IMPLEMENTASI MIKROTIK PADA

RANCANG BANGUN WAN

Oleh: Luluk Nurcahyadi

7-8 Januari 2016

Venue: SMKN 1 Tambakboyo, Tuban

Tujuan Training
Mempelajari kemampuan RouterOS dan
mengenal macam RouterBOARD
Mempelajari cara implementasi RouterOS
pada Jaringan WAN
Mendapatkan kualifikasi sebagai seorang
MikroTik Network Assosiate yang mampu
mengaplikasikan dalam kehidupan sehari-hari

MIKROTIK ROUTEROS
DAN ROUTERBOARD

MikroTik
MikroTik RouterOS

Software untuk mengubah PC menjadi sebuah

router handal
Diinstall sebagai Sistem Operasi

MikroTik RouterBOARD

Hardware (pengganti PC) yang menggunakan

RouterOS sebagai Sistem Operasinya
Tersedia mulai low-end hingga high-end

Fitur MikroTik RouterOS

Interface

Fisik : Ethernet, SFP, Serial, USB

Wireless : 2.4GHz, 5GHz
Virtual : Bridge, Bonding, VLAN
Tunnel : EoIP, IPIP, PPTP/L2TP, MPLS, PPPoE, OVPN, IPsec

Routing

Static Route, Policy Route, Dynamic Route (OSPF, BGP, RIP)

Firewall

Network Address Translation

Filter Rules, change TTL, Address List

Fitur MikroTik RouterOS

Bandwidth Management

HTB, PFIFO,BFIFO, RED, SFQ, PCQ

Services

Web Proxy, Hotspot, DHCP, DNS

Tools untuk Monitoring dan Diagnostik

Graph, Watchdog, Ping, MAC-Ping, Torch, dsb.

Manajemen User

RADIUS, local user, PPP user, Accounting, AAA

MikroTik RouterBOARD
Hardware yang didesain oleh MikroTik, menggunakan
RouterOS sebagai Sistem Operasinya
Memiliki beragam seri dan interface, yang
disesuaikan dengan kebutuhan

Core Router
Wireless Router
Gateway Router (untuk Warnet, Kantor, dsb.)

Tipe RouterBOARD
RouterBOARD memiliki sistem pengkodean tertentu
Seri/Kelas RouterBOARD

RB433

Jumlah Slot miniPCI

Jumlah Port Ethernet

Kode lain terdapat di bagian belakang tipe

U dilengkapi port USB

A Advanced, biasanya level 4 atau di atasnya
H High Performance, processor lebih tinggi
R dilengkapi Wireless Card embedded
G dilengkapi port Ethernet Gigabit

KONEKSI WIRELESS

Apakah Wireless Itu?

Wireless merupakan koneksi tanpa kabel
(wire-less) dimana data dilewatkan melalui
gelombang (wave) dengan perubahan
frekuensi dan amplitudo
Penggunaan jaringan wireless sangat
tergantung pada penggunaan kartu jaringan
(wireless card) yang merupakan sumber
pemancar (access point) dan penerima
gelombang (station)

Wireless pada MikroTik

RouterOS mendukung beberapa modul radio
(wireless card) yang memungkinkan terjadi
komunikasi melewati udara menggunakan
frekuensi 2.4GHz atau 5GHz
MikroTik menawarkan solusi kompatibel untuk
mendukung standard IEEE 802.11a/b/g/n

802.11a
802.11b
802.11g
802.11n

frekuensi 5GHz, 54Mbps

frekuensi 2.4GHz, 11Mbps
frekuensi 2.4GHz, 54Mbps
frekuensi 2.4GHz atau 5GHz, 300Mbps

Variasi BAND
Double Channel (40MHz) 108Mbps max air rate

2.4GHz-g-turbo
5GHz-turbo

Single Channel (20MHz) 54Mbps max air rate

2.4GHz-20MHz
5GHz-20MHz

Half Channel (10MHz) 27Mbps max air rate

2GHz-10MHz
5GHz-10MHz

Quarter Channel (5MHz) 13.5Mbps max air rate

2GHz-5MHz
5GHz-5MHz

Channel untuk 802.11b/g

Terdapat 11 channel (masing-masing dengan lebar data

22MHz)
Terdapat 3 channel non-overlap (tidak saling mengganggu)
Secara

teori, memungkinkan terdapat 3 Akses Point di lokasi yang

sama tanpa saling interferensi

Channel untuk 802.11a

Terdapat 12 channel (dengan lebar data 20MHz)

Terdapat 5 channel turbo (40MHz)

Frekuensi yang didukung

Secara umum, wireless card mendukung
penggunaan frekuensi berikut :

Untuk 2.4GHz : 2312 2499 MHz

Untuk 5GHz : 4920 6100 MHz

Setiap negara memiliki regulasi tertentu, dan di

MikroTik, hal ini dapat dibatasi pada countryregulation
Custom frequency (superchannel) dapat membuka
semua frekuensi yang dapat digunakan oleh wireless
card

Sejak versi 4.2, superchannel dapat digunakan sebagai

fitur internal

Country-Regulation

Country-Regulation
Pemilihan negara
dimana kita akan
mengimplementasikan
regulasinya

Frequency Mode
Manual-tx-power

Transmit power diatur manual (tidak

menyesuaikan dengan negara tertentu)

Regulatory-domain

Menentukan apakah
akan dipakai pigtail
konektor MAIN atau
AUX

Disesuaikan dengan frekuensi-frekuensi

yang dijinkan di suatu negara

Superchannel

Membuka semua frekuensi yang bisa

disupport oleh wireless card

Bila diisi, akan

otomatis
menyesuaikan txpower agar tidak
melebihi EIRP di
suatu negara

Country Regulation
Karena penggunaan country-regulation
akan mempengaruhi frekuensi kerja dari
Wireless Card, maka sebaiknya AP dan
Station menggunakan Country Regulation
yang sama
Cobalah mengganti country regulation
menjadi

Jepang
USA
Indonesia

Radio Name

Radio Name adalah identitas dari Wireless kita

Radio Name akan muncul pada saat

SCAN
View di Registration Table
Gantilah menjadi
XY_NAMA-ANDA
Dan lihat apa
yang akan
ditunjukkan oleh
Trainer di depan

Konsep Koneksi Wireless

Koneksi terjadi antara Akses Point (AP) dengan
satu (atau lebih) station
Koneksi terjadi bila ada kesamaan SSID (antara
AP dan Station)
AP dan Station harus menggunakan BAND yang
sama
Station akan secara otomatis mengikuti
Frekuensi yang di-set di AP

Sebaiknya regulatory-domain keduanya sama

Bila menggunakan scan-list, maka frekuensi yang
dipilih di AP harus ada di scan-list Station

Koneksi Wireless
Wireless
Access
Point

Wireless
Stations

Mode Interface Wireless

Alignment only
Digunakan hanya untuk
pointing

Ap-bridge
Mode Akses Point
yang akan
memancarkan sinyal
dan dapat
dikoneksikan lebih
dari satu station
Station
Client Wireless. Tidak
memancarkan sinyal namun
bersifat pasti untuk
terkoneksi ke AP Station
tidak dapat di BRIDGE

Bridge
Sama dengan apbridge namun
hanya dapat
dikoneksikan oleh
satu station saja

Mode Interface Wireless

Nstreme-dual-slave
Bila menggunakan DUAL
NSTREME, maka setiap
interface yang akan
dimasukkan ke dalam
NSTREME DUAL harus
menggunakan mode ini
(sebagai slave)

Merupakan mode WDS

(Wireless Distribution
System) akan dibahas
terpisah di materi lain

Station-pseudobridge
(clone)
Merupakan mode station
(client) yang dapat di
BRIDGE
Clone berarti bahwa MAC
Address yang dikenali
adalah MAC Address dari
client ethernet (bukan
WLAN)

Konfigurasi sebagai Station

Konfig sisi CLIENT

Minimum MikroTik
Lisensi Level 3
Yang perlu diisi

Mode = Station
SSID = <sesuai AP>
Band = <sesuai AP>
Scan-list (bila
diperlukan)
Country-regulation =
<AP>

Bila country regulation

atau scan-list diisi,
pastikan sama antara
AP dan Station

Koneksi ke AP SCAN

Pada saat scan dilakukan, koneksi akan terputus

Connect-List

Daftar untuk CLIENT/STATION mengenai AP mana saja

yang boleh (atatu tidak boleh) dikoneksikan

Hanya
akan
konek bila
sinyal
dalam
range ini

ENKRIPS
I (bila
ada)

ENABLE
Connectio
n (boleh
terkoneksi

Connect-List
Untuk
menggunakan
connect list,
DEFAULTAUTHENTICATE
harus di-unchecked

TIDAK
DICENTANG

Konfigurasi Access Point

Konfig di sisi Access
Point (pemancar)

Minimum MikroTik
Lisensi Level 4
Konfigurasikan
Mode = ap-bridge
(bridge)
SSID = <bebas>
Band = <bebas>
Frekuensi =
<bebas>

Bila mode=bridge,
maka hanya bisa
diakses dari 1
station saja

Konfigurasi Access Point

BAND
Band menentukan jenis frekuensi, teknologi dan
lebar pita yang digunakan

Contoh untuk 2.4GHz terdapat beberapa mode

2.4GHz-B/G = 802.11b/g

2.4GHz-B = 802.11b

2.4GHz-10Mhz = halfchannel

2.4GHz-5Mhz = quarterchannel

2.4GHz-b/g/n = 802.11b/g/n

2.4GHz-only-N = 802.11n

2.4GHz-only-G = 802.11g

Konfigurasi Access Point

SECURITY

Konfigurasi ENKRIPSI yang

diaplikasikan ke interface
(dijelaskan terpisah di bab
lain)
Bila di CHECKED
Semua Station yang
memasukkan SSID yang sama
akan langsung terkoneksi
Bila TIDAK CHECKED
Harus melihat pada Access-List
Bila di CHECKED
Semua Station yang berada
dalam AP yang sama dapat
saling berkomunikasi antar
Station secara langsung tanpa
melewati AP
Bila di CHECKED
SSID tidak akan tampil pada
saat di-scan

Wireless AP & Station

Bekerjalah BERPASANGAN
Gunakan WLAN2 untuk melakukan
koneksi Wireless ke Rekan Anda
WLAN2
ACCESS
POINT

WLAN2
STATION

Wireless AP & Station

Untuk koneksi LAYER 3, harus diberikan IP di
masing-masing WLAN2 agar dapat saling
terhubung
Kedua IP harus dalam SUBNET yang SAMA

AB = (XY_Anda) + (XY_Rekan_Anda)
IP WLAN2 =
10.1.AB.1
SUBNET = /24

IP WLAN2 =
10.1.AB.2
SUBNET = /24

Wireless AP & Station

Bila telah bisa saling PING antar IP WLAN2, maka gantilah

frekuensi sehingga didapat hasil terbaik
Ada beberapa TOOLS yang dapat dimanfaatkan
Untuk melihat traffic-traffic yang
lewat di interface ini. Dilihat secara
REAL-TIME dan based on informasi
LAYER 3 (IP, Port, Protokol) dan
pemakaian bandwidth
Digunakan untuk pointing
antenna
Sama seperti SNIFF dalam ethernet,
yaitu untuk melihat secara detail isi
paket (harus ada SNIFF Server untuk
meng-olah datanya)

Wireless Tools

Scan digunakan untuk melihat AP yang sedang

memancarkan sinyal sekaligus besarnya sinyal yang
didapat dan produk yang digunakan

Wireless Tools

Frequency Usage adalah tools untuk melakukan scan

terhadap frekuensi dan melihat utilitasnya

Wireless Tools

Snooper merupakan tools scanning yang lebih detail

dimana dapat dilihat frekuensi tertentu digunakan oleh
Akses Point apa saja dan berapa utilitasnya

Registration Table (Tabel

Registrasi)
Berisi informasi mengenai koneksi

Bila AP = Station-station yang terkoneksi ke AP

Bila Station = AP yang sedang terkoneksi

Registration Table berisi informasi penting

mengenai Sinyal, CCQ, dan lain-lain

Registration Table Items

Signal dari AP/Client
yang diterima oleh
Interface ini
Signal yang
dipancarkan oleh
Interface ini
CCQ (Client Connection
Quality), yaitu nilai yang
menyatakan seberapa besar
kapasitas dari frekuensi yang
dapat digunakan (semakin
tinggi nilainya semakin baik)
Berdasarkan nilai CCQ, dapat
dihitung perkiraan
THROUGHPUT yang
didapatkan

Utility Bandwidth Test

Terdapat utilitas di MikroTik untuk melakukan test

bandwidth sederhana
Untuk bisa menerima Bandwidth Test, Btest Server harus
diaktifkan terlebih dahulu

BTest Server
ENABLED =
menerima request
untuk melakukan
bandwidth test

Diauthentikasikan oleh
Username/Password (di
USERS)

BTest Client
IP
TUJUAN

Direction/Arah
RECEIVE = Download
TRANSMIT = Upload
BOTH = Upload +
Download

Authentikasi
LOGIN/PASSWORD di BTEST
Server

Optimasi Wireless
Cobalah gunakan BTEST untuk test bandwidth
dan carilah frekuensi yang paling optimal

BTEST Server
ENABLED

BTEST CLIENT
RUNNING
Protocol = TCP
Direction =
BOTH

Access List
Seperti halnya connect-list mengatur AP mana
saja yang boleh terkoneksi oleh sebuah CLIENT,
ACCESS-LIST mengatur client (mac-address) apa
saja yang boleh (atau tidak boleh) terkoneksi
pada suatu interface AP
Untuk menggunakan Access-List, pastikan

Default-authenticate pada interface fisik telah

diNONAKTIFKAN

Access List
SYARAT
Mac-address,
interface, dan
berapa bessar
sinyal yang boleh
terkoneksi
Membatasi
bandwidth

Mengatur
JAM koneksi

Default-Authenticate

CHECKED/YES
- Boleh terkoneksi
UNCHECKED/NO
- TIDAK boleh
terkoneksi

Default-Forwarding
CHECKED/YES
Semua client/station
yang terhubung
dapat saling
berkomunikasi antarclient tanpa harus
melalui AP
UNCHECKED/NO
Semua client harus
melewati AP untuk
saling berkomunikasi
antar-client/station

Khusus default-forwarding, bila INTERFACE meng-enable dan

Access-List men-disable, maka yang akan digunakan adalah yang
terdapat di Access List

Enkripsi Wireless
Enkripsi digunakan untuk meningkatkan
keamanan
Metode enkripsi tergantung dari JENIS Wireless
CARD dan OS yang digunakan
MikroTik mendukung enkripsi dengan

WEP
WPA
WPA2
EAP

Enkripsi WPA Profil

Enkripsi didefinisikan pada Security Profile

MODE = dynamickey

PASSWORD
WPA dan
WPA2

Enkripsi WPA Profil

Untuk
membaca/merevie
w Preshared key,
uncheck HIDE
PASSWORD di
bagian kanan atas
Winbox

Enkripsi WPA
Implementasi
dalam Interface

Pilih Profil yang

telah dibuat
(Pastikan AP dan
Station
menggunakan
Profil yang sama)

Enkripsi WPA
Bila menggunakan
connect-list, maka
setting enkripsi
dilakukan di
bagian Connect
List (bukan di
interface station
WLAN)

ROUTING (LAYER 3
CONNECTION)

Route (Koneksi Layer 3)

Route adalah koneksi antara network (jaringan)
yang satu dengan network lain
Koneksi antar-jaringan (berarti Subnet IP yang
berbeda) hanya bisa terjadi dengan bantuan
Router

IP NETWORK
192.168.11.0/2
4

IP NETWORK
10.1.100.0/24

IP NETWORK
192.168.24.0/2
4

Konsep Routing
Destination = tujuan, IP/network yang
ingin dicapai
Gateway = pintu keluar, adalah IP transit
untuk mencapai tujuan (destination)

Gateway harus satu IP Subnet yang sama

dengan IP Subnet yang telah ada di Router

Routing harus dilakukan 2 arah

Konsep Routing
DST-ADDRESS =
192.168.11.0/24
GATEWAY = 10.1.100.4
DST-ADDRESS =
192.168.24.0/24
GATEWAY = 10.1.100.10

IP NETWORK
192.168.11.0/2
4

IP NETWORK
10.1.100.0/24

IP = 10.1.100.4

IP =
10.1.100.10

IP NETWORK
192.168.24.0/2
4

Konsep Routing

IP =
10.4.4.1/24

IP =
10.100.100.10

IP =
172.16.1.1/24

IP = 10.10.10.4
1
3

IP =
172.16.1.2/24
IP =
192.168.1.4

IP =
10.100.100.2

2
IP = 10.10.10.1

IP =
192.168.1.1

IP =
10.4.4.100/24

Konsep Routing
IP =
172.16.1.1/24

1
IP =
172.16.1.2/24
GW =
172.16.1.1

2
IP =
10.4.4.100/24

Konsep Routing
4
IP = 10.10.10.4
1

DST-ADDRESS =
10.4.4.0/24
GATEWAY = 10.10.10.1

2
IP = 10.10.10.1

IP =
10.4.4.100/24

Konsep Routing
4
IP = 10.10.10.4
1
3

IP =
172.16.1.2/24

IP =
192.168.1.4
DST-ADDRESS =
172.16.1.0/24
GATEWAY = 10.10.10.4

DST-ADDRESS =
10.4.4.0/24
GATEWAY =
192.168.1.4

2
IP = 10.10.10.1

IP =
192.168.1.1

IP =
10.4.4.100/24

Konsep Routing

IP =
10.100.100.10

DST-ADDRESS =
_____________
GATEWAY = __________

4
DST-ADDRESS =
_____________
GATEWAY = __________

1
3

IP =
172.16.1.2/24
IP =
192.168.1.4

IP =
10.100.100.2

2
IP =
192.168.1.1

IP =
10.4.4.100/24

Konsep Routing

IP =
10.4.4.1/24

IP =
10.100.100.10
4
DST-ADDRESS =
_____________
GATEWAY = __________

1
3

IP =
172.16.1.2/24

IP =
10.100.100.2
2
IP =
10.4.4.100/24

Routing di MikroTik
Konsep routing di MikroTik juga menggunakan
prinsip dst-address dan gateway

Routing di MikroTik

STATUS
D Dynamic
S Static
A Active
C
Connected
o OSPF
b BGP

DISTANCE
Jarak, melambangkan cost
untuk menuju suatu tujuan.
Semakin kecil distancenya,
maka routing tersebut akan
mendapat prioritas lebih tinggi

Routing di MikroTik
Network/IP Tujuan
Bisa berupa Single IP atau
jaringan subnet
Hop/Router selanjutnya
yang harus dituju. Gateway
selalu merupakan Single IP
Digunakan dalam pencarian
next-hop (jalan keluar
selanjutnya). Nilai default
Scope adalah
10 untuk connected route
(interface enable)
20 untuk OSPF, RIP, MME
30 untuk Static Route
40 untuk BGP
200 untuk connected route
(interface disabled)
Merupakan nilai maksimum
dari scope (scope untuk
mencapai gateway lain)

Default Gateway
Default gateway adalah kasus dimana semua
tujuan akan dialihkan ke Gateway tertentu

Semua tujuan dst-address=0.0.0.0/0

Hal ini dilakukan bila jalur keluar dari satu Router

hanya melalui satu IP
Juga digunakan untuk last-choice (pilihan
terakhir) dalam sebuah tabel routing (routing
table)

Pemilihan Routing
Routing dalam MikroTik akan dipilih dengan
urutan

Tujuan yang lebih spesifik akan diutamakan

Distance yang lebih kecil akan diutamakan
Bila tujuan dan distance sama, maka akan berlaku
sistem random

KASUS
Request untuk
menuju IP
202.57.9.23

Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP

WLAN2
AP - Station

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

WLAN1
Station to
ClassAP

Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP

DST-ADDRESS =
XX.XX.XX.XX/24
GATEWAY = 10.1.AB.2

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

WLAN1
Station to
ClassAP

Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP

DST-ADDRESS =
XX.XX.XX.XX/24
GATEWAY = 10.1.AB.1

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

WLAN1
Station to
ClassAP

Koneksi Routing
Cobalah saling PING antar laptop
Perhatikan bahwa meskipun ada default-route,
namun karena routing yang baru kita masukkan
lebih spesifik, Router akan pergi ke gateway
tersebut untuk mencari jaringan yang kita tuju
Untuk tujuan
192.168.100.0/24 menuju
ke 10.1.187.2

Routing Dinamis (Dynamic

Routing)
Konfigurasi untuk menghubungkan antar-jaringan
(network) mungkin dilakukan secara otomatis
menggunakan Dynamic Routing
Dynamic Routing terutama digunakan pada jaringan
yang besar (bayangkan bila Anda harus membuat
static-routing untuk 80 network dengan 10 Router)
Dynamic Routing akan membuat masing-masing Router
saling bertukar informasi route secara otomatis
Dynamic Routing mudah dalam konfigurasi, namun
sedikit sulit dalam mengatur/troubleshoot (karena
semua dilakukan secara otomatis
Dibutuhkan lebih banyak resource Router

Routing Dinamis
Salah satu protokol Routing Dinamis
adalah OSPF
OSPF = Open Shortest Path First
OSPF adalah protokol yang sangat
cepat dan optimal untuk routing
dinamis
Mudah dikonfigurasi

IP =
10.4.4.1/24

OSPF
IP =
172.16.1.1/24

1
3

IP =
172.16.1.2/24

2
IP =
10.4.4.100/24

Konfig OSPF

Konfig OSPF INSTANCES

Merupakan
konfigurasi
PROFIL OSPF
LOKAL
Menyimpan
informasi
mengenai konfig
OSPF di Router

Konfig OSPF INSTANCES

Distribusikan DEFAULTROUTE kepada Router
lain. Hanya digunakan
bila Router ini
merupakan jalan keluar
dari Jaringan secara
total
Distribusikan
IP dan
Network yang terdapat
pada IP ADDRESS di
ROUTER
Distribusikan Routing
Statis yang ada di
Router
Distribusikan Dynamic
Routing lain yang
didapat (OSPF, BGP,
RIP)
Digunakan untuk
filtering IP-IP yang
boleh/tidak boleh
diterima/diberikan

Konfig OSPF NETWORK

Network adalah konfigurasi untuk mengaktifkan OSPF

IP Network yang
akan saling
terkoneksi secara
OSPF.
Biasanya
merupakan IP
Network di
Interface tersebut
Pada jaringan
yang lebih besar,
dimungkinkan
untuk membentuk
cluster-cluster
AREA.
Backbone adalah
area default yang
merupakan pusat
semua area

OSPF
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP

WLAN1
Station to
ClassAP

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

OSPF

Hapuslah rule NAT

Konfigurasikan DHCP-client agar tidak mengambil default
Route (default route akan diberikan oleh OSPF)

OSPF
Buatlah OSPF pada WLAN1 dan WLAN2
REDISTRIBUTE-CONNECTED
harus as-type-1 pada setting
INSTANCE

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

OSPF Instance
Untuk
mendistribusikan
IP ADDRESS yang
ada di ROUTER
ke peering/router
lain secara OSPF

OSPF Network
Akan muncul secara
dinamik interface yang
telah terkoneksi secara
OSPF

Mengaktifkan
OSPF via WLAN1
(IP Network
10.1.1.0/24)

Mengaktifkan OSPF via

WLAN2 (IP Network
10.1.197.0/24)
-- sesuaikan dengan IP
Network di WLAN2 Anda

OSPF
Simulasikan bila WLAN1 Anda putus (salah satu)

IP =
10.1.AB.1/24

IP =
10.1.AB.2/24

Load-Balancing Static Routing

Load balancing adalah metode untuk
membagi traffic keluar menjadi beberapa
gateway
Pada MikroTik, sistem termudah untuk
mengaplikasikan ini adalah dengan ECMP
(Equal Cost Multi Path)
ECMP memiliki nilai lebih yaitu koneksi yang
terjadi akan selalu ke salah satu gateway
yang telah dipilih sebelumnya sampai koneksi
tersebut selesai (tidak dipindah-pindahkan)

ECMP
IP = 172.16.1.1
IP = 10.1.1.254

ECMP
Ubahlah DHCPclient agar tidak
mengambil defaultroute
Jangan lupa
menambahkan NAT
masquerade untuk
outinterface=WLAN2

ECMP
Aktifkan WLAN2 dengan SSID : ClassAP2 (band
2.4GHz) dan aktifkan DHCP-client di ClassAP2

ECMP
Tambahkan default route untuk ke WLAN1 dan
WLAN2 dengan ECMP

Policy Routing
Policy Routing adalah routing berdasarkan
aturan/rule/policy yang telah kita tentukan

Policy routing harus menggunakan minimal 2

gateway

Next-hop (gateway) akan dipilih berdasarkan

rule tertentu yang akan dikonfigurasi
Contoh policy dapat berupa :

Alamat IP (sumber atau tujuan)

Protokol dan port (http, ftp, winbox, dll)
Interface (keluar atau masuk)
Tipe traffic (p2p, traffic normal, dll)

Policy Routing

IP = 10.2.2.254
HTTP Only

IP = 10.1.1.254
ALL
TRAFFIC

Policy Routing Marking

Policy Routing
Buatlah marking HTTP dan Winbox
melalui WLAN2
Jangan lupa untuk minimal memasukkan

In-interface = ether1 (atau bridge1)

Src-address = 192.168.XY.0/24

Perhatikan interface saat Anda mencoba

HTTP, Winbox, dan FTP
Jangan lupa untuk memastikan
tambahan NAT Masquerade ke WLAN2

FIREWALL

Firewall
Firewall bertujuan untuk melindungi
Router dan Client dari akses yang tidak
diinginkan
Firewall dapat diimplementasikan dalam
MikroTik melalui fitur Filter dan NAT

Firewall Filter
Firewall Filter berisi satu atau lebih
rule/perintah yang bekerja dalam prinsip
IF-THEN (JIKA MAKA)
Rule/perintah ini disusun dalam chain
(semacam area kerja)
Ada chain (area kerja) yang akan secara
otomatis akan dikunjungi dan ada chain
yang dibuat secara manual (customchain)

Firewall Filter CHAIN

Terdapat 3 chain yang akan dilewati
secara default oleh traffic, yaitu :

INPUT chain
Dilewati oleh traffic yang menuju router

OUTPUT chain
Dilewati oleh traffic yang keluar dari router dan
berasal dari router itu sendiri

FORWARD chain
Dilewati oleh traffic yang dari luar router dan tidak
menuju ke router (tapi menuju ke IP lain di luar
router)

Firewall Chain INPUT

Traffic yang dari luar dan menuju ke salah
satu IP Router

Contoh : akses Winbox

Firewall Chain OUTPUT

Traffic yang menuju ke luar dan berasal
dari Router

Contoh : melakukan ping dari Terminal

windows

Firewall Chain FORWARD

Traffic yang bukan berasal dari Router
dan bukan menuju ke Router, melainkan
hanya melewati router

Contoh : PC client mengakses website atau

email di Internet

Firewall Struktur Diagram

Firewall Filter CHAIN

Pastikan setiap rule Firewall ditempatkan di
CHAIN yang benar
Kesalahan penempatan CHAIN akan berakibat
rule tidak dapat berjalan seperti yang diinginkan

Firewall Usage
Firewall disusun berdasarkan rule-rule
Rule ini akan diperiksa/dijalankan dari atas ke
bawah

Firewall Usage
Beberapa item secara default akan tertutup
Klik disini untuk
mengisikan data atau
mengaktifkan isian

NOT/NEGASI Jika
dicentang, berarti bukan
IP yang dimaksud

Klik disini untuk

menutup/
menonaktifkan
isian

Firewall Usage
Di bagian Extra, bila diklik, akan langsung aktif
(kondisi akan diperiksa apakah memenuhi atau
tidak)

TIDAK
AKTIF

AKTIF

Firewall Usage
Firewall bekerja dalam prinsip IF-THEN

IF Bila kondisikondisi dalam tab

ini terpenuhi, maka
ACTION akan
dijalankan

THEN Bila kondisi

dalam IF terpenuhi,
maka disinilah
ACTION yang akan
dilakukan terhadap
traffic tersebut

Berisi statistik,
seperti berapa KB
data yang telah
lewat dan berapa
Paket yang telah
memenuhi rule ini

Firewall Kondisi (IF)

Kondisi yang sering digunakan
IP Sumber
(biasanya PC) dan
Tujuan (biasanya
Internet)
Protocol
(TCP/UDP/ICMP/dll)
dan port sumber
(biasanya dari PC
berupa port acak)
dan port tujuan
(tergantung service
yang
dituju)
Interface
masuk/keluarnya
traffic. Penggunaan
yang salah dapat
menyebabkan traffic
tidak dikenali

Port-port Service
Port-port yang
digunakan oleh
penyedia layanan
Contohnya

Server www.yahoo.com
akan membuka TCP
port 80
Oleh sebab itu, bila
Anda ingin menutup
client agar tidak bisa
ke www.yahoo.com,
maka harus diatur port
tujuan adalah TCP/80

Firewall THEN
ACCEPT berarti traffic
yang memenuhi kriteria
IF tadi akan langsung
dikeluarkan dari
pemeriksaan (diterima
untuk
diteruskan/dilewatkan)

DROP Traffic yang

memenuhi kriteria IF
akan dibuang (tidak
dilewatkan)
REJECT Traffic yang
memenuhi kriteria IF
akan dibuang dan
mengirimkan pesan
penolakan melalui ICMP

LOG Traffic akan

dicatat dalam LOG
(hanya mencatat saja)
dan setelah itu traffic
dipersilahkan lewat

Firewall THEN
ADD to ADDRESS LIST
Akan menambahkan
alamat IP tujuan/sumber
ke dalam sebuah
address-list yang
ditentukan
JUMP Akan
mengarahkan proses ke
chain lain (lompat ke
chain lain)

TARPIT
Mengembalikan respon
TCP (ACK)

PASSTHROUGH Tidak
melakukan apa-apa,
digunakan untuk
memeriksa apakah
kriteria IF telah
terpenuhi atau tidak
(dilihat counternya)
RETURN Digunakan bersama
dengan JUMP untuk
mengembalikan proses ke chain
semula

Firewall - Strategi

Drop yang tidak diperlukan,

kemudian Accept ALL

Accept yang diperlukan,

kemudian Drop ALL

Filter Input
Chain yang berisi rule/aturan yang mengatur
traffic menuju ke Router
Chain yang digunakan untuk melindungi Router
Juga mengontrol respon dari chain output

Seandainya dilakukan ping dari Router (chain output)

menuju server di luar, maka traffic respon dari server di
luar menuju Router akan melewati chain input

Input
Response from DST
Server

Filter Input
Buatlah firewall agar Router Anda hanya dapat
diakses dari laptop saja

Rule untuk mengizinkan IP laptop Anda

Rule yang akan memblok semua IP (setelah rule di atas
tidak terpenuhi)
Hati-hati karena ini bisa memutuskan koneksi bila
dilakukan dengan salah

Firewall Input ACCEPT

IF/JIKA
Jika di chain input ada
traffic yang menuju
salah satu IP di Router,
terdapat akses dari
(source address)
192.168.XY.1

THEN/MAKA
Maka traffic ini diterima
(langsung akan keluar
dari chain)

Firewall Input DROP

IF/JIKA
Bila ada traffic
apapun (rule ini
bersifat global,
sehingga semua
traffic akan masuk
ke dalam rule ini)

THEN/MAKA
Maka traffic akan ditolak
agar tidak lewat ke proses
apapun lagi

Firewall Input EFEK

Cobalah untuk melakukan browsing ke
website luar
Apa efek yang terjadi?

2
Secara tidak langsung, OUTPUT
router juga
mem-blok
Mengambil
ke luar
request DNS yang berasal
dari DNS
luar
(ALLOWED)

1
INPUT
Laptop merequest DNS ke
Router
(ALLOWED)

3
INPUT
DNS REPLY ke Router
(DROP karena ada rule DROP ALL)

Rule untuk DNS Cache

Tambahkan rule untuk meng-ACCEPT
reply DNS

DNS
menggunakan
protokol UDP port 53
INPUT
OUTPUT

REQUEST
Protocol = UDP
Dst-Port = 53

RESPONSE
Protocol = UDP
Src-Port = 53

MAC Filtering
Bahkan jika alamat IP Anda diblok, Anda
tetap dapat melakukan koneksi via MACWinbox
Ini dikarenakan FIREWALL Filter tidak
berlaku untuk filtering MAC layer (layer 2)
Konfigurasi MAC layer dapat diatur
melalui menu MAC Server

MAC Filtering
Mengatur
dari
interface
mana
saja MACTelnet
diijinkan

Mengatur dari
interface apa saja
MAC-Winbox dapat
diijinkan

Apakah MAC-Ping
dapat dilakukan
menuju Router ini

Menunjukkan sesi koneksi

layer 2 yang sedang aktif

Address List
Adakalanya beberapa IP yang tidak berada
dalam 1 subnet mendapatkan rule yang
sama, misal untuk drop Winbox dari
beberapa IP Lokal

192.168.10.21
192.168.10.10
192.168.10.40
192.168.10.83

TCP
TCP
TCP
TCP

dstport=8291
dstport=8291
dstport=8291
dstport=8291

DROP
DROP
DROP
DROP

Ke-4 rule di atas dapat disederhanakan

dengan menggunakan Address-list

Address List
Berisi beberapa IP yang dikelompokkan
menjadi sebuah list (dengan nama
tertentu)
Dapat digunakan dalam

Filter Rules
Mangle
NAT

Address List

Address dapat
berisi

Single IP
192.168.1.100

Range IP
192.168.1.10
192.168.1.100

Subnet IP
192.168.10.128/29

Address List Penggunaan

Dapat digunakan
untuk Daftar
Sumber maupun
Daftar Tujuan

Masukkan
Nama List IP
di sini

Address List
Masukkanlah IP Laptop Anda dan IP Publik rekan
Anda ke dalam Address List
Cobalah untuk membuat rule (blocking/allowing)
untuk akses Winbox ke Router Anda dan test apakah
rule berjalan sesuai dengan yang Anda harapkan
IP = 10.1.1.XY

IP =
192.168.XY.1

Filter Forward
Chain berisi rule yang mengontrol traffic
melewati router
Mengontrol traffic dari dan ke PC Client
Umumnya digunakan untuk membatasi akses
dari client ke luar

IP 192.168.98.100
TIDAK BOLEH BROWSING
TIDAK BOLEH PING
BOLEH TELNET

Filter Forward
Buatlah rule untuk melakukan blocking
agar IP tertentu tidak bisa melakukan
browsing website apapun

Gunakan protocol TCP dan port 80

HTTP ke WEBSITE APAPUN
CHAIN = FORWARD
SRC-IP =
192.168.98.1
PROTOCOL = TCP
DST-PORT = 80
ACTION = DROP

Filter Forward
Buatlah rule untuk melakukan blocking
terhadap ping/traceroute dari IP yang lain

PING/TRACEROUTE dari IP selain

Anda

Tanda ini (!)

merupakan NOT,
jadi IF-nya
adalah bila
BUKAN dari IP
192.168.98.1

CHAIN = FORWARD
SRC-IP = !
192.168.98.1
PROTOCOL = ICMP
ACTION = DROP

Filter Forward
Buatlah rule agar Anda tidak dapat
melakukan Telnet ke MainRouter
(10.1.1.254)

TELNET ke 10.1.1.254
CHAIN = FORWARD
SRC-IP =
192.168.98.1
DST-IP = 10.1.1.254
PROTOCOL = TCP
DST-PORT = 23
ACTION = DROP

Filter Forward
Buatlah rule agar Anda dapat melakukan
browsing ke MainRouter (10.1.1.254)
namun tetap tidak bisa melakukan
browsing ke website lain
HTTP TUJUAN = 10.1.1.254 ACCEPT
CHAIN = FORWARD
SRC-IP =
192.168.98.1
DST-IP = 10.1.1.254
PROTOCOL = TCP
DST-PORT = 80
ACTION = ACCEPT
TUJUAN : ALL/SEMUA DROP (sudah ada di
lab 1)

Urutan Rule
HTTP ke WEBSITE APAPUN
PING/TRACEROUTE dari IP lain
TELNET ke 10.1.1.254
HTTP TUJUAN = 10.1.1.254 ACCEPT

Cobalah membuka
www.yahoo.com dan
membuka http://10.1.1
.254
HASIL :
- Website YAHOO ________
- Website 10.1.1.254
________

Cobalah membuka
www.yahoo.com dan
membuka http://10.1.1
.254
HASIL :
- Website YAHOO ________
- Website 10.1.1.254
________

PING/TRACEROUTE dari IP lain

TELNET ke 10.1.1.254
HTTP TUJUAN = 10.1.1.254 ACCEPT
HTTP ke WEBSITE APAPUN

Custom Chain
Selain chain yang ada (INPUT, OUTPUT,
FORWARD), dapat dibuat chain-chain
sesuai keinginan
Secara default, hanya chain yang
terdefinisi sebelumnya (INPUT, OUTPUT,
FORWARD) yang akan dilewati secara
otomatis
Untuk membuat chain baru dan dilewati
oleh traffic, harus dibuat rule JUMP

Custom Chain

Custom Chain
Custom
Chain

Custom Chain
Buatlah Group CHAIN sebagai berikut

Group IT
BOLEH SSH, Telnet, FTP, WinBox
BOLEH HTTP
DROP lainnya

Group Admin
BOLEH HTTP
BOLEH Email
DROP lainnya

Group Staf
DROP ALL

Buatlah rule JUMP untuk IP Anda ke salah satu CHAIN

dari CHAIN FORWARD

Custom Chain
CHAIN=FORWAR
SRC-IP=192.168.XY.100 ACTION=JUMP
D

CHAIN=ADMIN

SRC-IP=192.168.XY.1 ACTION=JUMP
CHAIN=IT
ACTION=DROP

CHAIN=IT

ACCEPT SSH (TCP/22)

ACCEPT TELNET
(TCP/23)
ACCEPT FTP (TCP/21)
ACCEPT WINBOX
(TCP/8291)
ACCEPT HTTP (TCP/80)

CHAIN=ADMIN

ACCEPT HTTP
(TCP/80)
ACCEPT EMAIL
(TCP/25)

Custom Chain

Firewall LOG
Aktifitas firewall dapat ditampilkan / disimpan
dalam LOG
Log harus diletakkan di atas rule lain (atau di
atas rule yang akan diperiksa)

Log Prefix - digunakan untuk

menandai/membedakan log yang
satu dengan lainnya dengan cara
memberikan awalan pada baris log

Firewall LOG

Firewall LOG
Buatlah LOG untuk semua IP yang melakukan
ping menuju server luar (FORWARD) dan menuju
Router (INPUT)
Forward untuk
melakukan log pada traffic
menuju server luar
Chain apa yang digunakan
untuk log traffic ping
menuju ke Router?

Connection Tracking
Dalam sebuah Router, semua traffic yang
lewat akan dicatat (agar dapat
dikembalikan dengan benar ke Client
yang melakukan request)
Dalam MikroTik, hal ini diatur dalam
Connection Tracking

Connection Tracking
Connection Tracking berisi semua koneksi yang
terjadi (lengkap dengan protokol dan port yang
digunakan) serta state-nya (statusnya)
Bila Connection Tracking tidak diaktifkan, maka
Firewall (Filter, NAT, Mangle) tidak akan dapat
digunakan

Connection Tracking
Setiap koneksi memiliki state atau status
tertentu
Status ini disebut connection-state
Connection State <> TCP State

Connection State

Connection State
Invalid

Traffic yang tiba-tiba ada tanpa adanya request dari internal,

biasanya virus atau traffic yang keluar/masuk melalui jalur
yang berbeda

New

Paket baru untuk satu koneksi

Establish

Paket yang mengikuti new paket, yaitu merupakan bagian

dari koneksi yang sudah dikenal

Related

Paket yang muncul secara tiba-tiba namun masih memiliki

korelasi dari paket yang sudah ada (establish) atau baru (new)

Tips untuk Connection State

DROP semua paket INVALID

ACCEPT semua paket RELATED
ACCEPT semua paket ESTABLISH
Rule-rule berikutnya hanya akan
memeriksa paket NEW saja (lebih
menghemat resource)

NETWORK ADDRESS
TRANSLATION

Network Address Translation

Network Address Translation = NAT
Ada 2 jenis NAT

Source NAT
Destination NAT

NAT merupakan salah satu bagian dari Firewall

(mengamankan Router)

Source NAT
Mengganti source address yang akan keluar
menjadi source address baru

Source NAT
Source NAT digunakan untuk :

Mengamankan jaringan internal (sehingga

orang dari luar tidak bisa langsung
mengakses PC Anda)
Memungkin IP Lokal diganti menjadi IP Publik
sehingga dapat dikenali di Internet
Mengatur penggunaan alokasi IP Lokal

Ada 2 Source NAT yang sering digunakan

SourceNAT
Masquerade

Source NAT Masquerade

Secara otomatis akan mengganti IP Lokal
menjadi salah satu IP yang ada di interface
Public
Digunakan bila koneksi WAN di Gateway
merupakan IP Dinamis (bisa juga digunakan
NEW
untuk IP Statis)
SRC-IP =
SRC-IP =
192.168.XY.1

10.1.1.XY

Source NAT Masquerade

Source NAT Efek Masquerade

Semua komputer yang akan keluar
melalui wlan1 akan diganti (yang tadinya
berasal dari IP client) menjadi IP yang ada
di interface wlan1

Source NAT
Source NAT yang lain adalah yang dikenal
dengan nama SourceNAT (src-nat)
Hampir sama seperti masquerade, namun
src-nat dapat memilih pada saat keluar IP
apa yang akan digunakan
Digunakan bila :

Gateway mendapat IP Statis dari ISP (tidak

dapat digunakan pada IP Dinamis)
Terdapat lebih dari 1 IP Publik

Src-NAT
Tambahkan 1 IP di
interface WLAN1

Tambahkan 100
pada bagian
terakhir IP Anda
Misal IP Gateway
anda adalah
10.1.1.99, maka
yang anda
tambahkan adalah
IP 10.1.1.199

Src-NAT

Menambahkan 1
Rule

Src-NAT

Src-NAT
Pastikan Rule yang Anda buat ini berada di atas
rule Masquerade
Cobalah Telnet ke ClassAP (IP 10.1.1.254) lalu
lihatlah IP Publik Anda yang mana yang tampil

Destination NAT
Destination NAT akan merubah IP Tujuan yang
masuk ke dalam Router

Destination NAT
Destination NAT digunakan untuk :

Mengakses resource internal (PC, Printer,

Server) dari luar
Mengubah port tujuan dan diarahkan ke
Router sendiri (berguna untuk proxy dan dns)

Terdapat 2 macam Destination NAT yang

sering digunakan :

dst-nat
redirect

Dst-NAT
Dst NAT digunakan untuk mengganti tujuan IP,
misal

Traffic Internet mengakses IP Router Anda

Anda bisa melakukan dst-nat sehingga setelah sampai
ke Router, maka traffic tersebut akan diubah tujuannya
ke IP Mail Server di dalam jaringan LAN

New DST = LOCAL

IP
192.168.XY.1

DST = PUBLIC
IP
10.1.1.XY

Dst-NAT
Traffic akan difilter di
dstnat

Bila menuju IP
10.1.1.125 (IP Publik
Gateway) pls note
IP Gateway Anda
belum tentu IP ini
(sesuaikan)

Tujuannya adalah
TCP port 25 (SMTP)

Dst-NAT
Actionnya adalah
dst-nat, berarti
traffic ini akan
diganti IP tujuannya
(yang tadinya
10.1.1.125)
Menjadi IP mail
server (lokal),
yaitu IP
192.168.88.253
IP Lokal Anda
belum tentu IP
ini
Dan diganti port
tujuan yang
tadinya 25
menjadi 25
(tidak ada
perubahan)

Dst-NAT
Cobalah untuk melakukan Dst-NAT untuk
mengijinkan kelompok lain untuk
mengakses Laptop Anda
Bila Anda tidak memiliki servis Remote
Desktop di laptop Anda, downloadlah dari
FTP (10.1.1.254) program VNC Server dan
Viewer
Trainer akan memberikan contoh pada
Anda

Dst-NAT
IP
Publik
IP = 10.1.1.XY

I
F

EN
TH

IP =
192.168.XY.1

IP
Lokal

Redirect
Sama seperti Dst-NAT, redirect juga merubah IP
Tujuan, namun secara otomatis akan diubah
menjadi IP Router

Redirect
Bila ada traffic yang
lewat di chain dstnat

Dan menuju UDP

Port 53 (DNS
Request)
-- pls note bahwa
DNS menggunakan
TCP dan UDP Port 53

Redirect

Maka kemanapun
IP tujuannya akan
diganti menjadi IP
Router

Masukkan port
pengganti bila
akan
mengganti port

Redirect
Buatlah sebuah rule redirect untuk DNS

DNS menggunakan protocol :

UDP untuk request
TCP untuk sinkronisasi antar DNS-Server

Port yang digunakan sama-sama 53

Cobalah untuk mengganti DNS di Laptop

Anda (buat secara manual) ke IP public
lain (bahkan yang tidak dikenal), misal
111.111.111.111

NAT Actions

DST-NAT khusus dstnat

Mengubah IP atau Port
tujuan
MASQUERADE khusus
src-nat
Mengubah IP tujuan menjadi
salah satu IP yang ada di
interface dimana traffic akan
keluar
NETMAP src-nat atau
dst-nat
Melakukan pemetaan
terhadap IP lokal dan diubah
menjadi IP publik dengan
pemetaan one-on-one
REDIRECT khusus dstnat
Mengubah tujuan IP menjadi
IP Router (masuk chain
input) dan dapat digunakan
untuk merubah port

SRC-NAT khusus srcnat

Mengganti IP lokal
menjadi IP publik

SAME src-nat dan dst-nat

Memastikan koneksi yang terjadi
keluar/masuk pada IP yang sama
(bila lebih dari satu IP)

QUALITY OF SERVICE

Quality of Service
Pada MikroTik, limitasi bandwidth diatur
dalam Quality-of-Service
Quality-of-Service tidak hanya mengatur
penggunaan bandwidth melainkan juga
mengatur prioritas bandwidth, burstable,
dual-limitation, dan lain-lain
Sistem yang digunakan adalah antrian
(Queue), jadi traffic tidak di-drop,
melainkan diatur dalam antrian

Simple Queue
Pengaturan QoS dalam MikroTik diatur
dalam menu Queue
Bentuk paling sederhana dari QoS adalah
Simple Queue
Simple Queue dapat melimit

Upload dari client

Download dari client
Total (upload/download) dari client

Simple Queue
Untuk menggunakan Simple Queue, yang
wajib diisi adalah Target Address (IP)
Urutan dalam rule-rule Simple Queue
sangat penting (karena rule akan
dijalankan dari atas ke bawah, seperti
halnya Firewall)

Simple Queue

Simple Queue

Simple Queue
Limit alamat IP Anda agar hanya mendapat
bandwidth

Download 64k
Upload 32k

Monitoring Traffic
Traffic Queue dapat dimonitor di bagian
Statistic/Traffic
Dapat juga dimonitor melalui menu INTERFACE

Tools TORCH
Torch digunakan untuk memantau traffic yang
sedang berjalan secara real-time dan lengkap

Tools TORCH

Tx dan Rx relatif terhadap

interface yang sedang diTORCH

Melimitasi berdasarkan
TUJUAN
Selain dapat menggunakan IP Client, Simple
Queue dapat dikombinasikan untuk melimit
hanya ke 1 server tujuan

Melimit Tujuan
Tambahkan IP www.mikrotik.com sebagai tujuan
(destination address)
Cobalah membuka www.mikrotik,com dan website
lain, bandingkan hasilnya

Prioritas Queue
Bila memiliki lebih dari 1 Queue, prioritas
setiap Queue dapat diatur sedemikian
rupa agar traffic yang diutamakan dapat
memperoleh prioritas lebih tinggi
Prioritas Queue diatur mulai angka 1 8

Prioritas tertinggi adalah 1 (lebih diutamakan)

Prioritas terendah adalah 8

Setiap angka prioritas bobotnya sama

Prioritas 1 TIDAK BERARTI 8x lebih cepat

daripada prioritas 8

Prioritas Queue

Graphing (Internal MRTG)

Traffic yang melewati Simple Queue dapat
disimpan dalam bentuk grafik
Grafik ini dapat disimpan
Grafik ini dapat mencatat history per 5
menit sampai per tahun
Selain dapat menyimpan grafik Simple
Queue, Graphing juga dapat menyimpan
grafik resource (CPU, Memory, Disk)

Graphing

Graphing
Nama Simple Queue
yang ingin dibuatkan
grafiknya ALL
untuk semua
IP berapa yang
dapat mengakses
grafik tersebut
Disimpan dalam
DISK (grafik
masih tersimpan
setelah restart)
Mengijinkan
Target-Address
untuk membuka
grafiknya sendiri

Mengakses Grafik
IP
Router

Tampilan Grafik

Advanced Queue
Simple Queue dapat dimodifikasi untuk
membuat limitasi yang lebih advanced
Konfigurasi advanced ini diperoleh
dengan memanfaatkan Mangle dalam
firewall
Advanced Queue ini dapat membuat
limitasi yang membagi rata semua traffic
hanya dengan beberapa rule

Firewall Mangle
Mangle digunakan untuk menandai paket
Tanda yang dibuat oleh Mangle dapat
digunakan oleh

Firewall Filter dan NAT

Routing
Queue

Aturan di rule sama dengan aturan di

Firewall (top-down, if-then, dan lain-lain)

Firewall Mangle
Tanda yang dibuat oleh Mangle hanya
bisa dikenali di dalam router (tanda akan
dilepas sesaat sebelum meninggalkan
router)
Mangle digunakan untuk membagi atau
mengkategorikan traffic
Mangle tidak mengubah struktur paket
(TOS, DSCP, TTL) tapi dapat mengubah
nilainya

Firewall Mangle

Jenis Mangle
Ada 3 jenis utama Mangle, yaitu

Routing mark digunakan untuk routing

Connection mark digunakan untuk
menandai koneksi (sesi koneksi) seperti
di Connection Tracking
Packet mark digunakan untuk
menandai paket yang lewat (digunakan
dalam queue, filter, dan nat)

Mark Connection dan Packet

Connection-mark

Connection-mark memanfaatkan connectiontracking (dalam firewall)

Informasi mengenai koneksi pertama kali akan
disimpan / ditambahkan dalam daftar
connection-tracking

Packet-mark

Packet-mark berkaitan dengan paket itu sendiri

Router melihat setiap paket yang lewat untuk
diberikan tanda

Marking Connection dan

Packet

Marking yang Optimal

Tandai koneksi baru menggunakan connectionmark
Tandai paket-paket yang berhubungan dengan
koneksi tersebut menggunakan packet-mark

Contoh Mangle dan Queue

Bayangkan kasus dimana perlu dibuat limitasi
untuk

HTTP (TCP/80)

Simple Queue tidak dapat melimit berdasarkan

protokol dan port tanpa bantuan Mangle

HTTP Limit
64k Upload
128k
Download

Other Limit
128k Upload
256k
Download

Mangle Connection
Tandai koneksi masing-masing (berdasarkan port
dan protokol tujuan)
Gunakan fitur passthrough agar dapat terus
menandai paket

Mangle Packet
Gunakan connection
yang telah dibuat (httpconn) untuk menandai
paketnya
INGAT packet-mark
TIDAK di-passthrough

Aplikasi pada Queue

Batasi Port dan Protokol

tertentu
Cobalah untuk membuat tanda di
Mangle untuk port-port berikut dan
berikan limit yang berbeda

HTTP (TCP/80) 64k/128k

Winbox (TCP/8291) 32k/64k
Ping/Traceroute (ICMP) 32k/32k
Lainnya 64k/64k

Testlah validitas queue yang telah

Anda buat

Jenis-jenis Queue (Queue

Type)

PFIFO dan
BFIFO
Metode First-InFirst-Out (FIFO)
yang akan
membuat
antrian
berdasarkan
paket yang
datang
terlebih
PCQ
dahulu
--- akan dibahas
lebih detail di
bagian
selanjutnya

SFQ Stochastic
Fairness Queue
Sistem Queue yang
mengklasifikasikan
paket-paket menjadi
sub-flow

RED Random
Early Detect
Mendrop paket
dengan sistem
random

PCQ
PCQ merupakan salah satu implementasi
Advanced Queue
PCQ menggunakan classifier untuk
mengelompokkan traffic, classifier
tersebut bisa berupa IP atau port (baik
source maupun destination)
Dari sudut pandang Router, klasifikasi
berdasarkan

Source-address adalah untuk upload

Destination address adalah untuk download

PCQ Membuat Tipe

PCQ Aplikasi Pada Queue

Lihat Slide
berikutnya

Karena PCQ melimit lebih

dari 1 IP, maka Target
Address harus berupa blok
IP

PCQ Aplikasi Pada Queue

PCQ Rate

PCQ Rate Max b/w per user

PCQ Rate = 128k

PCQ Rate Pembagian rata

b/w
PCQ Rate = 0

Skema Lab PCQ

BRIDG
E

IP =
192.168.XY.100/24
IP =
192.168.XY.1/24

PCQ
Buatlah Bridge untuk
menghubungkan Ether1 dan Ether2

Mintalah partner Anda untuk

mengganti alamat IP Laptopnya
menjadi satu subnet dengan Anda
Koneksikan LAN Laptop partner Anda ke
Ether2

Buatlah rule PCQ dan cobalah untuk

melakukan download bersamaan (2
laptop)

Terima Kasih