Tujuan Training
Mempelajari kemampuan RouterOS dan
mengenal macam RouterBOARD
Mempelajari cara implementasi RouterOS
pada Jaringan WAN
Mendapatkan kualifikasi sebagai seorang
MikroTik Network Assosiate yang mampu
mengaplikasikan dalam kehidupan sehari-hari
MIKROTIK ROUTEROS
DAN ROUTERBOARD
MikroTik
MikroTik RouterOS
MikroTik RouterBOARD
Routing
Firewall
Services
Manajemen User
MikroTik RouterBOARD
Hardware yang didesain oleh MikroTik, menggunakan
RouterOS sebagai Sistem Operasinya
Memiliki beragam seri dan interface, yang
disesuaikan dengan kebutuhan
Core Router
Wireless Router
Gateway Router (untuk Warnet, Kantor, dsb.)
Tipe RouterBOARD
RouterBOARD memiliki sistem pengkodean tertentu
Seri/Kelas RouterBOARD
RB433
KONEKSI WIRELESS
802.11a
802.11b
802.11g
802.11n
Variasi BAND
Double Channel (40MHz) 108Mbps max air rate
2.4GHz-g-turbo
5GHz-turbo
2.4GHz-20MHz
5GHz-20MHz
2GHz-10MHz
5GHz-10MHz
2GHz-5MHz
5GHz-5MHz
Country-Regulation
Country-Regulation
Pemilihan negara
dimana kita akan
mengimplementasikan
regulasinya
Frequency Mode
Manual-tx-power
Regulatory-domain
Menentukan apakah
akan dipakai pigtail
konektor MAIN atau
AUX
Superchannel
Country Regulation
Karena penggunaan country-regulation
akan mempengaruhi frekuensi kerja dari
Wireless Card, maka sebaiknya AP dan
Station menggunakan Country Regulation
yang sama
Cobalah mengganti country regulation
menjadi
Jepang
USA
Indonesia
Radio Name
SCAN
View di Registration Table
Gantilah menjadi
XY_NAMA-ANDA
Dan lihat apa
yang akan
ditunjukkan oleh
Trainer di depan
Koneksi Wireless
Wireless
Access
Point
Wireless
Stations
Ap-bridge
Mode Akses Point
yang akan
memancarkan sinyal
dan dapat
dikoneksikan lebih
dari satu station
Station
Client Wireless. Tidak
memancarkan sinyal namun
bersifat pasti untuk
terkoneksi ke AP Station
tidak dapat di BRIDGE
Bridge
Sama dengan apbridge namun
hanya dapat
dikoneksikan oleh
satu station saja
Station-pseudobridge
(clone)
Merupakan mode station
(client) yang dapat di
BRIDGE
Clone berarti bahwa MAC
Address yang dikenali
adalah MAC Address dari
client ethernet (bukan
WLAN)
Minimum MikroTik
Lisensi Level 3
Yang perlu diisi
Mode = Station
SSID = <sesuai AP>
Band = <sesuai AP>
Scan-list (bila
diperlukan)
Country-regulation =
<AP>
Koneksi ke AP SCAN
Connect-List
Hanya
akan
konek bila
sinyal
dalam
range ini
ENKRIPS
I (bila
ada)
ENABLE
Connectio
n (boleh
terkoneksi
Connect-List
Untuk
menggunakan
connect list,
DEFAULTAUTHENTICATE
harus di-unchecked
TIDAK
DICENTANG
Minimum MikroTik
Lisensi Level 4
Konfigurasikan
Mode = ap-bridge
(bridge)
SSID = <bebas>
Band = <bebas>
Frekuensi =
<bebas>
Bila mode=bridge,
maka hanya bisa
diakses dari 1
station saja
2.4GHz-B/G = 802.11b/g
2.4GHz-B = 802.11b
2.4GHz-10Mhz = halfchannel
2.4GHz-5Mhz = quarterchannel
2.4GHz-b/g/n = 802.11b/g/n
2.4GHz-only-N = 802.11n
2.4GHz-only-G = 802.11g
WLAN2
STATION
AB = (XY_Anda) + (XY_Rekan_Anda)
IP WLAN2 =
10.1.AB.1
SUBNET = /24
IP WLAN2 =
10.1.AB.2
SUBNET = /24
Wireless Tools
Wireless Tools
Wireless Tools
BTest Server
ENABLED =
menerima request
untuk melakukan
bandwidth test
Diauthentikasikan oleh
Username/Password (di
USERS)
BTest Client
IP
TUJUAN
Direction/Arah
RECEIVE = Download
TRANSMIT = Upload
BOTH = Upload +
Download
Authentikasi
LOGIN/PASSWORD di BTEST
Server
Optimasi Wireless
Cobalah gunakan BTEST untuk test bandwidth
dan carilah frekuensi yang paling optimal
BTEST Server
ENABLED
BTEST CLIENT
RUNNING
Protocol = TCP
Direction =
BOTH
Access List
Seperti halnya connect-list mengatur AP mana
saja yang boleh terkoneksi oleh sebuah CLIENT,
ACCESS-LIST mengatur client (mac-address) apa
saja yang boleh (atau tidak boleh) terkoneksi
pada suatu interface AP
Untuk menggunakan Access-List, pastikan
Access List
SYARAT
Mac-address,
interface, dan
berapa bessar
sinyal yang boleh
terkoneksi
Membatasi
bandwidth
Mengatur
JAM koneksi
Default-Authenticate
CHECKED/YES
- Boleh terkoneksi
UNCHECKED/NO
- TIDAK boleh
terkoneksi
Default-Forwarding
CHECKED/YES
Semua client/station
yang terhubung
dapat saling
berkomunikasi antarclient tanpa harus
melalui AP
UNCHECKED/NO
Semua client harus
melewati AP untuk
saling berkomunikasi
antar-client/station
Enkripsi Wireless
Enkripsi digunakan untuk meningkatkan
keamanan
Metode enkripsi tergantung dari JENIS Wireless
CARD dan OS yang digunakan
MikroTik mendukung enkripsi dengan
WEP
WPA
WPA2
EAP
PASSWORD
WPA dan
WPA2
Enkripsi WPA
Implementasi
dalam Interface
Enkripsi WPA
Bila menggunakan
connect-list, maka
setting enkripsi
dilakukan di
bagian Connect
List (bukan di
interface station
WLAN)
ROUTING (LAYER 3
CONNECTION)
IP NETWORK
192.168.11.0/2
4
IP NETWORK
10.1.100.0/24
IP NETWORK
192.168.24.0/2
4
Konsep Routing
Destination = tujuan, IP/network yang
ingin dicapai
Gateway = pintu keluar, adalah IP transit
untuk mencapai tujuan (destination)
Konsep Routing
DST-ADDRESS =
192.168.11.0/24
GATEWAY = 10.1.100.4
DST-ADDRESS =
192.168.24.0/24
GATEWAY = 10.1.100.10
IP NETWORK
192.168.11.0/2
4
IP NETWORK
10.1.100.0/24
IP = 10.1.100.4
IP =
10.1.100.10
IP NETWORK
192.168.24.0/2
4
Konsep Routing
IP =
10.4.4.1/24
IP =
10.100.100.10
IP =
172.16.1.1/24
IP = 10.10.10.4
1
3
IP =
172.16.1.2/24
IP =
192.168.1.4
IP =
10.100.100.2
2
IP = 10.10.10.1
IP =
192.168.1.1
IP =
10.4.4.100/24
Konsep Routing
IP =
172.16.1.1/24
1
IP =
172.16.1.2/24
GW =
172.16.1.1
2
IP =
10.4.4.100/24
Konsep Routing
4
IP = 10.10.10.4
1
DST-ADDRESS =
10.4.4.0/24
GATEWAY = 10.10.10.1
2
IP = 10.10.10.1
IP =
10.4.4.100/24
Konsep Routing
4
IP = 10.10.10.4
1
3
IP =
172.16.1.2/24
IP =
192.168.1.4
DST-ADDRESS =
172.16.1.0/24
GATEWAY = 10.10.10.4
DST-ADDRESS =
10.4.4.0/24
GATEWAY =
192.168.1.4
2
IP = 10.10.10.1
IP =
192.168.1.1
IP =
10.4.4.100/24
Konsep Routing
IP =
10.100.100.10
DST-ADDRESS =
_____________
GATEWAY = __________
4
DST-ADDRESS =
_____________
GATEWAY = __________
1
3
IP =
172.16.1.2/24
IP =
192.168.1.4
IP =
10.100.100.2
2
IP =
192.168.1.1
IP =
10.4.4.100/24
Konsep Routing
IP =
10.4.4.1/24
IP =
10.100.100.10
4
DST-ADDRESS =
_____________
GATEWAY = __________
1
3
IP =
172.16.1.2/24
IP =
10.100.100.2
2
IP =
10.4.4.100/24
Routing di MikroTik
Konsep routing di MikroTik juga menggunakan
prinsip dst-address dan gateway
Routing di MikroTik
STATUS
D Dynamic
S Static
A Active
C
Connected
o OSPF
b BGP
DISTANCE
Jarak, melambangkan cost
untuk menuju suatu tujuan.
Semakin kecil distancenya,
maka routing tersebut akan
mendapat prioritas lebih tinggi
Routing di MikroTik
Network/IP Tujuan
Bisa berupa Single IP atau
jaringan subnet
Hop/Router selanjutnya
yang harus dituju. Gateway
selalu merupakan Single IP
Digunakan dalam pencarian
next-hop (jalan keluar
selanjutnya). Nilai default
Scope adalah
10 untuk connected route
(interface enable)
20 untuk OSPF, RIP, MME
30 untuk Static Route
40 untuk BGP
200 untuk connected route
(interface disabled)
Merupakan nilai maksimum
dari scope (scope untuk
mencapai gateway lain)
Default Gateway
Default gateway adalah kasus dimana semua
tujuan akan dialihkan ke Gateway tertentu
Pemilihan Routing
Routing dalam MikroTik akan dipilih dengan
urutan
KASUS
Request untuk
menuju IP
202.57.9.23
Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP
WLAN2
AP - Station
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
WLAN1
Station to
ClassAP
Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP
DST-ADDRESS =
XX.XX.XX.XX/24
GATEWAY = 10.1.AB.2
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
WLAN1
Station to
ClassAP
Koneksi Routing
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP
DST-ADDRESS =
XX.XX.XX.XX/24
GATEWAY = 10.1.AB.1
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
WLAN1
Station to
ClassAP
Koneksi Routing
Cobalah saling PING antar laptop
Perhatikan bahwa meskipun ada default-route,
namun karena routing yang baru kita masukkan
lebih spesifik, Router akan pergi ke gateway
tersebut untuk mencari jaringan yang kita tuju
Untuk tujuan
192.168.100.0/24 menuju
ke 10.1.187.2
Routing Dinamis
Salah satu protokol Routing Dinamis
adalah OSPF
OSPF = Open Shortest Path First
OSPF adalah protokol yang sangat
cepat dan optimal untuk routing
dinamis
Mudah dikonfigurasi
IP =
10.4.4.1/24
OSPF
IP =
172.16.1.1/24
1
3
IP =
172.16.1.2/24
2
IP =
10.4.4.100/24
Konfig OSPF
OSPF
Bekerjalah BERPASANGAN
WLAN1
Station to
ClassAP
WLAN1
Station to
ClassAP
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
OSPF
OSPF
Buatlah OSPF pada WLAN1 dan WLAN2
REDISTRIBUTE-CONNECTED
harus as-type-1 pada setting
INSTANCE
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
OSPF Instance
Untuk
mendistribusikan
IP ADDRESS yang
ada di ROUTER
ke peering/router
lain secara OSPF
OSPF Network
Akan muncul secara
dinamik interface yang
telah terkoneksi secara
OSPF
Mengaktifkan
OSPF via WLAN1
(IP Network
10.1.1.0/24)
OSPF
Simulasikan bila WLAN1 Anda putus (salah satu)
IP =
10.1.AB.1/24
IP =
10.1.AB.2/24
ECMP
IP = 172.16.1.1
IP = 10.1.1.254
ECMP
Ubahlah DHCPclient agar tidak
mengambil defaultroute
Jangan lupa
menambahkan NAT
masquerade untuk
outinterface=WLAN2
ECMP
Aktifkan WLAN2 dengan SSID : ClassAP2 (band
2.4GHz) dan aktifkan DHCP-client di ClassAP2
ECMP
Tambahkan default route untuk ke WLAN1 dan
WLAN2 dengan ECMP
Policy Routing
Policy Routing adalah routing berdasarkan
aturan/rule/policy yang telah kita tentukan
Policy Routing
IP = 10.2.2.254
HTTP Only
IP = 10.1.1.254
ALL
TRAFFIC
Policy Routing
Buatlah marking HTTP dan Winbox
melalui WLAN2
Jangan lupa untuk minimal memasukkan
FIREWALL
Firewall
Firewall bertujuan untuk melindungi
Router dan Client dari akses yang tidak
diinginkan
Firewall dapat diimplementasikan dalam
MikroTik melalui fitur Filter dan NAT
Firewall Filter
Firewall Filter berisi satu atau lebih
rule/perintah yang bekerja dalam prinsip
IF-THEN (JIKA MAKA)
Rule/perintah ini disusun dalam chain
(semacam area kerja)
Ada chain (area kerja) yang akan secara
otomatis akan dikunjungi dan ada chain
yang dibuat secara manual (customchain)
INPUT chain
Dilewati oleh traffic yang menuju router
OUTPUT chain
Dilewati oleh traffic yang keluar dari router dan
berasal dari router itu sendiri
FORWARD chain
Dilewati oleh traffic yang dari luar router dan tidak
menuju ke router (tapi menuju ke IP lain di luar
router)
Firewall Usage
Firewall disusun berdasarkan rule-rule
Rule ini akan diperiksa/dijalankan dari atas ke
bawah
Firewall Usage
Beberapa item secara default akan tertutup
Klik disini untuk
mengisikan data atau
mengaktifkan isian
NOT/NEGASI Jika
dicentang, berarti bukan
IP yang dimaksud
Firewall Usage
Di bagian Extra, bila diklik, akan langsung aktif
(kondisi akan diperiksa apakah memenuhi atau
tidak)
TIDAK
AKTIF
AKTIF
Firewall Usage
Firewall bekerja dalam prinsip IF-THEN
Berisi statistik,
seperti berapa KB
data yang telah
lewat dan berapa
Paket yang telah
memenuhi rule ini
Port-port Service
Port-port yang
digunakan oleh
penyedia layanan
Contohnya
Server www.yahoo.com
akan membuka TCP
port 80
Oleh sebab itu, bila
Anda ingin menutup
client agar tidak bisa
ke www.yahoo.com,
maka harus diatur port
tujuan adalah TCP/80
Firewall THEN
ACCEPT berarti traffic
yang memenuhi kriteria
IF tadi akan langsung
dikeluarkan dari
pemeriksaan (diterima
untuk
diteruskan/dilewatkan)
Firewall THEN
ADD to ADDRESS LIST
Akan menambahkan
alamat IP tujuan/sumber
ke dalam sebuah
address-list yang
ditentukan
JUMP Akan
mengarahkan proses ke
chain lain (lompat ke
chain lain)
TARPIT
Mengembalikan respon
TCP (ACK)
PASSTHROUGH Tidak
melakukan apa-apa,
digunakan untuk
memeriksa apakah
kriteria IF telah
terpenuhi atau tidak
(dilihat counternya)
RETURN Digunakan bersama
dengan JUMP untuk
mengembalikan proses ke chain
semula
Firewall - Strategi
Filter Input
Chain yang berisi rule/aturan yang mengatur
traffic menuju ke Router
Chain yang digunakan untuk melindungi Router
Juga mengontrol respon dari chain output
Input
Response from DST
Server
Filter Input
Buatlah firewall agar Router Anda hanya dapat
diakses dari laptop saja
THEN/MAKA
Maka traffic ini diterima
(langsung akan keluar
dari chain)
THEN/MAKA
Maka traffic akan ditolak
agar tidak lewat ke proses
apapun lagi
2
Secara tidak langsung, OUTPUT
router juga
mem-blok
Mengambil
ke luar
request DNS yang berasal
dari DNS
luar
(ALLOWED)
1
INPUT
Laptop merequest DNS ke
Router
(ALLOWED)
3
INPUT
DNS REPLY ke Router
(DROP karena ada rule DROP ALL)
DNS
menggunakan
protokol UDP port 53
INPUT
OUTPUT
REQUEST
Protocol = UDP
Dst-Port = 53
RESPONSE
Protocol = UDP
Src-Port = 53
MAC Filtering
Bahkan jika alamat IP Anda diblok, Anda
tetap dapat melakukan koneksi via MACWinbox
Ini dikarenakan FIREWALL Filter tidak
berlaku untuk filtering MAC layer (layer 2)
Konfigurasi MAC layer dapat diatur
melalui menu MAC Server
MAC Filtering
Mengatur
dari
interface
mana
saja MACTelnet
diijinkan
Mengatur dari
interface apa saja
MAC-Winbox dapat
diijinkan
Apakah MAC-Ping
dapat dilakukan
menuju Router ini
Address List
Adakalanya beberapa IP yang tidak berada
dalam 1 subnet mendapatkan rule yang
sama, misal untuk drop Winbox dari
beberapa IP Lokal
192.168.10.21
192.168.10.10
192.168.10.40
192.168.10.83
TCP
TCP
TCP
TCP
dstport=8291
dstport=8291
dstport=8291
dstport=8291
DROP
DROP
DROP
DROP
Address List
Berisi beberapa IP yang dikelompokkan
menjadi sebuah list (dengan nama
tertentu)
Dapat digunakan dalam
Filter Rules
Mangle
NAT
Address List
Address dapat
berisi
Single IP
192.168.1.100
Range IP
192.168.1.10
192.168.1.100
Subnet IP
192.168.10.128/29
Dapat digunakan
untuk Daftar
Sumber maupun
Daftar Tujuan
Masukkan
Nama List IP
di sini
Address List
Masukkanlah IP Laptop Anda dan IP Publik rekan
Anda ke dalam Address List
Cobalah untuk membuat rule (blocking/allowing)
untuk akses Winbox ke Router Anda dan test apakah
rule berjalan sesuai dengan yang Anda harapkan
IP = 10.1.1.XY
IP =
192.168.XY.1
Filter Forward
Chain berisi rule yang mengontrol traffic
melewati router
Mengontrol traffic dari dan ke PC Client
Umumnya digunakan untuk membatasi akses
dari client ke luar
IP 192.168.98.100
TIDAK BOLEH BROWSING
TIDAK BOLEH PING
BOLEH TELNET
Filter Forward
Buatlah rule untuk melakukan blocking
agar IP tertentu tidak bisa melakukan
browsing website apapun
Filter Forward
Buatlah rule untuk melakukan blocking
terhadap ping/traceroute dari IP yang lain
CHAIN = FORWARD
SRC-IP = !
192.168.98.1
PROTOCOL = ICMP
ACTION = DROP
Filter Forward
Buatlah rule agar Anda tidak dapat
melakukan Telnet ke MainRouter
(10.1.1.254)
TELNET ke 10.1.1.254
CHAIN = FORWARD
SRC-IP =
192.168.98.1
DST-IP = 10.1.1.254
PROTOCOL = TCP
DST-PORT = 23
ACTION = DROP
Filter Forward
Buatlah rule agar Anda dapat melakukan
browsing ke MainRouter (10.1.1.254)
namun tetap tidak bisa melakukan
browsing ke website lain
HTTP TUJUAN = 10.1.1.254 ACCEPT
CHAIN = FORWARD
SRC-IP =
192.168.98.1
DST-IP = 10.1.1.254
PROTOCOL = TCP
DST-PORT = 80
ACTION = ACCEPT
TUJUAN : ALL/SEMUA DROP (sudah ada di
lab 1)
Urutan Rule
HTTP ke WEBSITE APAPUN
PING/TRACEROUTE dari IP lain
TELNET ke 10.1.1.254
HTTP TUJUAN = 10.1.1.254 ACCEPT
Cobalah membuka
www.yahoo.com dan
membuka http://10.1.1
.254
HASIL :
- Website YAHOO ________
- Website 10.1.1.254
________
Cobalah membuka
www.yahoo.com dan
membuka http://10.1.1
.254
HASIL :
- Website YAHOO ________
- Website 10.1.1.254
________
Custom Chain
Selain chain yang ada (INPUT, OUTPUT,
FORWARD), dapat dibuat chain-chain
sesuai keinginan
Secara default, hanya chain yang
terdefinisi sebelumnya (INPUT, OUTPUT,
FORWARD) yang akan dilewati secara
otomatis
Untuk membuat chain baru dan dilewati
oleh traffic, harus dibuat rule JUMP
Custom Chain
Custom Chain
Custom
Chain
Custom Chain
Buatlah Group CHAIN sebagai berikut
Group IT
BOLEH SSH, Telnet, FTP, WinBox
BOLEH HTTP
DROP lainnya
Group Admin
BOLEH HTTP
BOLEH Email
DROP lainnya
Group Staf
DROP ALL
Custom Chain
CHAIN=FORWAR
SRC-IP=192.168.XY.100 ACTION=JUMP
D
CHAIN=ADMIN
SRC-IP=192.168.XY.1 ACTION=JUMP
CHAIN=IT
ACTION=DROP
CHAIN=IT
CHAIN=ADMIN
ACCEPT HTTP
(TCP/80)
ACCEPT EMAIL
(TCP/25)
Custom Chain
Firewall LOG
Aktifitas firewall dapat ditampilkan / disimpan
dalam LOG
Log harus diletakkan di atas rule lain (atau di
atas rule yang akan diperiksa)
Firewall LOG
Firewall LOG
Buatlah LOG untuk semua IP yang melakukan
ping menuju server luar (FORWARD) dan menuju
Router (INPUT)
Forward untuk
melakukan log pada traffic
menuju server luar
Chain apa yang digunakan
untuk log traffic ping
menuju ke Router?
Connection Tracking
Dalam sebuah Router, semua traffic yang
lewat akan dicatat (agar dapat
dikembalikan dengan benar ke Client
yang melakukan request)
Dalam MikroTik, hal ini diatur dalam
Connection Tracking
Connection Tracking
Connection Tracking berisi semua koneksi yang
terjadi (lengkap dengan protokol dan port yang
digunakan) serta state-nya (statusnya)
Bila Connection Tracking tidak diaktifkan, maka
Firewall (Filter, NAT, Mangle) tidak akan dapat
digunakan
Connection Tracking
Setiap koneksi memiliki state atau status
tertentu
Status ini disebut connection-state
Connection State <> TCP State
Connection State
Connection State
Invalid
New
Establish
Related
NETWORK ADDRESS
TRANSLATION
Source NAT
Destination NAT
Source NAT
Mengganti source address yang akan keluar
menjadi source address baru
Source NAT
Source NAT digunakan untuk :
SourceNAT
Masquerade
10.1.1.XY
Source NAT
Source NAT yang lain adalah yang dikenal
dengan nama SourceNAT (src-nat)
Hampir sama seperti masquerade, namun
src-nat dapat memilih pada saat keluar IP
apa yang akan digunakan
Digunakan bila :
Src-NAT
Tambahkan 1 IP di
interface WLAN1
Tambahkan 100
pada bagian
terakhir IP Anda
Misal IP Gateway
anda adalah
10.1.1.99, maka
yang anda
tambahkan adalah
IP 10.1.1.199
Src-NAT
Menambahkan 1
Rule
Src-NAT
Src-NAT
Pastikan Rule yang Anda buat ini berada di atas
rule Masquerade
Cobalah Telnet ke ClassAP (IP 10.1.1.254) lalu
lihatlah IP Publik Anda yang mana yang tampil
Destination NAT
Destination NAT akan merubah IP Tujuan yang
masuk ke dalam Router
Destination NAT
Destination NAT digunakan untuk :
dst-nat
redirect
Dst-NAT
Dst NAT digunakan untuk mengganti tujuan IP,
misal
DST = PUBLIC
IP
10.1.1.XY
Dst-NAT
Traffic akan difilter di
dstnat
Bila menuju IP
10.1.1.125 (IP Publik
Gateway) pls note
IP Gateway Anda
belum tentu IP ini
(sesuaikan)
Tujuannya adalah
TCP port 25 (SMTP)
Dst-NAT
Actionnya adalah
dst-nat, berarti
traffic ini akan
diganti IP tujuannya
(yang tadinya
10.1.1.125)
Menjadi IP mail
server (lokal),
yaitu IP
192.168.88.253
IP Lokal Anda
belum tentu IP
ini
Dan diganti port
tujuan yang
tadinya 25
menjadi 25
(tidak ada
perubahan)
Dst-NAT
Cobalah untuk melakukan Dst-NAT untuk
mengijinkan kelompok lain untuk
mengakses Laptop Anda
Bila Anda tidak memiliki servis Remote
Desktop di laptop Anda, downloadlah dari
FTP (10.1.1.254) program VNC Server dan
Viewer
Trainer akan memberikan contoh pada
Anda
Dst-NAT
IP
Publik
IP = 10.1.1.XY
I
F
EN
TH
IP =
192.168.XY.1
IP
Lokal
Redirect
Sama seperti Dst-NAT, redirect juga merubah IP
Tujuan, namun secara otomatis akan diubah
menjadi IP Router
Redirect
Bila ada traffic yang
lewat di chain dstnat
Redirect
Maka kemanapun
IP tujuannya akan
diganti menjadi IP
Router
Masukkan port
pengganti bila
akan
mengganti port
Redirect
Buatlah sebuah rule redirect untuk DNS
NAT Actions
QUALITY OF SERVICE
Quality of Service
Pada MikroTik, limitasi bandwidth diatur
dalam Quality-of-Service
Quality-of-Service tidak hanya mengatur
penggunaan bandwidth melainkan juga
mengatur prioritas bandwidth, burstable,
dual-limitation, dan lain-lain
Sistem yang digunakan adalah antrian
(Queue), jadi traffic tidak di-drop,
melainkan diatur dalam antrian
Simple Queue
Pengaturan QoS dalam MikroTik diatur
dalam menu Queue
Bentuk paling sederhana dari QoS adalah
Simple Queue
Simple Queue dapat melimit
Simple Queue
Untuk menggunakan Simple Queue, yang
wajib diisi adalah Target Address (IP)
Urutan dalam rule-rule Simple Queue
sangat penting (karena rule akan
dijalankan dari atas ke bawah, seperti
halnya Firewall)
Simple Queue
Simple Queue
Simple Queue
Limit alamat IP Anda agar hanya mendapat
bandwidth
Download 64k
Upload 32k
Monitoring Traffic
Traffic Queue dapat dimonitor di bagian
Statistic/Traffic
Dapat juga dimonitor melalui menu INTERFACE
Tools TORCH
Torch digunakan untuk memantau traffic yang
sedang berjalan secara real-time dan lengkap
Tools TORCH
Melimitasi berdasarkan
TUJUAN
Selain dapat menggunakan IP Client, Simple
Queue dapat dikombinasikan untuk melimit
hanya ke 1 server tujuan
Melimit Tujuan
Tambahkan IP www.mikrotik.com sebagai tujuan
(destination address)
Cobalah membuka www.mikrotik,com dan website
lain, bandingkan hasilnya
Prioritas Queue
Bila memiliki lebih dari 1 Queue, prioritas
setiap Queue dapat diatur sedemikian
rupa agar traffic yang diutamakan dapat
memperoleh prioritas lebih tinggi
Prioritas Queue diatur mulai angka 1 8
Prioritas Queue
Graphing
Graphing
Nama Simple Queue
yang ingin dibuatkan
grafiknya ALL
untuk semua
IP berapa yang
dapat mengakses
grafik tersebut
Disimpan dalam
DISK (grafik
masih tersimpan
setelah restart)
Mengijinkan
Target-Address
untuk membuka
grafiknya sendiri
Mengakses Grafik
IP
Router
Tampilan Grafik
Advanced Queue
Simple Queue dapat dimodifikasi untuk
membuat limitasi yang lebih advanced
Konfigurasi advanced ini diperoleh
dengan memanfaatkan Mangle dalam
firewall
Advanced Queue ini dapat membuat
limitasi yang membagi rata semua traffic
hanya dengan beberapa rule
Firewall Mangle
Mangle digunakan untuk menandai paket
Tanda yang dibuat oleh Mangle dapat
digunakan oleh
Firewall Mangle
Tanda yang dibuat oleh Mangle hanya
bisa dikenali di dalam router (tanda akan
dilepas sesaat sebelum meninggalkan
router)
Mangle digunakan untuk membagi atau
mengkategorikan traffic
Mangle tidak mengubah struktur paket
(TOS, DSCP, TTL) tapi dapat mengubah
nilainya
Firewall Mangle
Jenis Mangle
Ada 3 jenis utama Mangle, yaitu
Packet-mark
HTTP (TCP/80)
HTTP Limit
64k Upload
128k
Download
Other Limit
128k Upload
256k
Download
Mangle Connection
Tandai koneksi masing-masing (berdasarkan port
dan protokol tujuan)
Gunakan fitur passthrough agar dapat terus
menandai paket
Mangle Packet
Gunakan connection
yang telah dibuat (httpconn) untuk menandai
paketnya
INGAT packet-mark
TIDAK di-passthrough
PFIFO dan
BFIFO
Metode First-InFirst-Out (FIFO)
yang akan
membuat
antrian
berdasarkan
paket yang
datang
terlebih
PCQ
dahulu
--- akan dibahas
lebih detail di
bagian
selanjutnya
SFQ Stochastic
Fairness Queue
Sistem Queue yang
mengklasifikasikan
paket-paket menjadi
sub-flow
RED Random
Early Detect
Mendrop paket
dengan sistem
random
PCQ
PCQ merupakan salah satu implementasi
Advanced Queue
PCQ menggunakan classifier untuk
mengelompokkan traffic, classifier
tersebut bisa berupa IP atau port (baik
source maupun destination)
Dari sudut pandang Router, klasifikasi
berdasarkan
Lihat Slide
berikutnya
PCQ Rate
BRIDG
E
IP =
192.168.XY.100/24
IP =
192.168.XY.1/24
PCQ
Buatlah Bridge untuk
menghubungkan Ether1 dan Ether2
Terima Kasih