NCA port security

 assalamualaikum temen" pada postingan kali ini kita akan lanjut lagi ke mater port security. sesuai dengan namanya port security ini fungsinya untuk memberi ke amanan pada switch port kita. nantinya port yang di pasang security ini akan mendeteksi apakah mac addressnya sesuai dengan yang sudah dia catat sebelumnya, jika tidak sesuai maka port akan di drop. ada 3 violation pada port security yang pertama itu ada shutdown ini adalah violation default lalu ada protect dan restrict. ayo kita coba labkan.

woke kita coba buat topology kayak gini, 1 pc jadiin untuk testing gk perlu colokin kabel. untuk confignya gini aja, kita langsung pasang pada 3 port

shutdown

Switch(config)#int fa0/1

Switch(config-if)#sw mo acc

Switch(config-if)#sw port-security

Switch(config-if)#sw port-security mac-address 0002.1720.5AEB

Switch(config-if)#exit


protect

Switch(config)#int fa0/2

Switch(config-if)#sw mo acc

Switch(config-if)#sw port-security

Switch(config-if)#sw port-security mac-address sticky

Switch(config-if)#sw port-security violation protect


restrict

Switch(config)#int fa0/3

Switch(config-if)#sw mo acc

Switch(config-if)#sw port-security

Switch(config-if)#sw port-security mac-address sticky

Switch(config-if)#sw port-security violation restrict


oke untuk yang shutdown kita tidak perlu memasang violation, karena secara otomatis default violation adalah shutdown. lalu ada 2 cara pemasangan mac-address di situ bisa kita pasang secara manual atau dengan sticky. klo manual itu kita setting macnya sesuai dengan yang ada di pc, klo sticky ini nanti dia otomatis. untuk mendapatkan macnya kita harus ping terlebih dahulu agar bisa di catat oleh sticky ini. jadi kita set dlu ya semua ipnya di pc, pasang satu domain aja.


pc shutdown = 10.10.10.1 255.255.255.0

pc protect = 10.10.10.2 255.255.255.0

pc restrict = 10.10.10.3 255.255.255.0

pc testing = 10.10.10.4 255.255.255.0



oke pastikan semua pc sudah terpasang ip ya agar bisa kita ping satu sama lain.



oke clear ya, seharusnya mac address yang menggunakan sticky sudah tercatat. kita coba cek yuk. do sh port



nah disini bisa kita lihat ya semua sudah ada 1 mac address yang tercatat. untuk detail yang lebih jelas bisa temen-temen cek juga kok pake do sh run di bagian interface. 



ini ya bisa di cek lagi ges. sekarang untuk lebih pastinya kita coba ganti interfacenya. kita coba pindahin kabel yang ada di pc shutdown ke pc testing.


nah kan interfaceny mati, hal ini disebapkan karena mac-address pc testing berbada dan tidak tercatat dalam port fa0/1. sebelumnya di interface tersebut kita pasang mac address milik pc shutdown, jadi cuma pc shutdown yang bisa terhubung denga interface itu. oke serang coba balikin lagi ya. klo misal udh di balikin port perlu di shut no shut, karena interface statusnya err-disable.


switch(config)#int fa0/1

switch(config-if)#shut

switch(config-if)#no shut


woke kita next lagi ya. sekarang pc protect yang kita ganti ke testing. 


nah disini keliatannya kayak gk ada yang error ya, tapi sebetulnya pc testing gk bisa ping ke mana-mana. kita coba test ping yuk dari pc testing.


perbedaanya terlihat jelas ya disini. klo yang shutdown tadi dia matiin portnya terus klo yang protect dia cuma ngeblok aja alias ngedrop paket. tapi untuk interfacenya tetap nyala ya. oh iya nitip ss sh portny protect ya ges, nanti bakal kita bandingin sama yg restrict.



sekarang kita coba yang restrict. sebelum itu temen-temen balikin dlu ya portnya ke pc protect. habis itu kabel yang di restrict kita pindahin juga ke pc testing.


woke ini sama kayak protect ya, dia klo dari fisik kelaatannya aman tapi klo diping pasti gk bisa. yuk kita coba.


gk bisa kan. soalnya macnya beda sama yang di catet. lah terus bedanya apa tuh apa protect? woke bedanya itu disini, coba kita do sh port.



tuh bedanya di situ temen" ini juga alesan kenapa kita tadi ss sh portnya si protect. klo dia protect violation countnya itu gk ada, tapi klo dia restrict violation countnya itu bakal di hitung. bedanya disini aja sih hehe. 


violation count itu di hitung dari berapa banyak violaionnya ngehit rule. maksudnya seberapa banyak dia melakukan drop paket atau traffic paket dari pc yang berbeda mac-address. tadi saya baru ping 2 kali. sekarang saya coba ping 3 kali lagi harusnya violationnya nambah jadi 5. yuk kita coba.




woke bener kan ges hehe. ada satu kolom yang blm kita bahas. yaitu kolom mac address count. ini adalah maximim mac address yang bisa di catat dalam satu interface. klo default itu cuma satu mac ya ges tapi disini bisa kita tambah kok. sekarang kita coba pasang aja kli ya di pc testing. sebelumnya kita balikin dlu ya interfacenya ke pc restrict baru kita setting untuk yang pc testing.

Switch(config)#int fa0/4

Switch(config-if)#sw mode access

Switch(config-if)#sw port-security

Switch(config-if)#sw port-security mac-address sticky

Switch(config-if)#sw port-security maximum ?

<1-132> Maximum addresses

Switch(config-if)#sw port-security maximum 10


nah disini maximumnya sampe 132 mac address yang bisa di catat dalm satu interface. sekarang kita coba cek do sh port ya. oh iya karena kita pake sticy jangan lupa di ping ya sama pasang kabelnya juga hehe.



tuh kan nambah dia ya jadi 10. untuk current mac yang terdaftar baru satu, tinggal ente tambahin aja ya. entah itu pake cara manual ataupun sticy. sebelum kita tutup keknya asik nih klo bahas konsep dlu alias cara kerja hehe, fatwa-fatwa dikit lah ya wkwkwkw.


jadi cara kerjanya itu gini ya, pertama pas pc kirim paket port akan ngechek mac-addressnya. 


"ohh ini mac address pc shutdown udh gw catet silakan lewat" kata si switch klo ketemu mac yg udh dia kenal dengan violation apapun. 


" lah ini mac sapa gw gk kenal drop aja lah gw catet lo ya" ini kata switch yang pake violation restrict.


"tungu-tunggu lo sapa ya? di daftar gk ada, sory gk boleh lewat sini pintunya gw tutup ya interfacenya mau gw matiin dulu, sekalian gw catet lo di daftar gw" ini kata switch dengan violation shutdown.


"sory ini siapa ya? gw gk kenal, intinya lo gk boleh lewat sini, gw gk bakal catet tapi tetep lo gk boleh lewat" ini kata switch violation protect.


kira-kira gini sih om degosiasi mereka. pertama bakal ada mac check dlu semisal ada di daftar artinya paket akan di teruskan, tapi klo gk ada ya akan di eksekusi sesuai dengan violationnya. klo shutdown portnya bakal di matiin dan di catet, klo protect dia bakal ngedop paket aja, klo restrict di bakal ngedrob dan catet di count violation.


bang boleh tanya gk terkait cara kerja yang sticky itu gmn sih? nah klo sticky itu simplenya kita kayak masang daftar mac secara otomatis, klo manual kan ribet ya kita harus cari tau dlu macnya si client berapa baru kita tambahin, klo clientnya dikit gk masalah, semisal banyak kan ribet. sekarang cara cepetnya ya pake sticky. nanti kita tinggal kirim paket dan di catet deh macnya sama si sticky.



mungkin gambarannya gini kli ya. pas kita setting mac-address sticky, blm ada mac yang tercatat disana. baru akan di catat ketika pc melakukan traffic pengiriman paket. ketika paket melawati interface tersebut maka mac-addressnya akan tertempel di sticky dan terpasang sebagai mac-address violation tersebut. karena itu kitaharus lakukan ping terlebih dahulu untuk memancing mac-addressnya tertempel oleh sticky. 


gmn lab kali ini, lumayan lah ya. ini lab terakhir di switching, next kita masuk ke bab routing. tetap semangat ya teman". kita udh selangkah lebih maju nih gass teros. seperti biasa summary bakal ane buat tenang aja. buat kalian yang masih pusing sama obrolan di atas bisa baca summarynya di bawah kok hehe...


summary config :

summary info :


writer

dm ig

@call_unclebin


team

dm ig

@hi_kexnxii

@hastrim17

@ery.ndra_

@tegar_ardana

Comments

Post a Comment

Popular posts from this blog

NCA2 pendahaluan

Image
 assalamualaikum temen" pada post kali ini kita akan bahas next materi dari cisco sebelumnya. untuk labnya sebagian bisa temen" lakukan di packet tracert, tapi akan lebih baik kalau di labkan di EVE. apa tuh eve? dia ini semacam tempat kita ngelab lah, bedanya dia bisa di remote via web dan diinstall di server. ini kita coba install evenya di vm aja kli ya biar gampang hehe... berikut link downloadnya ( link ) nah nanti temen" download file evenya disana. untuk eve yang itu sudah saya inputkan cisco, mikrotik, dan fortigate klo gk salah. jadi temen" tinggal pake aja, enak kan :). mungkin downloadnya agak gede ya karena udh ada image devicenya.  sebelum kita install evenya pastikan temen" juga udh ada vm player atau workstation, saran saya yang player aja free soalnya. coba download disini klo belum ada ( link ) oke temen" bisa download disini ya. jika vm sudah terinstall pada pc kalian, sekarang kita tinggal install evenya ke dalam vm.  nah disitu ada eve-...
Read more

NCA NAT network address translation

Image
 assalamualaikum temen" hari ini kita akan lanjut ke pembahasan tentang nat. cara kerja dari nat itu simple, intinya dia bakal ngetraslate ip. jadi ip kita bisa di translate ke ip lain, biasanya di pake untuk translate ip private ke public.  nah disini ada ip 192.168.10.0/24 sebagai ip private. dan kita ingin translate dia ke ip public, disana contohnya adalah ip 12.0/24. nantinua ip 192 akan di rubah ke ip 12. untuk nat sendiri itu ada 2 temen" yang pertama adalah src nat yang sering di pake sama kita untuk koneksi ke internet. terus yang ke dua itu dst nat biasanya di pake untuk mengarahkan ip ke dalam local server kita. untuk sekarang kita akan terfokus ke src nat yang biasanya di gunakan untuk terhubung ke internet. sedikit info terkait ip public dan ip private. untuk ip private itu ada 3 range perhatikan table di bawah. berikut adalah range dari ip private. nah nantinya ip-ip ini akan kita translate ke ip public agar bisa terkoneksi ke internet. kira-kira bisa gk kita pa...
Read more

Path Selection BGP

Image
 assalamualaikum pada post kali ini kita akan bahas terkait path selection pada bgp. untuk penentuan jalur, bgp menggunakan attribute weight, local-pref, med, dan as path.  pada lab ini kita akan coba 4 attribute, 2 atribute untuk atur jalur upload yaitu weight dan local-pref. lalu untuk jalur download ada med dan as-path. secara default bgp akan memilih jalur sesuai link yang uptimenya lebih dulu. jika link tersebut (utama) mati, maka backup akan aktif. saat link utama kembali aktif link backup akan tetap di gunakan. jika ekspektasi kita link perlu di kembalikan ke jalur utama maka attribute perlu di konfigurasikan.  pertama-tama kita buat dulu topology seperti pada gambar. disini kita konfigurasikan p2p terlebih dahulu, setelah itu aktifkan bgp. untuk router 2 dan 3 akan menggunakan peer internal dan mengaktifkan next-hop-selfm sisanya peer external.  router 1 interface Loopback0  ip address 1.1.1.1 255.255.255.255 interface Ethernet0/0  ip address 12.12....
Read more