ena student guide
Post on 31-Jul-2015
1.731 Views
Preview:
DESCRIPTION
TRANSCRIPT
Extreme Networks (Associate)
I. 1. Overview
A. Strategi Produk Solusi Mobile untuk Enterprise
Jaringan saat ini
Kekuatan Extreme XOS
Jaringan Masa Depan - Sekarang
Perampingan DC
Personalisasi
Keuntungan-Keuntungan
1. Perampingan DC
2. Pengelolaan Identitas
3. Port Universal
4. Virtualisasi jaringan (Extreme Virtualization Network/XNV)
5. Pengelola Jaringan - Ridgeline
6. Infrastruktur Berperforma Tinggi
B. Switching Product Portfolio
1. BD
2. Summit Series
3. ExtremeXOS
C. Other Products
1. Port Extenders, Wireless, and Management Products
II. 2. Switch Management
A. Sekilas Metode akses
Koneksi port konsol
Kabel serial DB-9 : 9600, 8, N, 1
Telnet dan SSH2
Mendukung 8 koneksi bersamaan
Mendukung telnet/SSH bersarang (nested)
Defaultnya, timeout sesi telnet dan konsol ini adalah 20, tetapi dapat diubah menjadi 1-240 menit.
configure idletimeout <menit>
disable idletimeout
Jika idletimeout dinon-aktifkan, maka sesi SSH2 akan timout setelah 61 menit tanpa aktivitas.
Web
HTTP dan HTTPS
SNMP
SNMPv1, v2, dan v3
Akses IP
In Band
VLAN mana saja (dengan port nya) yang di set memiliki alamat IP
Out of Band
VLAN mgmt (berisi 10/100 port UTP)
Admin dapat memutus sambungan semua sesi dengan --> clear session [ <nomor sesi> | all ]
Login switch :
2 level akses
Administrator
Akses penuh ke CLI atau GUI web
User
Akses baca-saja (read-only) ke CLI atau GUI web
Dapat mengubah passwordnya sendiri, ping, telnet, dll.
Tidak bisa menjalankan perintah 'show configuration'
s/d 16 akun
Password
Bersifat case sensitive
Kebijakan password meliputi kompleksitas, history, umur, dan panjang minimum
Tidak dikonfigurasi secara default
Cara konfigurasi :
Kompleksitas --> configure account [<nama akun> | all] password-policy char-validation [none | all-char-groups]
History --> configure account [<nama akun> | all] password- policy history [none | <jumlah password>]
Mengunci (lockout) --> configure account [<nama akun> | all] password-policy lockout-on-login-failures [on | off]
Umur maksimal --> configure account [<nama akun> | all] password-policy max-age [none | <jumlah hari>]
Panjang maksimal --> configure account [<nama akun> | all] password-policy min-length [none | <jumlah karakter>]
Akun failsafe
Digunakan untuk recovery
Jika password hilang, kembalikan switch ke Extreme Networks.
CLI - Pembantu Syntax
Tombol <tab> dan <?> menampilkan kata berikutnya dari sebuah rangkaian perintah
Tombol <spasi> dapat juga digunakan dengan memasukkan perintah --> enable cli space-completion
CLI - Command Prompt
Command prompt CLI memiliki 4 elemen (referensi --> * ACC-SSPS_GD_DPN- X450_48p.3 # ) :
Pengubahan konfigurasi yang belum disimpan --> *
Nama switch --> ACC-SSPS_GD_DPN-X450_48p
Jumlah perintah yang dimasukkan dalam sesi berjalan --> 3
Level wewenang --> # = admin; > = pengguna biasa.
CLI - History perintah
Menampilkan semua perintah yang pernah dimasukkan
Dimasukkan dalam buffer history perintah
Isi buffer dapat dilihat dengan perintah --> history
Bisa juga dengan tombol arah atas dan bawah
CLI - Login Failsafe
Merupakan akun 'last resort' (jagoan terakhir)
Mengakses switch saat password admin hilang
Akun failsafe tidak pernah ditampilkan tetapi sebetulnya selalu ada.
Pengubahan pada akun failsafe langsung dimasukkan kedalam NVRAM, bukan ke file konfigurasi
Untuk mengakses switch menggunakan akun failsafe, kita harus tersambung dengan menggunakan metode yang diizinkan (permitted method)
configure failsafe-account permit [all | control | serial | ssh | telnet ]
Konfigurasi akun failsafe dengan cara -- > configure failsafe-account
Logging Jarak Jauh (Remote) : Syslog
configure syslog {add} [<ip address> | <ip port>] {vr <nama vr>} [local1 .. local7] {<severity>}
enable syslog
Untuk aktivasi log real-time :
Untuk konsol --> enable log display
Untuk telnet dan ssh --> enable log target session; enable log display
Verifikasi konfigurasi Manajemen :
show management
menampilkan :
status-status :
Telnet/SSH2
Web (HTTP/HTTPS)
SNMPv1/v2
daftar perangkat (station) dan diotorisasi untuk SNMP
daftar perangkat penerima perangkap (trap) SNMPv1
Konfigurasi polling RMON
Statistik SNMP
Verifikasi status switch :
show switch
menampilkan :
Info SNMP perangkat
MAC address sistem
Tipe switch
Tanggal dan waktu
Status
Info software
File image yang diload, diboot, dan dipilih
Info konfigurasi
File konfigurasi yang dipilih dan diboot
Router Virtual ()Virtual Router/VR) pada Switch
Adalah emulasi dari router sebenarnya (physical router)
Sebuah switch dibagi-bagi menjadi beberapa router virtual yang memiliki tabel pengiriman (forwarding table) yang terpisah.
Router virtual pada sistem
Defaultnya ada 2, yaitu :
VR mgmt
'Pemilik tunggal' port mgmt. Dibuat pada saat booting. Port atau VLAN lain tidak bisa ditambahkan kedalam VR ini
dan VR default
semua port data termasuk kedalam VR ini. Port atau VLAN lain dapat ditambahkan kedalamnya.
Hanya switch-untuk-core yang bisa ditambahi VR selain VR default tsb.
Beberapa perintah membutuhkan penyisipan kata (argument) router virtual
Mengidentifikasi kelompok port yang terhubung ke perangkat tujuan
contoh :
ping vr vr-default 10.0.0.1 / ping vr vr-mgmt 10.0.0.1 (untuk ping, defaultnya vr yang digunakan adalah vr-default)
tftp put 10.0.0.2 primary.cfg (dikirimkan melalui port mgmt; defaultnya menggunakan vr-mgmt) / tftp put 10.0.0.2 vr vr-default primary.cfg (dikirmkan melalui port data)
s/d 63 VR dapat dibuat dalam switch2 berikut :
BD8K dengan MSM c-series dan BD8900 dengan MSM xl-series, BDX8K, dan Summit X460, X480, dan X650.
Memberikan alamat IP
Alamat IP diberikan pada VLAN
Setiap switch memiliki 2 VLAN default (pre-configured VLAN), yaitu VLAN 'default' yang berisi semua port data dan 'mgmt' yang berisi 1 port manajemen.
Memberikan alamat IP menciptakan interface router untuk VLAM dalam router virtual yang sesuai.
Switch membutuhkan alamat IP untuk :
Pengelolaan switch
Mengunduh image XOS atau file konfigurasi
Routing
Contoh konfigurasi --> configure vlan mgmt ipaddress 10.0.0.1/24
Jika subnet mask tidak dimasukkan, maka mask yang digunakan adalah mask classful.
B. Pengelolaan File Image Image Software
Image yang dapat dipilih oleh pengguna
2 lokasi image --> primary dan secondary
Hanya penamaan lojik saja, adapun tempatnya (secara fisik) sama- sama di bagian tersembunyi (tidak dapat dilihat) di dalam CF.
Terdapat fitur fallback untuk verifikasi upgrade
Kode eksekusi yang dikompresi
Image dikompresi untuk meyediakan ruang didalam flash
Di load saat boot
Image didekompresi dan di load saat boot
Versi Switch dan Info Hardware
show version
Menampilkan : S/N switch, BootROM, versi image software
perintah 'show version' adalah perintah wajib yang harus disisipkan ketika melaporkan suatu kerusakan ke Extreme (dilanjutkand dengan 'show tech', dll.)
Mengartikan nama file image XOS
Nama image menunjukkan tipe switch
Contoh : bd10k-12.6.2.10.xos --> untuk BD10K
Tipe ekstensi menunjukkan tipe image
Contoh : summitX-12.6.2.10.xos --> Untuk image software (yang lainnya : .xmod untuk modul software, .xtr dan .xbr untuk bootROM software)
Versi image core (.xos) dan modul (.xmod) harus sama.
Mengartikan tampilan versi XOS (Referensi ke : bd10k-12.6.2.10-ssh.xmod)
12 --> Versi mayor
6 --> Versi minor
2 --> Patch
10 --> Build
ssh --> Nama paket (package)
modul yang tersedia : ssh2, legacyCLI, CNA
melihat versi image (core dan modul) yang terinstal pada switch --> show version images
Memilih File Image yang Akan Aktif pada Boot Berikutnya
Pilih file image yang akan digunakan pada boot berikutnya
use [primary | secondary]
Simpan konfigurasi
save [configuration
Reboot switch
reboot
Untuk menjadwalkan reboot --> reboot time <bulan> <tanggal> <tahun>
Untuk mereboot msm atau slot tertentu saja --> reboot msm b / reboot slot 1
Verifikasi image yang digunakan
show switch
show version
Mengupgrade Switch
Image harus didownload ke lokasi yang non-aktif (contoh : secondary)
download image <nama image> vr <nama vr> secondary
Install image ke flash
install image secondary
Pilih image untuk digunakan pada boot berikutnya
use image secondary
Reboot untuk mengaktifkan image baru
reboot
Verifikasi penggunaan image baru
show switch
C. Pengelolaan File Konfigurasi Verifikasi konfigurasi switch
show configuration
Menampilkan konfigurasi yang sedang berjalan di RAM saat ini (hanya menampilkan perubahan konfigurasi dari konfigurasi 'factory default')
Untuk membuat perubahan konfigurasi pada RAM bersifat permanen (disimpan di flash dan d load saat boot), konfig tsb perlu disimpan terlebih dahulu.
show configuration detail
Menampilkan konfigurasi termasuk 'factory default'
show config ospf detail
Menyimpan konfigurasi
File-file konfigurasi menyimpan versi konfigurasi didalam flash
Konfigurasi XOS disimpan dalam format XML
File yang diload saat boot dapat dipilih
Konfigurasi dapat disimpan dengan nama apa saja
save configuration test
Disimpan sbg test.cfg
save configuration primary
disimpan sbg primary.cfg
argumen 'primary' dan 'secondary' memberikan kompabilitas XOS dengan ExtremeWare
Konfigurasi dapat disalin dari dan ke switch lain
menggunakan 'tftp' untuk menyalin file
tftp [put | get] vr <nama vr> <ip address> new.cfg (contoh)
jika vr tidak diisi, maka vr yang digunakan adalah vr-mgmt
menggunakan 'upload' untuk menyimpan konfigurasi pada RAM ke server tftp dalam format perintah CLI
upload configuration <ip> new.xsf vr <nama vr>
Hanya menyimpan konfigurasi yang berbeda dari konfigurasi factory- default
Memilih file konfigurasi
Memilih file konfigurasi
use configuration test.cfg
Jika tidak ada yang dipilih, maka switch menggunakan konfig 'factory default' saat reboot
Menyimpan
save configuration test.cfg
Reboot
reboot
Verifikasi
show switch
Melihat file konfigurasi yang aktif saat ini
show switch
Menampilkan :
Konfigurasi file yang di boot
Konfigurasi file yang di pilih
Detil file konfigurasi :
Versi software
Ukuran file konfigurasi
Tanggal dan waktu file konfigurasi dibuat
Saat upgrade versi XOS, file konfigurasi yang dipilih di load ke RAM lalu diupgrade dengan format konfigurasi versi XOS yang baru. Konfigurasi yang diupgrade ini perlu di save (tidak wajib, ttp direkomendasikan) untuk menampilkan info mengenai versi XOS yang baru. File konfigurasi yang disimpan dengan versi terbaru dari XOS dapat diload jg pada versi XOS sebelumnya.
Me-reset switch ke factory default
unconfigure switch
Semua di reset kecuali :
Akun-akun pengguna, termasuk akun failsafe
Konfigurasi SummitStack
Tanggal dan Waktu
unconfigure switch all
Semua di reset kecuali tanggal dan waktu
Setelah reboot, akan ditanya ttg ini :
Aktivasi telnet
Aktivasi SNMP
Aktivasi port data
Pengubahan username dan password pada akun failsafe, serta metode akses
Memasukkan perintah unconfigure switch all dapat me-reset dukungan stacking dan pemilihan port stacking pada node lokal saja dan tidak mempengaruhi node-node stack lainnya
D. Pengelolaan File Sistem Melihat daftar file
ls
Menyalin, mengubah nama, dan menghapus file
cp, mv, rm
Kita tidak bisa mengubah nama file konfigurasi yang sedang digunakan.
E. BootStrap & BootROM Pilihan menu BootStrap
Biasanya diakses secara tidak sengaja atau ada error saat boot pada switch
Cara akses :
Saat reboot, tekan <spasi>
Ketika prompt BootStrap muncul, lepaskan <spasi>
Tekan <h> untuk daftar perintah
Ketika 'boot' untuk keluar dr menu BootStrap
SwitchSummit memilik 2 tingkat bootloader, yaitu BootStrap, yang menginisiasi prosesor dan meload salah satu dari 2 bootloader tingkat 2 (BootROM), yaitu primary atau secondary (tidak menunjukkan lokasi primary atau secondary dari image).
Switch berbasis chassis hanya memiliki bootloader 1 tingkat, yaitu tanpa melewati BootStrap.
Pilihan menu BootROM
Biasa diakses jika ada problem dalam boot pada switch
Kehilangan konektivitas akibat kesalahan konfigurasi
Flash atau image yang corrupt
Cara mengakses BootROM
Reboot
Saat pesan 'Running POST' muncul, tekan <spasi>
Pada switch berbasis chassis atau ExtremeWare, tekan <spasi> tepat ketika reboot.
Menggunakan BootROM untuk mengubah opsi boot
Untuk boot dari image primary : boot 1
Untuk boot dari image secondary : boot 2
Untuk menggunakan konfigurasi 'test.cfg' dengan image yang dipilih :
config test.cfg
boot
Untuk menggunakan konfigurasi 'factory default' dengan image yang dipilih :
config none
boot
Pemulihan image dan file konfigurasi oleh BootROM tidak mengubah pilihan image dan file konfigurasi dari konfigurasi switch. Pilihan oleh BootROM hanya berlaku dalam sekali boot saja.
Mengupgrade BootROM
BootROM bertanggungjawab dalam booting switch
BootROM memverifikasi signature software dan menolak software yang incompatible
Upgrade BootROM terkadang dibutuhkan untuk versi image mayor yang baru
Cara upgrade BootROM
download bootrom <ip> <nama image> vr <nama vr>
Verifikasi :
show version
F. Pengelolaan Keamanan Otentikasi pengguna switch
Opsi otentikasi :
RADIUS
Server RADIUS dengan integrasi LDAP atau AD
Microsoft IAS dalam platform Windows Server sudah memberikan layanan RADIUS
TACACS+
Server TACACS+ dengan integrasi LDAP atau AD
Cisco ACS's untuk Windows Server
Hanya bisa menggunakan RADIUS atau TACACS+, tidak bisa keduanya
Konfigurasi akses RADIUS
Konfigurasi pada switch untuk akses management
configure radius mgmt-access primary server <ip> client-ip <ip>
configure radius mgmt-access primary shared secret <teks kunci rahasia>
Aktivasi
enable radius mgmt-access
Verifikasi
show radius mgmt-access
RADIUS mendukung :
Server RADIUS primer dan sekunder
Konfigurasi Port UDP RADIUS
Pemilihan NAS-IP (IP address VLAN)
2 tipe klien RADIUS, yang berjalan sendiri-sendiri :
Klien RADIUS untuk akses management switch
Klien RADIUS untuk ootektikasi Network Login
Jika tidak ada VR yang didefinisikan dalam konfigurasi klien RADIUS, maka VR yg digunakan untuk komunikasi dengan server RADIUS adalah vr-mgmt
Konfigurasi akses CLI dengan SSH2
Download modul SSH2 yang sesuai kedalam switch
Aktivasi proses SSH2
run update
Opsi lainnya adalah dengan me-reboot switch
Aktivasi akses SSH2
enable ssh2
Akan menggenerate kunci yang digunakan untuk enkripsi data antara klien ke switch
Biasanya memakan waktu 1 menit
Verifikasi akses SSH2
show management
Regenerate kunci SSH2
configure ssh2 key
Mengelola switch dengan SNMPv3
Yang didukung :
User Security Model (USM)
Beberapa akun pengguna dengan otentikasi yang dienkripsi.
HMAC-MD5-96, HMAC-SHA-96
View-Based Access Control Model (VACM)
Setiap pengguna dapat dibatasi aksesnya ke bagian MIB tertentu untuk R/W atau R/O saja.
Privacy
DES, 3DES, AES 128/192/256
3DES dan AES memerlukan modul SSH2
Extreme mendukung akses SNMPv1, v2, dan v3 dalam waktu yang sama. Dan semua diaktifkan secara default.
Konfigurasi akses SNMPv3
Direkomendasikan untuk mengaktivasi privasi 3DES atau AES
Dengan asumsi bahwa SSH2 sudah aktif juga
Untuk mengaktifkan SNMPv3 dengan enkripsi 3DES atau AES
restart process snmpmaster
Membuat akun pengguna SNMPv3
conf snmpv3 add user <username> authentication md5 <kunci> privacy ase 256 <kunci>
Konfigurasi hak-hak pengguna
conf snmpv3 add group <nama grup> user <nama user> sec-model <model keamanan snmp>
Verifikasi akses SNMPv3
show snmpv3 user <username>
show snmpv3 group admin user <username>
Parameter akses SNMPv3 :
Kelompok admin : USM dengan otentikasi dan privasi; anggota : admin.
Kelompok pemula : USM tanpa otentikasi dan privasi; anggota : initial
Kelompok pemula : USM dengan otentikasi tanpa privasi; anggota : initialmd5 (HMAC-MD5), initialsha (HMAC-SHA)
Kelompok pemula : USM dengan otentikasi dan privasi; anggota : initialmd5Priv (MD5 dengan DES), initialshapPriv (SHA dengan DES)
Kelompok v1v2c_ro : SNMPv1/v2c tanpa otentikasi dan privasi
Kelompok v1v2c_rw : SNMPv1/v2c tanpa otentikasi dan privasi
Kelompok v1v2c_NotifyGroup : SNMPv1/v2c tanpa otentikasi dan privasi
Mengelola switch dengan ScreenPlay WebUI
Mendukung akses HTTP dan HTTPS
HTTPS membutuhkan modul SSH2
Akses web tidak aktif secara default
Memantau informasi kunci melalui 'dashboard'
Informasi switch
Tipe, versi OS, konfigurasi yang dimasukkan
Informasi slot, status, temperatur
Level lisensi
Status akses pengelolaan
Konfigurasi :
Port, VLAN, stacking, SNMP, ACL dinamik
Pemantauan lebih detil :
Log, statistik port (tampilan grafik dan tabel), pemantauan QoS
Administrasi akun pengguna, sesi, dan akses ke CLI
Flash-based. Klien (browser) menggunakan SOAP HTTP untuk berkomunikasi dengan perangkat yang menggunakan XML API
G. Alat-Alat Pengelolaan Mengelola switch dengan CLI biasa
Interface 'bergaya Cisco'
Mendukung mode berikut :
Mode perintah EXEC pengguna (user EXEC) dan EXEC berwenang (priviledged EXEC)
mode EXEC berwenang dapat diakses dengan perintah 'enable'
Mode Latihan (Training Mode)
Menampilkan perintah CLI Extreme yang setara dengan perintah CLI biasa yang dimasukkan.
Membantu transisi penggunaan CLI standar Extreme
Mode Ditangguhkan (Deferred Mode)
Memungkinkan untuk memasukkan sekelompok perintah untuk dieksekusi belakangan
Perintah-perintah dimasukkan kedalam buffer
Ketika keluar dari mode ditangguhkan, kita akan diminta untuk mengeksekusi atau membatalkan perintah-perintah itu.
Konfigurasi CLI dengan akses biasa
Download modul LegacyCLI
Aktifkan legacyCLI
configure cli style legacy permanent
legacyCLI mulai dari mode EXEC pengguna
Masuk ke mode berwenang
enable
Masuk mode konfigurasi
configure terminal
Lihat perintah-perintah yang tersedia
<?> atau <tab>
History perintah
dengan tombol arah atas atau bawah
Mengakses CLI dengan ScreenPlay WebUI
Menyederhanakan jaringan dengan Ridgeline
Platform yang tersentralisasi untuk :
Konfigurasi dan pemantauan berbasis SNMP
Provisioning berbasis CLI untuk layanan VLAN, VMAN, EAPS, E-Line dan E- LAN
Pengelolaan ID (ID Management) dan Kontrol Akses Berbasis Kontrol (Role- Base Access Control/RBAC)
Pengelolaan virtualisasi XOS (XOS Virtualization Management/XNV) dan kontrol akses VM
Pemantauan dan konfigurasi Port Universal
Skripting berbasis GUI
Akses CLI yang aman
Penyatuan Epicenter dengan Ridgeline
Alat-alat yang esensial
Operasi yang Sederhana
UI intuitif
Alarm dalam tampilan topologi
Pengelolaan konfigurasi
Pelaporan dinamis
Ketersediaan dengan kelas Voice
Sistem alarm yang cerdas
Statistik real-time
Visualisasi layanan jaringan
Keamanan yang Komprehensif
Kontrol akses berdasarkan peran
Protokol pengelolaan yang aman
Log untuk audit
Ekstensibilitas Layanan
Skripting yang fleksibel
Manajemen PU
Framework integrasi pihak ketiga
Kebutuhan-kebutuhan server Ridgeline (Windows)
Windows 7, Vista, XP Professional SP1 atau lebih tinggi, Windows Server 2003 atau 2008.
Bisa 32-bit atau 64-bit
Untuk Windows 7 hanya bisa yang 32-bit
Prosesor yang kompatibel dgn Pentium, 1GHz atau lebih. Direkomendasikan 2GHz.
RAM minimum 2GB, direkomendasikan 4GB. 4 GB untuk pengelolaan perangkat dalam jumlah besar (>1000 perangkat)
Disk 2GB, direkomendasikan file systemnya NTFS.
2GB untuk swap Ridgeline 32-bit, 4GB untuk Ridgeline 64-bit.
Kebutuhan server dan client Ridgeline
Aplikasi berbasis Java (JRE 1.6)
Platform server :
(selain Windows) Solaris 10, Red Hat 5
Platform klien :
(idem)
Browser : IE 6.0 keatas, Firefox 1.5 keatas.
Update otomatis bagi klien
Lisensi produk Ridgeline
Ridgeline 3.0 Dasar (Base)
Seluruh fitur enterprise tercakup, termasuk provisioning EAPS, skripting, event dan alert, tampilan topologi, pengelolaan PU, Pelaporan identitas, konfigurasi mgmt, dll.
Paket Keamanan
Kebijakan berbasis peran dan identitas; termasuk pengelolaan identitas
Provision otomatis pengguna dan perangkat
Secara lojik membagi-bagi pengguna berdasarkan identitas untuk mobilitas yang mulus
Paket Data Center
Pengelolaan siklus hidup VM; termasuk XNV
Provisioning VM di level jaringan. Visualisasi jaringan secara terpusat untuk inventoris VM, dan history lokasi VM
Paket Penasihat Layanan (Service Advisor)
Rekayasa dan pengisian layanan
Provisioning secara 'tunjuk dan klik' untuk : E-Line, E-LAN, vMAN, PB & PBB provisioning, pemantauan VPLS.
Instalasi Ridgeline
Konfigurasi Ridgeline untuk akses SNMPv3
III. 3. Konfigurasi Port & Link
A. Konfigurasi Port Melihat konfigurasi port
show port configuration
menampilkan :
keanggotaan dalam VR
status yang dikonfigurasi
status link
status auto-nego
Kecepatan
Kecepatan yang dikonfigurasi
Kecepatan aktual
Duplex
Duplex yang dikonfigurasi
Duplex aktual
Flow Control
Agregasi link 'load master'
Port kombo
Media GBIC yang terinstal
Redundansi
Melihat konfigurasi lebih detail
show port <port> information detail
Menampilkan :
Keanggotaan dalam VLAN
Protokol VLAN
EDP
ELSM
Ethernet OAM
Flooding
Frame Jumbo
Pembatasan rate
QoS
Network Login
Redundansi port
Mengkonfigurasi port :
Mengaktifkan dan Menonaktifkan port
enable port
disable port
Mengatur kecepatan port UTP
configure port <port> auto <on | off> speed <10 | 100 | 1000 | 10000> duplex <full | half>
Setiap port UTP telah memiliki fitur deteksi sambungan MDI/MDI-X, sehingga tidak memerlukan kabel crossover.
Verifikasi konfigurasi port
show port <port> configuration
Yang menjadi nilai-nilai default :
Auto-nego aktif
Auto-polarity aktif
Untuk link 10Base-T, oleh IEEE 802.3 dijelaskan bahwa interface Ethernet harus mendukung deteksi dan koreksi auto-polarity dari data yang diterima.
Pengaktifan dan penon-aktifan port dilakukan oleh 'safe default scrip' pada saat login awal
B. Agregasi Link Disebut juga pembagian beban port (port load sharing) memungkinkan switch
menggunakan bbrp port fisik sebagai 1 port logic.
Memberikan tambahan bandwidth dan ketahanan
Didukung oleh semua tipe switch Extreme
Harus didukung oleh kedua ujung untuk operasi optimal
Konfigurasi hanya pada 1 ujung tidak menyebabkan broadcast strom pada VLAN yang dikonfigurasi pada port tsb. Switch yang tidak dikonfigurasi akan menggunakan FDB untuk mengalirkan paket, dan tidak menggunakan algoritma load-sharing.
kedua ujung harus menggunakan algoritma yang sama
tetapi tidak wajib
Switch Jumlah LAG maksimum Jumlah port maksimum/LAG
BD10K, BD12K, BD20K 128 16
BD8K 128 atau 64* 8
Summit 128 8
*128 dengan mode ARP IP terdistribusi off; 64 dengan mode ARP IP terdistribusi on.
Algoritma Agregasi Link
Agregasi Link berdasarkan alamat (address-based)
Paket didistribusikan berdasarkan informasi header paket
Menjalankan 'hash' dalam header-header yang dapat dipilih berikut ini :
MAC (L2), IPv4 (L2, L3, & L4), IPv6 (L2, L3, & L4)
Algoritma yang didukung tergantung hardware yang digunakan atau informasi dari header yang dipilih
BD10K dan BD12K mendukung algoritma L2, L2_L3, L2_L3_L4, L2_L3_CHK_SUM, dan L2_L3_L4_CHK_SUM dengan menggunakan perintah 'configure sharing address-based'
BD20K mendukung pula algoritma L2_SMAC, L2_DMAC, L3_SIP, L3_DIP, IP6_SIP, IP6_DIP dengan menggunakan perintah 'configure sharing address-based'
Algoritma Hasing menjalankan XOR (default) atau kalkulasi CRC-16 berdasarkan informasi dari header yang dipilih dan jumlah port dalam LAG
Paket broadcast, multicast, dan unknown unicast didistribusikan pada beberapa port dalam LAG dan diproses dengan algoritma internal yang berbeda (berlaku pada semua seri switch kecuali BD8K dengan modul seri original dan SummitX450).
Pada BD8K dengan modul seri original dan SummitX450, paket2 diatas diditribusikan melalui port master LAG.
Algoritma hashing hanya dapat dikonfigurasi dengan menggunakan perintah 'configure sharing address-based custom' untuk switch BD8K dengan modul seri xl, SummitX460, X480, dan X650.
Agregasi link berdasarkan port (port-based)
Paket didistribusikan berdasarkan port fisik asal dimana paket tsb diterima
Pemilihan port LAG bersifat tetap (deterministic)
Semua paket yang diterima dari suatu port akan dikirimkan melalui port LAG yang sama pula.
Agregasi link berdasarkan port (port-based) ini hanya didukung oleh switch seri BD10K, BD12K, dan BD20K.
Konfigurasi Agregasi Link :
Membuat LAG
enable sharing <port master> grouping <daftar port>
Jika algoritma tidak dikonfigurasi, maka algoritma L2 digunakan secara default.
Mengubah LAG
configure sharing <port master> add | delete port <daftar port>
Verifikasi
show sharing
Mengubah Algoritma LAG
disable sharing <port master>
enable sharing <port master> grouping <daftar port> algorithm address-based L2|L3|L3_L4
Algoritma tidak dapat diubah jika LAG tidak dinon-aktifkan terlebih dahulu.
LAG dan LACP
Gunakan 802.3ad LACP untuk :
Secara dinamis menetapkan bilamana LAG dapat diimplementasikan dengan switch tetangga.
Secara dinamis menambahkan atau menghapus port dari LAG
LACP dikonfigurasi secara terpisah pada setiap LAG
Operasi LACP
LAG harus dibuat dengan mengaktifkan LACP terlebih dahulu
LACP non-aktif secara default
Port menjadi aktif, jumlahnya tergantung limitasi hardware
Contoh :
Switch Summit mendukung 16 port untuk dimasukkan kedalam LAG, dengan hanya 8 port yang aktif.
Saat sebuah port aktif putus, maka port standby secara dinamis akan menggantikannya.
LAG dapat aktif hanya jika LACP mendeteksi bahwa ujung lainnya juga menggunakan LACP
Port ditambahkan pada LAG jika PDU LACP sudah diterima.
Port dihapus dari LAG jika PDU LACP sudah tidak lagi diterima.
Konfigurasi agregasi link untuk LACP
Membuat LAG
enable sharing <port master> grouping <daftar port> lacp
Verifikasi LACP
show lacp lag <port master>
Konfigurasi LACP
configure sharing <port master> lacp activity-mode passive
Dalam mode passive, switch hanya merespon paket LACP, tidak memulai koneksi LACP.
Untuk menghapus LACP dari LAG, LAG harus dinon-aktifkan terlebih dahulu.
C. Protokol Penemu Link (Link Discovery Protocol) Protokol Pencarian Extreme (Extreme Discovery Protocol/EDP) :
Merupakan protokol LDP proprietary untuk mencari tahu informasi topologi pada switch Extreme
Aktif pada semua port secara default
Paket EDP atau PDU dialirkan melalui semua port aktif setiap 60 detik (defaultnya)
Menggunakan protokol enkapsulasi Extreme (Extreme Encapsulation Protocol/EEP)
EEP juga digunakan pada EAPS dan ESRP
Paket EEP memiliki MAC dan SNAP OUI '00:e0:2b'
EDP mengirimkan TLV berikut :
Statistik EDP
Nama sistem dan MAC address
Versi software
Detil konfigurasi port
Id port, tipe, auto-nego, pengaturan duplex dan kecepatan
Informasi VLAN yang dikonfigurasi pada port
Nama VLAN, ID tag, dan IP address
Ridgeline memerlukan EDP untuk membangun peta topologi secara otomatis. Ridgeline juga mencari LAG-LAG sebagai bagian dari proses pencarian link (link discovery)
EDP berguna untuk sbg alat untuk troubleshooting dan audit jaringan. (bbrp fungsinya mirip dengan protokol cdp pda cisco).
Mengkonfigurasi dan melihat EDP :
Melihat pengaturan EDP global
show edp
Melihat switch-switch tetangga yang ditemukan
show edp port all
Konfigurasi EDP
configure edp advertisement-interval <timer> holddown-interval <timeout>
Menon-aktifkan EDP
disable edp port <nomor port>
Melihat EDP :
show edp port <port> detail
Menampilkan :
Status EDP
Statistik EDP
Nama sistem remote
MAC address
Tipe port
Auto-nego
Flow control
Kecepatan dan duplex
VLAN-VLAN
LLDP :
Merupakan standar LDP yang digunakan untuk mencari informasi konfigurasi suatu perangkat
Didefinisikan oleh IEEE.1AB
Paket LLDP atau PDU memiliki MAC address dan SNAP OUI '00:80:2c'
PDU-PDU LLDP dikirim ke MAC address tujuan : '01:80:C2:00:00:0e'
LLDP dinon-aktifkan pada semua port secara default
LLDP secara umum mengirimkan TLV-TLV berikut :
Informasi sistem
MAC address, nomor port, TTL, versi software.
Kemampuan sistem (sbg bridge, router, atau keduanya)
alamat IP management
Informasi 802.3
PoE, auto-nego, kecepatan dan duplex, agregasi link, MTU
Informasi 802.1
Nama VLAN, ID Tag, Protokol VLAN
Informasi MED (Media Endpoint Devices)
PoE, kemampuan, Kebijakan QoS (DiffServ), ID lokasi.
Konfigurasi dan Melihat LLDP :
Mengaktifkan LLDP :
enable lldp ports <daftar port>
Melihat pengaturan LLDP :
show lldp
Melihat switch tetangga yang ditemukan :
show lldp neighbors
Mengkonfigurasi LLDP untuk menyiarkan (advertise) IP address VLAN mgmt :
configure lldp port <nomor port> advertise management-address
Menon-aktifkan LLDP :
disable lldp ports <daftar port>
Melihat informasi tetangga lebih detil
show lldp port <port> neighbor detailed
Menampilkan :
Chassis
MAC address
Port
Nama sistem remote
Kapabilitas
Mgmt address
VLAN-VLAN
Auto-nego
Flow control
Kecepatan dan duplex
dll.
D. Memonitor Port-Port Memonitor port-port untuk mirroring
'Menyalin' trafik dari 1 atau bbrp port ke 1 atau bbrp monitor port didalam switch.
Disebut juga Switched Port Analyzer (SPAN)
Filter trafik yang didukung :
Port fisik
Trafik ingress atau egress, atau keduanya
VLAN
Hanya trafik ingress
Port virtual (port fisik + VLAN)
Hanya trafik ingress
ACL-ACL
Batasan-batasan :
Maksimum 128 filter trafik dapat diaktifkan
Maksimum 16 VLAN atau port virtual dapat di-mirror-kan
Maksimum 16 port monitor dapat dikonfigurasi
Mirroring one-to-many
Mirroring remote ke ID VLAN tujuan.
2 standar mirroring pada XOS :
Standard
Tersedia untuk semua switch XOS
Hanya mendukung 1 port mirror
Jika paket cocok dengan filter ingress dan egress, hanya paket ingress yang disalin (mirrored)
Enhanced
Tidak tersedia untuk switch BD8K modul seri original dan X450.
Mendukung bbrp port mirror
Mendukung mirroring ke VLAN untuk monitoring remote
Jika paket cocok dengan filter ingress dan egress, kedua paket disalin.
Konfigurasi dan Melihat Hasil Pencerminan
Mengaktifkan pencerminan standar
enable mirroring to port <port>
Menambah filter ke cermin
configure mirroring add port <port>
Informasi VLAN atau VLAN/port dapat pula ditambahkan
Melihat konfigurasi pencerminan
show mirroring
IV. 4. SummitStack
A. Arsitektur Port stacking
2 port per perangkat
Kapasitas stack mulai dari 40Gbps s/d 512Gbps per switch
Kapasitas tergantung kpd tipe switch dan port stack yang diinstall
80 Gbps
Summit X460 dengan kartu opsional SummitStack V80
128 Gbps
Summit X480 dengan kartu opsional VIM2-SummitStack128
256 Gbps
Summit X650 dengan kartu opsional VIM1-SummitStack256
512 Gbps
Summit X650 dengan kartu opsional VIM1-SummitStack512
40 Gbps
Summit X460 dengan kartu opsional SummitStack V80
Summit X480 dengan kartu opsional VIM2-SummitStack
Summit X650 dengan kartu opsional VIM1-SummitStack atau VIM1- 10G8X
Switch XOS yang lain
Maksimal 8 switch per stack
SummitStack didukung oleh semua tipe switch XOS, kecuali SummitX350 dan X150
Peran-peran
Unit Master
Mengatur konfigurasi semua unit dan memiliki kepemilikan atas konfigurasi unit lainnya
Membagi database konfigurasi dengan unit backup
Secara fungsional sama dengan MSM master
Unit Backup Master
Cadangan jika sewaktu-waktu unit master tidak berfungsi
Tidak memiliki kepemilikan atas konfigurasinya sendiri
Mendapatkan kepemilikan atas konfigurasi unit standby
Secara fungsional sama dengan MSM backup
Unit Standby
Merupakan budak (slave) dari unit master; diprogram secara ASICs oleh unit master
Secara fungsional sama dengan modul I/O pada chassis
Arsitektur : Topologi cincin
Memberikan redundansi
Tetap bekerja walaupun ada kabel stack yang putus atau ada unit yang mati
Stack berlaku seperti chassis
Kabel stack berlaku seperti backplane
Topologi seperti rantai (daisy chain) tidak direkomendasikan karena,
Tidak memiliki ketahanan seperti topologi ring
Dapat menyebabkan segmentasi pada stack
B. Operasi Operasi :
Saat kabel stack terhubung, proses berikut terjadi :
Pencarian topologi stack
Jika stacking diaktifkan :
Memilih master
Memilih backup master
Mengkonfigurasi stack
Beroperasi
Operasi - Topologi stack :
Unit-unit saling bertukar informasi sampai mereka menemukan topologi stack
Dilakukan walaupun stacking tidak diaktifkan
Unit-unit membroadcast discovery packet/hello packet
paket tsb berisi informasi seperti mode stack, MAC address unit, MAC address stack, nomor model, nomor slot, prioritas stack, kemampuan menjadi master, hop count - mulai dari 0, level lisensi unit, dll.
CPU dari setiap unit memproses paket tsb
Unit-unit kmd menaikkan nilai hop count dan mengirim kembali paket tsb
Unit-unit menetapkan topologi ring ketika paket dengan MAC address sendiri diterima
Operasi - Pemilihan Master dan Backup
Dasar pemilihan :
Hanya switch yang dikonfigurasi untuk bisa menjadi master yang dapat berpartisipasi
Prioritas stacking tertinggi
Dapat dikonfigurasi oleh user
Nilai yang mungkin : AUTOMATIC (default) atau 1-100
Jika diset automatic, maka semua swicth prioritasnya akan diset ke 0, sehingga yg menjadi dasar pemilihan adalah nomor slot.
Nomor slot terendah (jika prioritas stackingnya sama)
Dapat dikonfigurasi
Harus unik
Tidak berhubungan dengan lokasi fisik pada stack atau jarak dari master
Nilai default : 1
Backup master yang elektabilitasnya ke-2 dibawah master.
Operasi - Konfigurasi Stack
Master membaca file konfigurasi
Master membagi konfigurasi dengan backup master
Master dan Backup master mengambil alih kepemilikan konfigurasi dari unit lainnya.
Master mengimplementasikan konfigurasi
Mengkonfigurasi dirinya sendiri (hanya master yg melakukan ini)
Mengkonfigurasi unit backup master seperti RPC calls
menggunakan VR kontrol (Control Channel)
Mengkonfigurasi unit standby seperti RPC calls
switching engine terupdate segera setelah konfigurasi diimplementasikan
Operasi - Beroperasi
Verifikasi topologi terus berlanjut
Konfigurasi yang relevan mengubah throughput yang dihantarkan
Keputusan switching ditentukan oleh switch engine ingress
Dikirimkan ke port tujuan
Switching lokal tidak membutuhkan port stack
Setiap unit ttp melihat fdb nya masing-masing. Jika mac tujuan berada dalam port dalam unitnya, maka paket tsb dikirm melalui port tsb tanpa melibatkan stack.
Unit master hanya menghantarkan konfigurasi yang relevan didalam stack. Contoh, jika sebuah VLAN dibuat dengan hanya 1 port dari suatu unit, maka konfigurasi hanya mengupdate 1 unit tsb.
Stack dapat diatur
Menggunakan VLAN mgmt
MAC adress stack
IP address stack
Operasi - Link terputus
Pengiriman pada path terpendek (Shortest Path Forwarding/SPF), atau
Paket dikirim melalui path terpendek
Link putus tunggal
Path terpendek dihitung kembali oleh semua unit
Operasi - Beberapa link terputus
Stack tersegmentasi
Master dan backup master dalam segmen yang berbeda
Segmen yang terdapat master
Memilih backup master baru
Penghitungan ulang path pada semua unit
Segmen yang terdapat backup master
Backup master menjadi master
Memilih backup master baru
Penghitungan ulang path pada semua unit
Segmen tanpa master/backup master
Memilih master dan backup master baru
Penghitungan ulang path pada semua unit
Isu
Segment-segmen tsb tetap mempertahankan MAC address dan IP address stack sebelum tersegmentasi. Ini bisa membuat semua stack merespon arp request pada untuk MAC yang sama.
Untuk menyelesaikannya, dapat digunakan IP address alternatif pada tiap slot di stack menggunakan --> configure stacking alternate-ip- address
C. Konfigurasi Menyiapkan stack sebelum konfigurasi :
Pilih unit stack yang sesuai untuk aplikasi yang akan digunakan dan gunakan stack seakan-akan itu adalah sebuah chassis tunggal
Semua switch stack harus menjalankan versi OS yang sama
Semua switch stack harus memiliki level lisensi yang sama
atur level lisensi stacking sehingga level ini bisa men'downgrade' level lisensi unit switch yang lebih tinggi.
Tentukan mode stacking : standard atau enhanced
mode enhanced digunakan untuk menjalankan MPLS pada stack
Pastikan semua unit memiliki konfigurasi default
Sambungkan kabel stacking
Cara mudah mengaktifkan SummitStack :
Login ke master stack menggunakan konsol
Aktifkan stacking :
enable stacking
Ikuti skrip yang tersedia :
configure stacking slot-number automatic
Dalam konfigurasi ring, setiap slot dikonfigurasi dengan nomor slot dimulai dari 1 (node aktif, yg sedang dikonfigurasi), lalu nilainya naik setiap melewati port stack 2 dari slot 1.
Dalam konfigurasi ring, nomor slot 1 diberikan kepada node yang tersambung dengan slot 1 pada node aktif (node yang sedang dikonfigurasi)
configure stacking mac-address
configure stacking redundancy [minimal | maximal]
Dalam mode minimal, 2 node diaktifkan kemampuan-untuk-menjadi- master (master capability) nya, sementara node yang lain dinon- aktifkan.
Dalam mode maksimal, semua node diaktifkan kemampuan-untuk- menjadi-master nya.
Setiap perintah ini dapat dimasukkan secara terpisah pada CLI shg kita dapat mengontrol switch pada saat reboot.
reboot stack-topology
Peringatan akan tampil jika :
Topology daisy chain terdeteksi
konfigurasi switch belum disimpan
Switch akan reboot
Login dan 'safe default'
Prompt pada switch mencerminkan konfigurasi stacking
Verifikasi Konfigurasi SummitStack
show stacking {detail}
Menampilkan : topologi stack, nomor slot, dan peran.
show stacking configuration
Menampilkan :
MAC address
MAC address stack adalah turunan dari MAC address master, dengan nilai awal 00 diganti menjadi 02.
Tanda (Flag) :
Kemampuan-menjadi-master
Status stacking
MAC address stack
Batasan level lisensi
show stacking ports
Konfigurasi lain :
Nomor Slot
configure stacking node-address <MAC address> slot-number <nomor slot>
Prioritas
configure stacking priority <nomor prioritas>
Nilai defaultnya 0 (otomatis)
Jika dikonfigurasi, akan digunakan pada pemilihan berikutnya
Manajemen SummitStack
SummitStack bekerja sebagai 1 unit dalam konfigurasi dan manajemen
Defaultnya, MAC address dan IP address dari SummitStack diturunkan dari MAC dan IP address master.
Agar SummitStack dapat dikelola sebagai unit terpisah saat terjadi gangguan :
configure stacking alternate-ip-address [<ip address> <netmask>] <gateway> automatic
Memberikan IP address alternatif pada setiap unit (ip address yang disebutkan secara otomatis diberikan kepada unit aktif (yg sedang dikonfigurasi), unit lainnya +1)
Untuk mengkonfigurasi IP address pada unit SummitStack secara terpisah :
configure stacking [node-address <MAC address> | slot <nomor slot> ] alternate-ip-address [<ip address> <netmask>] <gateway>
1. Sinkronisasi Parameter Stacking
Sinkronisasi stacking :
synchronize stacking [<node-address> <slot-number>]
Yang disalin : mode stacking, MAC address stack, akun dan password failsafe, izin akun failsafe ke access point (apakah akun failsafe dapat mengakses link stacking, port konsol, atau port manajemen).
Partisi yang dipilih.
V. 5. Forwarding L2 & VLANs
A. Memahami FDB XOS XOS menjalankan fungsi bridging sesuai standar operasi 802.1D (learning, flooding,
forwarding, filtering)
Secara dinamis mempelajari (learns) MAC address host dari port ingress.
Flooding paket
Broadcast paket
Multicast paket
XOS secara default tidak mem-flood paket multicast
Semua fungsi L2 dijalankan pada hardware dengan kecepatan kabel (wire-speed)
Operasi default ini dapat diubah,
kontrol fungsi learning :
disable learning port
disable learning forward-packets port all
kontrol fungsi flooding
disable flooding ports
Tipe entri FDB XOS :
Dinamis
Awalnya, seluruh entri FDB bersifat dinamis
Statis
Entri tanpa aging (non-aging entries)
entri dengan aging yang diatur ke angka 0, dengan fitur lock-learning
Entri permanen
Diatur sbg entri permanen melalui CLI
Tetap bertahan di database setelah power off
Entri blackhole
Mengkonfigurasi fdb yang memiliki MAC sumber/tujuan untuk dijatuhkan (discarded)
Dapat dikonfigurasi secara manual oleh administrator atau secara otomatis oleh fitur keamanan seperti limit-learning
Blackhole tidak bekerja seperti ACL, walaupun hasilnya sama. Paket yang memenuhi kriteria, misal MAC tujuan, akan dijatuhkan (dropped)
Memantau FDB
show fdb (terpantau : MAC address, VLAN, umur entri (age) dalam detik, flag, port ingress, rangkuman, timer)
Secara spesifik :
show fdb blackhole
show fdb mac-tracking configuration
show fdb netlogin all
show fdb permanent
show fdb <mac address>
show fdb ports <daftar port>
show fdb vlan <nama vlan>
Menghapus entri dinamik :
clear fdb
Secara spesifik :
clear fdb blackhole
clear fdb <mac address>
clear fdb ports <daftar port>
clear fdb vlan <nama vlan>
Membuat entri fdb statik
create fdbentry <mac address> vlan <nama vlan> ports <daftar port>
verifikasi --> show fdb permanent
menghapus --> delete fdbentry [ all | <mac address> vlan <nama vlan>]
membuat entri fbd blackhole --> create fdbentry <mac address> vlan <nama vlan> blackhole
verifikasi --> show fdb blackhole
Menonaktifkan (disable) fungsi learning fdb :
disable learning ports <daftar port>
menonaktifkan pembuatan entri fdb
juga menonaktifkan fungsi flooding untuk paket unknown
Untuk hanya menonaktifkan fungsi learning tetapi ttp menjalankan fungsi flooding paket unknown :
disable learning forward-packets ports <daftar port>
verifikasi --> show port <port> info detail
B. Fitur Keamanan FDB 3 fitur keamanan L2 pada XOS :
Egress flood control (menggontrol flooding pada port egress)
Menentukan apakah paket broadcast, multicast, dan unicast unknown di flood.
Mencegah hacker untuk masuk ke jaringan
Kemampuannya tergantung hardware
Konfigurasi :
disable flooding unicast ports [all | <daftar port>]
disable flooding broadcast ports [all | <daftar port>]
Verifikasi --> show ports <daftar port> info detail
Reset --> enable flooding all_cast ports [all | <daftar port>]
Mendisable flooding pada port engress multicast tidak mempengaruhi perangkat klien yang berlangganan (subscribe) pada grup IGMP, paket tetap di forward. Jika IGMP snooping di disable, baru flooding dihentikan.
Limit learning (membatasi jumlah entri yang di learning)
Membatasi jumlah mac adress yang di learn pada port tertentu
memperbolehkan learning mac address sejumlah n pertama.
setelah n, akses learning di blok dengan cara :
entri fdb dimasukkan sbg entri blackhole (default), atau
learning distop.
Dapat memberikan keamanan tambahan ketika learning dinamik digunakan,
Pada lingkungan VOIP, learning hanya dibatasi pada 2 MAC address,
MAC#1 untuk PC pengguna
MAC#2 untuk telepon VOIP
Konfigurasi :
limit learning utk dimasukkan sbg entri blackhole
configure port <daftar port> vlan <nama vlan> limit-learning <jumlah>
limit learning yg tidak utk dimasukkan sbg entri blackhole, melainkan menghentikan proses learning
configure port <daftar port> vlan <nama vlan> limit-learning <jumlah> action stop-learning
Dalam jaringan besar, penggunaan limt learning dgn entri blackhole dapat mengakibatkan banjir fdb, shg menurunkan performa switch. Oleh karena itu sebaiknya menggunakan fitur stop learning.
verifikasi --> show fdb
Lock learning (mengunci fungsi learning)
Mengunci (freeze) entri fdb berdasarkan VLAN atau port.
FDB yang baru dipelajari (learned) dimasukkan sbg entri blackhole.
Ketika di enable, maka switch tidak dapat mempelajari fdb secara dinamis.
Cara mudah untuk mengunci jaringan dimana entri statik lebih dipilih.
MAC address yang dikunci ditambahkan kedalam konfigurasi aktif (running configuration).
Agar permanen, maka konfigurasi harus disimpan (saved).
Setelah reboot, MAC yang dikunci kitu akan menjadi entri statik yang permanen. Dan port tidak akan mempelajari entri yang lain.
Konfigurasi :
Kofnigurasi lock learning
configure ports <daftar port> vlan <nama vlan> lock-learning
verifikasi perubahan proses learning :
show vlan <nama vlan> security
verifikasi perubahan konfigurasi :
show configuration fdb
verifikasi entri fdb :
show fdb
Menghapus konfigurasi lock learning :
configure ports <daftar port> vlan <nama vlan> unlock-learning
Menghapus entri fdb permanen :
delete fdbentry [all | <mac address>]
Limit learning dan lock learning tidak mempengaruhi ini :
Paket yang ditujukan kepada MAC address permanen atau MAC address yang bukan entri blackhole
Trafik broadcast dari MAC address yang bukan entri blackhole
Trafik EDP dan LLDP
Limit learning dan lock learning tidak bisa di enable bersamaan pada sebuah port
Egress flood control sebaiknya hanya digunakan pada port yang arp dan mac nya diatur secara statik.
jika tidak, maka fungsi dinamis seperti DHCP dan ARP akan terganggu/tergantikan.
PC Windows menggunakan ARP untuk memeriksa IP address yang sama (dupplicate)
Tidak mempengaruhi pemberian IP address (IP address assignment) jk menggunakan DHCP relay agent
Untuk BD10k dan BD12k, disable flooding tidak bisa dilakukan pada port, melainkan pada pake broadcast, multicast, atau unicast unknown.
C. Sekilas VLAN VLAN Untagged
VLAN tanpa id tag 802.1q
Dalam switch Extreme, untuk memastikan pemisahan antar VLAN, setiap VLAN diberi id VLAN
Switch secara otomatis memberikan sebuah id VLAN internal
Nila id VLAN internal mulai dari 4094, lalu menurun (decremented) dan diberikan kepada setiap VLAN secara berurutan.
Sifat VLAN untagged :
Sebuah port hanya dapat menjadi anggota 1 VLAN untagged
Port anggota tidak bisa ditag, yang artinya :
Tidak bisa memproses informasi VLAN 802.1q dan CoS 802.1p
Sifat pengiriman (forwarding) VLAN untagged :
Paket dikirimkan secara transparan, contohnya tanpa perubahan atau penambahan header apapun
VLAN 'mgmt' adalah contoh VLAN untagged
VLAN berbasis protokol (Protocol-based VLAN)
Menggunakan filter protokol untuk menentukan apakah sebuah paket termasuk kedalam VLAN tertentu.
Filter protokol yang dapat digunakan antara lain :
IP
IPX
IPv6
NetBios
DECNet
IPX_8022
IPX_SNAP
AppleTalk
MPLS
ANY
Kita dapat membuat protokol sendiri dengan cara : create protocol, dan mengeditnya dengan configure protocol. Kita juga dapat mengedit protokol default dengan cara yang sama.
Mempunyai kedudukan lebih tinggi (higher precedence) daripada VLAN untagged
Hanya dapat beroperasi pada port untagged
Mendukung formasi frame Ethernet berikut :
Ethernet II
framing standar yang digunakan pada IP
LLC
Subnetwork Access Protocol (SNAP)
Paket Ethernet II adakan mem-filter dalam field EtherType dalam format Hexa,
IPv4 = 0x0800; ARP = 0x0806; IPv6 = 0x86dd; 802.1q = 0x8100
Sifat pengiriman (forwarding behaviour) :
Paket yang lolos filter akan dikirimkan secara tansparan dalam VLAN.
VLAN 802.1q Tagged
Adalah VLAN yang ditag dengan id tag 802.1q
Secara umum cara kerjanya sama dengan VLAN berbasis protokol
Kedudukannya lebih tinggi daripada VLAN berbasis protokol
Sifat-Sifat Umum :
Sebuah port yang ditag dapat menjadi anggota dari beberapa VLAN yang ditag
Port anggota bisa port yang ditag maupun yang tidak ditag.
Apabila ditag, maka port tsb bisa memproses informasi VLAN 802.1q dan informasi CoS 802.1p
Sifat Forwarding :
Port yang tidak ditag mengirim paket secara transparan
Port egress yang ditag mengisi kolom EtherType dengan 0x8100 dan menambahkan header 802.1q setelah kolom EtherType tsb.
Port ingress yang ditag mengecek kolom EtherType, apabila isinya adalah 0x8100, maka ia memproses informasi dalam paket tsb.
Paket akan dibuang (drop) apabila :
Isi kolom Ethertype bukan 0x8100
Id tag 802.1q dalam paket tidak cocok dengan semua VLAN yang terdaftar dalam port tsb.
VLAN 'Default' adalah contoh VLAN tagged dengan id VLAN = 1.
Pemrosesan Frame Ethernet 802.1q :
Tag 802.1q berisi 4 kolom :
Id Protokol Tag (Tag Protocol ID/TPID)
= kolom EtherType
Class of Service 802.1p (Prioritas)
Nilai : 0-7
Canonical Format Indicator (CFI)
Tidak digunakan dalam jaringan Ethernet
Pengenal VLAN (VLAN Id)
Nilai : 1 - 4095
Dalam XOS, nila 4095 diberikan secara permanen untuk VLAN 'Mgmt', sehingga tidak bisa digunakan untuk yang lain.
Sifat Pengiriman :
Paket yang datang pada port ingress diteruskan menuju VLAN yang sesuai
Kolom CoS 802.1p diperiksa, lalu paket tsb ditempatkan dalam antrian yang sesuai
Nilai 0-6 ditempatkan pada level prioritas yang rendah, (QoS Profile 1/QP1)
Nilai 7 ditempatkan pada level prioritas yang tinggi (QoS Profile 8/QP8)
Menampilkan ringkasan informasi VLAN
show vlan
Menampilkan :
Nama VLAN
Id VLAN
Alamat IP
Flags
Filter Protocol
Port aktif
Virtual Router
show vlan detail
show vlan <nama vlan>
D. Membuat dan Mengkonfigurasi VLANs Membuat dan Mengkonfigurasi VLAN tanpa tag (untagged)
Membuat VLAN tanpa tag
create vlan <nama VLAN>
Menambahkan port pada VLAN untagged :
configure vlan <nama vlan> add ports <daftar port>
Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Biasanya port harus dihapus dari keanggotaan VLAN 'Default'
Verifikasi :
show vlan <nama vlan>
Membuat dan Mengkonfigurasi VLAN berbasis protokol (Protocol-Based VLAN)
Membuat VLAN berbasis protokol
create vlan <nama VLAN>
configure vlan <nama vlan> protocol <nama protokol>
Untuk mengeluarkan VLAN dari VLAN berbasis protokol :
configure vlan <nama vlan> protocol any
Menambahkan port pada VLAN berbasis protokol :
configure vlan <nama vlan> add ports <daftar port>
Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Verifikasi :
show vlan <nama vlan>
Membuat dan Mengkonfigurasi VLAN dengan tag (tagged)
Membuat VLAN dengan tag
create vlan <nama VLAN>
configure vlan <nama VLAN> tag <id tag>
Menambahkan port pada VLAN dengan tag :
Menambahkan port tanpa tag :
configure vlan <nama vlan> add ports <daftar port> untagged
Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Biasanya port harus dihapus dari keanggotaan VLAN 'Default'
Menambahkan port tanpa tag :
configure vlan <nama vlan> add ports <daftar port> tagged
Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Saat VLAN sudah dikonfigurasi dengan tag 802.1q, maka VLAN itu seterusnya akan menjadi VLAN tagged. Id tag dapat diubah, tetapi tag tidak dapat dihapus.
Verifikasi :
show vlan <nama vlan>
Pengaturan VLAN
Mengganti nama VLAN :
configure vlan <nama VLAN> name <nama baru>
Mengubah port untagged menjadi port tagged :
configure vlan <nama vlan> add ports <daftar port> tagged
Mengubah port tagged menjadi port untagged :
configure vlan <nama vlan> add ports <daftar port> untagged
Menonaktifkan vlan
disable vlan <nama vlan>
Menghapus VLAN
delete vlan <nama vlan>
Sebuah VLAN dapat dihapus kapan saja, kecuali jika VLAN tsb menjadi VLAN Network Login.
VI. 6. Ethernet Automation Protection Switching (EAPS)See also: 5. Forwarding L2 & VLANs
A. Sekilas EAPS Keuntungan :
Topologi bebas loop (loop-free topology)
Recovery ring dalam sub-detik (sub-second ring recovery)
Lisensi
Jika jumlah EAPS domain > 4, maka diperlukan lisensi EAPS tambahan.
Master Node & Secondary Port
Master Node dipilih secara manual di setiap domain, biasanya switch yang berada di 'tengah' diantara switch lain pada domain tsb. Switch yang tidak berperan sbg master disebut Transit Node.
Secondary port juga dipilh secara manual, tujuannya mirip dengan bakcup port pada STP. Port yang diblok pada EAPS adalah port secondary pada master node.
Primary dan secondary port pada Transit Node harus port yang termasuk kedalam ring, dengan urutan bebas.
Hubungan antara Domain EAPS dan VLAN
1 link dapat membawa bbrp domain.
1 domain harus memiliki 1 VLAN control yg dibuat untuk membawa trafik kontrol EAPS (setiap domain memiliki VLAN control yang unik)
1 domain dapat membawa bbrp VLAN protected
link [domain [vlan control-vlan protected-vlan protected]--[vlan control-vlan protected- vlan protected]]--[domain [vlan control-vlan protected-vlan protected]--[vlan control-vlan protected-vlan protected]]
Saat domain aktif, kita tidak bisa menghapus domain tsb atau mengubah konfigurasi VLAN kontrol.
B. Operasi Konfigurasi
Setiap switch dalam doman memiliki konfigurasi untuk :
Tipe Node (Master/Transit)
Port (Primary & Secondary)
VLAN kontrol
Node Master bertanggungjawab untuk mengalirkan paket "Hello". Paket Hello secara default dialirkan melalui port primary.
dapat diubah menjadi secondary port dengan konfigurasi --> configure eaps <nama domain> hello-pdu-egress [primary-port | secondary-port ]
Aturan-aturan konfigurasi VLAN kontrol
Tidak boleh ada trafik user dalam VLAN kontrol
Harus VLAN tagged
Hanya port ring yang dimasukkan, dan ditag.
Tidak perlu IP address.
Node master mengirimkan paket 'hello' setiap 1 detik
Dikirim melalui port primary pada node master dan diterima kembali pada port secondary pada node master, kemudian memverifikasi bahwa ring telah terbentuk (ring complete).
Default 1 detik, dapat diubah menjadi antara 100 milidetik s/d 15 detik, dengan cara -- > configure eaps <nama domain> hellotime <detik> <milidetik>
Ketika sebuah link jatuh, maka :
Node yang mendeteksi link jatuh tsb mengirimkan paket 'link down' kepada node master
dalam jaringan biasa, node master akan menerima paket ini dalam waktu < 20 milidetik
Node master membuka bloking (unblock) port secondarynya, lalu mengalirkan paket 'flush fdb' pada port primary dan secondary.
Paket 'flush fdb' berguna untuk trafik berbasis non-sesi (non-session based) seperti VOIP yang menggunakan protokol UDP, agar paket ttp dapat dikirimkan melalui port yang benar shg servicenya tidak terganggu (tanpa ini, trafik harus menunggu hingga 'timer fdb', yaitu 5 menit). Untuk trafik berbasis TCP, ini tidak terlalu berpengaruh, karena TCP memiliki mekanisme re- transmit saat mengetahui time-out.
Paket 'Hello' tetap dikirimkan oleh node master.
Ketika link jatuh sudah kembali (restoration link), maka :
Node (yang tadi mendeteksi link jatuh) mengirimkan paket 'pre-forwarding'/'link up' ke node master (tanpa melalui link yg tadi jatuh).
tanpa melalui link yg td jatuh utk menghindari loop krn port secondary pada node master belum di blok lagi.
Node master tetap mengirim paket 'Hello' sampai menerima kembali paket 'Hello' tsb, untuk kemudian menetapkan status domain 'complete'. Kemudia ia memblok port secondary nya, mengalirkan 'flush fdb', lalu melanjutkan pengaliran paket 'Hello' tsb.
Ketika 3 paket 'hello' gagal diterima oleh node master, maka :
Jika sebelumnya status domain adalah 'complete', maka statusnya akan tetap 'complete' tetapi dengan atribut 'fail timer expired'.
Jika domain baru saja diinisiasi, maka status domain adalah 'init' dengan atribut 'fail timer expired'.
Dalam situasi dimana status ring tidak diketahui, membuka bloking port secondary beresiko terjadinya loop. Maka switch dapat mengirimkan alert kepada NMS untuk kemudian dilakukan pengecekan oleh operator.
Namun bisa saja dilakukan pengubahan konfigurasi agar ketika 'fail timer expired', node master membuka bloking port secondarynya (meskipun ttp tidak direkomendasikan). Jika iya, maka setelah dibuka, node master akan mengalirkan 'flush fdb' dan tetap mengalirkan paket 'hello'.
Pengubahan dilakukan dengan cara --> configure eaps <nama domain> failtime expiry action open-secondary-port
Penyebab :
Kesalah konfigurasi pada VLAN control pada sebuah atau bbrp node dalam ring.
Kerusakan pada hardware pada salah satu node.
Ada saturasi link pada port ring.
Antrian CPU (CPU queue) pada node master sedang macet (congested) atau sibuk.
Karena setiap ring memiliki node master yang berbeda, maka imbas masalah ini kepada pengguna jaringan dapat diminimalisir.
C. Konfigurasi Tahapan konfigurasi :
VLAN
Pastikan VLAN yang akan dimasukkan kedalam EAPS memiliki port-port ring yang ditag. Berlaku untuk semua domain yang dibuat.
Buatlah VLAN kontrol untuk setiap domain dan pastikan mereka memiliki port ring yang ditag untuk setiap doman. Setiap VLAN maksimal memiliki 2 port saja.
EAPS
Buat domain EAPS
create eaps <nama domain>
Konfigurasi 1 switch sebagai master, yang lainnya sbg transit
configure eaps <nama domain> mode [master | switch]
Konfigurasi port primary dan secondary pd setiap switch
configure eaps <nama domain> primary <port primary>
configure eaps <nama domain> secondary <port secondary>
Tambahkan VLAN kontrol dan VLAN protected pada setiap domain
configure eaps <nama domain> add control <nama vlan>
configure eaps <nama domain> add protected <nama vlan>
Enable domain EAPS
enable eaps <nama domain>
Ulangi tahap diatas untuk setiap domain
Enable EAPS secara global
enable eaps
Lain-lain :
Mengubah nama domain :
configure eaps <nama domain> name <nama baru>
Mengubah port ring
disable eaps <nama domain>
unconfigure eaps <nama domain> primary <port primary>
unconfigure eaps <nama domain> secondary <port secondary>
configure eaps <nama domain> primary <port primary baru>
configure eaps <nama domain> secondary <port secondary baru>
enable eaps <nama domain>
Verifikasi :
show eaps
show eaps <nama domain>
VII. 7. Routing IP & OSPF
A. Routing Function
B. IP Routing Overview
C. OSPF Overview
D. Konfigurasi OSPF Konfigurasi OSPF (single area) :
Buat dan konfigurasi bbrp VLAN
Aktifkan forwarding IP
Aktifkan OSPF pada point-to-point VLAN (link antar switch)
configure ospf vlan <nama VLAN> area 0.0.0.0 link-type point-to-point
jika semua VLAN berbagi area ospf dan link yang sama, maka <nama VLAN> cukup diganti 'all'.
Aktifkan OSPF pada VLAN-VLAN end-user
configure ospf vlan <nama VLAN> area 0.0.0.0 passive
Konfigurasi sebuah interface dengan mode passive akan menghentikan penghantaran paket ''hello'. Ini sebaiknya digunakan pada VLAN yang tidak digunakan juga oleh OSPF yang lain.
Konfigurasi ID router
configure ospf routerid <id router>
jika id router tidak dikonfigurasi secara manual, maka switch akan secara otomatis menetapkan interface ip adress tertinggi sebagai router id. Tetapi ini tidak direkomendasikan, krn jika interface yang menjadi router id mati, maka switch akan mencari id router baru, sementara LSA-LSA dengan router id sebelumnya akan bertahan di LSDB, sehingga dapat membebani jaringan.
Aktifkan OSPF secara global
enable ospf
Verifikasi OSPF :
Verifikasi VLAN yang diaktifkan OSPF nya
show vlan
Verifikasi OSPF secara global
show ospf
Verifikasi interface OSPF
show ospf interface
Verifikasi tetangga OSPF
show ospf neighbor
Konfigurasi OSPF (multi area)
Buat 1 atau bbrp area OSPF
create ospf area <id area>
Tambahkan VLAN ke area backbone
configure ospf add vlan <nama vlan> area 0.0.0.0
Tambahkan VLAN ke area lainnya
configure ospf add vlan <nama vlan> area <id area>
Masukkan id router
configure routerid <id router>
Aktifkan OSPF secara global
enable ospf
Verifikasi OSPF (multi area)
Verifikasi interface berada pd area yg benar
show ospf interface {detail}
Verifikasi router sbg ABR
show ospf
Verifikasi tabel routing berisi entri OSPF
show iproute origin ospf
VIII. Manajemen Identitas
A. Mengotentikasi pengguna jaringan Agar dapat mengakses jaringan, pengguna harus diotentikasi
Tipe otentikasi tergantung perangkat
Otentikas interaktif
Ada input identitas (logon credential), seperti username dan password
Kebanyakan digunakan pada PC untuk otentikasi pengguna, contoh : WIndows Active Directory
Otentikasi berbasis sertifikat
Secara otomatis mengotentikasi perangkat
Memproses login secara statis dengan menggunakan sertifikat digital
Dapat dipilih sbg kemanan level kedua untuk otentikasi interaktif
Otentikasi transparan
Otentikasi perangkat yang tidak mendukung protokol otentikasi
Digunakan oleh scanner barcode, handset VOIP, kamera keamanan, dll.
Otentikasi interaktif
Ada input identitas (logon credential), seperti username dan password, untuk mengakses perangkat yang terhubung ke jaringan
2 tipe otentikasi interaktif :
Login Windows Active Directory
Dalam jaringan enterprise, kapanpun seorang pengguna ingin mengakses layanan jaringan seperti email, logon credential pengguna dikirimkan ke server otentikasi
Server otentikasi lalu menyetujui atau menolak akses
Active Directory menggunakan protokol Kerberos untuk mengotentikasi pengguna
Login Captive Portal berbasis web
Saat pengguna tamu (guest) ingin mengakses internet, pengguna membuka browser lalu diarahkan (redirected) ke halaman login perusahaan.
Pengguna memasukkan user credential yang diberikan
Login berbasis web menggunakan SSL atau RADIUS untuk mengotentikasi pengguna.
Windows Active Directory, Kerberos
Pengguna login ke PC
User diotentikasi ke domain dan diberikan 'Tiket Akses'
Tiket akses (disebut juga Ticket Granting Ticket/TGT) yang berisi ID klien, alamat jaringan klien, periode validitas tiket, dan kunci akses klien. Informasi ini dienkripsi menggunakan kunci rahasia.
Pengguna membuka MS Outlook dan meminta otentikasi ke server Exchange.
Server Domain memberikan 'Tiket Sesi'.
Saat meminta layanan, klien mengirimkan Tiket Akses, ID dari layanan yang diminta, dan ID klien serta timestamp ke server AD. Setelah menerima tiket akses ini, jika diotorisasi, server AD akan mengirim tiker sesi atau tiket layanan ke klien yang berisi ID klien, alamat jaringan klien, periode validitas, dan kunci sesi Klien/Server.
'Tiket sesi' dikirim ke server Exchange.
Akses email disetujui.
Pengguna membuka browser lalu diarahkan (redirected) ke halaman login switch
Segera setelah pengguna mendapatkan IP address melalui server DHCP
Pengguna memasukkan credentialnya
Perangkat otentikasi (dalam hal ini switch) menggunakan DNS untuk me-resolve halaman home pengguna dan kemudian mengarahkan browser ke Network Login switch atau URL Captive Portal dimana pengguna akan diminta untuk memasukkan username dan password. Pada titik ini, pengguna tidak memiliki akses langsung ke jaringan.
Switch mengirimkan credential pengguna ke server RADIUS
Switch menjadi semacam 'proxy' layanan jaringan dari sudut pandang pengguna.
Server RADIUS membalas dengan pesan 'Access Accept'.
RADIUS mencocokkan credential pengguna dengan isi databasenya atau menghubungi server AD atau LDAP untuk detil otentikasi pengguna. Jika cocok, maka RADIUS mengirimkan pesan 'Access Accept' kepada switch yang kemudian memberikan akses kepada pengguna.
Switch memberikan akses pada pengguna jaringan.
Proses Login Network Windows 802.1x
Sertifikat diinstalkan pada perangkat dari server sertifikat oleh tim IT.
Saat menggunakan PKI (Public Key Infrastructure/Infrastruktur Kunci Publik), sertifikat yang mengkonfirmasi identitas dari Otoritas Sertifikat (Certificate Authority/CA) tertentu biasanya didistribusikan ke semua klien yang memerlukan akses jaringan menggunakan 802.1x. Pada lingkungan Windows, langkah ini bersifat opsional, karena kebutuhan untuk memverifikasi identitas dari server otentikasi dapat ditiadakan (disabled). Tetapi, dengan 'on' nya server verifikasi, klien dapat dilindungi dari tehubung ke server yang tidak terotorisasi.
Distribusi sertifikat hanya dibutuhkan apabila organisasi tsb menggunakan sertifikat yang dibuat sendiri (self certified certificate) dan bukan menggunakan CA Root dari CA yang dipercaya public (public trusted CA) seperti VeriSign, Equifax, dll.
Pengguna memasukkan credential lalu klien 802.1x memulai proses otentikasi.
Klien (Client/Supplicant) dari 802.1x adalah perangkat pengguna (PC, mobile, dll), sementara otentikator dari 802.1x adalah switch atau AP.
802.1x menggunakan Extensible Authentication Protocol (EAP) yang tidak membutuhkan IP untuk beroperasi. Pesan-pesan dihantarkan pada layer 2 antara klien dan otentikator.
Switch mengirim credential pengguna ke server RADIUS.
Mengirim pesan 'Permintaan Akses'.
Server RADIUS mengirimkan sertifikat/identitas ke klien.
RADIUS dan klien bernegosiasi ttg tipe EAP apa yang akan digunakan untuk pertukaran password.
Klien memverifikasi identitas server dengan membandingkan sertifikat yang dikirm oleh RADIUS dengan sertifikat dari CA yang dipercaya.
Ini opsional
Klien 802.1x menggunakan kunci privat yang disimpan pada sertifikat (yang dari RADIUS) untuk mengatur tunnel TLS/SSL yang terenkripsi ke server RADIUS.
Kunci privat 'diektrak' dari sertifikat.
Credential pengguna dikirimkan ke server RADIUS.
Switch bertindak sebagai 'proxy' layanan jaringan dari sudut pandang klien.
Server RADIUS membalas dengan pesan 'Access Accept'.
Switch memberikan akses kepada pengguna.
Proses Otentikasi Transparan :
Handset VOIP mengirim permintaan DHCP ke jaringan
Otentikasi transparan biasanya dimulai dari perangkat, dalam hal ini Handset VOIP, yang terhubung ke jaringan. Biasanya, perangkat ini akan meminta IP address menggunakan DHCP, dan pada saat itulah, perangkat otentikasi, dalam hal ini switch, yang menerima paket DHCP dari port yang terhubung ke handset VOIP akan membuat entri di FDB. Saat itu juga, switch akan mengetahui MAC address dari Handset dan informasi lainnya jika LLDP diaktifkan pada handset.
Switch mendeteksi MAC address dari handset VOIP dan mencocokkannya dengan 'daftar yang boleh mengakses jaringan (allowed list)'
contoh :
MAC perangkat : 00:12:34:56:78:9A
Allowed List : 00:12:34:56:**:**
Switch mengirim ceedential perangkat ke server RADIUS.
Server RADIUS membalas dengan pesan 'Akses Disetujui (Access Accept)'
Switch memberikan akses network kepada pengguna
B. Sekilas ttg Manajemen Identitas Fitur pengelolaan ID mengumpulkan data pengguna dan perangkat kapanpun pengguna
atau perangkat terhubung ke atau terputus dari switch.
Atribut identitas secara otomatis dikumpulkan oleh switch dan disimpan dalam database didalam switch
Atribut identitas yang dikumpulkan meliputi :
Identitas pengguna, port, MAC address, VLAN
Protokol otentikasi NetLogin dan kesalahan otentikasi
Time stamp otentikasi dan un-otentikasi.
Pengikatan (binding) IP ke MAC
Username IP MAC Nama Komputer
VLAN Lokasi Port Switch
salman 10.0.1.1 00:00:00:00:0 Salman-PC 1 24
0:01
Jika fitur pengelolaan ID diaktifkan dan dikonfigurasi pada switch XOS, maka switch akan mengumpulkan event2 log on dan log off dan menyimpan atribut tertentu untuk setiap perangkat atau pengguna didalam database. Database disimpan dalam RAM yang aktif (running RAM) dan dapat diubah nilainya dair nilai default 512KB dengan menggunakan --> configure identity management database memory-size
Atribut identitas dikumpulkan untuk protokol dan fitur berikut :
Logon Windows AD
Switch 'mengendus' paket Kerberos antara klien dan server AD.
Network Login
Otentikasi berbasis sertifikat 802.1x
Otentikasi berbasis web
Otentikasi transparan berbasis MAC
LLDP
Identifikasi perangkat seperti telepon VOIP, dll.
Pengikatan DHCP untuk kemananan IP (IP Security DHCP Binding)
Batasan :
Hanya dapat didukung untuk IPv4
Untuk operasi optimal dari snooping Kerberos, klien sebaiknya memiliki koneksi L2 ke switch snooping.
Fitur snooping Kerberos tidak diaktifkan secara default dan harus dikonfigurasi dengan benar agar dapat menangkat event-event atau log Windows.
Monitoring pengguna jaringan dan Ridgeline
Ridgeline mampu memonitor pengguna dan perangkat jaringan secara real-time dan terpusat.
Setiap switch yang diaktifkan fitur Pengelolaan ID nya mengirimkan event log on ke Ridgeline
Ridgeline memiliki pengguna jaringan dengan nama 'console' untuk melihat pengguna-pengguna aktif dan tidak aktif.
C. Konfigurasi Aktifkan Manajemen ID secara global :
enable identity-management
Konfigurasi port-port Manajemen ID
configure identity-management add ports <port>
Aktifkan Snooping Kerberos
configure identity-management kerberos snooping add server <ip address>
ip address ini adalah ip address AD Domain Controller. Jika ada bbrp Domain Controller, maka bisa saja semua IP nya dimasukkan kedalam daftar snooping Kerberos. Ini terrgantung dari apakah Domain Controller2 tsb diakses dari lokasi switch yang sama.
Verifikasi pengaturan Manajemen ID
show identity-management
Verifikasi pengguna Manajemen ID
show identity-management entries
IX. 9. XOS ScriptingSee also: Pengelolaan File Sistem
A. Dasar-Dasar Skripting Skrip adalah cara untuk otomasi tugas-tugas (tasks) dan dapat digunakan untuk
mempermudah penggunaan switch menggunakan desain jaringan yang umum.
Skrip statis dieksekusi secara manual oleh user dan berisi seperangkat perintah berbasis CLI
Skrip statis disimpan dalam file berekstensi .xsf
File skrip berbasis teks, dan dapat disimpan dengan cara sbb :
Menggunakan editor vi yang sudah built-in pada XOS
edit script <nama skrip>
Menggunakan editor offline, lalu menguploadnya menggunakan TFTP
Menyimpan konfigurasi aktif (running configuration) sbg file skrip
Ini menyimpan semua konfigurasi non-default
save configuration as-script <nama skrip>
Perubahan konfigurasi pada skrip dapat segera berpengaruh pada konfigurasi aktif.
Akan tetapi perubahan perlu disimpan terlebih dahulu agar menjadi permanen
Menjalankan skrip
load script <nama skrip>
Skrip System Start-Up
Safe Default Script
Skrip sistem yang dijalankan ketika switch belum dikonfigurasi
switch akan menjalankan konfigurasi 'factory default'
Autoconfigure
Skrip yang dibuat manual dengan nama default.xsf akan dijalankan apabila :
switch gagal me-load konfigurasi yang telah diatur
switch belum dikonfigurasi
Dibuat dengan cara :
edit script default
Untuk menjalankan (melihat apakah berfungsi atau tidak) :
unconfigure switch all
Untuk melihat errornya :
show script output default
jika blank berarti tidak ada error atau warning saat eksekusi
Autoexecute
Skrip yang dibuat manual dengan nama autoexec.xsf akan dijalankan :
Setelah switch me-load konfigurasinya,
File tidak tereksekusi ketika default.xsf sedang dieksekusi
Dibuat dengan cara :
edit script autoexec
Untuk menjalankan (melihat apakah berfungsi atau tidak) :
reboot
Untuk melihat errornya :
show script output autoexec
jika blank berarti tidak ada error atau warning saat eksekusi
B. Skrip dan Operasi Kondisional Struktur kontrol yang didukung oleh skrip XOS :
if then else
do while loops
Operator yang didukung :
==
!==
>
<
>==
<==
*
/
+
-
%
Variabel Skrip dan CLI
Untuk mengaktifkan skripting CLI :
enable cli scripting
Melihat variabel eksisting
show var
Membuat variabel :
set var <nama variabel; contoh : CLI.OUT> " "
Mengisi variabel dengan perintah-perintah CLI :
contoh : show version
Menampilkan hasilnya :
show var CLI.OUT
dengan cara diatas, variabel ini hanya berlaku untuk satu sesi. Untuk membuatnya permanen, aktivasi cli skriptingnya dengan perintah : enable cli scripting permanent.
Fungsi-Fungsi Skrip :
Digunakan untuk menjalankan ekspresi kondisional berbasis teks dan memanipulasi variabel-variabel teks.
Tipe2 fungsi :
Fungsi2 Built-in
Didefinisikan oleh sistem (system-defined) dan memungkinkan manipulasi teks dasar/string
Contoh :
$MATCH(string1, string2)
membandingkan string 1 dan 2. Mengembalikan nilai 0 jika string1 = string 2.
$READ(prompt)
menampilkan prompt untuk inputan user dan menerima input s/d user menekan tombol 'return' atau sesinya habis.
$UPPERCASE(string)
mengembalikan string dalam huruf kapital
$TCL(args fungsi)
memanggil fungsi TCL.
XOS tidak mendukung pemanggilan fungsi TCL secara bersamaan.
Fungsi2 Tool Command Language (TCL)
Diimplementasikan pada XOS dan merupakan turunan dari library fungsi2 TCL open source.
Contoh konfigurasi skrip :
if-then-else
CORE-DC-BD_8806.1 # edit script tes-if-then
if ($MATCH($CLI.SESSION_TYPE, serial) == 0) then
set var access "Anda terkoneksi dengan konsol serial"
show var access
else
set var access "Anda terkoneksi dengan telnet atau ssh"
show var access
endif
do-while-loop
set var count 1
set var result "vlan (s) telah dibuat"
while ($count < 5) do
create vlan tes$count
configure vlan tes$count ipaddress 200.1.$(count).1/24
show var count
show var result
set var count ($count+1)
endwhile
X. 10. Port Universal dan Skripting Dinamis
A. Sekilas Port Universal Port universal (PU) mengeksekusi skripting dinamis berdasarkan kejadian :
Penemuan perangkat oleh Protokol Pencari Layer Link (Link Layer Discovery Protocol/LLDP)
Otentikasi perangkat dan pengguna jaringan
Waktu dalam suatu hari (Time of Day)
Kejadian log (Log events) :
Log apa saja, seperti link yang jatuh (link down), level PoE, dll.
Tujuan PU adalah mengautomasi provisioning port perangkat edge ketika ditemukan suatu kejadian/event
Pemicu kejadian (event trigger) secara dinamik menjalankan skrip
Skrip disimpan dalam profil PU
Disimpan dalam file konfigurasi dan bukan dalam file skrip
Profil PU lalu dimasukkan kedalam port
Jika sebuah event -yang telah ditentukan sebelumnya- muncul, maka skrip ini akan dieksekusi
Protokol event yang digunakan harus diaktifkan (enabled) di port yang dimonitor oleh PU tsb.
Beberapa profil dalam dibuat dalam 1 switch, tetapi hanya 1 profil 1 event yang dapat dijalankan dalam 1 port. Port bisa saja menjalankan beberapa profil, tetapi eventnya harus berbeda, contoh : event otentikasi berbeda untuk pengguna atau perangkat yang berbeda pula.
Kita dapat pula menjalankan beberapa profil dalam 1 port atau 1 kelompok port. Misal, kita akan menjalankan profil otentikasi pengguna berbeda untuk kelompok sales, marketing, dan engineering.
Kita juga dapat mengkonfigurasi profil yang dipicu oleh perangkat (device-triggered profile) dalam 1 port yang mendukung 1 atau beberap profil pengguna. Tetapi hanya 1 device-triggered profile yang boleh dijalankan pada 1 port.
Skripting Dinamis :
Adalah skrip yang dieksekusi oleh event PU
Variabel dalam skrip dinamis tidak dapat diakses melalui CLI karena bersifat non- persistent
Variabel sistem run-time tambahan (additional run-time system variable) dibuat ketika event yang ditentukan (UP enabled event) terjadi.
Event Definisi
EVENT.NAME Event yang memicu profil
EVENT.PROFILE Profil yang sedang dijalankan
Selain itu, variabel untuk event tsb (event specific variables) juga dibuat,
Event Definisi
EVENT.TIME Waktu kejadian, dihitung dalam detik
EVENT.TIMER_TYPE Tipe timer, periodik atau non-periodik
EVENT.TIMER_NAME Nama timer yang dipicu oleh PU
EVENT.TIMER_LATE_SECS Waktu antara timer mulai dan skrip dijalankan
Total 128 skrip dinamik (profil PU) dapat dibuat dalam sebuah switch, dan setiap skrip maksimal terdiri dari 5000 karakter.
Event-event pemicu profil PU
Event Definisi
DEVICE_DETECT Perangkat tertentu terdeteksi oleh LLDP. Profil mengkonfigurasi port.
DEVICE_UNDETECT Perangkat tertentu tidak lagi terdeteksi atau terjadi time-out. Properties port kembali ke status known.
USER_AUTHENTICATED User yang telah ditentukan terotentikasi. Profil mengkonfigurasi port.
USER_UNAUTHENTICATED User yang telah ditentukan tidak lagi terotentikasi. Properties port kembali ke status known.
TIMER_AT Timer yang dijadwalkan terjadi pada waktu yang ditentukan telah tiba.
TIMER_AFTER Timer yang dijadwalkan terjadi setelah rentang waktu tertentu telah tiba.
USER_REQUSEST Profil dipicu oleh pengguna secara remote melalui CLI
LOG_MESSAGES Event log yang telah ditentukan sebelumnya telah terjadi. Respon oleh switch direkam di log.
Event Deteksi Perangkat LLDP (contoh)
Handset VOIP mengirim TLV LLDP ke switch
LLDP membuat (generates) event DEVICE_DETECT
Skrip dinamik pada PU dijalankan
Skrip mengkonfigurasi VLAN, QoS, ACL, PoE, dan TLV LLDP
Switch membalas dengan TLV LLDP yang khusus untuk perangkat tsb
Yang termasuk dalam TLV : VLAN, server call IP, QoS, lokasi E911, dll.
Event otentikasi 802.1x (contoh; diringkas)
User memasuki halaman login dan klien 802.1x memulai proses otentikasi
Switch mengirim data yg dimasukkan user ke server RADIUS
Server RADIUS memeriksa otentikasi user
'AccessAccept' mengirim (generates) event USER_AUTHENTICATED
Skrip dinamik pada PU dijalankan :
Skrip mengkonfigurasi port dengan QoS, ACL, dan VLAN jika diperlukan.
Event Timer (contoh)
Event Timer PU diset untuk berjalan antara pukul 20.00 s/d 08.00 setiap hari.
Pada jadwal yang telah ditentukan (20.00), event TIMER_AT dikirimkan (generated)
Skrip dinamik 'PoE off' pada profil PU dieksekusi
#atur variabel dan buat entri
create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME
#matikan PoE pada semua port
disable inline-power
Pada jadwal yang satunya (08.00) event TIMER_AT dikirimkan kembali
Skrip dinamik 'PoE on' pada profil PU dieksekusi
#atur variabel dan buat entri
create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME
#hidupkan PoE pada semua port
enable inline-power
B. KonfigurasiKonfigurasi PU :
Membuat dan mengkonfigurasi event timer PU (contoh)
Membuat skrip profil PU :
create upm profile <nama profil>
CLI akan memasuki mode editor
Masukkan perintah skrip dan akhiri dengan titik (.)
Membuat, mengkonfigurasi, dan mengikat (bind) timer PU pada profil :
create upm timer <nama timer>
configure upm timer <nama timer> at <bulan> <tanggal> <tahun> <jam> <menit> <detik> {every <detik>}
Verifikasi profil PU
show upm profile <nama profil>
Verifikasi timer PU
show upm timers
Menguji Event Timer PU
Menguji skrip profil PU :
run upm profile <nama profil>
CLI akan mengeksekusi sebagai event "USER_REQUEST"
Verifikasi eksekusi skrip profil PU
show upm history
show upm history exec-id <nomor>
Verifikasi eksekusi PU pada log
show log match upm
XI. 11. QoSSee also: 3. Konfigurasi Port & Link
A. Sekilas QoS QoS terdiri dari beberapa mekanisme dan protokol yang didesain untuk memfasilitasi
pengaturan delay dan bandwidth untuk data yang sensitif di jaringan yang sibuk.
Pada jaringan Ethernet, QoS digunakan untuk memberikan kualitas akses yang berbeda pada jaringan yang sama.
2 elemen utama QoS :
Prioritas (Priority)
Tipe trafik tertentu diberi prioritas diatas tipe trafik yang lain.
contoh : trafik suara (voice) biasanya lebih diprioritaskan daripada trafik data.
Diimplementasikan dengan menggunakan antrian hardware bertingkat (hierarchycal hardware queue)
Switch Extreme mendukung 8 antrian hardware per port egress, beberapa switch mendukung antrian hardware pada port ingress.
Kontrol Bandwidth (Bandwidth Control)
Tipe trafik tertentu diberikan garansi bandwidth dalam jumlah tertentu
contoh : trafik suara (voice) diatur agar mendapat alokasi bandwidth minimum 2 Mbps
Tipe trafik tertentu bandwidthnya dibatasi dalam jumlah tertentu
contoh : trafik web di beri jatah bandwidth maksimum 1 Mbps
Diimplementasikan dengan menggunakan mekanisme kebijakan trafik (traffic policing mechanism)
Prioritas QoS (disebut juga CoS)
2 cara switch dalam mengimplementasikan CoS :
Memberi tanda pada paket eksternal (External packet marking/Explicit QoS packet marking)
Perangkat eksternal memberi tanda (mark/classifies) pada paket dengan mengatur sejumlah bit tertentu pada paket. Ini dapat menjamin bahwa paket akan diprioritaskan sesuai dengan pengaturan yang telah ditentukan sebelumnya.
Perangkat eksternal ini memberi instruksi pada perangkat2 lain di jaringan untuk memberi kode pada header suatu paket sehingga paket tsb mendapat prioritas yang berbeda.
Switch yang menerima paket melakukan 1 diantara 2 hal berikut ini :
Switch meneliti klasifikasi paket dan menempatkan paket pada antrian sesuai prioritasnya
Switch mengklasifikasi ulang paket dan menempatkannya pada antrian yang berbeda
Kontrol internal dan penandaan paket
Ini berlaku pada switch yang tidak mendukung penggunaan explicit QoS.
Switch dikonfigurasi untuk menempatkan suatu trafik pada antrian tertentu.
Suatu trafik dapat diidentifikasi untuk mendapatkan perlakuan CoS tertentu berdasarkan pada :
Port fisik, MAC address, VLAN, IP address, nomor port TCP dan UDP, dll.
Disebut juga pengelompokan trafik/traffic grouping.
Switch dapat juga (optionally) memberi tanda/klasifikasi pada paket.
Cara seperti ini disebut juga implied QoS. Switch Extreme dapat mengkonversi implied QoS menjadi explicit QoS packet marking ketika suatu paket melewati port egress.
Antrian prioritas yang ketat (Strict priority queuing) : Normalnya, paket dengan prioritas tinggi selalu dikirim lebih dahulu sebelum paket dengan prioritas lebih rendah, tetapi jika paket yg prioritasnya lebih rendah ini sudah mulai dikirimkan, maka paket yang prioritasnya lebih tinggi harus menunggu hingga pengiriman selesai.
B. Standar-Standar CoS Standari QoS yang didukung oleh XOS :
IEEE 802.1D - 1998 (802.1p) Prioritas Paket (Packet Priority)
RFC 2474 - DiffServ - Pendahuluan (DiffServ Precedence)
RFC 2598 - DiffServ - Pengiriman yang dipercepat (DiffServ Expedited Forwarding/EF)
RFC 2597 - DiffServ - Pengiriman yang terjamin (DiffServ Assured Forwarding/AF)
RFC 2475 - DiffServ - Fungsi router core dan edge (DiffServ Core and Edge Function)
Profil QoS dan CoS :
CoS diset menggunakan profil QoS
Maksimal 8 profil QoS dapat dibuat.
2 profil telah ada secara default, yaitu QP1 dan QP8
Pada switch BD8K dan SummitX, kelas 802.1p dibawah 7 dan DSCP dibawah 56 dimasukkan kedalam QP1
Profil QoS
Profil QoS pada BD8K atau SX
Kelas Prioritas IEEE 802.1p
Sifat trafik kelas IEEE 802.1p
DSCP Antrian hardware switch
QP1 QP1 0 Belakang (Background)
0-7 0-Low
QP2 QP1 1 Usaha Terbaik (Best Effort)
8-15 1-LowHi
QP3 QP1 2 Usaha Sempurna
16-23 2-Normal
(Excellent Effort)
QP4 QP1 3 Aplikasi Kritis (Critical Application)
24-31 3-NormalHi
QP5 QP1 4 Video dengan latensi < 100ms
32-39 4-Medium
QP6 QP1 5 Video dengan latensi < 10ms
40-47 5- MediumHi
QP7 QP1 6 Kontrol Internet (Internetwork Control)
48-55 6-High
QP8 QP8 7 Kontrol Jaringan (Network Control)
56-63 7-HighHi
Dalam XOS hanya ada 2 profil QoS karena pada kebanyakan jaringan enterprise, trafik dapat dibedakan menjadi 3, yaitu background, video, dan kontrol. Mudahnya, data background dapat dimasukkan sebagai data dengan prioritas rendah (QP1), sementara video dan kontrol sebagai data dengan prioritas tinggi (QP8). Data kontrol sendiri (yg digunakan dalam EAPS) berjumlah sedikit dan tidak berpengaruh pada data lain yang berada dalam antrian yang sama.
Cara memverifikasi profil QoS :
show qosprofile
menampilkan profile QoS, bobot (weight), dan buffer.
Verifikasi pemetaan CoS :
show dot1p
menampilkan nilai prioritas 802.1p dan profil QoS yang dimasukkan (assigned QoS profile)
Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure dot1p type
show diffserv examination
menampilkan DSCP dan profil QoS yang dimasukkan (assigned QoS profile)
Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure diffserv examination code-point
Untuk memasukkan nilai CoS pada profile QoS non-default, profil QoS nya harus dibuat terlebih dahulu.
Mengkonfigurasi QoS berbasis port 802.1p untuk VoIP (dengan nilai yang direkomendasikan oleh IEEE untuk klasifikasi trafik bagi voice)
Membuat profile QoS VoIP :
create qosprofile <nama profil>
Agar 802.1p berfungsi, VLAN dan port harus ditag
Mengubah pemetaan 802.1p :
configure dot1p type <nilai prioritas 802.1p> <nama profil>
Nilai prioritas untuk suara (voice) adalah 5
pengujian 802.1p (dot1p examination) telah diaktifkan secara default.
Verifikasi pemetaan 802.1p
show dot1p
Konfigurasi port untuk CoS VoIP
configure port <nomor port> <nama profil>
Verifikasi pengaturan QoS
show ports <nomor port> information
XOS merekomendasikan penggunakan CoS5/QP6 atau CoS7/QP8, karena CoS6/QP7 digunakan untuk trafik kontrol stack.
Untuk setiap profil QoS yang dibuat dalam BD8K atau SX, pemetaan CoS yang default harus dibuat tersendiri untuk setiap kombinasi profil CoS/QoS.
Konfigurasi QoS berbasis port DiffServ untuk trafik server-server
Buat profil QoS
create qosprofile <nama profil>
Mengubah pemetaan DiffServ dan mengaktifkan pengujian DiffServ (DiffServ Examination)
configure diffserv examination code-point <dscp> <nama profil>
dscp untuk aplikasi kritif adalah 24
enable diffserv examination <nomor port>
diffserv examination tidak aktif secara default
Verifikasi pemetaan DiffServ :
show diffserv examination
Konfigurasi port untuk CoS :
configure ports <nomor port> <nama profil>
Verifikasi pengaturan QoS
show ports <nomor port> information
Konfigurasi diatas mengasumsikan bahwa server menggunakan aplikasi yang mendukung diffserv (diffserv-aware applications)
Konfigurasi QoS berbasis VLAN dengan Tanda (marking).
Membuat profile QoS VoIP :
create qosprofile <nama profil>
Agar 802.1p berfungsi, VLAN dan port harus ditag
Verifikasi pengaturan QoS VLAN
show vlan <nama vlan>
Mengaktifkan penandaan (marking) 802.1p
enable dot1p replacements ports <daftar port>
Verifikasi pengujian 802.1p (802.1p examination) dan pengaturan tanda (marking setting)
show port <daftar port> information detail
Penandaan paket (packet marking) dan penggantian (replacement) dapat dilakukan terpisah atau bersamaan. Untuk mengaktifkan diffserv packet marking dan replacement, masukkan perintah --> enable diffserv replacement ports <daftar port>
Penandaan paket dan penggantian, jika diaktifkan akan berjalan pada port egress. Secara default kedua fitur ini tidak aktif.
Verifikasi operasi profil QoS untuk CoS :
show ports <daftar port> qosmonitor
menampilkan daftar port egress, antrian profil QoS, dan paket yang dikirim.
secara default tabel yang tampil berjalan secara real time.
1. 802.1p
Adalah bagian dari tagging standar VLAN 802.1Q
Berisi 3 bit yang didefinisikan sbg kelas prioritas (8 level, 0-7)
2. DiffServ
Didefinisikan dalam RFC 2474 dan 2475
Berisi 6 bit untuk kelas prioritas dan 2 bit untuk Pemberitahuan Kemacetan Eksplisit (Explicit Congestion Notification/ECN)
XOS tidak memeriksa atau mengatur nilai ECN.
Nilai bit pada DiffServ disebut sebagai Titik Kode DiffServe (DiffServe Code Point/DSCP), dan merupakan 6 bit pertama dari kolom Tipe Service (Type of Service/ToS) pada paket IP. Nilainya antara 0-63.
XII. 12. Troubleshooting
A. Alat Diagnosa Sistem Fitur-fitur yang dapat digunakan untuk mendiagnosa kerusakan hardware pada sistem :
Power-On-Self-Test (POST) pada modul dan sistem
Berjalan secara otomatis saat sistem boot-up, dan memeriksa keadaan subsistem-subsistem CPU, ASIC, dan memori.
Jika POST mendeketsi kerusakan, maka POST akan mencatat kerusakan pada log sistem, dan LED Mgmt akan berwarna kuning.
Pemeriksa kondisi (Health checker) sistem
Secara proaktif mempolling dan melaporkan kondisi modul, backplane, proses-proses, power supply, power supply controller, dan kipas (fan).
Alat diagnosa sistem dan modul
Mendiagnosa sistem lebih mendalam daripada POST
Diagnosa normal meliputi :
Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs) dan tes loopback paket pada semua port.
Diagnosa lebih dalam (extended diagnostics) meliputi :
Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs), ASIC-memory, dan tes loopback pada semua port. Juga tes PoE yang lebih dalam, jika didukung.
Menjalankan alat diagnosa sistem :
Diagnosa normal :
run diagnostics normal [slot <nomor slot>]
nomor slot adalah nomor chassis, atau A atau B untuk MSM.
Akan memeriksa switch, slot, modul manajemen, dan port stack.
Memeriksa port stack, apakah berfungsi dengan baik atau tidak (sebelum dijadikan switch stacking). Ktk switch sudah berada pada mode stacking, perintah ini tidak dapat dijalankan lagi.
Diagnosa lebih dalam :
run diagnostics extended [slot <nomor slot>]
Melihat hasil diagnosa :
show diagnostics [slot <nomor slot>]
Jika tidak ada hasil, berarti perintah diagnosa belum pernah dijalankan.
Mengunggah hasil diagnosa ke server TFTP
tftp put <ip> vr <nama vr> summitDiagLog.txt
Hasil diagnosa secara default disimpan dalam file di memori internal
B. Alat-alat Pengumpul DataSee also: Alat-Alat Pengelolaan
Berguna untuk membantu proses troubleshooting.
Alat-alat tsb antara lain :
Logging
Log internal
Tersedia pilihan untuk melihat keseluruhan log, log dengan kategori tertentu, kejadian (event) sebelum atau sesudah waktu tertentu, dan yang sesuai dengan teks tertentu.
Perintah-perintah :
Melihat log internal
show log
Melihat entri log kritis (critical)
show log severity <kategori>
Melihat log yang menampilkan pesan 'link UP'
show log match "link UP"
Menampilkan komponen log
show log component <komponen event>
opsi monitoring lainnya adalah :
chronological : menampilkan log secara berurutan dari terlama-terbaru
configuration : menampilkan konfigurasi EMS, termasuk mode debug, target yang diset, dan filter
counters : Menampilkan jumlah kejadian (event) yang melibatkan komponen tertentu seperti AAA atau OSPF.
starting : menampilkan kejadian2 yang dimulai dari waktu yang ditentukan
ending : menampilkan kejadian2 yang berakhir pada waktu yang ditentukan
Menghapus log dari memori internal
clear log
Menghapus log dari NVRAM
clear log static
Log real-time
Berguna untuk menguji suatu protokol secara interaktif
Perintah-perintah :
Mengaktifkan logging perintah CLI
enable cli-command-logging
Sebetulnya tidak diperlukan untuk mengaktifkan log real time. Hanya digunakan untuk memastikan bahwa perintah yang dimasukkan tidak salah.
Mengaktifkan tampilan log pada sesi konsol (port serial)
enable log display
Mengaktifkan tampilan log pada sesi telnet atau ssh
enable log target session
Syslog untuk memeriksa semua kejadian (events) pada switch secara remote.
Log sistem disebut juga Event Monitoring System (EMS).
EMS menyimpan log dalam 2 tempat secara bersamaan, yaitu di buffer memori dan NVRAM, masing2 berdiri terpisah. Oleh karena itu, kita dapat memonitor event baru dengan menghapus log pada buffer memori tanpa menghapusnya dari sistem.
Selain 2 tempat diatas (buffer memori dapat menyimpan 200-20rb pesan log; log pada NVRAM tidak terhapus setelah reboot) , kita juga dapat mengatur agar log dapat dikirim ke 5 tempat (target) berikut (semua target telah diatur secara default, kecuali host syslog yang memerlukan konfigurasi ke server syslog) :
Konsol
Sesi aktif telnet/ssh
MSM/MM primer (untuk switch standalone) atau node (untuk stack)
MSM/MM backup (untuk switch standalone) atau node (untuk stack)
Host Syslog
Perintah 'show tech'
Menampilkan kumpulan dari 20+ perintah 'show xxx' , atau outputnya dapat juga disimpan kedalam suatu file.
show tech
show tech all logto file
Digunakan untuk memeriksa switch yang rusak (faulty switch).
Perintah-perintah :
Melihat file 'show tech'
ls internal-memory
Mengupload file 'show tech' ke server tftp
tftp put <alamat ip> vr <nama vr> internal-memory show_tech.log.gz
Menjalankan perintah show tech dapat menampilkan atau me-log banyak sekali informasi. Sebaiknya dilakukan dengan hati-hati, atau pada switch yang sudah diisolasi dari trafik pengguna.
C. Alat-alat pemeriksa sambungan/konektivitas ping
traceroute
nslookup
Mengkonfigurasi dns-client
configure dns-client add name-server <ip>
configure dns-client default-domain <nama domain>
Verifikasi dns-client
show dns-client
Resolve nama host
nslookup <nama host>
Untuk mengoperasikan nslookup, switch setidaknya harus terhubung dengan 1 server dns
top related