ENA Student Guide

85
Extreme Networks (Associate) I. 1. Overview A. Strategi Produk Solusi Mobile untuk Enterprise Jaringan saat ini Kekuatan Extreme XOS Jaringan Masa Depan - Sekarang Perampingan DC Personalisasi Keuntungan-Keuntungan

description

ENA Study Guide, yang saya terjemahkan dalam bahasa Indonesia. Ada beberapa bab yang tidak saya terjemahkan -karena sudah paham atau malas :).

Transcript of ENA Student Guide

Page 1: ENA Student Guide

Extreme Networks (Associate)

I. 1. Overview

A. Strategi Produk Solusi Mobile untuk Enterprise

Jaringan saat ini

Kekuatan Extreme XOS

Jaringan Masa Depan - Sekarang

Perampingan DC

Personalisasi

Keuntungan-Keuntungan

1. Perampingan DC

2. Pengelolaan Identitas

3. Port Universal

4. Virtualisasi jaringan (Extreme Virtualization Network/XNV)

5. Pengelola Jaringan - Ridgeline

6. Infrastruktur Berperforma Tinggi

B. Switching Product Portfolio

1. BD

2. Summit Series

3. ExtremeXOS

C. Other Products

1. Port Extenders, Wireless, and Management Products

II. 2. Switch Management

A. Sekilas Metode akses

Page 2: ENA Student Guide

Koneksi port konsol

Kabel serial DB-9 : 9600, 8, N, 1

Telnet dan SSH2

Mendukung 8 koneksi bersamaan

Mendukung telnet/SSH bersarang (nested)

Defaultnya, timeout sesi telnet dan konsol ini adalah 20, tetapi dapat diubah menjadi 1-240 menit.

configure idletimeout <menit>

disable idletimeout

Jika idletimeout dinon-aktifkan, maka sesi SSH2 akan timout setelah 61 menit tanpa aktivitas.

Web

HTTP dan HTTPS

SNMP

SNMPv1, v2, dan v3

Akses IP

In Band

VLAN mana saja (dengan port nya) yang di set memiliki alamat IP

Out of Band

VLAN mgmt (berisi 10/100 port UTP)

Admin dapat memutus sambungan semua sesi dengan --> clear session [ <nomor sesi> | all ]

Login switch :

2 level akses

Administrator

Akses penuh ke CLI atau GUI web

User

Akses baca-saja (read-only) ke CLI atau GUI web

Dapat mengubah passwordnya sendiri, ping, telnet, dll.

Tidak bisa menjalankan perintah 'show configuration'

s/d 16 akun

Password

Bersifat case sensitive

Page 3: ENA Student Guide

Kebijakan password meliputi kompleksitas, history, umur, dan panjang minimum

Tidak dikonfigurasi secara default

Cara konfigurasi :

Kompleksitas --> configure account [<nama akun> | all] password-policy char-validation [none | all-char-groups]

History --> configure account [<nama akun> | all] password- policy history [none | <jumlah password>]

Mengunci (lockout) --> configure account [<nama akun> | all] password-policy lockout-on-login-failures [on | off]

Umur maksimal --> configure account [<nama akun> | all] password-policy max-age [none | <jumlah hari>]

Panjang maksimal --> configure account [<nama akun> | all] password-policy min-length [none | <jumlah karakter>]

Akun failsafe

Digunakan untuk recovery

Jika password hilang, kembalikan switch ke Extreme Networks.

CLI - Pembantu Syntax

Tombol <tab> dan <?> menampilkan kata berikutnya dari sebuah rangkaian perintah

Tombol <spasi> dapat juga digunakan dengan memasukkan perintah --> enable cli space-completion

CLI - Command Prompt

Command prompt CLI memiliki 4 elemen (referensi --> * ACC-SSPS_GD_DPN- X450_48p.3 # ) :

Pengubahan konfigurasi yang belum disimpan --> *

Nama switch --> ACC-SSPS_GD_DPN-X450_48p

Jumlah perintah yang dimasukkan dalam sesi berjalan --> 3

Level wewenang --> # = admin; > = pengguna biasa.

CLI - History perintah

Menampilkan semua perintah yang pernah dimasukkan

Dimasukkan dalam buffer history perintah

Isi buffer dapat dilihat dengan perintah --> history

Bisa juga dengan tombol arah atas dan bawah

CLI - Login Failsafe

Page 4: ENA Student Guide

Merupakan akun 'last resort' (jagoan terakhir)

Mengakses switch saat password admin hilang

Akun failsafe tidak pernah ditampilkan tetapi sebetulnya selalu ada.

Pengubahan pada akun failsafe langsung dimasukkan kedalam NVRAM, bukan ke file konfigurasi

Untuk mengakses switch menggunakan akun failsafe, kita harus tersambung dengan menggunakan metode yang diizinkan (permitted method)

configure failsafe-account permit [all | control | serial | ssh | telnet ]

Konfigurasi akun failsafe dengan cara -- > configure failsafe-account

Logging Jarak Jauh (Remote) : Syslog

configure syslog {add} [<ip address> | <ip port>] {vr <nama vr>} [local1 .. local7] {<severity>}

enable syslog

Untuk aktivasi log real-time :

Untuk konsol --> enable log display

Untuk telnet dan ssh --> enable log target session; enable log display

Verifikasi konfigurasi Manajemen :

show management

menampilkan :

status-status :

Telnet/SSH2

Web (HTTP/HTTPS)

SNMPv1/v2

daftar perangkat (station) dan diotorisasi untuk SNMP

daftar perangkat penerima perangkap (trap) SNMPv1

Konfigurasi polling RMON

Statistik SNMP

Verifikasi status switch :

show switch

menampilkan :

Info SNMP perangkat

MAC address sistem

Tipe switch

Page 5: ENA Student Guide

Tanggal dan waktu

Status

Info software

File image yang diload, diboot, dan dipilih

Info konfigurasi

File konfigurasi yang dipilih dan diboot

Router Virtual ()Virtual Router/VR) pada Switch

Adalah emulasi dari router sebenarnya (physical router)

Sebuah switch dibagi-bagi menjadi beberapa router virtual yang memiliki tabel pengiriman (forwarding table) yang terpisah.

Router virtual pada sistem

Defaultnya ada 2, yaitu :

VR mgmt

'Pemilik tunggal' port mgmt. Dibuat pada saat booting. Port atau VLAN lain tidak bisa ditambahkan kedalam VR ini

dan VR default

semua port data termasuk kedalam VR ini. Port atau VLAN lain dapat ditambahkan kedalamnya.

Hanya switch-untuk-core yang bisa ditambahi VR selain VR default tsb.

Beberapa perintah membutuhkan penyisipan kata (argument) router virtual

Mengidentifikasi kelompok port yang terhubung ke perangkat tujuan

contoh :

ping vr vr-default 10.0.0.1 / ping vr vr-mgmt 10.0.0.1 (untuk ping, defaultnya vr yang digunakan adalah vr-default)

tftp put 10.0.0.2 primary.cfg (dikirimkan melalui port mgmt; defaultnya menggunakan vr-mgmt) / tftp put 10.0.0.2 vr vr-default primary.cfg (dikirmkan melalui port data)

s/d 63 VR dapat dibuat dalam switch2 berikut :

BD8K dengan MSM c-series dan BD8900 dengan MSM xl-series, BDX8K, dan Summit X460, X480, dan X650.

Memberikan alamat IP

Alamat IP diberikan pada VLAN

Setiap switch memiliki 2 VLAN default (pre-configured VLAN), yaitu VLAN 'default' yang berisi semua port data dan 'mgmt' yang berisi 1 port manajemen.

Page 6: ENA Student Guide

Memberikan alamat IP menciptakan interface router untuk VLAM dalam router virtual yang sesuai.

Switch membutuhkan alamat IP untuk :

Pengelolaan switch

Mengunduh image XOS atau file konfigurasi

Routing

Contoh konfigurasi --> configure vlan mgmt ipaddress 10.0.0.1/24

Jika subnet mask tidak dimasukkan, maka mask yang digunakan adalah mask classful.

B. Pengelolaan File Image Image Software

Image yang dapat dipilih oleh pengguna

2 lokasi image --> primary dan secondary

Hanya penamaan lojik saja, adapun tempatnya (secara fisik) sama- sama di bagian tersembunyi (tidak dapat dilihat) di dalam CF.

Terdapat fitur fallback untuk  verifikasi upgrade

Kode eksekusi yang dikompresi

Image dikompresi untuk meyediakan ruang didalam flash

Di load saat boot

Image didekompresi dan di load saat boot

Versi Switch dan Info Hardware

show version

Menampilkan : S/N switch, BootROM, versi image software

perintah 'show version' adalah perintah wajib yang harus disisipkan ketika melaporkan suatu kerusakan ke Extreme (dilanjutkand dengan 'show tech', dll.)

Mengartikan nama file image XOS

Nama image menunjukkan tipe switch

Contoh : bd10k-12.6.2.10.xos --> untuk BD10K

Tipe ekstensi menunjukkan tipe image

Contoh : summitX-12.6.2.10.xos --> Untuk image software (yang lainnya : .xmod untuk modul software, .xtr dan .xbr untuk bootROM software)

Versi image core (.xos) dan modul (.xmod) harus sama.

Mengartikan tampilan versi XOS (Referensi ke : bd10k-12.6.2.10-ssh.xmod)

Page 7: ENA Student Guide

12 --> Versi mayor

6 --> Versi minor

2 --> Patch

10 --> Build

ssh --> Nama paket (package)

modul yang tersedia : ssh2, legacyCLI, CNA

melihat versi image (core dan modul) yang terinstal pada switch --> show version images

Memilih File Image yang Akan Aktif pada Boot Berikutnya

Pilih file image yang akan digunakan pada boot berikutnya

use [primary | secondary]

Simpan konfigurasi

save [configuration

Reboot switch

reboot

Untuk menjadwalkan reboot --> reboot time <bulan> <tanggal> <tahun>

Untuk mereboot msm atau slot tertentu saja --> reboot msm b / reboot slot 1

Verifikasi image yang digunakan

show switch

show version

Mengupgrade Switch

Image harus didownload ke lokasi yang non-aktif (contoh : secondary)

download image <nama image> vr <nama vr> secondary

Install image ke flash

install image secondary

Pilih image untuk digunakan pada boot berikutnya

use image secondary

Reboot untuk mengaktifkan image baru

reboot

Verifikasi penggunaan image baru

show switch

Page 8: ENA Student Guide

C. Pengelolaan File Konfigurasi Verifikasi konfigurasi switch

show configuration

Menampilkan konfigurasi yang sedang berjalan di RAM saat ini (hanya menampilkan perubahan konfigurasi dari konfigurasi 'factory default')

Untuk membuat perubahan konfigurasi pada RAM bersifat permanen (disimpan di flash dan d load saat boot), konfig tsb perlu disimpan terlebih dahulu.

show configuration detail

Menampilkan konfigurasi termasuk 'factory default'

show config ospf detail

Menyimpan konfigurasi

File-file konfigurasi menyimpan versi konfigurasi didalam flash

Konfigurasi XOS disimpan dalam format XML

File yang diload saat boot dapat dipilih

Konfigurasi dapat disimpan dengan nama apa saja

save configuration test

Disimpan sbg test.cfg

save configuration primary

disimpan sbg primary.cfg

argumen 'primary' dan 'secondary' memberikan kompabilitas XOS dengan ExtremeWare

Konfigurasi dapat disalin dari dan ke switch lain

menggunakan 'tftp' untuk menyalin file

tftp [put | get] vr <nama vr> <ip address> new.cfg (contoh)

jika vr tidak diisi, maka vr yang digunakan adalah vr-mgmt

menggunakan 'upload' untuk menyimpan konfigurasi pada RAM ke server tftp dalam format perintah CLI

upload configuration <ip> new.xsf vr <nama vr>

Hanya menyimpan konfigurasi yang berbeda dari konfigurasi factory- default

Memilih file konfigurasi

Memilih file konfigurasi

use configuration test.cfg

Page 9: ENA Student Guide

Jika tidak ada yang dipilih, maka switch menggunakan konfig 'factory default' saat reboot

Menyimpan

save configuration test.cfg

Reboot

reboot

Verifikasi

show switch

Melihat file konfigurasi yang aktif saat ini

show switch

Menampilkan :

Konfigurasi file yang di boot

Konfigurasi file yang di pilih

Detil file konfigurasi :

Versi software

Ukuran file konfigurasi

Tanggal dan waktu file konfigurasi dibuat

Saat upgrade versi XOS, file konfigurasi yang dipilih di load ke RAM lalu diupgrade dengan format konfigurasi versi XOS yang baru. Konfigurasi yang diupgrade ini perlu di save (tidak wajib, ttp direkomendasikan) untuk menampilkan info mengenai versi XOS yang baru. File konfigurasi yang disimpan dengan versi terbaru dari XOS dapat diload jg pada versi XOS sebelumnya.

Me-reset switch ke factory default

unconfigure switch

Semua di reset kecuali :

Akun-akun pengguna, termasuk akun failsafe

Konfigurasi SummitStack

Tanggal dan Waktu

unconfigure switch all

Semua di reset kecuali tanggal dan waktu

Setelah reboot, akan ditanya ttg ini :

Aktivasi telnet

Aktivasi SNMP

Page 10: ENA Student Guide

Aktivasi port data

Pengubahan username dan password pada akun failsafe, serta metode akses

Memasukkan perintah unconfigure switch all dapat me-reset dukungan stacking dan pemilihan port stacking pada node lokal saja dan tidak mempengaruhi node-node stack lainnya

D. Pengelolaan File Sistem Melihat daftar file

ls

Menyalin, mengubah nama, dan menghapus file

cp, mv, rm

Kita tidak bisa mengubah nama file konfigurasi yang sedang digunakan.

E. BootStrap & BootROM Pilihan menu BootStrap

Biasanya diakses secara tidak sengaja atau ada error saat boot pada switch

Cara akses :

Saat reboot, tekan <spasi>

Ketika prompt BootStrap muncul, lepaskan <spasi>

Tekan <h> untuk daftar perintah

Ketika 'boot' untuk keluar dr menu BootStrap

SwitchSummit memilik 2 tingkat bootloader, yaitu BootStrap, yang menginisiasi prosesor dan meload salah satu dari 2 bootloader tingkat 2 (BootROM), yaitu primary atau secondary (tidak menunjukkan lokasi primary atau secondary dari image).

Switch berbasis chassis hanya memiliki bootloader 1 tingkat, yaitu tanpa melewati BootStrap.

Pilihan menu BootROM

Biasa diakses jika ada problem dalam boot pada switch

Kehilangan konektivitas akibat kesalahan konfigurasi

Flash atau image yang corrupt

Cara mengakses BootROM

Reboot

Saat pesan 'Running POST' muncul, tekan <spasi>

Page 11: ENA Student Guide

Pada switch berbasis chassis atau ExtremeWare, tekan <spasi> tepat ketika reboot.

Menggunakan BootROM untuk mengubah opsi boot

Untuk boot dari image primary : boot 1

Untuk boot dari image secondary : boot 2

Untuk menggunakan konfigurasi 'test.cfg' dengan image yang dipilih :

config test.cfg

boot

Untuk menggunakan konfigurasi 'factory default' dengan image yang dipilih :

config none

boot

Pemulihan image dan file konfigurasi oleh BootROM tidak mengubah pilihan image dan file konfigurasi dari konfigurasi switch. Pilihan oleh BootROM hanya berlaku dalam sekali boot saja.

Mengupgrade BootROM

BootROM bertanggungjawab dalam booting switch

BootROM memverifikasi signature software dan menolak software yang incompatible

Upgrade BootROM terkadang dibutuhkan untuk versi image mayor yang baru

Cara upgrade BootROM

download bootrom <ip> <nama image> vr <nama vr>

Verifikasi :

show version

F. Pengelolaan Keamanan Otentikasi pengguna switch

Opsi otentikasi :

RADIUS

Server RADIUS dengan integrasi LDAP atau AD

Microsoft IAS dalam platform Windows Server sudah memberikan layanan RADIUS

TACACS+

Server TACACS+ dengan integrasi LDAP atau AD

Cisco ACS's untuk Windows Server

Hanya bisa menggunakan RADIUS atau TACACS+, tidak bisa keduanya

Page 12: ENA Student Guide

Konfigurasi akses RADIUS

Konfigurasi pada switch untuk akses management

configure radius mgmt-access primary server <ip> client-ip <ip>

configure radius mgmt-access primary shared secret <teks kunci rahasia>

Aktivasi

enable radius mgmt-access

Verifikasi

show radius mgmt-access

RADIUS mendukung :

Server RADIUS primer dan sekunder

Konfigurasi Port UDP RADIUS

Pemilihan NAS-IP (IP address VLAN)

2 tipe klien RADIUS, yang berjalan sendiri-sendiri :

Klien RADIUS untuk akses management switch

Klien RADIUS untuk ootektikasi Network Login

Jika tidak ada VR yang didefinisikan dalam konfigurasi klien RADIUS, maka VR yg digunakan untuk komunikasi dengan server RADIUS adalah vr-mgmt

Konfigurasi akses CLI dengan SSH2

Download modul SSH2 yang sesuai kedalam switch

Aktivasi proses SSH2

run update

Opsi lainnya adalah dengan me-reboot switch

Aktivasi akses SSH2

enable ssh2

Akan menggenerate kunci yang digunakan untuk enkripsi data antara klien ke switch

Biasanya memakan waktu 1 menit

Verifikasi akses SSH2

show management

Regenerate kunci SSH2

configure ssh2 key

Mengelola switch dengan SNMPv3

Yang didukung :

Page 13: ENA Student Guide

User Security Model (USM)

Beberapa akun pengguna dengan otentikasi yang dienkripsi.

HMAC-MD5-96, HMAC-SHA-96

View-Based Access Control Model (VACM)

Setiap pengguna dapat dibatasi aksesnya ke bagian MIB tertentu untuk R/W atau R/O saja.

Privacy

DES, 3DES, AES 128/192/256

3DES dan AES memerlukan modul SSH2

Extreme mendukung akses SNMPv1, v2, dan v3 dalam waktu yang sama. Dan semua diaktifkan secara default.

Konfigurasi akses SNMPv3

Direkomendasikan untuk mengaktivasi privasi 3DES atau AES

Dengan asumsi bahwa SSH2 sudah aktif juga

Untuk mengaktifkan SNMPv3 dengan enkripsi 3DES atau AES

restart process snmpmaster

Membuat akun pengguna SNMPv3

conf snmpv3 add user <username> authentication md5 <kunci> privacy ase 256 <kunci>

Konfigurasi hak-hak pengguna

conf snmpv3 add group <nama grup> user <nama user> sec-model <model keamanan snmp>

Verifikasi akses SNMPv3

show snmpv3 user <username>

show snmpv3 group admin user <username>

Parameter akses SNMPv3 :

Kelompok admin : USM dengan otentikasi dan privasi; anggota : admin.

Kelompok pemula : USM tanpa otentikasi dan privasi; anggota : initial

Kelompok pemula : USM dengan otentikasi tanpa privasi; anggota : initialmd5 (HMAC-MD5), initialsha (HMAC-SHA)

Kelompok pemula : USM dengan otentikasi dan privasi; anggota : initialmd5Priv (MD5 dengan DES), initialshapPriv (SHA dengan DES)

Kelompok v1v2c_ro : SNMPv1/v2c tanpa otentikasi dan privasi

Kelompok v1v2c_rw : SNMPv1/v2c tanpa otentikasi dan privasi

Page 14: ENA Student Guide

Kelompok v1v2c_NotifyGroup : SNMPv1/v2c tanpa otentikasi dan privasi

Mengelola switch dengan ScreenPlay WebUI

Mendukung akses HTTP dan HTTPS

HTTPS membutuhkan modul SSH2

Akses web tidak aktif secara default

Memantau informasi kunci melalui 'dashboard'

Informasi switch

Tipe, versi OS, konfigurasi yang dimasukkan

Informasi slot, status, temperatur

Level lisensi

Status akses pengelolaan

Konfigurasi :

Port, VLAN, stacking, SNMP, ACL dinamik

Pemantauan lebih detil :

Log, statistik port (tampilan grafik dan tabel), pemantauan QoS

Administrasi akun pengguna, sesi, dan akses ke CLI

Flash-based. Klien (browser) menggunakan SOAP HTTP untuk berkomunikasi dengan perangkat yang menggunakan XML API

G. Alat-Alat Pengelolaan Mengelola switch dengan CLI biasa

Interface 'bergaya Cisco'

Mendukung mode berikut :

Mode perintah EXEC pengguna (user EXEC) dan EXEC berwenang (priviledged EXEC)

mode EXEC berwenang dapat diakses dengan perintah 'enable'

Mode Latihan (Training Mode)

Menampilkan perintah CLI Extreme yang setara dengan perintah CLI biasa yang dimasukkan.

Membantu transisi penggunaan CLI standar Extreme

Mode Ditangguhkan (Deferred Mode)

Memungkinkan untuk memasukkan sekelompok perintah untuk dieksekusi belakangan

Perintah-perintah dimasukkan kedalam buffer

Page 15: ENA Student Guide

Ketika keluar dari mode ditangguhkan, kita akan diminta untuk mengeksekusi atau membatalkan perintah-perintah itu.

Konfigurasi CLI dengan akses biasa

Download modul LegacyCLI

Aktifkan legacyCLI

configure cli style legacy permanent

legacyCLI mulai dari mode EXEC pengguna

Masuk ke mode berwenang

enable

Masuk mode konfigurasi

configure terminal

Lihat perintah-perintah yang tersedia

<?> atau <tab>

History perintah

dengan tombol arah atas atau bawah

Mengakses CLI dengan ScreenPlay WebUI

Menyederhanakan jaringan dengan Ridgeline

Platform yang tersentralisasi untuk :

Konfigurasi dan pemantauan berbasis SNMP

Provisioning berbasis CLI untuk layanan VLAN, VMAN, EAPS, E-Line dan E- LAN

Pengelolaan ID (ID Management) dan Kontrol Akses Berbasis Kontrol (Role- Base Access Control/RBAC)

Pengelolaan virtualisasi XOS (XOS Virtualization Management/XNV) dan kontrol akses VM

Pemantauan dan konfigurasi Port Universal

Skripting berbasis GUI

Akses CLI yang aman

Penyatuan Epicenter dengan Ridgeline

Alat-alat yang esensial

Operasi yang Sederhana

UI intuitif

Alarm dalam tampilan topologi

Page 16: ENA Student Guide

Pengelolaan konfigurasi

Pelaporan dinamis

Ketersediaan  dengan kelas Voice

Sistem alarm yang cerdas

Statistik real-time

Visualisasi layanan jaringan

Keamanan yang Komprehensif

Kontrol akses berdasarkan peran

Protokol pengelolaan yang aman

Log untuk audit

Ekstensibilitas Layanan

Skripting yang fleksibel

Manajemen PU

Framework integrasi pihak ketiga

Kebutuhan-kebutuhan server Ridgeline (Windows)

Windows 7, Vista, XP Professional SP1 atau lebih tinggi, Windows Server 2003 atau 2008.

Bisa 32-bit atau 64-bit

Untuk Windows 7 hanya bisa yang 32-bit

Prosesor yang kompatibel dgn Pentium, 1GHz atau lebih. Direkomendasikan 2GHz.

RAM minimum 2GB, direkomendasikan 4GB. 4 GB untuk pengelolaan perangkat dalam jumlah besar (>1000 perangkat)

Disk 2GB, direkomendasikan file systemnya NTFS.

2GB untuk swap Ridgeline 32-bit, 4GB untuk Ridgeline 64-bit.

Kebutuhan server dan client Ridgeline

Aplikasi berbasis Java (JRE 1.6)

Platform server :

(selain Windows) Solaris 10, Red Hat 5

Platform klien :

(idem)

Browser : IE 6.0 keatas, Firefox 1.5 keatas.

Update otomatis bagi klien

Lisensi produk Ridgeline

Page 17: ENA Student Guide

Ridgeline 3.0 Dasar (Base)

Seluruh fitur enterprise tercakup, termasuk provisioning EAPS, skripting, event dan alert, tampilan topologi, pengelolaan PU, Pelaporan identitas, konfigurasi mgmt, dll.

Paket Keamanan

Kebijakan berbasis peran dan identitas; termasuk pengelolaan identitas

Provision otomatis pengguna dan perangkat

Secara lojik membagi-bagi pengguna berdasarkan identitas untuk mobilitas yang mulus

Paket Data Center

Pengelolaan siklus hidup VM; termasuk XNV

Provisioning VM di level jaringan. Visualisasi jaringan secara terpusat untuk inventoris VM, dan history lokasi VM

Paket Penasihat Layanan (Service Advisor)

Rekayasa dan pengisian layanan

Provisioning secara 'tunjuk dan klik' untuk : E-Line, E-LAN, vMAN, PB & PBB provisioning, pemantauan VPLS.

Instalasi Ridgeline

Konfigurasi Ridgeline untuk akses SNMPv3

III. 3. Konfigurasi Port & Link

A. Konfigurasi Port Melihat konfigurasi port

show port configuration

menampilkan :

keanggotaan dalam VR

status yang dikonfigurasi

status link

status auto-nego

Kecepatan

Kecepatan yang dikonfigurasi

Kecepatan aktual

Duplex

Page 18: ENA Student Guide

Duplex yang dikonfigurasi

Duplex aktual

Flow Control

Agregasi link 'load master'

Port kombo

Media GBIC yang terinstal

Redundansi

Melihat konfigurasi lebih detail

show port <port> information detail

Menampilkan :

Keanggotaan dalam VLAN

Protokol VLAN

EDP

ELSM

Ethernet OAM

Flooding

Frame Jumbo

Pembatasan rate

QoS

Network Login

Redundansi port

Mengkonfigurasi port :

Mengaktifkan dan Menonaktifkan port

enable port

disable port

Mengatur kecepatan port UTP

configure port <port> auto <on | off> speed <10 | 100 | 1000 | 10000> duplex <full | half>

Setiap port UTP telah memiliki fitur deteksi sambungan MDI/MDI-X, sehingga tidak memerlukan kabel crossover.

Verifikasi konfigurasi port

show port <port> configuration

Yang menjadi nilai-nilai default :

Page 19: ENA Student Guide

Auto-nego aktif

Auto-polarity aktif

Untuk link 10Base-T, oleh IEEE 802.3 dijelaskan bahwa interface Ethernet harus mendukung deteksi dan koreksi auto-polarity dari data yang diterima.

Pengaktifan dan penon-aktifan port dilakukan oleh 'safe default scrip' pada saat login awal

B. Agregasi Link Disebut juga pembagian beban port (port load sharing) memungkinkan switch

menggunakan bbrp port fisik sebagai 1 port logic.

Memberikan tambahan bandwidth dan ketahanan

Didukung oleh semua tipe switch Extreme

Harus didukung oleh kedua ujung untuk operasi optimal

Konfigurasi hanya pada 1 ujung tidak menyebabkan broadcast strom pada VLAN yang dikonfigurasi pada port tsb. Switch yang tidak dikonfigurasi akan menggunakan FDB untuk mengalirkan paket, dan tidak menggunakan algoritma load-sharing.

kedua ujung harus menggunakan algoritma yang sama

tetapi tidak wajib

Switch Jumlah LAG maksimum Jumlah port maksimum/LAG

BD10K, BD12K, BD20K 128 16

BD8K 128 atau 64* 8

Summit 128 8

*128 dengan mode ARP IP terdistribusi off; 64 dengan mode ARP IP terdistribusi on.

Algoritma Agregasi Link

Agregasi Link berdasarkan alamat (address-based)

Paket didistribusikan berdasarkan informasi header paket

Menjalankan 'hash' dalam header-header yang dapat dipilih berikut ini :

MAC (L2), IPv4 (L2, L3, & L4), IPv6 (L2, L3, & L4)

Algoritma yang didukung tergantung hardware yang digunakan atau informasi dari header yang dipilih

Page 20: ENA Student Guide

BD10K dan BD12K mendukung algoritma L2, L2_L3, L2_L3_L4, L2_L3_CHK_SUM, dan L2_L3_L4_CHK_SUM dengan menggunakan perintah 'configure sharing address-based'

BD20K mendukung pula algoritma L2_SMAC, L2_DMAC, L3_SIP, L3_DIP, IP6_SIP, IP6_DIP dengan menggunakan perintah 'configure sharing address-based'

Algoritma Hasing menjalankan XOR (default) atau kalkulasi CRC-16 berdasarkan informasi dari header yang dipilih dan jumlah port dalam LAG

Paket broadcast, multicast, dan unknown unicast didistribusikan pada beberapa port dalam LAG dan diproses dengan algoritma internal yang berbeda (berlaku pada semua seri switch kecuali BD8K dengan modul seri original dan SummitX450).

Pada BD8K dengan modul seri original dan SummitX450, paket2 diatas diditribusikan melalui port master LAG.

Algoritma hashing hanya dapat dikonfigurasi dengan menggunakan  perintah 'configure sharing address-based custom' untuk switch BD8K dengan modul seri xl, SummitX460, X480, dan X650.

Agregasi link berdasarkan port (port-based)

Paket didistribusikan berdasarkan port fisik asal dimana paket tsb diterima

Pemilihan port LAG bersifat tetap (deterministic)

Semua paket yang diterima dari suatu port akan dikirimkan melalui port LAG yang sama pula.

Agregasi link berdasarkan port (port-based) ini hanya didukung oleh switch seri BD10K, BD12K, dan BD20K. 

Konfigurasi Agregasi Link :

Membuat LAG

enable sharing <port master> grouping <daftar port>

Jika algoritma tidak dikonfigurasi, maka algoritma L2 digunakan secara default.

Mengubah LAG

configure sharing <port master> add | delete port <daftar port>

Verifikasi

show sharing

Mengubah Algoritma LAG

disable sharing <port master>

enable sharing <port master> grouping <daftar port> algorithm address-based L2|L3|L3_L4

Page 21: ENA Student Guide

Algoritma tidak dapat diubah jika LAG tidak dinon-aktifkan terlebih dahulu.

LAG dan LACP

Gunakan 802.3ad LACP untuk :

Secara dinamis menetapkan bilamana LAG dapat diimplementasikan dengan switch tetangga.

Secara dinamis menambahkan atau menghapus port dari LAG

LACP dikonfigurasi secara terpisah pada setiap LAG

Operasi LACP

LAG harus dibuat dengan mengaktifkan LACP terlebih dahulu

LACP non-aktif secara default

Port menjadi aktif, jumlahnya tergantung limitasi hardware

Contoh :

Switch Summit mendukung 16 port untuk dimasukkan kedalam LAG, dengan hanya 8 port yang aktif.

Saat sebuah port aktif putus, maka port standby secara dinamis akan menggantikannya.

LAG dapat aktif hanya jika LACP mendeteksi bahwa ujung lainnya juga menggunakan LACP

Port ditambahkan pada LAG jika PDU LACP sudah diterima.

Port dihapus dari LAG jika PDU LACP sudah tidak lagi diterima.

Konfigurasi agregasi link untuk LACP

Membuat LAG

enable sharing <port master> grouping <daftar port> lacp

Verifikasi LACP

show lacp lag <port master>

Konfigurasi LACP

configure sharing <port master> lacp activity-mode passive

Dalam mode passive, switch hanya merespon paket LACP, tidak memulai koneksi LACP.

Untuk menghapus LACP dari LAG, LAG harus dinon-aktifkan terlebih dahulu.

C. Protokol Penemu Link (Link Discovery Protocol) Protokol Pencarian Extreme (Extreme Discovery Protocol/EDP) :

Merupakan protokol LDP proprietary untuk mencari tahu informasi topologi pada switch Extreme

Page 22: ENA Student Guide

Aktif pada semua port secara default

Paket EDP atau PDU dialirkan melalui semua port aktif setiap 60 detik (defaultnya)

Menggunakan protokol enkapsulasi Extreme (Extreme Encapsulation Protocol/EEP)

EEP juga digunakan pada EAPS dan ESRP

Paket EEP memiliki MAC dan SNAP OUI '00:e0:2b'

EDP mengirimkan TLV berikut :

Statistik EDP

Nama sistem dan MAC address

Versi software

Detil konfigurasi port

Id port, tipe, auto-nego, pengaturan duplex dan kecepatan

Informasi VLAN yang dikonfigurasi pada port

Nama VLAN, ID tag, dan IP address

Ridgeline memerlukan EDP untuk membangun peta topologi secara otomatis. Ridgeline juga mencari LAG-LAG sebagai bagian dari proses pencarian link (link discovery)

EDP berguna untuk sbg alat untuk troubleshooting dan audit jaringan. (bbrp fungsinya mirip dengan protokol cdp pda cisco).

Mengkonfigurasi dan melihat EDP :

Melihat pengaturan EDP global

show edp

Melihat switch-switch tetangga yang ditemukan

show edp port all

Konfigurasi EDP

configure edp advertisement-interval <timer> holddown-interval <timeout>

Menon-aktifkan EDP

disable edp port <nomor port>

Melihat EDP :

show edp port <port> detail

Menampilkan :

Status EDP

Statistik EDP

Nama sistem remote

Page 23: ENA Student Guide

MAC address

Tipe port

Auto-nego

Flow control

Kecepatan dan duplex

VLAN-VLAN

LLDP :

Merupakan standar LDP yang digunakan untuk mencari informasi konfigurasi suatu perangkat

Didefinisikan oleh IEEE.1AB

Paket LLDP atau PDU memiliki MAC address dan SNAP OUI '00:80:2c'

PDU-PDU LLDP dikirim ke MAC address tujuan : '01:80:C2:00:00:0e'

LLDP dinon-aktifkan pada semua port secara default

LLDP secara umum mengirimkan TLV-TLV berikut :

Informasi sistem

MAC address, nomor port, TTL, versi software.

Kemampuan sistem (sbg bridge, router, atau keduanya)

alamat IP management

Informasi 802.3

PoE, auto-nego, kecepatan dan duplex, agregasi link, MTU

Informasi 802.1

Nama VLAN, ID Tag, Protokol VLAN

Informasi MED (Media Endpoint Devices)

PoE, kemampuan, Kebijakan QoS (DiffServ), ID lokasi.

Konfigurasi dan Melihat LLDP :

Mengaktifkan LLDP :

enable lldp ports <daftar port>

Melihat pengaturan LLDP :

show lldp

Melihat switch tetangga yang ditemukan :

show lldp neighbors

Mengkonfigurasi LLDP untuk menyiarkan (advertise) IP address VLAN mgmt :

Page 24: ENA Student Guide

configure lldp port <nomor port> advertise management-address

Menon-aktifkan LLDP :

disable lldp ports <daftar port>

Melihat informasi tetangga lebih detil

show lldp port <port> neighbor detailed

Menampilkan :

Chassis

MAC address

Port

Nama sistem remote

Kapabilitas

Mgmt address

VLAN-VLAN

Auto-nego

Flow control

Kecepatan dan duplex

dll.

D. Memonitor Port-Port Memonitor port-port untuk mirroring

'Menyalin' trafik dari 1 atau bbrp port ke 1 atau bbrp monitor port didalam switch.

Disebut juga Switched Port Analyzer (SPAN)

Filter trafik yang didukung :

Port fisik

Trafik ingress atau egress, atau keduanya

VLAN

Hanya trafik ingress

Port virtual (port fisik + VLAN)

Hanya trafik ingress

ACL-ACL

Batasan-batasan :

Maksimum 128 filter trafik dapat diaktifkan

Maksimum 16 VLAN atau port virtual dapat di-mirror-kan

Page 25: ENA Student Guide

Maksimum 16 port monitor dapat dikonfigurasi

Mirroring one-to-many

Mirroring remote ke ID VLAN tujuan.

2 standar mirroring pada XOS :

Standard

Tersedia untuk semua switch XOS

Hanya mendukung 1 port mirror

Jika paket cocok dengan filter ingress dan egress, hanya paket ingress yang disalin (mirrored)

Enhanced

Tidak tersedia untuk switch BD8K modul seri original dan X450.

Mendukung bbrp port mirror

Mendukung mirroring ke VLAN untuk monitoring remote

Jika paket cocok dengan filter ingress dan egress, kedua paket disalin.

Konfigurasi dan Melihat Hasil Pencerminan

Mengaktifkan pencerminan standar

enable mirroring to port <port>

Menambah filter ke cermin

configure mirroring add port <port>

Informasi VLAN atau VLAN/port dapat pula ditambahkan

Melihat konfigurasi pencerminan

show mirroring

IV. 4. SummitStack

A. Arsitektur Port stacking

2 port per perangkat

Kapasitas stack mulai dari 40Gbps s/d 512Gbps per switch

Kapasitas tergantung kpd tipe switch dan port stack yang diinstall

80 Gbps

Summit X460 dengan kartu opsional SummitStack V80

128 Gbps

Page 26: ENA Student Guide

Summit X480 dengan kartu opsional VIM2-SummitStack128

256 Gbps

Summit X650 dengan kartu opsional VIM1-SummitStack256

512 Gbps

Summit X650 dengan kartu opsional VIM1-SummitStack512

40 Gbps

Summit X460 dengan kartu opsional SummitStack V80

Summit X480 dengan kartu opsional VIM2-SummitStack

Summit X650 dengan kartu opsional VIM1-SummitStack atau VIM1- 10G8X

Switch XOS yang lain

Maksimal 8 switch per stack

SummitStack didukung oleh semua tipe switch XOS, kecuali SummitX350 dan X150

Peran-peran

Unit Master

Mengatur konfigurasi semua unit dan memiliki kepemilikan atas konfigurasi unit lainnya

Membagi database konfigurasi dengan unit backup

Secara fungsional sama dengan MSM master

Unit Backup Master

Cadangan jika sewaktu-waktu unit master tidak berfungsi

Tidak memiliki kepemilikan atas konfigurasinya sendiri

Mendapatkan kepemilikan atas konfigurasi unit standby

Secara fungsional sama dengan MSM backup

Unit Standby

Merupakan budak (slave) dari unit master; diprogram secara ASICs oleh unit master

Secara fungsional sama dengan modul I/O pada chassis

Arsitektur : Topologi cincin

Memberikan redundansi

Tetap bekerja walaupun ada kabel stack yang putus atau ada unit yang mati

Stack berlaku seperti chassis

Kabel stack berlaku seperti backplane

Page 27: ENA Student Guide

Topologi seperti rantai (daisy chain) tidak direkomendasikan karena,

Tidak memiliki ketahanan seperti topologi ring

Dapat menyebabkan segmentasi pada stack

B. Operasi Operasi :

Saat kabel stack terhubung, proses berikut terjadi :

Pencarian topologi stack

Jika stacking diaktifkan :

Memilih master

Memilih backup master

Mengkonfigurasi stack

Beroperasi

Operasi - Topologi stack :

Unit-unit saling bertukar informasi sampai mereka menemukan topologi stack

Dilakukan walaupun stacking tidak diaktifkan

Unit-unit membroadcast discovery packet/hello packet

paket tsb berisi informasi seperti mode stack, MAC address unit,  MAC address stack, nomor model, nomor slot, prioritas stack, kemampuan menjadi master, hop count - mulai dari 0,  level lisensi unit, dll.

CPU dari setiap unit memproses paket tsb

Unit-unit kmd menaikkan nilai hop count dan mengirim kembali paket tsb

Unit-unit menetapkan topologi ring ketika paket dengan MAC address sendiri diterima

Operasi - Pemilihan Master dan Backup

Dasar pemilihan :

Hanya switch yang dikonfigurasi untuk bisa menjadi master yang dapat berpartisipasi

Prioritas stacking tertinggi

Dapat dikonfigurasi oleh user

Nilai yang mungkin : AUTOMATIC (default) atau 1-100

Jika diset automatic, maka semua swicth prioritasnya akan diset ke 0, sehingga yg menjadi dasar pemilihan adalah nomor slot.

Nomor slot terendah (jika prioritas stackingnya sama)

Dapat dikonfigurasi

Page 28: ENA Student Guide

Harus unik

Tidak berhubungan dengan lokasi fisik pada stack atau jarak dari master

Nilai default : 1

Backup master yang elektabilitasnya ke-2 dibawah master.

Operasi - Konfigurasi Stack

Master membaca file konfigurasi

Master membagi konfigurasi dengan backup master

Master dan Backup master mengambil alih kepemilikan konfigurasi dari unit lainnya.

Master mengimplementasikan konfigurasi

Mengkonfigurasi dirinya sendiri (hanya master yg melakukan ini)

Mengkonfigurasi unit backup master seperti RPC calls

menggunakan VR kontrol (Control Channel)

Mengkonfigurasi unit standby seperti RPC calls

switching engine terupdate segera setelah konfigurasi diimplementasikan

Operasi - Beroperasi

Verifikasi topologi terus berlanjut

Konfigurasi yang relevan mengubah throughput yang dihantarkan

Keputusan switching ditentukan oleh switch engine ingress

Dikirimkan ke port tujuan

Switching lokal tidak membutuhkan port stack

Setiap unit ttp melihat fdb nya masing-masing. Jika mac tujuan berada dalam port dalam unitnya, maka paket tsb dikirm melalui port tsb tanpa melibatkan stack.

Unit master hanya menghantarkan konfigurasi yang relevan didalam stack. Contoh, jika sebuah VLAN dibuat dengan hanya 1 port dari suatu unit, maka konfigurasi hanya mengupdate 1 unit tsb.

Stack dapat diatur

Menggunakan VLAN mgmt

MAC adress stack

IP address stack

Operasi - Link terputus

Pengiriman pada path terpendek (Shortest Path Forwarding/SPF), atau

Paket dikirim melalui path terpendek

Page 29: ENA Student Guide

Link putus tunggal

Path terpendek dihitung kembali oleh semua unit

Operasi - Beberapa link terputus

Stack tersegmentasi

Master dan backup master dalam segmen yang berbeda

Segmen yang terdapat master

Memilih backup master baru

Penghitungan ulang path pada semua unit

Segmen yang terdapat backup master

Backup master menjadi master

Memilih backup master baru

Penghitungan ulang path pada semua unit

Segmen tanpa master/backup master

Memilih master dan backup master baru

Penghitungan ulang path pada semua unit

Isu

Segment-segmen tsb tetap mempertahankan MAC address dan IP address stack sebelum tersegmentasi. Ini bisa membuat semua stack merespon arp request pada untuk MAC yang sama.

Untuk menyelesaikannya, dapat digunakan IP address alternatif pada tiap slot di stack menggunakan --> configure stacking  alternate-ip- address

C. Konfigurasi Menyiapkan stack sebelum konfigurasi :

Pilih unit stack yang sesuai untuk aplikasi yang akan digunakan dan gunakan stack seakan-akan itu adalah sebuah chassis tunggal

Semua switch stack harus menjalankan versi OS yang sama

Semua switch stack harus memiliki level lisensi yang sama

atur level lisensi stacking sehingga level ini bisa men'downgrade' level lisensi unit switch yang lebih tinggi.

Tentukan mode stacking : standard atau enhanced

mode enhanced digunakan untuk menjalankan MPLS pada stack

Pastikan semua unit memiliki konfigurasi default

Sambungkan kabel stacking

Page 30: ENA Student Guide

Cara mudah mengaktifkan SummitStack :

Login ke master stack menggunakan konsol

Aktifkan stacking :

enable stacking

Ikuti skrip yang tersedia :

configure stacking slot-number automatic

Dalam konfigurasi ring, setiap slot dikonfigurasi dengan nomor slot dimulai dari 1 (node aktif, yg sedang dikonfigurasi), lalu nilainya naik setiap melewati port stack 2 dari slot 1.

Dalam konfigurasi ring, nomor slot 1 diberikan kepada node yang tersambung dengan slot 1 pada node aktif (node yang sedang dikonfigurasi)

configure stacking mac-address

configure stacking redundancy [minimal | maximal]

Dalam mode minimal, 2 node diaktifkan kemampuan-untuk-menjadi- master (master capability) nya, sementara node yang lain dinon- aktifkan.

Dalam mode maksimal, semua node diaktifkan kemampuan-untuk- menjadi-master nya.

Setiap perintah ini dapat dimasukkan secara terpisah pada CLI shg kita dapat mengontrol switch pada saat reboot.

reboot stack-topology

Peringatan akan tampil jika :

Topology daisy chain terdeteksi

konfigurasi switch belum disimpan

Switch akan reboot

Login dan 'safe default'

Prompt pada switch mencerminkan konfigurasi stacking

Verifikasi Konfigurasi SummitStack

show stacking {detail}

Menampilkan : topologi stack, nomor slot, dan peran.

show stacking configuration

Menampilkan :

MAC address

Page 31: ENA Student Guide

MAC address stack adalah turunan dari MAC address master, dengan nilai awal 00 diganti menjadi 02.

Tanda (Flag) :

Kemampuan-menjadi-master

Status stacking

MAC address stack

Batasan level lisensi

show stacking ports

Konfigurasi lain :

Nomor Slot

configure stacking node-address <MAC address> slot-number <nomor slot>

Prioritas

configure stacking priority <nomor prioritas>

Nilai defaultnya 0 (otomatis)

Jika dikonfigurasi, akan digunakan pada pemilihan berikutnya

Manajemen SummitStack

SummitStack bekerja sebagai 1 unit dalam konfigurasi dan manajemen

Defaultnya, MAC address dan IP address dari SummitStack diturunkan dari MAC dan IP address master.

Agar SummitStack dapat dikelola sebagai unit terpisah saat terjadi gangguan :

configure stacking alternate-ip-address [<ip address> <netmask>] <gateway> automatic

Memberikan IP address alternatif pada setiap unit (ip address yang disebutkan secara otomatis diberikan kepada unit aktif (yg sedang dikonfigurasi), unit lainnya +1)

Untuk mengkonfigurasi IP address pada unit SummitStack secara terpisah :

configure stacking [node-address <MAC address> | slot <nomor slot> ] alternate-ip-address [<ip address> <netmask>] <gateway>

1. Sinkronisasi Parameter Stacking

Sinkronisasi stacking :

synchronize stacking [<node-address> <slot-number>]

Yang disalin : mode stacking, MAC address stack, akun dan password failsafe, izin akun failsafe ke access point (apakah akun failsafe dapat mengakses link stacking, port konsol, atau port manajemen).

Page 32: ENA Student Guide

Partisi yang dipilih.

V. 5. Forwarding L2 & VLANs

A. Memahami FDB XOS XOS menjalankan fungsi bridging sesuai standar operasi 802.1D (learning, flooding,

forwarding, filtering)

Secara dinamis mempelajari (learns) MAC address host dari port ingress.

Flooding paket

Broadcast paket

Multicast paket

XOS secara default tidak mem-flood paket multicast

Semua fungsi L2 dijalankan pada hardware dengan kecepatan kabel (wire-speed)

Operasi default ini dapat diubah,

kontrol fungsi learning :

disable learning port

disable learning forward-packets port all

kontrol fungsi flooding

disable flooding ports

Tipe entri FDB XOS :

Dinamis

Awalnya, seluruh entri FDB bersifat dinamis

Statis

Entri tanpa aging (non-aging entries)

entri dengan aging yang diatur ke angka 0, dengan fitur lock-learning

Entri permanen

Diatur sbg entri permanen melalui CLI

Tetap bertahan di database setelah power off

Entri blackhole

Mengkonfigurasi fdb yang memiliki MAC sumber/tujuan untuk dijatuhkan (discarded)

Dapat dikonfigurasi secara manual oleh administrator atau secara otomatis oleh fitur keamanan seperti limit-learning

Page 33: ENA Student Guide

Blackhole tidak bekerja seperti ACL, walaupun hasilnya sama. Paket yang memenuhi kriteria, misal MAC tujuan, akan dijatuhkan (dropped)

Memantau FDB

show fdb (terpantau : MAC address, VLAN, umur entri (age) dalam detik, flag, port ingress, rangkuman, timer)

Secara spesifik :

show fdb blackhole

show fdb mac-tracking configuration

show fdb netlogin all

show fdb permanent

show fdb <mac address>

show fdb ports <daftar port>

show fdb vlan <nama vlan>

Menghapus entri dinamik :

clear fdb

Secara spesifik :

clear fdb blackhole

clear fdb <mac address>

clear fdb ports <daftar port>

clear fdb vlan <nama vlan>

Membuat entri fdb statik

create fdbentry <mac address> vlan <nama vlan> ports <daftar port>

verifikasi --> show fdb permanent

menghapus --> delete fdbentry [ all | <mac address> vlan <nama vlan>]

membuat entri fbd blackhole --> create fdbentry <mac address> vlan <nama vlan> blackhole

verifikasi --> show fdb blackhole

Menonaktifkan (disable) fungsi learning fdb :

disable learning ports <daftar port>

menonaktifkan pembuatan entri fdb

juga menonaktifkan fungsi flooding untuk paket unknown

Untuk hanya menonaktifkan fungsi learning tetapi ttp menjalankan fungsi flooding paket unknown :

Page 34: ENA Student Guide

disable learning forward-packets ports <daftar port>

verifikasi --> show port <port> info detail

B. Fitur Keamanan FDB 3 fitur keamanan L2 pada XOS :

Egress flood control (menggontrol flooding pada port egress)

Menentukan apakah paket broadcast, multicast, dan unicast unknown di flood.

Mencegah hacker untuk masuk ke jaringan

Kemampuannya tergantung hardware

Konfigurasi :

disable flooding unicast ports [all | <daftar port>]

disable flooding broadcast ports [all | <daftar port>]

Verifikasi --> show ports <daftar port> info detail

Reset --> enable flooding all_cast ports [all | <daftar port>]

Mendisable flooding pada port engress multicast tidak mempengaruhi perangkat klien yang berlangganan (subscribe) pada grup IGMP, paket tetap di forward. Jika IGMP snooping di disable, baru flooding dihentikan. 

Limit learning (membatasi jumlah entri yang di learning)

Membatasi jumlah mac adress yang di learn pada port tertentu

memperbolehkan learning mac address sejumlah n pertama.

setelah n, akses learning di blok dengan cara :

entri fdb dimasukkan sbg entri blackhole (default), atau

learning distop.

Dapat memberikan keamanan tambahan ketika learning dinamik digunakan,

Pada lingkungan VOIP, learning hanya dibatasi pada 2 MAC address,

MAC#1 untuk PC pengguna

MAC#2 untuk telepon VOIP

Konfigurasi :

limit learning utk dimasukkan sbg entri blackhole

configure port <daftar port> vlan <nama vlan> limit-learning <jumlah>

limit learning yg tidak utk dimasukkan sbg entri blackhole, melainkan menghentikan proses learning

Page 35: ENA Student Guide

configure port <daftar port> vlan <nama vlan> limit-learning <jumlah> action stop-learning

Dalam jaringan besar, penggunaan limt learning dgn entri blackhole dapat mengakibatkan banjir fdb, shg menurunkan performa switch. Oleh karena itu sebaiknya menggunakan fitur stop learning.

verifikasi --> show fdb

Lock learning (mengunci fungsi learning)

Mengunci (freeze) entri fdb berdasarkan VLAN atau port.

FDB yang baru dipelajari (learned) dimasukkan sbg entri blackhole.

Ketika di enable, maka switch tidak dapat mempelajari fdb secara dinamis.

Cara mudah untuk mengunci jaringan dimana entri statik lebih dipilih.

MAC address yang dikunci ditambahkan kedalam konfigurasi aktif (running configuration).

Agar permanen, maka konfigurasi harus disimpan (saved).

Setelah reboot, MAC yang dikunci kitu akan menjadi entri statik yang permanen. Dan port tidak akan mempelajari entri yang lain.

Konfigurasi :

Kofnigurasi lock learning

configure ports <daftar port> vlan <nama vlan> lock-learning

verifikasi perubahan proses learning :

show vlan <nama vlan> security

verifikasi perubahan konfigurasi :

show configuration fdb

verifikasi entri fdb :

show fdb

Menghapus konfigurasi lock learning :

configure ports <daftar port> vlan <nama vlan> unlock-learning

Menghapus entri fdb permanen :

delete fdbentry [all | <mac address>]

Limit learning dan lock learning tidak mempengaruhi ini :

Paket yang ditujukan kepada MAC address permanen atau MAC address yang bukan entri blackhole

Trafik broadcast dari MAC address yang bukan entri blackhole

Page 36: ENA Student Guide

Trafik EDP dan LLDP

Limit learning dan lock learning tidak bisa di enable bersamaan pada sebuah port

Egress flood control sebaiknya hanya digunakan pada port yang arp dan mac nya diatur secara statik.

jika tidak, maka fungsi dinamis seperti DHCP dan ARP akan terganggu/tergantikan.

PC Windows menggunakan ARP untuk memeriksa IP address yang sama (dupplicate)

Tidak mempengaruhi pemberian IP address (IP address assignment) jk menggunakan DHCP relay agent

Untuk BD10k dan BD12k, disable flooding tidak bisa dilakukan pada port, melainkan pada pake broadcast, multicast, atau unicast unknown.

C. Sekilas VLAN VLAN Untagged

VLAN tanpa id tag 802.1q

Dalam switch Extreme, untuk memastikan pemisahan antar VLAN, setiap VLAN diberi id VLAN

Switch secara otomatis memberikan sebuah id VLAN internal

Nila id VLAN internal mulai dari 4094, lalu menurun (decremented) dan diberikan kepada setiap VLAN secara berurutan.

Sifat VLAN untagged :

Sebuah port hanya dapat menjadi anggota 1 VLAN untagged

Port anggota tidak bisa ditag, yang artinya :

Tidak bisa memproses informasi VLAN 802.1q dan CoS 802.1p

Sifat pengiriman (forwarding) VLAN untagged :

Paket dikirimkan secara transparan, contohnya tanpa perubahan atau penambahan header apapun

VLAN 'mgmt' adalah contoh VLAN untagged

VLAN berbasis protokol (Protocol-based VLAN)

Menggunakan filter protokol untuk menentukan apakah sebuah paket termasuk kedalam VLAN tertentu.

Filter protokol yang dapat digunakan antara lain :

IP

IPX

Page 37: ENA Student Guide

IPv6

NetBios

DECNet

IPX_8022

IPX_SNAP

AppleTalk

MPLS

ANY

Kita dapat membuat protokol sendiri dengan cara : create protocol, dan mengeditnya dengan configure protocol. Kita juga dapat mengedit protokol default dengan cara yang sama.

Mempunyai kedudukan lebih tinggi (higher precedence) daripada VLAN untagged

Hanya dapat beroperasi pada port untagged

Mendukung formasi frame Ethernet berikut :

Ethernet II

framing standar yang digunakan pada IP

LLC

Subnetwork Access Protocol (SNAP)

Paket Ethernet II adakan mem-filter dalam field EtherType dalam format Hexa,

IPv4 = 0x0800; ARP = 0x0806; IPv6 = 0x86dd; 802.1q = 0x8100

Sifat pengiriman (forwarding behaviour) :

Paket yang lolos filter akan dikirimkan secara tansparan dalam VLAN.

VLAN 802.1q Tagged

Adalah VLAN yang ditag dengan id tag 802.1q

Secara umum cara kerjanya sama dengan VLAN berbasis protokol

Kedudukannya lebih tinggi daripada VLAN berbasis protokol

Sifat-Sifat Umum :

Sebuah port yang ditag dapat menjadi anggota dari beberapa VLAN yang ditag

Port anggota bisa port yang ditag maupun yang tidak ditag.

Apabila ditag, maka port tsb bisa memproses informasi VLAN 802.1q dan informasi CoS 802.1p

Sifat Forwarding :

Port yang tidak ditag mengirim paket secara transparan

Page 38: ENA Student Guide

Port egress yang ditag mengisi kolom EtherType dengan 0x8100 dan menambahkan header 802.1q setelah kolom EtherType tsb.

Port ingress yang ditag mengecek kolom EtherType, apabila isinya adalah 0x8100, maka ia memproses informasi dalam paket tsb.

Paket akan dibuang (drop) apabila :

Isi kolom Ethertype bukan 0x8100

Id tag 802.1q dalam paket tidak cocok dengan semua VLAN yang terdaftar dalam port tsb.

VLAN 'Default' adalah contoh VLAN tagged dengan id VLAN = 1.

Pemrosesan Frame Ethernet 802.1q :

Tag 802.1q berisi 4 kolom :

Id Protokol Tag (Tag Protocol ID/TPID)

= kolom EtherType

Class of Service 802.1p (Prioritas)

Nilai : 0-7

Canonical Format Indicator (CFI)

Tidak digunakan dalam jaringan Ethernet

Pengenal VLAN (VLAN Id)

Nilai : 1 - 4095

Dalam XOS, nila 4095 diberikan secara permanen untuk VLAN 'Mgmt', sehingga tidak bisa digunakan untuk yang lain.

Sifat Pengiriman :

Paket yang datang pada port ingress diteruskan menuju VLAN yang sesuai

Kolom CoS 802.1p diperiksa, lalu paket tsb ditempatkan dalam antrian yang sesuai

Nilai 0-6 ditempatkan pada level prioritas yang rendah, (QoS Profile 1/QP1)

Nilai 7 ditempatkan pada level prioritas yang tinggi (QoS Profile 8/QP8)

Menampilkan ringkasan informasi VLAN

show vlan

Menampilkan :

Nama VLAN

Id VLAN

Alamat IP

Page 39: ENA Student Guide

Flags

Filter Protocol

Port aktif

Virtual Router

show vlan detail

show vlan <nama vlan>

D. Membuat dan Mengkonfigurasi VLANs Membuat dan Mengkonfigurasi VLAN tanpa tag (untagged)

Membuat VLAN tanpa tag

create vlan <nama VLAN>

Menambahkan port pada VLAN untagged :

configure vlan <nama vlan> add ports <daftar port>

Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru

Biasanya port harus dihapus dari keanggotaan VLAN 'Default'

Verifikasi :

show vlan <nama vlan>

Membuat dan Mengkonfigurasi VLAN berbasis protokol (Protocol-Based VLAN)

Membuat VLAN berbasis protokol

create vlan <nama VLAN>

configure vlan <nama vlan> protocol <nama protokol>

Untuk mengeluarkan VLAN dari VLAN berbasis protokol :

configure vlan <nama vlan> protocol any

Menambahkan port pada VLAN berbasis protokol :

configure vlan <nama vlan> add ports <daftar port>

Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru

Verifikasi :

show vlan <nama vlan>

Membuat dan Mengkonfigurasi VLAN dengan tag (tagged)

Membuat VLAN dengan tag

create vlan <nama VLAN>

Page 40: ENA Student Guide

configure vlan <nama VLAN> tag <id tag>

Menambahkan port pada VLAN dengan tag :

Menambahkan port tanpa tag :

configure vlan <nama vlan> add ports <daftar port> untagged

Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru

Biasanya port harus dihapus dari keanggotaan VLAN 'Default'

Menambahkan port tanpa tag :

configure vlan <nama vlan> add ports <daftar port> tagged

Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru

Saat VLAN sudah dikonfigurasi dengan tag 802.1q, maka VLAN itu seterusnya akan menjadi VLAN tagged. Id tag dapat diubah, tetapi tag tidak dapat dihapus.

Verifikasi :

show vlan <nama vlan>

Pengaturan VLAN

Mengganti nama VLAN :

configure vlan <nama VLAN> name <nama baru>

Mengubah port untagged menjadi port tagged :

configure vlan <nama vlan> add ports <daftar port> tagged

Mengubah port tagged menjadi port untagged :

configure vlan <nama vlan> add ports <daftar port> untagged

Menonaktifkan vlan

disable vlan <nama vlan>

Menghapus VLAN

delete vlan <nama vlan>

Sebuah VLAN dapat dihapus kapan saja, kecuali jika VLAN tsb menjadi VLAN Network Login.

VI. 6. Ethernet Automation Protection Switching (EAPS)See also: 5. Forwarding L2 & VLANs

A. Sekilas EAPS Keuntungan :

Page 41: ENA Student Guide

Topologi bebas loop (loop-free topology)

Recovery ring dalam sub-detik (sub-second ring recovery)

Lisensi

Jika jumlah EAPS domain > 4, maka diperlukan lisensi EAPS tambahan.

Master Node & Secondary Port

Master Node dipilih secara manual di setiap domain, biasanya switch yang berada di 'tengah' diantara switch lain pada domain tsb. Switch yang tidak berperan sbg master disebut Transit Node.

Secondary port juga dipilh secara manual, tujuannya mirip dengan bakcup port pada STP. Port yang diblok pada EAPS adalah port secondary pada master node.

Primary dan secondary port pada Transit Node harus port yang termasuk kedalam ring, dengan urutan bebas.

Hubungan antara Domain EAPS dan VLAN

1 link dapat membawa bbrp domain.

1 domain harus memiliki 1 VLAN control yg dibuat untuk membawa trafik kontrol EAPS (setiap domain memiliki VLAN control yang unik)

1 domain dapat membawa bbrp VLAN protected

link [domain [vlan control-vlan protected-vlan protected]--[vlan control-vlan protected- vlan protected]]--[domain [vlan control-vlan protected-vlan protected]--[vlan control-vlan protected-vlan protected]]

Saat domain aktif, kita tidak bisa menghapus domain tsb atau mengubah konfigurasi VLAN kontrol.

B. Operasi Konfigurasi

Setiap switch dalam doman memiliki konfigurasi untuk :

Tipe Node (Master/Transit)

Port (Primary & Secondary)

VLAN kontrol

Node Master bertanggungjawab untuk mengalirkan paket "Hello".  Paket Hello secara default dialirkan melalui port primary.

dapat diubah menjadi secondary port dengan konfigurasi --> configure eaps <nama domain> hello-pdu-egress [primary-port | secondary-port ]

Aturan-aturan konfigurasi VLAN kontrol

Tidak boleh ada trafik user dalam VLAN kontrol

Harus VLAN tagged

Page 42: ENA Student Guide

Hanya port ring yang dimasukkan, dan ditag.

Tidak perlu IP address.

Node master mengirimkan paket 'hello' setiap 1 detik

Dikirim melalui port primary pada node master dan diterima kembali pada port secondary pada node master, kemudian memverifikasi bahwa ring telah terbentuk (ring complete).

Default 1 detik, dapat diubah menjadi antara 100 milidetik s/d 15 detik, dengan cara -- > configure eaps <nama domain> hellotime <detik> <milidetik>

Ketika sebuah link jatuh, maka :

Node yang mendeteksi link jatuh tsb mengirimkan paket 'link down' kepada node master

dalam jaringan biasa, node master akan menerima paket ini dalam waktu < 20 milidetik

Node master membuka bloking (unblock) port secondarynya, lalu mengalirkan paket 'flush fdb' pada port primary dan secondary.

Paket 'flush fdb' berguna untuk trafik berbasis non-sesi (non-session based) seperti VOIP yang menggunakan protokol UDP, agar paket ttp dapat dikirimkan melalui port yang benar shg servicenya tidak terganggu (tanpa ini, trafik harus menunggu hingga 'timer fdb', yaitu 5 menit). Untuk trafik berbasis TCP, ini tidak terlalu berpengaruh, karena TCP memiliki mekanisme re- transmit saat mengetahui time-out.

Paket 'Hello' tetap dikirimkan oleh node master.

Ketika link jatuh sudah kembali (restoration link), maka :

Node (yang tadi mendeteksi link jatuh) mengirimkan paket 'pre-forwarding'/'link up' ke node master (tanpa melalui link yg tadi jatuh).

tanpa  melalui link yg td jatuh utk menghindari loop krn port secondary pada node master belum di blok lagi.

Node master tetap mengirim paket 'Hello' sampai menerima kembali paket 'Hello' tsb, untuk kemudian menetapkan status domain 'complete'. Kemudia ia memblok port secondary nya, mengalirkan 'flush fdb', lalu melanjutkan pengaliran paket 'Hello' tsb.

Ketika 3 paket 'hello' gagal diterima oleh node master, maka :

Jika sebelumnya status domain adalah 'complete', maka statusnya akan tetap 'complete' tetapi dengan atribut 'fail timer expired'.

Jika domain baru saja diinisiasi, maka status domain adalah 'init' dengan atribut 'fail timer expired'.

Page 43: ENA Student Guide

Dalam situasi dimana status ring tidak diketahui, membuka bloking port secondary beresiko terjadinya loop. Maka switch dapat mengirimkan alert kepada NMS untuk kemudian dilakukan pengecekan oleh operator.

Namun bisa saja dilakukan pengubahan konfigurasi agar ketika 'fail timer expired', node master membuka bloking port secondarynya (meskipun ttp tidak direkomendasikan). Jika iya, maka setelah dibuka, node master akan mengalirkan 'flush fdb' dan tetap mengalirkan paket 'hello'.

Pengubahan dilakukan dengan cara --> configure eaps <nama domain> failtime expiry action open-secondary-port

Penyebab :

Kesalah konfigurasi pada VLAN control pada sebuah atau bbrp node dalam ring.

Kerusakan pada hardware pada salah satu node.

Ada saturasi link pada port ring.

Antrian CPU (CPU queue) pada node master sedang macet (congested) atau sibuk.

Karena setiap ring memiliki node master yang berbeda, maka imbas masalah ini kepada pengguna jaringan dapat diminimalisir.

C. Konfigurasi Tahapan konfigurasi :

VLAN

Pastikan VLAN yang akan dimasukkan kedalam EAPS memiliki port-port ring yang ditag. Berlaku untuk semua domain yang dibuat.

Buatlah VLAN kontrol untuk setiap domain dan pastikan mereka memiliki port ring yang ditag untuk setiap doman. Setiap VLAN maksimal memiliki 2 port saja.

EAPS

Buat domain EAPS

create eaps <nama domain>

Konfigurasi 1 switch sebagai master, yang lainnya sbg transit

configure eaps <nama domain> mode [master | switch]

Konfigurasi port primary dan secondary pd setiap switch

configure eaps <nama domain> primary <port primary>

configure eaps <nama domain> secondary <port secondary>

Tambahkan VLAN kontrol dan VLAN protected pada setiap domain

Page 44: ENA Student Guide

configure eaps <nama domain> add control <nama vlan>

configure eaps <nama domain> add protected <nama vlan>

Enable domain EAPS

enable eaps <nama domain>

Ulangi tahap diatas untuk setiap domain

Enable EAPS secara global

enable eaps

Lain-lain :

Mengubah nama domain :

configure eaps <nama domain> name <nama baru>

Mengubah port ring

disable eaps <nama domain>

unconfigure eaps <nama domain> primary <port primary>

unconfigure eaps <nama domain> secondary <port secondary>

configure eaps <nama domain> primary <port primary baru>

configure eaps <nama domain> secondary <port secondary baru>

enable eaps <nama domain>

Verifikasi :

show eaps

show eaps <nama domain>

VII. 7. Routing IP & OSPF

A. Routing Function

B. IP Routing Overview

C. OSPF Overview

D. Konfigurasi OSPF Konfigurasi OSPF (single area) :

Buat dan konfigurasi bbrp VLAN

Aktifkan forwarding IP

Aktifkan OSPF pada point-to-point VLAN (link antar switch)

configure ospf vlan <nama VLAN> area 0.0.0.0 link-type point-to-point

Page 45: ENA Student Guide

jika semua VLAN berbagi area ospf dan link yang sama, maka <nama VLAN> cukup diganti 'all'.

Aktifkan OSPF pada VLAN-VLAN end-user

configure ospf vlan <nama VLAN> area 0.0.0.0 passive

Konfigurasi sebuah interface dengan mode passive akan menghentikan penghantaran paket ''hello'. Ini sebaiknya digunakan pada VLAN yang tidak digunakan juga oleh OSPF yang lain.

Konfigurasi ID router

configure ospf routerid <id router>

jika id router tidak dikonfigurasi secara manual, maka switch akan secara otomatis menetapkan interface ip adress tertinggi sebagai router id. Tetapi ini tidak direkomendasikan, krn jika interface yang menjadi router id mati, maka switch akan mencari id router baru, sementara LSA-LSA dengan router id sebelumnya akan bertahan di LSDB, sehingga dapat membebani jaringan.

Aktifkan OSPF secara global

enable ospf

Verifikasi OSPF :

Verifikasi VLAN yang diaktifkan OSPF nya

show vlan

Verifikasi OSPF secara global

show ospf

Verifikasi interface OSPF

show ospf interface

Verifikasi tetangga OSPF

show ospf neighbor

Konfigurasi OSPF (multi area)

Buat 1 atau bbrp area OSPF

create ospf area <id area>

Tambahkan VLAN ke area backbone

configure ospf add vlan <nama vlan> area 0.0.0.0

Tambahkan VLAN ke area lainnya

configure ospf add vlan <nama vlan> area <id area>

Masukkan id router

configure routerid <id router>

Page 46: ENA Student Guide

Aktifkan OSPF secara global

enable ospf

Verifikasi OSPF (multi area)

Verifikasi interface berada pd area yg benar

show ospf interface {detail}

Verifikasi router sbg ABR

show ospf

Verifikasi tabel routing berisi entri OSPF

show iproute origin ospf

VIII. Manajemen Identitas

A. Mengotentikasi pengguna jaringan Agar dapat mengakses jaringan, pengguna harus diotentikasi

Tipe otentikasi tergantung perangkat

Otentikas interaktif

Ada input identitas (logon credential), seperti username dan password

Kebanyakan digunakan pada PC untuk otentikasi pengguna, contoh : WIndows Active Directory

Otentikasi berbasis sertifikat

Secara otomatis mengotentikasi perangkat

Memproses login secara statis dengan menggunakan sertifikat digital

Dapat dipilih sbg kemanan level kedua untuk otentikasi interaktif

Otentikasi transparan

Otentikasi perangkat yang tidak mendukung protokol otentikasi

Digunakan oleh scanner barcode, handset VOIP, kamera keamanan, dll.

Otentikasi interaktif

Ada input identitas (logon credential), seperti username dan password, untuk mengakses perangkat yang terhubung ke jaringan

2 tipe otentikasi interaktif :

Login Windows Active Directory

Dalam jaringan enterprise, kapanpun seorang pengguna ingin mengakses layanan jaringan seperti email, logon credential pengguna dikirimkan ke server otentikasi

Page 47: ENA Student Guide

Server otentikasi lalu menyetujui atau menolak akses

Active Directory menggunakan protokol Kerberos untuk mengotentikasi pengguna

Login Captive Portal berbasis web

Saat pengguna tamu (guest) ingin mengakses internet, pengguna membuka browser lalu diarahkan (redirected) ke halaman login perusahaan.

Pengguna memasukkan user credential yang diberikan

Login berbasis web menggunakan SSL atau RADIUS untuk mengotentikasi pengguna.

Windows Active Directory, Kerberos

Pengguna login ke PC

User diotentikasi ke domain dan diberikan 'Tiket Akses'

Tiket akses (disebut juga Ticket Granting Ticket/TGT) yang berisi ID klien, alamat jaringan klien, periode validitas tiket, dan kunci akses klien. Informasi ini dienkripsi menggunakan kunci rahasia.

Pengguna membuka MS Outlook dan meminta otentikasi ke server Exchange.

Server Domain memberikan 'Tiket Sesi'.

Saat meminta layanan, klien mengirimkan Tiket Akses, ID dari layanan yang diminta, dan ID klien serta timestamp ke server AD. Setelah menerima tiket akses ini, jika diotorisasi, server AD akan mengirim tiker sesi atau tiket layanan ke klien yang berisi ID klien, alamat jaringan klien, periode validitas, dan kunci sesi Klien/Server.

'Tiket sesi' dikirim ke server Exchange.

Akses email disetujui.

Pengguna membuka browser lalu diarahkan (redirected) ke halaman login switch

Segera setelah pengguna mendapatkan IP address melalui server DHCP

Pengguna memasukkan credentialnya

Perangkat otentikasi (dalam hal ini switch) menggunakan DNS untuk me-resolve halaman home pengguna dan kemudian mengarahkan browser ke Network Login switch atau URL Captive Portal dimana pengguna akan diminta untuk memasukkan username dan password. Pada titik ini, pengguna tidak memiliki akses langsung ke jaringan.

Switch mengirimkan credential pengguna ke server RADIUS

Switch menjadi semacam 'proxy' layanan jaringan dari sudut pandang pengguna.

Page 48: ENA Student Guide

Server RADIUS membalas dengan pesan 'Access Accept'.

RADIUS mencocokkan credential pengguna dengan isi databasenya atau menghubungi server AD atau LDAP untuk detil otentikasi pengguna. Jika cocok, maka RADIUS mengirimkan pesan 'Access Accept' kepada switch yang kemudian memberikan akses kepada pengguna.

Switch memberikan akses pada pengguna jaringan.

Proses Login Network Windows 802.1x

Sertifikat diinstalkan pada perangkat dari server sertifikat oleh tim IT.

Saat menggunakan PKI (Public Key Infrastructure/Infrastruktur Kunci Publik), sertifikat yang mengkonfirmasi identitas dari Otoritas Sertifikat (Certificate Authority/CA) tertentu biasanya didistribusikan ke semua klien yang memerlukan akses jaringan menggunakan 802.1x. Pada lingkungan Windows, langkah ini bersifat opsional, karena kebutuhan untuk memverifikasi identitas dari server otentikasi dapat ditiadakan (disabled). Tetapi, dengan 'on' nya server verifikasi, klien dapat dilindungi dari tehubung ke server yang tidak terotorisasi.

Distribusi sertifikat hanya dibutuhkan apabila organisasi tsb menggunakan sertifikat yang dibuat sendiri (self certified certificate) dan bukan menggunakan CA Root dari CA yang dipercaya public (public trusted CA) seperti VeriSign, Equifax, dll.

Pengguna memasukkan credential lalu klien 802.1x memulai proses otentikasi.

Klien (Client/Supplicant) dari 802.1x adalah perangkat pengguna (PC, mobile, dll), sementara otentikator dari 802.1x adalah switch atau AP.

802.1x menggunakan Extensible Authentication Protocol (EAP) yang tidak membutuhkan IP untuk beroperasi. Pesan-pesan dihantarkan pada layer 2 antara klien dan otentikator.

Switch mengirim credential pengguna ke server RADIUS.

Mengirim pesan 'Permintaan Akses'.

Server RADIUS mengirimkan sertifikat/identitas ke klien.

RADIUS dan klien bernegosiasi ttg tipe EAP apa yang akan digunakan untuk pertukaran password.

Klien memverifikasi identitas server dengan membandingkan sertifikat yang dikirm oleh RADIUS dengan sertifikat dari CA yang dipercaya.

Ini opsional

Klien 802.1x menggunakan kunci privat yang disimpan pada sertifikat (yang dari RADIUS) untuk mengatur tunnel TLS/SSL yang terenkripsi ke server RADIUS.

Kunci privat 'diektrak' dari sertifikat.

Page 49: ENA Student Guide

Credential pengguna dikirimkan ke server RADIUS.

Switch bertindak sebagai 'proxy' layanan jaringan dari sudut pandang klien.

Server RADIUS membalas dengan pesan 'Access Accept'.

Switch memberikan akses kepada pengguna.

Proses Otentikasi Transparan :

Handset VOIP mengirim permintaan DHCP ke jaringan

Otentikasi transparan biasanya dimulai dari perangkat, dalam hal ini Handset VOIP, yang terhubung ke jaringan. Biasanya, perangkat ini akan meminta IP address menggunakan DHCP, dan pada saat itulah, perangkat otentikasi, dalam hal ini switch, yang menerima paket DHCP dari port yang terhubung ke handset VOIP akan membuat entri di FDB. Saat itu juga, switch akan mengetahui MAC address dari Handset dan informasi lainnya jika LLDP diaktifkan pada handset.

Switch mendeteksi MAC address dari handset VOIP dan mencocokkannya dengan 'daftar yang boleh mengakses jaringan (allowed list)'

contoh :

MAC perangkat : 00:12:34:56:78:9A

Allowed List : 00:12:34:56:**:**

Switch mengirim ceedential perangkat ke server RADIUS.

Server RADIUS membalas dengan pesan 'Akses Disetujui (Access Accept)'

Switch memberikan akses network kepada pengguna

B. Sekilas ttg Manajemen Identitas Fitur pengelolaan ID mengumpulkan data pengguna dan perangkat kapanpun pengguna

atau perangkat terhubung ke atau terputus dari switch.

Atribut identitas secara otomatis dikumpulkan oleh switch dan disimpan dalam database didalam switch

Atribut identitas yang dikumpulkan meliputi :

Identitas pengguna, port, MAC address, VLAN

Protokol otentikasi NetLogin dan kesalahan otentikasi

Time stamp otentikasi dan un-otentikasi.

Pengikatan (binding) IP ke MAC

Username IP MAC Nama Komputer

VLAN Lokasi Port Switch

salman 10.0.1.1 00:00:00:00:0 Salman-PC 1 24

Page 50: ENA Student Guide

0:01

Jika fitur pengelolaan ID diaktifkan dan dikonfigurasi pada switch XOS, maka switch akan mengumpulkan event2 log on dan log off dan menyimpan atribut tertentu untuk setiap perangkat atau pengguna didalam database. Database disimpan dalam RAM yang aktif (running RAM) dan dapat diubah nilainya dair nilai default 512KB dengan menggunakan --> configure identity management database memory-size

Atribut identitas dikumpulkan untuk protokol dan fitur berikut :

Logon Windows AD

Switch 'mengendus' paket Kerberos antara klien dan server AD.

Network Login

Otentikasi berbasis sertifikat 802.1x

Otentikasi berbasis web

Otentikasi transparan berbasis MAC

LLDP

Identifikasi perangkat seperti telepon VOIP, dll.

Pengikatan DHCP untuk kemananan IP (IP Security DHCP Binding)

Batasan :

Hanya dapat didukung untuk IPv4

Untuk operasi optimal dari snooping Kerberos, klien sebaiknya memiliki koneksi L2 ke switch snooping.

Fitur snooping Kerberos tidak diaktifkan secara default dan harus dikonfigurasi dengan benar agar dapat menangkat event-event atau log Windows.

Monitoring pengguna jaringan dan Ridgeline

Ridgeline mampu memonitor pengguna dan perangkat jaringan secara real-time dan terpusat.

Setiap switch yang diaktifkan fitur Pengelolaan ID nya mengirimkan event log on ke Ridgeline

Ridgeline memiliki pengguna jaringan dengan nama 'console'  untuk melihat pengguna-pengguna aktif dan tidak aktif.

C. Konfigurasi Aktifkan Manajemen ID secara global :

enable identity-management

Konfigurasi port-port Manajemen ID

configure identity-management add ports <port>

Page 51: ENA Student Guide

Aktifkan Snooping Kerberos

configure identity-management kerberos snooping add server <ip address>

ip address ini adalah ip address AD Domain Controller. Jika ada bbrp Domain Controller, maka bisa saja semua IP nya dimasukkan kedalam daftar snooping Kerberos. Ini terrgantung dari apakah Domain Controller2 tsb diakses dari lokasi switch yang sama.

Verifikasi pengaturan Manajemen ID

show identity-management

Verifikasi pengguna Manajemen ID

show identity-management entries

IX. 9. XOS ScriptingSee also: Pengelolaan File Sistem

A. Dasar-Dasar Skripting Skrip adalah cara untuk otomasi tugas-tugas (tasks) dan dapat digunakan untuk

mempermudah penggunaan switch menggunakan desain jaringan yang umum.

Skrip statis dieksekusi secara manual oleh user dan berisi seperangkat perintah berbasis CLI

Skrip statis disimpan dalam file berekstensi .xsf

File skrip berbasis teks, dan dapat disimpan dengan cara sbb :

Menggunakan editor vi yang sudah built-in pada XOS

edit script <nama skrip>

Menggunakan editor offline, lalu menguploadnya menggunakan TFTP

Menyimpan konfigurasi aktif (running configuration) sbg file skrip

Ini menyimpan semua konfigurasi non-default

save configuration as-script <nama skrip>

Perubahan konfigurasi pada skrip dapat segera berpengaruh pada konfigurasi aktif.

Akan tetapi perubahan perlu disimpan terlebih dahulu agar menjadi permanen

Menjalankan skrip

load script <nama skrip>

Skrip System Start-Up

Safe Default Script

Skrip sistem yang dijalankan ketika switch belum dikonfigurasi

switch akan menjalankan konfigurasi 'factory default'

Page 52: ENA Student Guide

Autoconfigure

Skrip yang dibuat manual dengan nama default.xsf akan dijalankan apabila :

switch gagal me-load konfigurasi yang telah diatur

switch belum dikonfigurasi

Dibuat dengan cara :

edit script default

Untuk menjalankan (melihat apakah berfungsi atau tidak) :

unconfigure switch all

Untuk melihat errornya :

show script output default

jika blank berarti tidak ada error atau warning saat eksekusi

Autoexecute

Skrip yang dibuat manual dengan nama autoexec.xsf akan dijalankan :

Setelah switch me-load konfigurasinya,

File tidak tereksekusi ketika default.xsf sedang dieksekusi

Dibuat dengan cara :

edit script autoexec

Untuk menjalankan (melihat apakah berfungsi atau tidak) :

reboot

Untuk melihat errornya :

show script output autoexec

jika blank berarti tidak ada error atau warning saat eksekusi

B. Skrip dan Operasi Kondisional Struktur kontrol yang didukung oleh skrip XOS :

if then else

do while loops

Operator yang didukung :

==

!==

>

<

>==

Page 53: ENA Student Guide

<==

*

/

+

-

%

Variabel Skrip dan CLI

Untuk mengaktifkan skripting CLI :

enable cli scripting

Melihat variabel eksisting

show var

Membuat variabel :

set var <nama variabel; contoh : CLI.OUT> " "

Mengisi variabel dengan perintah-perintah CLI :

contoh : show version

Menampilkan hasilnya :

show var CLI.OUT

dengan cara diatas, variabel ini hanya berlaku untuk satu sesi. Untuk membuatnya permanen, aktivasi cli skriptingnya dengan perintah : enable cli scripting permanent.

Fungsi-Fungsi Skrip :

Digunakan untuk menjalankan ekspresi kondisional berbasis teks dan memanipulasi variabel-variabel teks.

Tipe2 fungsi :

Fungsi2 Built-in

Didefinisikan oleh sistem (system-defined) dan memungkinkan manipulasi teks dasar/string

Contoh :

$MATCH(string1, string2)

membandingkan string 1 dan 2. Mengembalikan nilai 0 jika string1 = string 2.

$READ(prompt)

menampilkan prompt untuk inputan user dan menerima input s/d user menekan tombol 'return' atau sesinya habis.

Page 54: ENA Student Guide

$UPPERCASE(string)

mengembalikan string dalam huruf kapital

$TCL(args fungsi)

memanggil fungsi TCL.

XOS tidak mendukung pemanggilan fungsi TCL secara bersamaan.

Fungsi2 Tool Command Language (TCL)

Diimplementasikan pada XOS dan merupakan turunan dari library fungsi2 TCL open source.

Contoh konfigurasi skrip :

if-then-else

CORE-DC-BD_8806.1 # edit script tes-if-then

if ($MATCH($CLI.SESSION_TYPE, serial) == 0) then

        set var access "Anda terkoneksi dengan konsol serial"

        show var access

else

        set var access "Anda terkoneksi dengan telnet atau ssh"

        show var access

endif

do-while-loop

set var count 1

set var result "vlan (s) telah dibuat"

while ($count < 5) do

        create vlan tes$count

        configure vlan tes$count ipaddress 200.1.$(count).1/24

        show var count

        show var result

        set var count ($count+1)

endwhile

Page 55: ENA Student Guide

X. 10. Port Universal dan Skripting Dinamis

A. Sekilas Port Universal Port universal (PU) mengeksekusi skripting dinamis berdasarkan kejadian :

Penemuan perangkat oleh Protokol Pencari Layer Link (Link Layer Discovery Protocol/LLDP)

Otentikasi perangkat dan pengguna jaringan

Waktu dalam suatu hari (Time of Day)

Kejadian log (Log events) :

Log apa saja, seperti link yang jatuh (link down), level PoE, dll.

Tujuan PU adalah mengautomasi provisioning port perangkat edge ketika ditemukan suatu kejadian/event

Pemicu kejadian (event trigger) secara dinamik menjalankan skrip

Skrip disimpan dalam profil PU

Disimpan dalam file konfigurasi dan bukan dalam file skrip

Profil PU lalu dimasukkan kedalam port

Jika sebuah event -yang telah ditentukan sebelumnya- muncul, maka skrip ini akan dieksekusi

Protokol event yang digunakan harus diaktifkan (enabled) di port yang dimonitor oleh PU tsb.

Beberapa profil dalam dibuat dalam 1 switch, tetapi hanya 1 profil 1 event yang dapat dijalankan dalam 1 port. Port bisa saja menjalankan beberapa profil, tetapi eventnya harus berbeda, contoh : event otentikasi berbeda untuk pengguna atau perangkat yang berbeda pula.

Kita dapat pula menjalankan beberapa profil dalam 1 port atau 1 kelompok port. Misal, kita akan menjalankan profil otentikasi pengguna berbeda untuk kelompok sales, marketing, dan engineering.

Kita juga dapat mengkonfigurasi profil yang dipicu oleh perangkat (device-triggered profile) dalam 1 port yang mendukung 1 atau beberap profil pengguna. Tetapi hanya 1 device-triggered profile yang boleh dijalankan pada 1 port.

Skripting Dinamis :

Adalah skrip yang dieksekusi oleh event PU

Variabel dalam skrip dinamis tidak dapat diakses melalui CLI karena bersifat non- persistent

Variabel sistem run-time tambahan (additional run-time system variable) dibuat ketika event yang ditentukan (UP enabled event) terjadi.

Page 56: ENA Student Guide

Event Definisi

EVENT.NAME Event yang memicu profil

EVENT.PROFILE Profil yang sedang dijalankan

Selain itu, variabel untuk event tsb (event specific variables) juga dibuat,

Event Definisi

EVENT.TIME Waktu kejadian, dihitung dalam detik

EVENT.TIMER_TYPE Tipe timer, periodik atau non-periodik

EVENT.TIMER_NAME Nama timer yang dipicu oleh PU

EVENT.TIMER_LATE_SECS Waktu antara timer mulai dan skrip dijalankan

Total 128 skrip dinamik (profil PU) dapat dibuat dalam sebuah switch, dan setiap skrip maksimal terdiri dari 5000 karakter.

Event-event pemicu profil PU

Event Definisi

DEVICE_DETECT Perangkat tertentu terdeteksi oleh LLDP. Profil mengkonfigurasi port.

DEVICE_UNDETECT Perangkat tertentu tidak lagi terdeteksi atau terjadi time-out. Properties port kembali ke status known.

USER_AUTHENTICATED User yang telah ditentukan terotentikasi. Profil mengkonfigurasi port.

USER_UNAUTHENTICATED User yang telah ditentukan tidak lagi terotentikasi. Properties port kembali ke status known.

TIMER_AT Timer yang dijadwalkan terjadi pada waktu yang ditentukan telah tiba.

TIMER_AFTER Timer yang dijadwalkan terjadi setelah rentang waktu tertentu telah tiba.

USER_REQUSEST Profil dipicu oleh pengguna secara remote melalui CLI

LOG_MESSAGES Event log yang telah ditentukan sebelumnya telah terjadi. Respon oleh switch direkam di log.

Page 57: ENA Student Guide

Event Deteksi Perangkat LLDP (contoh)

Handset VOIP mengirim TLV LLDP ke switch

LLDP membuat (generates) event DEVICE_DETECT

Skrip dinamik pada PU dijalankan

Skrip mengkonfigurasi VLAN, QoS, ACL, PoE, dan TLV LLDP

Switch membalas dengan TLV LLDP yang khusus untuk perangkat tsb

Yang termasuk dalam TLV : VLAN, server call IP,  QoS, lokasi E911, dll.

Event otentikasi 802.1x (contoh; diringkas)

User memasuki halaman login dan klien 802.1x memulai proses otentikasi

Switch mengirim data yg dimasukkan user ke server RADIUS

Server RADIUS memeriksa otentikasi user

'AccessAccept' mengirim (generates) event USER_AUTHENTICATED

Skrip dinamik pada PU dijalankan :

Skrip mengkonfigurasi port dengan QoS, ACL, dan VLAN jika diperlukan.

Event Timer (contoh)

Event Timer PU diset untuk berjalan antara pukul 20.00 s/d 08.00 setiap hari.

Pada jadwal yang telah ditentukan (20.00), event TIMER_AT dikirimkan (generated)

Skrip dinamik 'PoE off' pada profil PU dieksekusi

#atur variabel dan buat entri

create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME

#matikan PoE pada semua port

disable inline-power

Pada jadwal yang satunya (08.00) event TIMER_AT dikirimkan kembali

Skrip dinamik 'PoE on' pada profil PU dieksekusi

#atur variabel dan buat entri

create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME

#hidupkan PoE pada semua port

enable inline-power

B. KonfigurasiKonfigurasi PU :

Membuat dan mengkonfigurasi event timer PU (contoh)

Membuat skrip profil PU :

Page 58: ENA Student Guide

create upm profile <nama profil>

CLI akan memasuki mode editor

Masukkan perintah skrip dan akhiri dengan titik (.)

Membuat, mengkonfigurasi, dan mengikat (bind) timer PU pada profil :

create upm timer <nama timer>

configure upm timer <nama timer> at <bulan> <tanggal> <tahun> <jam> <menit> <detik> {every <detik>}

Verifikasi profil PU

show upm profile <nama profil>

Verifikasi timer PU

show upm timers

Menguji Event Timer PU

Menguji skrip profil PU :

run upm profile <nama profil>

CLI akan mengeksekusi sebagai event "USER_REQUEST"

Verifikasi eksekusi skrip profil PU

show upm history

show upm history exec-id <nomor>

Verifikasi eksekusi PU pada log

show log match upm

XI. 11. QoSSee also: 3. Konfigurasi Port & Link

A. Sekilas QoS QoS terdiri dari beberapa mekanisme dan protokol yang didesain untuk memfasilitasi

pengaturan delay dan bandwidth untuk data yang sensitif di jaringan yang sibuk.

Pada jaringan Ethernet, QoS digunakan untuk memberikan kualitas akses yang berbeda pada jaringan yang sama.

2 elemen utama QoS :

Prioritas (Priority)

Tipe trafik tertentu diberi prioritas diatas tipe trafik yang lain.

contoh : trafik suara (voice) biasanya lebih diprioritaskan daripada trafik data.

Page 59: ENA Student Guide

Diimplementasikan dengan menggunakan antrian hardware bertingkat (hierarchycal hardware queue)

Switch Extreme mendukung 8 antrian hardware per port egress, beberapa switch mendukung antrian hardware pada port ingress.

Kontrol Bandwidth (Bandwidth Control)

Tipe trafik tertentu diberikan garansi bandwidth dalam jumlah tertentu

contoh : trafik suara (voice) diatur agar mendapat alokasi bandwidth minimum 2 Mbps

Tipe trafik tertentu bandwidthnya dibatasi dalam jumlah tertentu

contoh : trafik web di beri jatah bandwidth maksimum 1 Mbps

Diimplementasikan dengan menggunakan mekanisme kebijakan trafik (traffic policing mechanism)

Prioritas QoS (disebut juga CoS)

2 cara switch dalam mengimplementasikan CoS :

Memberi tanda pada paket eksternal (External packet marking/Explicit QoS packet marking)

Perangkat eksternal memberi tanda (mark/classifies) pada paket dengan mengatur sejumlah bit tertentu pada paket. Ini dapat menjamin bahwa paket akan diprioritaskan sesuai dengan pengaturan yang telah ditentukan sebelumnya.

Perangkat eksternal ini memberi instruksi pada perangkat2 lain di jaringan untuk memberi kode pada header suatu paket sehingga paket tsb mendapat prioritas yang berbeda.

Switch yang menerima paket melakukan 1 diantara 2 hal berikut ini :

Switch meneliti klasifikasi paket dan menempatkan paket pada antrian sesuai prioritasnya

Switch mengklasifikasi ulang paket dan menempatkannya pada antrian yang berbeda

Kontrol internal dan penandaan paket

Ini berlaku pada switch yang tidak mendukung penggunaan explicit QoS.

Switch dikonfigurasi untuk menempatkan suatu trafik pada antrian tertentu.

Suatu trafik dapat diidentifikasi untuk mendapatkan perlakuan CoS tertentu berdasarkan pada :

Port fisik, MAC address, VLAN, IP address, nomor port TCP dan UDP, dll.

Page 60: ENA Student Guide

Disebut juga pengelompokan trafik/traffic grouping.

Switch dapat juga (optionally) memberi tanda/klasifikasi pada paket.

Cara seperti ini disebut juga implied QoS. Switch Extreme dapat mengkonversi implied QoS menjadi explicit QoS packet marking ketika suatu paket melewati port egress.

Antrian prioritas yang ketat (Strict priority queuing) : Normalnya, paket dengan prioritas tinggi selalu dikirim lebih dahulu sebelum paket dengan prioritas lebih rendah, tetapi jika paket yg prioritasnya lebih rendah ini sudah mulai dikirimkan, maka paket yang prioritasnya lebih tinggi harus menunggu hingga pengiriman selesai.

B. Standar-Standar CoS Standari QoS yang didukung oleh XOS :

IEEE 802.1D - 1998 (802.1p) Prioritas Paket (Packet Priority)

RFC 2474 - DiffServ - Pendahuluan (DiffServ Precedence)

RFC 2598 - DiffServ - Pengiriman yang dipercepat (DiffServ Expedited Forwarding/EF)

RFC 2597 - DiffServ - Pengiriman yang terjamin (DiffServ Assured Forwarding/AF)

RFC 2475 - DiffServ - Fungsi router core dan edge (DiffServ Core and Edge Function)

Profil QoS dan CoS :

CoS diset menggunakan profil QoS

Maksimal 8 profil QoS dapat dibuat.

2 profil telah ada secara default, yaitu QP1 dan QP8

Pada switch BD8K dan SummitX, kelas 802.1p dibawah 7 dan DSCP dibawah 56 dimasukkan kedalam QP1

Profil QoS

Profil QoS pada BD8K atau SX

Kelas Prioritas IEEE 802.1p

Sifat trafik kelas IEEE 802.1p

DSCP Antrian hardware switch

QP1 QP1 0 Belakang (Background)

0-7 0-Low

QP2 QP1 1 Usaha Terbaik (Best Effort)

8-15 1-LowHi

QP3 QP1 2 Usaha Sempurna

16-23 2-Normal

Page 61: ENA Student Guide

(Excellent Effort)

QP4 QP1 3 Aplikasi Kritis (Critical Application)

24-31 3-NormalHi

QP5 QP1 4 Video dengan latensi < 100ms

32-39 4-Medium

QP6 QP1 5 Video dengan latensi < 10ms

40-47 5- MediumHi

QP7 QP1 6 Kontrol Internet (Internetwork Control)

48-55 6-High

QP8 QP8 7 Kontrol Jaringan (Network Control)

56-63 7-HighHi

Dalam XOS hanya ada 2 profil QoS karena pada kebanyakan jaringan enterprise, trafik dapat dibedakan menjadi 3, yaitu background, video, dan kontrol.  Mudahnya, data background dapat dimasukkan sebagai data dengan prioritas rendah (QP1), sementara video dan kontrol sebagai data dengan prioritas tinggi (QP8). Data kontrol sendiri (yg digunakan dalam EAPS) berjumlah sedikit dan tidak berpengaruh pada data lain yang berada dalam antrian yang sama.

Cara memverifikasi profil QoS :

show qosprofile

menampilkan profile QoS, bobot (weight), dan buffer.

Verifikasi pemetaan CoS :

show dot1p

menampilkan nilai prioritas 802.1p dan profil QoS yang dimasukkan (assigned QoS profile)

Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure dot1p type

show diffserv examination

menampilkan DSCP dan profil QoS yang dimasukkan (assigned QoS profile)

Page 62: ENA Student Guide

Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure diffserv examination code-point

Untuk memasukkan nilai CoS pada profile QoS non-default, profil QoS nya harus dibuat terlebih dahulu.

Mengkonfigurasi QoS berbasis port 802.1p untuk VoIP (dengan nilai yang direkomendasikan oleh IEEE untuk klasifikasi trafik bagi voice)

Membuat profile QoS VoIP :

create qosprofile <nama profil>

Agar 802.1p berfungsi, VLAN dan port harus ditag

Mengubah pemetaan 802.1p :

configure dot1p type <nilai prioritas 802.1p> <nama profil>

Nilai prioritas untuk suara (voice) adalah 5

pengujian 802.1p (dot1p examination) telah diaktifkan secara default.

Verifikasi pemetaan 802.1p

show dot1p

Konfigurasi port untuk CoS VoIP

configure port <nomor port> <nama profil>

Verifikasi pengaturan QoS

show ports <nomor port> information

XOS merekomendasikan penggunakan CoS5/QP6 atau CoS7/QP8, karena CoS6/QP7 digunakan untuk trafik kontrol stack.

Untuk setiap profil QoS yang dibuat dalam BD8K atau SX, pemetaan CoS yang default harus dibuat tersendiri untuk setiap kombinasi profil CoS/QoS.

Konfigurasi QoS berbasis port DiffServ untuk trafik server-server

Buat profil QoS

create qosprofile <nama profil>

Mengubah pemetaan DiffServ dan mengaktifkan pengujian DiffServ (DiffServ Examination)

configure diffserv examination code-point <dscp> <nama profil>

dscp untuk aplikasi kritif adalah 24

enable diffserv examination <nomor port>

diffserv examination tidak aktif secara default

Verifikasi pemetaan DiffServ :

show diffserv examination

Page 63: ENA Student Guide

Konfigurasi port untuk CoS :

configure ports <nomor port> <nama profil>

Verifikasi pengaturan QoS

show ports <nomor port> information

Konfigurasi diatas mengasumsikan bahwa server menggunakan aplikasi yang mendukung diffserv (diffserv-aware applications)

Konfigurasi QoS berbasis VLAN dengan Tanda (marking).

Membuat profile QoS VoIP :

create qosprofile <nama profil>

Agar 802.1p berfungsi, VLAN dan port harus ditag

Verifikasi pengaturan QoS VLAN

show vlan <nama vlan>

Mengaktifkan penandaan (marking) 802.1p

enable dot1p replacements ports <daftar port>

Verifikasi pengujian 802.1p (802.1p examination) dan pengaturan tanda (marking setting)

show port <daftar port> information detail

Penandaan paket (packet marking) dan penggantian (replacement) dapat dilakukan terpisah atau bersamaan. Untuk mengaktifkan diffserv packet marking dan replacement, masukkan perintah --> enable diffserv replacement ports <daftar port>

Penandaan paket dan penggantian, jika diaktifkan akan berjalan pada port egress. Secara default kedua fitur ini tidak aktif.

Verifikasi operasi profil QoS untuk CoS :

show ports <daftar port> qosmonitor

menampilkan daftar port egress, antrian profil QoS, dan paket yang dikirim.

secara default tabel yang tampil berjalan secara real time.

1. 802.1p

Adalah bagian dari tagging standar VLAN 802.1Q

Berisi 3 bit yang didefinisikan sbg kelas prioritas (8 level, 0-7)

2. DiffServ

Didefinisikan dalam RFC 2474 dan 2475

Berisi 6 bit untuk kelas prioritas dan 2 bit untuk Pemberitahuan Kemacetan Eksplisit (Explicit Congestion Notification/ECN)

XOS tidak memeriksa atau mengatur nilai ECN.

Page 64: ENA Student Guide

Nilai bit pada DiffServ disebut sebagai Titik Kode DiffServe (DiffServe Code Point/DSCP), dan merupakan 6 bit pertama dari kolom Tipe Service (Type of Service/ToS) pada paket IP. Nilainya antara 0-63.

XII. 12. Troubleshooting

A. Alat Diagnosa Sistem Fitur-fitur yang dapat digunakan untuk mendiagnosa kerusakan hardware pada sistem :

Power-On-Self-Test (POST) pada modul dan sistem

Berjalan secara otomatis saat sistem boot-up, dan memeriksa keadaan subsistem-subsistem CPU, ASIC, dan memori.

Jika POST mendeketsi kerusakan, maka POST akan mencatat kerusakan pada log sistem, dan LED Mgmt akan berwarna kuning.

Pemeriksa kondisi (Health checker) sistem

Secara proaktif mempolling dan melaporkan kondisi modul, backplane, proses-proses, power supply, power supply controller, dan kipas (fan).

Alat diagnosa sistem dan modul

Mendiagnosa sistem lebih mendalam daripada POST

Diagnosa normal meliputi :

Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs) dan tes loopback paket pada semua port.

Diagnosa lebih dalam (extended diagnostics) meliputi :

Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs), ASIC-memory, dan tes loopback pada semua port. Juga tes PoE yang lebih dalam, jika didukung.

Menjalankan alat diagnosa sistem :

Diagnosa normal :

run diagnostics normal [slot <nomor slot>]

nomor slot adalah nomor chassis, atau A atau B untuk MSM.

Akan memeriksa switch, slot, modul manajemen, dan port stack.

Memeriksa port stack, apakah berfungsi dengan baik atau tidak (sebelum dijadikan switch stacking). Ktk switch sudah berada pada mode stacking, perintah ini tidak dapat dijalankan lagi.

Diagnosa lebih dalam :

run diagnostics extended [slot <nomor slot>]

Melihat hasil diagnosa :

Page 65: ENA Student Guide

show diagnostics [slot <nomor slot>]

Jika tidak ada hasil, berarti perintah diagnosa belum pernah dijalankan.

Mengunggah hasil diagnosa ke server TFTP

tftp put <ip> vr <nama vr> summitDiagLog.txt

Hasil diagnosa secara default disimpan dalam file di memori internal

B. Alat-alat Pengumpul DataSee also: Alat-Alat Pengelolaan

Berguna untuk membantu proses troubleshooting.

Alat-alat tsb antara lain :

Logging

Log internal

Tersedia pilihan untuk melihat keseluruhan log, log dengan kategori tertentu, kejadian (event) sebelum atau sesudah waktu tertentu, dan yang sesuai dengan teks tertentu.

Perintah-perintah :

Melihat log internal

show log

Melihat entri log kritis (critical)

show log severity <kategori>

Melihat log yang menampilkan pesan 'link UP'

show log match "link UP"

Menampilkan komponen log

show log component <komponen event>

opsi monitoring lainnya adalah :

chronological : menampilkan log secara berurutan dari terlama-terbaru

configuration : menampilkan konfigurasi EMS, termasuk mode debug, target yang diset, dan filter

counters : Menampilkan jumlah kejadian (event) yang melibatkan komponen tertentu seperti AAA atau OSPF.

starting : menampilkan kejadian2 yang dimulai dari waktu yang ditentukan

ending : menampilkan kejadian2 yang berakhir pada waktu yang ditentukan

Page 66: ENA Student Guide

Menghapus log dari memori internal

clear log

Menghapus log dari NVRAM

clear log static

Log real-time

Berguna untuk menguji suatu protokol secara interaktif

Perintah-perintah :

Mengaktifkan logging perintah CLI

enable cli-command-logging

Sebetulnya tidak diperlukan untuk mengaktifkan log real time. Hanya digunakan untuk memastikan bahwa perintah yang dimasukkan tidak salah.

Mengaktifkan tampilan log pada sesi konsol (port serial)

enable log display

Mengaktifkan tampilan log pada sesi telnet atau ssh

enable log target session

Syslog untuk memeriksa semua kejadian (events) pada switch secara remote.

Log sistem disebut juga Event Monitoring System (EMS).

EMS menyimpan log dalam 2 tempat secara bersamaan, yaitu di buffer memori dan NVRAM, masing2 berdiri terpisah. Oleh karena itu, kita dapat memonitor event baru dengan menghapus log pada buffer memori tanpa menghapusnya dari sistem.

Selain 2 tempat diatas (buffer memori dapat menyimpan 200-20rb pesan log; log pada NVRAM tidak terhapus setelah reboot) , kita juga dapat mengatur agar log dapat dikirim ke 5 tempat (target) berikut (semua target telah diatur secara default, kecuali host syslog yang memerlukan konfigurasi ke server syslog) :

Konsol

Sesi aktif telnet/ssh

MSM/MM primer (untuk switch standalone) atau node (untuk stack)

MSM/MM backup (untuk switch standalone) atau node (untuk stack)

Host Syslog

Perintah 'show tech'

Page 67: ENA Student Guide

Menampilkan kumpulan dari 20+ perintah 'show xxx' , atau outputnya dapat juga disimpan kedalam suatu file.

show tech

show tech all logto file

Digunakan untuk memeriksa switch yang rusak (faulty switch).

Perintah-perintah :

Melihat file 'show tech'

ls internal-memory

Mengupload file 'show tech' ke server tftp

tftp put <alamat ip> vr <nama vr> internal-memory show_tech.log.gz

Menjalankan perintah show tech dapat menampilkan atau me-log banyak sekali informasi. Sebaiknya dilakukan dengan hati-hati, atau pada switch yang sudah diisolasi dari trafik pengguna.

C. Alat-alat pemeriksa sambungan/konektivitas ping

traceroute

nslookup

Mengkonfigurasi dns-client

configure dns-client add name-server <ip>

configure dns-client default-domain <nama domain>

Verifikasi dns-client

show dns-client

Resolve nama host

nslookup <nama host>

Untuk mengoperasikan nslookup, switch setidaknya harus terhubung dengan 1 server dns