modul cli pelatihan bsn

I. GNS3

GNS3 merupakan kepanjangan dari Graphical Network Simulator yang merupakan

simulator jaringan berbasis grafis, memungkinkan kita untuk melakukan simulasi atau

percobaan pada jaringan bahkan jaringan yang rumit sekalipun. Dengan menggunakan GNS3

kita dapat merancang dan mengimplementasikan jaringan mendekati keadaan yang

sebenarnya, karena GNS3 bisa diintegrasikan ke jaringan fisik. Itu adalah salah satu alasan

mengapa GNS3 juga seringkali disebut sebagai emulator. Selama ini mungkin kita hanya

belajar bagaimana cara mensimulasikan sebuah jaringan kecil di dalam suatu software yang

kita kenal dengan Packet Tracer. Tentu Anda pasti sudah tidak asing lagi. Namun, pada

pelatihan kali ini kita akan menggunakan GNS3. Apakah bedanya dengan Packet Tracer?

Perlu Anda ketahui bahwa Packet Tracer hanyalah sebuah simlator yang artinya

adalah ia hanya mensimulasikan, sedangkan GNS3, GNS3 adalah program emulator yang

artinya dengan menggunakan software GNS3 maka kita sebenarnya sedang benar-benar

menggunakan IOS dari Cisco. GNS3 memungkinkan simulasi jaringan yang kompleks, karena

menggunakan operating system asli dari perangkat jaringan, seperti Cisco dan Juniper.

Sehingga kita berada di kondisi yang lebih nyata ketika mengkonfigurasi router secara

langsung, berbeda dengan Packet Tracer.

GNS3 merupakan software yang recommended untuk digunakan oleh network

engineer, network administrator, ataupun mereka yang ingin mempelajari materi sertifikasi

seperti Cisco CCNA, CCNP, CCIP dan CCIE, ataupun Juniper JNCIA, JNCIS, dan JNCIE.

Beberapa fitur yang dimiliki oleh GNS3 adalah :

Mendukung tingkat kerumitan topologi suatu desain jaringan

Mampu melakukan emulasi platform router Cisco IOS, IPS, PIX, dan JunOS (terlihat

pada daftar perangkat yang ada pada GNS3)

Mampu menghubungan jaringan simulasi ke dunia nyata

Mampu melakukan Capturing untuk melakukan traffic jaringan dengan

menggunakan software Wireshark

Mampu mensimulasikan ATM dan Frame Relay

II. Instalasi Software

Untuk mendapatkan software GNS3 pada PC atau laptop kita, terlebih dahulu kita

harus mendownload software GNS3 yang biasanya sudah dibundel dengan software

pendukungnya. Kemudian hal penting yang harus diketahui adalah IOS image. IOS image

yang digunakan tergantung dengan perangkat yang akan kita gunakan. Anda bisa men-

download software-software yang Anda butuhkan tersebut di www.gns3.net. Versi terbaru

dari GNS3 adalah 0.8.4. Namun pada pelatihan kali ini, kita akan menggunakan versi 0.8.3.

Untuk pengguna Windows, Anda dapat langsung melakukan instalasi dengan menjalankan

GNS3-0.8.3-win32-all-in-one.exe dan mengikuti langkah-langkah instalasi yang ditampilkan.

http://www.gns3.net/

III. Skema Jaringan

Gambar dibawah ini merupakan skema jaringan yang akan kita simulasikan pada GNS3.

Gambar 1 : Skema Topologi Jaringan

Kasus :

Gambar di atas merupakan skema jaringan yang berskala medium, memiliki 6 router

Cisco c7200. R1 terhubung langsung dengan C1 yang merupakan client dalam jaringan ini.

C1 adalah jaringan kecil yang memiliki 2 host. Dalam kasus ini, R6 adalah router yang

difungsikan juga sebagai server. R6 bisa menyediakan informasi-informasi yang dibutuhkan

oleh client nya. Namun tidak sembarang client yang bisa mengakses layanan yang diberikan

oleh R6. R6 membatasi client nya. Host 1 bisa menikmati layanan yang diberikan oleh R6,

namun tidak bisa melakukan ping, karena dikhawatirkan dapat membahayakan server yaitu

seperti melakukan proses flooding. Sementara host 2 adalah host yang dicurigai oleh server,

host 2 tidak bisa melakukan perintah apapun, karena R6 telah mem-“block”nya.

R1 adalah router yang berperan sebagai admin dalam jaringan ini. Untuk

memberikan kemudahan dalam melakukan fungsi-fungsi seorang network administrator,

maka router-router lain selain R1 pun diharapkan dapat me-remote R1. Hal ini dimaksudkan

untuk membuat jaringan yang lebih fleksibel. Sehingga bila terjadi sesuatu dengan R1, ke-

lima router lainnya dapat “menggantikan” posisinya. Dengan fasilitas seperti itu, R1 bukan

berarti mengabaikan keamanan yang ada pada jaringan. R1 membatasi router yang bisa

meremotenya dalam waktu bersamaan. R1 memfasilitasi 3 router saja untuk bisa melakukan

remote dalam waktu yang bersamaan.

Tidak hanya pembatasan hak remote, sistem keamanan yang diterapkan pada

jaringan ini antara lain adalah remote dengan menggunakan enkripsi, hak privilege setiap

user, access-list yang diterapkan untuk R6, AAA, dan juga VPN. Dalam pertukaran data,

jaringan ini menggunakan routing protocol OSPF. Apa yang dimaksud dengan remote

menggunakan enkripsi data? Apa yang dimaksud dengan privilege? Apa yang dimaksud

dengan access-list, AAA, dan VPN? Semua akan kita bahas secara praktek.

Penjabaran IP Address :

Dapat kita lihat pada gambar diatas, bahwa jaringan memiliki 7 subnet. Berikut

penjabaranmnya beserta dengan ilustrasi nama jaringan LAN nya.

1. Subnet 10.11.6.1/24

Terdiri dari 1 cloud (C1) yang terhubung langsung ke router (R1) dengan

menggunakan koneksi fastEthernet

C1 :

- IP Address : 10.11.6.21/24

- IP Gateway : 10.11.6.1

2. Subnet 201.222.222.0/30, yang merupakan subnet untuk link antara R1 melalui port

f0/1 dan R2 melalui port f0/0

IP port f0/1 R1 : 201.222.222.2/30

IP port f0/0 R2 : 201.222.222.1/30



IP port f0/1 R2 : 202.222.222.1/30

IP port f0/0 R3 : 202.222.222.2/30



IP port f1/0 R2 : 203.222.222.1/30

IP port f0/1 R4 : 203.222.222.2/30



IP port f0/1 R3 : 204.222.222.2/30

IP port f0/0 R5 : 204.222.222.1/30



IP port f0/0 R4 : 205.222.222.2/30

IP port f1/0 R5 : 205.222.222.1/30



IP port f0/1 R5 : 206.222.222.1/30

IP port f0/0 R6 : 206.222.222.2/30

IV. Konfigurasi Jaringan

Sebelum kita melakukan config pada router, hal pertama yang harus kita perhatikan

adalah mendownload Cisco IOS Image dari internet. Pada pelatihan kali ini, kita

menggunakan router Cisco seri c7200. Maka IOS Image yang kita download, harus

disesuaikan dengan pemilihan router kita. Cisco IOS Image adalah OS router Cisco yang

berwujud file dengan ekstensi .bin. Sebagai contoh, karena kita menggunakan router c7200,

maka IOS Image yang kita gunakan c7200-advipservicesk9-mz124-20.bin. Cara

menginputkan IOS Image ini kedalam GNS3 kita adalah melalui menu Edit IOS Images and

hypervisors Settings Browse Image file Save.

Gambar 2 : Menambahkan IOS Image

Gambar diatas adalah cara untuk menginputkan IOS Image ke dalam GNS3 kita.

Sekarang mari kita buka GNS 3 kita, dan mempraktekannya. Terlebih dahulu isi nama project

Anda centang “Save IOS startup configurations” OK. Pastikan kita tahu dimana project

directory kita. Perhatikan gambar dibawah ini, ini adalah tampilan awal ketika Anda

membuka GNS3 Anda.

Gambar 3 : New Project

Sekarang jendela GNS3 sudah terbuka dan kita bisa melihat workspace nya. Sebelum

memulai, ada 2 hal yang harus dipastikan. Yaitu Dynamips dan Qemu. Pastikan untuk

melakukan testing terhadap Dynamips dan Qemu sebelum kita memulai pekerjaan kita.

Apabila kita tidak mentestingnya terlebih dahulu, maka GNS3 kita akan berpeluang besar

untuk mengeluarkan pesan error yaitu “Connection Refused”, yang menyebabkan kita harus

menutup GNS3 kita dan membukanya lagi sementara konfigurasi di dalam devicenya pun

dipastikan tidak tersimpan.

Gambar 4 : Testing Dynamips

Gambar 5 : Testing Qemu

Drag 6 router c7200 dan 1 cloud dengan posisi topologi seperti ini.

Gambar 6 : topologi tanpa link

Sekarang kita sudah men-drag 6 router dan 1 cloud seperti pada gambar diatas.

Langkah selanjutnya, bagaimana caranya menghubungan ke-6 router tersebut. Pada menu

bar yang ada di bagian atas jendela GNS3, klik Add a link klik Manual. Kemudian arahkan

panah berbentuk tanda “+” ke setiap router, dan hubungkan setiap router tersebut. Setelah

selesai menyetting link antar router, langkah selanjutnya adalah setting link untuk

menyambungkan R1 dengan C1. Kita akan menggunakan Loopback Adapter sebagai IP

Address client. Lakukan settingan dibawah ini pada C1. Klik Start Control Panel

Network & Internet Network & Sharing Center Change Adapter Settings Klik LAN

yang merupakan Microsoft Loopback Adapter

Gambar 7 : Adapter Settings

Setiap laptop atau PC pasti besar kemungkinan akan berbeda tentang Local Area

Connection yang mana yang merupakan Microsoft Loopback Adapter. Disini yang menjadi

Microsoft Loopback Adapter adalah LAN 6. Pada Internet Protocol 4 (TCP/Ipv4), klik

Properties. Klik “Use the following IP address” seperti gambar dibawah ini dan isikan IP nya.

Gambar 8 : Setting IP Loopback

Kemudian OK. Setelah selesai setting Loopback Adapter, langkah selanjutnya adalah

menginputkan NIO Ethernet nya. Cari LAN6 dan klik Add. Kemudian OK. Sekarang kita sudah

bisa menyambungkan C1 dengan R1.

Gambar 9 : Memasang NIO Ethernet

Tampilan topologi akan terlihat seperti gambar dibawah ini. Tampak pada gambar

bahwa link berwarna merah, artinya router belum hidup dan link nya belum berfungsi.

Untuk menghidupkannya, klik tombol Start yang ada di menu bar. Secara otomatis semua

node akan menyala dan berwarna hijau. Namun jika Anda ingin menghidupkan router satu

per-satu, Anda bisa melakukan klik kanan pada router Start. Kemudian jika Anda

menggunakan laptop dalam mengikuti pelatihan ini, jangan lupa untuk melakukan klik kanan

pada router Idle PC. Ini dikarenakan GNS3 berfungsi sebagai emulator yang memakan

RAM cukup besar. Idle PC dilakukan untuk menghindari laptop dari lagged.

Gambar 10 : topologi dalam keadaan router mati

Setelah semua langkah-langkah diatas diikuti, sekarang kita akan melakukan

konfigurasi pada dengan setiap router. Konfigurasi awal adalah mengenalkan IP Address dan

melakukan pe-routing-an dengan menggunakan routing protocol OSPF.

Konfigurasi pada Router 1 untuk interface fastEthernet 0/0 :

Setelah selesai memasang IP Address pada setiap interface pada router, langkah

selanjutnya adalah routing. Bagaimana cara melakukan routing OSPF? Sangat mudah.

Konfigurasi yang harus dilakukan juga tidak panjang dan rumit. Cukup mengenalkan routing

OSPF sebagai routing protocol yang akan kita gunakan, kemudian kenalkan network yang

ada persis di samping router. Misalnya, terlihat pada skema jaringan bahwa R1 memiliki 2

network yang terhubung langsung di sampingnya. Kemudian R2 memiliki 3 network yang

terhubung langsung di sampingnya. Dan R6, memiliki 1 network yang terhubung langsung di

sampingnya. Berikut ini adalah contoh config OSPF di R1. Ini adalah tampilan ketika kita

ingin menampilkan konfigurasi kita. Namun pada saat mengkonfigurasikan langsung, kita

tidak perlu mengetikkan perintah log-adjacency-changes.

Untuk mengonfigurasi OSPF routing, kita menggunakan perintah router ospf 1 dan

perintah network. Perintah router ospf 1 berperan untuk mengaktifkan protokol OSPF pada

router, sedang perintah network mengatakan pada protokol routing tentang network mana

yang akan di-advertise.

Konfigurasi OSPF Routing pada R1 Router1(config)#router ospf 1

Router1(config-router)#network 10.11.6.0 0.0.0.255 area 0


Konfigurasi OSPF Routing pada R2 Router2(config)#router ospf 1




Konfigurasi OSPF Routing pada R3

Router3(config)#router ospf 1















Sekarang Anda sudah melakukan konfigurasi OSPF routing. Cobalah melakukan ping

dari R1 ke R6, apakah berhasil? Jangan lupa, setiap kali kita melakukan konfigurasi, ingatlah

untuk selalu menuliskan perintah copy run start. Perintah tersebut berfungsi agar

konfigurasi yang sudah Anda lakukan dapat disimpan di NVRAM.

SSH (Secure Shell) Konfigurasi SSH pada R1 :

Remote R1 dari R6 menggunakan SSH :

Setelah Anda melakukan konfigurasi tersebut, lihat pada Wireshark. Apa perbedaannya jika

Anda melakukan remote dengan telnet?

PRIVILEGE LEVEL

ACCESS-LIST Untuk kebutuhan filtering, Cisco IOS menyediakan access-list yang dapat berguna

bagi para administrator untuk melakuan filtering, controling, dan manajemen paket-paket

yang ‘hilir-mudik’ dalam jaringan. Access-lists berperan untuk mengizinkan atau tidaknya

paket-paket mana saja yang boleh masuk kedalam network internal, kemudian mana saja

paket-paket yang boleh dilepas ke network eksternal, dan address-address mana saja yang

diizinkan melakukan koneksi dengan address-address spesifik, serta service mana saja yang

diperbolehkan untuk diakses dan mana yang tidak.

Berdasarkan skema jaringan dan kasus yang ada, printscreen dibawah ini merupakan

konfigurasi access-list. Terlihat dibawah bahwa terdapat command access-list 100 permit

tcp host 10.11.6.20 host 206.222.222.2 eq 80 yang artinya client dengan ip 10.11.6.20

diperbolehkan untuk dapat mengakses layanan HTTP yang disediakan oleh ip 206.222.222.2

dengan menggunakan protocol tcp. Kemudian terdapat command access-list 100 deny icmp

host 10.11.6.20 host 206.222.222.2 yang artinya client dengan ip 10.11.6.20 tidak diizinkan

untuk melakukan ping ke 206.222.222.2, sehingga ketika client mencoba ping melalui cmd

Windows, ping tidak akan berhasil dan mengeluarkan host-unreachable.

Setelah itu dapat dilihat terdapat perintah access-list 100 deny ip any any yang

artinya selain perintah yang telah didefinisikan sebelumnya, maka akses yang lain akan di-

blok semua jika kondisi bersesuaian.

Setelah melakukan konfigurasi access-list di R1, langkah selanjutnya adalah ip http

server di R6. Mengapa? Karena sesuai dengan kasus, kita akan memposisikan R6 sebagai

server penyedia informasi yang bisa diakses oleh client. Berikut adalah settingan

konfigurasinya.

Setelah selesai melakukan konfigurasi, client bisa langsung mengakses alamat ip address

server. Sebelumnya, client harus melakukan login, terdapat proses authentikasi. Username dan

password yang harus Anda inputkan adalah username dan password yang sudah Anda definisikan

sebelumnya di konfigurasi access-list, seperti dibawah ini.

Jika Anda berhasil, tampilan yang akan muncul seperti dibawah ini.

Akses HTTP sudah berhasil. Sekarang coba Anda melakukan ping ke ip R6 dari cmd

Windows. Apa yang terjadi? Coba bandingkan dengan melakukan ping ke ip R4, apa yang

terjadi? Coba bandingkan lagi dengan mengubah perintah access-list 100 deny ip any any

dengan access-list 100 permit ip any any, apa yang terjadi? Bagaimana perubahannya?

AAA (Authentication, Authorization, Accounting) Printscreen dibawah merupakan konfigurasi AAA di R1.

Cobalah untuk mengetes konfigurasi AAA yang telah Anda setting di R6 dengan

menggunakan telnet. Masukkan username dan password yang Anda set menjadi admin.

Sekarang lihat hasil AAA di R1.

Mengimplementasikan VPN Over IPSec di CLI

R1 admin>enable

admin#conf t

admin(config)#access-list 100 permit ip host 10.11.6.20 host 206.222.222.2

admin(config)#crypto isakmp enable

admin(config)#crypto isakmp policy 1

admin(config-isakmp)#encryption aes 256

admin(config-isakmp)#hash sha

admin(config-isakmp)#authentication pre-share

admin(config-isakmp)#group 5

admin(config-isakmp)#exit

admin(config)#crypto isakmp key 6 akses address 206.222.222.2

admin(config)#crypto ipsec transform-set pelatihan

admin(config)#crypto ipsec transform-set pelatihan esp-aes esp-sha-hmac

admin(config)#crypto map pelatihan 1 ipsec-isakmp

admin(config-crypto-map)#set peer 206.222.222.2

admin(config-crypto-map)#match address 100

admin(config-crypto-map)#set transform-set pelatihan

admin(config-crypto-map)#exit

admin(config)#interface fa0/1

admin(config-if)#crypto map pelatihan

R2 admin>enable

admin#conf t

admin(config)#access-list 100 permit ip host 206.222.222.2 host 10.11.6.20

admin(config)#crypto isakmp enable

admin(config)#crypto isakmp policy 1

admin(config-isakmp)#encryption aes 256

admin(config-isakmp)#hash sha

admin(config-isakmp)#authentication pre-share

admin(config-isakmp)#group 5

admin(config-isakmp)#exit

admin(config)#crypto isakmp key 6 akses address 201.222.222.2

admin(config)#crypto ipsec transform-set pelatihan

admin(config)#crypto ipsec transform-set pelatihan esp-aes esp-sha-hmac

admin(config)#crypto map pelatihan 1 ipsec-isakmp

admin(config-crypto-map)#set peer 201.222.222.2

admin(config-crypto-map)#match address 100

admin(config-crypto-map)#set transform-set pelatihan

admin(config-crypto-map)#exit

admin(config)#interface fa0/1

admin(config-if)#crypto map pelatihan

Sekarang cobalah untuk mem-ping host 10.11.6.20 dari server atau R6. Terlebih dahulu start

capturing pada link antara R6 dan R5. Buka Wireshark Anda, kemudian lihatlah ketika Anda

melakukan ping, protocol akan berubah dari ICMP menjadi ISAKMP kemudian ESP.

NTP Server dan Syslog Server

Gambar diatas adalah topologi untuk skema jaringan yang akan Anda setting NTP Server dan

Syslog.

Langkah-langkah pengerjaan :

1. Buka software Packet Tracer, buatlah topologi seperti diatas. Router yang digunakan adalah

Router seri 2811.

2. Pasang modul pada router. Klik dua kali pada router, matikan routernya, drag modul. Pilih

modul yang memiliki 2 fastEthernet. Lakukan hal yang sama untuk kedua modul tersebut.

3. Nyalakan kembali modulnya. Tunggu sampai proses booting selesai, kemudian setting IP

menggunakan GUI, pastikan IP nya sesuai dengan interface yang tertera.

4. Jangan lupa untuk men-ceklist Port Status ketika Anda melakukan setting IP.

5. Sekarang kita beranjak ke NTP Server. Buka server Anda, pada Config, pastikan NTP dan

Syslog dalam keadaan On.

Setting NTP pada Router0 dan Router1

Router#conf t

Router(config)#ntp server 192.168.2.2

Router(config)#exit

Router#show clock

Setting Syslog pada Router0 dan Router1

Router(config)#logging 192.168.2.2

Router(config)#logging trap debugging

Router(config)#logging on

6. Setelah Anda selesai melakukan konfigurasi tersebut, cara pengecekan NTP adalah dengan

mengecek dengan command show clock. Kemudian jam di network tersebut akan muncul.

Jam tersebut sama dengan jam ada pada Server Anda.

7. Pengecekan Syslog dilakukan dengan membuka server Anda, Config, kemudian Syslog. Lihat

pada tabel. Perubahan apakah yang terjadi? Itu merupakan pesan-pesan yang disampaikan

oleh Router yang berguna untuk proses audit dan manajemen jaringan. Message itu adalah

pesan log yang dapat berisikan error-error sistem, login-login yang gagal, perubahan yang

terjadi pada status interface dan status network, dan pelanggaran yang terjadi pada security

router.

modul cli pelatihan bsn

Documents