Upload
smart-brain
View
145
Download
0
Embed Size (px)
DESCRIPTION
Tugas
Citation preview
LAPORAN KEGIATAN ANALISA DAN OPTIMALISASI LAYANAN
VIRTUAL PRIVATE NETWORK / VPN JAWABAN SOAL UJIAN AKHIR SEMESTER
Dosen Pengampu : Nur Widiyasono, S.Kom., CEH, CHFI.
Nama : Nandang Gozali Nursambas N.P.M : 12060059
PROGRAM STUDI TEKNIK INFORMATIKA KOMPUTER SEKOLAH TINGGI TEKNOLOGI YBSI
YAYASAN ISLAM BOJONG Tasikmalaya@2014
I. Latar Belakang
a. Maksud dan Tujuan Dengan semakin berkembangnya dunia Teknologi dan Informasi di
seluruh dunia, serta pemanfaatannya dalam kehidupan sehari-hari mendorong semua orang untuk semakin memperbanyak pengetahuan dalam bidang Teknologi Informasi.
Selain itu, penggunaan konsep Jaringan Komputer dalam pemanfaatan dunia Teknologi Informasi semakin banyak di implementasikan di berbagai sector kehidupan.
Oleh karena itu, perluasan ilmu pengetahuan dibidang Jaringan computer mutlak diperlukan di kalangan orang-orang IT. Pasalnya seluruh kegiatan baik pendidikan, pemerintahan, perusahaan maupun bidang lainnya mulai melirik Sistem Jaringan Komputer untuk memudahkan pertukaran informasi.
Adapun maksud dan tujuan dibuatnya laporan ini adalah untuk memperdalam ilmu pengetahuan tentang Jaringan Komputer, khususnya materi tentang VPN (Virtual Private Network) serta implementasi dan pemanfaatannya dalam kehidupan sehari-hari seperti sebuah perusahaan yang memiliki beberapa kantor cabang di beberapa kota atau wilayah yang berbeda, dimana system computer yang berada di kantor pusat ingin dapat terhubung dengan kantor-kantor cabangnya melewati public network. Sehingga setiap kantor cabang memerlukan eknripdi untuk keamanan transfer data melalui public network.
Selain itu, pembuatan laporan ini juga bertujuan untuk memberikan pengetahuan kepada rekan-rekan yang ingin mengetahui lebih jauh ilmu pengetahuan tentang Sistem Jaringan Komputer yang membutuhkan, meskipun dalam laporan ini masih memiliki banyak kekurangan. Disamping itu, pembuatan laporan ini ditujukan untuk memenuhi salah satu tugas matakuliah Jaringan Komputer.
b. Manfaat VPN
Pengunaan Jaringan Komputer pada sebuah perusahaan seringkali terkendala dengan adanya keterbatasan media transmisi yang biasanya berupa kabel, media transmisi yang menggunakan kabel terbatas dengan ketersediaan jarak untuk kabel UTP dan STP. Untuk komunikasi jarak jauh biasanya menggunakan media serat optic atau gelombang radio. Adapun untuk komunikasi menggunakan koneksi internet (clouds) menggunakan jaringan public biasanya sangat riskan dengan gangguan external seperti pencurian data dari internet dan sebagainya.
Untuk dapat menghubungkan beberapa kantor cabang yang letaknya berjauhan, digunakanlah sebuah aplikasi server yang dapat menjangkau remote network yang berada dibelakang jaringan public dengan membuat sebuah terowongan melewati jaringan public dengan enkripsi data untuk menjangkau remote network tujuan, sehingga dapat meminimalisir pencurian data oleh pihak luar. Teknik tersebut bersama IPSec dapat digunakan untuk membuat jaringan pribadi (private network) dibelakang jaringan public (public network) yang disebut dengan VPN (Virtual Private Network).
II. Landasan Teori
a. NAT (Network Address Translation) NAT (Network Address Translation) merupakan proses perubahan IP
Address, baik IP Address pengirim maupun IP Address tujuan. NAT terbagi dua, yaitu:
Source NAT (SNAT), jika yang dilakukan adalah perubahan pada field IP Address pengirim dari sebuah packet.
Destination NAT (DNAT), jika yang dilakukan adalah perubahan field IP Address tujuan dari sebuah packet.
Mari kita amati gambar dibawah ini:
Pada Gambar diatas, R1 melakukan routing namun diikuti NAT. Jika R1 melakukan NAT, maka R1 akan merubah field IP Address pengirim dari packet yang diterimanya dari Host A. Dapat dilihat pada packet request Host A yang keluar dari R1. Packet tersebut tidak memiliki field IP Address pengirim yaitu 192.168.10.2, tetapi R1 merubahnya (mentranslasikan) menjadi IP Address 192.168.20.1. Hal ini menyebabkan Host B mengira bahwa packet yang diterimanya berasal dari R1 dengan IP Address 192.168.20.1, padahal pengirim sebenarnya adalah Host A dengan IP Address 192.168.10.2. Begitupun sebaliknya jika packet data dikirim dari Host B ke Host A, Host A akan selalu berasumsi bahwa pengirimnya adalah R1, karena R1 membuat translasi ip.
Destination IP 192.168.20.2
Source IP 192.168.20.1
Data Destination IP 192.168.20.2
Source IP 192.168.10.2
Data
Destination IP 192.168.20.1
Source IP 192.168.20.2
Data Destination IP 192.168.10.2
Source IP 192.168.20.2
Data
Network Address Translation
Network Address Translation
Selanjutnya muncul sebuah pertanyaan, kapan kita menggunakan NAT pada router atau hanya routing saja.? NAT hanya diterapkan pada router yang menjadi batas antara jaringan private dengan jaringan public (internet). NAT pada router ini ditunjukkan untuk menyembunyikan IP Address private dari jaringan public. Diusahakan jangan menerapkan NAT pada jaringan private, karena hal tersebut dapat menyulitkan administrator network untuk memonitor host yang berada di belakang router tersebut, kecuali memang menghendaki untuk menyembunyikan host tersebut.
b. VPN Inter-VLAN Routing Virtual Local Area Network (VLAN) adalah metode layer 2 yang
memungkinkan beberapa Virtual LAN pada antarmuka fisik tunggal (Ethernet, wireless, dll). Sehingga memungkinkan untuk memisahkan LAN secara efisien. Perlu diperhatikan bahwa VLAN bukanlah tunneling protocol penuh, untuk itu VLAN memerlukan bantuan VPN (Virtual Private Network) untuk dapat membuat tunneling secara penuh.
Protocol yang paling umum digunakan untuk VLAN adalah standard IEEE 802.1 Q. Protocol ini adalah protocol enkapsulasi standard yang mendefinisikan bagaimana empat byte VLAN identifier ke header Ethernet.
Preamble Destination MAC Address
Source MAC Address
Type PayLoad CRC/FCS
Preamble Destination
MAC Address
Source MAC Address
802.1Q Header (VLAN ID)
PayLoad CRC/FCS
Pada setiap VLAN diberlakukan pemakaian subnet terpisah, itu berarti bahwa secara default host dalam VLAN tersebut tidak dapat berkomunikasi dengan host anggota VLAN lain meskipun host tersebut terhubung dengan sebuah switch yang sama. Jadi jika ingin berkomunikasi antar VLAN kita membutuhkan router yang selanjutnya bisa disebut dengan Inter-VLAN Routing, yaitu routing yang digunakan untuk interface antar VLAN. RouterOS mendukung hingga 4095 interface VLAN, masing-masing dengan ID VLAN yang bersifat unik per interface.
Ketika jumlah VLAN semakin membesar yaitu lebih dari satu switch, maka link antar switch harus dibuat trunk (batang), dimana paket dari setiap VLAN akan ditandai muntuk menunjukkan identitas masing-masing VLAN. Trunking hamper seperti link point-to-point.
Selanjutnya, untuk dapat menghubungkan beberapa VLAN yang letak wilayahnya berjauhan dan berada dibelakang public network, dibuatlah tunneling (terowongan) untuk menghubungkan dua buah VLAN dengan latar belakang network yang berbeda menggunakan VPN (Virtual Private Network). Inilah yang disebut dengan VPN Inter-VLAN Routing, yaitu teknik untuk menghubungkan beberapa VLAN dibelakang router dengan membuat terowongan untuk membuat jaringan private dibelakang jaringan public.
III. Pembahasan dan Hasil a. Konfigurasi Router dan Switch
Sebelum melakukan konfigurasi Router dan switch, terlebih dahulu kita harus membuat desain topologi jaringan yang akan dibangun. Dalam hal ini penulis menggunakan network simulator Cisco Packet Tracert untuk membuat desain topologi jaringan, adapun jaringan yang akan dibangun adalah seperti berikut:
Dari topologi jaringan diatas, kita akan membangun sebuah jaringan dengan 3(tiga) buah Router masing-masing R1, R2 dan R3 dengan dua buah jaringan local atau VLAN. Dimana kita akan membuat sebuah tunneling atau terowongan untuk menghubungkan R1 dan R3 dengan Virtual Private Network (VPN) menggunakan protocol IpSec.
i. Konfigurasi Router Router yang digunakan dalam simulasi ini adalah Router 2091 dengan IOS version 15. Yang memiliki 2 buah port GigabitEthernet dan 2 buah port Serial.
1. Konfigurasi IP Address a. Konfigurasi IP Address R1
Konfigurasi IP Address dengan port GigabitEthernet0/0 yang menuju ke switch:
Keterangan: en (enable) =Untuk masuk sebagai Privileged-
Mode conf t (configure terminal)= Untuk masuk pada
global configuration int Fa0/0 (interface FastEthernet0/0)=
Memilih interface yang akan dikonfigurasi ip addr (ip address)= Memberi IP Address
pada interface no sh (no shutdown)= Mengaktifkan interface write = Menyimpan konfigurasi
Langkah selanjutnya mengkonfigurasi interface Serial0/0/0 pada R1:
b. Konfigurasi IP Address di R2
Konfigurasi IP Address untuk port Serial0/0/0 yang menuju ke R1:
Selanjutnya kita konfigurasi port Serial0/0/1 yang menuju R3:
c. Konfigurasi IP Address di R3
Konfigurasi IP Address pada port Serial0/0/0 yang menuju ke R2:
Selanjutnya konfigurasi IP Address pada port GigabitEthernet0/0 yang menuju ke switch 2:
Sehingga hasil setelah dikonfigurasi IP Address sebagai berikut:
2. Konfigurasi Routing Untuk konfigurasi routing, penulis menggunakan routing Dynamic dengan routing protocol RIP
Konfigurasi Routing di R1 dilakukan dengan menambahkan network yang dimilikinya untuk nantinya diperkenalkan ke R2 dan R3. Selanjutnya konfigurasi routing yang dilakukan di R2 hanya menambahkan 1 buah network karena network 10.1.1.0 dan 10.2.2.0 merupakan summarize network (network yang dirangkum) menjadi sebuah network.
Terakhir, konfigurasi di R3 menambahkan dua buah network, yaitu 1.0.0.0 dan 192.168.3.0.
Dengan routing Dynamic, maka router akan secara otomatis bertukar informasi mengenai table routing yang mereka miliki, sehingga menghasilkan table routing di setiap router masing-masing sebagai berikut, guanakan perintah #show ip route = untuk menampilkan table routing: Tabel Routing di R1:
Tabel Routing di R2:
Tabel Routing di R3:
Sampai pada tahapan ini, semua network dapat saling terhubung satu sama lain. Jika diuji menggunakan protocol ICM dari PC Server ke PC Client maka hasilnya sebagai berikut:
Atau jika menggunakan tool tracert, hasilnya sebagai berikut:
3. Konfigurasi Tunneling dari R1 ke R3 melewati R2
Tabel Perencanaan IP: Device Interface IP Address Subnetmask Default GW
R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A
R2 S0/0/0 10.1.1.1 255.255.255.252 N/A
S0/0/1 10.2.2.1 255.255.255.252 N/A
R3 G0/0 192.168.3.1 255.255.255.0 N/A S0/0/0 10.2.2.1 255.255.255.252 N/A
PC Server
Fa0/0 192.168.1.2 255.255.255.0 192.168.1.1
PC Client
Fa0/0 192.168.3.2 255.255.255.0 192.168.3.1
Tabel Key Management, Enkripsi dan Authentikasi:
Parameter R1 R3 Key Distribution method
Manual/ISAKMP ISAKMP ISAKMP
Algorithma Enkripsi
DES, 3DES atau AES
AES AES
Algorimha Hash
MD5 atau SHA-1 SHA-1 SHA-1
Metode Authentikasi
Pre-Shared keys atau RSA
Pre-Shared key
Pre-shared key
Key Exchange
DH, group 1, 2 atau 5
Group 2 Group2
IKE SA Lifetime
86400 s atau kurang
86400 86400
ISAKMP KEY hindasah hindasah Parameter untuk IPSec Phase 2 Policy:
Parameter R1 R3 Transform set mytrans mytrans Peer Hostname R3 R1 Peer Address 10.2.2.2 10.1.1.2 Network yang akan di enkripsi
192.168.1.0/24 192.168.3.0/24
Nama Crypto Map
mymap mymap
SA Establishment
ipsec-isakmp ipsec-isakmp
Nama Group dan Key untuk AAA Server:
Parameter R1 R3 Group Name sttybsi sttybsi Key/ secret Sttybsi sttybsi
Pembuatan Tunneling utuk R1 dan R3 akan dilakukan dengan konfigurasi sebagai berikut:
a) Konfigurasi di R1, langkah pertama adalah mengaktifkan Feature Keamanan di Router. Yaitu mengaktifkan security technology package license dengan cara:
Cek apakah security technology package telah aktif atau belum dengan mengetikan show version pada mode privilege.
Jika belum aktif, aktifkan dengan perintah dibawah ini:
R1(config)# license boot module c9200 technology-package securityk9 R1(config)# end R1#copy running-config startup-config R1)#reload
Cek kembali apakah sudah aktif atau belum?
Lakukan juga aktivasi security technology package license pada R3.
Konfigurasi IPSec pada R1 Konifurasi ACL 110 untuk mengidentifikasti traffic dari LAN R1 pada LAN R3 yang berkepentingan. Selain dari pada itu, traffic tidak akan di enkripsi.
Lakukan juga Hal tersebut pada R3.
Konfigurasi ISAKMP Phase 1 properties pada R1 Konfigurasi Crypto ISAKMP policy 10 pada R1 dengan shared crypto key hindasah.
Konfigurasi ISAKMP Phase 2 properties pada
R1 Buat Transform set mytrans untuk menggunakan esp-3des dan esp-sha-hmac, kemudian buat crypto map mymap. Gunakan sequence number 10 dan identifikasikan sebagai ipsec-isakmp.
Konfigurasi aaa model dan Crypto Map pada
Outgoing Interface
Konfigurasi ISAKMP properties Phase 1 di R3
Konfigurasi ISAKMP properties Phase 2 di R3
Verifikasi Untuk melihat paket yang di enkapsulasi dan di enkripsi, tuliskan perintah show crypto ipsec sa :
Lakukan test ping dari PC Server ke PC Client:
Cek kembali paket yang di enkapsulasi di R1 dengan perintah show crypto ipsec sa. Maka hasilnya seperti gambar di bawah, berarti konfigurasi tunneling R1 dan R3 VPN dengan IpSec sudah berhasil.
ii. Konfigurasi Switch
b. Konfigurasi PC/ Laptop Konfigurasi IP Address untuk PC Server
Konfigurasi IP Address pada PC Client:
Konfigurasi VPN di PC Client:
Jika koneksi berhasil, maka akan tampil pesean seperti berikut:
c. Konfigurasi Mail dan DNS Konfigurasi DNS Server :
Klik Tab Config pada PC Server kemudian klik Service DNS Jalankan service dengan memilih radio button On Pada field Resource Records Name isi dengan Domain yang
dikehendaki misalnya sttybsi.ac.id Pada field Type pilih A Record untuk translasi domain ke IP Address
atau sebaliknya. Pada field Address, isi dengan alamat IP yang memiliki service DNS
Server kemudian klik tombol Add.
Konfigurasi Mail Server:
Klik Tab Config pada PC Server, kemudian klik Service Email Aktifkan service SMPT dan POP3 dengan meng klik radio
button on pada kedua service. Pada field domain, isi dengan domain yang akan digunakan
untuk mail server, karena sebelumnya kita membuat domain sttybsi ac.id maka kita isi field domain dengan sttybsi.ac.id kemudian klik tombol set.
Tambahkan daftar user yang akan dijadikan user untuk berkirim email antar user, jangan lupa memberi password kemudian tekan tombol plus (+) untuk menambahkan user baru.
d. Konfigurasi FTP Service
Klik Tab config pada PC Server, kemudian klik service FTP Pastikan service nya aktif dengan meng klik radio button On. Buat user dan untuk koneksi ftp Kemudian tentukan type hak access untuk user.
e. Verifikasi Konfigurasi
i. Router Verifikasi dari R1 ke PC Server
Verifikasi dengan perintah ping
Verifikasi dengan perintah Traceroute
Verifikais dari R1 ke R2 dan sebaliknya Verifikasi dengan perintah ping
Verifikasi dengan perintah traceroute
Verifikasi dari R1 ke R3 Verifikasi dengan perintah ping
Verifikasi dengan perintah traceroute
ii. PC Verifikasi dari PC Server ke PC Router 1, 2 dan 3
Verifikasi dengan perintah ping
Verifikasi dengan perintah tarcert
Perivikasi dari PC Server ke PC Client dan sebaliknya Verifikasi dengan perintah ping
Verifikasi dengan perintah tracert
iii. Mail dan DNS Verifikasi DNS Server dari PC Client
Verifikasi dengan perintah ping
Verifikasi dengan nslookup
Verifikasi dengan web browser
Verifikasi mail server dari client Konfigurasi mail client
Tes penerimaan email dengan protocol POP3
IV. Kesimpulan VPN (Virtual Vrivate Network) merupakan sebuah koneksi yang menghubungkan dua buah remote network melalui public network. Koneksi tersebut dapat merupakan koneksi Layer 2 maupun Layer 3 dalam model OSI Layer. Maka dari itu, VPN dapat di klasifikasikan menjadi Layer 2 VPN dan Layer 3 VPN. Pada dasarnya Layer 2 VPN dan Layer 3 VPN adalah sama, yaitu menambahkan header pengiriman dalam packet data yang menuju ke remote network tujuan. Contoh dari Layer 2 VPN diantaranya ATM (Asinchronous Transfer Mode) dan Frame Relay. Sedangkan untuk Layer 3 VPN contohnya adalah L2TP, MPLS dan IPSec. IPSec diciptakan oleh kelompok kerja IPsec dibawah IETF. Arsitektur IPSec VPN didefinisikan oleh RFC2401, yaitu:
a. Security Protocol Terdiri dari Authentication Header (AD) dan Encapsulatin Security Payload (ESP)
b. Key Management Terdiri dari ISAKMP, IKE, SKEME
c. Algorithm Terdiri Enkripsi dan Authentikasi
VLAN (Virtual LAN) membagi broadcast domain pada LAN Environment. Setiap Host dalam sebuah VLAN ingin berkomunikasi dengan Host yang berada pada VLAN lain, maka traffic harus di routing antar keduanya. Inilah yang dinamakan inter-VLAN routing
V. Referensi
Building Multilayer Switched Networks, Cisco Networking Academy Program Balchunas, Aaron. Cisco CCNP Routing Stydy Guide :2012 CCNA Security. Securing The Router for Administrative Access, Cisco Networking Academy. Cisco System: 2012 Towidjojo, Rendra. Konsep dan Implementasi Routing dengan Router Mikrotik, Jasakom Yugianto, Gin-Gin. Router Teknologi, Konsep, Konfigurasi dan Troubleshooting, Inromatika; Bandung :2012