Assalamu'alaikum guys. Dalam blog selanjutnya ini, penulis ingin mengajak teman-teman, untuk belajar bersama menerapkan metode keamanan VoIP, yakni segmentasi VLAN di dalam salah satu topologi, dengan menggunakan aplikasi Cisco Packet Tracer. Dalam jaringan VoIP, penggunaan metode tersebut bertujuan untuk memisahkan trafik suara dan data, agar dapat meningkatkan keamanan data dalam jaringan, menghemat penggunaan bandwidth, mengurangi lalu lintas paket data yang tidak dibutuhkan, dan mengurangi banyaknya jumlah device, yang ikut berpartisipasi dalam pembuatan broadcast stroam, yakni kondisi ketika frame data link, terjebak pada lingkaran tak berujung (looping).
Ada beberapa catatan yang perlu diperhatikan dari pemisahan paket suara dan data, yakni berdasarkan penuturan Dosen Universitas Jenderal Soedirman, Aziz Wisnu Widhi N., mengatakan bahwa notabene baik paket data maupun suara, sama-sama diperlakukan sebagai data dalam komunikasi IP (Internet Protocol). Oleh karena itu, agar sistem dapat mengetahui mana jalur yang digunakan sebagai akses data dan mana yang digunakan sebagai jalur akses suara, maka perlu dibedakan berdasarkan protokol dan port. Selain itu, perbedaan jalur dapat diketahui pula berdasarkan prioritas, dimana jalur akses suara memiliki prioritas lebih tinggi daripada jalur akses data, sehingga kepentingan jalur akses suara akan lebih diprioritaskan, karena jalur tersebut membutuhkan akses yang bersifat realtime.
Demikian pengertian singkat mengenai segmentasi VLAN. Dalam blog ini, juga akan dijelaskan cara membangun server VoIP pada Router aplikasi Cisco Packet Tracer, yang disertai dengan pengaturan firewall. Penggunaan aturan firewall tersebut, bertujuan untuk memisahkan trafik suara dan data, agar tidak dapat melakukan komunikasi satu dengan yang lain, dengan menggunakan paket ICMP (Internet Control Message Protocol), sehingga dapat terhindar dari serangan ping flooding, yakni serangan cybercrime pada layer 3 (network), yang dilakukan dengan mengirim paket ICMP kepada target secara bertubi-tubi, hingga dapat menyebabkan target lumpuh, karena kehabisan sumber daya (resource).
Ada beberapa catatan yang perlu diperhatikan dari pemisahan paket suara dan data, yakni berdasarkan penuturan Dosen Universitas Jenderal Soedirman, Aziz Wisnu Widhi N., mengatakan bahwa notabene baik paket data maupun suara, sama-sama diperlakukan sebagai data dalam komunikasi IP (Internet Protocol). Oleh karena itu, agar sistem dapat mengetahui mana jalur yang digunakan sebagai akses data dan mana yang digunakan sebagai jalur akses suara, maka perlu dibedakan berdasarkan protokol dan port. Selain itu, perbedaan jalur dapat diketahui pula berdasarkan prioritas, dimana jalur akses suara memiliki prioritas lebih tinggi daripada jalur akses data, sehingga kepentingan jalur akses suara akan lebih diprioritaskan, karena jalur tersebut membutuhkan akses yang bersifat realtime.
Demikian pengertian singkat mengenai segmentasi VLAN. Dalam blog ini, juga akan dijelaskan cara membangun server VoIP pada Router aplikasi Cisco Packet Tracer, yang disertai dengan pengaturan firewall. Penggunaan aturan firewall tersebut, bertujuan untuk memisahkan trafik suara dan data, agar tidak dapat melakukan komunikasi satu dengan yang lain, dengan menggunakan paket ICMP (Internet Control Message Protocol), sehingga dapat terhindar dari serangan ping flooding, yakni serangan cybercrime pada layer 3 (network), yang dilakukan dengan mengirim paket ICMP kepada target secara bertubi-tubi, hingga dapat menyebabkan target lumpuh, karena kehabisan sumber daya (resource).
Berikut beberapa tahapan untuk membuat jaringan VoIP pada aplikasi Cisco Packet Tracer. Sebelum memulai tahapan tersebut, silahkan teman-teman dapat mengunduh aplikasi yang dimaksud melalui link ini: download aplikasi Packet Tracer.
1. Membuka aplikasi Cisco Packet Tracer dengan halaman baru, dan kemudian membuat topologi kurang lebih seperti contoh di bawah ini.
2. Tahapan yang pertama, yakni menjadikan Router1 sebagai server VoIP. Sebelum masuk pada tahapan tersebut, ada beberapa langkah konfigurasi IP yang perlu dilakukan, untuk membuat stabil jaringan pada Router1, yakni
a) Mengisikan alamat IP (Internet Protocol) pada interface fastethernet0/0 Router1, dengan alamat IP 12.12.12.1/30.
b) Mengisikan alamat IP pada interface fastethernet0/1 Router1, dengan alamat IP 10.10.10.1/30.
c) Melakukan setting routing table dengan konfigurasi static, agar jaringan yang berada dalam Router1 dapat terhubung dengan jaringan lainnya.
d) Melakukan konfigurasi server VoIP melalui CLI (Command Line) Router1. Masuklah ke dalam CLI tersebut seperti gambar berikut.
(config)#telephony-service
(config-telephony)#max-dn 5
(config-telephony)#max-ephones 5 #jumlah maksimal ephone yang terhubung
(config-telephony)#ip source-address 10.10.10.1 port 2000
(config-telephony)#auto assign 4 to 6
(config-telephony)#auto assign 1 to 5
(config-telephony)#exit
(config)#
e) Selanjutnya melakukan pendaftaran member VoIP, melalui area CLI yang sama.
(config)#ephone-dn 1
(config-ephone-dn)#number 54001
(config-ephone-dn)#exit
(config)#ephone-dn 2
(config-ephone-dn)#number 54002
(config-ephone-dn)#exit
(config)#ephone-dn 3
(config-ephone-dn)#number 54003
(config-ephone-dn)#exit
(config)#ephone-dn 4
(config-ephone-dn)#number 54004
(config-ephone-dn)#exit
(config)#ephone-dn 5
(config-ephone-dn)#number 54005
(config-ephone-dn)#exit
(config)#
3. Setelah melakukan konfigurasi pada Router1, konfigurasi jaringan dilanjutkan ke Router2. Berikut langkah-langkah konfigurasi tersebut.
a) Mengisikan alamat IP (Internet Protocol) pada interface fastethernet0/0 Router2, dengan alamat IP 12.12.12.2/30.
c) Selanjutnya mulai melakukan pengisian alamat IP pada subinterface fastethernet0/1.10, dengan alamat IP 172.16.3.1/24 dan subinterface fastethernet0/1.20, dengan alamat IP 172.16.4.1/24. Alamat IP tersebut, digunakan untuk membantu proses segmentasi VLAN berlangsung. Berikut sintaks untuk menambahkan pengaturan subinterface melalui CLI Router2.
(config)#int fa0/1.10
(config-subif)#encap dot1q 10 #tag 802.1Q disesuaikan dengan VLAN yang digunakan.
(config-subif)#ip address 172.16.3.1 255.255.255.0
(config-subif)#no shut
(config-subif)#exit
(config)#int fa0/1.20
(config-subif)#encap dot1q 20 #tag 802.1Q disesuaikan dengan VLAN yang digunakan.
(config-subif)#ip address 172.16.4.1 255.255.255.0
(config-subif)#no shut
(config-subif)#exit
(config)#
Catatan: tag 802.1Q digunakan dengan tujuan, agar semua VLAN yang terkonfigurasi, dapat beroperasi di lingkungan apapun.
d) Setelah alamat IP pada subinterface selesai dibentuk, maka langkah selanjutnya melakukan setting dhcp pool, untuk membagikan alamat IP secara dynamic ke klien, melalui konfigurasi CLI Router2. Berikut sintaks yang digunakan untuk konfigurasi tersebut.
(config)#ip dhcp pool voicelab10
(dhcp-config)#network 172.16.3.0 255.255.255.0
(dhcp-config)#default-router 172.16.3.1
(dhcp-config)#option 150 ip 172.16.3.1
(dhcp-config)#exit
(config)#ip dhcp pool voicelab20
(dhcp-config)#network 172.16.4.0 255.255.255.0
(dhcp-config)#default-router 10.10.10.1 #IP source address server VoIP
(dhcp-config)#option 150 ip 10.10.10.1 #IP source address server VoIP
(dhcp-config)#exit
(config)#
e) Melakukan setting routing table dengan konfigurasi static, agar jaringan yang berada dalam Router2 dapat terhubung dengan jaringan lainnya.
a) Mengisikan alamat IP (Internet Protocol) pada interface fastethernet0/0 Router3, dengan alamat IP 10.10.10.2/30.
b) Mengosongkan alamat IP pada interface fastethernet0/1 Router3, untuk dilakukan setting subinterface pada interface tersebut nantinya.
c) Selanjutnya mulai melakukan pengisian alamat IP pada subinterface fastethernet0/1.10, dengan alamat IP 172.16.1.1/24 dan subinterface fastethernet0/1.20, dengan alamat IP 172.16.2.1/24. Alamat IP tersebut, digunakan untuk membantu proses segmentasi VLAN berlangsung. Berikut sintaks untuk menambahkan pengaturan subinterface melalui CLI Router3.
(config)#int fa0/1.10
(config-subif)#encap dot1q 10 #tag 802.1Q disesuaikan dengan VLAN yang digunakan.
(config-subif)#ip address 172.16.1.1 255.255.255.0
(config-subif)#no shut
(config-subif)#exit
(config)#int fa0/1.20
(config-subif)#encap dot1q 20 #tag 802.1Q disesuaikan dengan VLAN yang digunakan.
(config-subif)#ip address 172.16.4.1 255.255.255.0
(config-subif)#no shut
(config-subif)#exit
(config)#
d) Melakukan setting dhcp pool, untuk membagikan alamat IP secara dynamic ke klien, melalui konfigurasi CLI Router3 berikut.
(config)#ip dhcp pool voicelab10
(dhcp-config)#network 172.16.1.0 255.255.255.0
(dhcp-config)#default-router 172.16.1.1
(dhcp-config)#option 150 ip 172.16.1.1
(dhcp-config)#exit
(config)#ip dhcp pool voicelab20
(dhcp-config)#network 172.16.2.0 255.255.255.0
(dhcp-config)#default-router 10.10.10.1 #IP source address server VoIP
(dhcp-config)#option 150 ip 10.10.10.1 #IP source address server VoIP
(dhcp-config)#exit
(config)#exit
#
e) Melakukan setting routing table dengan konfigurasi static, agar jaringan yang berada dalam Router3 dapat terhubung dengan jaringan lainnya.
5. Simpan semua pengaturan jaringan melalui CLI Router, dengan perintah #copy running-config startup-config. Setelah itu, tekan enter dan enter, hingga muncul pemberitahuan building OK.
6. Setelah konfigurasi jaringan pada semua Router selesai dilakukan, maka selanjutnya melakukan pengaturan VLAN pada Switch1 dan Switch2. Switch yang digunakan pada topologi ini adalah 2950T-24, karena interface yang dimilikinya lebih lengkap, yakni 24 port fastethernet (kecepatan bandwidth: 100 Mbps) dan 2 port gigabit ethernet (kecepatan bandwidth: 1000 Mbps). Sama seperti Router, konfigurasi VLAN pada Switch, juga dilakukan dalam area CLI. Berikut tahapan yang dilakukan, untuk menerapkan metode segmentasi VLAN pada jaringan VoIP.
a) Melakukan pengaturan mode trunk sebagai penghubung Switch dengan Router, agar pesan baik yang datang maupun keluar dari Router, dapat terkirim ke semua Switch port.
(config)#int Gig1/1
(config-if)#switchport mode trunk
(config-if)#switchport trunk native vlan 99
(config-if)#exit
(config)#
Setelah pengaturan mode trunk selesai dilakukan, maka pasang kabel straight dari Router terdekat, dengan interface Gig1/1 pada Switch.
b) Selanjutnya, melakukan pengaturan mode access untuk jalur akses data (vlan 10).
(config)#vlan 10
(config-vlan)#name DATA
(config-vlan)#exit
(config)#int ra fa0/13-24
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
(config-if)#exit
(config)#
Setelah pengaturan mode access untuk vlan 10 selesai dilakukan, maka kabel straight dari device terdekat, dapat dipasang pada salah satu Switch port, yang digunakan khusus untuk jalur akses data.
c) Yang terakhir dari tahap ini, melakukan pengaturan mode access untuk jalur akses suara (vlan 20).
(config)#vlan 20
(config-vlan)#name VOICE
(config-vlan)#exit
(config)#int ra fa0/1-12
(config-if)#switchport mode access
(config-if)#switchport access vlan 20
(config-if)#switchport voice vlan 20
(config-if)#exit
(config)#exit
#
Setelah pengaturan mode access untuk vlan 20 selesai dilakukan, maka kabel straight dari device terdekat, dapat dipasang pada salah satu Switch port, yang digunakan khusus untuk jalur akses suara.
d) Sama seperti Router, semua hasil konfigurasi segmentasi VLAN, dapat disimpan dengan menggunakan perintah #copy running-config startup-config.
7. Selanjutnya, menambahkan pengaturan firewall, untuk meningkatkan keamanan jaringan VoIP. Pengaturan firewall pada topologi ini, dilakukan dalam dua tempat, yakni fastethernet0/1.10 Router2 dan fastethernet0/1.10 Router3.
a) Pengaturan firewall dalam subinterface fastethernet0/1.10 Router2.
(config)#access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.2.0 0.0.0.255
(config)#access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255
(config)#access-list 101 permit ip any any
(config)#int fa0/1.10
(config-subif)#ip access-group 101 in
(config-subif)#exit
(config)#
b) Pengaturan firewall dalam subinterface fastethernet0/1.10 Router3.
(config)#access-list 101 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(config)#access-list 101 deny ip 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
(config)#access-list 101 permit ip any any
(config)#int fa0/1.10
(config-subif)#ip access-group 101 in
(config-subif)#exit
(config)#exit
#
c) Semua hasil konfigurasi firewall, dapat disimpan dengan menggunakan perintah #wr, dan kemudian tekan enter hingga muncul pemberitahuan building OK.
d) Catatan terkait pengaturan firewall:
- Rumus pengaturan firewall: #access-list [nomor ACL] permit/deny [tipe paket yang akan diakses] [IP sumber] [wildcard sumber] [IP tujuan] [wildcard tujuan].
- Nomor ACL (Access Control List), digunakan untuk menyaring paket apapun yang lewat, sesuai dengan tipe paket yang dipilih. Nomor ACL yang digunakan pada pengerjaan tugas akhir ini adalah tipe extended, yang memiliki range 100-199. Nomor ACL ini, dapat menyaring paket berdasarkan IP address, port, dsbnya. Berbeda dengan tipe standard (1-99), yang hanya dapat menyaring paket berdasarkan IP address.
- Secara garis besar, maksud dari pembuatan aturan firewall di atas adalah, upaya untuk menutup akses pengiriman paket IP, yang berbeda VLAN. Pengaturan firewall ini, dilakukan agar masing-masing jalur, tidak mengalami interferensi.
8. Langkah yang selanjutnya, yakni melakukan pengaturan Access Point (AP), yang bertujuan untuk membantu Router dalam melakukan penyebaran alamat IP. Nama AP (SSID) pada topologi ini, adalah bengbeng dan top. Berikut langkah konfigurasi yang dilakukan pada kedua AP tersebut.
a) Memastikan port 0 Access Point aktif.
b) Kemudian port 1 Access Point juga diaktifkan. Dalam area ini, SSID Access Point dapat diubah dan jenis pengamanannya, juga dapat diatur sesuai kebutuhan.
9. Setelah semua konfigurasi perangkat utama selesai dilakukan, selanjutnya memasang device (PC dan Smartphone) pada jalurnya masing-masing, dengan menggunakan konfigurasi dhcp, untuk menangkap IP yang telah dibagikan Router.
a) Pengaturan dhcp pada PC Data. Untuk memperoleh hasilnya, checklist terlebih dahulu pilihan Static, baru kemudian checklist kembali DHCP, maka dengan segera PC Data akan memperoleh alamat IP dari Router.
b) Pengaturan dhcp di atas juga dilakukan pada Smartphone. Untuk Smartphone, terdapat beberapa tahapan yang perlu dilakukan konfigurasi terlebih dahulu, agar memperoleh alamat IP dari Router. Tahapan tersebut antara lain
- Checklist DHCP pada pilihan Settings Smartphone.
- Ubah SSID default pada Smartphone dengan SSID Access Point terdekat.
- Setelah Smartphone berhasil terhubung ke Access Point, maka asal Smartphone menggunakan konfigurasi dhcp, otomatis Smartphone tersebut akan memperoleh alamat IP yang telah dibagikan Router dengan segera. Akan tetapi sama seperti pada langkah dhcp PC Data, untuk memperoleh hasil broadcast IP dari Router, checklist terlebih dahulu pilihan Static, baru kemudian kembali ke pilihan DHCP.
10. Melakukan pengecekan jaringan dengan mengirimkan paket ICMP pada masing-masing device. Tahap ini bertujuan untuk mengecek stabil tidaknya jaringan yang dibangun, dan biasanya pengiriman paket baru menunjukkan hasil sebenarnya, setelah pengiriman kedua atau ketiga.
a) Buka menu Cisco IP Communicator pada tab Desktop Smartphone.
b) Jika hasil konfigurasi yang dilakukan sebelumnya telah stabil, maka akan muncul number ephone pada simulasi ephone Cisco (Smartphone). Hal ini tidak berlaku untuk ephone Cisco pada device PC, karena device tersebut menggunakan jalur akses data, dimana pada langkah dhcp pool, IP gateway yang digunakan jalur akses tersebut, tidak merujuk pada alamat IP gateway Router1 yang dijadikan sebagai IP source address server VoIP, yakni 10.10.10.1.
Hasil konfigurasi di atas, dapat teman-teman lihat dengan mengunduh link berikut, unduh topologi VoIP. Jangan lupa untuk melakukan setting dhcp kembali pada masing-masing device klien, agar hasil konfigurasi dapat digunakan.
Demikian serangkaian tahapan untuk menerapkan metode segmentasi VLAN, dalam jaringan VoIP dengan menggunakan aplikasi Cisco Packet Tracer. Jika ada kesalahan dalam penulisan maupun penyampaian metode, penulis mohon maaf. Terima kasih atas perhatiannya dan selamat mencoba.
Sumber:
http://www.danscourses.com/CCNA-Security/extended-access-lists-acl.html
http://www.ciscopress.com/articles/article.asp?p=1745631&seqNum=3
