TUGAS ARSITEKTUR JARINGAN TERKINI KELAS A

RETHINKING ENTERPRISE NETWORK CONTROL

Disusun Oleh:
RAYMOND GOMGOM SITORUS
RAMZA ANANDA
NAUFAL SAID
RENDI PUTRA YUNAN M.P.
MARTA PERDANA MUGHNIY

115060807111125
115060800111089
115060800111050
115060807111114
105060807111106

PROGRAM TEKNOLOGI INFORMASI & ILMU

KOMPUTER
UNIVERSITAS BRAWIJAYA
2014

BAB I
PENDAHULUAN

1.1.

Latar Belakang Masalah

Dalam suatu perusahaan atau instansi umumnya memiliki jaringan yang

besar, sehingga untuk dapat menjalankan berbagai aplikasi dan protocol,

biasanya harus beroperasi dengan kehandalan(reliability) dan batasan-batasan
keamanan yang tinggi. Dengan demikian secara tidak langsung membuat
tantangan

untuk melakukan manajemen jaringan. Tantangannya adalah

mencegah terjadinya pembobolan jaringan dan mencegah kesalahan konfigurasi

jaringan sehingga tidak berdampak pada produktivitas bisnis.
Namun solusi yang diberikan saat ini masih lemah, membuat manajemen
jaringan membutuhkan biaya yang mahal dan rawan terjadi kesalahan. Sebagian
besar

jaringan

saat

ini

membutuhkan

konfigurasi

manual

dari

operator

terlatih[1]-[4] untuk mencapai keamanan yang layak[5]. Sebuah laporan dari

Yankee Group menemukan

bahwa 62 % terjadinya downtime jaringan dalam

jaringan multivendor disebabkan oleh kesalahan manusia dan 80 % dari

anggaran IT dihabiskan untuk pemeliharaan dan operasi [6] .
Ada banyak solusi untuk membuat jaringan lebih mudah dikelola dan lebih
aman, diantaranya dengan menerapkan middelboxes (kontrol secara efektif pada
poin tertentu), dengan menambahkan fungsionalitas dalam jaringan(seperti
diagnosis, kontrol VLAN, akses kontrol, filter user, manajemen konektivitas yang
baik, dan pelacakkan jejak paket). Untuk dapat menerapkan fungsionalitas dalam
jaringan dilakukan dengan menambahkan layer baru dari protokol,script, dan
aplikasi.
Namun solusi dengan pendekatan seperti di atas justru menimbulkan
kompleksitas dan tidak mengurangi masalah secara signifikan. Selain itu juga
harus

secara

terus

menerus

melakukan

pemeliharaan(maintained)

untuk

mendukung perubahan yang cepat akibat berkembangnya teknologi.

Daripada membangun layer baru yang memiliki kompleksitas, lebih baik
dengan mengubah arsitektur jaringan dalam perusahaan sehingga membuatnya
lebih mudah untuk dikelola. Arsitektur jaringan yang dimaksudkan di sini disebut
Ethane. Dimana penjelasan lebih detail akan dibahas pada bagian selanjutnya.

20

1.2.

Rumusan Masalah
Adapun perumusan masalah yang akan dibahas adalah:

1. Bagaimana detail tentang jaringan Ethane?

2. Apakah dengan menggunakan jaringan Ethane akan secara signifikan lebih
sederhana, lebih mudah, dan daya yang digunakan lebih rendah?
3. Apakah dengan menggunakan jaringan Ethane akan memberikan
kemudahan dan untuk berinovasi dan berevolusi?
4. Apakah dengan menggunakan jaringan Ethane dapat mengelola ribuan
mesin dengan baik?

1.3.

Tujuan
Adapun tujuan dari paper ini adalah untuk membangun jaringan Ethane

agar mencegah terjadinya pembobolan jaringan dan mencegah kesalahan

konfigurasi jaringan sehingga tidak berdampak pada produktivitas bisnis.

20

BAB II
PEMBAHASAN

2.1.

Deskripsi Singkat Ethane

Ethane merupakan arsitektur jaringan baru yang ditujukan kepada suatu

perusahaan atau instansi. Ethane memungkinkan manajer jaringan untuk

menentukan aturan / kebijakan yang tepat untuk sebuah jaringan yang luas dan
kemudian langsung dapat diterapkan. Ethane memasangkan switch Ethernet
berbasis aliran yang sangat sederhana dengan controller terpusat yang
mengelola penerimaan dan routing aliran data. Meskipun radikal, desain ini
kompatibel dengan host dan switch yang ada.
Ethane diterapkan baik dalam hardware maupun software, mendukung
host baik dengan kabel ataupun tanpa kabel. Ethane juga menunjukkan bahwa ia
merupakan arsitektur yang kompatibel dengan high-fanout switch dengan
melakukan penomoran portnya ke komoditas chipset switching yang populer.
Ethane telah dibangun dan menghasilkan dua operasional jaringan Ethane, salah
satunya di Departemen Ilmu Komputer, Stanford University yang mendukung
lebih dari 300 host, dan yang lainnya di dalam usaha kecil dengan 30 host.
Ethane dibangun berdasarkan 3 prinsip dasar agar mampu memberikan
solusi dari network management:
-

Jaringan

harus

diatur

oleh

aturan

atau

kebijakan

yang

dideklarasikan untuk entitas level atas

Jaringan

paling

pengguna,

host,

mudah
access

dikendalikan
point.

pada

Sebagai

hal

contoh,

entitasnya,
lebih

misalnya,

mudah

untuk

menentukan yang mana sevice untuk pengguna yang boleh digunakan dan
yang mana mesin yang dapat terhubung.
-

Routing pada jaringan harus sesuai dengan aturan / kebijakan

Kebijakan / aturan jaringan menentukan konektivitas antara komunikasi tiap
entitas, maka secara alami akan mempengaruhi jalur mana yang harus
dilewati paket. Hal ini berbeda dengan jaringan saat ini dimana forwarding

20

dan filtering menggunakan mekanisme yang berbeda daripada cara yang

telah disebutkan.
Suatu kebijakan/ aturan mungkin memerlukan paket untuk melewati sebuah
perantara middlebox. Misalnya, seorang guest user melakukan komunikasi
melalui sebuah proxy, atau

seorang user dari sistem operasi yang tidak

melakukan pacth melakukan komunikasi melalui sebuah sistem pendeteksi

intrusi. Kebijakan / aturan juga dapat menentukan prioritas layanan untuk
kelas traffic yang berbeda. Traffic dapat menerima layanan lebih tepat jika
jalurnya dikendalikan, seperti mengarahkan komunikasi real-time melalui
jalur yang lebih mudah dan ringan, mendahulukan komunikasi yang
dianggap penting, dan megarahkan komunikasi private ke jalur yang lebih
aman dan baik.
-

Jaringan harus menciptakan ikatan yang kuat antara paket dan asalusulnya
Saat ini sangat sulit untuk menemukan asal dari sebuah paket, karena
alamat dinamis sering berubah dan mudah dipalsukan. Kelonggaran sebuah
ikatan antara paket dan asal usulnya ini lah biasanya dijadikan target
serangan dalam jaringan perusahaan. Jika jaringan diatur untuk entitas level
atas (seperti user dan host), maka paket harus diidentifikasikan berasal dari
entitas mana. Hal ini memerlukan ikatan yang kuat antara user, mesin yang
digunakan dan alamat dalam paket yang dihasilkan. Hal ikatan ini harus
konsisten sepanjang waktu, dengan memantau user dan mesin ketika
mereka beroperasi.

2.2.

Komponen Utama Jaringan Ethane

Ethane mengontrol jaringan dengan cara tidak membiarkan komunikasi

antara end-host tanpa izin yang jelas. Hal ini menyebabkan Ethane harus
memiliki 2 komponen utama. Komponen utama dari jaringan Ethane antara lain:

Controller Pusat
Komponen yang berisi aturan / kebijakan jaringan global yang menentukan
nasib semua paket yang ada. Ketika paket memasuki Controller, maka
akan diputuskan apakah paket diperbolehkan melewati jalur yang dituju.
Controller mengetahui topologi jaringan global dan melakukan komputasi
dalam perizinan rute untu aliran paket. Ini memberikan akses secara

20

ekplisit memungkinkan arus dalam switch jaringan melanjutkan ke rute

yang telah ditentukan. Controller dapat direplikasi untuk redundansi dan

kinerja sistem.
Switch Ethane.
Berbeda dengan Controller, Switch itu bersifat sederhana dan penurut.
Terdiri dari flow table sederhana dan hubungan yang aman ke Controller,
sehingga switch hanya meneruskan paket dibawah arahan dari Controller.
Ketika paket tiba dan tidak tercantum pada flow table, switch akan
mengarahkan paket ke Controller, bersama dengan keterangan tentang
port dimana paket tersebut masuk. Ketika paket tiba dan tercantum pada
flow table, maka akan diteruskan sesuai arahan dari Controller. TIdak
harus setiap switch yang berada dalam jaringan Ethane harus beralih
menjadi switch Ethane. Desain kami memungkinkan switch bisa ditambah
bertahap sesuai kebutuhan dan jaringan menjadi lebih mudah dikelola
dengan setiap switch tambahan.

2.3.

Kegiatan Dasar dan Contoh Komunikasi Jaringan Ethane

Dengan menempatkan semua elemen bersama-sama, kami mengamati

lima kegiatan dasar yang menentukan bagaimana elemen-elemen jaringan

Ethane bekerja dan berkomunikasi, dapat dilihat pada Gambar 1 untuk lebih
detailnya.

Gambar 1 Contoh komunikasi pada jaringan Ethane

a) Registration : Pendaftaran switch, user, dan host.

20

Semua switch, user, dan host harus terdaftar di Controller untuk

mengontentikasi mereka agar dapat dipercaya. Kepercayaan tergantung
pada mekanisme otentikasi yang dipakai. Misalnya, host dapat diotentikasi
melalui alamat MAC mereka, user dapat diotentikasi melalui username dan
password, dan switch melalui sectifikat yang aman. Semua switch juga
dapat dikonfigurasi dengan tujuan mengotentikasi Controller (Misalnya,
dengan public key Controller)
b) Bootstrapping : Pembuatan saluran yang aman menuju controller, untuk
mengirimkan informasi linkstate dan informasi lain yang digunakan.
Konetivitas Switch bootstrap dengan menciptakan spanning tree yang
berakar pada Controller. Ketika spanning tree dibuat, setiap switch
melakukan otentikasi dengan membuat saluran yang aman untuk
Controller. Setelah saluran aman terbentuk, switch mengirimkan informasi
linkstate kepada Controller, dan informasi yang dikumpulkan digunakan
untuk merekonstruksi topologi jaringan.
c) Authentication: Mekanisme pengamanan apakah switch, user, dan host
dapat mengakses jaringan melalui id masing-masing. Authentication
Switch menggunakan sertifikat, Authentication User menggunakan
username dan password, dan Authentication Host menggunakan Switch.
Berikut merupakan mekanismenya:
1) User A bergabung di jaringan dengan host A. Karena tidak adanya
lairan data yang masuk di switch 1 untuk host baru, maka secara
otomatis paket yang masuk ke host A akan langsung diarahkan ke
Controller.
2) Host A mengirimkan DHCP request pada Controller, setelah mengecek
alamat MAC host A, maka Controller memberikan sebuah alamat IP
untuk host A (IP A) yang mengikat antara host A dan IP A, IP A dan
alamat MAC A, dan alamat MAC A dan port fisik di switch 1.
3) User A membuka sebuah web browser, yang mana trafficnya langsung
ke Controller, kemudian melakukan otentikasi melalui web form, ketika
telah terotentikasi user A terikat dengan host A.
d) Flow Setup : Mekanisme penentuan apakah paket diperbolehkan untuk
dialirkan meuju tujuan. Berikut merupakan mekanisme dari flow setup:

20

1) User A menginisiasi sebuah koneksi ke user B (dimana user B telah

terotentikasi serupa dengan user A). Swich 1 melanjutkan paket
kepada Controller setelah mendapati paket tersebut tidak cocok
dengan apapun yang berada pada daftar flow table.
2) Setelah menerima paket, Controller memutuskan apakah paket ini
diperbolehkan atau tidak untuk dialirkan, atau mengarahkan kemana
paket ini harus melintas.
3) Jika aliran diperbolehkan, maka Controller mengkomputasikan rute
yang harus dilalui termasuk menentukan kebijakan / aturan untuk
menunjukkan arah rute. Controller menambahkan daftar baru pada
flow table di semua swich sesuai rute yang dituju.
e) Forwarding : Mekanisme penerusan paket ke suatu tempat tujuan sesuai
dengan arahan dari controller. Berikut merupakan mekanismenya:
1) Jika Controller memperbolehkan sebuah rute, ia mengirimkan paket
kembali ke switch 1, dimana disana akan diteruskan ke rute sesuai
daftar baru yang telah ditambahkan tadi. Selanjutnya jika ada paket
yang serupa tidak perlu melalui Controller lagi.
2) Daftar aliran tersebut tersimpan sempai waktu yang ditentukan habis
atau hak akses dicabut oleh Controller.

2.4.

Desain Ethane

Gambar 2 Contoh Desain Perancangan Ethane

20

Pada gambar 2 menunjukkan desain dari Ethane network. Host terakhir

tidak di ubah dan dihubungkan dengan kabel Switch Ethane atau dihubungkan
dengan akses point Ethane. Ketika kita menambahkan sebuah Switch Ethane ke
jaringan, Switch Ethane harus menemukan Controllernya, buka channel yang
aman dan bantu Controller menemukan topologinya, hal ini dilakukan dengan
sedikit merubah algoritma spanning tree. Hasilnya adalah Contoller mengetahui
seluruh topologinya, saat masing-masing Switch hanya mengetahui bagian
tersebut.
Ketika kita menambahkan (atau membuang) sebuah host, host itu harus
meng-autentikasi dirinya sendiri dengan Controller. Dari sudut pandang Switch,
paket dari host yang baru adalah bagian dari aliran baru, dan paket itu otomatis
diteruskan ke Controller dalam channel yang aman, bersamaan dengan ID dari
port

Switch

dimana

mereka

tiba.

Controller

mengautentikasi

host

dan

mengalokasikan IP address (Controller termasuk server DHCP)

2.4.1. Switches
Sebuah kabel Switch Ethane tampak seperti Switch Ethernet yang
disederhanakan.
mengirim

dan

Switch Ethane memiliki

menerima

paket

Ethernet

tampilan
seperti

seperti Ethernet yang

biasa.

Secara

internal,

bagaimanapun juga, Switch Ethane lebih sederhana, karena terdapat beberapa

hal yang dilakukan Switch Ethernet dan tidak dibutuhkan oleh switch Ethane.
Sebuah Switch Ethane tidak butuh mempelajari pengalamatan, dukungan VLAN,
mengecek sumber address spoofing, atau menyimpan statistic flow-level. Switch
Ethane tidak perlu menjalankan protocol routing seperti OSPF, ISIS dan RIP, juga
tidak membutuhkan dukungan yang terpisah untuk SPAN dan port replication (ini
ditangani langsung oleh flow table dibawah arah Controller).
Hal penting lainnya adalah bahwa flow table besarnya bisa lebih kecil dari
forwarding

table pada Switch Ethernet. Pada Switch Ethernet, tabel di ukur

untuk meminimalkan lalu lintas broadcast. Akibatnya, sebuah Switch Ethernet

butuh mengingat semua alamat yang didapat. Di sisi lain switch Ethane hanya
perlu melacak perkembangan arus. Untuk wiring closet, ini seperti beberapa
ratus entri pada satu waktu, cukup kecil untuk di adakan di Switching Chip. .

Flow Table dan Flow Entries : Switch data path adalah

flow table yang

dikelola. Flow entries mengandung Header (untuk mencocokkan dengan

lawan paket), dan aksi (untuk memberitahu switch apa yang harus

20

dilakukan terhadap paket) dan Per-Flow Data (yang akan dijelaskan di

bawah)
Hanya Controller yang dapat menambahkan entri ke flow table. Entri bisa
dihapus karena waktu aktifnya telah habis atau karena dicabut oleh
Controller.

Controller

mungkin

bisa

mencabut

satu,

atau

mungkin

menghapus seluruh kelompok arus milik host yang menyimpang, host

yang baru saja meninggalkan jaringan, atau host yang haknya baru saja

berubah.
Local Switch Manager : Switch membutuhkan local manager yang kecil
untuk membangun dan merawat secure channel ke Controller, untuk
memonitor status link, dan untuk menyediakan tampilan untuk setiap
penambahan

manajemen

spesifikasi

Switch

dan

diagnose.

(kami

mengimplementasikan pengaturan ini pada software layer Switch).

2.4.2. Controller
Controller adalah otak dari jaringan dan mempunyai banyak tugas,
gambar 3 tentang block-diagram. Komponen tidak perlu ditempatkan pada
mesin yang sama (dan memang mereka tidak kami implementasikan).

Gambar 3 Komponen Controller

Secara

singkat,

komponen

bekerja

sebagai

berikut.

Authentication

component melewatkan semua traffic dari yang tidak berkepentingan atau tidak
terikat dengan MAC address. komponen mengautentikasi user dan host
menggunakan perintah yang tersimpan dalam database registrasi. Sekali host
atau user melakukan autentikasi, Controller akan mengingat yang mana port
Switch yang telah terhubung.

20

Controller memegang kebijakan file, yang telah disusun menjadi tabel

pencarian (lihat bagian IV). Ketika aliran baru dimulai, controller melakukan
pengecekan ulang terhadap aturan untuk melihat jika aliran itu harus diterima,
ditolak, atau di arahkan melalui waypoint. Selanjutnya, perhitungan route
menggunanakan topologi jaringan untuk memilih rute aliran. Topologi dikelola
oleh Switch Manager, yang menerima update link dari Switch.
Berikut merupakan penejelasan terhadap komponen controller:

Registration : Semua entitas yang telah dinamai oleh jaringan (yaitu, host,
protocol, Switch, user, dan access point) harus sudah terdaftar. Kumpulan
entitas yang telah didaftarkan membuat kebijakan namespace dan
digunakan

untuk

memeriksa

kebijakan

statis

(bagian

IV)

untuk

memastikan itu sudah dinyatakan atas prinsip yang berlaku.

Authentication : Semua Switch, host, dan user harus

melakukan

autentikasi

mekanisme

dengan

jaringan.

Ethane

tidak

menetukan

autentikasi tertentu, sebuah jaringan dapat mendukung banyak metode

autentikasi (misalnya 802.1X atau login user yang tidak jelas) dan
menggunakan metode entity-specific. Contohnya pada implementasi kami,
host melakukan autentikasi dengan menggunakan MAC address yang
terdaftar, sedangkan user melakukan autentikasi melalui Web front-end ke
server Kerberos. Switch melakukan autentikasi menggunakan SSL dengan

sertifikat dari sisi server dan client.

Tracking Blindings : Salah satu fitur dari Ethane yang paling kuat untuk
dapat dengan mudah melacak semua binding antara names, address, dan
physical port dalam jaringan, bahkan sebagai Switch, host, dan user
bergabung, ataupun pergi dan berpindah-pindah di jaringan tersebut.

Pelacakkan ini dilakukan dengan menggunakan flow table pada Switch.

Namespace Interface : Karena Ethane melacak semua binding antara user,
host, dan address, itu dapat membuat informasi tersedia untuk network
manager, auditor, atau siapapun yang berusaha untuk mengetahui siapa

yang mengirim paket, paket apa yang dikirim dan kapan.

Permission Check and Access Granting : Selama menerima paket,
Controller melakukan pengecekan aturan untuk melihat aksi apa yang
dilakukan. Hasilnya (jika flow di ijinkan) akan diteruskan ke komponen
route-computation

yang

menentukan

jalur yang

diberi

oleh

policy

constraint.

20

2.5. Tugas dai Jaringan Ethane

2.5.1. Meng-handle Broadcast and Multicast
Jaringan Perusahaan biasanya memiliki banyak multicast dan broadcast
traffic. Dalam sebuah jaringan flow-based seperti Ethane, itu cukup mudah untuk
Switch mengatasi multicast, Switch menjaga bitmap untuk setiap flow untuk
mengindikasikan port yang mana yang membawa paket yang dikirim sepanjang
jalur.

Controller

dapat

menghitung

broadcast

atau

multicast

tree

dan

menetapkan bit yang sesuai selama pengaturan jalur.

Pada prinsipnya, broadcast menemukan protocol yang juga mudah untuk
dikendalikan di dalam Controller. Biasanya, sebuah host mencoba untuk
menemukan sebuah server atau address. Ini memberikan solusi yang mudah
untuk ARP traffic, yang signifikan dari semua traffic jaringan.

2.5.2. Replicating the Controller : Fault-Tolerance dan Scalability

Merancang arsitektur jaringan di sekitar pusat controller menyebabkan
kekhawatiran tentang availability dan scalability. Beberapa Controller diharapkan
dapat menangani fault-tolerance untuk skala jaringan yang sangat besar. Untuk
dapat mewujudkan hal tersebut perlu melakukan replikasi dari controller. Dengan
demikian, strategi replikasi adalah untuk menyeimbangkan beban flow diantara
replica controller, dan memastikan bahwa binding dan topologi jaringan masih
tetap konsisten menggunakan protocol standart.
2.5.3. Mengatasi Link Failures
Penanganan link-failure yang tepat dapat membuktikan bahwa jaringan
tersebut bagus untuk digunakan. Dalam mengatasi link-failures, jaringan ethane
menggunakan controller dan switch. Perlu diingat bahwa Switch selalu mengirim
pesan neighbor-discovery untuk melacak link-state. Ketika link mengalami
kesalahan, Switch menghapus semua flow table entri ke port yang gagal dan
mengirim informasi link-state yang baru ke Controller. Dengan cara ini Controller
juga mempelajari topologi baru. Ketika paket tiba untuk menghapus flow-entri
pada Switch, paket dikirim ke Controller untuk flow yang baru, dan Controller
menghitung dan menginstal jalur baru

berdasarkan topologi yang baru

dihasilkan.

20

2.5.4. Membuat dan Menerapkan Policy

Persyaratan penerapan jaringan Ethane di dalam suatu perusahaan atau
instansi

adalah

bahasa

yang

digunakan

untuk

kebijakan/aturan(policy).

Sementara itu secara konseptual jaringan Ethane independen kebijakan/aturan,

sehingga agar lebih praktis harus dirancang sebuah bahasa yang digunakan
untuk medefiniskan kebijakan/aturan(policy). Untuk itu dikembangkan bahasa
berbasis DATALOG yang disebut FSL(Flow-based Security Language). FSL
mendukung pendistribusian authorship, pengupdatean secara incremental, dan
memberikan solusi otomatis untuk berkas kebijakan / aturan pada jaringan itu
sendiri.
FSL juga membutuhkan domain yang valid(seperti: apsrc, apdst, hrsc,
hdst, usrc, udst, tpsrc, tpdst, dan protocol) untuk menunjukkan sumber atau jalur
akses yang dituju, protocol host, user, dan aliran. Aliran juga dapat dijelaskan
oleh predikat booelan isConnRequest() dan isConnResponse() untuk pengkodean
peran aliran searah dalam pengaturan koneksi yang lebih besar. Hal ini
digunakan untuk membatasi koneksi host dari luar maupun dari dalam, seperti
NAT selayaknya, dan membatasi server untuk membuat koneksi outbound pada
akhirnya.

Contoh FSL

Dalam

Prakteknya,

kebijakan

aturan

FSL

ini

dinyantakan

sebagai

serangkaian aturan, yang masing masing terdiri dari kondisi dan tindakan
yang sesuai. Misalnya, aturan untuk menentukan user bob diperbolehkan
melakukan komunikasi dengan web server menggunakan HTTP adalah :
[allow () <= usrc(bob)tpdst(http)
hdst (websrv)]
Hal ini merupakan sebuah kondisi dimana merupakan gabungan dari satu
atau

lebih

literal

yang

menggambarkan

suatu

tindakan

yang

harus

diterapkan. Dari contoh sebelumnya, jika user yang sedang menginisiasi

adalah bob dan protocol transport tujuan aliran HTTP dan tujuan aliran
adalah host websrv, maka aliran diperbolehkan. Secara umum, predikat
fungsi (contoh : usrc) adalah domain yang mengikat, dan argumen yang ada
adalah entitas dalam domain yang dimana aturan diterapkan. Contoh, literal
USRC (bob) berlaku untuk semua aliran dimana user awal adalah bob.

20

BAB III
PROTYPE DAN DEPLOYMENT

Penelitian ini telah membangun dan menerapkan 2 fungsional jaringan

Ethane. Penerapan pertama ialah di Stanford University dimana Ethane
menghubungkan lebih dari 300 host dan ratusan user yang terdaftar, dan juga
menggunakan 19 switch baik menggunakan kabel maupun nirkabel. Penerapan

20

kedua ialah pada jaringan di bisnis kecil yang mengelola lebih dari 30 host. Disini
kami akan menjelaskan prototype dari Ethane dan beberapa aspek yang terkait
didalamnya.
3.1.

Switch
Pada penelitian ini telah dibangun empat switch Ethane berbeda : Sebuah

802.11g wireless access point (berdasarkan komersial access point), sebuah 4port Ethernet Switch Gigabit kabel yang meneruskan paket di line-speed
(berdasarkan pada NetFPGA programmable switch platform dan tertulis di
Verilog), Sebuah 16-port Ethane switch kabel yang bekerja pada perangkat
jaringan, dan 4-port Ethernet Switch kabel di Linux untuk desktop PC.
Berikut

merupakan

pendefinisian

setiap

prototype

switch

yang

diimplementasikan secara detail :

-

Ethane Wireless Access Point. Access point kamu berjalan pada

sebuah Linksys WRTSL54GS wireless router (266 MHz MIPS. 32MB RAM)
running OpenWRT. Datapath dan Flow Table berdasar pada 5K baris C++
(1.5K untuk flow table). Local switch manager tertulis pada software dan
berkomunikasi kepada Controller menggunakan native Linux TCP stack.
Saat dijalankan di dalam kernel, kecepatan berjalan Ethane mencapai 23
Mb/s, kecepatan yang sama seperti Linux IP forwarding dan L2 bridging.

Ethane 4-port Gigabit Ethernet Switch: Hardware Solution. Switch

ini diimplementasi pada NetF{GA v2.0 dengan 4 Gigabit Ethernet port,
sebuah Xilinx Virtex-II FPGA, dan 4 MB dari SRAM untuk packet buffer dan
flow table. Jalur hardware terusan terdiri dari 7K baris Verilog, Aliran
masuk sepanjang 40 byte. Hardware ini dapat meneruskan ukuran
minimum paket pada satu garis dengan kecepatan mencapai 1 Gb/s

Ethane

4-Port

Gigabit

Ethernet

Switch

: Software

Solution.

Penelitian ini juga membangun sebuah sebuah switch dari sebuah desktop
PC biasa (1.6 GHz Celeron CPU dan 512 MB DRAM) dan sebuah 4-port
Gigabit Ethernet card. Jalur terusan dan flow table diimplementasikan
untuk duplikasi (dan

juga membantu untuk debug) pada hardware.

Software switch berada di kernel mode yang dapat meneruskan paket

ukuran MTU secepat 1 Gb/s

20

Ethane 14-Port Ethernet Switch. Penelitian ini dapat menjalankan

modul kernel Linux yang tidak dimodifikasi pada 14-port Portwell Kilin6030. Pengaplikasian jaringan berdasar pada 16-core Cavium Octeon
CN3860 processor. Keuntungan dari platform ini adalah memori DRAM
standar dapat digunakan untuk melakukan pencarian aliran, sehingga
dapet mendukung berapapun jumlah aliran data yang masuk. Hal ini jelas
membuatnya lebih cepat.

Ethane 48-Port Ethernet Switch. Penelitian ini melakukan penomoran

port Ethane ke sebuah komersial 48-port switch yang berjalan pada
sepasang chip Broadcom BCM56514. Untuk menjalankannya dengan cara
memodifikasi firmware agar modul kernel Linux Etana dapat berjalan di
CPU on-board 1-GHz. Selain menambahkan aliran pada software, modul
pertama mencoba memasukkan aturan ke dalam switching chips ACL
engine. Ketika seluruh 4096 aturan telah dijalankan, Ethane akan langsung
menggunakan software flow entries. Selama aturan cocok didalam
hardware, swtch dapat mensupport semua 48 port dengan kecepatan
1Gb/s.

3.2.

Controller

Pada penelitian ini telah diimplementasikan Controller pada sebuah PC linux

standar (1.6 GHz Celeron CPU dan 512 MB DRAM). Controller berdasar pada 45K
baris C++ ( dengan tambahan 4K baris yang dihasilkan oleh policy compiler) dan
4.5K baris Phyton untuk manajemen interface.
1) Registration : Switch dan host terdaftar menggunakan web interface ke
Controller dan registry dikelola pada database standar. Untuk switch,
metode otentikasinya ditentukan pada saat pendaftaran. User terdaftar
menggunakan layanan standar direktori dai Universitas kami.
2) Authentication : Pada sistem kami. Otentikasi user menggunakan sistem
otentikasi dari universitas kami, yang menggunakan Kerberos dan
sebuah university-wide registry of username and password. Otentikasi
user melalui web interface, ketika mereka pertama kali terhubung pada
browser yang diteruskan ke halaman web untuk login. Pada umunya,
berbagai skema otentikasi dapat digunakan. dan sebagian besar
perusahaan telah memiliki infrastruktur otentikasi sendiri. Switch Ethane,
20

menjadi pilihan otentikasi host berdasarkan alamat MAC mereka yang

telah terdaftar pada Controller.
3) Bind Journal and Namespace Interface ; Log Binding Controller ketika
mereka dipasang atau dilepas atau ketika mereka memutuskan untuk
diam pada kondisi tertentu, setiap informasi yang masuk di log itu diberi
timestamp/ Kam menggunakan Berkeley DB untuk log. Log menjadi
mudah untuk menentukan kondisi disetiap waktu. Kami meningkatkan
DNS

server

kami

untuk

mendukung

perrmintaan

dalam

bentuk

key.domain.type-time, dimana type bisa jadi itu host, MAC, atau

port.
4) Route Computation : Rute yang belum dikomputasi menggunakan all
pairs

shortest

path

algoritm.

Perhitungan

kembali

topologi

pada

kegagalan link itu ditangani dengan perbaharuan komputasi secara

dinamis dengan perbaharuan link-state yang telah dimodifikasi. Malah
untuk topologi yang besar, kecepatan untuk melakukan pembaharuan
kegagalan

rute

itu

sangatlah

cepat.

Contohnya,

biaya

rata-rata

pembaharuan pada topologi 3000-node adala 10ms.

3.3.

Pembuatan dan Penerapan Policy

Peneltian ini telah menerapkan FSL pada Ethane. Compiler ditulis pada

Pyton dan menghasilkan sturktur C++ lookup level rendah yang dilalui pada saat
runtime. Pada implementasi kami memungkinkan melakukan perubahan dinamis
dari kebijakan / aturan maupun dari kelompok entitas.
Pada benchmark menggunakan traffic yang telah dibentuk, implementasi
kami

menjalankan

mendukung

file

kebijakan/aturan

pengecekkan

izin

sampai

internal
90.000

yang

kami

aliran/detik.

susun
Selain

yang
itu

implementasi kami mempertahankan memori footprint yang relative sederhana

sampai yang rumit. Sebuah file dengan kebijakan / aturan sebanyak 10.000 buah
memiliki besar kurang lebih dari 57MB.

20

Gambar 4 Contoh Aturan Menggunakan FSL

Gambar 4 adalah daftar (diprioritaskan) set aturan yang berasal dari salah
satu proyek yang sedang kami kerjakan. Dalam kebijakan / aturan ini semua
aliran yang tidak cocok akan ditolak dan tidak diperbolehkan, juga
menerapkan kebijakan / aturan keamanan
ditunjukkan dengan default off.

yang agak longgar yang

Informasi sser yang belum terotentikasi

pada menggunakan laptop akan dikirimkan ke web portal untuk diotentikasi.

Server dan printer tidak diperbolehkan untuk melakukan koneksi. Laptop dan
mobile device dilindungi dari aliran inbound (mirip dengan perlindungan oleh
NAT), sementara workstation dapat berkomunikasi tanpa batasan.

20

BAB IV
HASIL PENGUJIAN DAN ANALISIS
Membangun Ethane telah mengajarkan banyak hal tentang bagaimana
operasi dari pengaturan jaringan terpusat(centrally managed network), yang
secara tidak langsung memungkinkan kita untuk mengevaluasi banyak aspek
dari segi performance(kinerja) dan skalabilitas, terutama berkenaan dengan
jumlah pengguna, end-host, dan switches. Evaluasi dari performance dan
skalabilitas dimulai dengan bagaimana ethane bekerja pada jaringan, kemudian
dengan membandingkan hasil pengukuran dan data dari sumber lainnya. Hal ini
dilakukan untuk memperkirakan kinerja dari ethane dalam cakupan jaringan
yang besar.

4.1.

Skalabilitas Controller

Prototype yang digunakan dalam penelitian ini menggunakan sekitar 300 host,
dengan rata-rata 120 host yang aktif setiap 5 menit sekali.

20

Gambar 5 Frekuensi dari Flow Requests per second Kepada Controller

Selama 10 jam(atas) dan selama 4 hari(bawah).
Dapat dilihat pada gambar 5 di atas terdapat 30-40 flow request baru per second
dari host-host yang aktif, dengan puncak nilai tertinggi sebesar 750 flow request
per second.

Gambar 6 Flow Response time sebagai sebuah fungsi dari beban

Controller. Ukuran paket yang umumnya disitribusikan berkisar 64, 128,
dan 256 B.

Gambar 6 di atas menunjukkan bagaimana Controller bekerja di bawah beban

standar. Bebannya sampai 11.000 flows per second, lebih besar dari beban
puncak yang telah diamati sebelumya. Ini merupakan hal terburuk bagi
Controller karena flows terbentuk dalam waktu kurang dari 1,5 ms, dan CPU
mengabaikan beban yang berlebih.

20

Dari hasil penelitian ini menunjukkan bahwa Controller tunggal bisa dengan
nyaman menangani 10.000 flow request baru per second. Sebenarnya jumlah
flow request ini

dapat ditingkatkan

lagi jika lebih

berkonsentrasi pada

optimalisasi desain. Dengan hasil yang diperoleh ini, ada baiknya untuk
mengetahui berapa banyak end-hosts agar tidak ada beban yang diabaikan.

Gambar 7 Nilai flow request pada Jaringan Stanford University

Penelitian ini mengambil dataset dari 7000-host di jaringan Stanford University,
yang mencakup semua arus internal dan arus keluar (tidak termasuk broadcast).
Dapat

disimpulkan

bahwa

keadaan

jaringan

selama

pengumpulan

data,

maksimal di bawah 9000 flow request baru per second (Lihat Gambar 7).
Sangat mengejutkan, hasil penelitian ini menunjukkan bahwa Controller tunggal
akan dengan mudah dan nyaman untuk mengelola jaringan dengan jumlah host
lebih dari 5000 host tanpa memerlukan replikasi. Besarnya flow latency untuk
beban secara continue untuk 6000 request per second adalah kurang lebih 0.6
ms, yang tentunya harus equivalent dengan rata-rata latency dari sebuah DNS
request melalui jaringan Stanford University.
Besarnya flow latency untuk beban di bawah 2000 request per second adalah 0.4
ms, setara dengan RTT antara masing-masing host di dalam subnet yang
berbeda pada Stanford University.

4.2.

Performance Selama Failures

20

Bagian ini menjelaskan berapa lama waktu yang dibutuhkan dalam menginstal
ulang flows, penelitian ini mengukur untuk penyelesaian 275 kali request HTTP
berturut-turut, menghabiskan total 63 MB. Selama request sedang berlangsung,
Controller mengalami crashed dan melakukan restart beberapa kali. Tabel I
menunjukkan dengan jelas bahwa ada konseskuensi waktu tambahan untuk
masing-masing failures, yakni kenaikan sekitar 10 % untuk waktu penyelesaian
keseluruhan. Hal ini sebenarnya dapat dihilangkan atau diminimalisir, dengan
syarat bahwa controller jaringan yang digunakan mempunyai fitur warm-standby
atau fully-replicated sehingga dapat dengan cepat menangani failure yang
terjadi(lihat bagian III-E).
Link failures dalam Ethane membutuhkan active flows untuk memanggil
controller agar menstabilkan path. Jika link tersebut sering digunakan, maka
Controller akan menerima banyak request sehingga berdampak penurunan
kinerja controller.
Penelitian ini menciptakan topologi dengan menggunakan path yang berlebih,
sehingga jaringan dapat menahan link failures yang terjadi dan mengukur
latency yang dialami oleh paket.
Failures disimulasikan ketika link atau path secara fisik dicabut, yang ditunjukkan
pada Gambar 9. Dalam semua kasus, path dapat bertemu kembali dibawah 40
ms, tetapi sebuah paket dapat mengalami delay dalam beberapa second sampai
controller selesai menangani request yang berlebih.
Pada penelitian ini terdapat kebijakan jaringan untuk mengijinkan beberapa path
yang terputus(disjoint) diatur oleh controller ketika flow dibuat. Dengan cara ini,
konvergensi(penemuan path) dapat dilakukan lebih cepat selama tejadi failures,
terutama jika switches gagal untuk menggunakan backup flow-entry. Kebijakan
ini belum diterapkan dalam prototipe penelitian ini, tapi digunakan untuk
perencanaan ke depannya lagi.

20

4.3.

Ukuran Tabel Aliran (Flow Table)

Pada bagian ini akan membahas seberapa besar ukuran tabel aliran(Flow table)
yang diperlukan oleh Switch. Idealnya, switch dapat menampung semua aliran
aktif(aktif flow).

Gambar 8 Active Flows Melalui Switches

Gambar 9 Penghitungan Rount-trip Latency dengam Topologi Diamond

Gambar 8 menunjukkan berapa banyak flow aktif yang tersebar dan ditemukan
pada penelitian Ethane ini; Hasilnya tidak pernah melebihi 500 flow aktif. Dengan

20

menggunakan tabel entri sejumlah 8192 dan dua fungsi tabel hash, tidak pernah
mengalami tabrakan(collision).
Dalam prakteknya, jumlah flow yang sedang berlangsung tergantung di mana
posisi Switch dalam jaringan. Jika posisi switch lebih dekat dengan edge(ujung
jaringan), maka akan melihat jumlah flow yang sebanding dengan jumlah host
yang terhubung ke fanout. Penelitian ini menggunakan jaringan universitas,
dimana switch yang digunakan memiliki empat fanout dan mampu melihat tidak
lebih dari 500 flow. Sehingga diharapkan dengan menggunakan fanout dengan
jumlah 64 pada switch, maka akan mampu untuk melihat beberapa ribu flow
aktif. Sebuah switch yang berada di pusat jaringan akan mampu melihat
beberapa aktif flow, dan diperkirakan mampu melihat semua aktif flow yang ada
pada jaringan.
Dari angka-angka ini , dapat disimpulkan bahwa Switch untuk cakupan jaringan
di suatu universitas harus memiliki flow table yang mampu menampung 8.00016.000 entry.
membutuhkan

Asumsikan bahwa setiap entry adalah 64 B, setiap flow table

sekitar

MB

penyimpanan,

atau

sebanyak

MB

jika

menggunakan skema two-way hashing[17].

4.4.

Kelemahan Ethane
Dari hasil pengujian yang diperoleh terdapat beberapa kelemahan dan

keterbatasan

yang

muncul

ketika

mencoba

untuk

menggunakan

dan

menerapkan arsitektur baru ke dalam jaringan yang sudah ada sebelumnya. Halhal yang menjadi isu utama tersebut adalah sebagai berikut:

Broadcast dan Layanan Discovery

Jaringan ethane menerjemahkan protocol dan respon, sehingga perlu untuk
melakukan request broadcast kepada semua responden. Protokol broadcast
discovery(seperti:ARP, OSPF neighbor discovery/penemuan tetangga, dll.)
menimbulkan kerusakan pada jaringan perusahaan karena menghasilkan
traffic yang besar dan melebihi batas[18], [19].

20

Untuk

mengatasi

keterbatasan

ini

mungkin

dilakukan

dengan

cara

menghilangkan protokol broadcast discovery jika terdapat cara standar untuk

membuat daftar layanan mana yang mudah ditemukan.
-

Routing pada Layer Application

Keterbatasan dari jaringan Ethane adalah bahwa ia harus percaya pada endhost bukan terhadap relay traffic sehingga membuat jaringan Ethane
melanggar

kebijakan

jaringan.

Ethane

mengontrol

konektivitas

menggunakan Ethernet dan alamat IP dari masing-masing end-point, tetapi

aturan/ kebijakan Ethane dapat dilanggar oleh komunikasi pada layer yang
lebih tinggi. Ilustrasi seperti berikut: jika A diizinkan untuk berkomunikasi
dengan B, tetapi A tidak boleh berkomunikasi terhadap C. Kemudian jika B
diizinkan berkomunikasi dengan C, maka secara tidak langsung B dapat
menyampaikan pesan dari A ke C.
Masalah ini sulit untuk diselesaikan, dan cara yang mungkin dilakukan untuk
mengatasinya adalah dengan melakukan perubahan dalam sistem operasi
dan beberapa mesin virtual yang berjalan pada host.
-

Mengetahui Apa yang User Lakukan.

Jaringan Ethane dapat mengetahui apa yang user lakukan melalui port yang
digunakan. Contoh: port 80 berarti HTTP, port 25 berarti SMTP, dan
sebagainya. Dampak yang terjadi adalah malicious user(pengguna yang
jahat) dapat menipu Ethane untuk menyetujui menggunakan port yang tidak
standar.
Untuk mengatasi hal tersebut dapat dilakukan dengan memasukkan aplkasi
proxy

bersamaan

dengan

penemuan

path.(menggunakan

mekanisme

Ethanes waypoint).
-

Spoofing Ethernet Address.

Jaringan Ethane dapat tertipu ketika suatu host menyamar sebagai host lain
yang mempunyai akses di dalam jaringan.
Hal ini dapat dengan mudah dicegah dalam Ethane, salah satu caranya
adalah dengan mengetahui jumlah end-host yang terhubung pada port
Switch yang sama. Jika terdapat dua atau lebih end-host pada port switch
yang sama, maka ada indikasi terjadi spoofing MAC address dimana salah

20

satu host menyamar sebagai host lain yang mempunyai akses di dalam
jaringan.
Cara lain yang mungkin lebih praktis untuk menghadapi masalah ini adalah
dengan menggunakan 802.1X yang di dalamnya menerapkan mekanisme
enkripsi

link-level,

seperti

802.1AE,

atau

untuk

lebih

aman

dengan

mengotentikasi paket dan alamat.

BAB III
PENUTUP

20

3.1.

Kesimpulan
Dari hasil penelitian pada paper ini menunjukkan bahwa dengan beralih ke

ethane akan secara signifikan lebih sederhana, lebih mudah, dan daya yang
digunakan lebih rendah bila dibandingkan switch ethernet dan router pada saat
ini.
Dari hasil penelitian paper ini juga ditemukan fakta bahwa keuntungan
yang paling signifikan dari ethane adalah kemudahan untuk berinovasi dan
berevolusi. Hal ini dikarenakan karena ethane lebih mudah untuk menambahkan
fitur baru di dalam suatu jaringan, seperti memperluas aturan(policy language),
menambahkan algortima routing yang baru(seperti mendukung redundant
disjoint path), atau memperkenalkan proxy baru sebagai titik arah(waypoints).
Dari hasil penelitian pada paper ini menunjukkan bahwa controller tunggal
dapat mengelola ribuan mesin, sehingga menjadi pertanda baik bagi siapa pun
yang memiliki wewenang untuk mengelola controller.

DAFTAR PUSTAKA
20

[1] D. Caldwell, A. Gilbert, J. Gottlieb, A. Greenberg, G. Hjalmtysson, and J.

Rexford, The cutting edge of IP router configuration,Comput.Commun. Rev.,
vol. 34, no. 1, pp. 2126, 2004.
[2] T. Roscoe, S. Hand, R. Isaacs, R. Mortier, and P. Jardetzky, Predicate routing:
Enabling controlled networking,Comput. Commun. Rev., vol.33, no. 1, 2003.
[3] G. Xie, J. Zhan, D. A. Maltz, H. Zhang, A. Greenberg, and G. Hjalmtysson,
Routing design in operational networks: A look from the inside, inProc.
SIGCOMM, Sep. 2004, pp. 2740.
[4] A. Wool, The use and usability of direction-based filtering in
firewalls,Comput. Security, vol. 26, no. 6, pp. 459468, 2004.
[5] A. Wool, A quantitative study of firewall configuration errors,Computer, vol.
37, no. 6, pp. 6267, 2004.
[6] Z. Kerravala, Configuration management delivers business resiliency, The
Yankee Group, Nov. 2002.
[7] Alterpoint,[Online]. Available: http://www.alterpoint.com/
[8] D. Caldwell, A. Gilbert, J. Gottlieb, A. Greenberg, G. Hjalmtysson, and J.
Rexford, The cutting edge of IP router configuration,Comput. Commun. Rev.,
vol. 34, no. 1, pp. 2126, 2004.
[9] A. Greenberg, G. Hjalmtysson, D. A. Maltz, A. Myers, J. Rexford, G. Xie, H. Yan,
J. Zhan, and H. Zhang, A clean slate 4D approach to network control and
management,Comput. Commun. Rev., vol. 35, no. 5, pp. 4154, Oct. 2005.
[10] M. Casado, T. Garfinkel, A. Akella, M. J. Freedman, D. Boneh, N. McKeown,
and S. Shenker, SANE: A protection architecture for enterprise networks, in
Proc. USENIX Security Symp., Aug. 2006, vol. 15, Article No. 10.
[11] T. Hinrichs, N. Gude, M. Casado, J. Mitchell, and S. Shenker, Practical
declarative network management, presented at the ACM Workshop: Res.
Enterprise Netw., 2009.
[12] C. Demetrescu and G. Italiano, A new approach to dynamic all pairs
shortest paths, inProc. STOC, 2003, pp. 159166.

20

[13] L. Lamport, The part-time parliament,Trans. Comput. Syst., vol. 16, no. 2,
pp. 133169, May 1998.
[14] NetFPGA,[Online]. Available: http://NetFPGA.org
[15] OpenWRT,[Online]. Available: http://openwrt.org/
[16] BerkeleyDB,[Online]. Available: http://www.oracle.com/database/berkeleydb.html
[17] A. Z. Broder and M. Mitzenmacher, Using multiple hash functions to
improve IP lookups, in Proc. IEEE INFOCOM, Apr. 2001, pp. 14541463.
[18] R. J. Perlman, Rbridges: Transparent routing, inProc. INFOCOM, Mar. 2004,
pp. 12111218.
[19] A. Myers, E. Ng, and H. Zhang, Rethinking the service model: Scaling
Ethernet to a million nodes, presented at the HotNets, Nov. 2004.
[20] J. Rexford, A. Greenberg, G. Hjalmtysson, D. A. Maltz, A. Myers, G. Xie, J.
Zhan, and H. Zhang, Network-wide decision making: Toward a wafer-thin control
plane, presented at the HotNets, Nov. 2004.
[21] P. Newman, T. L. Lyon, and G. Minshall, Flow labelled IP: A connectionless
approach to ATM, inProc. INFOCOM, 1996, vol. 3, pp. 12511260.
[22] S. Ioannidis, A. D. Keromytis, S. M. Bellovin, and J. M. Smith, Implementing
a distributed firewall, inProc. ACM Conf. Comput. Commun. Security, 2000, pp.
190199.
[23] M. Casado, M. J. Freedman, J. Pettit, J. Luo, N. McKeown, and S. Shenker,
Ethane: Taking control of the enterprise, inProc. SIGCOMM, Kyoto, Japan, Aug.
2007, pp. 112.
[24] Microsoft Network Access Protection, [Online]. Available:
http://www.microsoft.com/technet/network/nap/default.mspx
[25] Cisco Network Admission Control,[Online]. Available: http://www.
cisco.com/
[26] Consentry,[Online]. Available: http://www.consentry.com/
[27] Identity Engines,[Online]. Available: http://www.idengines.com/

20