CHAPTER 5 CCNA2

-
SWITCH CONFIGURATION

Switch Boot Sequence
Setelah sakelar Cisco dihidupkan, sakelar ini akan melalui urutan boot berikut:

1. Pertama, sakelar memuat program pengujian-mandiri (POST) power-on yang disimpan dalam ROM. POST memeriksa subsistem CPU. Ini menguji CPU, DRAM, dan bagian dari perangkat flash yang membentuk sistem file flash.

2. Selanjutnya, sakelar memuat perangkat lunak boot loader. Boot loader adalah program kecil yang disimpan dalam ROM yang dijalankan segera setelah POST berhasil selesai.

3. Boot loader melakukan inisialisasi CPU tingkat rendah. Ini menginisialisasi register CPU, yang mengontrol di mana memori fisik dipetakan, jumlah memori, dan kecepatannya.

4. Boot loader menginisialisasi sistem file flash pada board sistem.

5. Terakhir, bootloader menempatkan dan memuat gambar perangkat lunak sistem operasi IOS default ke dalam memori dan memberikan kendali peralihan ke iOS.

Boot loader menemukan gambar Cisco IOS pada sakelar sebagai berikut: sakelar mencoba mem-boot secara otomatis dengan menggunakan informasi dalam variabel lingkungan BOOT. Jika variabel ini tidak disetel, sakelar akan mencoba memuat dan mengeksekusi file yang dapat dieksekusi pertama yang dapat dilakukan dengan melakukan pencarian rekursif, kedalaman-pertama di seluruh sistem file flash. Dalam pencarian mendalam-pertama pada sebuah direktori, setiap subdirektori yang ditemui sepenuhnya dicari sebelum melanjutkan pencarian di direktori asli. Pada sakelar Catalyst 2960 Series, file gambar biasanya terkandung dalam direktori yang memiliki nama yang sama dengan file gambar (tidak termasuk ekstensi file .bin).

Sistem operasi IOS kemudian menginisialisasi antarmuka menggunakan perintah Cisco IOS yang ditemukan dalam file startup-config, yang disimpan dalam NVRAM.


Pada gambar, variabel lingkungan BOOT diatur menggunakan perintah mode konfigurasi global sistem boot. Perhatikan bahwa iOS terletak di folder yang berbeda dan jalur folder ditentukan. Gunakan boot show perangkat untuk melihat bagaimana file boot iOS saat ini diatur.


Recovering From a System Crash
Boot loader menyediakan akses ke sakelar jika sistem operasi tidak dapat digunakan karena file sistem hilang atau rusak. Boot loader memiliki baris perintah yang menyediakan akses ke file yang disimpan dalam memori flash.

Boot loader dapat diakses melalui koneksi konsol dengan mengikuti langkah-langkah ini:

Langkah 1. Sambungkan PC dengan kabel konsol ke port konsol sakelar. Konfigurasikan perangkat lunak emulasi terminal untuk terhubung ke sakelar.

Langkah 2. Cabut kabel daya sakelar.

Langkah 3. Sambungkan kembali kabel daya ke sakelar dan, dalam waktu 15 detik, tekan dan tahan tombol Mode saat LED Sistem masih berkedip hijau.

Langkah 4. Lanjutkan menekan tombol Mode sampai LED Sistem menyala kuning sebentar dan kemudian menyala hijau; kemudian lepaskan tombol Mode.

Langkah 5. Sakelar boot loader: prompt muncul di perangkat lunak emulasi terminal pada PC.

Baris perintah boot loader mendukung perintah untuk memformat sistem file flash, menginstal ulang perangkat lunak sistem operasi, dan memulihkan kata sandi yang hilang atau terlupakan. Sebagai contoh, perintah dir dapat digunakan untuk melihat daftar file dalam direktori yang ditentukan, seperti yang ditunjukkan pada gambar.


Catatan: Perhatikan bahwa dalam contoh ini, iOS terletak di root folder flash.


Switch LED Indicators
Switch Cisco Catalyst memiliki beberapa lampu indikator status LED. Anda dapat menggunakan LED sakelar untuk memantau aktivitas dan kinerja sakelar dengan cepat. Sakelar model dan set fitur yang berbeda akan memiliki LED yang berbeda dan penempatannya di panel depan sakelar juga dapat bervariasi.

Angka tersebut menunjukkan LED sakelar dan tombol Mode untuk sakelar Cisco Catalyst 2960. Tombol Mode digunakan untuk beralih melalui status port, port duplex, kecepatan port, dan status PoE (jika didukung) dari LED port. Berikut ini menjelaskan tujuan indikator LED, dan arti warna mereka:

LED Sistem - Menunjukkan apakah sistem menerima daya dan berfungsi dengan baik. Jika LED mati, itu berarti sistem tidak dinyalakan. Jika LED berwarna hijau, sistem beroperasi secara normal. Jika LED berwarna kuning, sistem menerima daya tetapi tidak berfungsi dengan benar.
Redundant Power System (RPS) LED - Menunjukkan status RPS. Jika LED mati, RPS mati, atau tidak terhubung dengan benar. Jika LED berwarna hijau, RPS terhubung dan siap untuk menyediakan daya cadangan. Jika LED berkedip hijau, RPS terhubung tetapi tidak tersedia karena memberikan daya ke perangkat lain. Jika LED berwarna kuning, RPS dalam mode siaga, atau dalam kondisi salah. Jika LED berkedip kuning, catu daya internal pada sakelar gagal, dan RPS menyediakan daya.
Port Status LED - Menunjukkan bahwa mode status port dipilih ketika LED berwarna hijau. Ini adalah mode default. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, tidak ada tautan, atau port secara administratif dimatikan. Jika LED berwarna hijau, ada tautan. Jika LED berkedip hijau, ada aktivitas dan port mengirim atau menerima data. Jika LED berganti hijau-kuning, ada kesalahan tautan. Jika LED berwarna kuning, port diblokir untuk memastikan tidak ada loop dalam domain penerusan dan tidak meneruskan data (biasanya, port akan tetap dalam kondisi ini selama 30 detik pertama setelah diaktifkan). Jika LED berkedip kuning, port diblokir untuk mencegah kemungkinan loop dalam domain penerusan.
Port Duplex LED - Menunjukkan mode port duplex dipilih ketika LED berwarna hijau. Saat dipilih, LED port yang mati dalam mode setengah dupleks. Jika LED port berwarna hijau, port berada dalam mode dupleks-penuh.
Port Speed ​​LED - Mengindikasikan mode kecepatan port dipilih. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, port beroperasi pada 10 Mb / s. Jika LED berwarna hijau, port beroperasi pada 100 Mb / s. Jika LED berkedip hijau, port beroperasi pada 1000 Mb / s.

LED Mode Power over Ethernet (PoE) - Jika PoE didukung; LED mode PoE akan hadir. Jika LED mati, ini menunjukkan mode PoE tidak dipilih dan bahwa tidak ada port yang ditolak daya atau ditempatkan dalam kondisi kesalahan. Jika LED berkedip kuning, mode PoE tidak dipilih tetapi setidaknya salah satu port telah ditolak daya, atau memiliki kesalahan PoE. Jika LED berwarna hijau, ini menunjukkan mode PoE dipilih dan LED port akan menampilkan warna dengan makna yang berbeda. Jika LED port mati, PoE mati. Jika LED port berwarna hijau, PoE menyala. Jika LED port bergantian hijau-kuning, PoE ditolak karena memberikan daya ke perangkat bertenaga akan melebihi kapasitas daya sakelar. Jika LED berkedip kuning, PoE mati karena kesalahan. Jika LED berwarna kuning, PoE untuk port telah dinonaktifkan.


Preparing for Basic Switch Management
Untuk menyiapkan switch untuk akses manajemen jarak jauh, switch harus dikonfigurasi dengan alamat IP dan subnet mask. Perlu diingat, bahwa untuk mengelola sakelar dari jaringan jarak jauh, sakelar itu harus dikonfigurasikan dengan gateway default. Ini sangat mirip dengan mengkonfigurasi informasi alamat IP pada perangkat host. Pada gambar, saklar antarmuka virtual (SVI) pada S1 harus diberi alamat IP. SVI adalah antarmuka virtual, bukan port fisik di sakelar.

SVI adalah konsep yang terkait dengan VLAN. VLAN adalah grup logis bernomor yang port fisiknya dapat ditetapkan. Konfigurasi dan pengaturan yang diterapkan pada VLAN juga diterapkan ke semua port yang ditetapkan ke VLAN itu.

Secara default, switch dikonfigurasikan agar manajemen switch dikendalikan melalui VLAN 1. Semua port ditetapkan ke VLAN 1 secara default. Untuk tujuan keamanan, itu dianggap praktik terbaik untuk menggunakan VLAN selain VLAN 1 untuk VLAN manajemen.


Perhatikan bahwa pengaturan IP ini hanya untuk akses manajemen jarak jauh ke sakelar; pengaturan IP tidak memungkinkan switch untuk merutekan paket Layer 3.


Configuring Basic Switch Management Access with IPv4
Langkah 1. Konfigurasikan Antarmuka Manajemen

Alamat IPv4 dan subnet mask dikonfigurasikan pada SVI manajemen sakelar dari mode konfigurasi antarmuka VLAN. Seperti yang ditunjukkan pada Gambar 1, perintah antarmuka vlan 99 digunakan untuk masuk ke mode konfigurasi antarmuka. Perintah alamat ip digunakan untuk mengkonfigurasi alamat IPv4. Perintah no shutdown memungkinkan antarmuka. Dalam contoh ini, VLAN 99 dikonfigurasikan dengan alamat IPv4 172.17.99.11.

SVI untuk VLAN 99 tidak akan muncul sebagai "atas / atas" sampai VLAN 99 dibuat dan ada perangkat yang terhubung ke port switch yang terkait dengan VLAN 99. Untuk membuat VLAN dengan vlan_id dari 99, dan menghubungkannya ke antarmuka , gunakan perintah berikut:

S1 (config) # vlan vlan_id

S1 (config-vlan) # name vlan_name

S1 (config-vlan) # keluar

S1 (config) # interface interface_id

S1 (config-if) # akses switchport vlan vlan_id

Langkah 2. Konfigurasikan Gateway Default

Switch harus dikonfigurasikan dengan gateway default jika akan dikelola dari jarak jauh dari jaringan yang tidak terhubung langsung. Gateway default adalah router yang terhubung dengan switch. Switch akan meneruskan paket IP-nya dengan alamat IP tujuan di luar jaringan lokal ke gateway default. Seperti yang ditunjukkan pada Gambar 2, R1 adalah gateway default untuk S1. Antarmuka pada R1 yang terhubung ke switch memiliki alamat IPv4 172.17.99.1. Alamat ini adalah alamat gateway default untuk S1.

Untuk mengkonfigurasi gateway default untuk switch, gunakan perintah ip default-gateway. Masukkan alamat IPv4 dari gateway default. Gateway default adalah alamat IPv4 dari antarmuka router yang terhubung dengan switch. Gunakan copy running-config startup-config perintah untuk membuat cadangan konfigurasi Anda.

Langkah 3. Verifikasi Konfigurasi


Seperti yang ditunjukkan pada Gambar 3, perintah show ip interface brief berguna ketika menentukan status dari kedua antarmuka fisik dan virtual. Output yang ditampilkan mengonfirmasi bahwa antarmuka VLAN 99 telah dikonfigurasi dengan alamat IPv4 dan subnet mask.


Duplex Communication
Komunikasi full-duplex meningkatkan kinerja LAN yang diaktifkan. Komunikasi full-duplex meningkatkan bandwidth efektif dengan memungkinkan kedua ujung koneksi untuk mengirim dan menerima data secara bersamaan. Ini juga dikenal sebagai komunikasi dua arah. Metode mengoptimalkan kinerja jaringan ini membutuhkan segmentasi mikro. LAN segmen-mikro dibuat ketika port switch hanya memiliki satu perangkat yang terhubung dan beroperasi dalam mode dupleks-penuh. Ketika port switch beroperasi dalam mode dupleks penuh, tidak ada collision domain yang terkait dengan port tersebut.

Tidak seperti komunikasi dupleks penuh, komunikasi setengah dupleks searah. Mengirim dan menerima data tidak terjadi secara bersamaan. Komunikasi setengah dupleks menciptakan masalah kinerja karena data dapat mengalir hanya dalam satu arah pada suatu waktu, sering kali menghasilkan benturan. Koneksi setengah dupleks biasanya terlihat pada perangkat keras lama, seperti hub. Komunikasi full-duplex telah menggantikan half-duplex di sebagian besar perangkat keras.

Gigabit Ethernet dan 10Gb NIC memerlukan koneksi dupleks penuh untuk beroperasi. Dalam mode dupleks penuh, sirkuit pendeteksian benturan pada NIC dinonaktifkan. Frame yang dikirim oleh dua perangkat yang terhubung tidak dapat bertabrakan karena perangkat menggunakan dua sirkuit terpisah dalam kabel jaringan. Koneksi dupleks penuh memerlukan sakelar yang mendukung konfigurasi dupleks penuh, atau koneksi langsung menggunakan kabel Ethernet antara dua perangkat.


Standar, efisiensi konfigurasi Ethernet berbasis hub bersama biasanya diberi peringkat 50 hingga 60 persen dari bandwidth yang dinyatakan. Full-duplex menawarkan efisiensi 100 persen di kedua arah (transmisi dan penerimaan). Ini menghasilkan potensi penggunaan 200 persen dari bandwidth yang dinyatakan.


Configure Switch Ports at the Physical Layer
Dupleks dan Kecepatan

Switch port dapat dikonfigurasikan secara manual dengan pengaturan dupleks dan kecepatan tertentu. Gunakan perintah mode konfigurasi antarmuka dupleks untuk secara manual menentukan mode dupleks untuk port switch. Gunakan perintah mode konfigurasi antarmuka kecepatan untuk secara manual menentukan kecepatan untuk port switch. Pada Gambar 1, port F0 / 1 pada sakelar S1 dan S2 dikonfigurasikan secara manual dengan kata kunci lengkap untuk perintah dupleks, dan 100 kata kunci untuk perintah kecepatan.

Pengaturan default untuk duplex dan kecepatan untuk port switch pada switch Cisco Catalyst 2960 dan 3560 adalah otomatis. Port 10/100/1000 beroperasi dalam mode setengah atau dupleks penuh ketika mereka diatur ke 10 atau 100 Mb / s, tetapi ketika mereka diatur ke 1000 Mb / s (1 Gb / s), mereka hanya beroperasi dalam mode dupleks penuh. Negosiasi otomatis berguna ketika pengaturan kecepatan dan dupleks perangkat yang terhubung ke port tidak diketahui atau dapat berubah. Saat menghubungkan ke perangkat yang dikenal, seperti server, workstation khusus, atau perangkat jaringan, praktik terbaik adalah mengatur kecepatan dan pengaturan dupleks secara manual.

Saat pemecahan masalah port switch, pengaturan dupleks dan kecepatan harus diperiksa.

Catatan: Pengaturan yang tidak cocok untuk mode dupleks dan kecepatan port switch dapat menyebabkan masalah konektivitas. Kegagalan negosiasi otomatis membuat pengaturan tidak cocok.


Semua port serat optik, seperti port 1000BASE-SX, beroperasi hanya pada satu kecepatan preset dan selalu dupleks-penuh.



Auto-MDIX
Sampai saat ini, jenis kabel tertentu (straight-through atau crossover) diperlukan saat menghubungkan perangkat. Koneksi switch-to-switch atau switch-to-router diperlukan menggunakan kabel Ethernet yang berbeda. Menggunakan fitur crossover antarmuka media-tergantung otomatis (MDIX) otomatis pada antarmuka menghilangkan masalah ini. Ketika MDIX otomatis diaktifkan, antarmuka secara otomatis mendeteksi jenis koneksi kabel yang diperlukan (straight-through atau crossover) dan mengkonfigurasi koneksi dengan tepat. Saat menyambung ke sakelar tanpa fitur auto-MDIX, kabel langsung harus digunakan untuk menyambung ke perangkat seperti server, workstation, atau router. Kabel crossover harus digunakan untuk terhubung ke sakelar atau pengulang lainnya.

Dengan auto-MDIX diaktifkan, kedua jenis kabel dapat digunakan untuk menghubungkan ke perangkat lain, dan antarmuka secara otomatis menyesuaikan untuk berkomunikasi dengan sukses. Pada switch Cisco yang lebih baru, perintah mode konfigurasi antarmuka mdix otomatis mengaktifkan fitur ini. Saat menggunakan MDIX otomatis pada antarmuka, kecepatan antarmuka dan dupleks harus diatur ke otomatis agar fitur tersebut beroperasi dengan benar.

Perintah untuk mengaktifkan auto-MDIX ditunjukkan pada Gambar 1.

Catatan: Fitur auto-MDIX diaktifkan secara default pada sakelar Catalyst 2960 dan Catalyst 3560, tetapi tidak tersedia pada sakelar Catalyst 2950 dan Catalyst 3550 yang lebih lama.

Untuk memeriksa pengaturan auto-MDIX untuk antarmuka tertentu, gunakan perintah show controllers ethernet-controller dengan kata kunci phy. Untuk membatasi output ke baris yang merujuk pada auto-MDIX, gunakan filter Auto-MDIX. Seperti yang ditunjukkan pada Gambar 2, output menunjukkan On atau Off untuk fitur.


Gunakan Pemeriksa Sintaks pada Gambar 3 untuk mengkonfigurasi antarmuka FastEthernet 0/1 pada S2 untuk auto-MDIX.


Network Access Layer Issues
Output dari perintah show interface dapat digunakan untuk mendeteksi masalah media yang umum. Salah satu bagian terpenting dari output ini adalah tampilan garis dan status protokol data link. Gambar 1 menunjukkan garis ringkasan untuk memeriksa status suatu antarmuka.

Parameter pertama (FastEthernet0 / 1 sudah habis) merujuk ke lapisan perangkat keras dan menunjukkan jika antarmuka menerima sinyal pendeteksi pembawa. Parameter kedua (protokol garis naik) merujuk ke lapisan data link dan menunjukkan apakah keepalives protokol lapisan data sedang diterima.

Berdasarkan output dari perintah show interface, kemungkinan masalah dapat diperbaiki sebagai berikut:

Jika antarmuka naik dan protokol garis turun, ada masalah. Mungkin ada ketidakcocokan tipe enkapsulasi, antarmuka di ujung yang lain dapat dinonaktifkan karena kesalahan, atau mungkin ada masalah perangkat keras.
Jika protokol line dan antarmuka keduanya turun, kabel tidak terpasang atau ada masalah antarmuka lainnya. Misalnya, dalam koneksi back-to-back, ujung koneksi yang lain mungkin secara administratif turun.
Jika antarmuka secara administratif mati, itu telah dinonaktifkan secara manual (perintah shutdown telah dikeluarkan) dalam konfigurasi aktif.
Gambar 2 menunjukkan contoh output perintah show interface. Contoh ini menunjukkan penghitung dan statistik untuk antarmuka FastEthernet0 / 1.

Beberapa kesalahan media tidak cukup parah untuk menyebabkan rangkaian gagal, tetapi menyebabkan masalah kinerja jaringan. Gambar 3 menjelaskan beberapa kesalahan umum yang dapat dideteksi menggunakan perintah show interfaces.

"Kesalahan input" adalah jumlah semua kesalahan dalam datagram yang diterima pada antarmuka yang diperiksa. Ini termasuk runts, raksasa, CRC, tanpa buffer, bingkai, overrun, dan jumlah yang diabaikan. Kesalahan input yang dilaporkan dari perintah show interfaces meliputi:

Runt Frames - Frame Ethernet yang lebih pendek dari panjang minimum 64-byte yang diizinkan disebut runts. NIC yang tidak berfungsi adalah penyebab umum frame runt yang berlebihan, tetapi juga dapat disebabkan oleh tabrakan.
Raksasa - Rangka Ethernet yang lebih besar dari ukuran maksimum yang diizinkan disebut raksasa.
Kesalahan CRC - Pada antarmuka Ethernet dan serial, kesalahan CRC biasanya menunjukkan kesalahan media atau kabel. Penyebab umum termasuk gangguan listrik, koneksi longgar atau rusak, atau pemasangan kabel yang salah. Jika Anda melihat banyak kesalahan CRC, ada terlalu banyak noise pada tautan dan Anda harus memeriksa kabelnya. Anda juga harus mencari dan menghilangkan sumber kebisingan.
"Keluaran kesalahan" adalah jumlah dari semua kesalahan yang mencegah pengiriman data terakhir dari antarmuka yang sedang diperiksa. Kesalahan output yang dilaporkan dari perintah show interfaces meliputi:

Tabrakan - Tabrakan dalam operasi setengah dupleks adalah normal. Namun, Anda seharusnya tidak pernah melihat tabrakan pada antarmuka yang dikonfigurasi untuk komunikasi dupleks penuh.

Tumbukan lambat - Tumbukan lambat mengacu pada tumbukan yang terjadi setelah 512 bit frame ditransmisikan. Panjang kabel yang berlebihan adalah penyebab paling umum dari tabrakan yang terlambat. Penyebab umum lainnya adalah kesalahan konfigurasi dupleks. Misalnya, Anda dapat memiliki satu ujung koneksi yang dikonfigurasi untuk full-duplex dan yang lainnya untuk half-duplex. Anda akan melihat tabrakan terlambat pada antarmuka yang dikonfigurasi untuk half-duplex. Dalam hal ini, Anda harus mengonfigurasi pengaturan dupleks yang sama di kedua ujungnya. Jaringan yang dirancang dan dikonfigurasikan dengan benar seharusnya tidak memiliki tabrakan yang terlambat.



Troubleshooting Network Access Layer Issues
Sebagian besar masalah yang mempengaruhi jaringan yang diaktifkan ditemui selama implementasi asli. Secara teoritis, setelah diinstal, jaringan terus beroperasi tanpa masalah. Namun, pemasangan kabel menjadi rusak, konfigurasi berubah, dan perangkat baru terhubung ke sakelar yang membutuhkan perubahan konfigurasi sakelar. Diperlukan pemeliharaan dan pemecahan masalah infrastruktur jaringan.

Untuk memecahkan masalah skenario yang melibatkan tidak ada koneksi, atau koneksi buruk, antara sakelar dan perangkat lain, ikuti proses umum ini:

Gunakan perintah show interfaces untuk memeriksa status antarmuka.

Jika antarmuka tidak aktif:

Periksa untuk memastikan bahwa kabel yang tepat sedang digunakan. Selain itu, periksa kabel dan konektor untuk kerusakan. Jika diduga ada kabel yang salah atau salah, ganti kabelnya.
Jika antarmuka masih turun, masalahnya mungkin karena ketidakcocokan dalam pengaturan kecepatan. Kecepatan antarmuka biasanya dinegosiasikan secara otomatis; oleh karena itu, bahkan jika itu dikonfigurasikan secara manual pada satu antarmuka, antarmuka penghubung harus dinegosiasikan secara otomatis. Jika ketidakcocokan kecepatan memang terjadi melalui kesalahan konfigurasi, atau masalah perangkat keras atau perangkat lunak, maka hal itu dapat menyebabkan antarmuka turun. Atur kecepatan yang sama secara manual di kedua ujung koneksi jika ada masalah yang dicurigai.
Jika antarmuka aktif, tetapi masalah dengan konektivitas masih ada:

Menggunakan perintah show interfaces, periksa indikasi noise yang berlebihan. Indikasi dapat mencakup peningkatan penghitung untuk kesalahan runt, raksasa, dan CRC. Jika ada kebisingan yang berlebihan, pertama-tama temukan dan hapus sumber kebisingannya, jika memungkinkan. Selain itu, pastikan bahwa kabel tidak melebihi panjang kabel maksimum dan periksa jenis kabel yang digunakan.

Jika kebisingan tidak menjadi masalah, periksa tabrakan yang berlebihan. Jika ada tabrakan atau tabrakan terlambat, verifikasi pengaturan dupleks di kedua ujung koneksi. Sama seperti pengaturan kecepatan, pengaturan dupleks biasanya dinegosiasikan secara otomatis. Jika tampaknya ada ketidakcocokan dupleks, atur dupleks secara penuh pada kedua ujung koneksi.


SSH Operation
Secure Shell (SSH) adalah protokol yang menyediakan koneksi manajemen yang aman (terenkripsi) ke perangkat jarak jauh. SSH harus mengganti Telnet untuk koneksi manajemen. Telnet adalah protokol yang lebih lama yang menggunakan transmisi plaintext tidak aman dari kedua otentikasi login (nama pengguna dan kata sandi) dan data yang dikirimkan antara perangkat yang berkomunikasi. SSH menyediakan keamanan untuk koneksi jarak jauh dengan memberikan enkripsi yang kuat ketika suatu perangkat diautentikasi (nama pengguna dan kata sandi) dan juga untuk data yang ditransmisikan antara perangkat yang berkomunikasi. SSH ditugaskan ke port TCP 22. Telnet ditugaskan ke port TCP 23.
Untuk mengaktifkan SSH pada sakelar Catalyst 2960, sakelar itu harus menggunakan versi perangkat lunak iOS termasuk fitur dan kemampuan kriptografis (terenkripsi). Pada Gambar 5, gunakan perintah show version pada sakelar untuk melihat iOS mana sakelar yang sedang berjalan. Nama file iOS yang menyertakan kombinasi "k9" mendukung fitur dan kemampuan kriptografis (terenkripsi).



 Configuring SSH
Sebelum mengonfigurasi SSH, sakelar harus dikonfigurasi secara minimal dengan nama host unik dan pengaturan konektivitas jaringan yang benar.

Langkah 1. Verifikasi dukungan SSH.

Gunakan perintah show ip ssh untuk memverifikasi bahwa sakelar mendukung SSH. Jika sakelar tidak menjalankan iOS yang mendukung fitur kriptografis, perintah ini tidak dikenali.

Langkah 2. Konfigurasikan domain IP.

Konfigurasikan nama domain IP jaringan menggunakan perintah mode konfigurasi global ip domain-name domain-name. Pada Gambar 1, nilai nama domain adalah cisco.com.

Langkah 3. Hasilkan pasangan kunci RSA.

Tidak semua versi standar IOS untuk SSH versi 2, dan SSH versi 1 memiliki kelemahan keamanan. Untuk mengkonfigurasi SSH versi 2, jalankan perintah mode konfigurasi global ip ssh versi 2. Membuat pasangan kunci RSA secara otomatis memungkinkan SSH. Gunakan kunci kripto menghasilkan perintah mode konfigurasi global untuk mengaktifkan server SSH pada sakelar dan menghasilkan pasangan kunci RSA. Saat membuat kunci RSA, administrator diminta untuk memasukkan panjang modulus. Konfigurasi sampel pada Gambar 1 menggunakan ukuran modulus 1.024 bit. Panjang modulus yang lebih panjang lebih aman, tetapi membutuhkan waktu lebih lama untuk menghasilkan dan menggunakan.

Catatan: Untuk menghapus pasangan kunci RSA, gunakan perintah crypto key zeroize rsa mode konfigurasi global. Setelah pasangan kunci RSA dihapus, server SSH secara otomatis dinonaktifkan.

Langkah 4. Konfigurasikan otentikasi pengguna.

Server SSH dapat mengautentikasi pengguna secara lokal atau menggunakan server otentikasi. Untuk menggunakan metode autentikasi lokal, buat pasangan nama pengguna dan kata sandi menggunakan perintah mode konfigurasi global kata sandi nama pengguna. Dalam contoh ini, admin pengguna diberikan kata sandi ccna.

Langkah 5. Konfigurasikan baris vty.

Mengaktifkan protokol SSH pada baris vty menggunakan perintah mode konfigurasi input transportasi ssh baris. Catalyst 2960 memiliki jalur vty mulai dari 0 hingga 15. Konfigurasi ini mencegah koneksi non-SSH (seperti Telnet) dan membatasi sakelar untuk hanya menerima koneksi SSH. Gunakan perintah mode konfigurasi global baris vty dan kemudian login perintah mode konfigurasi lokal untuk meminta otentikasi lokal untuk koneksi SSH dari database nama pengguna lokal.

Langkah 6. Aktifkan SSH versi 2.


Secara default, SSH mendukung kedua versi 1 dan 2. Ketika mendukung kedua versi, ini ditampilkan dalam show ip ssh output sebagai mendukung versi 1.99. Versi 1 memiliki kerentanan yang diketahui. Untuk alasan ini, disarankan untuk hanya mengaktifkan versi 2. Aktifkan versi SSH menggunakan perintah konfigurasi global ip ssh versi 2.



 Verifying SSH
Pada PC, klien SSH seperti Putty, digunakan untuk terhubung ke server SSH. Untuk contoh pada Gambar 1 hingga 3, berikut ini telah dikonfigurasi:

SSH diaktifkan pada saklar S1
Antarmuka VLAN 99 (SVI) dengan alamat IPv4 172.17.99.11 pada saklar S1
PC1 dengan alamat IPv4 172.17.99.21
Pada Gambar 1, PC memulai koneksi SSH ke alamat SVI VLAN IPv4 dari S1.

Pada Gambar 2, pengguna telah diminta untuk nama pengguna dan kata sandi. Menggunakan konfigurasi dari contoh sebelumnya, admin nama pengguna dan kata sandi ccna dimasukkan. Setelah memasukkan kombinasi yang benar, pengguna terhubung melalui SSH ke CLI pada sakelar Catalyst 2960.


Untuk menampilkan versi dan data konfigurasi untuk SSH pada perangkat yang Anda konfigurasi sebagai server SSH, gunakan perintah show ip ssh. Dalam contoh ini, SSH versi 2 diaktifkan. Untuk memeriksa koneksi SSH ke perangkat, gunakan perintah show ssh (lihat Gambar 3


 Secure Unused Ports
Disable Unused Ports
Metode sederhana yang digunakan banyak administrator untuk membantu mengamankan jaringan dari akses tidak sah adalah dengan menonaktifkan semua port yang tidak digunakan pada sakelar. Misalnya, jika sakelar Catalyst 2960 memiliki 24 port dan ada tiga koneksi Fast Ethernet yang digunakan, itu adalah praktik yang baik untuk menonaktifkan 21 port yang tidak digunakan. Menavigasi ke setiap port yang tidak digunakan dan mengeluarkan perintah shutdown Cisco IOS. Jika, nanti, port harus diaktifkan kembali, port dapat diaktifkan dengan perintah no shutdown. Angka ini menunjukkan sebagian output untuk konfigurasi ini.

Sangat mudah untuk membuat perubahan konfigurasi ke beberapa port pada sebuah switch. Jika rentang port harus dikonfigurasi, gunakan perintah rentang antarmuka.

Beralih (konfigurasi) # modul jenis rentang antarmuka / angka pertama - angka terakhir


Proses mengaktifkan dan menonaktifkan port bisa memakan waktu, tetapi meningkatkan keamanan pada jaringan dan sangat sepadan dengan usaha.



Port Security: Operation
Port Security
Semua port switch (antarmuka) harus diamankan sebelum switch digunakan untuk produksi. Salah satu cara untuk mengamankan port adalah dengan mengimplementasikan fitur yang disebut keamanan port. Keamanan port membatasi jumlah alamat MAC yang valid yang diizinkan pada port. Alamat MAC dari perangkat yang sah diizinkan mengakses, sementara alamat MAC lainnya ditolak.

Keamanan port dapat dikonfigurasi untuk mengizinkan satu atau lebih alamat MAC. Jika jumlah alamat MAC yang diizinkan pada port terbatas pada satu, maka hanya perangkat dengan alamat MAC tertentu yang dapat berhasil terhubung ke port tersebut.

Jika port dikonfigurasikan sebagai port aman dan jumlah maksimum alamat MAC tercapai, setiap upaya tambahan untuk terhubung dengan alamat MAC yang tidak dikenal akan menghasilkan pelanggaran keamanan. Gambar 1 merangkum poin-poin ini.

Jenis Alamat MAC yang Aman

Ada beberapa cara untuk mengkonfigurasi keamanan port. Jenis alamat aman didasarkan pada konfigurasi dan termasuk:

Alamat MAC aman statis - Alamat MAC yang dikonfigurasikan secara manual pada port dengan menggunakan switchport port-security mac-address mac-address antarmuka mode konfigurasi perintah. Alamat MAC yang dikonfigurasi dengan cara ini disimpan dalam tabel alamat dan ditambahkan ke konfigurasi yang sedang berjalan pada sakelar.
Alamat MAC aman dinamis - Alamat MAC yang dipelajari secara dinamis dan disimpan hanya dalam tabel alamat. Alamat MAC yang dikonfigurasikan dengan cara ini dihapus ketika sakelar memulai kembali atau port turun.
Sticky secure MAC address - Alamat MAC yang dapat dipelajari secara dinamis atau dikonfigurasikan secara manual, kemudian disimpan dalam tabel alamat dan ditambahkan ke konfigurasi yang sedang berjalan hingga sakelar memulai kembali.
Alamat MAC Secure Sticky

Untuk mengkonfigurasi antarmuka untuk mengonversi alamat MAC yang dipelajari secara dinamis menjadi sticky secure address MAC dan menambahkannya ke konfigurasi yang sedang berjalan, Anda harus mengaktifkan pembelajaran sticky. Pembelajaran sticky diaktifkan pada antarmuka dengan menggunakan perintah mode konfigurasi antarmuka antarmuka sticky port mac-address keamanan.

Ketika perintah ini dimasukkan, sakelar mengubah semua alamat MAC yang dipelajari secara dinamis, termasuk yang dipelajari secara dinamis sebelum pembelajaran sticky diaktifkan, menjadi alamat MAC sticky secure. Semua alamat MAC aman lengket ditambahkan ke tabel alamat dan ke konfigurasi yang sedang berjalan.

Alamat MAC aman lengket juga dapat ditentukan secara manual. Ketika alamat MAC sticky secure dikonfigurasikan dengan menggunakan switchport port-security mac-address sticky mac-address antarmuka mode konfigurasi perintah, semua alamat yang ditentukan ditambahkan ke tabel alamat dan konfigurasi berjalan.

Jika alamat MAC aman lengket disimpan ke file konfigurasi startup, maka ketika sakelar restart atau antarmuka dimatikan, antarmuka tidak perlu mempelajari kembali alamat. Jika alamat aman lengket tidak disimpan, mereka akan hilang.


Jika sticky learning dinonaktifkan dengan menggunakan perintah mode konfigurasi antarmuka sticky port-security mac-address port switchport, alamat MAC sticky secure tetap menjadi bagian dari tabel alamat, tetapi dihapus dari konfigurasi yang sedang berjalan.


Port Security: Violation Modes
Antarmuka dapat dikonfigurasi untuk salah satu dari tiga mode pelanggaran, menentukan tindakan yang akan diambil jika terjadi pelanggaran. Gambar ini menunjukkan jenis lalu lintas data mana yang diteruskan ketika salah satu mode pelanggaran keamanan berikut ini dikonfigurasi pada port:

Proteksi - Ketika jumlah alamat MAC yang aman mencapai batas yang diizinkan pada port, paket dengan alamat sumber yang tidak dikenal dijatuhkan sampai sejumlah alamat MAC yang aman dihapus, atau jumlah alamat maksimum yang diijinkan bertambah. Tidak ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
Batasi - Ketika jumlah alamat MAC yang aman mencapai batas yang diizinkan pada port, paket dengan alamat sumber yang tidak dikenal dijatuhkan sampai sejumlah alamat MAC yang aman dihapus, atau jumlah alamat maksimum yang diijinkan bertambah. Dalam mode ini, ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
Shutdown - Dalam mode (default) ini, pelanggaran keamanan port menyebabkan antarmuka langsung menjadi cacat-kesalahan dan mematikan LED port. Itu menambah konter pelanggaran. Ketika port aman berada dalam kondisi cacat-kesalahan, port itu dapat dibawa keluar dari status ini dengan memasukkan perintah mode konfigurasi antarmuka shutdown diikuti oleh perintah no shutdown.

Untuk mengubah mode pelanggaran pada port switch, gunakan portportport-security violation {protect | batasi | shutdown} perintah mode konfigurasi antarmuka.


 Port Security: Verifying
Verifikasi Keamanan Port
Setelah mengkonfigurasi keamanan port pada sakelar, periksa setiap antarmuka untuk memverifikasi bahwa keamanan port telah diatur dengan benar, dan periksa untuk memastikan bahwa alamat MAC statis telah dikonfigurasikan dengan benar.

Verifikasi Pengaturan Keamanan Port

Untuk menampilkan pengaturan keamanan port untuk sakelar, atau untuk antarmuka yang ditentukan, gunakan perintah show port-security interface [interface-id]. Output untuk konfigurasi keamanan port dinamis ditunjukkan pada Gambar 1. Secara default, ada satu alamat MAC yang diizinkan pada port ini.

Output yang ditunjukkan pada Gambar 2 menunjukkan nilai untuk pengaturan keamanan port sticky. Jumlah maksimum alamat diatur ke 10, seperti yang dikonfigurasi.

Catatan: Alamat MAC diidentifikasi sebagai MAC yang lengket.

Alamat MAC yang lengket ditambahkan ke tabel alamat MAC dan ke konfigurasi yang sedang berjalan. Seperti yang ditunjukkan pada Gambar 3, MAC lengket untuk PC2 telah ditambahkan ke konfigurasi yang sedang berjalan untuk S1.

Verifikasi Alamat MAC yang Aman


Untuk menampilkan semua alamat MAC aman yang dikonfigurasi pada semua antarmuka sakelar, atau pada antarmuka tertentu dengan masing-masing informasi lanjut usia, gunakan perintah show port-security address. Seperti yang ditunjukkan pada Gambar 4, alamat MAC aman terdaftar bersama dengan tipenya.



Ports in Error Disabled State
Ketika port dikonfigurasikan dengan keamanan port, pelanggaran dapat menyebabkan port menjadi error dinonaktifkan. Ketika port dinonaktifkan kesalahan, itu secara efektif ditutup dan tidak ada lalu lintas yang dikirim atau diterima pada port itu. Serangkaian pesan terkait keamanan pelabuhan ditampilkan di konsol (Gambar 1).

Catatan: Protokol port dan status tautan diubah ke bawah.

LED port akan mati. Perintah show interfaces mengidentifikasi status port sebagai err-disable (Gambar 2). Output dari perintah show port-security interface sekarang menunjukkan status port sebagai secure-shutdown. Karena mode pelanggaran keamanan port diatur ke shutdown, port dengan pelanggaran keamanan pergi ke status kesalahan dinonaktifkan.


Administrator harus menentukan apa yang menyebabkan pelanggaran keamanan sebelum mengaktifkan kembali port. Jika perangkat yang tidak sah terhubung ke port yang aman, port tidak boleh diaktifkan kembali sampai ancaman keamanan dihilangkan. Untuk mengaktifkan kembali port, gunakan perintah mode konfigurasi antarmuka shutdown (Gambar 3). Kemudian, gunakan perintah konfigurasi antarmuka tanpa shutdown untuk membuat port operasional.





Komentar

Posting Komentar

Postingan populer dari blog ini

Latihan Cisco Packet Tracer 6.3.1.8

-
Gambar
Assalamualaikum Warahmatullahi Wabarakatuh Halo, selamat pagi:") Dalam blog kali ini saya akan berbagi cerita mengenai kegiatan kami dalam mengerjakan soal cisco packet tracer 6.3.1.8 pada saat sudah login ke packet tracer terlebih dahulu kita harus mengisi user, pada saat belum dikerjakan, gambar topologi nya masih natural/belum ter koneksi antara perangkat satu dengan perangkat lainnya.  seperti di bawah ini: setelah itu mulai mengerjakan tugas dengan mengikuti langkah-langkah yang sudah tertera. Sebelum menyambungkan antar perangkat menggunakan kabel, kita harus mengisi port-port pada router dan switch. Setelah itu baru lah kita menyambungkan perangkat menggunakan kabel dengan panduan langkah-langkah dari modul. Setelah semuanya tersambung kita akan memulai konfigurasi pada router east, dan hasil nya seperti di bawah ini. Jika semua tugas telah selesai dan telah dikerjakan dengan baik maka anda akan memperoleh nilai yang sudah di tentukan. ...
Baca selengkapnya

CHAPTER 6 CCNA2

-
VLANs VLAN Definitions Dalam jaringan yang diaktifkan, VLAN menyediakan segmentasi dan fleksibilitas organisasi. VLAN menyediakan cara untuk mengelompokkan perangkat dalam LAN. Sekelompok perangkat dalam VLAN berkomunikasi seolah-olah setiap perangkat terpasang ke kabel yang sama. VLAN didasarkan pada koneksi logis, bukan koneksi fisik. VLAN memungkinkan administrator membagi jaringan berdasarkan faktor-faktor seperti fungsi, tim proyek, atau aplikasi, tanpa memperhatikan lokasi fisik pengguna atau perangkat. Setiap VLAN dianggap sebagai jaringan logis terpisah. Perangkat dalam VLAN bertindak seolah-olah mereka berada di jaringan independen mereka sendiri, bahkan jika mereka berbagi infrastruktur yang sama dengan VLAN lainnya. Setiap port switch dapat menjadi milik VLAN. Paket Unicast, broadcast, dan multicast diteruskan dan dibanjiri hanya untuk mengakhiri perangkat dalam VLAN di mana paket-paket tersebut bersumber. Paket yang ditujukan untuk perangkat yang bukan milik VLAN ha...
Baca selengkapnya

Latihan Cisco Packet Tracer

-
Gambar
Assalamualaikum Warahmatullahi Wabarakatuh Nah, dalam blog kali ini saya akan membagikan kegiatan-kegiatan kami hari ini. Setelah selesai membahas materi di Chapter 5, kami melanjutkan nya dengan mengerjakan soal-soal latihan yang ada di Cisco Packet Tracer.  Sekitar pukul 10 siang kami mengerjakan soal latihan 5.3.1.3 gambar nya di bawah ini ya Sehabis zuhur kami memutuskan untuk melanjutkan membahas materi di Chapter 5 dan setelah selesai kami mengerjakan soal latihan di cisco packet tracer 5.3.2.8 Nah, contoh soal-soal latihan yang kami kerjakan sudah ada diatas ya. Kami mengerjakannya dengan menggunakan bantuan langkah-langkah mengerjakan nya, bisa dilihat kotak putih yang ada disebelah topologi ya. Kotak tersebut berisi langkah-langkah mengerjakan soal latihan.  Demikian cerita dari saya hari ini, semoga bermanfaat Wassalamualaikum Warahmatullahi Wabarakatuh
Baca selengkapnya