentukan. • Mac filtering filtering AP ada di Access List • Mac filtering filtering Station Station ada di Connect Connect List. List.
www.training-mikrotik.com
Page 173
Access Point – Access List Lis t • Access Access List List pada pada Access Access Point, memfilter station mana saja yang boleh terkoneksi
MAC Address station yang ingin difilter
Batas nilai kekuatan signal dari station yang ingin difilter
Boleh konek atau tidak
www.training-mikrotik.com
Page 174
Access Point – Default Authenticate Access List dapat berfungsi apabila wireless default authe authenti ntica cate te di non non akti aktifka fkan n (uncheck). Artinya by default station tidak akan bisa konek ke AP apabila tidak di allow di Access List
www.training-mikrotik.com
Page 175
Station – Connection List •
Pada Pada wireless wireless Stati Station, on, Connec Connectt List membat membatasi asi AP AP mana saja saja yang yang boleh/tidak boleh terkoneksi
Interface radio yang difungsikan sebagai client MAC address AP yang akan dikoneksikan. Boleh / tidak boleh konek dengan MAC diatas SSID yang ingin dikoneksikan, bila kosong berarti any AP. Apabila menggunakan security profile, harus diapply di ruleConnect List
www.training-mikrotik.com
Page 176
Registration List •
Pada Access Point dan Station, Station, Registered Registered List berisi berisi data data AP/st AP/station ation yang sedang terkoneksi.
•
Untuk memudahkan memudahkan filtering filtering pada Access Access List dan Connecti Connection on List, menggunakan menu “Copy to Access/Connect List”
www.training-mikrotik.com
Page 177
Default Authenticated •
Untuk menggunakan menggunakan piliha pilihan n Connection Connection List List atau Access List baik pada AP atau Station Default Authenticated harus di uncheck.
www.training-mikrotik.com
Page 178
LAB-Wireless Mac Filtering Buatlah topologi AP-Station dengan SSID yang sama.
www.training-mikrotik.com
Page 179
LAB – MAC Filtering • Filte ilterr mac mac addr addres ess s agar konek oneksi si poin pointt to poin pointt anda nda dengan partner tidak mudah dikacaukan oleh koneksi lain. • Masu Masukk kkan an data data mac mac addr addres ess s wirel ireles ess s part partne nerr ke list list yang benar. • Jika Jika sebaga sebagaii Statio Station n masukk masukkan an kedala kedalam m Connec Connect-L t-List ist,, apabila sebagai AP masukkan m asukkan dalam Access-List. • Untu Untuk k setti etting ng wirel ireles ess s pada pada AP, AP, defa defaul ultt auth authen enti tica cate te harus di-uncheck, agar tidak semua client bisa teraouthentikasi secara otomatis. • Coba untuk konek ke AP AP yang yang bukan pasangan pasangan
www.training-mikrotik.com
Page 180
Drop Koneksi Antar Client •
Default Default forward forward (hanya (hanya dapat diseting diseting pada pada Access Access Point). Point).
•
Digunaka Digunakan n untuk untuk mengijinkan/ mengijinkan/tid tidak ak komunikasi komunikasi antar client/st client/stati ation on yang terkoneksi dalam 1 Access Point. • Defa Defau ult forw forwa ard bia biasany sanya a didisable untuk alasan keamanan. • Sesam Sesama a stat statio ion n tidak tidak dapat dapat berkomunikasi, apabila default forward di uncheck
www.training-mikrotik.com
Page 181
LAB – Default Fowarding
• Cobalah ping antar antar peserta peserta ketika ketika default fowarding fowarding check dan uncheck www.training-mikrotik.com
Page 182
Nstreme • Nstreme adalah proprietary Mikrotik
protocol
wireless
• Men Menin ingk gkat atka kan n perfo erfoma manc nce e link link wirel ireles ess s jarak jauh. • Untuk konek fitur Nstreme harus diaktifkan baik di sisi AP maupun station • Konfigurasi Nstreme hanya di sisi AP, client hanya meng-enable-kan saja www.training-mikrotik.com
Page 183
LAB - Wireless Nstreme Setting di AP
www.training-mikrotik.com
Page 184
LAB - Wireless Nstreme Setting di Station
Coba Cobala lah h kone konek k deng dengan an Lapt Laptop op ke AP yang ang meng mengak akti tifk fkan an feat featur ure e nstream
www.training-mikrotik.com
Page 185
Wireless Security • Un Untuk pengamanan nan koneksi wireless, ss, tidak hanya cukup dengan MAC-Filtering, karena data yang lewat ke jaringan bisa diambil dan dianalisa. • Terda erdapa patt metod etode e keam keama anan nan lain ain yang yang dapa dapatt digunakan yaitu: – Authentication (WPA-PSK, WPA-AEP) – Enkripsi (AES, TKIP, WEP)
www.training-mikrotik.com
Page 186
Wireless Security
www.training-mikrotik.com
Page 187
Wireless Encryption - WPA •
Pilihan Pilihan wireless wireless encryptio encryption n terdapat terdapat pada menu Wireless> Wireless>Sec Securi urity ty Profile.
•
Security Security profile profile diberi nama tertentu tertentu untuk diimplementasi diimplementasikan kan dalam dalam interface wireless.
Dynamic key = WPA Static Key = W EP (lama) (lama) Jenis Authentifikasi
Model Enkripsi
Key Authentifikasi / password
www.training-mikrotik.com
Page 188
Wireless Encryption •
Implementasi Implementasi security security profile profile
Pilih security profil yang telah kita buat sebelumnya baik di AP maupun maupun Station Station
www.training-mikrotik.com
Page 189
WEP Encryption • WEP WEP (Wir (Wired ed Equi Equiva valen lentt Priv Privac acy) y) tipe tipe wirel wireless ess security yang pertama kali muncul dan masih sangat sederhana • Tidak mempunya mempunyaii authenticate authenticate method method • Not recommen recommended ded as it is is vulnerable vulnerable to wireless wireless hacking tools
www.training-mikrotik.com
Page 190
LAB-WEP Encryption •
Buat koneksi AP-Stati AP-Station on dengan dengan pasangan pasangan anda.
•
Create WEP securit security y profile profile pada pada kedua kedua sisi sisi wlan wlan (AP & station station), ), samakan static keyny k eynya. a.
•
Apply security security profile profile tersebut tersebut pada interface interface wirele wireless ss wlan1 wlan1
www.training-mikrotik.com
Page 191
LAB-WEP Encryption • Pada Wireless>
Wireless Security Profile: -Mode: static keys required -Key 0 : 40 bit -0x : 1234567890
www.training-mikrotik.com
Page 192
LAB - Virtual Access Point •
Virtual Virtual AP akan menjadi child dari wlan (interface (interface real).
•
Satu interface interface dapat memiliki memiliki banyak virtual virtual AP (maksimum (maksimum 128)
•
Virtua Virtuall AP dapat dapat diset diset dengan SSID, SSID, security security profile profile dan dan access list yang berbeda, namun menggunakan frekuensi dan frekuensi dan band yang sama dengan sama dengan wlan induk.
•
Virtual Virtual AP bersifat bersifat sama seperti AP: – Dapat dikoneksikan dengan station / client. – Dapat difungsikan sebagai DHCP server. server. – Dapat difungsikan sebagai Hotspot server.
www.training-mikrotik.com
Page 193
Nstreme Dual Nstre Nstreme me dual dual memanf memanfaat aatkan kan keungg keunggula ulan n Nstre Nstreame ame (polli (polling ng based) based) namun namun menggunakan 2 interface sekaligus yaitu 1 sebagai TX dan satu lagi sebagai RX.
Untu Untuk k menj menjal alan anka kan n nstr nstrem eme e dual dual Mikrot ikrotik ik haru harus s memp mempuny unyai ai 2 inter interfa face ce wireless.
www.training-mikrotik.com
Page 194
Nstreme Dual
•
Untuk konfigurasi konfigurasi Mikrotik Mikrotik lawannya lawannya frekuensi frekuensi untuk TX dan dan Rxnya Rxnya dibalik www.training-mikrotik.com
Page 195
Bridge (Layer 2 Connection)
www.training-mikrotik.com
Page 196
Bridge • Meng Mengg gabun abungk gkan an 2 atau atau lebi lebih h inte interrface face seola eolahh-ol ola ah berada dalam 1 segmen network yang sama, • Bridge Bridge juga juga dapat berjalan berjalan pada pada jaringan jaringan wireles wireless s • Proses Proses bridge bridge berjalan berjalan pada layer data link (layer (layer 2) • Inte Interrface face brid bridge ge adal adalah ah inte interrface face virtu irtual al,, dima dimana na kita kita dapat membuat sebanyak yang kita inginkan. • Tahap Tahap pembuat pembuatan an bridge bridge adalah, adalah, membuat membuat bridge bridge baru baru dan menambahkan interface fisik kedalam port bridge. • Jika Jika kita membuat membuat interfac interface e bride tanpa tanpa menambahk menambahkan an inte interrfac face fis fisik pad pada port portny nya, a, mak maka bri bridge dge ter tersebu ebut dianggap sebagai interface loopback.
www.training-mikrotik.com
Page 197
Bridge • Kelemahan Kelemahan dari Bridge adalah: – Sulit untuk mengatur (misalnya akibat virus, dll)
trafik
broadcast
– Permasalahan pada satu port/segmen akan membuat masalah di port/segmen pada bridge yang sama – Peningkatan beban trafik akibat terjadinya akumulasi traffic broadcast
www.training-mikrotik.com
Page 198
Wireless Bridging • Semua mua mode wireless bisa dibridgin ging, kecuali mod mode station. • Mode Mode station station tidak dapat dapat di bridgi bridging, ng, sehing sehingga ga diciptak diciptakan an mode station dengan type lain. • Station bridge adalah fitur MikroTik sejak v5 yang memungkinkan station untuk dibridge. • Stat Statio ion n brid bridge ge hany hanya a akan akan berj berjal alan an pada pada kone koneks ksii anta antar r MikroTik (versi 5 keatas).
www.training-mikrotik.com
Page 199
Lab - Bridging Wirel Wireless ess mode: mode: 1. Station Station bridge 2. Station Station 3. Station pseudobridge 4. Station pseudobridge clone
Wireless mode: AP-bridge
wlan1
bridge
bridge
192 192.16 .168.88 8.88.2 .2
192 192.16 .168.88 8.88.3 .3
ether 192.168.88.1
192.168.88.4
www.training-mikrotik.com
Page 200
LAB-Simple Wireless Bridge • Set wireless wireless mode ke station station bridge atau pseudobr pseudobridge idge
www.training-mikrotik.com
Page 201
LAB - Simple Wireless Bridge •
Pada menu Bridge, Bridge, buatlah buatlah satu interface interface bride dan dan tambahka tambahkan n interfa interface ce ether1 dan wlan1 pada portsnya.
www.training-mikrotik.com
Page 202
LAB - Simple Wireless Bridge • Sambil terus di ping ping antar antar laptop, laptop, ubahlah mode wireless wireless station menjadi tipe: 1. Stati Station on 2. Statio Station n bridge bridge 3. Station Station pseudobridge pseudobridge 4. Station Station pseudobridge pseudobridge clone •
Amat Amatii ping ping antar antar laptop laptop
•
Manak anakah ah dian dianta tara ra mode ode ter tersebut but yang ang tida tidak k bisa bisa di bridging
www.training-mikrotik.com
Page 203
Tunnel
www.training-mikrotik.com
Page 204
Tunnel • Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data di jaringan. • Sebel Sebelum um diki dikiri rim, m, pake pakett data data meng mengal alam amii sedikit pengubahan atau modifikasi, yaitu penambahan header dari tunnel • Ket Ketika ika data sud sudah mele melew wati tunn unnel dan dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dilepas). www.training-mikrotik.com
Page 205
Tunnel
www.training-mikrotik.com
Page 206
VPN • VPN dibentuk digabung
dari
beberapa
tunnel
yang
• VPN adalah sebuah cara aman untuk mengakses local area network dengan menggunakan internet atau jaringan publik. • Tunnel atau terowongan merupakan kunci utama pada VPN, koneksi pribadi dalam VPN dapat terjadi dimana saja selama terdapat tunnel.
www.training-mikrotik.com
207
Page 207
VPN
www.training-mikrotik.com
208
Page 208
Tunnel Pada Mikrotik • There There are are so many many tunnel tunnel type type in Mikr Mikrotik otik : PPTP, L2TP, PPPoE, EoIP, SSTP, OpenVPN, dll • We can can see that that in in virtual virtual inter interface face that that we can add them
www.training-mikrotik.com
Page 209
EOIP •
Tunne Tunnell yang yang palin paling g seder sederha hana na di Mikro MikroTi Tik k adal adalah ah EoIP EoIP (Ethet (Ethetne nett over IP)
•
EOIP merupakan protocol protocol proprie proprietary tary untuk membangun membangun bridge bridge dan tunnel antar router Mikrotik, dimana interface EOIP akan dianggap sebagai ethernet.
•
EoIP EoIP menggunakan menggunakan encapsu encapsulat lation ion Generic Generic Routing Routing Encapsula Encapsulation tion (IP Protocol No 47).
•
EoIP EoIP tidak menggun menggunakan akan ekripsi ekripsi,, jadi tidak tidak disarankan disarankan digunaka digunakan n untuk transmisi data yang membutuhkan tingkat keamanan yang tinggi.
•
Identifikasi Identifikasi tunnel menggunakan menggunakan Tunnel ID
•
MAC Address Address diantara diantara interface interface EOIP harus berbeda berbeda
www.training-mikrotik.com
Page 210
LAB -EOIP
www.training-mikrotik.com
Page 211
EOIP Tunnel •
New Interfa Interface ce EOIP EOIP Tunnel Tunnel
Remote address=IP public lawan Tunnel ID = harus sama dengan lawan
www.training-mikrotik.com
Page 212
EoIP Tunnel •
Bridge Bridge add name=br name=bridg idge1 e1
•
Masukkan dalam interface interface bride interface interface EoIP dan ether1
•
Boleh ditambahkan ditambahkan ip address address di di interface interface bridge untuk test koneksi antar EoIP tunnel interface
www.training-mikrotik.com
Page 213
PPP • PPP PPP (Poi (Point nt to Poin Pointt Prot Protoc ocol ol)) adal adalah ah prot protoc ocol ol lay layer 2 yang digunakan untuk komunikasi secara serial. • Untu Untuk k menj menjal alan anka kan n konek oneksi si PPP PPP, mikr mikrot otik ik Rout Router erOS OS harus memiliki port/interface serial, line telephone port berupa berupa RJ11 RJ11 (PSTN (PSTN), ), atau atau modem modem selu selule lerr (PCI (PCI atau atau PCMCIA) • Untuk Untuk terbentu terbentuk k koneksi koneksi PPP dilakukan dilakukan melal melalui ui dial up nomer telepon tertentu ke ISP (misal nomor *99***1#). *99***1# ). • Kem Kemudia udian n ppp ppp bar baru mend mendap apa atkan tkan IP addr addres ess s untu untuk k koneksi internet. • MikroTik MikroTik dapat dapat digunakan digunakan sebagai sebagai PPP server server dan atau PPP client. www.training-mikrotik.com
Page 214
Setting PPP Client
Apabila ada port serial di Router maka port bisa dipilih untuk komunikasi serial
www.training-mikrotik.com
Page 215
PPTP Tunneling • PPTP melaku akukan membe mbentu ntuk tunn unnel PPP antar IP mengunakan protocol TCP dan GRE (Generic Routing Encapsulation). • PPTP PPTP secur ecure, e, kar karena ena meng enggunak unakan an enk enkrips ipsi MPPE MPPE (Microsoft Point-to-Point Encryption) panjang 40 dan 128 bit encrypts • PPTP menggunakan menggunakan port TCP 1723 • PPTP PPTP bany banyak ak dig digunak unakan an karen arena a hamp hampir ir semua emua OS dapat menjalankan PPTP client. • PPTP PPTP adal adalah ah tunn tunnel el tipe tipe clie client nt serv server er,, dima dimana na PPTP PPTP server lebih banyak melalukan konfgurasi untuk setiap client yang ingin konek www.training-mikrotik.com
Page 216
Mengaktifkan PPTP Server •
Aktifkan Aktifkan PPTP server pada menu PPP>Interfac PPP>Interface>PPT e>PPTP P Server Server
www.training-mikrotik.com
Page 217
PPP Secret • Semua Semua koneksi koneksi yang menggun menggunkan kan protoco protocoll PPP selalu selalu melibatkan authentikasi username dan password. • Secara Secara local, local, userna username me dan passwor password d ini disimpan disimpan dan diatur dalam bagian PPP PPP secr secret et.. • Userna Username me dan passw password ord ini juga juga dapat disi disimpan mpan dalam dalam RADIUS server terpisah. • PPP Secret Secret (databas (database e local local PPP) PPP) menyimpa menyimpan n username username dan password yang akan digunakan oleh semua pptp clientnya. • Selain dipak pakai unt untuk PPTP client, nt, PPP secr ecret juga uga dipakai untuk protocol ppp lainya seperti; asyn sync, l2tp 2tp, openvpn, pppoe, pptp dan sstp stp. www.training-mikrotik.com
Page 218
PPP Secret
Username dan password untuk user1 Service bisa pilih pptp atau any (all service)
IP yang nantinya akan dibuat untuk komunikas k omunikasii tunnel point to point antara server s erver dan client user1 Local address=IP yang akan dipakai server Remote address=IP yang diberikan ke client
www.training-mikrotik.com
Page 219
MikroTik PPTP Client •
Pada menu Interfac Interface e add new PPTP PPTP client, client, pada tab tab Dial Dial Out isikan dengan IP public dari PPTP server, user dan password, kemudian apply
Connect to =IP dari PPTP server (IP publicnya) publicnya) Username dan password = yang telah dibuat sebelumnya di PPTP server
www.training-mikrotik.com
Page 220
LAB PPTP Tunneling (Mikrotik to Mikrotik)
Buat Static Routing Office A (PPTP Server)
Office B (PPTP Client)
IP Route
IP Route
add dst-address=192.168.99.0/24 gateway=10.10.10.2
add dst-address=192.168.88.0/24 gateway=10.10.10.1
www.training-mikrotik.com
Page 221
Static Routing
•
Buat konfigurasi konfigurasi seperti diatas, IP addressnya addressnya disesuaikan disesuaikan
•
Laptop Laptop di set default default gatew gatewayn aynya ya
•
Laptop1, default gateway: gateway: 192.168.1.1, 192.168.1.1, Laptop 2, 192.168.2.1 192.168.2.1
•
Buat static static routing routing di R1 R1 dan R1 kearah network network yg yg tidak tidak terhubung terhubung langsung.
•
Konf Konfig igura urasi si R1: R1: IP > Route, add dst-address=192.168.2.0/24, dst-a ddress=192.168.2.0/24, gateway = 12.12.12.2
•
Konf Konfig igura urasi si R2: R2: IP> Route, add dst-address=192.168.1.0/24, d st-address=192.168.1.0/24, gateway=12.12.12.1 gateway=12.12.12.1
•
Ping Ping dari laptop laptop ke laptop laptop www.training-mikrotik.com
Page 222
Static Routing
• Buatkan routing ke semua network yang tidak direct connected dengan router kita www.training-mikrotik.com
Page 223
LAB Tunneling (MK-Laptop/PC) •
Koneksi Koneksi PPTT client dengan Windows
www.training-mikrotik.com
Page 224
(Windows) PPTP Client •
PPTP server masih menggunakan menggunakan configurasi configurasi sebelumnya sebelumnya
•
Setup New Connection Connection di Network Network Connection Connection
www.training-mikrotik.com
Page 225
(Windows) PPTP Client • Setup New Connection di Network Connection
www.training-mikrotik.com
Page 226
(Windows) PPTP Client • Pilih Connect Using Using VPN & Isikan IP PPTP PPTP Server
www.training-mikrotik.com
Page 227
(Windows) PPTP Client • Masukkan Masukkan usernam username e & passwor password d PPTP-Cl PPTP-Client ient
www.training-mikrotik.com
Page 228
Fitur pada PPTP • PPP Profile Profile Limit Limit
Limit bandwidth
Satu user 1 session
www.training-mikrotik.com
Page 229
PPTP Traffic Analyze
• Apabila kita browsing browsing di internet internet tidak, traffik aktual tidak terdeteksi. • Koneksi Koneksi yang yang terdeteks terdeteksii adalah adalah koneksi koneksi tunnel tunnel PPTP dengan Protocol 47 (GRE) www.training-mikrotik.com
Page 230
L2TP • Layer 2 Tunneling Protocol (L2TP) adalah jenis tunneling & encapsulation lain untuk unt uk protocol PPP. • L2TP L2TP mensuppo mensupport rt non-TCP/ non-TCP/IP IP protoc protocols ols (Frame (Frame Relay Relay,, ATM and SONET). SONET). • L2TP L2TP dikemban dikembangk gkan an atas kerja kerja sama antara antara Cisco Cisco dan Microsoft untuk menggabungkan fitur dari PPTP dengan protoco ocol propri prieta etary Cisco yait aitu pro protok tokol Laye ayer 2 Forwarding(L2F). • L2TP L2TP tida tidak k mela melaku kuk kan enkr enkrip ipsi si pake paket, t, untu untuk k enkr enkrip ipsi si biasanya L2TP dikombinasikan dengan IPsec. • L2TP menggunakan menggunakan UDP port 1701. www.training-mikrotik.com
Page 231
L2TP Server
www.training-mikrotik.com
Page 232
MikroTik L2TP Client
Connect to =IP dari L2TPserver (IP publicnya) Username dan password = yang telah dibuat sebelumnya di L2TP server
www.training-mikrotik.com
Page 233
Windows L2TP Client
www.training-mikrotik.com
Page 234
L2TP – Traffic Analyze
• Setelah Setelah mengg menggunak unakan an L2TP tunnel tunnel,, traffik traffik pada wlan1 wlan1 merupakan traffic L2TP • Hanya Hanya menggunakan menggunakan protocol protocol UDP www.training-mikrotik.com
Page 235
PPPoE •
PPPoE PPPoE adalah adalah untuk enkapsulasi enkapsulasi frame Point-to-Poin Point-to-Pointt Protocol(PP Protocol(PPP) P) di dalam frame Ethernet,
•
PPPoE PPPoE biasanya biasanya dipakai untuk jasa layanan layanan ADSL ADSL untuk untuk menghubungkan menghubungkan modem ADSL (kabel modem) di dalam jaringan Ethernet (TCP/IP).
•
PPPoE, PPPoE, adalah Point-to-Poi Point-to-Point, nt, di mana harus ada satu satu point point ke satu point lagi. Lalu, apabila point yang pertama adalah router ADSL kita, lalu di mana point satu nya lagi ?
•
Tapi, bagaimana bagaimana si modem modem ADSL ADSL bisa bisa tahu tahu point point satunya satunya lagi apabila apabila kita (biasanya) hanya mendapatkan username dan password dari provider?
•
Tahap awal dari PPPoE PPPoE,, adalah PADI PADI ( PPP PPP Active Active Discov Discovery ery Initiati Initiation on ), PADI mengirimkan paket broadcast ke jaringan untuk mencari men cari di mana lokasi Access Concentrator di sisi ISP.
www.training-mikrotik.com
Page 236
PPPoE
www.training-mikrotik.com
Page 237
Tahapan Koneksi PPPoE •
PADI ( PPP Active Discovery Initiation ), Di sini PPoE client mengirimkan paket broadcast ke jaringan dengan alamat pengiriman mac address FF:FF:FF:FF:FF:FF. PPPoE client mencari di mana lokasi PPoE server dalam jaringan.
•
PADO (PPPoE (PPPoE Active Active Discovery Discovery Offer). Offer). PADO ini merupakan merupakan jawaban dari PPoE server atas PADI yang didapatkan sebelumnya. sebelum nya. PPPoE server memberikan memberik an identitas berupa MAC addressnya.
•
PADR ( PPP PPP Active Active Discovery Discovery Request Request ), merupakan konfirmasi dari PPoE client ke server. Disini PPoE client sudah dapat menghubungi PPoE server menggunakan mac addressnya, berbeda dengan paket PADI yang yang masih m asih berupa broadcast.
www.training-mikrotik.com
Page 238
Tahapan Koneksi PPPoE •
PADS ( PPP PPP Active Active Discov Discovery ery SessionSession-confirmat confirmation ion ), ), dari dari PPoE PPoE server ke client. Session-confirmation di sini memang berarti ada session ID yang diberikan oleh server kepada client. Pada tahap ini juga terjadi negosiasi Username, password dan IP address. address .
•
PADT ( PPP PPP Active Active Discovery Discovery Terminate ), bisa bisa dikirim dikirim dari dari server server ataupun client, ketika salah satu ingin mengakhiri koneksinya
www.training-mikrotik.com
Page 239
Tahapan Koneksi PPPoE
www.training-mikrotik.com
Page 240
QoS
www.training-mikrotik.com
Page 241
QoS • Bandwidth Limiter
www.training-mikrotik.com
Page 242
Rate Limit • Pada RouterOS, RouterOS, dikenal 2 jenis jenis batasan batasan rate limit: • CIR (Com (Commi mitt tted ed Info Inforrmati mation on Rate Rate)) - dala dalam m kead keadaa aan n terbur terburuk uk,, clie client nt akan akan menda mendapa patk tkan an band bandwi width dth sesu sesuai ai dengan “limit-at” limit-at” (deng engan asumsi msi band bandw width yang ang tersedia cukup untuk CIR semua client). • MIR (Ma (Maximal Information Rate)- jika masih ada bandwidth yang tersisa setelah semua client mencapai “lim “limit it-a -at” t”,, mak maka clie client nt bisa bisa mend mendap apat atk kan band bandw width idth tambahan hingga “max-limit “max-limit”. ”.
www.training-mikrotik.com
Page 243
Simple Queue • Pada Route uterOS, Bandw ndwidth dth Limi Limitt dapat pat dil dilaku akukan dengan berbagi cara (wireless access list, ppp secret dan hotspot user) • Simple queue mengatur mengatur pembatasa pembatasan n bandwidth bandwidth dengan hany hanya a mend mendef efin inis isik ikan an para parame mete terr IP addr addres ess s (tar (targe gett address) dari host/koneksi yang dilimit. • Simple ple queu ueue palin ling sede ederhana hany hanya a mel melakuk akuka an pembatasan bandwidth max-limit (MIR)
www.training-mikrotik.com
Page 244
LAB - Simple Queue Batasi bandwidth Laptop anda 256k Upload, 256k Download
www.training-mikrotik.com
Page 245
LAB - Simple Queue Total adalah penjumlahan upload dan download
www.training-mikrotik.com
Page 246
LAB-Cek Bandwidth Status Simple Queue status
Toot Torch status
www.training-mikrotik.com
Page 247
PCQ •
PCQ akan kan memb membu uat sub-queue eue, berdasarkan parameter pcq-classifier (src-ad (src-addre dress, ss, dst-ad dst-addre dress, ss, src-po src-port, rt, dst-port)
•
Dimun mungkin kinkan kan untuk mem membatasi maksimal data rate untuk setiap subqueue queue (pcq (pcq-ra -rate te)) dan dan jumla jumlah h paket paket data (pcq-limit)
•
Total Total ukur ukuran an queue queue pada pada PCQ-su PCQ-subbqueu queue e tidak idak bisa bisa mel melebih ebihii juml jumlah ah paket sesuai pcq-total-limit
www.training-mikrotik.com
Page 248
Contoh Penggunaan PCQ • PCQ Rate = 128k 128k
www.training-mikrotik.com
Page 249
Contoh Penggunaan PCQ • PCQ Rate = 0
www.training-mikrotik.com
Page 250
LAB- PCQ
www.training-mikrotik.com
Page 251
LAB - PCQ •
Buat Mark Packet Packet upload & download download /ip firewall mangle add chain=prerouting chain= prerouting action=mark-packet ininterface=etherLAN interface= etherLAN new-packet-mark=client_upload new-packet-mark=client_upload /ip firewall mangle add chain=prerouting chain= prerouting action=mark-packet ininterface=etherWAN interface= etherWAN new-packet-mark=client_download new-packet-mark=client_download
•
Buat 2 PCQ queue types – satu untuk download download dan satu untuk upload. dstaddress untuk traffik download user, src-address untuk traffik upload /queue type add name="PCQ_download" kind=pcq pcq-rate=64000 pcqclassifier=dst-address /queue type add name="PCQ_upload" kind=pcq pcq-rate=32000 pcq-classifier=srcaddress
•
Buat Buat 1 rule rule simple simple queue queue /queue simple add target-addresses= 192.168.0.0/24 queue=PCQ_upload/PCQ_download \ packet-marks=client_download,client_upload
www.training-mikrotik.com
Page 252
Network Management
www.training-mikrotik.com
Page 253
ARP • Meskipun peng engala alamat matan paket data meng mengg gunak nakan alamat alamat IP, IP, alamat alamat hard hardwa ware re/ha /hardw rdwar are e addre address ss harus harus digu igunak nakan unt untuk transp nsport ort dat data host ost to host ost pada ada connected network. • ARP digun digunaka akan n untuk untuk mapping mapping layer layer OSI OSI level level 3 (IP) ke ke layer OS level 2 (MAC Address). • Route outerr memil emilik ikii tabe tabell entr entrii ARP ARP saat aat ini ini digu diguna nak kan, an, biasanya tabel ARP dibuat secara dinamis oleh router, tetap tetapii untuk untuk menin meningk gkat atka kan n keam keaman anan an jaring jaringan, an, dapa dapatt juga dibuat secara statis baik sebagian atau semuanya dengan menambahkan secara manual pada entri ARP tabel. www.training-mikrotik.com
Page 254
Interface ARP Mode •
Enable Mode ini default enable pada semua interface di MikroTik. Semua ARP akan ditemukan dan secara dinamik ditambahkan dalam ARP tabel.
•
Proxy ARP ARP Router dengan mode ARP proxy akan bertindak sebagai transparan proxy ARP antara dia atau lebih jaringan yang terhubung langsung.
•
Repl Reply y Only nly ARP reply-only rep ly-only memungkinkan router hanya kan mereply ARP statis ditemukan di tabel ARP, akses ke router dan ke jaringan di bela belaka kang ng rout router er hany hanya a dapa dapatt diak diakse ses s oleh oleh kom kombina binasi si Ip dan dan mac mac address yang ditemukan di tabel ARP.
•
Disab sable permintaan ARP dari klien tidak dijawab oleh router. Oleh karena itu, statis arp entri harus ditambahkan disamping disisi router juga disisi client. misal pada W indows menggunakan perintah arp: C: \> arp-s 192.168.2.1 00-aa-00-62-c6-09
www.training-mikrotik.com
Page 255
LAB- ARP Mode ARP Reply-Only Reply-Only •
Koneksikan Koneksikan Laptop dengan salah satu interface. interface.
•
Set interface interface reply-only reply-only dan coba ping, dari laptop ke router. router.
www.training-mikrotik.com
Page 256
LAB- ARP Mode ARP Reply-Only Reply-Only •
Tambahkan Tambahkan kombinasi kombinasi IP dan dan ARP ARP dari laptop pada menu menu IP>ARP IP>ARP
•
Coba ping kembali ip router dari laptop.
•
Gunakan laptop peserta lain, isikan IP yang yang sama dengan IP laptop laptop anda sebelumnya.
•
Coba Coba ping ping kembal kembalii
www.training-mikrotik.com
Page 257
LAB - DHCP Server • DHCP server server dapat dapat dijalanka dijalankan n pada masing-mas masing-masing ing interfac interface e di router. • Untuk memudahkan memudahkan seting seting DHCP DHCP server, server, sebelu sebelumnya mnya add add IP addr addres ess s untu untuk k inte interf rfac ace e yang yang akan kan men menjala jalank nkan an DHCP DHCP server. • Setti Setting ng DHCP DHCP serv server er pada pada menu menu IP>D IP>DHC HCP P Serv Server> er>DH DHCP CP Setup
www.training-mikrotik.com
Page 258
CONTACT
[email protected] Skype : rofiq.fauzi +6281-565-83-545 www.id-networkers.com www.training-mikrotik.com
www.training-mikrotik.com
Page 259