Implementasi MikroTik pada WAN.ppsx

8/18/2019 Implementasi MikroTik pada WAN.ppsx

1/211

IMPLEMENTASI MIKROTIK PADA

RANCANG BANGUN WAN

Oleh: Luluk Nurcahyadi

7-8 Januari 2016

Venue: SMKN 1 Tamak!y!" Tuan


2/211

Tujuan Training

• Mempelajari kemampuan RouterOS danmengenal macam RouterBOARD

• Mempelajari cara implementasi RouterOSpada Jaringan WAN

• Mendapatkan kualifkasi sebagai seorang

MikroTik Netork Assosiate !ang mampumengaplikasikan dalam ke"idupan se"ari#"ari


3/211

MIKROTIK ROUTEROS

DAN ROUTERBOARD


4/211

MikroTik

• MikroTik RouterOS So$tare untuk menguba" %& menjadi sebua"

router "andal

Diinstall sebagai Sistem Operasi

• MikroTik RouterBOARD 'ardare (pengganti %&) !ang menggunakan

RouterOS sebagai Sistem Operasin!a Tersedia mulai lo#end "ingga "ig"#end


5/211

*itur MikroTik RouterOS

• Interface *isik + ,t"ernet- S*%- Serial- .SB Wireless + /012'3- 42'3 5irtual + Bridge- Bonding- 56AN

Tunnel + ,o7%- 7%7%- %%T%86/T%- M%6S- %%%o,- O5%N- 7%sec

• Routing Static Route- %olic! Route- D!namic Route (OS%*- B2%- R7%)

• Firewall Netork Address Translation *ilter Rules- c"ange TT6- Address 6ist


6/211

*itur MikroTik RouterOS

• Bandwidth Management 'TB- %*7*O-B*7*O- R,D- S*9- %&9

• Services Web %ro:!- 'otspot- D'&%- DNS

• Tools untuk Monitoring dan Diagnostik 2rap"- Watc"dog- %ing- MA%ing- Torc"- dsb0

• Manajemen User RAD7.S- local user- %%% user- Accounting- AAA


7/211

MikroTik RouterBOARD

• 'ardare !ang didesain ole" MikroTik- menggunakanRouterOS sebagai Sistem Operasin!a

• Memiliki beragam seri dan inter$ace- !ang

disesuaikan dengan kebutu"an &ore Router Wireless Router 2atea! Router (untuk Warnet- ;antor- dsb0)


8/211

Tipe RouterBOARD

• RouterBOARD memiliki sistem pengkodean tertentu

RB1anced- biasan!a le>el 1 atau di atasn!a ' = 'ig" %er$ormance- processor lebi" tinggi R = dilengkapi Wireless &ard embedded 2 = dilengkapi port ,t"ernet 2igabit

Seri8;elas RouterBOARD

Jumla" Slot mini%&7

Jumla" %ort ,t"ernet


9/211

KONEKSI WIRELESS


10/211

Apaka" Wireless 7tu?

• Wireless merupakan koneksi tanpa kabel(ire#less) dimana data dileatkan melaluigelombang (a>e) dengan peruba"an

$rekuensi dan amplitudo

• %enggunaan jaringan ireless sangattergantung pada penggunaan kartu jaringan

(ireless card) !ang merupakan sumberpemancar (access point) dan penerimagelombang (station)


11/211

Wireless pada MikroTik

• RouterOS mendukung beberapa modul radio(ireless card) !ang memungkinkan terjadikomunikasi meleati udara menggunakan$rekuensi /012'3 atau 42'3

• MikroTik menaarkan solusi kompatibel untukmendukung standard 7,,, @/0a8b8g8n @/0a = $rekuensi 42'3- 41Mbps @/0b = $rekuensi /012'3- Mbps @/0g = $rekuensi /012'3- 41Mbps @/0n = $rekuensi /012'3 atau 42'3-


12/211

5ariasi BAND

• Double &"annel (1M'3) = @Mbps ma: air rate /012'3#g#turbo 42'3#turbo

• Single &"annel (/M'3) = 41Mbps ma: air rate

/012'3#/M'3 42'3#/M'3

• 'al$ &"annel (M'3) = /CMbps ma: air rate /2'3#M'3 42'3#M'3

• 9uarter &"annel (4M'3) =


13/211

&"annel untuk @/0b8g

• Terdapat c"annel (masing#masing dengan lebar data//M'3)

• Terdapat < c"annel non#o>erlap (tidak saling mengganggu) Secara teori- memungkinkan terdapat < Akses %oint di lokasi !ang

sama tanpa saling inter$erensi


14/211

&"annel untuk @/0a

• Terdapat / c"annel (dengan lebar data /M'3)

• Terdapat 4 c"annel turbo (1M'3)


15/211

*rekuensi !ang didukung

• Secara umum- ireless card mendukungpenggunaan $rekuensi berikut + .ntuk /012'3 + /


16/211

&ountr!#Regulation


17/211

&ountr!#Regulation

Frequenc Mode

• Manual#t:#poer Transmit poer diatur manual (tidak

men!esuaikan dengan negara tertentu)

• Regulator!#domain Disesuaikan dengan $rekuensi#$rekuensi

!ang dijinkan di suatu negara

• Superc"annel Membuka semua $rekuensi !ang bisa

disupport ole" ireless card

%emili"an negaradimana kita akanmengimplementasikanregulasin!a

Menentukan apaka"

akan dipakai pigtailkonektor MA7N atauA.I

Bila diisi- akanotomatismen!esuaikan t:#poer agar tidakmelebi"i ,7R% disuatu negara


18/211

&ountr! Regulation

• ;arena penggunaan countr!#regulationakan mempengaru"i $rekuensi kerja dariWireless &ard- maka se!aikna A% dan

Station menggunakan &ountr! Regulation!ang sama

• &obala" mengganti countr! regulationmenjadi

Jepang .SA 7ndonesia


19/211

Radio Name

• Radio Name adala" identitas dari Wireless kita

• Radio Name akan muncul pada saat S&AN 5ie di Registration Table

2antila" menjadi"#$%&M&'&%D& Dan li"at apa!ang akanditunjukkan ole"

Trainer di depan


20/211

;onsep ;oneksi Wireless

• ;oneksi terjadi antara Akses %oint (A%) dengansatu (atau lebi") station

• ;oneksi terjadi bila ada kesamaan SS7D (antaraA% dan Station)

• A% dan Station "arus menggunakan BAND !angsama

• Station akan secara otomatis mengikuti*rekuensi !ang di#set di A% Sebaikn!a regulator!#domain keduan!a sama

Bila menggunakan scan#list- maka $rekuensi !angdipili" di A% "arus ada di scan#list Station


21/211

;oneksi Wireless

(ireless&ccess)oint

(ireless

Stations


22/211

Mode 7nter$ace Wireless

&lignment onlDigunakan "an!a untukpointing

&*'!ridge

Mode Akses %oint!ang akanmemancarkan sin!aldan dapatdikoneksikan lebi"dari satu station

BridgeSama dengan ap#bridge namun"an!a dapatdikoneksikan ole"satu station saja

Station&lient Wireless0 Tidakmemancarkan sin!al namunbersi$at pasti untukterkoneksi ke A% Stationtidak dapat di BR7D2,


23/211


24/211

;onfgurasi sebagai Station

• ;onfg sisi &67,NT Minimum MikroTik

6isensi 6e>el < ang perlu diisi

• Mode K Station

• SS7D K Lsesuai A%• Band K Lsesuai A%

• Scan#list (biladiperlukan)

• &ountr!#regulation K

LA% Bila countr! regulation

atau scan#list diisi-pastikan sama antaraA% dan Station


25/211

;oneksi ke A% = S&AN•

%ada saat scan dilakukan- koneksi akan terputus


26/211

&onnect#6ist

• Da$tar untuk &67,NT8STAT7ON mengenai A% mana saja!ang bole" (atatu tidak bole") dikoneksikan

,NAB6,&onnectio

n (bole"terkoneksi

'an!aakan

konek bilasin!aldalam

range ini

,N;R7%S7 (bilaada)


27/211

&onnect#6ist

• .ntukmenggunakanconnect list-D,*A.6T#A.T',NT7&AT,

"arus di#unchecked

T7DA;

D7&,NTAN2


28/211

;onfgurasi Access %oint

• ;onfg di sisi Access%oint (pemancar) Minimum MikroTik

6isensi 6e>el 1 ;onfgurasikan

• Mode K ap#bridge(bridge)

• SS7D K Lbebas

• Band K Lbebas

• *rekuensi K

Lbebas Bila modeKbridge-

maka "an!a bisadiakses dari station saja


29/211

;onfgurasi Access %oint =BAND• Band menentukan jenis $rekuensi- teknologi dan

lebar pita !ang digunakan &onto" untuk /012'3 terdapat beberapa mode

/012'3#B82 K @/0b8g

/012'3#B K @/0b

/012'3#M"3 K "al$#c"annel

/012'3#4M"3 K Huarter#c"annel

/012'3#b8g8n K @/0b8g8n

/012'3#onl!#N K @/0n

/012'3#onl!#2 K @/0g


30/211

;onfgurasi Access %oint =S,&.R7T

;onfgurasi ,N;R7%S7 !ang

diaplikasikan ke inter$ace(dijelaskan terpisa" di bablain)

Bila di -./-0/DSemua Station !angmemasukkan SS7D !ang sama

akan langsung terkoneksi

Bila TID&0 -./-0/D'arus meli"at pada Access#6ist

Bila di -./-0/DSemua Station !ang beradadalam A% !ang sama dapatsaling berkomunikasi antarStation secara langsung tanpameleati A%

Bila di -./-0/DSS7D tidak akan tampil padasaat di#scan


31/211

Wireless A% Station

• Bekerjala" B,R%ASAN2AN• 2unakan W6AN/ untuk melakukan

koneksi Wireless ke Rekan Anda

(1&%2A&&,SS%O7NT

(1&%2STAT7ON


32/211


33/211


34/211

Wireless Tools

• Scan digunakan untuk meli"at A% !ang sedangmemancarkan sin!al sekaligus besarn!a sin!al !angdidapat dan produk !ang digunakan


35/211

Wireless Tools

• *reHuenc! .sage adala" tools untuk melakukan scanter"adap $rekuensi dan meli"at utilitasn!a


36/211

Wireless Tools

• Snooper merupakan tools scanning !ang lebi" detaildimana dapat dili"at $rekuensi tertentu digunakan ole"Akses %oint apa saja dan berapa utilitasn!a


37/211


38/211

Registration Table = 7tems

Signal dari A%8&lient!ang diterima ole"7nter$ace ini

Signal !angdipancarkan ole"

7nter$ace ini

&&9 (&lient &onnection9ualit!)- !aitu nilai !angmen!atakan seberapa besarkapasitas dari $rekuensi !angdapat digunakan (semakin

tinggi nilain!a semakin baik)

Berdasarkan nilai &&9- dapatdi"itung perkiraan

T'RO.2'%.T !angdidapatkan


39/211

.tilit! = Bandidt" Test

• Terdapat utilitas di MikroTik untuk melakukan testbandidt" seder"ana

• .ntuk bisa menerima Bandidt" Test- Btest Ser>er "arusdiakti$kan terlebi" da"ulu


40/211


41/211

BTest &lient

Direction8Ara"R,&,75, K Donload TRANSM7T K .pload

BOT' K .pload PDonload

7% T.J.AN

Aut"entikasi6O27N8%ASSWORD di BT,STSer>er


42/211

Optimasi Wireless

• &obala" gunakan BT,ST untuk test bandidt"dan carila" $rekuensi !ang paling optimal

BT,ST &67,NT

R.NN7N2%rotocol K T&%

Direction KBOT'

BT,ST Ser>er,NAB6,D


43/211


44/211


45/211

De$ault#Aut"enticate

-./-0/D3#/S

- Bole" terkoneksi

U%-./-0/D3%4# T7DA; bole"terkoneksi


46/211

De$ault#*orarding

• ;"usus de$ault#$orarding- bila 7NT,R*A&, meng#enable danAccess#6ist men#disable- maka !ang akan digunakan adala" !angterdapat di Access 6ist

-./-0/D3#/SSemua client8station!ang ter"ubungdapat salingberkomunikasi antar#

client tanpa "arusmelalui A%

U%-./-0/D3%4Semua client "arusmeleati A% untuk

saling berkomunikasiantar#client8station


47/211

,nkripsi Wireless

• ,nkripsi digunakan untuk meningkatkankeamanan

• Metode enkripsi tergantung dari J,N7S Wireless&ARD dan OS !ang digunakan

• MikroTik mendukung enkripsi dengan W,% W%A W%A/ ,A%


48/211


49/211


50/211

,nkripsi W%A• 7mplementasi

dalam 7nter$ace

%ili" %rofl !angtela" dibuat(%astikan A% dan

Stationmenggunakan%rofl !ang sama)


51/211

,nkripsi W%A• Bila menggunakan

connect-list - makasetting enkripsidilakukan dibagian &onnect

6ist (bukan diinter$ace stationW6AN)


52/211

ROUTING (LAYER 3

CONNECTION)


53/211

Route (;oneksi 6a!er


54/211


55/211


56/211


57/211

;onsep Routing

7% K10101018/1

7% K1C/01E010/8/1

2W K1C/01E0101

3

2

1

4

7% K

1C/01E01018/1


58/211


59/211

;onsep Routing

7% K10101018/1

7% K1/01E@0101

7% K1/01E@0101

7% K1C/01E010/8/1

3

2

1

4

7% K 1010101

7% K 1010101

DST#ADDR,SS K1C/01E0108/1

2AT,WA K 1010101

DST#ADDR,SS K1010108/12AT,WA K

1/01E@0101


60/211

7%


61/211

;onsep Routing

7% K10101018/1

7% K101010/

7% K1010101

7% K1C/01E010/8/1

3

2

1

4

7% K10101018/1

DST#ADDR,SS K

2AT,WA K


62/211

Routing di MikroTik

• ;onsep routing di MikroTik juga menggunakanprinsip dst#address dan gatea!


63/211


64/211


65/211

De$ault 2atea!

• De$ault gatea! adala" kasus dimana semuatujuan akan diali"kan ke 2atea! tertentu Semua tujuan dst#addressK0008

• 'al ini dilakukan bila jalur keluar dari satu Router"an!a melalui satu 7%

• Juga digunakan untuk last-choice (pili"anterak"ir) dalam sebua" tabel routing (routingtable)


66/211

%emili"an Routing

• Routing dalam MikroTik akan dipili" denganurutan Tujuan !ang lebi" spesifk akan diutamakan Distance !ang lebi" kecil akan diutamakan

Bila tujuan dan distance sama- maka akan berlakusistem random

321

0&SUSRequest untukmenuju I)2526786962:


67/211


68/211


69/211

;oneksi Routing

• Bekerjala" B,R%ASAN2AN

7% K1010AB0/8/1

7% K1010AB018/1

W6AN1 Station to&lassA%


DST#ADDR,SS KII0II0II0II8/1

2AT,WA K 1010AB01


70/211

;oneksi Routing

• &obala" saling %7N2 antar laptop• %er"atikan ba"a meskipun ada de$ault#route-

namun karena routing !ang baru kita masukkanlebi" spesifk- Router akan pergi ke gatea!tersebut untuk mencari jaringan !ang kita tuju

.ntuk tujuan1/01E@0108/1 menujuke 10101@C0/

Routing Dinamis (D!namic


71/211

Routing Dinamis (D!namicRouting)• ;onfgurasi untuk meng"ubungkan antar#jaringan

(netork) mungkin dilakukan secara otomatismenggunakan D!namic Routing

• D!namic Routing terutama digunakan pada jaringan!ang besar (ba!angkan bila Anda "arus membuatstatic#routing untuk @ netork dengan Router)

• D!namic Routing akan membuat masing#masing Routersaling bertukar in$ormasi route secara otomatis

• D!namic Routing muda" dalam konfgurasi- namun

sedikit sulit dalam mengatur8troubles"oot (karenasemua dilakukan secara otomatis

• Dibutu"kan lebi" ban!ak resource Router


72/211

Routing Dinamis

• Sala" satu protokol Routing Dinamisadala" OS%*

• OS%* K Open S"ortest %at" *irst

• OS%* adala" protokol !ang sangatcepat dan optimal untuk routingdinamis

• Muda" dikonfgurasi

7% K


73/211

OS%*

7% K10101018/1

7% K1C/01E010/8/1

3

2

1

4

7% K

1C/01E01018/1

10101018/1


74/211

;onfg OS%*


75/211

;onfg OS%* = 7NSTAN&,S• Merupakan

konfgurasi%RO*76 OS%*6O;A6

• Men!impan

in$ormasimengenai konfgOS%* di Router


76/211

;onfg OS%* = 7NSTAN&,SDistribusikan D,*A.6T#RO.T, kepada Routerlain0 'an!a digunakanbila Router inimerupakan jalan keluardari Jaringan secaratotalDistribusikan 7% danNetork !ang terdapat

pada 7% = ADDR,SS diRO.T,R

Distribusikan RoutingStatis !ang ada diRouter

Digunakan untukfltering 7%#7% !angbole"8tidak bole"diterima8diberikan

Distribusikan D!namic

Routing lain !angdidapat (OS%*- B2%-R7%)


77/211


78/211

OS%*

• Bekerjala" B,R%ASAN2AN

7% K1010AB0/8/1

7% K1010AB018/1




79/211

OS%*• 'apusla" rule NAT

• ;onfgurasikan D'&%#client agar tidak mengambil de$aultRoute (de$ault route akan diberikan ole" OS%*)

OS


80/211

OS%*

• Buatla" OS%* pada W6AN dan W6AN/

7% K1010AB0/8/1

7% K1010AB018/1

R/DISTRIBUT/'-4%%/-T/D "arus as#t!pe#1 pada setting

7NSTAN&,

OS%* 7


81/211

OS%* = 7nstance

.ntukmendistribusikan7% ADDR,SS !angada di RO.T,Rke peering8router

lain secara OS%*

OS%* N k


82/211

OS%* = Netork

Mengakti$kan

OS%* >ia W6AN1 (7% Netork1010108/1)

Mengakti$kan OS%* >iaW6AN/ (7% Netork10101C08/1)## sesuaikan dengan 7%Netork di W6AN/ Anda

Akan muncul secara

dinamik inter$ace !angtela" terkoneksi secaraOS%*

OS%*


83/211

OS%*

• Simulasikan bila W6AN Anda putus (sala" satu)

7% K1010AB0/8/1

7% K1010AB018/1


84/211


85/211

,&M%


86/211

,&M%• .ba"la" D'&%#

client agar tidakmengambil de$ault#route

• Jangan lupa

menamba"kan NATmasHuerade untukout#inter$aceKW6AN/

,&M%


87/211

,&M%• Akti$kan W6AN/ dengan SS7D + &lassA%/ (band

/012'3) dan akti$kan D'&%#client di &lassA%/

,&M%


88/211

,&M%

• Tamba"kan de$ault route untuk ke W6AN danW6AN/ dengan ,&M%


89/211


90/211

%olic Routing Marking


91/211

%olic! Routing = Marking


92/211


93/211

FIREWALL

*ireall


94/211

*ireall

• *ireall bertujuan untuk melindungiRouter dan &lient dari akses !ang tidakdiinginkan

• *ireall dapat diimplementasikan dalamMikroTik melalui ftur *ilter dan NAT


95/211


96/211


97/211


98/211


99/211

*ireall Struktur Diagram


100/211

*ireall Struktur Diagram

*ireall *ilter &'A7N


101/211

*ireall *ilter = &'A7N

• %astikan setiap rule *ireall ditempatkan di&'A7N !ang benar

• ;esala"an penempatan &'A7N akan berakibatrule tidak dapat berjalan seperti !ang diinginkan


102/211

*ireall .sage


103/211

*ireall .sage

• Beberapa item secara de$ault akan tertutup;lik disini untukmengisikan data ataumengakti$kan isian

%4T3%/=&SI Jikadicentang- berarti bukan7% !ang dimaksud

;lik disini untukmenutup8menonakti$kanisian


104/211

*ireall .sage


105/211

*ireall .sage

• *ireall bekerja dalam prinsip 7*#T',N

IF = Bila kondisi#kondisi dalam tabini terpenu"i- maka&-TI4% akandijalankan

T./% = Bila kondisidalam IF terpenu"i-maka disinila"&-TI4% !ang akandilakukan ter"adaptraQc tersebut

Berisi statistik-seperti berapa ;Bdata !ang tela"leat dan berapa%aket !ang tela"memenu"i rule ini


106/211


107/211

*ireall = T',N


108/211

*ireall = T',N&--/)T = berarti traQc

!ang memenu"i kriteriaIF tadi akan langsungdikeluarkan daripemeriksaan (diterimauntukditeruskan8dileatkan)

DR4) = TraQc !angmemenu"i kriteria IF akan dibuang (tidakdileatkan)

14= = TraQc akandicatat dalam 6O2("an!a mencatat saja)dan setela" itu traQcdipersila"kan leat

R/;/-T = TraQc !angmemenu"i kriteria IF akan dibuang danmengirimkan pesanpenolakan melalui 7&M%


109/211

*ireall # Strategi


110/211

*ireall Strategi• Drop !ang tidak diperlukan-

kemudian Accept A66

• Accept !ang diperlukan-kemudian Drop A66


111/211


112/211

*ireall 7nput = A&&,%T


113/211

*ireall 7nput A&&,%T

IF3;I0& Jika di c"ain input adatraQc !ang menujusala" satu 7% di Router-terdapat akses dari(source address)1/01E@0I01

T./%3M&0&Maka traQc ini diterima(langsung akan keluardari c"ain)

*ireall 7nput = DRO%


114/211

*ireall 7nput DRO%IF3;I0&

Bila ada traQcapapun (rule inibersi$at global-se"ingga semuatraQc akan masukke dalam rule ini)

T./%3M&0&Maka traQc akan ditolakagar tidak leat ke prosesapapun lagi


115/211

Rule untuk DNS &ac"e


116/211

Rule untuk DNS &ac"e

• Tam!ahkan rule untuk meng'&--/)Tre*l D%S DNS menggunakan protokol .D% port 4<

I%)UTRESPONSE

Protocol = UDP

Src-Port = 3

4UT)UTRE!UES"

Protocol = UDP

D#t-Port = 3


117/211

MA& *iltering


118/211

MA& *ilteringMengatur

dariinter$acemanasaja MA

Telnetdiijinkan

Mengatur dari

inter$ace apa sajaMAWinbo: dapatdiijinkan

Apaka" MA%ing

dapat dilakukanmenuju Router ini

Menunjukkan sesi koneksila!er / !ang sedang akti$


119/211

Address 6ist


120/211

Address 6ist

• Berisi beberapa 7% !ang dikelompokkanmenjadi sebua" list (dengan namatertentu)

• Dapat digunakan dalam *ilter Rules Mangle NAT

Address 6ist


121/211

Address 6ist

• Address dapatberisi Single 7%

• /0E@00

Range 7%

• /0E@00 =/0E@00

Subnet 7%• /0E@00/@8/

Address 6ist = %enggunaan


122/211

Address 6ist %enggunaan

Dapat digunakanuntuk Da$tarSumber maupunDa$tar Tujuan

MasukkanNama 6ist 7%di sini

Address 6ist


123/211

Address 6ist

• Masukkanla" 7% 6aptop Anda dan 7% %ublik rekan

Anda ke dalam Address 6ist• &obala" untuk membuat rule (blocking8alloing)

untuk akses Winbo: ke Router Anda dan test apaka"rule berjalan sesuai dengan !ang Anda "arapkan

7% K1/01E@0I01

7% K 101010I


124/211


125/211

*ilter *orard


126/211

•Buatla" rule untuk melakukan blockingter"adap ping8traceroute dari 7% !ang lain

%7N28TRA&,RO.T, dari 7% selainAnda

-.&I% @ F4R(&RDSR% K 1/01E@0@01

%ROTO&O6 K 7&M%

&-TI4% K DRO%

Tanda ini ()merupakan NOT-

jadi 7*#n!aadala" bila

B.;AN dari 7%1/01E@0@01

*ilter *orard


127/211

• Buatla" rule agar Anda tidak dapatmelakukan Telnet ke MainRouter(000/41)

T,6N,T ke 101010/41

-.&I% @ F4R(&RDSR% K1/01E@0@01

DST#7% K 101010/41%ROTO&O6 K T&%DST#%ORT K /<

&-TI4% K DRO%

*ilter *orard


128/211

• Buatla" rule agar Anda dapat melakukanbrosing ke MainRouter (000/41)namun tetap tidak bisa melakukanbrosing ke ebsite lain

T.J.AN + A668S,M.A DRO% (suda" ada dilab 1)

'TT% T.J.AN K 101010/41 A&&,%T

-.&I% @ F4R(&RDSR% K1/01E@0@01

DST#7% K 101010/41%ROTO&O6 K T&%DST#%ORT K @&-TI4% K A&&,%T

.rutan Rule


129/211

'TT% ke W,BS7T, A%A%.N

%7N28TRA&,RO.T, dari 7% lain

T,6N,T ke 101010/41

'TT% T.J.AN K 101010/41 A&&,%T

%7N28TRA&,RO.T, dari 7% lain

T,6N,T ke 101010/41

'TT% T.J.AN K 101010/41 A&&,%T

'TT% ke W,BS7T, A%A%.N

&obala" membuka0!a"oo0com danmembuka "ttp+88101010/41'AS76 +- Website A'OO - Website 101010/41

&obala" membuka0!a"oo0com dan

membuka "ttp+88101010/41'AS76 +- Website A'OO - Website 101010/41

&ustom &"ain

http://www.yahoo.com/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://www.yahoo.com/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://www.yahoo.com/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://10.1.1.254/http://www.yahoo.com/


130/211

• Selain c"ain !ang ada (7N%.T- O.T%.T-*ORWARD)- dapat dibuat c"ain#c"ainsesuai keinginan

• Secara de$ault- "an!a c"ain !angterdefnisi sebelumn!a (7N%.T- O.T%.T-*ORWARD) !ang akan dileati secaraotomatis

• .ntuk membuat c"ain baru dan dileatiole" traQc- "arus dibuat rule J.M%

&ustom &"ain


131/211

&ustom &"ain


132/211

&ustom&"ain

&ustom &"ain


133/211

• Buatla" 2roup &'A7N sebagai berikut 2roup 7T

• BO6,' SS'- Telnet- *T%- WinBo:

• BO6,' 'TT%

• DRO% lainn!a

2roup Admin• BO6,' 'TT%

• BO6,' ,mail

• DRO% lainn!a

2roup Sta •

DRO% A66• Buatla" rule J.M% untuk 7% Anda ke sala" satu &'A7N

dari &'A7N *ORWARD


134/211

&ustom &"ain


135/211

*ireall 6O2


136/211

• Aktiftas freall dapat ditampilkan 8 disimpan

dalam 6O2

• 6og "arus diletakkan di atas rule lain (atau diatas rule !ang akan diperiksa)

6og %ref: # digunakan untukmenandai8membedakan log !angsatu dengan lainn!a dengan caramemberikan aalan pada baris log


137/211

*ireall = 6O2


138/211

• Buatla" 6O2 untuk semua 7% !ang melakukan

ping menuju ser>er luar (*ORWARD) dan menujuRouter (7N%.T) *orard = untuk

melakukan log pada traQcmenuju ser>er luar

&"ain apa !ang digunakanuntuk log traQc pingmenuju ke Router?

&onnection Tracking


139/211

• Dalam sebua" Router- semua traQc !angleat akan dicatat (agar dapatdikembalikan dengan benar ke &lient!ang melakukan reHuest)

• Dalam MikroTik- "al ini diatur dalam&onnection Tracking

&onnection Tracking


140/211

• &onnection Tracking berisi semua koneksi !ang

terjadi (lengkap dengan protokol dan port !angdigunakan) serta state#n!a (statusn!a)

• Bila &onnection Tracking tidak diakti$kan- maka*ireall (*ilter- NAT- Mangle) tidak akan dapat

digunakan

&onnection Tracking


141/211

• Setiap koneksi memiliki state atau statustertentu

• Status ini disebut connection-state

• &onnection State L T&% State

&onnection State


142/211

&onnection State


143/211

• 7n>alid TraQc !ang tiba#tiba ada tanpa adan!a reHuest dari internal-

biasan!a >irus atau traQc !ang keluar8masuk melalui jalur!ang berbeda

• Ne

%aket baru untuk satu koneksi• ,stablis"

%aket !ang mengikuti new paket- !aitu merupakan bagiandari koneksi !ang suda" dikenal

• Related %aket !ang muncul secara tiba#tiba namun masi" memiliki

korelasi dari paket !ang suda" ada (establis") atau baru (ne)

Tips untuk &onnection State


144/211

• DRO% semua paket 7N5A67D• A&&,%T semua paket R,6AT,D

• A&&,%T semua paket ,STAB67S'

• Rule#rule berikutn!a "an!a akanmemeriksa paket N,W saja (lebi"meng"emat resource)


145/211

NETWORK ADDRESS

TRANSLATION

Netork Address Translation


146/211

• Netork Address Translation K NAT

• Ada / jenis NAT Source NAT

Destination NAT

• NAT merupakan sala" satu bagian dari *ireall

(mengamankan Router)

Source NAT


147/211

• Mengganti source address !ang akan keluar

menjadi source address baru


148/211

Source NAT = MasHuerade


149/211

• Secara otomatis akan mengganti 7% 6okal

menjadi sala" satu 7% !ang ada di inter$ace%ublic

• Digunakan bila koneksi WAN di 2atea!merupakan 7% Dinamis (bisa juga digunakan

untuk 7% Statis)SR% K1/01E@0I01

N,W

SR% K101010I

Source NAT = MasHuerade


150/211

Source NAT = ,$ek MasHuerade


151/211

• Semua komputer !ang akan keluarmelalui lan akan diganti (!ang tadin!aberasal dari 7% client) menjadi 7% !ang adadi inter$ace lan

Source NAT


152/211

• Source NAT !ang lain adala" !ang dikenaldengan nama SourceNAT (src#nat)

• 'ampir sama seperti masHuerade- namunsrc#nat dapat memili" pada saat keluar 7%apa !ang akan digunakan

• Digunakan bila + 2atea! mendapat 7% Statis dari 7S% (tidak

dapat digunakan pada 7% Dinamis) Terdapat lebi" dari 7% %ublik

Src#NAT


153/211

• Tamba"kan 7% di

inter$ace W6AN Tamba"kan

pada bagianterak"ir 7% Anda

• Misal 7% 2atea!anda adala"00099- maka!ang andatamba"kan adala"

7% 000A99

Src#NAT


154/211

Menamba"kan 1 Rule

Src#NAT


155/211

Src#NAT


156/211

• %astikan Rule !ang Anda buat ini berada di atasrule MasHuerade

• &obala" Telnet ke &lassA% (7% 000/41) laluli"atla" 7% %ublik Anda !ang mana !ang tampil


157/211

Destination NAT


158/211

• Destination NAT digunakan untuk + Mengakses resource internal (%&- %rinter-

Ser>er) dari luar Menguba" port tujuan dan diara"kan ke

Router sendiri (berguna untuk pro:! dan dns)• Terdapat / macam Destination NAT !ang

sering digunakan + dst#nat redirect

Dst#NAT


159/211

• Dst NAT digunakan untuk mengganti tujuan 7%-

misal TraQc 7nternet mengakses 7% Router Anda Anda bisa melakukan dst#nat se"ingga setela" sampai

ke Router- maka traQc tersebut akan diuba" tujuann!ake 7% Mail Ser>er di dalam jaringan 6AN

DST K %.B67&7%

101010I

Ne DST K 6O&A67%

1/01E@0I01

Dst#NAT


160/211

Bila menuju 7%1010101/4 (7% %ublik

2atea!) = pls note7% 2atea! Andabelum tentu 7% ini(sesuaikan)

Tujuann!a adala" T&% port /4 (SMT%)

TraQc akan diflter di

dstnat

Dst#NAT


161/211

Menjadi 7% mail

ser>er (lokal)-!aitu 7%1/01E@0@@0/4<= 7% 6okal Andabelum tentu 7%ini

Dan diganti porttujuan !angtadin!a /4menjadi /4(tidak adaperuba"an)

Actionn!a adala"

dst#nat- berartitraQc ini akandiganti 7% tujuann!a(!ang tadin!a1010101/4)

Dst#NAT


162/211

• &obala" untuk melakukan Dst#NAT untukmengijinkan kelompok lain untukmengakses 6aptop Anda

• Bila Anda tidak memiliki ser>is Remote

Desktop di laptop Anda- donloadla" dari*T% (000/41) program 5N& Ser>er dan5ieer

• Trainer akan memberikan conto" padaAnda

Dst#NAT


163/211

7% K1/01E@0I01

7% K 101010I

I)1okal

I)

)u!lik 7*

T ' , N

Redirect


164/211

• Sama seperti Dst#NAT- redirect juga meruba" 7% Tujuan- namun secara otomatis akan diuba"menjadi 7% Router

Redirect


165/211

Dan menuju .D%

%ort 4< (DNSReHuest)## pls note ba"aDNS menggunakan

T&% dan .D% %ort 4<

Bila ada traQc !angleat di c"ain dst#nat

Redirect


166/211

Masukkan portpengganti bilaakanmengganti port

Maka kemanapun7% tujuann!a akandiganti menjadi 7%Router

Redirect


167/211

• Buatla" sebua" rule redirect untuk DNS DNS menggunakan protocol +

• .D% untuk reHuest

• T&% untuk sinkronisasi antar DNS#Ser>er

%ort !ang digunakan sama#sama 4<• &obala" untuk mengganti DNS di 6aptop

Anda (buat secara manual) ke 7% publiclain (ba"kan !ang tidak dikenal)- misal

000

NAT = ActionsDST'%&T < khusus dst-nat

Menguba" 7% atau %orttujuanM&SU/R&D/ khusus


168/211

jM&SU/R&D/ < khusussrc-nat

Menguba" 7% tujuan menjadisala" satu 7% !ang ada diinter$ace dimana traQc akankeluar%/TM&) < src-nat ataudst-nat

Melakukan pemetaan

ter"adap 7% lokal dan diuba"menjadi 7% publik denganpemetaan one#on#one

SR-'%&T < khusus src-nat

Mengganti 7% lokalmenjadi 7% publik

S&M/ < src-nat dan dst-nat Memastikan koneksi !ang terjadikeluar8masuk pada 7% !ang sama(bila lebi" dari satu 7%)

R/DIR/-T < khusus dst-nat

Menguba" tujuan 7% menjadi7% Router (masuk c"ain

input) dan dapat digunakanuntuk meruba" port


169/211

QUALITY OF SERVICE

9ualit! o$ Ser>ice


170/211

• %ada MikroTik- limitasi bandidt" diaturdalam 9ualit!#o$#Ser>ice

• 9ualit!#o$#Ser>ice tidak "an!a mengaturpenggunaan bandidt" melainkan juga

mengatur prioritas bandidt"- burstable-dual#limitation- dan lain#lain

• Sistem !ang digunakan adala" antrian

(9ueue)- jadi traQc tidak di#drop-melainkan diatur dalam antrian

Simple 9ueue


171/211

• %engaturan 9oS dalam MikroTik diaturdalam menu 9ueue

• Bentuk paling seder"ana dari 9oS adala"Simple 9ueue

• Simple 9ueue dapat melimit .pload dari client Donload dari client

Total (upload8donload) dari client

Simple 9ueue


172/211

• .ntuk menggunakan Simple 9ueue- !angajib diisi adala" Target Address (7%)

• .rutan dalam rule#rule Simple 9ueuesangat penting (karena rule akan

dijalankan dari atas ke baa"- seperti"aln!a *ireall)

Simple 9ueue


173/211

Simple 9ueue


174/211

Simple 9ueue


175/211

• 6imit alamat 7% Anda agar "an!a mendapatbandidt" Donload E1k .pload


176/211

• TraQc 9ueue dapat dimonitor di bagianStatistic8TraQc

• Dapat juga dimonitor melalui menu 7NT,R*A&,

Tools = TOR&'


177/211

• Torc" digunakan untuk memantau traQc !angsedang berjalan secara real#time dan lengkap

Tools = TOR&'


178/211

T: dan R: relati$ ter"adapinter$ace !ang sedang di#

TOR&'

Melimitasi berdasarkan T.J.AN


179/211

• Selain dapat menggunakan 7% &lient- Simple9ueue dapat dikombinasikan untuk melimit"an!a ke ser>er tujuan

Melimit Tujuan• Tamba"kan 7% mikrotik com sebagai tujuan

http://www.mikrotik.com/http://www.mikrotik.com/


180/211

• Tamba"kan 7% 0mikrotik0com sebagai tujuan

(destination address)• &obala" membuka 0mikrotik-com dan ebsite

lain- bandingkan "asiln!a

%rioritas 9ueue

http://www.mikrotik.com/http://var/www/apps/conversion/tmp/scratch_4/http:%2F%2Fwww.mikrotik,com%2Fhttp://var/www/apps/conversion/tmp/scratch_4/http:%2F%2Fwww.mikrotik,com%2Fhttp://www.mikrotik.com/


181/211

• Bila memiliki lebi" dari 9ueue- prioritassetiap 9ueue dapat diatur sedemikianrupa agar traQc !ang diutamakan dapatmemperole" prioritas lebi" tinggi

• %rioritas 9ueue diatur mulai angka = @ %rioritas tertinggi adala" (lebi" diutamakan) %rioritas terenda" adala" @

• Setiap angka prioritas bobotn!a sama %rioritas T7DA; B,RART7 @: lebi" cepatdaripada prioritas @


182/211

2rap"ing (7nternal MRT2)


183/211

• TraQc !ang meleati Simple 9ueue dapatdisimpan dalam bentuk grafk

• 2rafk ini dapat disimpan

• 2rafk ini dapat mencatat "istor! per 4menit sampai per ta"un

• Selain dapat men!impan grafk Simple9ueue- 2rap"ing juga dapat men!impan

grafk resource (&%.- Memor!- Disk)

2rap"ing


184/211

2rap"ingNama Simple 9ueue


185/211

p!ang ingin dibuatkan

grafkn!a A66 =untuk semua

7% berapa !angdapat mengaksesgrafk tersebut

Disimpan dalamD7S; (grafkmasi" tersimpansetela" restart)

Mengijinkan Target#Addressuntuk membukagrafkn!a sendiri

Mengakses 2rafk7%


186/211

Router

Tampilan 2rafk


187/211

Ad>anced 9ueue


188/211

• Simple 9ueue dapat dimodifkasi untukmembuat limitasi !ang lebi" ad>anced

• ;onfgurasi ad>anced ini diperole"dengan meman$aatkan Mangle dalam

freall• Ad>anced 9ueue ini dapat membuat

limitasi !ang membagi rata semua traQc

"an!a dengan beberapa rule

*ireall Mangle


189/211

• Mangle digunakan untuk menandai paket• Tanda !ang dibuat ole" Mangle dapat

digunakan ole" *ireall *ilter dan NAT Routing 9ueue

• Aturan di rule sama dengan aturan di

*ireall (top#don- i$#t"en- dan lain#lain)

*ireall Mangle


190/211

• Tanda !ang dibuat ole" Mangle "an!abisa dikenali di dalam router (tanda akandilepas sesaat sebelum meninggalkanrouter)

• Mangle digunakan untuk membagi ataumengkategorikan traQc

• Mangle tidak menguba" struktur paket

(TOS- DS&%- TT6) tapi dapat menguba"nilain!a


191/211

Jenis Mangle


192/211

• Ada < jenis utama Mangle- !aitu Routing mark digunakan untuk routing &onnection mark digunakan untuk

menandai koneksi (sesi koneksi) sepertidi &onnection Tracking

%acket mark digunakan untukmenandai paket !ang leat (digunakan

dalam Hueue- flter- dan nat)

Mark &onnection dan %acket


193/211

• &onnection#mark &onnection#mark meman$aatkan connection#

tracking (dalam freall) 7n$ormasi mengenai koneksi pertama kali akan

disimpan 8 ditamba"kan dalam da$tarconnection#tracking

• %acket#mark %acket#mark berkaitan dengan paket itu sendiri

Router meli"at setiap paket !ang leat untukdiberikan tanda


194/211

Marking !ang Optimal

• Tandai koneksi baru menggunakan connection


195/211

• Tandai koneksi baru menggunakan connection#

mark• Tandai paket#paket !ang ber"ubungan dengan

koneksi tersebut menggunakan packet#mark


196/211

Mangle &onnection

• Tandai koneksi masing#masing (berdasarkan port


197/211

Tandai koneksi masing masing (berdasarkan port

dan protokol tujuan)• 2unakan ftur Fpasst"roug"G agar dapat terus

menandai paket

Mangle %acket• 2unakan connection


198/211

!ang tela" dibuat ("ttp#conn) untuk menandaipaketn!a

• 7N2AT packet#mark T7DA; di#passt"roug"

Aplikasi pada 9ueue


199/211

Batasi %ort dan %rotokoltertentu


200/211

• &obala" untuk membuat tanda diMangle untuk port#port berikut danberikan limit !ang berbeda

'TT% (T&%8@) = E1k8/@k Winbo: (T&%8@/) =


201/211

BFIF4

Metode *irst#7n#*irst#Out (*7*O)!ang akanmembuatantrianberdasarkanpaket !ang

datang terlebi"da"ulu)-### akan diba"aslebi" detail dibagianselanjutn!a

R/D < Random/arl DetectMendrop paketdengan sistemrandom

SF < StochasticFairness ueueSistem 9ueue !angmengklasifkasikanpaket#paket menjadisub#Uo


202/211

%&9 = Membuat Tipe


203/211

%&9 = Aplikasi %ada 9ueue


204/211

;arena %&9 melimit lebi"dari 1 7%- maka TargetAddress "arus berupa blok7%

6i"at Slideberikutn!a

%&9 = Aplikasi %ada 9ueue


205/211

%&9 Rate


206/211

%&9 Rate = Ma: b8 per user


207/211

• %&9 Rate K /@k

%&9 Rate = %embagian ratab8


208/211

• %&9 Rate K

Skema 6ab %&9


209/211

BRID=/

I) @19261>?6"#615532C

I) @19261>?6"#6132C

%&9


210/211

• Buatla" Bridge untukmeng"ubungkan ,t"er dan ,t"er/ Mintala" partner Anda untuk

mengganti alamat 7% 6aptopn!amenjadi satu subnet dengan Anda

;oneksikan 6AN 6aptop partner Anda ke,t"er/

• Buatla" rule %&9 dan cobala" untukmelakukan donload bersamaan (/laptop)


211/211

Terima ;asi"

Implementasi MikroTik pada WAN.ppsx

Documents

Transcript of Implementasi MikroTik pada WAN.ppsx