Professional Documents
Culture Documents
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Jadwal Training
Session 1 Hari 1 Hari 2 Hari 3 Hari 4 Session 2 Session 3 Session 4
Introduction Bridge
TCP/IP Instalation
Wireless
Firewall Hotspot
00-2
9-Feb-11
Jadwal Harian
08.30 10.00 10.00 10.30 10.30 - 12.00 12.00 13.00 13.00 14.30 14.30 15.00 15.00 - 17.00
00-3
9-Feb-11
Basic/Essential Training
Advance Training
l
Wireless
MikroTik Certified Wireless Engineer (MTCWE) MikroTik Certified Routing Engineer (MTCRE) MikroTik Certified Traffic Control Engineer (MTCTCE) MikroTik Certified User Managing Engineer (MTCUME)
Mikrotik Indonesia http://www.mikrotik.co.id 9-Feb-11
Routing
Traffic Control
User Managing
00-4
Certification Test
Diadakan oleh Mikrotik.com Dilakukan pada sessi terakhir Yang lulus akan mendapatkan sertifikat yang diakui secara internasional
00-5
9-Feb-11
Introduction to Mikrotik
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Using Mikrotik since 2001, as Wireless ISP (Citra-Net) Mikrotik OEM Authorized Reseller (2002)
http://www.mikrotik.com/1howtobuy.html
01-7
2/9/11
Head Office
l
Jalan Petung 31 Papringan Yogyakarta 55281 Telp: 0274-554444 Fax: 0274-553055 Gd Cyber Lt 11 Jl Kuningan Barat 8 Jakarta 12710 Telp: 021-5209612 Fax: 021-5209614
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Rep. Office
l
01-8
What Is Mikrotik?
Menjadikan PC biasa memiliki fungsi router yang lengkap Diinstall sebagai Operating System, tidak membutuhkan operating system lainnya Wireless board contoh: RB400, RB600, RB750, RB1000 Wireless interface (R52, R52H, R5H, R52N, R2N) menggunakan RouterOS sebagai software
l l
01-9
2/9/11
What Is Mikrotik?
Mikrotik adalah kependekan dari mikrotikls Artinya: network kecil dalam bahasa Latvia
01-10
2/9/11
Routerboard Specification ?
Kinerja Processor
l
01-11
RAM
Ether
MiniPCI
USB
Radio
Lisensi
RB800 RB433UAH RB433AH RB433 RB411AH RB411AR RB411U RB711A-5nH RB411 RB711-5nH
25MB 128MB 128MB 64MB 64MB 64MB 32MB 64MB 32MB 32M
3 (gig) 3 3 3 1 1 1 1 1 1
4 3 3 3 1 1 1 1 -
2 1 -
1 1 1
6 5 5 4 4 4 4 4 3 3
Processor PPC 800 MHz Atheros 680 MHz Atheros 680 MHz Atheros 300 MHz Atheros 680 MHz Atheros 300 MHz Atheros 400MHz Atheros 680 MHz
RAM
Ethernet
MiniPCI 0 3 3 3 0 0 0 0
Lisensi 6 5 5 4 5 5 4 4
2/9/11
Discontinued Hardware
RB230
RB112
RB133
RB333
RB532
01-14
RB150
RB192
RB153
2/9/11
RB1100
11 gigabit ethernet 0 minipci 800 MHz Network Processor RAM: 512MB up to:
l l
1U rackmount
01-15
2/9/11
RB800
3 Gigabit Ethernet 4 Minipci Slot 1 Minipci-e Slot CF slot MPC8544 800MHz CPU 256 DDR SDRAM RouterOS Level 5
01-16
2/9/11
RB433UAH
3 Ethernet, 3 Minipci Atheros AR7161 680MHz RAM: 128MB With micro-SD slot RouterOS Level 5 2 port USB
01-17
2/9/11
RB433
3 ethernet, 3 minipci Atheros AR7130 300 MHz RAM: 64MB RouterOS Level 4
01-18
2/9/11
CPU: Atheros
l
AR7130 300MHz (411, 411U, 411R, 411AR) AR7161 680 MHz (411AH)
Memory: l 32 MB (411, 411U, 411R) 64MB (411A & 411AR) Wireless Embedded (411R, 411AR)
l
1 ethernet 1 MiniPCI (411, 411U, 411AR, 411AH) Lisensi RouterOS: l Level 3 (411, 411R)
l
01-19
Embeded Solution
Embedded Antenna 2,4GHz & 5GHz With Routerboard 411 series / 711 Series
NEW PRODUCT
01-20
2/9/11
RB493(AH & G)
01-21
RB450 (G)
5 port Ethernet (gigabit) Tanpa minipci port Processor : Atheros 300MHz (680 MHz) RAM: 256 MB RouterOS Level 5
01-22
2/9/11
RB750 (G)
Produk routerboard terhemat dan terkecil Processor : AR7240 400Mhz (750) AR7161 680MHz (750G) 5 ethernet port (750) 5 gigabit port (750G) Lisensi Level 4
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
01-23
Hardware (Interface)
R52/H
l l l l
Atheros chipset MiniPCI type interface 65 mWatt / 350 mWatt 3 band wireless
01-24
2/9/11
R52N
NEW PRODUCT
Dual band IEEE 802.11a/b/g/n standard Output Power of up to 25dBm @ b/g/n Band Support for up to 2x2 MIMO with spatial multiplexing Four times the throughput of 802.11a/g Atheros AR9220, chipset 2 X U.FL Antenna Connector Operating temperatures: 0C to 60C Power consumption MAX 2.4W Modulations: OFMD: BPSK, QPSK, 16 QAM, 64QAM DSSS: DBPSK, DQPSK, CCK High Performance (up to 300Mbps physical data rates and 200Mbps of actual user throughput) with Low Power Consumption ESD protection agaist +/-10kV ESD discharge on Antenna port
01-25
2/9/11
Wireless N - Performance
01-26
NEW PRODUCT
1U rackmount
NEW PRODUCT
01-27
2/9/11
Mikrotik RouterOS
RouterOS adalah sistem operasi dan perangkat lunak yang mampu membuat PC berbasis Intel/AMD mampu melakukan fungsi Router, Bridge, Firewall, Bandwidth Management, Wireless AP & Client dan masih banyak fungsi lainnya RouterOS dapat melakukan hampir semua fungsi networking dan juga beberapa fungsi server.
01-28
2/9/11
Keunggulan
Membuat PC yang murah menjadi router yang handal Pembaharuan versi secara berkala Memiliki banyak fitur Memiliki user interface yang mudah dan konsisten Ada banyak cara untuk mengakses dan mengontrol Instalasi yang cepat dan mudah Memungkinkan upgrade hardware Banyak alternatif interface yang dapat digunakan
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
01-29
Hardware Compability
SATA disk support Maximum RAM support increased from 1GB to 2 GB RouterOS version 4.X l Linux Kernel version 2.6.27.39 Latest interface driver support Dropped Legacy interface support
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
01-30
IP Routing
l l l
Static route & Policy route Dynamic Routing (RIP, OSPF, BGP) Multicast Routing Ethernet, V35, G703, ISDN, Dial Up Modem Wireless : PTP, PTMP, Nstream, WDS, Mesh Bridge, Bonding, STP, RSTP Tunnel: EoIP, IPSec, IPIP, L2TP, PPPoE, PPTP, VLAN, MPLS, OpenVPN Mangle, NAT, Address List, Filter Rules, L7 protocol HTB, PFIFO, BFIFO, SFQ, PCQ, RED
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Interface
l l l l
Firewall
l
Bandwidth Management
l
01-31
Services (Server)
l
Proxy (cache), Hotspot, DHCP, IP Pool, DNS, NTP, Radius Server (User-Manager) PPP, Radius Client IP Accounting, Traffic Flow Graphs, Watchdog, Torch, Custom Log, SNMP, The Dude Monitoring Tools Ping, TCP Ping, Tracert, Network Monitoring, Traffic Monitoring, Scheduller, Scripting
AAA
l l
Monitoring
l
VRRP
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
01-32
Licence Level
Level Upgrade time Wireless CPE/PTP Wireless AP Sync Interface EoIP PPPoE PPTP & L2TP VLAN, Firewall, Queue Proxy, Radius Client Dynamic Routing Hotspot Active User User Manager Active User
01-33
4 yes
dalam 1 versi mayor dan versi berikutnya no no 1 1 1 200 200 unlimited yes RB = yes 1 10 200 20 yes 500 50 unlimited unlimited yes yes unlimited 500 unlimited unlimited
2/9/11
Pembelian Lisensi
Online, real time, pembayaran dengan kartu kredit, di www.mikrotik.com Online di www.mikrotik.co.id
l l l l
Waktu proses 1 hari kerja Transfer ke rekening bank lokal Lebih murah! Real time license processing! Setelah pembayaran diterima. Real time payment processing, via IndoMOG
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
01-34
Checking Licence
01-35
2/9/11
Fungsi perangkat (Router, Server dll) Jumlah trafik (Real Troughput) Fitur yang dibutuhkan (Proxy, Hotspot, Radius) Interface yang dibutuhkan
Baik menggunakan PC ataupun menggunakan Routerboard, fitur Mikrotik RouterOS selalu sama (tergantung pada level yang digunakan)
01-36
2/9/11
Berdasarkan Processor
PC
l l
SMP (Symmetric Multiprocessing) support Single Core RB411,411U,411R,411AR,433,450,493 300mhz RB411AH,433AH,493AH,450G,433UAH 680mhz RB800 PPC 800mhz with co-processor RB1000 PPC 800Mhz with co-processor
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Routerboard System
l
l l 01-37
Kita dapat memanfaatkan VLAN dengan bantuan Switch Managable untuk menambah jumlah interface fisik
01-38
2/9/11
Fungsi Web-Proxy
Untuk fungsi web-proxy, kita membutuhkan router yang bisa memiliki storage yang cukup besar:
l l l l l l
PC + DoM sebagai system + HD sebagai cache RB1100 + micro drive RB800 + compact flash RB433AH + micro drive RB433UAH + micro drive / external HD RB493G + micro drive
01-39
2/9/11
GSM Router
01-40
2/9/11
Wireless Device
Berapa interface wireless yang dibutuhkan? Beberapa perangkat yang tidak memiliki minipci :
l
Untuk access point, tidak bisa menggunakan level 3, harus minimal level 4 (RB411 & RB711 memiliki level 3, sehingga tidak bisa dijadikan access point)
01-41
2/9/11
Wireless Repeater
Wireless repeater bisa dilakukan Menggunakan lebih dari satu MiniPCI Wireless Card
l
01-42
2/9/11
Komunikasi wireless sebenarnya menggunakan transmisi half-duplex. Mikrotik mampu mengimpementasikan Wireless FullDuplex menggunakan Nstreme-Dual. RB433 & RB433AH 2 Wireless card RB800 2 wireless card
01-43
2/9/11
Kebutuhan Gigabit
01-44
2/9/11
Mikrobits Lv 6 Coming Soon! RB1100 RB800 RB493 AH/G (maksimal 50 active users) RB433AH/UAH (maksimal 50 active users)
01-45
2/9/11
Mikrotik Installation
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Installasi Mikrotik
SATA DOM (coming soon on mikrotik.co.id) komputer harus bisa booting dari USB (setting BIOS)
Routerboard
02-47
9-Feb-11
Installation Method
CD
l
Create CD from CD image (iso file) Via network using NetInstall program. The prospective router should be booted from a network by using special floppy or network cards features (PXE,EtherBoot)
Netinstall
l
02-48
9-Feb-11
02-49
9-Feb-11
CD Installation (1)
Download ISO file (mikrotik-***.iso) dan buatlah CD bootable dengan file tersebut.
02-50
9-Feb-11
CD Installation (2)
Gunakanlah CD yang telah dibuat untuk melakukan booting pada komputer Pilihlah module yang ingin diinstall
02-51
9-Feb-11
CD Installation (3)
Choose Yes
Yes/No
02-52
9-Feb-11
Installation Check
02-53
9-Feb-11
Demo
License level 0 Demo time 15:39:27 jam Copy license key tekan tombol Paste Key
02-54
9-Feb-11
Netinstall
Switch Network: 192.168.1.0/24
IP Address: 192.168.1.10/24
RS-232
02-55
9-Feb-11
Netinstall
Download program netinstall dan module yang dibutuhkan Hubungkan router dengan komputer via cross utp cable atau via switch Hubungkan juga router dengan komputer via console cable Jalankan program netinstall, dan hidupkan service Hidupkan router, masuk ke setting BIOS Pilih boot via ethernet . restart Pilih router Pilih module yang akan diinstall Start install . Selesai Kembalikan boot ke IDE drive
02-56
9-Feb-11
02-57
9-Feb-11
02-58
9-Feb-11
02-59
9-Feb-11
Netinstall - Config
02-60
9-Feb-11
Netinstall - Config
Masukkanlah IP Address yang berbeda dengan IP Address laptop / komputer Anda, namun berada dalam subnet yang sama
02-61
9-Feb-11
Netinstall - Config
02-62
9-Feb-11
02-63
9-Feb-11
RouterOS Package
Nama Paket advanced-tools dhcp hotspot ntp ppp routerboard routing security wireless user-manager ipv6
02-64
Fungsi email client, ping, netwatch DHCP server dan client hotspot gateway NTP server PPP,PPTP,L2TP,PPPoE Fungsi khusus Routerboard RIP, OSPF, BGP secure winbox, SSH, IPSec Wireless 802.11a/b/g User-Manager management system IPv6
Mikrotik Indonesia http://www.mikrotik.co.id 9-Feb-11
Version Upgrade
Download modul
l l l l
routeros-mipsbe-3.xx.npk (RB400 & RB700) routeros-mipsle-3.xx.npk (RB100 & RB500) routeros-powerpc-3.xx.npk (RB300 & RB600) routeros-x86-3.xx.npk (PC & RB200) Harus menggunakan userid yang full access Command - /system reboot
02-65
9-Feb-11
Version Downgrade
Download modul yang lama FTP copy modul tersebut ke router Cek modul : /file print /system package downgrade
admin@MikroTik] system package> downgrade Router will be rebooted. Continue? [y/N]: y system will reboot shortly
02-66
9-Feb-11
Struktur Command dalam mikrotik mirip dengan shell dalam unix Dibagi ke dalam beberapa kelompok sesuai hirarki menu levelnya Misalnya menambahkan ip address
l
Ip address add address=192.168.0.1/24 interface=ether1 Menu Ip (level0) memiliki sub menu address (level1)
02-67
9-Feb-11
menambahkan entri tertentu membubuhkan komentar pada suatu entri menonaktifkan entri tertentu mengaktifkan entri tertentu memonitor parameter secara live menampilkan semua entri secara singkat menampilkan semua entri secara lengkap menghapus entri tertentu mengubah parameter tertentu pada sebuah entri
Mikrotik Indonesia http://www.mikrotik.co.id 9-Feb-11
02-69
Quick Typing
l
02-70
9-Feb-11
Basic TCP/IP
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Training Outline
OSI Layer Packet Header Mac Address IP Address and subnetting IP Protocol Basic networking, DNS, gateway
04-72
2/9/11
Internet Topologi
Open Systems Interconnection (OSI) adalah sebuah model referensi arsitektur antarmuka jaringan yang dikembangkan oleh ISO yang kemudian menjadi konsep standard komunikasi jaringan di hampir semua perangkat jaringan.
Application Set
04-74
2/9/11
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
Routing Protocols RIP, OSPF, BGP
IP
ARP
Packet Header
IP version (4) IP Header Length Type of service
ver IHL ToS 16 bit total length fragment offset flag/length 16 bit identification TTL protocol 16 bit header checksum 32 bit source IP Address Time to Live 32 bit destination IP Address options (if any) data
04-76
2/9/11
MAC Address
MAC = Media Access Control Digunakan sebagai identitas yang unik dari setiap interface hardware, yang merupakan identitas untuk berkomunikasi di OSI layer 2. Sebagian bit merupakan identitas pabrik pembuat hardware 48 bit hex. Contoh: AA:BB:CC:DD:EE:FF Jika sebuah router memiliki 3 interface fisik, maka akan memiliki 3 buah mac address Untuk virtual interface (VLAN, EoIP) maka ditambahkan mac address virtual.
04-77
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
ARP Table
Address Resolution Protocol Merupakan protokol penghubung antara layer data-link dan network. ARP Table di router merupakan daftar host yang terhubung langsung berisi informasi pasangan mac address dan ip address
04-78
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
IP Address
Adalah sistem pengalamatan setiap host yang terhubung ke jaringan Saat ini IP Address yang banyak digunakan adalah IP versi 4. (32 bits / 4 bytes) - 4,294,967,296 hosts
04-79
2/9/11
Pengelompokan IP Address
Pengelompokan IP Address dilakukan dengan subnet-ing. Subnet .. 0 32 Melambangkan jumlah IP dalam subnet tersebut dengan rumus 2(32-x) Subnet 0 berarti semua IP Address Subnet 32 berarti 1 IP Address
04-80
2/9/11
IP Subneting (contoh 1)
Contoh:
192.168.0.0/24
l Netmask
: 255.255.255.0 l Prefix : /24 l IP Network : 192.168.0.0 l First HostIP: 192.168.0.1 l Last HostIP : 192.168.0.254 l Broadcast : 192.168.0.255 l HostIP : total IP di dalam Subnet () minus 2
04-81
2/9/11
IP Subneting (contoh 2)
Contoh:
192.168.0.0/25
l Netmask
: 255.255.255.128 l Prefix : /25 l IP Network : 192.168.0.0 l First HostIP: 192.168.0.1 l Last HostIP : 192.168.0.126 l Broadcast : 192.168.0.127 l HostIP : total IP di dalam Subnet () minus 2
04-82
2/9/11
Tabel Subnet
Subnet Mask 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 255.255.255.254 255.255.255.255
04-83
Prefix /24 /25 /26 /27 /28 /29 /30 /31 /32
No of IP 256 128 64 32 16 8 4 2 1
IP Address yang dapat diakses di jaringan internet. Kita bisa mendapatkan Public IP Address dari: Dipinjami dari ISP Alokasi dari APNIC/IDNIC (www.idnic.net)
Public IP Address
IP Address yang diperuntukkan untuk jaringan lokal (tidak dapat diakses di jaringan internet) 10.0.0.0 10.255.255.255 (10./8) 172.16.0.0 172.31.255.255 (172.16./12) 192.168.0.0 192.168.255.255 (192.168./16)
04-84
Private IP Address
2/9/11
IP Address v6
Sistem IP Address yang baru, penyempurnaan dari IPv4 yang akan habis (diperkirakan tahun 2012) Menggunakan 128bit, ada 3,4 x 1038 hosts
04-86
2/9/11
IP Protocol
Adalah protokol standart yang digunakan untuk mengkomunikasikan data melalui berbagai jenis perangkat dan layer. Pengiriman data dilakukan dengan sistem per paket dan/atau per connection . Sistem ini menjamin keutuhan data, dan mencegah terjadinya kekurangan ataupun duplikasi data. Ada beragam protokol yang biasa digunakan, yang umum adalah TCP, UDP, dan ICMP.
04-87
2/9/11
Disalurkan berbasis best effort sehingga bisa terjadi error (datagram lost) Banyak digunakan untuk pengecekan jaringan Prinsip kerja: Host (router ataupun tujuan) akan mendeteksi apabila terjadi permasalahan tranmisi, dan membuat ICMP message yang akan dikirimkan ke host asal. Aplikasi ICMP yang paling banyak digunakan: ICMP dan trace route
0 1 2 3 4 5 6 7 8 9 10 11
04-88
04-89
2/9/11
04-90
2/9/11
Reliable Transmission Mampu melakukan pengurutan paket data, setiap byte data ditandai dengan nomor yang unik Error Detection Jika terjadi error, bisa dilakukan pengiriman ulang data
04-91
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
04-92
2/9/11
Host yang memiliki IP Address dari subnet yang sama bisa terkoneksi langsung, tanpa melalui router
192.168.0.254/24 switch
Internet
192.168.0.4/24
192.168.0.246/24
192.168.0.191/24
2/9/11
Dua buah IP Address yang berasal dari subnet yang sama tidak boleh dipasang pada dua buah interface yang berbeda pada sebuah router
Ether1 192.168.0.28/24
Ether2 192.168.2.74/24
Ether3 192.168.4.151/24
Ether4 192.168.5.211/24
04-94
2/9/11
Router bertugas untuk menghubungkan dua atau lebih jaringan yang memiliki subnet yang berbeda
Internet
10.10.10.254/24
192.168.1.24/24
2/9/11
04-95
Default gateway menentukan ke arah mana trafik harus disalurkan untuk menuju ke internet
switch 192.168.0.254/24
Internet
192.168.0.4/24
192.168.0.246/24
192.168.0.191/24
2/9/11
04-97
2/9/11
WLAN1 10.10.10.1/24
WLAN1 10.10.10.2/24
WLAN1 10.10.10.X/24
MEJA 1
03-99
MEJA 2
Mikrotik Indonesia http://www.mikrotik.co.id
MEJA X
2/9/11
IP Configuration
Lab-1 adalah sebuah simulasi konfigurasi dasar sebuah Router Mikrotik yang akan digunakan di jaringan local seperti warnet, office, kampus atau bahkan di RT/RWNET
X = nomor peserta
Routerboard Setting l WAN IP : 10.10.10.x/24 l Gateway : 10.10.10.100 l LAN IP : 192.168.x.1/24 l DNS : 10.100.100.1 l Src-NAT and DNS Server Laptop Setting l IP Address : 192.168.x.2/24 l Gateway : 192.168.x.1 l DNS : 192.168.x.1
03-100
2/9/11
First Setup
Hubungkan port ethernet Anda dengan ether1 pada routerboard. Pastikan ethernet port Anda memiliki IP statik Jalankan program winbox, klik pada [..] untuk melihat router Anda.
03-101
2/9/11
Supaya tidak membingungkan, ubahlah nama router Anda. Format: xx-NamaAnda Contoh: 01-Budi-Wahyu Aktifkan semua interface
03-102
2/9/11
03-103
2/9/11
03-104
2/9/11
03-105
2/9/11
03-106
2/9/11
03-107
2/9/11
Terminal Config
/interface wireless set wlan1 mode=station ssid=training band=2.4.ghz-b/g scan-list=2400-2500 disabled=no /ip address add address=10.10.10.x/24 interface=wlan1 /ip address add address=192.168.x.1/24 interface=ether1
Konfigurasi IP Address
l l
Konfigurasi Routing Default Gateway l /ip route add gateway=10.10.10.100 Konfigurasi DNS
l
/ip dns set primary-dns=10.100.100.1 allow-remoterequest=yes /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Konfigurasi NAT
l
03-108
Installation Debug
Test ping dari Router ke Gateway (10.10.10.100) l Jika error : Cek Wireless connection, Cek IP Address pada wlan1 Test ping dari Router ke Internet (contoh: yahoo.com) l Jika error : Cek DNS Server Setting Test ping dari laptop ke router Anda (10.10.10.x) l Jika error : Cek konfigurasi laptop, Cek IP Address pada Ether1 Test ping dari laptop ke Gateway (10.10.10.100) l Jika error : Cek Firewall - NAT Test ping dari laptop ke Internet (contoh: yahoo.com) l Jika error : Cek setting DNS pada laptop dan router
03-109
2/9/11
NTP protocol memungkinkan sinkronisasi waktu dalam sebuah jaringan Mikrotik support NTP server dan NTP Client NTP Server
Install paket ntp, karena paket 'system' hanya menyertakan servis ntp client l Mode:broadcast,manycast,multicast l Konfigurasi NTP Server
l
Setting clock /system clock Set enable /system ntp server set enabled=yes
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
03-110
Set enable Set mode unicast Set IP NTP server Set time zone pada menu : /system clock
03-111
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
4 fase sinkronisasi
Started : start service NTP l Reached : terkoneksi dengan NTP server l Timeset : mengganti waktu/tanggal lokal sesuai waktu NTP server l Synchronized :mengganti jam lokal sama dengan jam NTP server
l
Latihan: setting NTP server maupun NTP Client bersama rekan semeja
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
03-112
03-113
2/9/11
Jika ingin menentukan nama file backup, bisa melakukan backup melalui console Membuat file backup:
[admin@MikroTik] > /system backup save name=backup-1 Saving system configuration Configuration backup saved [admin@MikroTik] >
File backup dapat dilihat di submenu /file Dapat didownload via FTP
03-114
2/9/11
03-115
2/9/11
System Reset
Untuk mengembalikan ke konfigurasi awal (default). Perintah ini menghapus semua konfigurasi yang telah dibuat, termasuk user dan password. Hanya bisa dilakukan oleh user dengan hak penuh (grup: full)
03-116
2/9/11
03-117
2/9/11
2 4 6 7
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
5
03-118
Konfigurasi DHCP-Server setup l /ip dhcp-server setup l dhcp server interface: ether1
l l l l l l
dhcp address space: 192.168.x.0/24 gateway for dhcp network: 192.168.x.1 dhcp relay: 192.168.x.1 addresses to give out: 192.168.x.10-192.168.x.20 dns servers: 192.168.x.1 lease time: 3d
03-119
2/9/11
DHCP Test
Ubahlah konfigurasi IP Address dan DNS pada laptop menjadi otomatis Cek pada laptop apakah sudah mendapatkan alokasi IP Address dari DHCP
l
03-120
2/9/11
DHCP Management
Daftar DHCP client yang aktif terlihat pada menu DHCP-Server Leasses Untuk membuat IP Address tertentu hanya digunakan oleh Mac Address tertentu, kita menggunakan DHCP-Statik
03-121
2/9/11
DHCP Static
03-122
2/9/11
DHCP-Server add-arp-forleases=yes Client yang terkoneksi ke DHCP akan secara otomatis dimasukkan ke dalam ARP table.
03-123
2/9/11
ARP=reply-only Client yang bisa terkoneksi hanyalah yang mendapatkan IP Address melalui proses DHCP, bukan pengisian manual
03-124
2/9/11
Dalam beberapa kondisi tertentu, IP Address pada router bukanlah IP Address statik, melainkan IP Address dinamis yang di dapat melalui DHCP. Dalam hal ini, kta menggunakan fitur DHCP-Client
03-125
2/9/11
03-126
2/9/11
Interface
l
Pilihlah interface yang sesuai yang terkoneksi ke DHCP Server Nama DHCP client yang akan dikenali oleh DHCP Server Biasanya merupakan mac-address interface yang kita gunakan, apabila proses DHCP di server menggunakan sistem radius
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
03-127
Add default route l Bila kita menginginkan default route kita mengarah sesuai dengan informasi DHCP Use Peer DNS l Bila kita hendak menggunakan DNS server sesuai dengan informasi DHCP Use Peer NTP l Bila kita hendak menggunakan informasi pengaturan waktu di router (NTP) sesuai dengan informasi dari DHCP Default route distance l Menentukan prioritas routing jika terdapat lebih dari satu DHCP Server yang digunakan. Routing akan melalui distance yang lebih kecil
03-128
2/9/11
03-129
2/9/11
03-130
2/9/11
User dapat dikategorikan hak nya berdasarkan grupnya. Kita bisa menambahkan user baru dengan hak tertentu.
03-131
2/9/11
About User
Buatlah user baru yang memiliki hak penuh dan non aktifkan user admin Untuk teknisi bisa diberikan grup write (bukan full) sehingga kita masih memiliki hak penuh terhadap router kita Untuk pemantauan, bisa menggunakan user dengan grup read
03-132
2/9/11
Buat user tambahan untuk rekan semeja anda Buat grup beserta hak yang dimiliki Tentukan juga address yang diijinkan untuk mengakses router
03-133
2/9/11
Untuk memetakan OSI level 3 IP address ke OSI level 2 MAC address Digunakan dalam transport data antar host
03-134
2/9/11
Monitoring - Ping
Tool monitoring
l
Ping
Ping uses Internet Control Message Protocol (ICMP) Echo messages to determine if a remote host is active or inactive and to determine the round-trip delay when communicating with it. [user1@MKI] > ping 192.168.0.100 192.168.0.100 64 byte ping: ttl=64 time=1 ms 192.168.0.100 64 byte ping: ttl=64 time=1 ms 192.168.0.100 64 byte ping: ttl=64 time=1 ms 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 1/1.0/1 ms
03-135
2/9/11
Mac Ping
03-136
2/9/11
Flood Ping
03-137
2/9/11
Monitoring - Traceroute
Traceroute
l
Traceroute determines how packets are being routed to a particular host We can choose the protocol : ICMP or UDP
03-138
2/9/11
Monitoring - Torch
l
Torch
Realtime Traffic Monitor called also torch is used for monitoring traffic that is going through an interface.
03-139
2/9/11
Monitoring - Resource
Resource
l
To monitor the System. Detail Resource monitor located on right side buttons
03-140
2/9/11
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Bridge - Concept
Menggabungkan 2 atau lebih interface yang bertipe ethernet, atau sejenisnya, seolah-olah berada dalam 1 segmen network yang sama. Proses pada layer data link. Mengaktifkan bridge pada 2 buah interface akan menonaktifkan fungsi routing di antara kedua interface tersebut. Mengemulasi mode switch secara software pada dua atau lebih interface. Sebagian orang suka menggunakan sistem bridge pada wireless network mereka, karena:
l l
Lebih mudah dibuat Perangkat wireless umumnya tidak mendukung implementasi penuh protocol routing
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
06-142
Perangkat-perangkat wireless berada dalam satu subnet / bridge network yang sama
CLIENT
192.168.0.1
ROUTER GATEWAY WIRELESS
192.168.0.100-254 192.168.0.2
06-143
2/9/11
Bridge - Topology
CLIENT
192.168.0.2 192.168.0.100-254
06-144
2/9/11
System Bridge
l l l
Sulit untuk mengatur trafik broadcast (misalnya akibat virus, dll) Permasalahan pada satu segment akan membuat masalah di semua segment pada bridge yang sama Sulit untuk membuat fail over system Sulit untuk melihat kualitas link pada tiap segment Beban trafik pada setiap perangkat yang dilalui akan berat, karena terjadi akumulasi traffic
06-145
2/9/11
Ethernet VLAN
Merupakan bagian dari ethernet atau wireless interface Jangan melakukan bridge sebuah VLAN dengan interface induknya Note: station-pseudobridge tidak bisa di-bonding Lebih detail pada slide lain Selama bridge dilakukan baik di sisi server maupun client
PPTP
06-146
2/9/11
Bridge!
Kita tidak harus memasang IP Address pada sebuah bridge interface Jika kita menonaktifkan bridge, pada IP Address yang terpasang pada bridge akan menjadi invalid Kita tidak bisa membuat bridge dengan interface yang bukan bertipe ethernet seperti synchronous (serial), IPIP, PPPoE, dll. Namun, bisa kita lakukan bridge pada interface tersebut dengan membuat EoIP Tunnel terlebih dahulu. EoIP Tunnel dijelaskan lebih detail di bagian yang lain.
06-147
2/9/11
Create Bridge
06-148
2/9/11
Bridge Port
06-149
2/9/11
Bridge - Example
Internet 222.152.211.0/24 222.152.211.2/24
06-150
2/9/11
Bridge Monitoring
06-151
2/9/11
Berpasangan dengan teman semeja, buatlah konfigurasi bridge berikut ini, sehingga dari laptop A bisa melakukan ping ke laptop B.
Ether1 Ether3 Ether3 Ether1
192.168.10.1/24
192.168.10.2/24
192.168.10.4/24 192.168.10.3/24
06-152
2/9/11
Masih menggunakan konfigurasi yang sama, tambahkan kabel ethernet untuk menghubungkan port ether2 ke ether2 router teman semeja. Cek performancenya dengan Ping
Ether1 Ether3 Ether3 Ether1
192.168.10.1/24
192.168.10.2/24
192.168.10.4/24 192.168.10.3/24
06-153
2/9/11
Bridge Loop ?
Jika terdapat dua atau lebih jalur yang berada dalam sebuah network bridge, hatihati terjadinya bridge loop. Untuk menghindari terjadinya bridge loop, kita menggunakan STP (Spanning Tree Protocol) Meskipun tidak terlalu bagus (kurang responsif), STP dapat juga digunakan sebagai fail over system
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
06-154
Jika Ether1 dan Ether2 pada kedua router dimasukkan ke dalam bridge, maka akan terjadi bridge loop
Ether1 Ether3
Ether2
Ether3
Ether1
Ether2
06-155
2/9/11
Rapid Spanning Tree Protocol (RSTP) In 1998, the IEEE introduced an evolution of the Spanning Tree Protocol: Rapid Spanning Tree Protocol (RSTP) or 802.1w. In the 2004 edition of 802.1D, STP is superseded by the RSTP. RSTP is an evolution of the Spanning Tree Protocol, and was introduced in the extension IEEE 802.1w, and provides for faster spanning tree convergence after a topology change. Standard IEEE 802.1D-2004 now incorporates RSTP and obsoletes STP. RSTP switch port roles:
l
l l
Root - A forwarding port that has been elected for the spanning-tree topology Designated - A forwarding port for every LAN segment Alternate - An alternate path to the root bridge. This path is different than using the root port. Backup - A backup/redundant path to a segment where another switch port already connects. Disabled - Not strictly part of STP, a network administrator can manually disable a port
06-156
2/9/11
STP or RSTP ?
RSTP is a refinement of STP and therefore share most of its basic operation characteristics. However there are some notable differences as summarized below Detection of root switch failure is done in 3 hello times or 6 seconds if default hello time have not been changed All ports that have been configured as access ports are placed in forwarding state without ever checking for loops. However the switch will disable them if it detects a loop. Unlike in STP where the algorithm is passive - ie wait for time to pass for information collection, RSTP will actively send inquiry packet seeking information from neighboring switches. This leads to a faster convergence.
06-157
2/9/11
RSTP Config
06-158
2/9/11
Kita bisa menentukan prioritas jalur yang digunakan pada bridge, jalur lainnya akan menjadi backup (fail over system)
06-159
2/9/11
06-160
2/9/11
Root Port adalah port pada beberapa bridge yang terkoneksi langsung ke Root Bridge.
06-161
2/9/11
Designated Port adalah port yang melakukan forward traffic dalam bridge tersebut. Bisa dikatakan adalah jalur terpendek yang dikalkulasi oleh algoritma RSTP.
D R D
06-162
2/9/11
Alternate Port adalah port yang di block, tetapi D merupakan jalur alternatif yang menuju ke Root Bridge yang berada di bridge berbeda . R
D R D
06-163
2/9/11
Backup Port adalah port yang di block, tetapi merupakan jalur alternatif yang menuju ke Root Bridge yang berada di bridge yang sama. R
D R D B
06-164
2/9/11
Link Monitoring
Cobalah lakukan bandwidth test dari laptop ke laptop. Amati besarnya trafik yang melalui setiap interface
06-165
2/9/11
06-166
2/9/11
06-167
2/9/11
Bridge Filtering
06-168
2/9/11
06-169
2/9/11
Lakukanlah filtering ICMP / UDP pada bridge antar kedua belah laptop
06-170
2/9/11
06-171
2/9/11
EoIP Example
Internet
City A
10.0.0.1 192.168.0.11
City B
10.10.10.2
EoIP
192.168.0.13 192.168.0.3
192.168.0.1
192.168.0.12
192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
06-172
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
EoIP Configuration
06-173
2/9/11
Meja 1
Router A 10.10.10.1 192.168.1.1
Meja 2
Router B 10.10.10.2 192.168.1.11
EoIP
192.168.1.2
192.168.1.12
06-174
2/9/11
06-175
2/9/11
06-176
2/9/11
Wireless Concept
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Kemudahan WirelessLAN
Wireless LAN cukup mencengangkan dunia perkomputeran, karena berbagai kemudahan bisa kita dapatkan untuk menyambung dua atau lebih titik komputer :
l l l l l
Tidak perlu menarik kabel Perangkatnya bisa di geser-geser semaunya Pemeliharaan jaringan relatif lebih mudah Rancangan tempat bisnis bisa sangat fleksibel Mengikuti tren .
07-178
2/9/11
Channels 80211b
World Wide Band
915 MHz 2.4 GHz 5.8 GHz 26 MHz 84.5 MHz 125 MHz
2401
1
2412 2406
2423
2426
6
2437
2448
2451
11
2462
2473
2
2417 2411
2428
2431
7
2442
2453
2456
12
2467
2478
3
2422 2416
2433
2436
8
2447
2458
2461
13
2472
2483
4
2427 2421
2438
2441
9
2452
2463
2473
2484
5
2432
2443
2446
10
2457
2468
2400
2410
2420
2430
2440
2450
2460
ISM Band
07-179
2/9/11
Channels 80211a
36 40 42 5210 44 48 50 5250 52 56 58 5290 60 64
5150
5180 149
5220 157
5260
5280
5300
5320
5350
5735 5745
5765
5785
5805 5815
07-180
Custom Frequencies
MikroTik RouterOS supports ISM Band and custom frequencies for Atheros cards:
2412-2472 MHz 2512-2732 MHz 5180-5320 MHz 5745-5805 MHz 5330- MHz 5815-6100 MHz 2484
2112-2372 MHz
07-181
2/9/11
Spectrum Analyzer
Perangkat Spectrum Analyzer untuk melihat bentuk dan posisi sinyal frekwensi tinggi
07-182
2/9/11
Frequency dan Wavelength Tx Power Rx Sensivity Looses EIRP Free Space Loss (FSL) Line of Sight Freznel Zone
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
07-183
Wavelength
Panjang Gelombang atau Wavelength adalah jarak diantara kedua titik yang sama pada satu getaran. Dalam sistem wireless, biasanya diukur dalam satuan meter, sentimeter atau milli meter
07-184
2/9/11
3 x 10 8 m/s ______________
2,4 x 10 9 Hz
= 0,125 meter
Jadi panjang gelombang-nya hanya 12,5 cm
07-186
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Tx Power
Radio mempunyai daya untuk menyalurkan sinyal pada frekwensi tertentu, daya tersebut disebut Transmit (Tx) Power dan dihitung dari besar energi yang disalurkan melalui satu lebar frekwensi (bandwidth) Misalnya, satu radio memiliki Tx Power +18dBm, maka jika di konversi ke Watt akan didapat 0,064 W atau 64 mW.
07-187
2/9/11
db mWatt Formula
dBm adalah nilai 10 log dari sinyal untuk 1 milli Watt dBW adalah nilai 10 log dari sinyal untuk 1 Watt Sinyal 100 milli Watt jika dijadikan dBm akan menjadi : 10 log 100 mW 1 mW = 20 dBm
07-188
2/9/11
Watts vs dbm
100 W Setiap kenaikan atau kehilangan 3 dB, kita akan mendapatkan dua kali lipat daya atau kehilangan setengahnya . 10 W 2W 1W 100 mW 1 mW 100 uW 0.001 nW
07-189
Mikrotik Indonesia http://www.mikrotik.co.id
50 dBm 40 dBm 33 dBm 30 dBm 20 dBm 0 dBm -10 dBm -80 dBm
2/9/11
Rx Sensivity
Semua radio memiliki point of no return, yaitu keadaan dimana radio menerima sinyal kurang dari Rx Sensitivity yang ditentukan, dan radio tidak mampu melihat data-nya Misalnya, 802.11b mempunyai Received Sensitivity of 76 dBm, maka pada level ini, Bit Error Rate (BER) dari 10-5 (99.999%) akan terlihat. Rx Sensitivity yang sebetulnya dari radio akan bervariasi tergantung dari banyak faktor.
07-190
2/9/11
Adalah daya pancar total perangkat setelah diperhitungankan dengan antenna dan gangguan lainnya. EIRP = dbm Alat + dbi Antenna Losses Losses dapat diakibatkan konektor, kabel pigtail, dll
07-191
2/9/11
Cable Losses
Kehilangan daya pada setiap 100 feet (30 meter) kabel untuk frekuensi 2,4 GHz
l l l l l l
07-192
2/9/11
Rambatan frekuensi di udara akan mengalami loss, yang dapat dihitung dengan rumus: FSL(dB) = 32.45 + 20 Log10 F(MHz) + 20 Log10 D(km) Jadi Free Space Loss pada jarak 1 km yang menggunakan frekwensi 2.4 GHz : FSL(dB) = 32.45 + 20 Log10 (2400) + 20 Log10 (1) = 32.45 + 67.6 + 0 = 100.05 dB
07-193
2/9/11
2.4 GHz 100.026 109.568 114.005 120.026 123.548 126.047 129.568 132.067
5.2 GHz 106.742 116.284 120.721 126.742 130.264 132.762 136.284 138.783
5.8 GHz 107.69 117.233 121.670 127.690 131.212 133.711 137.233 139.732
2/9/11
RX-Rate Formula
RX-Rate / Signal Strength
EIRP
Penguatan Penerimaan
Sesuai rumus FSL, targantung frekuensi dan jarak Kekuatan antenna penerima - Loss Kabel & konektor
07-195
2/9/11
RX-Rate Calculation
Asumsi :
Access Point 100 mWatt tanpa booster kabel LMR400 100 feet antenna grid 24 db frekuensi 2,4 GHz jarak 10 km
07-196
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Calculation Example
Perangkat Pemancar (EIRP) Access Point 100 mWatt Kabel 30 meter Antenna 24 db FSL / Path Loss 2,4 GHz 10 km Penerima (Penguatan Penerimaan) Kabel 30 meter Antenna 24 db -6.8 db 24 dbi 17.2 db 20 dbm -6.8 db 24 dbi 37.2 db (EIRP) -120.026 db db
-65.626 db
2/9/11
Online Calculator
www.mikrotik.co.id/ test_link.php
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
07-198
Aplikasi Wireless LAN di luar ruangan harus memenuhi prinsip Line of Sight
07-199
2/9/11
Aplikasi Wireless LAN di luar ruangan harus memenuhi prinsip Line of Sight
07-200
2/9/11
Freznel Zone
Adalah area di sekitar garis lurus antar antenna yang digunakan sebagai media rambat frekuensi Secara ideal, fresnel zone harus terpenuhi 20% gangguan fresnel zone akan sedikit mempengaruhi kualitas link, namun lebih dari itu, akan sangat mempengaruhi Halangan fresnel zone dapat berupa bangunan, dan juga pepohonan (karena air pada daun akan menyerap signal)
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
07-201
Meninggikan letak posisi antena pada infrastruktur yang ada Membangun infrastruktur yang baru sebagai contoh membangun sebuah tower, maka antena harus diletakan setinggi mungkin pada tower tersebut Menaikan ketinggian tower Meletakkan posisi antena yang berbeda Memotong rintangan yang dapat mengganggu RF seperti pohon, dll
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
07-202
Freznel Zone
07-203
2/9/11
Freznel Zone
Selain Line of Sight juga memenuhi ketentuan Freznel Zone
TX antenna gain
TX antenna loss
TX power
RX signal level
TRANSMITTER
RECEIVER
07-204
2/9/11
07-205
2/9/11
= 17.32 * = 17.32 *
07-206
Earth Curve
Untuk jarak yang cukup jauh, perencanaan ketinggian antena/tower harus memperhitungkan lengkung bumi.
07-207
2/9/11
07-208
http://www.mikrotik.co.id/test_tower.php
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Antenna Height
120 100
tinggi antena
80 meter 60 40 20
Fresnel Zone
10
20
30
40
50
60
GPS
Untuk mengukur ketinggian dan posisi pemasangan di dua titik, digunakan alat GPS (Global Positioning System)
07-210
2/9/11
Antenna Concept
Directionality
l
Omnidirectional
Polarization
l
07-211
2/9/11
Antenna Type
Flat Panel (15 23 db) Yagi Grid (15 28 db) Solid Disc (24 32 db)
Omni Directional
07-213
2/9/11
Yagi Antenna
07-214
2/9/11
07-215
2/9/11
Grid Antenna
07-216
2/9/11
Biasanya digunakan untuk aplikasi point to point untuk jarak yang jauh. Mounting pada tower harus baik, faktor angin cukup berpengaruh. Dibutuhkan ketelitian pointing.
07-217
2/9/11
Sectoral Antenna
07-218
2/9/11
07-219
2/9/11
07-220
2/9/11
Weather Protection
Cuaca akan sangat berpengaruh dalam sistem jaringan wireless maka perlu diperhatikan antara lain:
Konektor harus ditutupi untuk melindunginya dari kelembaban udara Gunakanlah isolasi karet listrik atau bahan lain yang kekuatannya sama dengan selotip karet sebagai contoh 3M Bahan Vinyl tidak bagus untuk perlindungan
07-221
2/9/11
Connector Shielding
07-222
2/9/11
Network Topology
Point to Point
l
Dual Nstream
07-223
2/9/11
Point to Point
Menghubungkan 2 buah alat, biasanya menggunakan antenna directional dan jarak yang cukup jauh Kedua alat cukup menggunakan lisensi level 4 : Bridge dan Station Bisa menggunakan proprietary setting (nstream, Custom Frequency)
07-224
2/9/11
07-225
2/9/11
Point to Multipoint
1 buah AP Mikrotik sebagai base station untuk melayani CPE
07-226
2/9/11
Point to Multipoint
Antena bisa menggunakan Omnidirectional atau sectoral. Jika client berada di satu area, bisa menggunakan flat panel atau bahkan directional antenna. Perhatikan besaran bukaan antena. Gunakan standart 80211.b, supaya semua tipe CPE bisa terkoneksi.
07-227
2/9/11
07-228
2/9/11
Cover large areas and allow users to move for large distances while still being on-line. This system allows packets to pass from one wireless AP (Access Point) to another, just as if the APs were ports on a wired Ethernet switch. APs must use the same standard (802.11a, 802.11b or 802.11g) and work on the same frequencies in order to connect to each other.
07-229
2/9/11
Wireless Security
07-230
2/9/11
Wireless Configuration
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Wireless Menu
Wireless Sub-Menu: l Nstreme-Dual - list of Dual-Nstreme Interface l Access-List - list of associations of clients l Registration - list of connected clients l Connect-List - list of rules, that determine to which AP the station should connect to l Security-Profile list of security functions to wireless interfaces WEP and WPA/WPA2
08-232
2/9/11
08-233
2/9/11
Wireless Mode :
l l l l l l l l l
08-234
2/9/11
Wireless Mode - 1
alignment-only - this mode is used for positioning antennas (to get the best direction) ap-bridge - the interface is operating as an Access Point bridge - the interface is operating as a bridge. This mode acts like ap-bridge with the only difference being it allows only one client nstreme-dual-slave - the interface is used for nstreme-dual mode station - the interface is operating as a client
08-235
2/9/11
Wireless Mode 2
station-wds - the interface is working as a station, but can communicate with a WDS peer wds-slave - the interface is working as it would work in ap-bridge mode, but it adapts to its WDS peer's frequency if it is changed station-pseudobridge - wireless station that can be put in bridge station-pseudobridge-clone - similar to the stationpseudobridge, but the station will clone MAC address of a particular device (set in the station-bridge-clone-mac property), i.e. it will change itsown address to the one of a different device
08-236
2/9/11
Wireless Configuration
Basic Configuration :
l l l l
Point to Point Point to Multi Point Wireless Bridge Virtual AP Nstreme Dual Nstreme WDS
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Advance Configuration :
l l l
08-237
AP Side
l l l
Client Side
l l l l
Min Licence Level 3 Set mode, ssid, band, scan-list mode=station Make sure frequency is in scan-list
08-238
2/9/11
08-239
2/9/11
Min Licence Level 3 Set mode, ssid, band, scan-list mode=station Make sure frequency is in scan-list
08-240
2/9/11
Add IP Address to both router on wlan interface Try to ping from winbox to another router The router is ready for routed traffic, but not bridged. Wireless Station mode can't be bridge! it can be bridged using another mode in another chapter!
08-241
2/9/11
Configuration AP Side
l
/interface wireless set wlan1 mode=bridge frequency=2412 band=2.4ghz-b/g ssid=meja1 /interface wireless set wlan1 mode=station band=2.4ghz-b/g scan-list=2400-2500 ssid=meja1
08-242
2/9/11
08-243
2/9/11
Mikrotik difungsikan sebagai access point. Digunakan standart 80211b atau 80211b/g sehingga semua client dapat terkoneksi.
08-244
2/9/11
Membutuhkan lisensi level 4 Set mode=ap-bridge Konfigurasi lainnya sama dengan konfigurasi point-topoint
08-245
2/9/11
Dapat menggunakan lisensi level 3 Set mode, ssid, band, scan-list Set mode=station Pastikan frekuensi yang digunakan berada dalam rentang scan-list
08-246
2/9/11
Configuration AP Side
l
/interface wireless set wlan1 mode=ap-bridge frequency=2412 band=2.4ghz-b/g ssid=meja1 /interface wireless set wlan1 mode=station band=2.4ghz-b/g scan-list=2400-2500 ssid=meja1
08-247
2/9/11
08-248
2/9/11
08-249
2/9/11
Client Management
Kita dapat melakukan pengaturan untuk setiap klien menggunakan : Access List :
l l l
08-250
2/9/11
Need Bridge AP ?
Internet / WAN Main Router Wireless AP Switch Wireless LAN
Wired LAN
08-251
08-252
2/9/11
08-253
2/9/11
/interface bridge add name=bridge1 disabled=no /interface bridge ports add interface=wlan1 bridge=bridge1 /interface bridge ports add interface=ether1 bridge=bridge1
Configuration bridged - AP
l
08-254
2/9/11
Virtual AP
Virtual Access Point (VAP) interface is used to have an additional AP. You can create a new AP with different ssid and mac-address. It can be compared with a VLAN where the ssid from VAP is the VLAN tag and the hardware interface is the VLAN switch.
08-255
2/9/11
Virtual AP Configuration
08-256
2/9/11
/interface wireless set wlan2 mode=ap-bridge frequency=2462 band=2.4ghz-b/g disabled=no /interface wireless add disabled=no name=wlan3 master-interface=wlan2 /interface wireless set wlan3 ssid=MikroTik
Configuration - VAP
l
08-257
2/9/11
Wireless Bridge
08-258
2/9/11
Make AP-Client Bridge Network using stationpseudobridge mode After succesfull making a bridge wireless connection, laptop A can ping laptop B
A
ethernet
192.168.0.x/24
AP
Wireless connection
Station
ethernet
192.168.0.100+x/24
B
192.168.0.x/24
192.168.0.100+x/24
08-259
2/9/11
08-260
2/9/11
08-261
2/9/11
08-262
2/9/11
08-263
2/9/11
Other Setting
Periodic Calibration Set to default to ensure performance of chipset over temperature and environmental changes, the software performs periodic calibration Default Forward To allow clients to communicate each other Ack-Timeout acknowledgement code timeout (transmission acceptance timeout) in microseconds for acknowledgement messages
See table at: http://www.mikrotik.com/docs/ros/2.9/interface/wireless
08-264
2/9/11
Scan Tool
08-265
2/9/11
Snoop Tool
08-266
2/9/11
Static Route
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Routed Network
Pengaturan jalur antar Segment Network yang berbeda berdasarkan IP Address tujuan (atau bisa juga asal) Bekerja pada OSI layer 3 (Network). Tiap network segment yang memiliki subnet network (IP Address) berbeda-beda dihubungkan satu sama lain dengan teknik hotspot.
05-268
2/9/11
Routing!
Memungkinkan kita melakukan pemantauan dan pengelolaan jaringan yang lebih baik Lebih aman (firewall filtering lebih mudah dan lengkap) Trafik broadcast hanya terkonsentrasi di setiap subnet Pada jaringan wireless Dibutuhkan perangkat wireless yang mampu melakukan full routing, atau bisa juga dengan menambahkan router di BTS. Untuk network skala besar, Routing bisa menggunakan Dynamic Routing protocol (RIP/ OSPF/BGP)
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
05-269
Routing
192.168.3.0/24 192.168.1.0/24 192.168.2.0/24
192.168.0.0/24
05-270
2/9/11
saat menambahkan IP Address pada interface informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF, dan BGP.
static routes adalah informasi routing yang dibuat secara manual oleh user untuk mengatur ke arah mana trafik tertentu akan disalurkan. Default route adalah salah satu contoh static routes.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
05-271
Menambahkan Routing
05-272
2/9/11
Tipe Routing
A: Active S: Static
setiap IP Address yang dipasang pada interface di router secara otomatis akan menambahkan DAC Routing dengan pref-source IP Address tersebut.
05-273
2/9/11
Destination l Destination address 222.152.211.7 l Network mask 202.53.246.0/24 l 0.0.0.0/0 -> ke semua network Gateway l IP Address gateway, harus merupakan IP Address yang satu subnet dengan IP yang terpasang pada salah satu interface Gateway Interface l Digunakan apabila IP gateway tidak diketahui dan bersifat dinamik (biasanya digunakan di ppp interface). Pref Source l source IP address dari paket yang akan meninggalkan router Distance l Beban untuk kalkulasi pemilihan routing
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
05-274
IP Address Gateway harus merupakan IP Address yang subnetnya sama dengan salah satu IP Address yang terpasang pada router (connect directly).
Internet
10.10.0.2/24
Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP Address. Default gateway pada router B adalah router A IP Address yang menjadi default gateway router B adalah 10.10.2.1, karena IP Address tersebut berada dalam subnet yang sama dengan salah satu IP Address pada router B (10.10.2.2/24) Setting static route default : l Dst-address=0.0.0.0/0 gateway=10.10.2.1
2/9/11
A
10.10.1.1/24 10.10.2.2/24 10.10.2.1/24 10.10.3.2/24
B
10.10.4.1/24
10.10.4.2/24
05-275
(DAC) Dst-addr= 10.10.0.0/24 pref-source=10.10.0.2 (DAC) Dst-addr= 10.10.1.0/24 pref-source=10.10.1.1 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1 (AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2
05-276
2/9/11
Dari konfigurasi lab sebelumnya, semua Router 1 router hanya memiliki 10.10.10.1 default gateway. 192.168.1.1 Tambahkan rule static route supaya ping bisa dilakukan 192.168.1.2 antar notebook yang berbeda network.
10.10.10.100
Internet
Router 2 10.10.10.2
192.168.2.1
192.168.2.2
05-277
2/9/11
Langkah-langkah
Matikanlah src-nat masquerade Buatlah static route pada router Contoh di meja 1 untuk membuat static route ke meja 2:
l
05-278
Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24 Router akan memilih yang distance nya paling kecil
Distance
05-279
2/9/11
Contoh Pemilihan
Untuk koneksi dengan destination 192.168.0.1, manakah urutan prioritas rule yang digunakan?
Gateway Distance 1 1 5 1 Prioritas
2 1 4 3
Destination
05-280
2/9/11
192.168.X.2/24
WLAN1:10.10.10.X/24
Buatlah konfigurasi berikut dan lakukan pengaturan static route sehingga semua laptop dapat terkoneksi ke internet dan semua laptop dapat melakukan ping ke laptop lainnya. Matikanlah src-nat/masquerade.
4
192.168.X.2/24
05-281
192.168.X.2/24 192.168.X.2/24
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
192.168.X.2/24
10.10.10.100/24
ETHER3: 10.Y.1.1/24
AP
WLAN1: 10.10.10.X/24
ETHER2: 10.Y.1.2/24
192.168.X.2/24
05-282
192.168.X.2/24 192.168.X.2/24
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Firewall
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Firewall ?
Firewall diposisikan antara jaringan lokal dan jaringan publik, bertujuan melindungi komputer dari serangan, dan secara efektif mengontrol koneksi data menuju, dari, dan melalui router.
Workstation
Server Laptop
11-284
2/9/11
Mikrotik Firewall
Rules NAT (source-nat and destination-nat) Mangle Address List Layer 7 Protocol (baru di versi 3) Service Ports Connections
l
11-285
2/9/11
Setiap paket data memiliki asal (source) dan tujuan (destination). Traffic flow bisa dibedakan menjadi 3 kategori, dilihat dari sudut pandang router.
l
Dari luar router menuju ke dalam router itu sendiri (Local process).
11-286
ROUTING DECISION
MANGLE FORWARD
OUTPUT
FILTER FORWARD
POST ROUTING
FILTER OUTPUT ROUTING ADJUSTMENT MANGLE OUTPUT CONNECTION TRACKING ROUTING DECISION
Connection State
Invalid paket tidak dimiliki oleh koneksi apapun, tidak berguna New paket yang merupakan pembuka sebuah koneksi/paket pertama dari sebuah koneksi Established merupakan paket kelanjutan dari paket dengan status new. Related paket pembuka sebuah koneksi baru, tetapi masih berhubungan dengan koneksi sebelumnya.
11-289
2/9/11
Connection State
Firewall
New
Established
Related
Invalid
11-290
2/9/11
Pada rule Firewall filter, pada baris paling atas biasanya kita membuat rule :
l l l l
Connection state=invalid drop Connection state=related accept Connection state=established accept Connection state=new diproses ke rule berikutnya
Sistem rule seperti ini akan sangat menghemat resources router, karena proses filtering hanya dilakukan pada saat connection dimulai (connection-state=new)
11-291
2/9/11
Mangle
Mangle adalah cara untuk menandai paket-paket data tertentu, dan kita akan menggunakan tanda tersebut pada fitur lainnya, misalnya pada filter, routing, NAT, ataupun queue. Pada mangle kita juga bisa melakukan pengubahan beberapa parameter pada IP Header, misalnya TOS (DSCP) dan TTL fields. Tanda mangle ini hanya bisa digunakan pada router yang sama, dan tidak terbaca pada router lainnya. Pembacaan rule mangle akan dilakukan dari atas ke bawah secara berurutan.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
11-292
Mangle on Winbox
11-293
2/9/11
yes yes no no no
no no no yes yes
2/9/11
Type of Mark
Packet Mark
l
Penandaan untuk setiap paket data Penandaan untuk koneksi Penandaan paket khusus untuk routing
Connection Mark
l
Route Mark
l
Pada saat yang bersamaan, setiap paket data hanya bisa memiliki 1 conn-mark, 1 packet-mark, dan 1 route-mark
11-295
2/9/11
Connection Mark
Adalah fitur mangle untuk menandai suatu koneksi (berlaku baik untuk request, maupun untuk response) sebagai satu kesatuan Untuk jaringan dengan src-nat atau kalau kita mau melakukan marking berdasarkan protokol tcp, disarankan untuk melakukan mark-connection terlebih dahulu, baru membuat mark-packet atau mark-routing berdasarkan conn-mark nya Mark-connection cukup dibuat pada saat proses request saja.
11-296
2/9/11
Passthrough
Passthrough=no
l
berarti jika parameter sesuai, maka baris mangle berikutnya tidak lagi dibaca value mangle sudah final, tidak diubah lagi akan tetap membaca baris mangle berikutnya value mangle bisa diubah lagi di baris berikutnya mark-connection, passthrough = yes mark-packet, passthrough=no
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Passthrough=yes
l l
Biasanya pada :
l l
11-297
Uplink traffic
l
add src-address=192.168.0.2/32 action=mark-packet chain=prerouting new-packet-mark=mark-uplink add dst-address=192.168.0.2/32 action=mark-packet chain=prerouting new-packet-mark=mark-downlink
Downlink traffic
l
11-298
Karena urutan proses NAT dan mangle diperhatikan pada bagan Packet Flow, maka kita harus menggunakan conn-mark terlebih dahulu jika kita ingin membuat mangle untuk menandai proses uplink dan downlink IP tertentu di chain Prerouting. Jika dipasang mangle di chain Forward maka bisa langsung digunakan packet mark.
11-299
2/9/11
11-300
2/9/11
Adalah cara untuk memfilter paket, dilakukan untuk meningkatkan keamanan jaringan, dan mengatur flow data dari, ke client, ataupun router Pembacaan rule filter dilakukan dari atas ke bawah secara berurutan. Jika melewati rule yang kriterianya sesuai akan dilakukan action yang ditentukan, jika tidak sesuai, akan dianalisa ke baris selanjutnya.
11-301
2/9/11
yes no no
not implemented
no yes no
not implemented
no no yes
not implemented
2/9/11
Action Filter
accept paket diterima dan tidak melanjutkan membaca baris berikutnya drop menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP) reject menolak paket dan mengirimkan pesan penolakan ICMP tarpit menolak, tetapi tetap menjaga TCP connections yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk) log menambahkan informasi paket data ke log
11-303
2/9/11
11-304
2/9/11
11-305
2/9/11
Filter Rules
11-306
2/9/11
RouterOS v3 Services
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 PORT 20 21 22 23 53 80 179 443 646 1080 1723 1968 2000 2210 2211 2828 3128 8291 8728 ------PROTOCOL tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp /1 /2 /4 DESCRIPTION FTP FTP SSH, SFTP Telnet DNS HTTP BGP SHTTP (Hotspot) LDP (MPLS) SoCKS (Hotspot) PPTP MME Bandwidth Server Dude Server Dude Server uPnP Web Proxy Winbox API ICMP IGMP (Multicast) IPIP 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 PORT 53 123 161 500 520 521 646 1698 1699 1701 1812 1813 1900 1966 5678 --------------PROTOCOL udp udp udp udp udp udp udp udp udp udp udp udp udp udp udp /46 /47 /50 /51 /89 /103 /112 DESCRIPTION DNS NTP SNMP IPSec RIP RIP LDP (MPLS) RSVP (MPLS) RSVP (MPLS) L2TP User-Manager User-Manager uPnP MME Neighbor Discovery RSVP (MPLS) PPRP, EoIP IPSec IPSec OSPF PIM (Multicast) VRRP 2/9/11
11-307
Blok semua invalid connection ke router Blok koneksi winbox ke router yang masuk melalui interface public (wlan) Blok koneksi ke website:
l l
11-308
2/9/11
11-309
2/9/11
11-310
2/9/11
11-311
2/9/11
IP Address List
Kita dapat melakukan pengelompokan IP Address dengan Address List Address List (seperti halnya mangle) bisa dijadikan parameter dalam pembuatan filter, queue, mangle, NAT, dll. Dengan Filter dan Mangle, kita bisa secara otomatis memasukkan IP Address tertentu ke dalam address list dan juga menentukan jangka waktu expire nya.
11-312
2/9/11
Buatlah Mangle yang secara otomatis akan memasukkan src-address mesin yang melakukan ping ke router dan secara otomatis dan setelah 15 detik secara otomatis menghapus IP tersebut dari address-list. Pada Filter, buatlah sebuah filter yang melakukan blok terhadap koneksi dari IP Address yang berada dalam address-list.
11-313
2/9/11
Memasukkan ke Address-List
11-314
2/9/11
11-315
2/9/11
Blok IP di Address-List
11-316
2/9/11
Buatlah Firewall Filter untuk memproteksi sehingga mac-address tertentu hanya bisa menggunakan IP Address tertentu, dan juga sebaliknya.
l
Lakukan Accept pada Filter untuk setiap pasangan IP Address dan Mac Address pada in/out-interface tertentu. Pada baris paling akhir, blok koneksi lainnya.
11-317
2/9/11
11-318
2/9/11
Buatlah rule berikut ini pada akhir rule untuk memblok koneksi lainnya
2/9/11
11-319
NAT digunakan untuk melakukan pengubahan baik src-address ataupun dstaddress. Setelah paket data pertama dari sebuah koneksi terkena NAT, maka paket berikutnya pada koneksi tersebut juga akan terkena NAT. NAT akan diproses terurut mulai baris paling atas hingga ke bawah.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
11-320
Firewall NAT
PRIVATE NETWORK
11-321
PUBLIC NETWORK
OUTGOING
OUTGOING
INCOMING
NAT ROUTER
INCOMING
The NAT router translates traffic coming into and leaving the private network
2/9/11
Firewall NAT
11-322
2/9/11
Untuk menyembunyikan IP Address lokal dan menggantikannya dengan IP Address publik yang sudah terpasang pada router src-nat
l
Kita bisa memilih IP Address publik yang digunakan untuk menggantikan. Secara otomatis akan menggunakan IP Address pada interface publik. Digunakan untuk mempermudah instalasi dan bila IP Address publik pada interface publik menggunakan IP Address yang dinamik (misalnya DHCP, PPTP atau EoIP)
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
masquerade
l
11-323
Untuk melakukan penggantian IP Address tujuan, atau mengarahkan koneksi ke localhost. dst-nat
l
Kita bisa mengganti IP Address dan port tujuan dari seuatu koneksi. Untuk mengalihkan koneksi yang tadinya melwati router, dan dialihkan menuju ke loclhost
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
redirect
l
11-324
Proxy
Pada semua level routeros, baik yang diinstall pada PC maupun yang diinstall pada routerboard, kita bisa mengaktifkan fitur proxy
Internet
03-325
2/9/11
Konsep Proxy
Internet
PROXY
Internet
03-326
2/9/11
Konsep Proxy
Untuk mempercepat proses browsing, kita menggunakan proxy untuk menyimpan sebagian data website. Data yang sudah ada, akan langsung diberikan ke user (HIT). Jika belum ada, akan dimintakan dari internet, baru kemudian diberikan ke user (MISS).
03-327
2/9/11
Kebutuhan Proxy
Jika ingin menjalankan cache (penyimpanan data proxy), dibutuhkan storage untuk penyimpanan.
l
PC Router :
03-328
Dapat berfungsi juga sebagai transparan dan sekaligus normal pada saat yang bersamaan Berdasarkan source, destination, URL dan requested method Menentukan objek mana yang disimpan pada cache Mengatur koneksi mana yang diakses secara langsung dan yang melalui proxy server lainnya
Access list
l
Logging facility
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
03-329
Aktifkanlah service web-proxy pada router Anda. Lakukanlah pengalihan koneksi secara transparan sehingga semua koneksi HTTP akan melalui web proxy pada router.
11-330
2/9/11
Mengaktifkan Proxy
03-331
2/9/11
Redirect TCP-80
03-332
2/9/11
Akses
03-333
2/9/11
Penyimpanan Cache
System Disk l Hardisk l Flash memory
l
03-334
2/9/11
03-335
2/9/11
Proxy - Cache
Aktifkan Cache On Disk untuk mengaktifkan Mikrotik Proxy Cache. Perhatikan pada pada parameter Cache Drive sudah menggunakan USB disk.
03-336
2/9/11
Last Issue
Firewall Filter hanya melakukan filter pada komunikasi layer 3, dan tidak memfilter layer 2, seperti komunikasi mac-winbox dan mac-telnet. Untuk interface yang berhadapan dengan public, seperti pada internet exchange, atau public DHCP, matikanlah fitur mac-server pada interface tersebut.
11-337
2/9/11
11-338
2/9/11
Jika kita mengaktifkan bridge, dan ingin menggunakan firewall filter ataupun mangle, kita harus mengaktifkan setting use ip firewall
11-339
2/9/11
add chain=forward src-address=0.0.0.0/8 action=drop add chain=forward dst-address=0.0.0.0/8 action=drop add chain=forward src-address=127.0.0.0/8 action=drop add chain=forward dst-address=127.0.0.0/8 action=drop add chain=forward src-address=224.0.0.0/3 action=drop add chain=forward dst-address=224.0.0.0/3 action=drop
11-341
2/9/11
add chain=forward protocol=tcp action=jump jump-target=tcp add chain=forward protocol=udp action=jump jump-target=udp add chain=forward protocol=icmp action=jump jump-target=icmp
11-342
2/9/11
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
11-343
2/9/11
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop invalid connections" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow established connections" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow already established connections" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad" add chain=icmp action=drop comment="deny all other types"
11-344
2/9/11
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
11-345
2/9/11
Worm tcp dst-port=135-139 Messenger Worm udp dst-port=135-139 Blaster Worm tcp dst-port=445 Blaster Worm udp dst-port=445 Virus tcp dst-port=593 Virus tcp dst-port=1024-1030 MyDoom tcp dst-port=1080 Virus tcp dst-port=1214 ndm requester tcp dst-port=1363 ndm server tcp dst-port=1364 screen cast tcp dst-port=1368 hromgrafx tcp dst-port=1373 cichlid tcp dst-port=1377 Worm tcp dst-port=1433-1434 Bagle Virus tcp dst-port=2745
11-346
2/9/11
Dumaru.Y tcp dst-port=2283 Beagle tcp dst-port=2535 Beagle.C-K tcp dst-port=2745 MyDoom tcp dst-port=3127-3128 Backdoor OptixPro tcp dst-port=3410 Worm tcp dst-port=4444 Worm udp dst-port=4444 Sasser tcp dst-port=5554 Beagle.B tcp dst-port=8866 Dabber.A-B tcp dst-port=9898 Dumaru.Y tcp dst-port=10000 MyDoom.B tcp dst-port=10080 NetBus tcp dst-port=12345 Kuang2 tcp dst-port=17300 SubSeven tcp dst-port=27374 PhatBot, Gaobot tcp dst-port=65506
11-347
2/9/11
Quality of Service
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Quality of Service
QoS tidak selalu berarti pembatasan bandwidth Adalah cara yang digunakan untuk mengatur penggunaan bandwidth yang ada secara rasional. Qos bisa digunakan juga untuk mengatur prioritas berdasarkan parameter yang diberikan, menghindari terjadinya trafik yang memonopoli seluruh bandwidth yang tersedia.
12-349
2/9/11
Quality of Service
Kita tidak dapat melakukan pembatasan trafik yang masuk ke suatu interface. Satu-satunya cara untuk mengontrol adalah dengan buffering (menahan sementara), atau kalau melampaui limit buffer, akan dilakukan drop pada paket tersebut. Pada TCP, paket yang didrop akan dikirimkan ulang sehingga tidak ada kehilangan paket data. Cara termudah melakukan queue di RouterOS adalah menggunakan simple queue.
12-350
2/9/11
Simple Queue
Melimit tx-rate client (upload) Melimit rx-rate client (download) Melimit tx+rx-rate client (akumulasi)
12-351
2/9/11
12-352
2/9/11
12-353
2/9/11
12-354
2/9/11
12-355
2/9/11
12-356
2/9/11
Burst
Burst adalah salah satu cara menjalankan QoS Burst memungkinkan penggunaan data-rate yang melebihi max-limit untuk periode waktu tertentu Jika data rate lebih kecil dari burst-threshold, burst dapat dilakukan hingga data-rate mencapai burst-limit Setiap detik, router mengkalkulasi data rate ratarata pada suatu kelas queue untuk periode waktu terakhir sesuai dengan burst-time Burst time tidak sama dengan waktu yang diijinkan untuk melakukan burst.
12-357
2/9/11
384
Average Rate
10
15
20
time(s)
12-358
2/9/11
Pada awalnya, data rate rata-rata dalam 8 detik terakhir adalah 0 kbps. Karena data rate rata-rata ini lebih kecil dari burst-threshold, maka burst dapat dilakukan. Setelah 1 detik, data rate rata-rata adalah (0+0+0+0+0+0+0+512)/8=64kbps, masih lebih kecil dari burst-threshold. Burst dapat dilakukan. Demikian pula untuk detik kedua, data rate rata-rata adalah (0+0+0+0+0+0+512+512)/8=128kbps. Setelah 3 detik, tibalah pada saat di mana data rate rata-rata lebih besar dari burst-threshold. Burst tidak dapat lagi dilakukan, dan data rate turun menjadi max-limit (256kbps).
12-359
2/9/11
12-360
2/9/11
12-361
2/9/11
12-362
2/9/11
Staged Limitation
dalam keadaan terburuk, client akan mendapatkan bandwidth sesuai dengan limit-at (dengan asumsi bandwidth yang tersedia cukup untuk CIR semua client) jika masih ada bandwidth yang tersisa setelah semua client mencapai limit-at, maka client bisa mendapatkan bandwidth tambahan hingga max-limit
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
12-363
Parent queue harus dibuat terlebih dahulu untuk membantu router menentukan Total bandwith yang dimiliki.
12-364
2/9/11
Child queue baru dibuat untuk melimit tiap clientnya. Untuk pembagian bandwithnya adalah :
Limit-At = Total Bandwith / Jumlah Client Max-Limit = < Total Bandwith Jika jumlah client terlalu banyak maka bisa digunakan perhitungan : Limit-At = Total Bandwith / jumlah rata-rata maksimal client yang aktif Max-Limit = TotalBandwith / jumlah rata-rata minimal client yang aktif
12-365
2/9/11
12-366
2/9/11
Dengan simple queue, kita bisa membuat grafik penggunaan per client.
l
allow-address IP address yang dapat melihat grafik tersebut allow-target memperbolehkan IP Address yang tercantum pada target untuk melihat grafik.
12-367
2/9/11
12-368
2/9/11
Queuing disciplines mengatur bagaimana paket data menunggu giliran untuk disalurkan ke interface, atau jika melebihi akan di drop. Interface Queue bekerja pada interface yang meninggalkan router Hanya boleh ada satu macam queuing discipline yang digunakan pada suatu interface.
12-369
2/9/11
Queue Disciplines
Scheduler queues
Mengatur packet flow, sesuai dengan jumlah
paket data yang menunggu di antrian, dan bukan melimit kecepatan data rate.
l
Shaper queues
Mengontrol kecepatan date rate.
12-370
2/9/11
Shaper
Mbps 2
5 2
10
15
20
detik
5
12-371
10
15
20
detik
2/9/11
Scheduler
Mbps 2
5 2
10
15
20
detik
5
12-372
10
15
20
detik
2/9/11
Queue Kinds
Scheduler queues:
l l l l
BFIFO (Bytes First-In First-Out) PFIFO (Packets First-In First-Out) RED (Random Early Detect) SFQ (Stochastic Fairness Queuing) PCQ (Per Connection Queue) HTB (Hierarchical Token Bucket)
Shaper queues:
l l
12-373
Queue Kinds
12-374
2/9/11
PFIFO dan BFIFO keduanya menggunakan algoritma FIFO, dengan buffer yang kecil. FIFO tidak mengubah urutan paket data, hanya menahan dan menyalurkan bila sudah memungkinkan. Jika buffer penuh maka paket data akan di drop FIFO baik digunakan bila jalur data tidak congested Parameter pfifo-limit dan bfifo-limit menentukan jumlah data yang bisa diantrikan di buffer
12-375
2/9/11
Skema FIFO
ke interface
12-376
2/9/11
RED tidak melimit kecepatan, tetapi bila buffer sudah penuh, maka secara tidak langsung akan menyeimbangkan data rate setiap user. Saat ukuran queue rata-rata mencapai min-threshold, RED secara random akan memilih paket data untuk di drop Saat ukuran queue rata-rata mencapai max-threshold, paket data akan di drop Jika ukuran queue sebenarnya (bukan rata-ratanya) jauh lebih besar dari red-max-threshold, maka semua paket yang melebihi red-limit akan didrop. RED digunakan jika kita memiliki trafik yang congested. Sangat sesuai untuk trafik TCP, tetapi kurang baik digunakan untuk trafik UDP.
12-377
2/9/11
Skema RED
ke interface
12-378
2/9/11
SFQ sama sekali tidak dapat melimit trafik. Fungsi utamanya adalah menyeimbangkan flow trafik jika link telah benar-benar penuh. Dapat digunakan untuk TCP maupun UDP. SFQ menggunakan metoda hasing dan round robin. Total SFQ queue terdiri dari 128 paket. Algoritma hasing dapat membagi trafik menjadi 1024 sub queue, dan jika terdapat lebih maka akan dilewati. Algoritma round robin akan melakukan queue ulang sejumlah bandwidth (allot) dari setiap queue.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
12-379
Skema SFQ
Setelah perturb detik algoritma hasing akan berganti dan membagi session trafik ke sub-queue lainnya
ke interface
Algoritma Hashing
sub-queue
12-380
PCQ dibuat sebagai penyempurnaan SFQ. PCQ tidak membatasi jumlah sub-queue PCQ membutuhkan memori yang cukup besar
12-381
2/9/11
Setting PCQ
PCQ akan membuat sub-queue, berdasarkan parameter pcq-classifier, yaitu: src-address, dst-address, src-port, dst-port Dimungkinkan untuk membatasi maksimal data rate untuk setiap sub-queue (pcq-rate) dan jumlah paket data (pcq-limit) Total ukuran queue pada PCQ tidak bisa melebihi jumlah paket sesuai pcq-total-limit
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
12-382
Skema PCQ
pcq-clasifier src-address sub-queue
SRC-ADDRESS=10.0.0.1
SRC-ADDRESS=10.0.0.2
SRC-ADDRESS=10.0.0.3
SRC-ADDRESS=10.0.0.4
ke interface
SRC-ADDRESS=10.0.0.5
SRC-ADDRESS=10.0.0.6
SRC-ADDRESS=10.0.0.7
12-383
2/9/11
Pcq-rate=128000
2 users 4 users 128k 128k 128k 128k 128k 128k 7 users 73k 73k 73k 73k 73k 73k 73k
queue=pcq-down max-limit=512k
12-384
2/9/11
Pcq-rate=0
1 user 2 users 7 users 73k 256k 73k 73k
queue=pcq-down max-limit=512k
512k 256k
12-385
2/9/11
12-386
2/9/11
12-387
2/9/11
HTB adalah classful queuing discipline yang dapat digunakan untuk mengaplikasikan handling yang berbeda untuk beberapa jenis trafik. Secara umum, kita hanya dapat membuat 1 tipe queue untuk setiap interface. Namun dengan HTB di RouterOS, kita dapat mengaplikasikan properti yang berbeda-beda. HTB dapat melakukan prioritas untuk grup yang berbeda.
12-388
2/9/11
ke interface LOCAL
FILTER
12-389
2/9/11
Skema HTB
Level 1
Inner Feed Slots
Level 2
Leaf1 priority 7
Filter
12-390
2/9/11
Dalam Lab ini kita akan mencoba implementasi limitasi yang berbeda berdasarkan service pada jaringan. Akan dibuat 3 limitasi yang berbeda :
l l l
Traffic browsing : 512 kbps Traffic ICMP : 256 kbps Trffic sisa : 256 kbps
Untuk membedakan service maka kita memerlukan bantuan mangle. Akan diimplementasikan juga prioritas.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
12-391
12-398
2/9/11
12-399
2/9/11
12-400
2/9/11
12-401
2/9/11
HTB States
hijau
l l
Posisi di mana data-rate lebih kecil dari limit-at. Nilai limit-at pada kelas tersebut akan dilihat terlebih dahulu daripada parent classnya. Contoh, sebuah class memiliki limit-at 512k, dan parent-nya memiliki limit-at 128k. Maka class tersebut akan selalu mendapatkan data-rate 512k. Posisi di mana data-rate lebih besar dari limit-at, namun lebih kecil dari max-limit. Diijinkan atau tidaknya penambahan trafik bergantung pada :
kuning
l
posisi parent, jika prioritas class sama dengan parentnya dan parentnya dalam posisi kuning posisi class itu sendiri, jika parent sudah berstatus kuning.
merah
l l
Posisi di mana data-rate sudah melebihi max-limit. Tidak dapat lagi meminjam dari parentnya.
12-402
2/9/11
Hotspot
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
HotSpot
Hotspot System digunakan untuk memberikan layanan akses jaringan (Internet/Intranet) di Public Area dengan media kabel maupun wireless. Hotspot menggunakan Autentikasi untuk menjaga Jaringan tetap dapat dijaga walaupun bersifat public. Proses Autentikasi menggunakan protocol HTTP/ HTTPS yang bisa dilakukan oleh semua webbrowser. Hotspot System ini merupakan gabungan atau kombinasi dari beberapa fungsi dan fitur RouterOS menjadi sebuah system yang sering disebut 'Plug-n-Play' Access.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-404
Hotspot System bisa digunakan pada jaringan Wireless maupun jaringan Kabel bahkan kombinasi dari keduanya. Jaringan Hotspot bersifat Bridge Network
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-405
User mencoba membuka halaman web. Authentication Check dilakukan oleh router pada Hotspot System. Jika belum terautentikasi, router akan mengalihkan ke halaman login. User memasukkan informasi login.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-406
Jika informasi login sudah tepat, router akan : l Mengautentikasi client di hotspot system. l Membuka halaman web yang diminta sebelumnya. l Membuka popup halaman status. User dapat menggunakan akses jaringan.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-407
HotSpot features
09-408
Autentikasi User Perhitungan l Waktu akses l Data dikirim atau diterima Limitasi Data l Berdasarkan data rate (kecepatan akses) l Berdasarkan jumlah data Limitasi Akses User berdasarkan waktu Support RADIUS Bypass!
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
RouterOS sudah menyediakan Wizard untuk melakukan setup Hotspot System. Wizard ini berupa menu interaktif yang terdiri dari beberapa pertanyaan mengenai parameter setting hotspot. Wizard bisa dipanggil atau dieksekusi menggunakan peritah /ip hotspot setup Jika anda mengalami kegagalan dalam konfigurasi hotspot direkomendasikan reset kembali router dan konfigurasi ulang dari awal.
09-409
2/9/11
Pada Langkah awal Tentukan interface mana yang akan digunakan untuk menjalankan Hotspot System:
hotspot interface: (ex: ether1,wlan1,bridge1,vlan1)
09-410
Jika diperlukan SMTP server khusus untuk jaringan hotspot bisa ditentukan, sehingga client tidak perlu merubah konfigurasi SMTP server :
Ip address of smtp server: 0.0.0.0 (ex: 159.148.147.194)
Konfigurasi DNS-name dari router Hotspot, Hal ini digunakan jika Router memiliki DNS-Name yang valid (FQDN), Jika tidak ada biarkan kosong. Langkah terakhir dari wizard adalah pembuatan sebuah user hotspot :
name of local hotspot user: usrox password for the user: 12345
09-411
2/9/11
09-412
2/9/11
09-413
2/9/11
09-414
2/9/11
09-415
2/9/11
09-416
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
Authentication Method
HTTP PAP - metode autentikasi yang paling sederhana, yaitu menampilkan halaman login dan mengirimkan info login berupa plain text. HTTP-CHAP - metode standard yang mengintegrasikan proses CHAP pada proses login. HTTPS menggunakan Enkripsi Protocol SSL untuk Autentikasi. HTTP Cookie - setelah user berhasil login data cookie akan dikirimkan ke web-browser dan juga disimpan oleh router di 'Active HTTP cookie list' yang akan digunakan untuk autentikasi login selanjutnya. MAC Address - metode ini akan mengautentikasi user mulai dari user tersebut muncul di 'host-list', dan menggunakan MAC address dari client sebagai username dan password. Trial - User tidak memerlukan autentikasi pada periode waktu yang sudah ditentukan.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-418
Hotspot User Profile digunakan untuk menyimpan konfigurasi-konfigurasi umum dari User-user hotspot. Profile ini digunakan untuk grouping beberapa User. Pada User Profile, mampu melakukan assign poolip tertentu ke group user. Parameter Time-out juga bisa diaktifkan untuk mencegah monopoli oleh salah satu user. Limitasi juga bisa ditentukan di UserProfile l Data Rate (Kecepatan Akses) l Session Time (Sesi Akses)
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-419
09-420
2/9/11
HotSpot User
Halaman dimana parameter username, password dan profile dari user disimpan. Beberapa limitasi juga bisa ditentukan di halaman user seperti uptime-limit dan bytes-in/ bytes-out. Jika limitasi sudah tercapai maka user tersebut akan expired dan tidak dapat digunakan lagi. IP yang spesifik juga bisa ditentukan di halaman ini sehingga user akan mendapat ip yang sama. User bisa dibatasi pada MAC-address tertentu.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-421
HotSpot users
09-422
2/9/11
User Limitation
Limit Uptime batas waktu user dapat menggunakan akses ke Hotspot Network. Limit-bytes-in dan Limit-bytes-out batas Jumlah trasfer data yang bisa dilakukan oleh user.
09-423
2/9/11
Bypass! - IP bindings
One-to-one NAT bisa dikonfigurasi secara static berdasarkan : l Original IP Host l Original MAC Address Bypass host terhadap Hotspot Authentication bisa dilakukan menggunakan IP-Bindings. Block Akses dari host tertentu (Berdasarkan Original MAC-address atau Original IP-Address) juga bisa dilakukan menggunakan IP-Bindings.
09-424
2/9/11
HotSpot IP bindings
09-425
2/9/11
Bypass - WalledGarden
WalledGarden adalah sebuah system yang memungkinkan untuk user yang belum terautentikasi menggunakan (Bypass!) beberapa resource jaringan tertentu tetapi tetap memerlukan autentikasi jika ingin menggunakan resource yang lain. IP-WalledGarden hampir sama seperti WalledGarden tetapi mampu melakukan bypass terhadap resource yang lebih spesifik pada protocol dan port tertentu. Biasanya digunakan untuk melakukan bypass terhadap server local yang tidak memerlukan autentikasi.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
09-426
HTTP-level WalledGarden
09-427
2/9/11
IP-WalledGarden
09-428
2/9/11
Advertisement
Sama seperti yang digunakan pada fasilitas WalledGarden, Advertisement juga menggunakan ProxyEngine di Hotspot System untuk menampilkan popup halaman web (iklan) di webbrowser para user yang sudah terautentikasi. Halaman Advertisement dimunculkan berdasarkan periode waktu yang sudah ditentukan, dan akses akan dihentikan jika pop-up halaman advertisement diblock (pop-up blocker aktif), dan akan disambungkan kembali jika halaman Advertisement sudah dimunculkan.
09-429
2/9/11
Advertisement
Jika sudah waktunya untuk memunculkan advertisement, server akan memanggil halaman status dan meriderect halaman status tersebut ke halaman web iklan yang sudah ditentukan.
09-430
2/9/11
VPN Basic
Certified Mikrotik Training Basic Class Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Virtual Private Network (VPN) adalah sebuah jaringan komputer dimana koneksi antar nodenya memanfaatkan jaringan public (Internet / WAN) karena mungkin dalam kondisi atau kasus tertentu tidak memungkinkan untuk membangun infrastruktur jaringan sendiri. Interkoneksi antar node seperti memiliki jaringan yang independen yang sebenarnya dibuatkan koneksi atau jalur khusus melewati jaringan public. Pada implementasinya biasanya digunakan untuk membuat komunikasi yang bersifat secure melalui jaringan Internet, tetapi VPN tidak harus menggunakan standard keamanan yang baku seperti Autentikasi dan enkripsi. Salah satu contohnya adalah Penggunaan VPN untuk akses network dengan tingkat security yang tinggi di system reservasi ticket.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
10-432
VPN Networks
Virtual Private Network. Jaringan Data yang bersifat independen yang memanfaatkan infrastruktur jaringan public.
File Server Aplication Server Aplication Server File Server
Office 1
Router
Router
Office 2
PC
PC
PC
PC
File Server
Router
Office 3
PC
PC
PC
PC
10-433
2/9/11
Mikrotik RouterOS bisa berfungsi sebagai PPTP server maupun PPTP Client atau gabungan dari keduanya.
Koneksi PPTP menggunakan TCP port 1723 dan IP protocol 47/GRE. Fungsi PPTP clients sudah tersedia atau termasuk dalam sebagian besar Sistem Operasi.
10-434
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
10-435
2/9/11
Server Address Parameter server PPTP yang akan di dial User Parameter username Password Parameter password Profile Parameter optional untuk mengaktifkan enkripsi pada link pptp atau tidak.
10-436
2/9/11
PPTP tunnel
10.10.20.1/32
10.10.10.100/24
10.10.10.1/24
10.10.10.2/24
10.10.20.2/32
192.168.1.1/24
192.168.2.1/24
192.168.1.2/24
192.168.2.2/24
Table 1
10-437
Table 2
2/9/11
10-438
2/9/11
PPTP-Client :
l Username
dan Password disesuaikan dari konfigurasi server. l Connect-to adalah parameter Alamat IP dari PPTP-Server. l Add-Default-Route adalah parameter jika akan menggunakan koneksi PPTP sebagai gateway utama.
Membuat PPTP-Client Interface : /interface pptp-client add name=pptp-out1 connect-to=10.10.10.100 user=user1 password=user1
10-439
2/9/11
10-440
2/9/11
Service PPTP server bisa diaktifkan pada PPP configuration Default Profile digunakan untuk menetukan group dan memberikan konfigurasi dasar seperti ip address, penggunaan enkripsi dan juga limitasi user Default Profile digunakan untuk user-user yang tidak terdapat di database local router contohnya jika autentikasi user menggunakan RADIUS.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
10-441
10.200.200.1 Pool-pptp
Buat
PPP-Profile untuk network PPTP. Tentukan Local-Address sebagai IP yang akan dipasang di server. Tentukan Remote-Address menggunakan pool-pptp sebagai ip yang akan dibagikan ke client.
10-442
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
10-443
2/9/11
10-444
2/9/11
PPP - Secret
PPP Secret adalah data user yang ada di local database router, semua konfigurasi user seperti username, password, alokasi ip address, profile dan limitasi bisa dilakukan di sini. Ada dua pilihan melakukan assign ip ke user yaitu menggunakan setting di secret (fix ip) atau menggunakan profile (pool ip). PPTP server juga bisa menggunakan database user external yaitu menggunakan RADIUS seperti UserManager atau FreeRadius.
Mikrotik Indonesia http://www.mikrotik.co.id 2/9/11
10-445