I. 1. Overview
A. Strategi Produk
Solusi Mobile untuk Enterprise Jaringan saat ini Kekuatan Extreme XOS Jaringan Masa Depan - Sekarang Perampingan DC Personalisasi Keuntungan-Keuntungan
1. Perampingan DC 2. Pengelolaan Identitas 3. Port Universal 4. Virtualisasi jaringan (Extreme Virtualization Network/XNV) 5. Pengelola Jaringan - Ridgeline 6. Infrastruktur Berperforma Tinggi
C. Other Products
1. Port Extenders, Wireless, and Management Products
Koneksi port konsol Kabel serial DB-9 : 9600, 8, N, 1 Telnet dan SSH2 Mendukung 8 koneksi bersamaan Mendukung telnet/SSH bersarang (nested) Defaultnya, timeout sesi telnet dan konsol ini adalah 20, tetapi dapat diubah menjadi 1-240 menit. configure idletimeout <menit> disable idletimeout Jika idletimeout dinon-aktifkan, maka sesi SSH2 akan timout setelah 61 menit tanpa aktivitas.
Akses IP In Band VLAN mana saja (dengan port nya) yang di set memiliki alamat IP
Admin dapat memutus sambungan semua sesi dengan --> clear session [ <nomor sesi> | all ]
Login switch : 2 level akses Administrator User s/d 16 akun Password Akses baca-saja (read-only) ke CLI atau GUI web Dapat mengubah passwordnya sendiri, ping, telnet, dll. Tidak bisa menjalankan perintah 'show configuration' Akses penuh ke CLI atau GUI web
Bersifat case sensitive Kebijakan password meliputi kompleksitas, history, umur, dan panjang minimum Tidak dikonfigurasi secara default Cara konfigurasi : Kompleksitas --> configure account [<nama akun> | all] passwordpolicy char-validation [none | all-char-groups] History --> configure account [<nama akun> | all] password- policy history [none | <jumlah password>] Mengunci (lockout) --> configure account [<nama akun> | all] password-policy lockout-on-login-failures [on | off] Umur maksimal --> configure account [<nama akun> | all] password-policy max-age [none | <jumlah hari>] Panjang maksimal --> configure account [<nama akun> | all] password-policy min-length [none | <jumlah karakter>]
Akun failsafe Digunakan untuk recovery Jika password hilang, kembalikan switch ke Extreme Networks.
CLI - Pembantu Syntax Tombol <tab> dan <?> menampilkan kata berikutnya dari sebuah rangkaian perintah Tombol <spasi> dapat juga digunakan dengan memasukkan perintah --> enable cli space-completion
CLI - Command Prompt Command prompt CLI memiliki 4 elemen (referensi --> * ACC-SSPS_GD_DPNX450_48p.3 # ) : Pengubahan konfigurasi yang belum disimpan --> * Nama switch --> ACC-SSPS_GD_DPN-X450_48p Jumlah perintah yang dimasukkan dalam sesi berjalan --> 3 Level wewenang --> # = admin; > = pengguna biasa.
CLI - History perintah Menampilkan semua perintah yang pernah dimasukkan Dimasukkan dalam buffer history perintah Isi buffer dapat dilihat dengan perintah --> history
CLI - Login Failsafe Merupakan akun 'last resort' (jagoan terakhir) Mengakses switch saat password admin hilang Akun failsafe tidak pernah ditampilkan tetapi sebetulnya selalu ada. Pengubahan pada akun failsafe langsung dimasukkan kedalam NVRAM, bukan ke file konfigurasi
Untuk mengakses switch menggunakan akun failsafe, kita harus tersambung dengan menggunakan metode yang diizinkan (permitted method) configure failsafe-account permit [all | control | serial | ssh | telnet ]
Logging Jarak Jauh (Remote) : Syslog configure syslog {add} [<ip address> | <ip port>] {vr <nama vr>} [local1 .. local7] {<severity>} enable syslog Untuk aktivasi log real-time : Untuk konsol --> enable log display Untuk telnet dan ssh --> enable log target session; enable log display
Verifikasi konfigurasi Manajemen : show management menampilkan : status-status : Telnet/SSH2 Web (HTTP/HTTPS) SNMPv1/v2
daftar perangkat (station) dan diotorisasi untuk SNMP daftar perangkat penerima perangkap (trap) SNMPv1 Konfigurasi polling RMON Statistik SNMP
Info SNMP perangkat MAC address sistem Tipe switch Tanggal dan waktu Status Info software File image yang diload, diboot, dan dipilih
Router Virtual ()Virtual Router/VR) pada Switch Adalah emulasi dari router sebenarnya (physical router) Sebuah switch dibagi-bagi menjadi beberapa router virtual yang memiliki tabel pengiriman (forwarding table) yang terpisah.
Router virtual pada sistem Defaultnya ada 2, yaitu : VR mgmt 'Pemilik tunggal' port mgmt. Dibuat pada saat booting. Port atau VLAN lain tidak bisa ditambahkan kedalam VR ini
dan VR default semua port data termasuk kedalam VR ini. Port atau VLAN lain dapat ditambahkan kedalamnya.
Beberapa perintah membutuhkan penyisipan kata (argument) router virtual Mengidentifikasi kelompok port yang terhubung ke perangkat tujuan contoh : ping vr vr-default 10.0.0.1 / ping vr vr-mgmt 10.0.0.1 (untuk ping, defaultnya vr yang digunakan adalah vr-default) tftp put 10.0.0.2 primary.cfg (dikirimkan melalui port mgmt; defaultnya menggunakan vr-mgmt) / tftp put 10.0.0.2 vr vr-default primary.cfg (dikirmkan melalui port data)
s/d 63 VR dapat dibuat dalam switch2 berikut : BD8K dengan MSM c-series dan BD8900 dengan MSM xl-series, BDX8K, dan Summit X460, X480, dan X650.
Memberikan alamat IP Alamat IP diberikan pada VLAN Setiap switch memiliki 2 VLAN default (pre-configured VLAN), yaitu VLAN 'default' yang berisi semua port data dan 'mgmt' yang berisi 1 port manajemen. Memberikan alamat IP menciptakan interface router untuk VLAM dalam router virtual yang sesuai. Switch membutuhkan alamat IP untuk : Pengelolaan switch Mengunduh image XOS atau file konfigurasi Routing
Contoh konfigurasi --> configure vlan mgmt ipaddress 10.0.0.1/24 Jika subnet mask tidak dimasukkan, maka mask yang digunakan adalah mask classful.
Kode eksekusi yang dikompresi Image dikompresi untuk meyediakan ruang didalam flash
Versi Switch dan Info Hardware show version Menampilkan : S/N switch, BootROM, versi image software perintah 'show version' adalah perintah wajib yang harus disisipkan ketika melaporkan suatu kerusakan ke Extreme (dilanjutkand dengan 'show tech', dll.)
Mengartikan nama file image XOS Nama image menunjukkan tipe switch Contoh : bd10k-12.6.2.10.xos --> untuk BD10K
Tipe ekstensi menunjukkan tipe image Contoh : summitX-12.6.2.10.xos --> Untuk image software (yang lainnya : .xmod untuk modul software, .xtr dan .xbr untuk bootROM software) Versi image core (.xos) dan modul (.xmod) harus sama.
Mengartikan tampilan versi XOS (Referensi ke : bd10k-12.6.2.10-ssh.xmod) 12 --> Versi mayor 6 --> Versi minor 2 --> Patch 10 --> Build ssh --> Nama paket (package) modul yang tersedia : ssh2, legacyCLI, CNA
melihat versi image (core dan modul) yang terinstal pada switch --> show version images
Memilih File Image yang Akan Aktif pada Boot Berikutnya Pilih file image yang akan digunakan pada boot berikutnya use [primary | secondary]
Reboot switch reboot Untuk menjadwalkan reboot --> reboot time <bulan> <tanggal> <tahun> Untuk mereboot msm atau slot tertentu saja --> reboot msm b / reboot slot 1
Mengupgrade Switch Image harus didownload ke lokasi yang non-aktif (contoh : secondary) download image <nama image> vr <nama vr> secondary
Menyimpan konfigurasi File-file konfigurasi menyimpan versi konfigurasi didalam flash Konfigurasi XOS disimpan dalam format XML File yang diload saat boot dapat dipilih
Konfigurasi dapat disimpan dengan nama apa saja save configuration test Disimpan sbg test.cfg
Konfigurasi dapat disalin dari dan ke switch lain menggunakan 'tftp' untuk menyalin file tftp [put | get] vr <nama vr> <ip address> new.cfg (contoh) jika vr tidak diisi, maka vr yang digunakan adalah vr-mgmt
menggunakan 'upload' untuk menyimpan konfigurasi pada RAM ke server tftp dalam format perintah CLI
upload configuration <ip> new.xsf vr <nama vr> Hanya menyimpan konfigurasi yang berbeda dari konfigurasi factorydefault
Memilih file konfigurasi Memilih file konfigurasi use configuration test.cfg Jika tidak ada yang dipilih, maka switch menggunakan konfig 'factory default' saat reboot
Reboot reboot
Melihat file konfigurasi yang aktif saat ini show switch Menampilkan : Konfigurasi file yang di boot Konfigurasi file yang di pilih Detil file konfigurasi : Versi software Ukuran file konfigurasi Tanggal dan waktu file konfigurasi dibuat
Saat upgrade versi XOS, file konfigurasi yang dipilih di load ke RAM lalu diupgrade dengan format konfigurasi versi XOS yang baru. Konfigurasi yang diupgrade ini perlu di save (tidak wajib, ttp direkomendasikan) untuk menampilkan info mengenai versi XOS yang baru. File konfigurasi yang disimpan dengan versi terbaru dari XOS dapat diload jg pada versi XOS sebelumnya.
Me-reset switch ke factory default unconfigure switch Semua di reset kecuali : Akun-akun pengguna, termasuk akun failsafe
unconfigure switch all Semua di reset kecuali tanggal dan waktu Setelah reboot, akan ditanya ttg ini : Aktivasi telnet Aktivasi SNMP Aktivasi port data Pengubahan username dan password pada akun failsafe, serta metode akses
Memasukkan perintah unconfigure switch all dapat me-reset dukungan stacking dan pemilihan port stacking pada node lokal saja dan tidak mempengaruhi node-node stack lainnya
Menyalin, mengubah nama, dan menghapus file cp, mv, rm Kita tidak bisa mengubah nama file konfigurasi yang sedang digunakan.
Switch berbasis chassis hanya memiliki bootloader 1 tingkat, yaitu tanpa melewati BootStrap.
Pilihan menu BootROM Biasa diakses jika ada problem dalam boot pada switch Kehilangan konektivitas akibat kesalahan konfigurasi Flash atau image yang corrupt
Cara mengakses BootROM Reboot Saat pesan 'Running POST' muncul, tekan <spasi> Pada switch berbasis chassis atau ExtremeWare, tekan <spasi> tepat ketika reboot.
Menggunakan BootROM untuk mengubah opsi boot Untuk boot dari image primary : boot 1 Untuk boot dari image secondary : boot 2 Untuk menggunakan konfigurasi 'test.cfg' dengan image yang dipilih : config test.cfg boot
Untuk menggunakan konfigurasi 'factory default' dengan image yang dipilih : config none boot
Pemulihan image dan file konfigurasi oleh BootROM tidak mengubah pilihan image dan file konfigurasi dari konfigurasi switch. Pilihan oleh BootROM hanya berlaku dalam sekali boot saja.
Mengupgrade BootROM BootROM bertanggungjawab dalam booting switch BootROM memverifikasi signature software dan menolak software yang incompatible Upgrade BootROM terkadang dibutuhkan untuk versi image mayor yang baru Cara upgrade BootROM download bootrom <ip> <nama image> vr <nama vr>
F. Pengelolaan Keamanan
Otentikasi pengguna switch Opsi otentikasi : RADIUS Server RADIUS dengan integrasi LDAP atau AD Microsoft IAS dalam platform Windows Server sudah memberikan layanan RADIUS
TACACS+ Server TACACS+ dengan integrasi LDAP atau AD Cisco ACS's untuk Windows Server
Konfigurasi akses RADIUS Konfigurasi pada switch untuk akses management configure radius mgmt-access primary server <ip> client-ip <ip> configure radius mgmt-access primary shared secret <teks kunci rahasia>
RADIUS mendukung : Server RADIUS primer dan sekunder Konfigurasi Port UDP RADIUS Pemilihan NAS-IP (IP address VLAN)
2 tipe klien RADIUS, yang berjalan sendiri-sendiri : Klien RADIUS untuk akses management switch Klien RADIUS untuk ootektikasi Network Login
Jika tidak ada VR yang didefinisikan dalam konfigurasi klien RADIUS, maka VR yg digunakan untuk komunikasi dengan server RADIUS adalah vr-mgmt
Konfigurasi akses CLI dengan SSH2 Download modul SSH2 yang sesuai kedalam switch Aktivasi proses SSH2 run update
Aktivasi akses SSH2 enable ssh2 Akan menggenerate kunci yang digunakan untuk enkripsi data antara klien ke switch Biasanya memakan waktu 1 menit
Mengelola switch dengan SNMPv3 Yang didukung : User Security Model (USM) Beberapa akun pengguna dengan otentikasi yang dienkripsi. HMAC-MD5-96, HMAC-SHA-96
View-Based Access Control Model (VACM) Setiap pengguna dapat dibatasi aksesnya ke bagian MIB tertentu untuk R/W atau R/O saja.
Privacy DES, 3DES, AES 128/192/256 3DES dan AES memerlukan modul SSH2
Extreme mendukung akses SNMPv1, v2, dan v3 dalam waktu yang sama. Dan semua diaktifkan secara default.
Konfigurasi akses SNMPv3 Direkomendasikan untuk mengaktivasi privasi 3DES atau AES Dengan asumsi bahwa SSH2 sudah aktif juga
Untuk mengaktifkan SNMPv3 dengan enkripsi 3DES atau AES restart process snmpmaster
Membuat akun pengguna SNMPv3 conf snmpv3 add user <username> authentication md5 <kunci> privacy ase 256 <kunci>
conf snmpv3 add group <nama grup> user <nama user> sec-model <model keamanan snmp>
Verifikasi akses SNMPv3 show snmpv3 user <username> show snmpv3 group admin user <username>
Parameter akses SNMPv3 : Kelompok admin : USM dengan otentikasi dan privasi; anggota : admin. Kelompok pemula : USM tanpa otentikasi dan privasi; anggota : initial Kelompok pemula : USM dengan otentikasi tanpa privasi; anggota : initialmd5 (HMAC-MD5), initialsha (HMAC-SHA) Kelompok pemula : USM dengan otentikasi dan privasi; anggota : initialmd5Priv (MD5 dengan DES), initialshapPriv (SHA dengan DES) Kelompok v1v2c_ro : SNMPv1/v2c tanpa otentikasi dan privasi Kelompok v1v2c_rw : SNMPv1/v2c tanpa otentikasi dan privasi Kelompok v1v2c_NotifyGroup : SNMPv1/v2c tanpa otentikasi dan privasi
Mengelola switch dengan ScreenPlay WebUI Mendukung akses HTTP dan HTTPS HTTPS membutuhkan modul SSH2 Akses web tidak aktif secara default
Memantau informasi kunci melalui 'dashboard' Informasi switch Tipe, versi OS, konfigurasi yang dimasukkan
Pemantauan lebih detil : Log, statistik port (tampilan grafik dan tabel), pemantauan QoS
Administrasi akun pengguna, sesi, dan akses ke CLI Flash-based. Klien (browser) menggunakan SOAP HTTP untuk berkomunikasi dengan perangkat yang menggunakan XML API
G. Alat-Alat Pengelolaan
Mengelola switch dengan CLI biasa Interface 'bergaya Cisco' Mendukung mode berikut : Mode perintah EXEC pengguna (user EXEC) dan EXEC berwenang (priviledged EXEC) mode EXEC berwenang dapat diakses dengan perintah 'enable'
Mode Latihan (Training Mode) Menampilkan perintah CLI Extreme yang setara dengan perintah CLI biasa yang dimasukkan. Membantu transisi penggunaan CLI standar Extreme
Mode Ditangguhkan (Deferred Mode) Memungkinkan untuk memasukkan sekelompok perintah untuk dieksekusi belakangan Perintah-perintah dimasukkan kedalam buffer Ketika keluar dari mode ditangguhkan, kita akan diminta untuk mengeksekusi atau membatalkan perintah-perintah itu.
Konfigurasi CLI dengan akses biasa Download modul LegacyCLI Aktifkan legacyCLI configure cli style legacy permanent legacyCLI mulai dari mode EXEC pengguna
Platform yang tersentralisasi untuk : Konfigurasi dan pemantauan berbasis SNMP Provisioning berbasis CLI untuk layanan VLAN, VMAN, EAPS, E-Line dan ELAN Pengelolaan ID (ID Management) dan Kontrol Akses Berbasis Kontrol (RoleBase Access Control/RBAC) Pengelolaan virtualisasi XOS (XOS Virtualization Management/XNV) dan kontrol akses VM Pemantauan dan konfigurasi Port Universal Skripting berbasis GUI Akses CLI yang aman
Penyatuan Epicenter dengan Ridgeline Alat-alat yang esensial Operasi yang Sederhana UI intuitif Alarm dalam tampilan topologi Pengelolaan konfigurasi Pelaporan dinamis
Ketersediaan dengan kelas Voice Sistem alarm yang cerdas Statistik real-time Visualisasi layanan jaringan
Keamanan yang Komprehensif Kontrol akses berdasarkan peran Protokol pengelolaan yang aman Log untuk audit
Ekstensibilitas Layanan Skripting yang fleksibel Manajemen PU Framework integrasi pihak ketiga
Windows 7, Vista, XP Professional SP1 atau lebih tinggi, Windows Server 2003 atau 2008. Bisa 32-bit atau 64-bit Untuk Windows 7 hanya bisa yang 32-bit
Prosesor yang kompatibel dgn Pentium, 1GHz atau lebih. Direkomendasikan 2GHz. RAM minimum 2GB, direkomendasikan 4GB. 4 GB untuk pengelolaan perangkat dalam jumlah besar (>1000 perangkat) Disk 2GB, direkomendasikan file systemnya NTFS. 2GB untuk swap Ridgeline 32-bit, 4GB untuk Ridgeline 64-bit.
Kebutuhan server dan client Ridgeline Aplikasi berbasis Java (JRE 1.6) Platform server : (selain Windows) Solaris 10, Red Hat 5
Lisensi produk Ridgeline Ridgeline 3.0 Dasar (Base) Seluruh fitur enterprise tercakup, termasuk provisioning EAPS, skripting, event dan alert, tampilan topologi, pengelolaan PU, Pelaporan identitas, konfigurasi mgmt, dll.
Paket Keamanan Kebijakan berbasis peran dan identitas; termasuk pengelolaan identitas Provision otomatis pengguna dan perangkat Secara lojik membagi-bagi pengguna berdasarkan identitas untuk mobilitas yang mulus
Paket Data Center Pengelolaan siklus hidup VM; termasuk XNV Provisioning VM di level jaringan. Visualisasi jaringan secara terpusat untuk inventoris VM, dan history lokasi VM
Instalasi Ridgeline
Provisioning secara 'tunjuk dan klik' untuk : E-Line, E-LAN, vMAN, PB & PBB provisioning, pemantauan VPLS.
Flow Control Agregasi link 'load master' Port kombo Media GBIC yang terinstal Redundansi
Melihat konfigurasi lebih detail show port <port> information detail Menampilkan : Keanggotaan dalam VLAN Protokol VLAN EDP
ELSM Ethernet OAM Flooding Frame Jumbo Pembatasan rate QoS Network Login Redundansi port
Mengkonfigurasi port : Mengaktifkan dan Menonaktifkan port enable port disable port
Mengatur kecepatan port UTP configure port <port> auto <on | off> speed <10 | 100 | 1000 | 10000> duplex <full | half> Setiap port UTP telah memiliki fitur deteksi sambungan MDI/MDI-X, sehingga tidak memerlukan kabel crossover.
Yang menjadi nilai-nilai default : Auto-nego aktif Auto-polarity aktif Untuk link 10Base-T, oleh IEEE 802.3 dijelaskan bahwa interface Ethernet harus mendukung deteksi dan koreksi auto-polarity dari data yang diterima.
Pengaktifan dan penon-aktifan port dilakukan oleh 'safe default scrip' pada saat login awal
B. Agregasi Link
Disebut juga pembagian beban port (port load sharing) memungkinkan switch menggunakan bbrp port fisik sebagai 1 port logic. Memberikan tambahan bandwidth dan ketahanan Didukung oleh semua tipe switch Extreme Harus didukung oleh kedua ujung untuk operasi optimal
Konfigurasi hanya pada 1 ujung tidak menyebabkan broadcast strom pada VLAN yang dikonfigurasi pada port tsb. Switch yang tidak dikonfigurasi akan menggunakan FDB untuk mengalirkan paket, dan tidak menggunakan algoritma load-sharing.
kedua ujung harus menggunakan algoritma yang sama tetapi tidak wajib Jumlah LAG maksimum Jumlah port maksimum/LAG 16 8 8
Switch
*128 dengan mode ARP IP terdistribusi off; 64 dengan mode ARP IP terdistribusi on. Algoritma Agregasi Link Agregasi Link berdasarkan alamat (address-based) Paket didistribusikan berdasarkan informasi header paket Menjalankan 'hash' dalam header-header yang dapat dipilih berikut ini : MAC (L2), IPv4 (L2, L3, & L4), IPv6 (L2, L3, & L4) Algoritma yang didukung tergantung hardware yang digunakan atau informasi dari header yang dipilih
BD10K dan BD12K mendukung algoritma L2, L2_L3, L2_L3_L4, L2_L3_CHK_SUM, dan L2_L3_L4_CHK_SUM dengan menggunakan perintah 'configure sharing address-based' BD20K mendukung pula algoritma L2_SMAC, L2_DMAC, L3_SIP, L3_DIP, IP6_SIP, IP6_DIP dengan menggunakan perintah 'configure sharing address-based'
Algoritma Hasing menjalankan XOR (default) atau kalkulasi CRC-16 berdasarkan informasi dari header yang dipilih dan jumlah port dalam LAG Paket broadcast, multicast, dan unknown unicast didistribusikan pada beberapa port dalam LAG dan diproses dengan algoritma internal yang berbeda (berlaku pada semua seri switch kecuali BD8K dengan modul seri original dan SummitX450). Pada BD8K dengan modul seri original dan SummitX450, paket2 diatas diditribusikan melalui port master LAG.
Algoritma hashing hanya dapat dikonfigurasi dengan menggunakan perintah 'configure sharing address-based custom' untuk switch BD8K dengan modul seri xl, SummitX460, X480, dan X650.
Agregasi link berdasarkan port (port-based) Paket didistribusikan berdasarkan port fisik asal dimana paket tsb diterima Pemilihan port LAG bersifat tetap (deterministic) Semua paket yang diterima dari suatu port akan dikirimkan melalui port LAG yang sama pula.
Agregasi link berdasarkan port (port-based) ini hanya didukung oleh switch seri BD10K, BD12K, dan BD20K.
Konfigurasi Agregasi Link : Membuat LAG enable sharing <port master> grouping <daftar port> Jika algoritma tidak dikonfigurasi, maka algoritma L2 digunakan secara default.
Mengubah LAG configure sharing <port master> add | delete port <daftar port>
Mengubah Algoritma LAG disable sharing <port master> enable sharing <port master> grouping <daftar port> algorithm address-based L2|L3|L3_L4 Algoritma tidak dapat diubah jika LAG tidak dinon-aktifkan terlebih dahulu.
LAG dan LACP Gunakan 802.3ad LACP untuk : Secara dinamis menetapkan bilamana LAG dapat diimplementasikan dengan switch tetangga. Secara dinamis menambahkan atau menghapus port dari LAG LACP dikonfigurasi secara terpisah pada setiap LAG
Operasi LACP LAG harus dibuat dengan mengaktifkan LACP terlebih dahulu LACP non-aktif secara default Port menjadi aktif, jumlahnya tergantung limitasi hardware
Contoh : Switch Summit mendukung 16 port untuk dimasukkan kedalam LAG, dengan hanya 8 port yang aktif. Saat sebuah port aktif putus, maka port standby secara dinamis akan menggantikannya.
LAG dapat aktif hanya jika LACP mendeteksi bahwa ujung lainnya juga menggunakan LACP Port ditambahkan pada LAG jika PDU LACP sudah diterima. Port dihapus dari LAG jika PDU LACP sudah tidak lagi diterima.
Konfigurasi agregasi link untuk LACP Membuat LAG enable sharing <port master> grouping <daftar port> lacp
Konfigurasi LACP configure sharing <port master> lacp activity-mode passive Dalam mode passive, switch hanya merespon paket LACP, tidak memulai koneksi LACP.
Untuk menghapus LACP dari LAG, LAG harus dinon-aktifkan terlebih dahulu.
Paket EDP atau PDU dialirkan melalui semua port aktif setiap 60 detik (defaultnya) Menggunakan protokol enkapsulasi Extreme (Extreme Encapsulation Protocol/EEP) EEP juga digunakan pada EAPS dan ESRP Paket EEP memiliki MAC dan SNAP OUI '00:e0:2b'
EDP mengirimkan TLV berikut : Statistik EDP Nama sistem dan MAC address Versi software
Detil konfigurasi port Id port, tipe, auto-nego, pengaturan duplex dan kecepatan
Informasi VLAN yang dikonfigurasi pada port Nama VLAN, ID tag, dan IP address
Ridgeline memerlukan EDP untuk membangun peta topologi secara otomatis. Ridgeline juga mencari LAG-LAG sebagai bagian dari proses pencarian link (link discovery) EDP berguna untuk sbg alat untuk troubleshooting dan audit jaringan. (bbrp fungsinya mirip dengan protokol cdp pda cisco).
Mengkonfigurasi dan melihat EDP : Melihat pengaturan EDP global show edp
Melihat EDP : show edp port <port> detail Menampilkan : Status EDP Statistik EDP Nama sistem remote MAC address Tipe port Auto-nego Flow control Kecepatan dan duplex VLAN-VLAN
LLDP :
Merupakan standar LDP yang digunakan untuk mencari informasi konfigurasi suatu perangkat Didefinisikan oleh IEEE.1AB Paket LLDP atau PDU memiliki MAC address dan SNAP OUI '00:80:2c' PDU-PDU LLDP dikirim ke MAC address tujuan : '01:80:C2:00:00:0e'
LLDP secara umum mengirimkan TLV-TLV berikut : Informasi sistem MAC address, nomor port, TTL, versi software.
Kemampuan sistem (sbg bridge, router, atau keduanya) alamat IP management Informasi 802.3 PoE, auto-nego, kecepatan dan duplex, agregasi link, MTU
Informasi MED (Media Endpoint Devices) PoE, kemampuan, Kebijakan QoS (DiffServ), ID lokasi.
Konfigurasi dan Melihat LLDP : Mengaktifkan LLDP : enable lldp ports <daftar port>
Mengkonfigurasi LLDP untuk menyiarkan (advertise) IP address VLAN mgmt : configure lldp port <nomor port> advertise management-address
Melihat informasi tetangga lebih detil show lldp port <port> neighbor detailed Menampilkan :
Chassis MAC address Port Nama sistem remote Kapabilitas Mgmt address VLAN-VLAN Auto-nego Flow control Kecepatan dan duplex dll.
D. Memonitor Port-Port
Memonitor port-port untuk mirroring 'Menyalin' trafik dari 1 atau bbrp port ke 1 atau bbrp monitor port didalam switch. Disebut juga Switched Port Analyzer (SPAN)
Filter trafik yang didukung : Port fisik VLAN Hanya trafik ingress Trafik ingress atau egress, atau keduanya
ACL-ACL
Batasan-batasan : Maksimum 128 filter trafik dapat diaktifkan Maksimum 16 VLAN atau port virtual dapat di-mirror-kan Maksimum 16 port monitor dapat dikonfigurasi Mirroring one-to-many
Tersedia untuk semua switch XOS Hanya mendukung 1 port mirror Jika paket cocok dengan filter ingress dan egress, hanya paket ingress yang disalin (mirrored)
Enhanced Tidak tersedia untuk switch BD8K modul seri original dan X450. Mendukung bbrp port mirror Mendukung mirroring ke VLAN untuk monitoring remote Jika paket cocok dengan filter ingress dan egress, kedua paket disalin.
Konfigurasi dan Melihat Hasil Pencerminan Mengaktifkan pencerminan standar enable mirroring to port <port>
Menambah filter ke cermin configure mirroring add port <port> Informasi VLAN atau VLAN/port dapat pula ditambahkan
IV. 4. SummitStack
A. Arsitektur
Port stacking 2 port per perangkat Kapasitas stack mulai dari 40Gbps s/d 512Gbps per switch Kapasitas tergantung kpd tipe switch dan port stack yang diinstall 80 Gbps Summit X460 dengan kartu opsional SummitStack V80
512 Gbps
40 Gbps Summit X460 dengan kartu opsional SummitStack V80 Summit X480 dengan kartu opsional VIM2-SummitStack Summit X650 dengan kartu opsional VIM1-SummitStack atau VIM110G8X Switch XOS yang lain
SummitStack didukung oleh semua tipe switch XOS, kecuali SummitX350 dan X150 Peran-peran Unit Master Mengatur konfigurasi semua unit dan memiliki kepemilikan atas konfigurasi unit lainnya Membagi database konfigurasi dengan unit backup Secara fungsional sama dengan MSM master
Unit Backup Master Cadangan jika sewaktu-waktu unit master tidak berfungsi Tidak memiliki kepemilikan atas konfigurasinya sendiri Mendapatkan kepemilikan atas konfigurasi unit standby Secara fungsional sama dengan MSM backup
Unit Standby Merupakan budak (slave) dari unit master; diprogram secara ASICs oleh unit master Secara fungsional sama dengan modul I/O pada chassis
Arsitektur : Topologi cincin Memberikan redundansi Tetap bekerja walaupun ada kabel stack yang putus atau ada unit yang mati
Topologi seperti rantai (daisy chain) tidak direkomendasikan karena, Tidak memiliki ketahanan seperti topologi ring Dapat menyebabkan segmentasi pada stack
B. Operasi
Operasi : Saat kabel stack terhubung, proses berikut terjadi : Pencarian topologi stack
Jika stacking diaktifkan : Memilih master Memilih backup master Mengkonfigurasi stack Beroperasi
Operasi - Topologi stack : Unit-unit saling bertukar informasi sampai mereka menemukan topologi stack Dilakukan walaupun stacking tidak diaktifkan
Unit-unit membroadcast discovery packet/hello packet paket tsb berisi informasi seperti mode stack, MAC address unit, MAC address stack, nomor model, nomor slot, prioritas stack, kemampuan menjadi master, hop count - mulai dari 0, level lisensi unit, dll.
CPU dari setiap unit memproses paket tsb Unit-unit kmd menaikkan nilai hop count dan mengirim kembali paket tsb Unit-unit menetapkan topologi ring ketika paket dengan MAC address sendiri diterima
Operasi - Pemilihan Master dan Backup Dasar pemilihan : Hanya switch yang dikonfigurasi untuk bisa menjadi master yang dapat berpartisipasi Prioritas stacking tertinggi Dapat dikonfigurasi oleh user Nilai yang mungkin : AUTOMATIC (default) atau 1-100 Jika diset automatic, maka semua swicth prioritasnya akan diset ke 0, sehingga yg menjadi dasar pemilihan adalah nomor slot.
Nomor slot terendah (jika prioritas stackingnya sama) Dapat dikonfigurasi Harus unik Tidak berhubungan dengan lokasi fisik pada stack atau jarak dari master
Nilai default : 1
Operasi - Konfigurasi Stack Master membaca file konfigurasi Master membagi konfigurasi dengan backup master Master dan Backup master mengambil alih kepemilikan konfigurasi dari unit lainnya. Master mengimplementasikan konfigurasi Mengkonfigurasi dirinya sendiri (hanya master yg melakukan ini) Mengkonfigurasi unit backup master seperti RPC calls menggunakan VR kontrol (Control Channel)
Mengkonfigurasi unit standby seperti RPC calls switching engine terupdate segera setelah konfigurasi diimplementasikan
Operasi - Beroperasi Verifikasi topologi terus berlanjut Konfigurasi yang relevan mengubah throughput yang dihantarkan Keputusan switching ditentukan oleh switch engine ingress Dikirimkan ke port tujuan Switching lokal tidak membutuhkan port stack Setiap unit ttp melihat fdb nya masing-masing. Jika mac tujuan berada dalam port dalam unitnya, maka paket tsb dikirm melalui port tsb tanpa melibatkan stack.
Unit master hanya menghantarkan konfigurasi yang relevan didalam stack. Contoh, jika sebuah VLAN dibuat dengan hanya 1 port dari suatu unit, maka konfigurasi hanya mengupdate 1 unit tsb.
Stack dapat diatur Menggunakan VLAN mgmt MAC adress stack IP address stack
Operasi - Link terputus Pengiriman pada path terpendek (Shortest Path Forwarding/SPF), atau Paket dikirim melalui path terpendek
Operasi - Beberapa link terputus Stack tersegmentasi Master dan backup master dalam segmen yang berbeda Segmen yang terdapat master Memilih backup master baru Penghitungan ulang path pada semua unit
Segmen yang terdapat backup master Backup master menjadi master Memilih backup master baru Penghitungan ulang path pada semua unit
Segmen tanpa master/backup master Memilih master dan backup master baru Penghitungan ulang path pada semua unit
Isu Segment-segmen tsb tetap mempertahankan MAC address dan IP address stack sebelum tersegmentasi. Ini bisa membuat semua stack merespon arp request pada untuk MAC yang sama. Untuk menyelesaikannya, dapat digunakan IP address alternatif pada tiap slot di stack menggunakan --> configure stacking alternate-ipaddress
C. Konfigurasi
Menyiapkan stack sebelum konfigurasi : Pilih unit stack yang sesuai untuk aplikasi yang akan digunakan dan gunakan stack seakan-akan itu adalah sebuah chassis tunggal Semua switch stack harus menjalankan versi OS yang sama Semua switch stack harus memiliki level lisensi yang sama atur level lisensi stacking sehingga level ini bisa men'downgrade' level lisensi unit switch yang lebih tinggi.
Tentukan mode stacking : standard atau enhanced mode enhanced digunakan untuk menjalankan MPLS pada stack
Cara mudah mengaktifkan SummitStack : Login ke master stack menggunakan konsol Aktifkan stacking : enable stacking
Ikuti skrip yang tersedia : configure stacking slot-number automatic Dalam konfigurasi ring, setiap slot dikonfigurasi dengan nomor slot dimulai dari 1 (node aktif, yg sedang dikonfigurasi), lalu nilainya naik setiap melewati port stack 2 dari slot 1. Dalam konfigurasi ring, nomor slot 1 diberikan kepada node yang tersambung dengan slot 1 pada node aktif (node yang sedang dikonfigurasi)
configure stacking mac-address configure stacking redundancy [minimal | maximal] Dalam mode minimal, 2 node diaktifkan kemampuan-untuk-menjadimaster (master capability) nya, sementara node yang lain dinon- aktifkan. Dalam mode maksimal, semua node diaktifkan kemampuan-untukmenjadi-master nya.
Setiap perintah ini dapat dimasukkan secara terpisah pada CLI shg kita dapat mengontrol switch pada saat reboot. reboot stack-topology Peringatan akan tampil jika : Topology daisy chain terdeteksi konfigurasi switch belum disimpan
Switch akan reboot Login dan 'safe default' Prompt pada switch mencerminkan konfigurasi stacking
Verifikasi Konfigurasi SummitStack show stacking {detail} Menampilkan : topologi stack, nomor slot, dan peran.
MAC address stack adalah turunan dari MAC address master, dengan nilai awal 00 diganti menjadi 02.
Tanda (Flag) : Kemampuan-menjadi-master Status stacking MAC address stack Batasan level lisensi
Konfigurasi lain : Nomor Slot configure stacking node-address <MAC address> slot-number <nomor slot>
Prioritas configure stacking priority <nomor prioritas> Nilai defaultnya 0 (otomatis) Jika dikonfigurasi, akan digunakan pada pemilihan berikutnya
Manajemen SummitStack SummitStack bekerja sebagai 1 unit dalam konfigurasi dan manajemen Defaultnya, MAC address dan IP address dari SummitStack diturunkan dari MAC dan IP address master. Agar SummitStack dapat dikelola sebagai unit terpisah saat terjadi gangguan : configure stacking alternate-ip-address [<ip address> <netmask>] <gateway> automatic Memberikan IP address alternatif pada setiap unit (ip address yang disebutkan secara otomatis diberikan kepada unit aktif (yg sedang dikonfigurasi), unit lainnya +1)
Untuk mengkonfigurasi IP address pada unit SummitStack secara terpisah : configure stacking [node-address <MAC address> | slot <nomor slot> ] alternate-ip-address [<ip address> <netmask>] <gateway>
Yang disalin : mode stacking, MAC address stack, akun dan password failsafe, izin akun failsafe ke access point (apakah akun failsafe dapat mengakses link stacking, port konsol, atau port manajemen). Partisi yang dipilih.
Operasi default ini dapat diubah, kontrol fungsi learning : disable learning port disable learning forward-packets port all
Tipe entri FDB XOS : Dinamis Statis Entri tanpa aging (non-aging entries) entri dengan aging yang diatur ke angka 0, dengan fitur lock-learning Awalnya, seluruh entri FDB bersifat dinamis
Entri permanen Diatur sbg entri permanen melalui CLI Tetap bertahan di database setelah power off
Entri blackhole
Memantau FDB
Mengkonfigurasi fdb yang memiliki MAC sumber/tujuan untuk dijatuhkan (discarded) Dapat dikonfigurasi secara manual oleh administrator atau secara otomatis oleh fitur keamanan seperti limit-learning Blackhole tidak bekerja seperti ACL, walaupun hasilnya sama. Paket yang memenuhi kriteria, misal MAC tujuan, akan dijatuhkan (dropped)
show fdb (terpantau : MAC address, VLAN, umur entri (age) dalam detik, flag, port ingress, rangkuman, timer) Secara spesifik : show fdb blackhole show fdb mac-tracking configuration show fdb netlogin all show fdb permanent show fdb <mac address> show fdb ports <daftar port> show fdb vlan <nama vlan>
Menghapus entri dinamik : clear fdb Secara spesifik : clear fdb blackhole clear fdb <mac address> clear fdb ports <daftar port> clear fdb vlan <nama vlan>
Membuat entri fdb statik create fdbentry <mac address> vlan <nama vlan> ports <daftar port> verifikasi --> show fdb permanent menghapus --> delete fdbentry [ all | <mac address> vlan <nama vlan>] membuat entri fbd blackhole --> create fdbentry <mac address> vlan <nama vlan> blackhole verifikasi --> show fdb blackhole
disable learning ports <daftar port> menonaktifkan pembuatan entri fdb juga menonaktifkan fungsi flooding untuk paket unknown
Untuk hanya menonaktifkan fungsi learning tetapi ttp menjalankan fungsi flooding paket unknown : disable learning forward-packets ports <daftar port>
Mendisable flooding pada port engress multicast tidak mempengaruhi perangkat klien yang berlangganan (subscribe) pada grup IGMP, paket tetap di forward. Jika IGMP snooping di disable, baru flooding dihentikan.
Limit learning (membatasi jumlah entri yang di learning) Membatasi jumlah mac adress yang di learn pada port tertentu memperbolehkan learning mac address sejumlah n pertama. setelah n, akses learning di blok dengan cara : entri fdb dimasukkan sbg entri blackhole (default), atau learning distop.
Dapat memberikan keamanan tambahan ketika learning dinamik digunakan, Pada lingkungan VOIP, learning hanya dibatasi pada 2 MAC address, MAC#1 untuk PC pengguna MAC#2 untuk telepon VOIP
Konfigurasi :
limit learning utk dimasukkan sbg entri blackhole configure port <daftar port> vlan <nama vlan> limit-learning <jumlah>
limit learning yg tidak utk dimasukkan sbg entri blackhole, melainkan menghentikan proses learning configure port <daftar port> vlan <nama vlan> limit-learning <jumlah> action stop-learning Dalam jaringan besar, penggunaan limt learning dgn entri blackhole dapat mengakibatkan banjir fdb, shg menurunkan performa switch. Oleh karena itu sebaiknya menggunakan fitur stop learning.
Lock learning (mengunci fungsi learning) Mengunci (freeze) entri fdb berdasarkan VLAN atau port. FDB yang baru dipelajari (learned) dimasukkan sbg entri blackhole.
Ketika di enable, maka switch tidak dapat mempelajari fdb secara dinamis. Cara mudah untuk mengunci jaringan dimana entri statik lebih dipilih. MAC address yang dikunci ditambahkan kedalam konfigurasi aktif (running configuration). Agar permanen, maka konfigurasi harus disimpan (saved). Setelah reboot, MAC yang dikunci kitu akan menjadi entri statik yang permanen. Dan port tidak akan mempelajari entri yang lain.
Konfigurasi : Kofnigurasi lock learning configure ports <daftar port> vlan <nama vlan> lock-learning
Menghapus konfigurasi lock learning : configure ports <daftar port> vlan <nama vlan> unlock-learning
Limit learning dan lock learning tidak mempengaruhi ini : Paket yang ditujukan kepada MAC address permanen atau MAC address yang bukan entri blackhole Trafik broadcast dari MAC address yang bukan entri blackhole Trafik EDP dan LLDP
Limit learning dan lock learning tidak bisa di enable bersamaan pada sebuah port Egress flood control sebaiknya hanya digunakan pada port yang arp dan mac nya diatur secara statik. jika tidak, maka fungsi dinamis seperti DHCP dan ARP akan terganggu/tergantikan. PC Windows menggunakan ARP untuk memeriksa IP address yang sama (dupplicate) Tidak mempengaruhi pemberian IP address (IP address assignment) jk menggunakan DHCP relay agent
Untuk BD10k dan BD12k, disable flooding tidak bisa dilakukan pada port, melainkan pada pake broadcast, multicast, atau unicast unknown.
C. Sekilas VLAN
VLAN Untagged VLAN tanpa id tag 802.1q Dalam switch Extreme, untuk memastikan pemisahan antar VLAN, setiap VLAN diberi id VLAN Switch secara otomatis memberikan sebuah id VLAN internal Nila id VLAN internal mulai dari 4094, lalu menurun (decremented) dan diberikan kepada setiap VLAN secara berurutan.
Sifat VLAN untagged : Sebuah port hanya dapat menjadi anggota 1 VLAN untagged Port anggota tidak bisa ditag, yang artinya : Tidak bisa memproses informasi VLAN 802.1q dan CoS 802.1p
Sifat pengiriman (forwarding) VLAN untagged : Paket dikirimkan secara transparan, contohnya tanpa perubahan atau penambahan header apapun
VLAN berbasis protokol (Protocol-based VLAN) Menggunakan filter protokol untuk menentukan apakah sebuah paket termasuk kedalam VLAN tertentu. Filter protokol yang dapat digunakan antara lain : IP IPX IPv6 NetBios DECNet IPX_8022 IPX_SNAP AppleTalk MPLS ANY
Kita dapat membuat protokol sendiri dengan cara : create protocol, dan mengeditnya dengan configure protocol. Kita juga dapat mengedit protokol default dengan cara yang sama.
Mempunyai kedudukan lebih tinggi (higher precedence) daripada VLAN untagged Hanya dapat beroperasi pada port untagged Mendukung formasi frame Ethernet berikut : Ethernet II LLC Subnetwork Access Protocol (SNAP) framing standar yang digunakan pada IP
Paket Ethernet II adakan mem-filter dalam field EtherType dalam format Hexa, IPv4 = 0x0800; ARP = 0x0806; IPv6 = 0x86dd; 802.1q = 0x8100
Sifat pengiriman (forwarding behaviour) : Paket yang lolos filter akan dikirimkan secara tansparan dalam VLAN.
VLAN 802.1q Tagged Adalah VLAN yang ditag dengan id tag 802.1q Secara umum cara kerjanya sama dengan VLAN berbasis protokol
Sifat-Sifat Umum : Sebuah port yang ditag dapat menjadi anggota dari beberapa VLAN yang ditag Port anggota bisa port yang ditag maupun yang tidak ditag. Apabila ditag, maka port tsb bisa memproses informasi VLAN 802.1q dan informasi CoS 802.1p
Sifat Forwarding : Port yang tidak ditag mengirim paket secara transparan Port egress yang ditag mengisi kolom EtherType dengan 0x8100 dan menambahkan header 802.1q setelah kolom EtherType tsb. Port ingress yang ditag mengecek kolom EtherType, apabila isinya adalah 0x8100, maka ia memproses informasi dalam paket tsb. Paket akan dibuang (drop) apabila : Isi kolom Ethertype bukan 0x8100 Id tag 802.1q dalam paket tidak cocok dengan semua VLAN yang terdaftar dalam port tsb.
Pemrosesan Frame Ethernet 802.1q : Tag 802.1q berisi 4 kolom : Id Protokol Tag (Tag Protocol ID/TPID) = kolom EtherType
Pengenal VLAN (VLAN Id) Nilai : 1 - 4095 Dalam XOS, nila 4095 diberikan secara permanen untuk VLAN 'Mgmt', sehingga tidak bisa digunakan untuk yang lain.
Sifat Pengiriman : Paket yang datang pada port ingress diteruskan menuju VLAN yang sesuai Kolom CoS 802.1p diperiksa, lalu paket tsb ditempatkan dalam antrian yang sesuai
Nilai 0-6 ditempatkan pada level prioritas yang rendah, (QoS Profile 1/QP1) Nilai 7 ditempatkan pada level prioritas yang tinggi (QoS Profile 8/QP8)
Menampilkan ringkasan informasi VLAN show vlan Menampilkan : Nama VLAN Id VLAN Alamat IP Flags Filter Protocol Port aktif Virtual Router
Menambahkan port pada VLAN untagged : configure vlan <nama vlan> add ports <daftar port> Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru Biasanya port harus dihapus dari keanggotaan VLAN 'Default'
Membuat dan Mengkonfigurasi VLAN berbasis protokol (Protocol-Based VLAN) Membuat VLAN berbasis protokol create vlan <nama VLAN> configure vlan <nama vlan> protocol <nama protokol> Untuk mengeluarkan VLAN dari VLAN berbasis protokol :
Menambahkan port pada VLAN berbasis protokol : configure vlan <nama vlan> add ports <daftar port> Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Membuat dan Mengkonfigurasi VLAN dengan tag (tagged) Membuat VLAN dengan tag create vlan <nama VLAN> configure vlan <nama VLAN> tag <id tag>
Menambahkan port pada VLAN dengan tag : Menambahkan port tanpa tag : configure vlan <nama vlan> add ports <daftar port> untagged Port harus dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru Biasanya port harus dihapus dari keanggotaan VLAN 'Default'
Menambahkan port tanpa tag : configure vlan <nama vlan> add ports <daftar port> tagged Port tidak perlu dihapus dari keanggotaan VLAN lain sebelum dimasukkan sbg anggota VLAN baru
Saat VLAN sudah dikonfigurasi dengan tag 802.1q, maka VLAN itu seterusnya akan menjadi VLAN tagged. Id tag dapat diubah, tetapi tag tidak dapat dihapus.
Pengaturan VLAN Mengganti nama VLAN : configure vlan <nama VLAN> name <nama baru>
Mengubah port untagged menjadi port tagged : configure vlan <nama vlan> add ports <daftar port> tagged
Mengubah port tagged menjadi port untagged : configure vlan <nama vlan> add ports <daftar port> untagged
Menghapus VLAN delete vlan <nama vlan> Sebuah VLAN dapat dihapus kapan saja, kecuali jika VLAN tsb menjadi VLAN Network Login.
A. Sekilas EAPS
Keuntungan : Topologi bebas loop (loop-free topology) Recovery ring dalam sub-detik (sub-second ring recovery)
Lisensi Jika jumlah EAPS domain > 4, maka diperlukan lisensi EAPS tambahan.
Master Node & Secondary Port Master Node dipilih secara manual di setiap domain, biasanya switch yang berada di 'tengah' diantara switch lain pada domain tsb. Switch yang tidak berperan sbg master disebut Transit Node. Secondary port juga dipilh secara manual, tujuannya mirip dengan bakcup port pada STP. Port yang diblok pada EAPS adalah port secondary pada master node. Primary dan secondary port pada Transit Node harus port yang termasuk kedalam ring, dengan urutan bebas.
Hubungan antara Domain EAPS dan VLAN 1 link dapat membawa bbrp domain. 1 domain harus memiliki 1 VLAN control yg dibuat untuk membawa trafik kontrol EAPS (setiap domain memiliki VLAN control yang unik) 1 domain dapat membawa bbrp VLAN protected link [domain [vlan control-vlan protected-vlan protected]--[vlan control-vlan protectedvlan protected]]--[domain [vlan control-vlan protected-vlan protected]--[vlan controlvlan protected-vlan protected]] Saat domain aktif, kita tidak bisa menghapus domain tsb atau mengubah konfigurasi VLAN kontrol.
B. Operasi
Konfigurasi Setiap switch dalam doman memiliki konfigurasi untuk : Tipe Node (Master/Transit) Port (Primary & Secondary) VLAN kontrol
Node Master bertanggungjawab untuk mengalirkan paket "Hello". Paket Hello secara default dialirkan melalui port primary. dapat diubah menjadi secondary port dengan konfigurasi --> configure eaps <nama domain> hello-pdu-egress [primary-port | secondary-port ]
Aturan-aturan konfigurasi VLAN kontrol Tidak boleh ada trafik user dalam VLAN kontrol Harus VLAN tagged Hanya port ring yang dimasukkan, dan ditag. Tidak perlu IP address.
Node master mengirimkan paket 'hello' setiap 1 detik Dikirim melalui port primary pada node master dan diterima kembali pada port secondary pada node master, kemudian memverifikasi bahwa ring telah terbentuk (ring complete). Default 1 detik, dapat diubah menjadi antara 100 milidetik s/d 15 detik, dengan cara -> configure eaps <nama domain> hellotime <detik> <milidetik>
Ketika sebuah link jatuh, maka : Node yang mendeteksi link jatuh tsb mengirimkan paket 'link down' kepada node master dalam jaringan biasa, node master akan menerima paket ini dalam waktu < 20 milidetik
Node master membuka bloking (unblock) port secondarynya, lalu mengalirkan paket 'flush fdb' pada port primary dan secondary. Paket 'flush fdb' berguna untuk trafik berbasis non-sesi (non-session based) seperti VOIP yang menggunakan protokol UDP, agar paket ttp dapat dikirimkan melalui port yang benar shg servicenya tidak terganggu (tanpa ini, trafik harus menunggu hingga 'timer fdb', yaitu 5 menit). Untuk trafik berbasis TCP, ini tidak terlalu berpengaruh, karena TCP memiliki mekanisme re- transmit saat mengetahui time-out.
Ketika link jatuh sudah kembali (restoration link), maka : Node (yang tadi mendeteksi link jatuh) mengirimkan paket 'pre-forwarding'/'link up' ke node master (tanpa melalui link yg tadi jatuh). tanpa melalui link yg td jatuh utk menghindari loop krn port secondary pada node master belum di blok lagi.
Node master tetap mengirim paket 'Hello' sampai menerima kembali paket 'Hello' tsb, untuk kemudian menetapkan status domain 'complete'. Kemudia ia memblok port secondary nya, mengalirkan 'flush fdb', lalu melanjutkan pengaliran paket 'Hello' tsb.
Ketika 3 paket 'hello' gagal diterima oleh node master, maka : Jika sebelumnya status domain adalah 'complete', maka statusnya akan tetap 'complete' tetapi dengan atribut 'fail timer expired'. Jika domain baru saja diinisiasi, maka status domain adalah 'init' dengan atribut 'fail timer expired'. Dalam situasi dimana status ring tidak diketahui, membuka bloking port secondary beresiko terjadinya loop. Maka switch dapat mengirimkan alert kepada NMS untuk kemudian dilakukan pengecekan oleh operator. Namun bisa saja dilakukan pengubahan konfigurasi agar ketika 'fail timer expired', node master membuka bloking port secondarynya (meskipun ttp tidak direkomendasikan). Jika iya, maka setelah dibuka, node master akan mengalirkan 'flush fdb' dan tetap mengalirkan paket 'hello'. Pengubahan dilakukan dengan cara --> configure eaps <nama domain> failtime expiry action open-secondary-port
Penyebab : Kesalah konfigurasi pada VLAN control pada sebuah atau bbrp node dalam ring. Kerusakan pada hardware pada salah satu node. Ada saturasi link pada port ring. Antrian CPU (CPU queue) pada node master sedang macet (congested) atau sibuk.
Karena setiap ring memiliki node master yang berbeda, maka imbas masalah ini kepada pengguna jaringan dapat diminimalisir.
C. Konfigurasi
Tahapan konfigurasi : VLAN Pastikan VLAN yang akan dimasukkan kedalam EAPS memiliki port-port ring yang ditag. Berlaku untuk semua domain yang dibuat.
Buatlah VLAN kontrol untuk setiap domain dan pastikan mereka memiliki port ring yang ditag untuk setiap doman. Setiap VLAN maksimal memiliki 2 port saja.
Konfigurasi 1 switch sebagai master, yang lainnya sbg transit configure eaps <nama domain> mode [master | switch]
Konfigurasi port primary dan secondary pd setiap switch configure eaps <nama domain> primary <port primary> configure eaps <nama domain> secondary <port secondary>
Tambahkan VLAN kontrol dan VLAN protected pada setiap domain configure eaps <nama domain> add control <nama vlan> configure eaps <nama domain> add protected <nama vlan>
Ulangi tahap diatas untuk setiap domain Enable EAPS secara global enable eaps
Lain-lain : Mengubah nama domain : configure eaps <nama domain> name <nama baru>
Mengubah port ring disable eaps <nama domain> unconfigure eaps <nama domain> primary <port primary> unconfigure eaps <nama domain> secondary <port secondary> configure eaps <nama domain> primary <port primary baru> configure eaps <nama domain> secondary <port secondary baru> enable eaps <nama domain>
Aktifkan OSPF pada VLAN-VLAN end-user configure ospf vlan <nama VLAN> area 0.0.0.0 passive Konfigurasi sebuah interface dengan mode passive akan menghentikan penghantaran paket ''hello'. Ini sebaiknya digunakan pada VLAN yang tidak digunakan juga oleh OSPF yang lain.
Konfigurasi ID router configure ospf routerid <id router> jika id router tidak dikonfigurasi secara manual, maka switch akan secara otomatis menetapkan interface ip adress tertinggi sebagai router id. Tetapi ini tidak direkomendasikan, krn jika interface yang menjadi router id mati, maka switch akan mencari id router baru, sementara LSA-LSA dengan router id sebelumnya akan bertahan di LSDB, sehingga dapat membebani jaringan.
Verifikasi OSPF : Verifikasi VLAN yang diaktifkan OSPF nya show vlan
show ospf
Konfigurasi OSPF (multi area) Buat 1 atau bbrp area OSPF create ospf area <id area>
Tambahkan VLAN ke area backbone configure ospf add vlan <nama vlan> area 0.0.0.0
Tambahkan VLAN ke area lainnya configure ospf add vlan <nama vlan> area <id area>
Verifikasi OSPF (multi area) Verifikasi interface berada pd area yg benar show ospf interface {detail}
Verifikasi tabel routing berisi entri OSPF show iproute origin ospf
Kebanyakan digunakan pada PC untuk otentikasi pengguna, contoh : WIndows Active Directory
Otentikasi berbasis sertifikat Secara otomatis mengotentikasi perangkat Memproses login secara statis dengan menggunakan sertifikat digital Dapat dipilih sbg kemanan level kedua untuk otentikasi interaktif
Otentikasi transparan Otentikasi perangkat yang tidak mendukung protokol otentikasi Digunakan oleh scanner barcode, handset VOIP, kamera keamanan, dll.
Otentikasi interaktif Ada input identitas (logon credential), seperti username dan password, untuk mengakses perangkat yang terhubung ke jaringan 2 tipe otentikasi interaktif : Login Windows Active Directory Dalam jaringan enterprise, kapanpun seorang pengguna ingin mengakses layanan jaringan seperti email, logon credential pengguna dikirimkan ke server otentikasi Server otentikasi lalu menyetujui atau menolak akses Active Directory menggunakan protokol Kerberos untuk mengotentikasi pengguna
Login Captive Portal berbasis web Saat pengguna tamu (guest) ingin mengakses internet, pengguna membuka browser lalu diarahkan (redirected) ke halaman login perusahaan. Pengguna memasukkan user credential yang diberikan Login berbasis web menggunakan SSL atau RADIUS untuk mengotentikasi pengguna.
Windows Active Directory, Kerberos Pengguna login ke PC User diotentikasi ke domain dan diberikan 'Tiket Akses' Tiket akses (disebut juga Ticket Granting Ticket/TGT) yang berisi ID klien, alamat jaringan klien, periode validitas tiket, dan kunci akses klien. Informasi ini dienkripsi menggunakan kunci rahasia.
Server Domain memberikan 'Tiket Sesi'. Saat meminta layanan, klien mengirimkan Tiket Akses, ID dari layanan yang diminta, dan ID klien serta timestamp ke server AD. Setelah menerima tiket akses ini, jika diotorisasi, server AD akan mengirim tiker sesi atau tiket layanan ke klien yang berisi ID klien, alamat jaringan klien, periode validitas, dan kunci sesi Klien/Server.
'Tiket sesi' dikirim ke server Exchange. Akses email disetujui. Pengguna membuka browser lalu diarahkan (redirected) ke halaman login switch Segera setelah pengguna mendapatkan IP address melalui server DHCP
Pengguna memasukkan credentialnya Perangkat otentikasi (dalam hal ini switch) menggunakan DNS untuk meresolve halaman home pengguna dan kemudian mengarahkan browser ke Network Login switch atau URL Captive Portal dimana pengguna akan diminta untuk memasukkan username dan password. Pada titik ini, pengguna tidak memiliki akses langsung ke jaringan.
Switch mengirimkan credential pengguna ke server RADIUS Switch menjadi semacam 'proxy' layanan jaringan dari sudut pandang pengguna.
Server RADIUS membalas dengan pesan 'Access Accept'. RADIUS mencocokkan credential pengguna dengan isi databasenya atau menghubungi server AD atau LDAP untuk detil otentikasi pengguna. Jika cocok, maka RADIUS mengirimkan pesan 'Access Accept' kepada switch yang kemudian memberikan akses kepada pengguna.
Proses Login Network Windows 802.1x Sertifikat diinstalkan pada perangkat dari server sertifikat oleh tim IT. Saat menggunakan PKI (Public Key Infrastructure/Infrastruktur Kunci Publik), sertifikat yang mengkonfirmasi identitas dari Otoritas Sertifikat (Certificate Authority/CA) tertentu biasanya didistribusikan ke semua klien yang memerlukan akses jaringan menggunakan 802.1x. Pada lingkungan Windows, langkah ini bersifat opsional, karena kebutuhan untuk memverifikasi identitas dari server otentikasi dapat ditiadakan (disabled). Tetapi, dengan 'on' nya server verifikasi, klien dapat dilindungi dari tehubung ke server yang tidak terotorisasi.
Distribusi sertifikat hanya dibutuhkan apabila organisasi tsb menggunakan sertifikat yang dibuat sendiri (self certified certificate) dan bukan menggunakan CA Root dari CA yang dipercaya public (public trusted CA) seperti VeriSign, Equifax, dll.
Pengguna memasukkan credential lalu klien 802.1x memulai proses otentikasi. Klien (Client/Supplicant) dari 802.1x adalah perangkat pengguna (PC, mobile, dll), sementara otentikator dari 802.1x adalah switch atau AP. 802.1x menggunakan Extensible Authentication Protocol (EAP) yang tidak membutuhkan IP untuk beroperasi. Pesan-pesan dihantarkan pada layer 2 antara klien dan otentikator.
Switch mengirim credential pengguna ke server RADIUS. Mengirim pesan 'Permintaan Akses'.
Server RADIUS mengirimkan sertifikat/identitas ke klien. RADIUS dan klien bernegosiasi ttg tipe EAP apa yang akan digunakan untuk pertukaran password.
Klien memverifikasi identitas server dengan membandingkan sertifikat yang dikirm oleh RADIUS dengan sertifikat dari CA yang dipercaya. Ini opsional
Klien 802.1x menggunakan kunci privat yang disimpan pada sertifikat (yang dari RADIUS) untuk mengatur tunnel TLS/SSL yang terenkripsi ke server RADIUS. Kunci privat 'diektrak' dari sertifikat.
Credential pengguna dikirimkan ke server RADIUS. Switch bertindak sebagai 'proxy' layanan jaringan dari sudut pandang klien.
Server RADIUS membalas dengan pesan 'Access Accept'. Switch memberikan akses kepada pengguna.
Proses Otentikasi Transparan : Handset VOIP mengirim permintaan DHCP ke jaringan Otentikasi transparan biasanya dimulai dari perangkat, dalam hal ini Handset VOIP, yang terhubung ke jaringan. Biasanya, perangkat ini akan meminta IP address menggunakan DHCP, dan pada saat itulah, perangkat otentikasi, dalam hal ini switch, yang menerima paket DHCP dari port yang terhubung ke handset VOIP akan membuat entri di FDB. Saat itu juga, switch akan mengetahui MAC address dari Handset dan informasi lainnya jika LLDP diaktifkan pada handset.
Switch mendeteksi MAC address dari handset VOIP dan mencocokkannya dengan 'daftar yang boleh mengakses jaringan (allowed list)'
Switch mengirim ceedential perangkat ke server RADIUS. Server RADIUS membalas dengan pesan 'Akses Disetujui (Access Accept)' Switch memberikan akses network kepada pengguna
Username
salman
10.0.1.1
00:00:00:00:0 0:01
Jika fitur pengelolaan ID diaktifkan dan dikonfigurasi pada switch XOS, maka switch akan mengumpulkan event2 log on dan log off dan menyimpan atribut tertentu untuk setiap perangkat atau pengguna didalam database. Database disimpan dalam RAM yang aktif (running RAM) dan dapat diubah nilainya dair nilai default 512KB dengan menggunakan --> configure identity management database memory-size
Atribut identitas dikumpulkan untuk protokol dan fitur berikut : Logon Windows AD Switch 'mengendus' paket Kerberos antara klien dan server AD.
Network Login Otentikasi berbasis sertifikat 802.1x Otentikasi berbasis web Otentikasi transparan berbasis MAC
LLDP
Batasan : Hanya dapat didukung untuk IPv4 Untuk operasi optimal dari snooping Kerberos, klien sebaiknya memiliki koneksi L2 ke switch snooping. Fitur snooping Kerberos tidak diaktifkan secara default dan harus dikonfigurasi dengan benar agar dapat menangkat event-event atau log Windows.
Monitoring pengguna jaringan dan Ridgeline Ridgeline mampu memonitor pengguna dan perangkat jaringan secara real-time dan terpusat. Setiap switch yang diaktifkan fitur Pengelolaan ID nya mengirimkan event log on ke Ridgeline Ridgeline memiliki pengguna jaringan dengan nama 'console' untuk melihat pengguna-pengguna aktif dan tidak aktif.
C. Konfigurasi
Aktifkan Manajemen ID secara global : enable identity-management
Aktifkan Snooping Kerberos configure identity-management kerberos snooping add server <ip address> ip address ini adalah ip address AD Domain Controller. Jika ada bbrp Domain Controller, maka bisa saja semua IP nya dimasukkan kedalam daftar snooping Kerberos. Ini terrgantung dari apakah Domain Controller2 tsb diakses dari lokasi switch yang sama.
A. Dasar-Dasar Skripting
Skrip adalah cara untuk otomasi tugas-tugas (tasks) dan dapat digunakan untuk mempermudah penggunaan switch menggunakan desain jaringan yang umum. Skrip statis dieksekusi secara manual oleh user dan berisi seperangkat perintah berbasis CLI Skrip statis disimpan dalam file berekstensi .xsf
File skrip berbasis teks, dan dapat disimpan dengan cara sbb : Menggunakan editor vi yang sudah built-in pada XOS edit script <nama skrip>
Menggunakan editor offline, lalu menguploadnya menggunakan TFTP Menyimpan konfigurasi aktif (running configuration) sbg file skrip Ini menyimpan semua konfigurasi non-default save configuration as-script <nama skrip>
Perubahan konfigurasi pada skrip dapat segera berpengaruh pada konfigurasi aktif. Akan tetapi perubahan perlu disimpan terlebih dahulu agar menjadi permanen
Skrip System Start-Up Safe Default Script Skrip sistem yang dijalankan ketika switch belum dikonfigurasi switch akan menjalankan konfigurasi 'factory default'
Autoconfigure Skrip yang dibuat manual dengan nama default.xsf akan dijalankan apabila : switch gagal me-load konfigurasi yang telah diatur switch belum dikonfigurasi
Untuk menjalankan (melihat apakah berfungsi atau tidak) : unconfigure switch all
Untuk melihat errornya : show script output default jika blank berarti tidak ada error atau warning saat eksekusi
Autoexecute Skrip yang dibuat manual dengan nama autoexec.xsf akan dijalankan : Setelah switch me-load konfigurasinya, File tidak tereksekusi ketika default.xsf sedang dieksekusi
Untuk melihat errornya : show script output autoexec jika blank berarti tidak ada error atau warning saat eksekusi
Variabel Skrip dan CLI Untuk mengaktifkan skripting CLI : enable cli scripting
show var
Membuat variabel : set var <nama variabel; contoh : CLI.OUT> " "
dengan cara diatas, variabel ini hanya berlaku untuk satu sesi. Untuk membuatnya permanen, aktivasi cli skriptingnya dengan perintah : enable cli scripting permanent.
Fungsi-Fungsi Skrip : Digunakan untuk menjalankan ekspresi kondisional berbasis teks dan memanipulasi variabel-variabel teks. Tipe2 fungsi : Fungsi2 Built-in Didefinisikan oleh sistem (system-defined) dan memungkinkan manipulasi teks dasar/string Contoh : $MATCH(string1, string2) membandingkan string 1 dan 2. Mengembalikan nilai 0 jika string1 = string 2.
$READ(prompt) menampilkan prompt untuk inputan user dan menerima input s/d user menekan tombol 'return' atau sesinya habis.
$TCL(args fungsi) memanggil fungsi TCL. XOS tidak mendukung pemanggilan fungsi TCL secara bersamaan.
Fungsi2 Tool Command Language (TCL) Diimplementasikan pada XOS dan merupakan turunan dari library fungsi2 TCL open source.
if-then-else CORE-DC-BD_8806.1 # edit script tes-if-then if ($MATCH($CLI.SESSION_TYPE, serial) == 0) then set var access "Anda terkoneksi dengan konsol serial" show var access else set var access "Anda terkoneksi dengan telnet atau ssh" show var access endif
do-while-loop set var count 1 set var result "vlan (s) telah dibuat" while ($count < 5) do create vlan tes$count configure vlan tes$count ipaddress 200.1.$(count).1/24 show var count show var result set var count ($count+1) endwhile
Tujuan PU adalah mengautomasi provisioning port perangkat edge ketika ditemukan suatu kejadian/event
Pemicu kejadian (event trigger) secara dinamik menjalankan skrip Skrip disimpan dalam profil PU Disimpan dalam file konfigurasi dan bukan dalam file skrip
Profil PU lalu dimasukkan kedalam port Jika sebuah event -yang telah ditentukan sebelumnya- muncul, maka skrip ini akan dieksekusi Protokol event yang digunakan harus diaktifkan (enabled) di port yang dimonitor oleh PU tsb.
Beberapa profil dalam dibuat dalam 1 switch, tetapi hanya 1 profil 1 event yang dapat dijalankan dalam 1 port. Port bisa saja menjalankan beberapa profil, tetapi eventnya harus berbeda, contoh : event otentikasi berbeda untuk pengguna atau perangkat yang berbeda pula. Kita dapat pula menjalankan beberapa profil dalam 1 port atau 1 kelompok port. Misal, kita akan menjalankan profil otentikasi pengguna berbeda untuk kelompok sales, marketing, dan engineering. Kita juga dapat mengkonfigurasi profil yang dipicu oleh perangkat (device-triggered profile) dalam 1 port yang mendukung 1 atau beberap profil pengguna. Tetapi hanya 1 device-triggered profile yang boleh dijalankan pada 1 port.
Skripting Dinamis : Adalah skrip yang dieksekusi oleh event PU Variabel dalam skrip dinamis tidak dapat diakses melalui CLI karena bersifat nonpersistent Variabel sistem run-time tambahan (additional run-time system variable) dibuat ketika event yang ditentukan (UP enabled event) terjadi. Definisi Event yang memicu profil Profil yang sedang dijalankan
Selain itu, variabel untuk event tsb (event specific variables) juga dibuat, Definisi Waktu kejadian, dihitung dalam detik Tipe timer, periodik atau non-periodik Nama timer yang dipicu oleh PU Waktu antara timer mulai dan skrip dijalankan
EVENT.TIMER_LATE_SECS
Total 128 skrip dinamik (profil PU) dapat dibuat dalam sebuah switch, dan setiap skrip maksimal terdiri dari 5000 karakter.
Event-event pemicu profil PU Definisi Perangkat tertentu terdeteksi oleh LLDP. Profil mengkonfigurasi port. Perangkat tertentu tidak lagi terdeteksi atau terjadi time-out. Properties port kembali ke status known. User yang telah ditentukan terotentikasi. Profil mengkonfigurasi port. User yang telah ditentukan tidak lagi terotentikasi. Properties port kembali ke status known. Timer yang dijadwalkan terjadi pada waktu yang ditentukan telah tiba. Timer yang dijadwalkan terjadi setelah rentang waktu tertentu telah tiba. Profil dipicu oleh pengguna secara remote melalui CLI Event log yang telah ditentukan sebelumnya telah terjadi. Respon oleh switch direkam di log.
Event DEVICE_DETECT
DEVICE_UNDETECT
USER_AUTHENTICATED
USER_UNAUTHENTICATED
TIMER_AT
TIMER_AFTER
USER_REQUSEST
LOG_MESSAGES
Event Deteksi Perangkat LLDP (contoh) Handset VOIP mengirim TLV LLDP ke switch LLDP membuat (generates) event DEVICE_DETECT Skrip dinamik pada PU dijalankan Skrip mengkonfigurasi VLAN, QoS, ACL, PoE, dan TLV LLDP
Switch membalas dengan TLV LLDP yang khusus untuk perangkat tsb Yang termasuk dalam TLV : VLAN, server call IP, QoS, lokasi E911, dll.
Event otentikasi 802.1x (contoh; diringkas) User memasuki halaman login dan klien 802.1x memulai proses otentikasi Switch mengirim data yg dimasukkan user ke server RADIUS
Server RADIUS memeriksa otentikasi user 'AccessAccept' mengirim (generates) event USER_AUTHENTICATED Skrip dinamik pada PU dijalankan : Skrip mengkonfigurasi port dengan QoS, ACL, dan VLAN jika diperlukan.
Event Timer (contoh) Event Timer PU diset untuk berjalan antara pukul 20.00 s/d 08.00 setiap hari. Pada jadwal yang telah ditentukan (20.00), event TIMER_AT dikirimkan (generated) Skrip dinamik 'PoE off' pada profil PU dieksekusi #atur variabel dan buat entri create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME #matikan PoE pada semua port disable inline-power
Pada jadwal yang satunya (08.00) event TIMER_AT dikirimkan kembali Skrip dinamik 'PoE on' pada profil PU dieksekusi #atur variabel dan buat entri create log entry Starting_Script_TIMER-EVENT_$EVENT.TIMER_NAME #hidupkan PoE pada semua port enable inline-power
B. Konfigurasi
Konfigurasi PU : Membuat dan mengkonfigurasi event timer PU (contoh) Membuat skrip profil PU : create upm profile <nama profil> CLI akan memasuki mode editor Masukkan perintah skrip dan akhiri dengan titik (.)
Membuat, mengkonfigurasi, dan mengikat (bind) timer PU pada profil : create upm timer <nama timer> configure upm timer <nama timer> at <bulan> <tanggal> <tahun> <jam> <menit> <detik> {every <detik>}
Menguji Event Timer PU Menguji skrip profil PU : run upm profile <nama profil> CLI akan mengeksekusi sebagai event "USER_REQUEST"
Verifikasi eksekusi skrip profil PU show upm history show upm history exec-id <nomor>
A. Sekilas QoS
QoS terdiri dari beberapa mekanisme dan protokol yang didesain untuk memfasilitasi pengaturan delay dan bandwidth untuk data yang sensitif di jaringan yang sibuk. Pada jaringan Ethernet, QoS digunakan untuk memberikan kualitas akses yang berbeda pada jaringan yang sama. 2 elemen utama QoS : Prioritas (Priority) Tipe trafik tertentu diberi prioritas diatas tipe trafik yang lain. contoh : trafik suara (voice) biasanya lebih diprioritaskan daripada trafik data.
Diimplementasikan dengan menggunakan antrian hardware bertingkat (hierarchycal hardware queue) Switch Extreme mendukung 8 antrian hardware per port egress, beberapa switch mendukung antrian hardware pada port ingress.
Kontrol Bandwidth (Bandwidth Control) Tipe trafik tertentu diberikan garansi bandwidth dalam jumlah tertentu contoh : trafik suara (voice) diatur agar mendapat alokasi bandwidth minimum 2 Mbps
Prioritas QoS (disebut juga CoS) 2 cara switch dalam mengimplementasikan CoS : Memberi tanda pada paket eksternal (External packet marking/Explicit QoS packet marking) Perangkat eksternal memberi tanda (mark/classifies) pada paket dengan mengatur sejumlah bit tertentu pada paket. Ini dapat menjamin bahwa paket akan diprioritaskan sesuai dengan pengaturan yang telah ditentukan sebelumnya. Perangkat eksternal ini memberi instruksi pada perangkat2 lain di jaringan untuk memberi kode pada header suatu paket sehingga paket tsb mendapat prioritas yang berbeda.
Switch yang menerima paket melakukan 1 diantara 2 hal berikut ini : Switch meneliti klasifikasi paket dan menempatkan paket pada antrian sesuai prioritasnya Switch mengklasifikasi ulang paket dan menempatkannya pada antrian yang berbeda
Kontrol internal dan penandaan paket Ini berlaku pada switch yang tidak mendukung penggunaan explicit QoS. Switch dikonfigurasi untuk menempatkan suatu trafik pada antrian tertentu. Suatu trafik dapat diidentifikasi untuk mendapatkan perlakuan CoS tertentu berdasarkan pada : Port fisik, MAC address, VLAN, IP address, nomor port TCP dan UDP, dll. Disebut juga pengelompokan trafik/traffic grouping.
Switch dapat juga (optionally) memberi tanda/klasifikasi pada paket. Cara seperti ini disebut juga implied QoS. Switch Extreme dapat mengkonversi implied QoS menjadi explicit QoS packet marking ketika suatu paket melewati port egress.
Antrian prioritas yang ketat (Strict priority queuing) : Normalnya, paket dengan prioritas tinggi selalu dikirim lebih dahulu sebelum paket dengan prioritas lebih rendah, tetapi jika paket yg prioritasnya lebih rendah ini sudah mulai dikirimkan,
maka paket yang prioritasnya lebih tinggi harus menunggu hingga pengiriman selesai.
B. Standar-Standar CoS
Standari QoS yang didukung oleh XOS : IEEE 802.1D - 1998 (802.1p) Prioritas Paket (Packet Priority) RFC 2474 - DiffServ - Pendahuluan (DiffServ Precedence) RFC 2598 - DiffServ - Pengiriman yang dipercepat (DiffServ Expedited Forwarding/EF) RFC 2597 - DiffServ - Pengiriman yang terjamin (DiffServ Assured Forwarding/AF) RFC 2475 - DiffServ - Fungsi router core dan edge (DiffServ Core and Edge Function)
Profil QoS dan CoS : CoS diset menggunakan profil QoS Maksimal 8 profil QoS dapat dibuat. 2 profil telah ada secara default, yaitu QP1 dan QP8 Pada switch BD8K dan SummitX, kelas 802.1p dibawah 7 dan DSCP dibawah 56 dimasukkan kedalam QP1 Kelas Prioritas IEEE 802.1p 0 Sifat trafik kelas IEEE 802.1p DSCP Antrian hardware switch
Profil QoS
QP1
Belakang (Background ) Usaha Terbaik (Best Effort) Usaha Sempurna (Excellent Effort) Aplikasi Kritis (Critical Application) Video dengan latensi <
0-7
0-Low
QP2
QP1
8-15
1-LowHi
QP3
QP1
16-23
2-Normal
QP4
QP1
24-31
3NormalHi
QP5
QP1
32-39
4-Medium
100ms QP6 QP1 5 Video dengan latensi < 10ms Kontrol Internet (Internetwork Control) Kontrol Jaringan (Network Control) 40-47 5MediumHi
QP7
QP1
48-55
6-High
QP8
QP8
56-63
7-HighHi
Dalam XOS hanya ada 2 profil QoS karena pada kebanyakan jaringan enterprise, trafik dapat dibedakan menjadi 3, yaitu background, video, dan kontrol. Mudahnya, data background dapat dimasukkan sebagai data dengan prioritas rendah (QP1), sementara video dan kontrol sebagai data dengan prioritas tinggi (QP8). Data kontrol sendiri (yg digunakan dalam EAPS) berjumlah sedikit dan tidak berpengaruh pada data lain yang berada dalam antrian yang sama.
Cara memverifikasi profil QoS : show qosprofile menampilkan profile QoS, bobot (weight), dan buffer.
Verifikasi pemetaan CoS : show dot1p menampilkan nilai prioritas 802.1p dan profil QoS yang dimasukkan (assigned QoS profile) Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure dot1p type
show diffserv examination menampilkan DSCP dan profil QoS yang dimasukkan (assigned QoS profile) Pengubahan konfigurasi pemetaan CoS 802.1p dapat dilakukan dengan --> configure diffserv examination code-point
Untuk memasukkan nilai CoS pada profile QoS non-default, profil QoS nya harus dibuat terlebih dahulu.
Mengkonfigurasi QoS berbasis port 802.1p untuk VoIP (dengan nilai yang direkomendasikan oleh IEEE untuk klasifikasi trafik bagi voice)
Membuat profile QoS VoIP : create qosprofile <nama profil> Agar 802.1p berfungsi, VLAN dan port harus ditag
Mengubah pemetaan 802.1p : configure dot1p type <nilai prioritas 802.1p> <nama profil> Nilai prioritas untuk suara (voice) adalah 5 pengujian 802.1p (dot1p examination) telah diaktifkan secara default.
Konfigurasi port untuk CoS VoIP configure port <nomor port> <nama profil>
XOS merekomendasikan penggunakan CoS5/QP6 atau CoS7/QP8, karena CoS6/QP7 digunakan untuk trafik kontrol stack. Untuk setiap profil QoS yang dibuat dalam BD8K atau SX, pemetaan CoS yang default harus dibuat tersendiri untuk setiap kombinasi profil CoS/QoS.
Konfigurasi QoS berbasis port DiffServ untuk trafik server-server Buat profil QoS create qosprofile <nama profil>
Mengubah pemetaan DiffServ dan mengaktifkan pengujian DiffServ (DiffServ Examination) configure diffserv examination code-point <dscp> <nama profil> dscp untuk aplikasi kritif adalah 24
enable diffserv examination <nomor port> diffserv examination tidak aktif secara default
Konfigurasi port untuk CoS : configure ports <nomor port> <nama profil>
Konfigurasi diatas mengasumsikan bahwa server menggunakan aplikasi yang mendukung diffserv (diffserv-aware applications)
Konfigurasi QoS berbasis VLAN dengan Tanda (marking). Membuat profile QoS VoIP : create qosprofile <nama profil> Agar 802.1p berfungsi, VLAN dan port harus ditag
Mengaktifkan penandaan (marking) 802.1p enable dot1p replacements ports <daftar port>
Verifikasi pengujian 802.1p (802.1p examination) dan pengaturan tanda (marking setting) show port <daftar port> information detail
Penandaan paket (packet marking) dan penggantian (replacement) dapat dilakukan terpisah atau bersamaan. Untuk mengaktifkan diffserv packet marking dan replacement, masukkan perintah --> enable diffserv replacement ports <daftar port> Penandaan paket dan penggantian, jika diaktifkan akan berjalan pada port egress. Secara default kedua fitur ini tidak aktif.
Verifikasi operasi profil QoS untuk CoS : show ports <daftar port> qosmonitor menampilkan daftar port egress, antrian profil QoS, dan paket yang dikirim. secara default tabel yang tampil berjalan secara real time.
1. 802.1p Adalah bagian dari tagging standar VLAN 802.1Q Berisi 3 bit yang didefinisikan sbg kelas prioritas (8 level, 0-7)
2. DiffServ Didefinisikan dalam RFC 2474 dan 2475 Berisi 6 bit untuk kelas prioritas dan 2 bit untuk Pemberitahuan Kemacetan Eksplisit (Explicit Congestion Notification/ECN) XOS tidak memeriksa atau mengatur nilai ECN. Nilai bit pada DiffServ disebut sebagai Titik Kode DiffServe (DiffServe Code Point/DSCP), dan merupakan 6 bit pertama dari kolom Tipe Service (Type of Service/ToS) pada paket IP. Nilainya antara 0-63.
Pemeriksa kondisi (Health checker) sistem Secara proaktif mempolling dan melaporkan kondisi modul, backplane, prosesproses, power supply, power supply controller, dan kipas (fan).
Alat diagnosa sistem dan modul Mendiagnosa sistem lebih mendalam daripada POST Diagnosa normal meliputi : Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs) dan tes loopback paket pada semua port.
Diagnosa lebih dalam (extended diagnostics) meliputi : Mematikan (takes offline) port dan switch fabric, serta menjalankan ASIC sederhana (simple ASICs), ASIC-memory, dan tes loopback pada semua port. Juga tes PoE yang lebih dalam, jika didukung.
Menjalankan alat diagnosa sistem : Diagnosa normal : run diagnostics normal [slot <nomor slot>] nomor slot adalah nomor chassis, atau A atau B untuk MSM. Akan memeriksa switch, slot, modul manajemen, dan port stack. Memeriksa port stack, apakah berfungsi dengan baik atau tidak (sebelum dijadikan switch stacking). Ktk switch sudah berada pada mode stacking, perintah ini tidak dapat dijalankan lagi.
Melihat hasil diagnosa : show diagnostics [slot <nomor slot>] Jika tidak ada hasil, berarti perintah diagnosa belum pernah dijalankan.
Mengunggah hasil diagnosa ke server TFTP tftp put <ip> vr <nama vr> summitDiagLog.txt Hasil diagnosa secara default disimpan dalam file di memori internal
Melihat log yang menampilkan pesan 'link UP' show log match "link UP"
opsi monitoring lainnya adalah : chronological : menampilkan log secara berurutan dari terlama-terbaru configuration : menampilkan konfigurasi EMS, termasuk mode debug, target yang diset, dan filter counters : Menampilkan jumlah kejadian (event) yang melibatkan komponen tertentu seperti AAA atau OSPF. starting : menampilkan kejadian2 yang dimulai dari waktu yang ditentukan ending : menampilkan kejadian2 yang berakhir pada waktu yang ditentukan
clear log
Log real-time Berguna untuk menguji suatu protokol secara interaktif Perintah-perintah : Mengaktifkan logging perintah CLI enable cli-command-logging Sebetulnya tidak diperlukan untuk mengaktifkan log real time. Hanya digunakan untuk memastikan bahwa perintah yang dimasukkan tidak salah.
Mengaktifkan tampilan log pada sesi konsol (port serial) enable log display
Mengaktifkan tampilan log pada sesi telnet atau ssh enable log target session
Syslog untuk memeriksa semua kejadian (events) pada switch secara remote. Log sistem disebut juga Event Monitoring System (EMS). EMS menyimpan log dalam 2 tempat secara bersamaan, yaitu di buffer memori dan NVRAM, masing2 berdiri terpisah. Oleh karena itu, kita dapat memonitor event baru dengan menghapus log pada buffer memori tanpa menghapusnya dari sistem. Selain 2 tempat diatas (buffer memori dapat menyimpan 200-20rb pesan log; log pada NVRAM tidak terhapus setelah reboot) , kita juga dapat mengatur agar log dapat dikirim ke 5 tempat (target) berikut (semua target telah diatur secara default, kecuali host syslog yang memerlukan konfigurasi ke server syslog) : Konsol Sesi aktif telnet/ssh MSM/MM primer (untuk switch standalone) atau node (untuk stack) MSM/MM backup (untuk switch standalone) atau node (untuk stack) Host Syslog
Menampilkan kumpulan dari 20+ perintah 'show xxx' , atau outputnya dapat juga disimpan kedalam suatu file. show tech show tech all logto file
Digunakan untuk memeriksa switch yang rusak (faulty switch). Perintah-perintah : Melihat file 'show tech' ls internal-memory
Mengupload file 'show tech' ke server tftp tftp put <alamat ip> vr <nama vr> internal-memory show_tech.log.gz
Menjalankan perintah show tech dapat menampilkan atau me-log banyak sekali informasi. Sebaiknya dilakukan dengan hati-hati, atau pada switch yang sudah diisolasi dari trafik pengguna.
Untuk mengoperasikan nslookup, switch setidaknya harus terhubung dengan 1 server dns