Konfigurasi Juniper Untuk Membatasi Akses Internet

Sekilas Tentang Juniper

Juniper/Netscreen merupakan hardware jaringan yang memiliki banyak fungsi, namun fungsi utamanya adalah sebagai gateway dan firewall. Produk Juniper terdiri atas keluarga router T-series, M-series, E-series, MX-series, dan J-series, Switch ethernet EX-series, perangkat optimasi WAN WX-series, dan perangkat Session & Resource Control (SRC).

Konfigurasi Juniper Untuk Membatasi Akses Internet

Kali ini kita akan membahas konfigurasi Juniper untuk membatasi akses internet dimana hanya User/IP tertentu saja yang ada pada suatu jaringan yang dapat mengakses internet. Berikut langkah-langkah yang diperlukan untuk Konfigurasi Juniper sebagai firewall untuk membatasi akses internet :

1. Pertama tambahkan List Address pada Trust Zone (Internal Zone) dengan cara :

• Klik menu Object-Address-List
• Isikan Address Name, IP Address dan Netmask
• Pilih Zone : Trust (Trust Zone merupakan Zona yang ada di jaringan internal)

2. Setelah itu buatlah Group Address List pada Trust Zone dengan cara :

• Pilih menu Objects > Addresses > Groups
• Pilih Zone Trust lalu klik button New
• Isikan Group Name (misal Internet and email)
• Pilih nama di Avialable Member di kolom sebelah kanan
• Lalu klik tombol “ << “ untuk menambahkan ke Group

Member yang ada di Group ini saja yang bisa menggunakan Internet.

3. Lalu kita akan mendefinisikan Group Service untuk mengakses internet (HTTP, FTP, DNS, PING, POP3, SMTP) dengan cara :

• Pilih menu Objects > Services > Groups
• Klik tombol New untuk menambahkan Group
• Isikan Group Name (misal Internet and Email)
• Tambahkan DNS, FTP, HTTP, HTTPS, PING , POP3, dan SMTP di Group Service ini.

4. Selanjutnya membuat Policies untuk membatasi akses internet, dengan cara :

• Pilih menu Policies
• Pilih zone from Trust to Untrust
• Klik tombol New
• Pilih / Isikan Source Address dengan ” Internet and Email “ dari Address Book Entry
• Pilih / isikan Destination Address dengan ” Any “ dari Address Book Entry
• Pilih / Isikan Service “Internet dan Email“
• Tekan OK

Jika anda sudah mengkonfigurasikannya dengan benar maka hanya user dan IP address yang ada di group Internet and Email saja yang dapat mengakses Internet.

FORTIGATE 60 FIREWALL CLI CONFIGURATION

Configure Interface
Fortiget-60 # config system interface
edit internal
set ip 192.168.2.1 255.255.255.0
set mode static
next
edit wan1
set ip 192.168.3.1 255.255.255.0
next
edit internal
set ip 192.168.100.1 255.255.255.0
set dhcp-server-mode none (Set DHCP Server Mode Off)
next
edit wan1
set ip 192.168.1.2 255.255.255.0
show system interface (Check interface configuration)
Configure DNS
Fortiget-60 # config system dns
set primary 165.21.83.88
set secondary 165.21.100.88
end
Configure Internal Allowaccess (ping, https)
Fortiget-60 # config system interface
edit internal
unset allowaccess
set allowaccess ping
set allowaccess https
end
Configure Wan1 Allowaccess (ping)
Fortiget-60 # config system interface
edit wan1
unset allowaccess
set allowaccess ping
end
Configure Static Route
Fortiget-60 # config router static
edit 1
set device wan1
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.1.1
set distance 10
Change Admin Password
Fortiget-60 # config system admin
edit admin
set password
end
Firmware Upgrade
To upgrade the FortiGate firmware from the CLI:
1 Make sure that the TFTP server is running.
2 Copy the new firmware image file to the root directory of your TFTP server.
3 Log into the CLI as the admin administrative user.
Fortiget-60 # execute restore image

How to Configure Cisco PIX Firewall Part I

How to Configure PIX Firewall.
Abstract:

Please find below a step by step process to configure the PIX Firewall from scratch. A simple scenario is given here where you have a corporate network with a PIX Firewall connected to the Internet through the Outside Interface, Internal Network through the Inside interface and DMZ through the DMZ Network. This paper would assist you in a simple step by step, near complete configuration for a PIX Firewall running a midsized corporate network

The Outside Network is connected to the internet through a Internet Router. The Inside Network is connected to a switch to the Internal Clients or Inside Hosts. The DMZ network consists of two servers, the Web server and the WEB server.
Note: An effort has been made to keep this paper as simple as possible for the newbies. Much theory is not covered as you have numerous sites on the internet from where you can read that stuff.. Referral Links are given from time to time for more detailed configuration from Cisco website for Reference purpose.

A Simple Network Diagram

The first thing in configuration is getting connected to the pix firewall. You use the console cable to connect the cable to the console port of the pix firewall. The other end goes to the serial port of your computer. You can then use a terminal emulation software to get connected to the prompt. For Windows users, HyperTerminal is a good option.
The next step is booting the Firewall.
When a non-configured PIX Firewall boots up, it prompts to preconfigure it through interactive prompts. If you press Enter to accept the default answer of yes, you are presented with a series of prompts that lead you through the basic configuration steps:
Pre-configure PIX Firewall now through
interactive prompts [yes]? Enable Password []: abc123
Clock (UTC)
Year [2002]:
Month [Aug]:
Day [2]: 12
Time [2:45:37]: 12:22:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: secmanager.com
IP address of host running
PIX Device Manager: 101.1.111
Use this configuration and write to flash? Y
The above can also be achieved by entering the setup command in privileged mode.
The pix Firewall has four modes of Operation as given below:
• Unprivileged mode: This mode provides a restricted, limited, view of PIX Firewall settings. Example : pixfirewall>
• Privileged mode: This mode enables you change the current firewall settings. Example: pixfirewall#
• Configuration mode: This mode enables you to change the system configurations of the firewall. Example pixfirewall(config)#
• Monitor mode: This mode is used to update the image over the network, perform password recovery or backup the configuration onto the TFTP server
In case you don’t want to use the setup command for the configuration, you can use the console connection and configure as follows:
Priveleged mode
The first step is to enter the privileged mode:
Pixfirewall> en
Password: (Enter or Cisco, for more information refer to the configuration manuals that came with the firewall)
Pixfirewall#
Changing password
The next step is to change the enable password on the firewall:
Pixfirewall# enable password abc123
The next step is to enter the configuration mode for changing the system configurations. To enter the config mode, enter the following command:
Pixfirewall# configure terminal (or popularly conf t)
Pixfirewall (config) #
Give a Hostname to the firewall.
You might want to give a hostname to the firewall. You can use the hostname command to do this.
Pixfirewall (config) #hostname CorpFW1
CorpFW1(config)#
To save the information, use the write memory command or simply wr mem.
CorpFW1(config)# write memory
For purposes of this document, we continue to give the firewall the name “Pixfirewall”. So let us change the name back to Pixfirewall
CorpFW1(config)# hostname Pixfirewall
Pixfirewall (config) # wr mem
Setup the console timeout:
Next, you might want to setup the console timeout for security reasons. The default timeout is 0, which means unlimited.
Pixfirewall (config) # console timeout 5
This means you have setup a console timeout of 5 minutes ( the value can be set from 0-60 minutes) which means after a idle time of 5 minutes, the session will be closed.
Setup a banner to your Pix firewall.
You can do this with the banner command:
Pixfirewall (config) # banner exec Unauthorized access will be prosecuted.
There are also two other commands available:
banner login
banner motd
To remove banner you use the no banner or clear banner commands.
Naming an Interface:
The first two interfaces would have the default names of inside and outside. While inside interface has a security level of 100, the outside interface has a default security level of 0.
Let us configure the Ethernet 2 interface as the dmz.
Pixfirewall (config) # nameif ethernet2 dmz sec60
In this example, we are assigning a security_level of 60 to the DMZ network.
Configure the Interface:
Now let us turn the interface on and configure the speeds for these interfaces:
Pixfirewall (config) # interface ethernet0 100full
Pixfirewall (config) #interface ethernet1 100full
Pixfirewall (config) #interface ethernet2 100full
Assign IP Address to the Interface:
Pixfirewall (config) # ip address outside 192.168.1.1 255.255.255.0
Pixfirewall (config) # ip address inside 10.1.1.1 255.255.255.0
Pixfirewall (config) #ip address dmz 172.16.16.1 255.255.255.0
You can use the “show ip” command to view the ip address information and “clear ip” command to remove all assigned IP addresses from all interfaces.
Route Commands:
Now let us setup the routing information on the pix firewall.
This is the default route, where we are configuring the next hop of the default route to the IP address of the Internet Router which is 192.168.1.100
Pixfirewall (config) # route outside 0.0.0.0 0.0.0.0 192.168.1.100 1
Pixfirewall (config) # route inside 10.0.0.0 255.0.0.0 10.1.1.1 1
Pixfirewall (config) # route dmz 172.16.17.0 255.255.255.0 172.16.16.1 1
So using these route commands you are telling the PIX router that route the traffic for 10.0.0.0/8 network to inside, 172.16.17.0/24 network to dmz. The default route is set for outside, which means for all other networks, route the traffic through the outside interface.

How to Configure Cisco PIX Firewall Part II

Please find below a step by step process to configure the PIX Firewall from scratch. A simple scenario is given here where you have a corporate network with a PIX Firewall connected to the Internet through the Outside Interface, Internal Network through the Inside interface and DMZ through the DMZ Network. This paper would assist you in a simple step by step, near complete configuration for a PIX Firewall running a midsized corporate network

This is part II of the How to Configure Pix Firewall, a step by step approach.
This is in continuation of the Part I of the series.

A Simple Network Diagram

Network Address Translation:
Let us take a simple scenario to explain this section. Let us say that all the computers in the inside network want internet access. NAT also allows you to keep your internal IP hidden from the outside network. To achieve this you need to implement address translation. You do this using the “nat” and “global” commands.
The NAT command:
Pixfirewall (config) # nat (inside) 1 0.0.0.0 0.0.0.0
In this example, the nat (inside) 1 10.0.0.0 255.255.255.0 command means that all outbound connections from a host within the specified network, 10.1.1.0, can pass through the PIX Firewall (with address translation).
Global command:
Pixfirewall (config) #global (outside) 1 192.168.1.10-192.168.1.50
This means that use the IP address from 192.168.1.10 to 192.168.1.50 for NATing the traffic coming from the inside interface.
There is also another simple way for allowing internet /outside access to the inside network using PAT or port address translation. What this would do is hide all the internal networks behind the outside interface of the PIX firewall and transmit traffic using Port Address Translation. One limitation to this approach is that at a time it can process only less than 64000 client computers. But in most cases, this is more than enough.
PAT using Global:
Pixfirewall (config) # global (outside) 1 interface
Now, let us configure the two servers in the dmz network, the webserver and the mailserver. The wish list is to allow traffic from anywhere to reach the webserver on http, https and ftp and traffic from anywhere to reach the mail server on the smtp port.
To do this we need to setup statics and access-lists.
Setting up Static’s:
Pixfirewall (config) #static (dmz,outside) 192.168.1.2 172.16.16.2 netmask 255.255.255.255 0 0
Pixfirewall (config) # static (dmz,outside) 192.168.1.4 172.16.16.4 netmask 255.255.255.255 0 0
Having configured the statics, now let us move on to configure the object-groups that would be used in configuring the access-list
Configuring object-groups:
Pixfirewall (config) #object-group service webservices tcp
Pixfirewall (config-service) # port-object eq http
Pixfirewall (config-service) # port-object eq https
Pixfirewall (config-service) # port-object eq ftp
Pixfirewall (config-service) # exit
Pixfirewall (config) #
Now let us configure the access-lists to allow access to the dmz networks from outside and also to the other interfaces:
Configuring Access-list:
Pixfirewall (config) # access-list external permit tcp any host 192.168.1.2 object-group webservices
Pixfirewall (config) # access-list external permit tcp any host 192.168.1.4 eq smtp.
Pixfirewall (config) #access-list external deny ip any any
(This is a any any drop rule. Place this at the end of the access-lists. This acl won’t allow any other traffic that is not explicitly allowed to get into the firewall. This is often helpful in checking the number of hits on this acl from outside for troubleshooting or analysis purposes.)
Pixfirewall (config) #access-list internal permit ip 172.16.16.0 255.255.255.0 10.1.1.0 255.255.255.0
Pixfirewall (config) # access-list internal deny ip any any
Pixfirewall (config) # access-list dmz permit ip 10.1.1.0 255.255.255.0 172.16.16.0 255.255.255.0
Pixfirewall (config) #access-list dmz deny ip any any
Now map these access-lists to access-groups for these access-lists to work properly:
Configuring Access Groups:
Pixfirewall (config) #access-group external in interface outside
Pixfirewall (config) # access-group internal in interface inside
Pixfirewall (config) #access-group dmz in interface ethernet2
With this we have configured the PIX firewall for a normal office setup.
These commands will be helpful in checking the configuration of the pix firewall and also in troubleshooting, analysis and fine tuning.
Useful Commands:
show config
show blocks
show checksum
show conn
show cpu usage
show history
show memory
show processes
show routing
show running-config
show startup-config
show tech-support
show tcpstat
show traffic
show uauth/clear uauth
show version
show xlate/clear xlate
Note: There is a lot that you can do with the PIX firewall. This document is just a simple guide for a easy setup. It covers most popular setups. In case you need any further information please refer to Cisco website at http://www.cisco.com
Further reference:
You can also refer to the Getting Started document for more detailed information from the Cisco Website:
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172790.html
Cisco PIX Firewall Command Reference, version 6.3
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_command_reference_book09186a008017284e.html

Cisco site to site VPN Configuration Cheatsheet

Please find enclosed the cisco site to site VPN configuration in a nutshell. These basic commands would help in configuring a site to site VPN setup. This can also assist in troubleshooting vpn issues.
VPN Configuration Steps:
sysopt connection permit-ipsec
Phase I
isakmp enable outside
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
iaskmp policy 10 authentication pre-share or rsa-sig
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp key abc123 address 192.168.1.2 netmask 255.255.255.255
isakmp identity address
show isakmp policy
show isakmp
Phase 2
access-list 101 permit ip 10.0.1.0 255.255.255.0 172.16.1.0 255.255.255.0
nat (inside) 0 access-list 101
crypto ipsec transform-set customer1 esp-des esp-sha-hmac
crypto map PIX1MAP 10 ipsec-isakmp
crypto map PIX1MAP 10 match address 101
crypto map PIX1MAP 10 set peer 192.168.2.1
crypto map PIX1MAP 10 set transform-set customer1
crypto map PIX1MAP 10 set security-association lifetime seconds 28800
crypto map PIX1MAP 10 set pfs group1
crypto map PIX1MAP interface outside
crypto dynamic-map dynamic-map-name dynamic-seq-num
show crypto map
show isakmp
show isakmp policy
show access-list
show crypto ipsec transform-set
show crypto map
clear crypto ipsec sa
clear crypto isakmp sa
debug crypto ipsec
debug crypto isakmp

Pengenalan Fiber Optic

A. Pengantar

Fiber optic adalah media transmisi yang terbuat dari serat kaca dan plastik yang menggunakan bias cahaya dalam mentransmisikan data. Sumber cahaya yang digunakan adalah laser karena mempunyai spectrum yang sangat sempit.  Media transmisi fiber optic sudah menggantikan eranya media copper (tembaga) dengan alasan bahwa fiber optic memiliki kelebihan, yaitu : informasi ditransmisikan dengan kapasitas (bandwidth) yang tinggi, karena murni terbuat dari kaca dan plastik maka signal tidak terpengaruh pada gelombang elektromagnetik dan frekwensi radio. Sementara media tembaga dapat dipengaruhi oleh interferensi gelombang elektromagnetik dan media wireless dipengaruhi oleh frekwensi radio. Dengan kelebihan yang dimiliki ini maka fiber optic sudah banyak digunakan sebagai tulang punggung (backbone) jaringan telekomunikasi.
Dari segi penggunaan fiber optic dibagi dalam dua jenis, yaitu single mode dan multi mode. Perbedan single mode dan multi mode adalah bahwa single mode memiliki ukuran core yang kecil, sumber sinar laser, unlimited bandwidth, dan jarak yang jauh ( > 60 km ) sedangkan multi mode memiliki ukuran core yang lebih besar, sumber sinar laser atau Light Emitting Diodes (LED), bandwidth terbatas, jarak sekitar (300 – 500 m) . Struktur dasar fiber optic terdiri dari tiga bagian yaitu core (inti), cladding (kulit), dan buffer (pelindung) atau coating (mantel). Core dan cladding terbuat dari kaca sedangkan buffer atau coating terbuat dari plastik biar fleksibel.

Gambar struktur dasar fiber optic

B. Aksesoris Fiber Optic
Dalam jaringan telekomunikasi khususnya fiber optik banyak menggunkan aksesoris, diantaranya adalah :
Pemasangan Fiber Optic (Fiber Optic Assemblies):
Terdiri atas connector, pigtail, dan patch cord.
Connector adalah ujung dari fiber optic, jenisnya banyak sesuai dengan kebutuhan dilapangan.

Gambar Connector Fiber Optic

Pigtail adalah sepotong kabel yang hanya memiliki satu buah konektor diujungnya, pigtail akan disambungkan dengan kabel fiber yang belum memiliki konektor.

Gambar pigtail

Patch cord adalah kabel fiber optic yang pada dua sisi ada konektor. Patch cord digunakan untuk menghubungkan device atau dikenal juga dengan optic jumper.

Gambar patch cord

Wall-Mount
Wall-mount adalah terminasi  fiber optic yang menempel di dinding.

Gambar Wall-Mount

Optical Termination Box (OTB)
Optical Termination Box (OTB) adalah terminasi fiber optic yang ada pada rak atau boks.

Gambar OTB
Joint Closure
Joint Closure adalah titik sambung dari fiber optic.

Gambar Joint Closure

High Distribution Cabinet
High Distribution Cabinet adalah rak tempat terminasi fiber optic .

Gambar High Distribution Cabinet

C. Testing (OTDR dan Power Meter)
Optical Time Domain Reflectometer (OTDR)
OTDR  merupakan alat yang dapat digunakan untuk mengevaluasi suatu fiber optic pada domain waktu. Beberapa parameter yang dapat diukur pada OTDR adalah :

• Jarak

Titik lokasi dalam suatu link, ujung link atau patahan.

• Loss

Loss untuk masing-masing splice atau total loss dari ujung ke ujung dalam suatu link.

• Atenuasi

Atenuasi dari serat dalam suatu link.

• Refleksi

Besar refleksi (return loss) dari suatu event.
Informasi mengenai redaman serat, loss sambungan, loss konektor dan lokasi gangguan serta loss antara dua titik dapat ditentukan dari monitor OTDR. OTDR memungkinkan sebuah link diukur dari salah satu ujung.

Gambar OTDR

Power Meter
Power meter dipakai untuk mengukur total loss dalam sebuah link optic baik saat instalasi (uji akhir) atau pemeliharaan. Penggunaan power meter harus berada pada kedua ujung kabel fiber optic.

Gambar Power Meter

D. Splicing (Fusion Splicer)
Proses penyambungan/ splicing terdiri dari beberapa langkah kerja berikut :
a.  Stripping/ pengupasan lapisan coating ujung fiber optic dengan stripper
b.  Membersihkan ujung fiber optic
c.   Perataan ujung fiber optic dengan cleaver
d.  Meletakkan ujung-ujung fiber optic pada V-groove alat sambung dan pelurusannya oleh alat sambung.
e.   Peleburan dan perekatan ujung fiber optic menggunakan pancaran listrik dari elektroda
f.    Analisa hasil sambungan
g.   Pemberian pelindung dan penyimpanan sambungan

Gambar Fusion Splicer

Switch HP ProCurve 2610-24

A. Pengantar

Perangkat switch buatan HP ini memiliki banyak kelebihan, selain garansi seumur hidup perangkat ini memiliki fungsi yang handal yaitu satu port bisa di konfigurasi dengan mode Tagged dan Untagged. Kelebihan ini yang menjawab kebutuhan bisnis yang diinginkan salah satu customer perusahaan tempat saya bekerja. Perusahaan saya selama ini sudah menerapkan jaringan berbasis IP untuk layanan telepon, Internet, dan TV. Kebutuhan baru muncul pada saat pemasangan disalah satu kantor, dimana ada ide untuk memanfaatkan jaringan Internet lewat port LAN telepon, pesawat teleponnya menggunakan NETPHONIC IP PHONE NP-18. Permintaan customer untuk mengakses Internet lewat IP Phone dapat dijawan dengan melakukan mode bridge pada konfigurasi pesawat telepon dengan catatan bahwa layanan telepon dan Internet masih dalam jaringan yang sama. Setelah beberapa lama berjalan ada keinginan untuk membedakan jaringan telepon dan Internet, kebutuhan ini dapat dijawab lewat Switch HP ProCurve 2610-24.
B. Konfigurasi
Switch :

Konfigurasi switch ini sama seperti konfigurasi switch biasanya, kelebihannya ada tiga mode VLAN yaitu tagged, untagged, dan no.
Contoh konfigurasi, dimana sebelumnya sudah dibuat VLAN dengan nama Data dengan VID 241 dan IP-Telepon dengan VID 243. Berikut adalah konfigurasi pemberian daftar VLAN pada port switch:

Jadi untuk port 3 sudah di lewati oleh dua buah VLAN yaitu Data dengan mode Untagged, dan IP-Telpn dengan mode tagged. Perlu diingat bahwa dalam satu port hanya diperbolehkan satu buah VLAN Untagged, karena persyaratan ini maka VLAN Default di setting dengan mode no.

IP Phone :

Untuk IP Phone ada settingan yang perlu ditambahkan yaitu :
Konfigurasi LAN  lewat menu Network –> LAN Config :
Bridge mode di centang, sementara NAT dan DHCP Service dikosongkan.
Konfigurasi VLAN lewat menu Advance –> QOS:

Voice VLAN ID diisi dengan VID VLAN IP-Telpn, dan Data VLAN ID diisi dengan VID VLAN Data. Jangan lupa mencentang VLAN enable dan VLAN ID Check Enable.
C. Hasil

Dari testing yang dilakukan bahwa PC untuk Internet berjalan pada IP 10.200.21.x/24 dan IP Telepon berjalan pada 10.200.20.x/24, kedua layanan sudah berjalan pada segmen yang berbeda.
Sampai disini pengimplementasian dua buah VLAN yang berbeda untuk kebutuhan bisnis sebelumnya berjalan dengan baik.

Konfigurasi OSPF dan Interface Loopback

Sekilas Mengenai VLAN dan STP

Sebelum kita memulai penjelasan mengenai topologi dan konfigurasi menggunakan Konfigurasi OSPF dan Interface Loopback sebaiknya kita mengulas sedikit mengenai OSPF berikut ini.

Tentang OSPF

OSPF merupakan sebuah routing protokol berjenis IGP yang hanya dapat bekerja dalam jaringan internal suatu ogranisasi atau perusahaan. Jaringan internal maksudnya adalah jaringan di mana Anda masih memiliki hak untuk menggunakan, mengatur, dan memodifikasinya. Atau dengan kata lain, Anda masih memiliki hak administrasi terhadap jaringan tersebut. Jika Anda sudah tidak memiliki hak untuk menggunakan dan mengaturnya, maka jaringan tersebut dapat dikategorikan sebagai jaringan eksternal. Selain itu, OSPF juga merupakan routing protokol yang berstandar terbuka. Maksudnya adalah routing protokol ini bukan ciptaan dari vendor manapun. Dengan demikian, siapapun dapat menggunakannya, perangkat manapun dapat kompatibel dengannya, dan di manapun routing protokol ini dapat diimplementasikan. OSPF merupakan routing protokol yang menggunakan konsep hirarki routing, artinya OSPF membagi-bagi jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan dengan menggunakan sistem pengelompokan area.

Dengan menggunakan konsep hirarki routing ini sistem penyebaran informasinya menjadi lebih teratur dan tersegmentasi, tidak menyebar ke sana ke mari dengan sembarangan. Efek dari keteraturan distribusi routing ini adalah jaringan yang penggunaan bandwidth-nya lebih efisien, lebih cepat mencapai konvergensi, dan lebih presisi dalam menentukan rute-rute terbaik menuju ke sebuah lokasi. OSPF merupakan salah satu routing protokol yang selalu berusaha untuk bekerja demikian. Teknologi yang digunakan oleh routing protokol ini adalah teknologi linkstate yang memang didesain untuk bekerja dengan sangat efisien dalam proses pengiriman update informasi rute. Hal ini membuat routing protokol OSPF menjadi sangat cocok untuk terus dikembangkan menjadi network berskala besar. Pengguna OSPF biasanya adalah para administrator jaringan berskala sedang sampai besar. Jaringan dengan jumlah router lebih dari sepuluh buah, dengan banyak lokasi-lokasi remote yang perlu juga dijangkau dari pusat, dengan jumlah pengguna jaringan lebih dari lima ratus perangkat komputer, mungkin sudah layak menggunakan routing protocol ini. 

Cara OSPF Membentuk Hubungan dengan Router Lain

Untuk memulai semua aktivitas OSPF dalam menjalankan pertukaran informasi routing, hal pertama yang harus dilakukannya adalah membentuk sebuah komunikasi dengan para router lain. Router lain yang berhubungan langsung atau yang berada di dalam satu jaringan dengan router OSPF tersebut disebut dengan neighbour router atau router tetangga. Langkah pertama yang harus dilakukan sebuah router OSPF adalah harus membentuk hubungan dengan neighbor router. Router OSPF mempunyai sebuah mekanisme untuk dapat menemukan router tetangganya dan dapat membuka hubungan. Mekanisme tersebut disebut dengan istilah Hello protocol. Dalam membentuk hubungan dengan tetangganya, router OSPF akan mengirimkan sebuah paket berukuran kecil secara periodik ke dalam jaringan atau ke sebuah perangkat yang terhubung langsung dengannya. Paket kecil tersebut dinamai dengan istilah Hello packet. Pada kondisi standar, Hello packet dikirimkan berkala setiap 10 detik sekali (dalam media broadcast multiaccess) dan 30 detik sekali dalam media Point-to-Point. Hello packet berisikan informasi seputar pernak-pernik yang ada pada router pengirim. Hello packet pada umumnya dikirim dengan menggunakan multicast address untuk menuju ke semua router yang menjalankan OSPF (IP multicast 224.0.0.5). Semua router yang menjalankan OSPF pasti akan mendengarkan protocol hello ini dan juga akan mengirimkan hello packet-nya secara berkala. Cara kerja dari Hello protocol dan pembentukan neighbour router terdiri dari beberapa jenis, tergantung dari jenis media di mana router OSPF berjalan.

Designated Router

Solusi untuk mengatur Jumlah adjacencies dan pembanjiran LSA pada network multi akses adalah  Designated Router (DR). Diumpakan misalnya kita akan memilih seseorang pada sebuah ruangan untuk berkeliling dan mencari tahu nama setiap orang kemudian mengumumkan nama-nama tersebut pada setiap orang dalam ruangan tersebut sebanyak satu kali.

Pada network multiakses, OSPF memilih sebuah Designated Router (DR) untuk mengumpulkan dan  mendistribusikan LSA yang terkirim dan diterima. Sebuah Backup Designated Router (BDR) juga dipilih untuk mencegah apabila terjadi kegagalan pada Designated Router . Semua router menjadi DR cadangan yang mengindikasikan bahwa sebuah router menjadi DR atau DBR.

Router pada  network multiakses memilih satu DR dan BDR. DR yang lain hanya sebuah form penuh adjancencies dengan DR dan DBR pada network. Hal ini berarti justru membanjiri LSA pada semua router pada network, DR yang lain hanya mengirim LSA ke DR dan BDR menggunakan alamat multicast 224.0.0.6 (Semua DR router dan BDR router). Pemilihan DR/BDR tidak terjadi  pada network point to point.

Pemilihan DR/BDR

Bagaimana DR and BDR dipilih? Berikut kriterianya:

1. DR: Router dengan prioritas interface tertinggi.

2. BDR: Router dengan prioritas interface kedua

3. Jika prioritas interface ospf sama, maka router id tertinggi menjadi penentu.

Konfigurasi Manggunakan Konfigurasi OSPF dan Interface Loopback

Berikut gambaran topologi yang akan kita buat :

Dalam konfigurasi ini akan digunakan 6 Router dan 6 Switch. Dimana router R1 bertindak sebagai tepat untuk mengkonfigurasi InterVlan Routing yang bertujuan agan setiap Vlan bisa saling berhubungan. Sedangkan R2 sampai R6 bertindak sebagai router penghubung yang nantinya akan dikonfigurasi menggunakan Konfigurasi Router OSPF. Dan Sedangkan S1 bertindak sebagi switch pembagi VLAN.

Pertama-tama kita lakukan konfigurasi pada S1 :

Pemberian nama S1 :
Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname S1

Pembuatan VLAN pada S1 :
S1(config)#vlan 2
S1(config-vlan)#name TKJ
S1(config-vlan)#exit
S1(config)#vlan 3
S1(config-vlan)#name TI
S1(config-vlan)#exit
S1(config)#vlan 4
S1(config-vlan)#name SI
S1(config-vlan)#exit
S1(config)#vlan 5
S1(config-vlan)#name TK
S1(config-vlan)#exit
S1(config)#vlan 6
S1(config-vlan)#name MI
S1(config-vlan)#exit
S1(config)#

Melihat Tabel VLAN pada S1 :
S1(config)#^Z
%SYS-5-CONFIG_I: Configured from console by console
S1#sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
2    TKJ                              active   
3    TI                               active   
4    SI                               active   
5    TK                               active   
6    MI                               active   
1002 fddi-default                     active   
1003 token-ring-default               active   
1004 fddinet-default                  active   
1005 trnet-default                    active   

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
2    enet  100002     1500  -      -      -        -    -        0      0
3    enet  100003     1500  -      -      -        -    -        0      0
4    enet  100004     1500  -      -      -        -    -        0      0
5    enet  100005     1500  -      -      -        -    -        0      0
6    enet  100006     1500  -      -      -        -    -        0      0
1002 enet  101002     1500  -      -      -        -    -        0      0
1003 enet  101003     1500  -      -      -        -    -        0      0
1004 enet  101004     1500  -      -      -        -    -        0      0
1005 enet  101005     1500  -      -      -        -    -        0      0


Pembagian VLAN pada S1 berdasarkan interface:
S1#
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 1
S1(config-if)#exit

S1(config)#interface fa0/2
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 2
S1(config-if)#exit
S1(config)#interface fa0/3
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 3
S1(config-if)#exit
S1(config)#interface fa0/4
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 4
S1(config-if)#exit
S1(config)#interface fa0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 5
S1(config-if)#exit
S1(config)#interface fa0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 6
S1(config-if)#exit
S1(config)#

Kemudian kita konfigurasi R2 - R6 :

Pemberian nama R2 :
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R2

Mengaktifkan interface fa0/0 dan fa0/1 serta memberi IP :
R2(config)#interface fa0/0
R2(config-if)#ip address 192.168.1.34 255.255.255.224
R2(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R2(config-if)#exit
R2(config)#interface fa0/1
R2(config-if)#ip address 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R2(config-if)#
%SYS-5-CONFIG_I: Configured from console by console

Memberikan konfigurasi Interface Loopback pada R2 :
R2#
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#interface loopback 0

%LINK-5-CHANGED: Interface Loopback0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
R2(config-if)#ip address 172.16.1.1 255.255.255.255
R2(config-if)#^Z
%SYS-5-CONFIG_I: Configured from console by console
R2#

Mengkonfigurasi Router OSPF pada R2 :
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#router ospf 1
R2(config-router)#network 192.168.1.32 0.0.0.31 area 0
R2(config-router)#network 192.168.2.0 0.0.0.255 area 0
R2(config-router)#network 172.16.1.1 0.0.0.0 area 0
R2(config-router)#router-id 172.16.1.1
Reload or use "clear ip ospf process" command, for this to take effect
R2(config-router)#log-adjacency-changes
R2(config-router)#^Z
%SYS-5-CONFIG_I: Configured from console by console
R2#

Untuk R3 sampai R6 lakukan konfigurasi yang sama dengan R2. Hanya saja bedakan IP-nya. ^^

Pertama-tama kita lakukan konfigurasi pada S1 :

Memberi nama R1 :
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname R1

Mengaktifkan interface fa0/0 serta memberi IP :   
R1(config)#interface fa0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.224
R1(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#exit

Melakukan konfifurasi intervlan routing pada R1 agar antar Vlan dapat saling berhubungan  :
R1(config)#interface fa0/0.2

%LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.2, changed state to upR1(config-subif)#
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#ip address 192.168.1.33 255.255.255.224
R1(config-subif)#exit

R1(config)#interface fa0/0.3

%LINK-5-CHANGED: Interface FastEthernet0/0.3, changed state to up
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip address 192.168.1.65 255.255.255.224
R1(config-subif)#exit

R1(config)#interface fa0/0.4
%LINK-5-CHANGED: Interface FastEthernet0/0.4, changed state to up
R1(config-subif)#encapsulation dot1Q 4
R1(config-subif)#ip address 192.168.1.97 255.255.255.224


R1(config)#interface fa0/0.5
%LINK-5-CHANGED: Interface FastEthernet0/0.5, changed state to up
R1(config-subif)#encapsulation dot1Q 5
R1(config-subif)#ip address 192.168.1.129 255.255.255.224


R1(config)#interface fa0/0.6
%LINK-5-CHANGED: Interface FastEthernet0/0.6, changed state to up
R1(config-subif)#encapsulation dot1Q 6
R1(config-subif)#ip address 192.168.1.161 255.255.255.224

Memberikan konfigurasi Interface Loopback pada R2 :
R1(config)#interface loopback 0
R1(config-if)#ip address 172.16.1.6 255.255.255.255
R1(config-if)#exit

Mengkonfigurasi Router OSPF pada R1 :
R1(config)#router ospf 1
R1(config-router)#network 192.168.1.32 0.0.0.31 area 0
R1(config-router)#network 192.168.1.64 0.0.0.31 area 0
R1(config-router)#network 192.168.1.96 0.0.0.31 area 0
R1(config-router)#network 192.168.1.128 0.0.0.31 area 0
R1(config-router)#network 192.168.1.160 0.0.0.31 area 0

Konfigurasi ACL pada CISCO ASA 5500

Cisco ASA 5500 adalah seri Cisco firewall model baru yang mengikuti alat Cisco PIX firewall yang sukses. Cisco ASA 5500 menyebut sebuah alat keamanan "" bukan hanya firewall hardware "", karena bukan hanya ASA firewall. Perangkat ini menggabungkan beberapa fungsi keamanan, seperti Intrusion Detection, Intrusion Prevention, Content Inspeksi, botnet Inspeksi, di samping fungsi firewall.
Namun, fungsi inti ASA adalah bekerja sebagai firewall kinerja tinggi. Semua fitur keamanan lainnya hanya layanan gratis di atas fungsi firewall. Karena itu, tujuan dari sebuah firewall untuk melindungi jaringan komputer dan IT sumber daya dari sumber-sumber berbahaya dengan memblokir dan mengendalikan arus lalu lintas. Cisco ASA firewall mencapai hal ini kontrol lalu lintas menggunakan Access Control Lists (ACL).

 ACL adalah daftar peraturan dengan mengizinkan atau menolak laporan. Pada dasarnya sebuah Daftar Akses Kontrol memaksa kebijakan keamanan pada jaringan. The ACL (daftar aturan kebijakan) kemudian diterapkan pada interface firewall, baik pada inbound atau arah lalu lintas keluar. Jika ACL diterapkan pada arah lalu lintas inbound (dalam), maka ACL diterapkan pada lalu lintas memasuki antarmuka firewall. Hal sebaliknya terjadi untuk ACL diterapkan pada keluar (dari) arah.
The ACL mengijinkan atau menolak laporan pada dasarnya terdiri dari sumber dan tujuan alamat IP dan port. Izin pernyataan ACL memungkinkan sumber alamat IP yang ditetapkan / jaringan untuk mengakses alamat IP tujuan yang ditetapkan / jaringan. Hal sebaliknya terjadi untuk menolak pernyataan ACL. Pada akhir ACL, memasukkan firewall secara default sebuah MENYANGKAL SEMUA implisit pernyataan aturan yang tidak terlihat di konfigurasi.
Cukup teori sejauh ini. Mari kita lihat beberapa contoh di bawah ini untuk memperjelas apa yang kita katakan di atas.

ciscoasa(config)# access-list "access_list_name" extended {deny | permit} protocol "source_address" "mask" [source_port] "dest_address" "mask" [ dest_port]

To apply the ACL on a specific interface use the access-group command as below:

ciscoasa(config)# access-group "access_list_name" [in|out] interface "interface_name"

Contoh 1
Allow only http traffic from inside network 10.0.0.0/24 to outside internet

ciscoasa(config)# access-list HTTP-ONLY extended permit tcp 10.0.0.0 255.255.255.0 any eq 80
ciscoasa(config)# access-group HTTP-ONLY in interface inside 

"HTTP-Only" adalah Access Control List itu sendiri yang pada contoh kita hanya berisi satu pernyataan izin aturan, Ingat bahwa ada sebuah aturan Implicit DENY ALL di pada akhir ACL yang tidak ditampilkan secara default.

Contoh 2
Deny telnet traffic from host 10.1.1.1 to host 10.2.2.2 and allow everything else.

ciscoasa(config)# access-list DENY-TELNET extended deny tcp host 10.1.1.1 host 10.2.2.2 eq 23
ciscoasa(config)# access-list DENY-TELNET extended permit ip host 10.1.1.1 host 10.2.2.2
ciscoasa(config)# access-group DENY-TELNET in interface inside
The above example ACL (DENY-TELNET) contains two rule statements, one deny and one permit. As we mentioned above, the "access-group" command applies the ACL to an interface (either to an inbound or to an outbound direction).

Contoh 3
The example below will deny ALL TCP traffic from our internal network 192.168.1.0/24 towards the external network 200.1.1.0/24. Also, it will deny HTTP traffic (port 80) from our internal network to the external host 210.1.1.1. All other traffic will be permitted from inside.

ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 200.1.1.0 255.255.255.0
ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 host 210.1.1.1 eq 80
ciscoasa(config)# access-list INSIDE_IN extended permit ip any any
ciscoasa(config)# access-group INSIDE_IN in interface inside