Mengevaluasi & Mengkonfigurasi VLAN pada jaringan


Pengertian VLAN secara umum.

Sesuai namanya, Virtual LAN atau yang disingkat VLAN adalah sebuah protokol yang memungkinkan pembuatan beberapa jaringan dalam satu segmen jaringan yang sama. Segmen jaringan yang sama maksudnya seperti ini. Secara physical, jika ada 6 komputer terhubung ke satu switch, berarti 6 komputer tersebut berada dalam satu jaringan yang sama. Nah, dengan VLAN kita bisa membuat 6 komputer tersebut berada di beberapa jaringan yang berbeda meski terhubung ke switch yang sama. Jika bingung, sederhananya VLAN adalah protokol yang digunakan untuk membuat beberapa jaringan pada perangkat switch.

Standar Protocol VLAN yaitu IEEE 802.1q atau biasa disebut Dot1q. Dan catatan penting : VLAN hanya ada pada Managable Switch, yaitu switch yang bisa dikonfigurasi. Jadi mencari VLAN di switch 50-ribuan yang tidak bisa dikonfigurasi. VLAN juga bisa juga dikonfigurasi pada Router atau perangkat Layer 3, tapi tidak semua router ya, karena ada router yang cuma bisa membuat DHCP server dan IP Filter saja.

Range VLAN ID

Range nomor VLAN atau VLAN ID yaitu antara 1 – 4094. Akan tetapi ada beberapa aturan yang berlaku seperti berikut.

  • VLAN 1 : Default VLAN.
    Jika suatu port tidak dikonfigurasi VLAN, maka VLAN ID-nya adalah 1. Kita bisa menggunakannya tetapi tidak bisa mengubah dan menghapus VLAN 1.
  • Range VLAN 2-1005 : Normal VLAN.
    VLAN yang umum digunakan, kita bisa membuat, mengubah, dan menghapus VLAN di range ini.
  • Range VLAN 1006-4094 : Extended VLAN.
    Kita bisa membuat dan mengubah vlan di range tersebut tetapi status VLAN ini selalu aktif, tidak bisa dishutdown.
  • Range VLAN 3968-4047 dan 4094 : Reserved VLAN.
    VLAN yang digunakan untuk penggunaan internal perangakat tersebut. Kita tidak bisa membuat dan menggunakan VLAN dengan range 3968-4047 dan 4094.

Cara Kerja VLAN

VLAN bekerja pada layer 2 model OSI yaitu Data-Link Layer. Konsepnya begini: switch hanya akan meneruskan paket yang berasal dari interface VLAN ke interface lainya yang VLAN-nya sama.Misal port f0/1 sampai f0/5 dikonfigurasi sebagai VLAN 10, port sisanya default (VLAN 1). Saat ada traffic dari dari interface f0/2, yang mana interface tersebut VLAN-nya adalah 10, maka switch hanya akan melihat ARP table untuk interface f0/1 sampai f0/5. Seandainya mac address tujuan tidak ada, switch akan melakukan broadcast ARP dan itu juga hanya akan dibroadcast ke interface f0/1 sampai f0/5 (yang VLAN-nya sama).

Lalu bagaimana VLAN di suatu switch berinteraksi dengan VLAN di switch lain?

Untuk berinteraksi dengan VLAN di perangkat yang berbeda, ada standar protokol yang digunakan yaitu IEEE 802.1Q. Saat akan keluar ke switch atau perangkat lain, paket VLAN tersebut akan ditandai dengan 802.1Q tag header agar swicth tujuannya tahu paket tersebut VLAN berapa.

Perhatikan Gambar 1 berikut ini. Ethernet Frame yang atas adalah ilustrasi struktur ethernet frame tanpa VLAN. Sedangkan yang bawah adalah ethernet frame yang menggunakan protokol VLAN. Kita lihat, di situ ada header tambahan berupa 802.1q Header atau Dot1q Header.


Gambar 1 – VLAN Header on Ethernet Frame

Apa isi tambahan tersebut? 802.1q Header ini berukuran 32 bit, yang isinya seperti Gambar 2 berikut ini :

Gambar 2 – Details of 802.1q Header

Tag protocol identifier (TPID) : identifier yang digunakan untuk menunjukan bahwa paket ini terdapat protokol VLAN, value TPID adalah 0x8100 (sama seperti ether type).

16 bit berikutnya berisi Tag control information (TCI) yang meliputi :
Priority code point (PCP) : menentukan prioritas frame, hal ini mengacu pada aturan 802.1p.
Drop eligible indicator (DEI) : kadang field ini terpisah dari PCP, tapi kadang DEI ini digabung dengan PCP. DEI digunakan sebagai indikator bahwa frame tersebut bisa dilepas.
VLAN identifier (VID) : 12 bit yang mengidentifikasi VLAN ID yang sebelumnya sudah kita bahas, yaitu range-nya antra 1-4094. Value dari VID menggunakan bilangan hexadesimal format 0xVLANID, yaitu 0x001 sampai dengan 0xFFE. 0x000 dan 0xFFF adalah reserverd value, jika valuenya 0x000 menunjukan paket tersebut tidak membawah VLAN ID, sedangkan jika valuenya 0xFFF mengindikasikan kecocokan wildcard dalam managemen atau data filtering.

Sebenarnya Cisco punya standar protokol sendiri yaitu ISL (Inter-Switch Link), cara kerjanya mirip. Hanya saja ukuran header tambahannya 30 Bytes, jauh lebih besar dibanding 802.1Q yang hanaya 4 Bytes. Penjelasan lebih jauh tentang ISL mungkin akan dibahas di lain artikel. Sekarang, saya kasih dulu gambaran singkat perbedaan ISL dan 802.Q sebagai berikut.

ISL adalah cisco proprietary protocol (protokol yang dikembangakan oleh cisco hanya untuk perangkat cisco dan tidak ditemukan di perangkat lain). Sedangkan 802.1Q adalah protokol standar IEEE yang digunakan pada banyak perangkat jaringan.

ISL hanya support hinggai 1000 VLANs. Sedangkan 802.1Q bisa support 4096 VLAN.

ISL akan menandai (memberi tambahan header) kepada Native VLAN, jadi jika native VLAN akan melintas keluar dia akan ditambahkan header tambahan. Sedangkan 802.1Q tidak menambahkan header tambahan pada native VLAN.

Ukuran header tambahan ISL adalah 30 Bytes, sedangkan 802.1Q hanya 4 Bytes.

Mode port switch

  1. Statis VLAN

Port switch yang dikonfigurasikan secara manual pada setiap port-nya.

  1. Dinamis VLAN

Keanggotaan port VLAN dikonfigurasi menggunakan server khusus yang dinamakan VLAN Membership Policy Server(VMPS). Server ini akan memberikan konfgiurasi secara dinamis berdasarkan MAC address yang tercatat pada database switch, tetapi cara ini tidak luas digunakan.

  1. Voice VLAN

Port yang dikonfigurasi menjadi mode voice. Jadi port tersebut dapat digunakan menggunakan IP phone, sebelum mengkonfigurasikan pertama harus mengkonfigurasikan VLAN voice terlebih dahulu dan baru VLAN data. Cara tersebut untuk memastikan bahwa traffic untuk port voice benar – benar traffic voice saja.

 

VLAN ID

Untuk memberi identitas sebuah VLAN digunakan nomor identitas VLAN yang dinamakan VLAN ID. Digunakan untuk menandai VLAN yang terkait. Dua range VLAN ID adalah:

a. Normal Range VLAN (1 – 1005)

Digunakan untuk jaringan skala kecil dan menengah.

Nomor ID 1002 s.d. 1005 dicadangkan untuk Token Ring dan FDDI VLAN.
ID 1, 1002 – 1005 secara default sudah ada dan tidak dapat dihilangkan.
Konfigurasi disimpan di dalam file database VLAN, yaitu vlan.dat. file ini disimpan dalam memori flash milkik switch.
VLAN trunking protocol (VTP), yang membantu manajemen VLAN, hanya dapat bekerja pada normal range VLAN dan menyimpannya dalam file database VLAN.
b. Extended Range VLANs (1006 – 4094)

Memungkinkan para service provider untuk memperluas infrastrukturnya kepada konsumen yang lebih banyak. Dibutuhkan untuk perusahaan skala besar yang membutuhkan jumlah VLAN lebih dari normal.Memiliki fitur yang lebih sedikit dibandingakn VLAN normal range.

Disimpan dalam NVRAM (file running configuration). VTP tidak bekerja di sini.

Standard IEEE 802.1Q

IEEE 802.1QIEEE 802.1Q, sering disebut sebagai Dot1q, adalah standar jaringan yang mendukung LAN virtual (VLAN) pada jaringan Ethernet IEEE 802.3. Standar tersebut mendefinisikan sistem pemberian tag VLAN untuk frame Ethernet dan prosedur yang menyertainya untuk digunakan oleh jembatan dan switch dalam menangani frame tersebut. Standar ini juga berisi ketentuan untuk skema prioritas kualitas layanan yang umum dikenal sebagai IEEE 802.1p dan mendefinisikan Protokol Pendaftaran Atribut Generik.Bagian dari jaringan yang dikenal dengan VLAN (yaitu, IEEE 802.1Q conformant) dapat mencakup tag VLAN. Ketika sebuah frame memasuki bagian jaringan VLAN yang sadar, sebuah tag ditambahkan untuk mewakili keanggotaan VLAN. [A] Setiap frame harus dapat dibedakan karena berada dalam satu VLAN. Bingkai di bagian jaringan VLAN yang sadar yang tidak mengandung tag VLAN diasumsikan mengalir pada VLAN asli.Standar ini dikembangkan oleh IEEE 802.1, sebuah kelompok kerja dari komite standar IEEE 802, dan terus direvisi secara aktif. Salah satu revisi penting adalah 802.1Q-2014 yang memasukkan IEEE 802.1aq (Shortest Path Bridging) dan sebagian besar standar IEEE 802.1D.
802.1Q menambahkan bidang 32-bit antara alamat MAC sumber dan bidang EtherType dari frame aslinya.Ukuran bingkai minimum dibiarkan tidak berubah pada 64 byte. [2] Ukuran bingkai maksimum diperpanjang dari 1.518 byte menjadi 1.522 byte. Dua byte digunakan untuk tag protocol identifier (TPID), dua byte lainnya untuk informasi kontrol tag (TCI). Bidang TCI dibagi lagi menjadi PCP, DEI, dan VID
Tag protocol identifier (TPID)
Bidang 16-bit diatur ke nilai 0x8100 untuk mengidentifikasi frame sebagai bingkai tag IEEE 802.1Q. Bidang ini terletak pada posisi yang sama dengan bidang EtherType dalam bingkai yang tidak diberi tanda, dan karenanya digunakan untuk membedakan frame dari frame yang tidak diberi label.Informasi kontrol tag (TCI)
Bidang 16-bit yang berisi sub-bidang berikut:> Poin kode prioritas (PCP)
 Bidang 3-bit yang mengacu pada kelas layanan dan peta IEEE 802.1p ke tingkat prioritas bingkai. Nilai PCP yang berbeda dapat digunakan untuk memprioritaskan kelas lalu lintas yang berbeda. > Drop indikator yang memenuhi syarat (DEI)Bidang 1-bit. (sebelumnya CFI [b]) Dapat digunakan secara terpisah atau bersamaan dengan PCP untuk menunjukkan frame yang layak dijatuhkan jika ada kemacetan. 

VLAN Membership

Dynamic VLAN Membership Dynamic VLAN, lawan dari Static VLAN, yang tidak memerlukan administrator jaringan secara manual menetapkan setiap switchport VLAN tertentu. Tetapi sebaliknya, sebuah server pusat yang disebut VLAN Membership Policy Server (VMPS) digunakan untuk menangani konfigurasi port setiap switch berpartisipasi dalam jaringan VLAN.

Server VMPS berisi database dari semua workstation MAC address, bersama dengan yang terkait VLAN MAC addres sharus dimiliki. Ketika bergerak akhir-stasiun dari sebuah port pada SwitchA dalam jaringan ke port pada SwitchB dalam jaringan, SwitchB dinamis memberikan port baru pada VLAN yang tepat untuk itu “end-station”.

Switch bertindak sebagai klien untuk VMPS dan berkomunikasi melaluiVLAN Query Protocol (VQP) (hanya protokol Cisco) pada port UDP 1589. The VMPS menerima permintaan VQP dari beralih klien, akan mencari perusahaan database pemetaan MAC address-to-VLAN dan memberikan switchport a VLAN berdasarkan pemetaan.VMPS ModeServer VMPS dapat berupa salah satu dari dua mode-Secure danOpen mode . Respon terhadap permintaan VQP didasarkan pada pemetaan address MAC-to-VLAN dan apakah server di Secure atau Open mode.Ada salah satu dari 4 jenis respon dari server VMPS ke VQP request -Allow, Deny, Shutdown dan Wrong_Domain.

– Jika MAC address dalam database VMPS, server (baik Open atau mode Secure) merespon dengan nama VLAN yang sesuai untuk itu.
– Jika MAC address tidak dalam database VMPS, respon dari server tergantung pada jenis mode berikut:
-Jika VMPS dalam mode Open, akan meresponnya dengan akses-ditolak kepada Nasabah dan terus       untuk memblokir lalu lintas dari MAC addresspada port
– Jika VMPS dalam mode Secure, itu reponds dengan shutdownkepada Nasabah dan menutup port Switch ke bawah.

VLAN Trunking

Jika terdapat dua buah switch dan pada masing-masing switch tersebut terdapat jaringan VLAN, maka untuk menghubungkan ke dua switch tersebut kita harus melakukan konfigurasi yang disebut dengan VLAN Trunking. Jadi fungsi VLAN Trunking adalah menghubungkan trafik VLAN dari switch yang berbeda, contohnya menghubungkan VLAN pada lantai 1 dan 2 seperti gambar berikut ini.

VTP (Virtual Trunking Protocol)

VTP adalah suatu protocol untuk mengenalkan suatu atau sekelompok VLAN yang telah adaagar dapat berkomunikasi dengan jaringan. VTP merupakan fitur layer 2 yang terdapat pada jajaran switch Cisco Catalyst , yang berguna terutama dalam lingkungan skala besar meliputi beberapa VLAN sekaligus.
Keuntungan VTP (Virtual Trunking Protocol)
  
  1. Konfigurasi VLAN yang lebih konsisten di semua switch2.
  2. Tracking dan monitoring VLAN dengan akurat3.
  3. Pengiriman VLAN-advertisement terjadi hanya di trunk-port4.
  4. Menambah VLAN secara plug-and-play
Konsep dasar VTP
VLAN merupakan suatu broadcast domain, sekumpulan port atau user yang kita kelompokkan.VLAN dapat mencakup beberapa switch, hal ini dapat dilakukan dengan mengkonfigurasiVLAN pada beberapa switch dan kemudian menghubungkan switch tersebut, dengan satu pasang port per VLAN.

Inter-VLAN Routing

Inter VLAN routing merupakan proses mem-forward lalu lintas dari satu jaringan VLAN ke VLAN lain atau dengan kata lain mengubungkan host-host yang berada pada VLAN yang berbeda. Komputer dalam sebuah VLAN tidak dapat terhubung dengan komputer lain yang berbeda VLAN karena berada pada broadcast domain yang berbeda. Untuk menghubungkan VLAN yang berbeda tersebut, dibutuhkan perangkat layer 3 baik itu router atau switch layer 3. Persyaratan router yang dipakai untuk routing VLAN adalah router tersebut harus bisa dibuat trunking ke switch. Oleh karena itu, router yang digunakan untuk inter VLAN memiliki interface FastEthernet. Selain itu IOS untuk router tersebut juga harus mendukung trunking.

Access control list

Sebuah Access Control List (ACL )  adalah seperangkat aturan yang biasanya digunakan untuk lalu lintas jaringan filter. ACL dapat dikonfigurasi pada perangkat jaringan dengan capatibilites pemfilteran paket, seperti router dan firewall.

ACL berisi daftar kondisi yang mengkategorikan paket dan membantu Anda menentukan kapan harus mengizinkan atau menolak lalu lintas jaringan. Mereka diterapkan atas dasar antarmuka untuk paket yang keluar atau memasuki antarmuka. Dua jenis ACL tersedia pada perangkat Cisco:

  • standard access lists – memungkinkan Anda untuk mengevaluasi hanya alamat IP sumber dari sebuah paket. ACL standar tidak sekuat daftar akses tambahan, tetapi kurang intensif untuk perangkat ini.
  • dextended access lists  – memungkinkan Anda mengevaluasi alamat IP sumber dan tujuan, jenis protokol Layer 3, port sumber dan tujuan, dan parameter lainnya. ACL yang diperluas lebih kompleks untuk dikonfigurasi dan membutuhkan lebih banyak waktu CPU daripada ACL standar, tetapi mereka memungkinkan tingkat kontrol yang lebih terperinci.

Untuk memahami manfaat menggunakan ACL di jaringan Anda, perhatikan topologi jaringan berikut:

VLAN Tagging

VLAN Frame tagging adalah teknologi yang digunakan untuk mengidentifikasi kepemilikan paket pada suatu VLAN. Frame tag VLAN ditempatkan pada frame ketika mencapai switch dari suatu access port, yang mana adalah keanggotaan VLAN. Jika switch memiliki trunk port, frame dapat di forward keluar dari switch melalui port yang dikonfigurasi menjadi port trunk. Metode tersebut memungkinkan setiap switch untuk melihat apa terdapat kepemilikan VLAN frame dan dapat forward frame ke port acces VLAN yang sesuai atau ke port trunk VLAN.

   Terdapat 4 Perbedaan teknologi pada VLAN frame trunking :

  1. Inter-Switch Link (ISL): Cisco proprietary VLAN frame tagging.
  2. IEEE 802.1Q: IEEE industry standard VLAN frame tagging.
  3. LAN Emulation (LANE): LANE digunakan untuk komunikasi dengan multiple VLAN melalui jaringan ATM.
  4. 802.10 (FDDI): Protokol untuk mengirim informasi VLAN melalui FDDI.

Fungsi dan cara kerja managed switch

Switch manageable adalah jenis switch dengan Harga tinggi yang bisa dikonfigurasi karena memiliki sistem operasi di dalamnya. Makna dari kata manageable di sini adalah bahwa switch ini bisa dikonfigurasi sesuai dengan kebutuhan Network agar lebih efisien dan juga maksimal. Sehingga dapat diatur untuk kebutuhan jaringan tertentu.

Sedangkan Pioneer untuk switch manageble adalah perangkat dengan merek Cisco, selain Ini kebanyakan hanya sebuah switch murah yang tidak bisa di konfigurasi dan sistem pakainya tinggal colok saja.

Tujuan penggunaan switch manageable untuk meningkatkan keamanan dari sebuah jaringan lokal serta bisa digunakan pada perusahaan-perusahaan kelas elite.

Switch manageable sendiri dapat dikelompokkan menjadi dives yang bekerja di layer 3 OSI Model Paket Data yang semakin sedikit karena kapasitas buffer memory bisa menampung paket menjadi lebih banyak sehingga lalu lintas komunikasi data pun menjadi semakin lancar.

Apa saja fungsi dari switch manageable?

Fungsi Manageable Switch yaitu menggabungkan beberapa segmen atau kelompok LAN.

Switch akan bekerja di layer 2 dalam model referensi OSI dimana defisi ini memiliki kemampuan lebih baik dibandingkan hub atau repeater.

Fungsinya tidak hanya menghubungkan antar jaringan local area network atau LAN saja, melainkan juga memiliki kemampuan mengatasi masalah collision yang dialami oleh device repeater atau hub.

Next Post Previous Post