3.10 Megevaluasi Firewall Jaringan
3.10 Megevaluasi Firewall Jaringan
A. DEFINISI FIREWALL
FIREWALL (pengaman, pembatas, dan pengontrol) adalah system atau
perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk
melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya
sebuah Firewall diimplementasikan dalam suatu mesin khusus yang berjalan
pada pintu gerbang (gateway) antara jaringan local dan jaringan lainnya.
Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa
saja yang memiliki akses ke jaringan pribadi dari pihak luar.
OSI LAYER
DATA LAYER
Data Application
(Network Process to Application)
Host Data Presentation
Layers (Data Representation and Encryption)
Data Session
(Interhost Communication)
Segments Transport
(End-to-End Connections and Reliability)
Packets Network
Path Determination and IP (Logical Addressing)
Frames Data Link
Media
MAC and LLC
Layers
(Physical Addressing)
Bits Physical
Media Signal and Binary Transmission
4 Application 7 Application
6 Presentation
3 Transport Session
4 Transport
2 Internet 3 Network
1 Link 2 Data Link
1 Physical
FUNGSI FIREWALL
1. Mencegah Infromasi Berharga Hilang atau Bocor
Firewall banyak sekali di pasangi protokol untuk saling berbagi file yaitu
File Transfer Protocol (FTP), maka dari itu semua lalu lintas data pada
jaringan kita di atur secara penuh oleh Firewall. Maka dalam hal ini
Firewall berfungsi untuk menjaga dan mengamankan pengiriman file-file
berarga yang bersifat rahasia kepada pihak lainnya.
3. JENIS-JENIS FIREWALL
Firewall dapat dibedakan berdasarkan cara kerjanya dan ada empat
jenis firewall.
a. Packet filtering gateway
Application Layer
Transport Layer Packet data hanya di
Internet Layer filter di Layer ini
Network Layer
Physical Layer
INTERNET
23
WEB
FIREWALL 80
SERVER
Model firewall ini dapat pula disebut proxy firewall. Mekanisme nya
tidak hanya berdasarkan sumber. Mekanisme lain yang terjadi adalah
paket tersebut tidak akan secara langsung sampai ke server tujuan, tetapi
hanya sampai firewall. Firewall tidak hanya membuka koneksi baru ke
server tujuan dan atribut paket, tetapi bisa mencapai isi (content) paket
tersebut. Tujuan setelah paket tersebut setelah paket tersebut diperiksa
berdasarkan pada aturan yang berlaku.
Bila kita lihat dari layer TCP/IP, firewall jenis ini akan melakukan
filterisasi pada layer aplikasi (Application Layer).
Application Layer Filter Packet data
Transport Layer dilakukan di Layer ini
Internet Layer
Network Layer
Physical Layer
4. KARAKTERISTIK FIREWALL
a. Seluruh hubungan atau kegiatan dari dalam keluar harus melewati
firewall dapat dilakukan degan cara memblokir atau membatasi
secara fisik semua akses terhadap jaringan lokal, kecuali melewati
firewall. Banyak sekali bentuk jaringan yang mungkin.
b. Hanya kegiatan yang terdaftar atau dikenal yang dapat melewati atau
melakukan hubungan. Hal ini dapat dilakukan dengan mengatur
policy pada konfigrasi keamanan lokal.
c. Firewall itu sendiri haruslah kebal atau relatif kuat dibanding
serangan atau kelemahan artinya , sistem yang digunakan dapat di
percaya dan sistem oprasinya relatif aman.
5. ARSITEKTUR FIREWALL
a. Arsitektur Dual-Homed Host
Arsitektur ini dibuat disekitar komputer Dual-Homed Host, yaitu
komputer yang memiliki paling sedikit dua antar muka jaringan.
Untuk mengimplemetasikan tipe Arsitektur Dual-Homed Host,
fungsi router pada host ini di nonaktifkan. Sistem didalam firewall
dapat berkomunikasi dengan Dual-Homed Host dan demikian pula,
sistem di luar firewall. Namun, kedua sistem tersebut tidak dapat
berkomunikasi secara langsung.
7. LAYANAN FIREWALL
Cara kerja firewall dari komputer adalah menutup port, kecuali
untuk bebrapa port tertentu yang perlu tetap terbuka. Firewall dikomputer
bertindak sebagai garis pertahanan terdepan untuk mencegah semua jenis
Hacking ke dalam jairngan setiap Hacker yang berusaha memasuki
jaringan komputer akan mencari port yang terbuka dan dapat di akses.
Firewall dapat berupa perangkat keras atau perangkat lunak, tetapi
cara kerja firewall akan optimal bila kedua jenis perangkat digabungkan.
Selain membatasi akses ke jaringan komputer firewall juga
memungkinkan akses remot ke jaringan privat melalui Scure
Authentication Certificates and Logins (Sertifikat Autentifikasi dan
Login yang aman).
Kebanyakan perangkat keras firewall memiliki minimal 4 port
jaringan untuk meghubungkan komputer lain.
Firewall secara umum bertujuan melayani :
a. Mesin atau Komputer
b. Jaringan
8. FIREWALL POLICYES
Firewall sendiri memiliki beberapa fungsi untuk melindungi
jairngan komputer yang dapat dijabarkan dalam beberapa poin berikut :
a. Sebagai post keamanan jaringan
Semua lalu lintas yang masuk atau keluar jaringan harus melalui
firewall sebagai port keamanan yang akan melakukan pemeriksaan.
Setiap terjadi lalu lintas, firewall akan berusaha menyaring agar lalu
lintas sesuai dengan keamanan yang telah ditentukan.
b. Mencegah informasi berharga bocor tanpa sepengetahuan
c. Mencatat aktivitas pengguna
d. Memodifikasi paket data yang datang
e. Mencegah modifikasi data pihak lain.
9. IP TABLES
Adalah tool atau alat yang digunakan pada sistem operasi Linux dan
berfungsi sebagai alat untuk melakukan peyaringan atau filter terhadap
lalu lintas atau trafix data dalam suatu server. Secara sederhana IP Tables
digambarkan sebagai pengatur lalu lintas data. Inti dari IP Tables adalah
suatu firewall yang membatasi lalu lintas data atau sebagai dinding
pembatas yang bertujuan melindungi suatu sistem jaringan.
10. IPFW (IP FIREWALL)
IPFW atau IP Firewall adalah salah satu layanan yang dimiliki oleh
Operating System FreeBSD untuk membangun sebuah firewall. Firewall
ini bekerja pada layer tiga lapisan OSI. Salah satu ciri Firewall dengan
IPFW adalah pembacaan rule-nya akan dilakukan dari atas ke bawah.
Apabila ada lalu lintas yang sudah sesuai dengan rule firewall di bagian
atas maka sistem akan mengeksekusi tanpa membaca atau
membandingkan degan rule di baris berikutnya.
11.DMZ
Dalam keamanan computer, DMZ atatu zona demiliterisasi (kadang-
kadang disebut jaringan perimeter) adalah subnetwork fisik atau logis
yang mencakup dan mengekspos organisasi eksternal yang menghadapi
layanan untuk jaringan yang tak terpercaya,biasanya jaringan lelbih besar
seperti internet. Tujuan DMZ adalah menambahkan lapisan keamanan
untuk layanan jaringan area local (LAN).simpul jaringan eksternal hanya
dapat mengakses apa yang terkena DMZ,sedangkan sisanya dari jaringan
organisasi yang firewall. Nama ini berasal dari istilah “Zona
Demiliterisasi”,yaitu daerah antara negra-negara dimana oprasi militer
tidak diizinkan. Dalam arti mililiter,DMZ tidak dilihat sebagai milik
salah satu pihak yang berbatasan itu ,konsep ini berlaku untuk
penggunaan komputasi dengan metafora dalam DMZ,misalnya yang
bertindak sebagai gateway keinternet umum yang tidak aman seperti
jaringan internal maupun yang tidak aman sebagai internet public.
Dalam host ini, host yang paling rentan terhadap serangan adalah
Yng memberikan layanan kepada pengguna diluar jaringan area local
seperti : Email, Web dan Domain Name System (DNS) server. Karna
peningkatan potensi host mengalami serangan,mereka ditempatkan
dalam subnetwork tertentu untuk melindungi sisa jaringan jika
penmengalami serangan,mereka ditempatkan dalam subnetwork tertentu
untuk melindungi sisa jaringan jika penusup yang berkompromi dengan
salah satu dari mereka berhasil.
Host di DMZ diizinkan untuk memiliki konektivitas terbatas hanya
untuk host tertentu dijaringan internal karna isi dari DMZ tidak aman
seperti jaringan internal. Demikian pula, komunikasi antara host dalam
DMZ dan jaringan eksternal juga dibatasi sehingga DMZ lebih aman dari
internet, dan cocok untuk perumahan layanan ini tujuan khusus.
Sementara itu intervensi firewall mengontrol lalu lintas antara server
DMZ dan klien jaringan internal, lalu firewall lain akan melakukan
beberapa tingkat control untuk melindungi DMZ dari jaringan eksternal.
Konfigurasi DMZ memberikan keamanan dari serangan
eksternal,tetapi biasanya tidak memiliki bantalan pada serangan internal
seperti mengendus komunikasi melalui analisis paket atau spoofing
seperti spoofing email.
Kebiasaan demikian kadang baik untuk mengonfiigurasi terpisah
baris Militerized Zone (CMZ). Zona militer yang sangat terpantau terdiri
atas sebagian besar web server (dalam server serupa yang antar muka
dengan dunia luar,yaitu internet) yang tidak diDmz tetapi berisi informasi
sensitive tentang mengakses server dalam LAN (seperti server
databaase).dalam arsitektur tesebut, DMZ biasanya memiliki aplikasi
firewall dan FTP sementara CMZ host server web. Data base server bisa
diCMZ,di Lan atau dalam VLAN yang terpisah sama sekali.
a. Layanan yang sering digunakan
Setiap layanan yang disediakan untuk pengguna dijaringan
eksternal dapat ditempatkan dalam DMZ.hal paling umum dari
layanan ini adalah :
1. Server web yang berkomunikasi dengan database internal
memerlukan akses kedatabase server yang tidak dapat diakses
public dan mungkin berisi informasi sensitif. Server web dapat
berkomunikasi dengan database server baik secara langsung
ataupun melalui aplikasi firewall untuk alasan keamanan.
2. Email pesan dan khususnya database pengguna bersifat rahasia
sehingga mereka biasanya disimpan deserver yang tidak dapat
diakses dari internet (setiaknya secara tidak aman),tetapi dapat
diakses dari server email yang terhubung keinternet.
3. Mail server di dalam DMZ melewati surat masuk ke server email
yang aman atau internal. Hal ini juga menangani surat keluar.
b. Manfaat DMZ
Untuk keamanan, sesuai dengan standar hukum seperti HIPAA
dan pemantauan alasan dalam lingkungan bisnis, beberapa
perusahaan menginstal proxy server dalam DMZ. Manfaatnya
sebagai berikut :
1. Mewajibkan pengguna internal (biasanya karyawan) agar
menggunakan proxy erver untuk akses internet.
2. Mengurangi persyaratan akses bandwidth internet karena
beberapa konten web dapat di-cache oleh proxy server.
3. Menyederhanakan pencatatan dan pengawasan kegiatan
pengguna penyaringan terpusat konten web. Sebuah reverse
proxy server itu seperti proxy server merupakan perantara, tetapi
digunakan sebaliknya. Alih-alih menyediakan layanan untuk
pengguna internal yang ingin mengakses jaringan eksternal, ia
meyediakan akses langsung untuk jaringan eksternal (biasanya
internet) ke sumber daya internal. Misalnya, akses aplikasi office
seperti sistem email dapat diberikan kepada pengguna eksternal
(untuk membaca email sementara di luar perusahaan) tetapi
pengguna jarak jauh tidak akan memiliki akses langsung ke
server email mereka. Hanya reverse proxy server fisik yang dapat
mengakses server email internal. Lapisan ini merupakan lapisan
keamanan tambahan yang sangat di anjurkan ketika sumber daya
internal perlu di akses dari luar. Biasanya mekanisme seperti
reverse proxy (proxy terbalik) disediakan dengan menggunakan
firewall lapisan aplikasi karena mereka fokus pada betuk tertentu
lalu lintas daripada mengendalikan akses ke TCP dan port UDP
khusus sebagai firewall packet filter tidak.
12.TUNNELS
IP Tunnel atau bisa Anda sebut IP terowongan merupakan sebuah
(Internet Protocol) network komunikasi antara dua jaringan. Dengan
adanya IP tunnel kita bisa bergabung dengan network lain, secara
langsung kita membuat terowongan sendiri untuk menggabungkan
network kita. Jika IP Tunnel berhasil maka sudah tidak ada lagi sebutan
yang memisahkan kita karena walau jauh kita serasa 1 network di mata
dekat di network). Dengan kata lain, secara teknis IP digunakan untuk
menghubungkan dua jaringan IP yang memiliki jalur routing asli satu
sama lain melalui routable protocol melintasi jaringan trasportasi
perantara. Misalnya, kita menggunakan koneksi ISP Aminnet dan kita
ingin tunnnel ke adnnet maka jalur digunakan adalah jalur Aminnet untuk
gabung ke adnnet. Istilahnya, Aminnet itu hanya menjadi jembatannya.
Kemudian, koneksi digunakan juga sesuai tujuan kita akan tunnel. Jika
kita tunnel ke network ada di Indonesia maka koneksi yang kita gunakan
adalah IIX sama sekali tidak memakai network internasional untuk
tersebut.
13.IPSec
IPSec merupakan singkatan dari IP security, IPSec merupakan suatu
protokol yang digunakan untuk melakukan pertukaran paket pada layer
IP secara aman. IPSec menyediakan dua jenis mode enkripsi, yaitu mode
transport dan mode tunnel. Mode transport akan mengenkripsi bagian
data (payload) masing-masing paket tanpa mengubah header pake
tersebut. Algoritma yang digunakan untuk mengenkripsi data adalah
algoritma kriptografi simetris. IPSec mode ini menggunakan sub-
protokol yang disebut encapsulated security payload (ESP).
Pada mode tunnel, kita melakukan komputasi pada data dan header.
paket yang akan dikirim dengan menggunakan teknik checksum
kriptografi dan mengubah bagian header paket IP menggunakan fungsi
hashing yang aman. Paket ini akan mendapatkan header baru yang
mengandung nilai hash agar informasi pada paket biasa diautentikasi di
bagian penerima. Mode ini seolah-olah membuat "terowongan" khusus
pada jaringan publik yang hanya dapat diakses oleh orang-orang tertentu.
B. KONFIGURASI FIREWALL
1. Prosedur dan Teknik Konfigurasi Firewall
Berikut adalah cara setting firewall pada Mikrotik.
IP Internet 192.168.43.0/24
Gateway : 192.168.43.1
DNS : 192.168.43.1 INTERNET
Ether 1 : 192.168.43.178
Ether 2 : 192.168.1.1
ROUTER
192.168.43.0/24
SWITCH
PC PC PC
WAN
ROUTER
RouterPCR
ETH1
PC ETH3 ROUTER
ROUTER MIKROTIK
Gambar 1.15 Cara Memblokir web via filter rule
f. Lalu, klik action dan pilihlah drop. Artinya, seluruh paket yang
dikirim oleh PC client dengan IP yang telah didaftarkan akan didrop
atau ditolak.
DNS www.pens.ac.id
DHCP
c. Langkah percobaan
Berikut adalah cara membangun desain jaringan seperti gambar
tersebut
1. Guest OS 1: memiliki dua antarmuka jaringan, yaitu bridge
adapter (dhcp) dan host only 192.168.184.100
2. Guest OS 2: memiliki satu antarmuka jaringan, yaitu host only
192.168.184.101
3. Guest OS 3: memiliki satu antarmuka jaringan, yaitu host only
192.168.184.102
HOST OS
1. Masuk sebagai root
Sebelum melakukan percobaan ini, pastikan telah masuk
sebagai root dengan menggunakan perintah berikut. Password
yang dimasukkan disesuaikan dengan password dari pengguna.
# sudo su
student@debian $sudo su
[sudo] password for student
#nano /etc/vmware/vmnet/dhcp/dhcpd.conf
Root#debian:/home/student#nano
/etc/vmnet1/dhcp/dhcpd.conf
3. Restart VMWare
Untuk memastikan konfigurasi telah tersimpan, restart
Vmware dengan menggunakan perintah:
4. Cek IP Address
Langkah berikutnya adalah melihat alamat IP vmnet pada
terminal OS. Alamat IP itulah yang nantinya akan digunakan
untuk melakukan konfigurasi alamat IP VMware player secara
statis. Adapaun perintah yang digunakan adalah:
# ifconfig
GUEST OS 1
1. Mengubah konfigurasi antarmuka ethl menjadi statis
Cara mengubah alamat IP dari ethl menjadi statis adalah
dengan mengubah file /etc/network/interfaces. Adapun alamat
IP dari ethl adalah 192168184100 Alamat 192.168.184.0 /24
diambil dari alamat IP vmnet yang ada di Host OS.
#The loopback network Interface
auto 10
Iface lo inet loopback
2. Cek IP Address
Mengecek alamat IP apakah sudah sesuai dengan
konfigurasi yang telah kita lakukan.
Guest OS 1 memiliki dua antarmuka, yaitu bridge adapter
(etho) dan Host Only (ethl). Alamat IP dari eth0 berasal dari
dhcp client. Sementara itu, alamat IP dari ethl berasal dari
konfigurasi yang telah dilakukan pada file
/etc/network/interfaces.
Guest OS 2
The loopback network interface
auto lo
Iface lo inet loopback.
address 192.169.184.101
netmask 255.255.255.0
broadcast 192.168.184.255
gatewny 192.168.164.100
#This is an auto configured IPv6 Interface
Iface etho Inet 6 auto
Guest OS 3
auto 10
Iface lo inet loopback
address 192168184102 _
netmask 255.255.255.0
broadcast 192168184255
gateway 192168184100
This is an autoconfigured IPV6 Interface
face etho inet6 auto
# /etc/init.d/networking restart
root@deblani/home/Student# /etc/init.d/networking restart
Gambar 1.45 Merestart jaringan di Guest OS 2 dan Guest OS 3
5) Cek IP Address
Cara mengecek IP Address apakah sudah sesuai dengan
konfigurasi yang telah kita lakukan adalah dengan mengetikan
perintah :
#ifconfig
C. MEMPERBAIKI FIREWALL
Firewall merupakan salah satu fasilitas yang dimiliki oleh sistem operasi
sistem operasi dari operasi ilegal yang datang dari luar dengan menyaring
Windows (semua versi Windows). Firewall digunakan untuk melindungi
semua data operasi yang akan masuk ke dalam sistem komputer. Kemudian
firewall akan sangat berperan ketika komputer kita terkoneksi dengan
jaringan internet. Peran firewall di sini adalah untuk mengizinkan atau
menolak data yang hendak masuk ke dalam komputer kita dari intenet. Jika
diizinkan, data akan masuk ke dalam komputer kita dengan aman. Namun
supaya tidak masuk ke dalam sistem komputer kita jika tidak, maka firewall
akan memblokir data tersebut dan menghalanginya Akan tetapi, apakah
terbayangkan oleh Anda jika suatu saat firewall yang kita gunakan
mengalami masalah? Misalnya, eror karena file corrupt Tentunya untuk
setiap sistem atau program pasti akan ada saatnya eror.
Firewall yang korup akan menutup semua port jalan keluar masuk dari
sistem komputer dan jalan keluar paling mudah untuk orang awam a instal
ulang Windows atau repair Windows. Pekerjaan demikian tentu saja
memakan waktu yang sangat lama (tergantung spek komputer yang dipakai
Namun belakangan ini, ada suatu perangkat lunak yang dapat memperbaiki
firewall yang korup dengan mudah dan cepat. Repair Windows Firewall.
begitu orang menyebutnya. Repair Windows Firewall bekerja di bawah
sistem operasi Windows yang akan memperbaiki firewall dari Windows
tersebut. Perangkat lunak ini berukuran sangat kecil, tetapi dapat dibilang
sangat membantu kita dalam mengatasi firewall yang bermasalah.
RANGKUMAN
1. Firewall adalah suatu sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas
jaringanyang tidak aman. Umumnya, firewall diterapkan dalam suatu mesin
khususyang berjalan pada gateway antara jaringan lokal dan jaringan
lainnya. Firewall umumnya digunakan pula untuk mengontrol siapa saja
yang memiliki akses ke jaringan pribadi dari pihak luar.
1. Fungsi Bandwith
Fungsi utama bandwith adalah untuk menghitung besaran transaksi atau
transfer data dari pengguna yang mengakses sebuah server.Berikut adalah
fungsi bandwith dalam jaringan komputer.
a. Menjadi jalur atau media pengiriman data
Fungsi ini adalah fungsi yang paling umum dan berlaku di hampir semua
tempat yang memiliki jaringan komputer. Bandwith memang berfungsi
sebagai media atau jalur pengiriman data yang dimiliki oleh suatu komputer
atau jaringan tertentu. Istislah ini mungkin agak berbatasan dengan
pengertian media di tempat lain. Misalnya, antara komputer anda dengan
koneksi LAN dirumah. Mungkin media koneksi antara laptop dengan
jaringan anda dirumah adalah kabel LAN fisik.Namun, di dalam kabel LAN
tersebut ada jalur atau jaringan yang memungkinkan data antara laptop anda
dan komputer lain di jaringan tersebut dapat saling berpindah atau ditransfer.
b. Bandwidth Digital
Merupakan jumlah atau banyaknya data (bit) yang dapatdikirimkan
dan diterima melalui sebuah saluran komunikasi tanpaadanya distorsi
dalam 1 detik. Satuannya adalah bits, Byte, Kilo, Mega Giga.
1) 1 Byte (1 B) = 8 bits
2) 1 Kilobit (1 kb) = 1.000 bits
3) 1 KiloByte (1 KB) = 8.000 bits
4) 1 Megabit (1 Mb) = 1000000 bits
5) 1 Gigabits (1 Gb) = 1.000.000.000 bits
3. Throughput
Pengertian dari Throughput adalah bandwidth yang sebenarnya atau
aktual, diukur dengan satuan waktu tertentu dan pada kondisi jaringan
tertentu, serta digunakan untuk melakukan transfer file dengan ukuran
tertentu juga.
5. Link Performance
Masalah yang dapat membatasi kinerja link yang diberikan meliputi:
a. Transmission Control Protocol/TCP menentukan kapasitas koneksi
dengan membanjirinya sampai paket mulai disampaikan;
b. Queuing di router menghasilkan lebih tinggi dan saat jaringan mendekati
(dan kadang-kadang melebihi) kapasitas;
c. TCP global synchronization, ketika jaringan mencapai hasil kapasitas
pemborosan bandwidth;
d. Burstiness lalu lintas web membutuhkan bandwidth cadangan untuk
mengakomodasi lalu lintas yang padat dengan kecepatan tinggi;
e. Kurangnya dukungan luas untuk mengatasi kemacetan jaringan dengan
pemberitahuan kemacetan manajemen di internet;
f. (ISP/Internet Service Provider) biasanya memegang kendali atas
manajemen antrian dan kualitas layanan di akhir tautan;
g. Kemacetan jaringan memungkinkan produk akhir yang lebih tinggi untuk
mengurangi arus lalu lintas, mengurangi kedalaman antrian, dan
memungkinkan lebih banyak pengguna untuk berbagi lebih banyak
bandwidth secara merata;
6. QoS
Quality of service (QoS) adalah kemampuan suatu jaringan untuk
menyediakan layanan yang baik dengan menyediakan bandwidth serta
mengatasi jitter dan delay. Parameter QoS adalah latency, jiter, packet, loss,
throughput, MOS, eeho cancellation, dan PDD. QoS sangat di tentukan oleh
kualitas jaringan yang digunakan, ada beberapa faktor yang dapat
menurunkan nilai QoS, seperti: redaman, distorsi, dan noise.
QoS (Quality of Service):”the collective effect of service performance
which determines the degree of satisfaction of a user of the service”,
International Telecommunication Union (ITU).
QoS didesain untuk menbantu end user (client) menjadi lebih produktif
dengan memastikan bahwa pengguna mendapatkan performa yang handal
dari aplikasi-aplikasi berbasis jaringan. QoS mengacu pada kemampuan
jaringan untuk menyediakan layanan yang lebih baik pada trafik jaringan
tertentu melalui teknologi yang berbeda-beda. QoS merupakan suatu
tantangan besar dalam jaringan berbasis IP dan internet secara keseluruhan,
tujuan QoS adalah memenuhi kebutuhan-kebutuhan layanan yang berbeda
tetapi menggunakan insfrastruktur sama. QoS menawarkan kemampuan
untuk mendefinisikan atribut-atribut layanan yang di sediakan, baik secara
kualitatif maupun kuantitatif.
a. Pentingnya QoS
Ada beberapa alasan kita memerlukan Qos, yaitu:
1. Memberikan priorotas untuk aplikasi yang penting pada jaringan
2. Memaksimalkan pengguna investasi jaringan yang sudah ada
3. Meningkatkan peforma untuk aplikasi sensitif terhadap delay, seperti
Voice dan Video.
4. Merespons adanya perubahan-perubahan pada aliran trafik di jaringan.
b. tingkatan QoS
Ada tiga tingkatan QoS yang umum di pakai, yaitu best-effort
service,integrated service, dan differentiated service. ketiga level tersebut
akan di uraikan lebih detail sebagai berikut:
1. Best-Effort Service
Best-effort serfice digunakan untuk melakukan semua usaha agar
dapat mengirimkan sebuah paket ke suatu tujuan, penggunaan best-
effort service tidak akan memberikan jaminan paket dapat sampai ke
tujuan yang di kehendaki, suatu aplikasi dapat mengirimkan data
dengan besar yang tidak di tentukan dan kapan saja tanpa harus
meminta izin atau mengirimkan pemberitahuan ke jaringan. beberapa
aplikasi dapat menggunakan best-effort service. Contohnya,FTP dan
HTTP yang dapat mendukung best-effort service tanpa mengalami
permasalahan. untuk aplikasi-aplikasi yang sensitif terhadap network
delay, fluktuasi bandwidth, dan perubahan kondisi jaringan: penetapan
best-effort service bukanlah tindakan yang bijaksana. sebagai
contohnya, aplikasi telephony pada jaringan memburuhkan besar
bandwidth yang tetap agar dapat berpungsi dengan baik. dalam hal ini,
penetapan best-effort akan mengakibatkan panggilan telepon gagal
atau terputus.
2. Integrated service
Model integrated service menyediakan aplikasi dengan tingkat
jaminan layanan melalui negosiasi parameter-parameter jaringan
secara end-to end.Aplikasi akan meminta tingkat layanan yang di
butuhkan agar dapat beroprasi dan bergantung pada mekanisme di
butuhkan agar dapat beroprasi dan bergantung pada mekanisme Qos
untuk menyediakan sumber daya jaringan yang di mulai sejak
permulaan trasmisi aplikasi tersebut, Aplikasi tidak akan mengirimkan
trafik sebelum menerima tanda bahwa jaringan mampu menerima
beban yang akan dikirimkan aplikasi dan mampu menyediakan QoS
yang di minta secara end-to end. untuk utulah suatu jaringan akan
melakukan suatu proses yang di sebut admission control. Admission
control adalah mekanisme yang mencegah jaringan mengalami over-
loaded. jika QoS yang di minta tidak dapat di sedikan, jaringan tidak
akan mengirimkan tanda ke aplikasi agar dapat mulai mengirimkan
data.jika aplikasi telah memulai pengiriman data, sumber daya pada
jaringan yang sudah di pesan aplikasi tersebut akan terus di kelola
secsra end-to end sampai aplikasi tersebut selesai.
3. Differentiated Service
Model terahir dari QoS adalah model differentiated
service.Differentiated service menyediakan suatu set prangkat
klasifikasi dan mekanisme antrian terhadap protocol atau aplikasi
dengan prioritas tertentu di atas jaringan yang berbeda Differentiated
Service tergantung pada kemampuan edge router untuk memberikan
klasifikasi paket dengan tipe berbeda dan melewati jaringan. trafik
jaringan dapat di klasifikasikan berdasarkan alamat jaringan,protokol
dan port, ingress interface, atau klasifikasi lainya selama masih di
dukung oleh standard access list atau extended access list.
c. Parameter QoS
Penomena mengacu pada tingkat kecepatan dan keandalan
penyampain berbagai jenis beban data di dalam suatu komunikasi,
performa merupakan kumpulan beberapa parameter besaran teknis yaitu:
1) Throughput, yaitu kecepatan (rate) transfer data efektif yang di yang
diukur dalam bps, Throughput merupakan jumlah total kedatangan
paket yang di amati pada destination selama interval waktu tertentu
dibagi oleh durasi interval waktu tersebut.
2) Packet Loss, merupakan suatu parameter yang menggambarkan
kondisi dengan menunjukkan jumlah total paket yang hilang .
parameter ini dapat terjadi karna cillision dan congestion pada jaringan
dan mempengaruhi semua aplikasi. kemudian retrasmisi akan
mengurangi efisiensi jaringan secara keseluruhan meskipun jumlah
bandwidth cukup tersedia untuk aplikasi-aplikasi tersebut. umumnya
prangkat jaringan memiliki bufer untuk menampung data yang di
terima, juka terjadi kongesti yang cukup lama, buffer akan penuh dan
data baru tidak akan di terima.
6) Echo Cancelation
Untuk menjamin kualitas layanan voice over packet terutama yang
oleh echo karena delay yang terjadi pada jaringan paket, perangkat
harus menggunakan teknik echo cencaletion persyaratan performa
yang di perlukan untuk echo canceller harus mengacu standar
internasional ITU G.165 atau G.168.
b. Intermodolation noise
1. terjadi karena ketidak-linieran komponen transmittler dan
receiver
2. Sinyal output merupakan penjumlahan dan perbedaan dari
sinyal input
3. Sistem diharapkan liner sehingga sinyal output=sinyal input.
c. Impulse noise
1. Pulsa-pulsa iregular spikes
2. Durasi pendek
3. Amplituda tinggi
4. Pengaruh kecil pada komunikasi telepon analog
5. Pengaruh besar pada komunikasi data.
d. Crosstalk
1. Gandengan yang tidak diinginkan antarlintasan sinyal media
mental (twisted pair & koaksial).
2. Penyebab
4) Gandengan elektris
Pengendalian respons frekuensi yang buruk.
Contoh: Ketika bertelpon, kita mendengarkan percakapan lain.
5) Echo
Terjadi ketika sinyal yang dikirim oleh transmitter kembali
(feedback) kepadanya.
e. Perbaikan QoS
Dalam usaha menjaga dan mengingatkan nilai QoS, kita
menbutuhkan teknik untuk menyediakan utilitas jaringan. Caranya
adalah dengan mengklasifikasikan dan memprioritaskan setiap informasi
sesuai dengan karekteristiknya masing-masing. Contohnya, ada paket
data yang bersifat sensitif terhadap delay tetapi tidak sensitif terhadap
paket loss seperti VoIP, ada juga paket yang bersifat sensitif terhadap
packet loss tetapi tidak sensitif terhadap delay seperti transfer data, Oleh
karna itu, kita perlu melakukan pengklasifikasian paket dan pengurutan
priorotas paket dari yang paling tinggi sampai terendah.
8. Bandwidth Limitter
Bandwidth Limitter adalah perangkat linak yang dapat kita gunakan
untuk membatasi bandwidth koneksi untuk pengguna pada suatu LAN, atau
WAN, jadi, tujuan agar setiap pengguna memperoleh bandwidth yang sama
dengan aplikasi bandwidth limitter ini.
2. Qucue Tree
Limitasi Bandwidth Sederhana
Cara paling mudah untuk melakukan qucue pada routerOS adalah dengan
menggunakan Simple Qucue. kita bisa melakukan pengaturan bandwidth
secara sederhana berdasarkan IP Address client dengan menentukan
kecepatan upload dan download maksimum yang bisa dicapai oleh client.
Contohnya sebagai berikut:
Kita akan melakukan limitasi maksimal upload: 128 kbps dan maksimal
download: 512 kbps terhadap client dengan IP 192.168.10.2 yang terhubung
ke router. parameter target address adalah IP address dari client yang akan
dibatasi, antara lain berupa:
a. Single IP (192.168.10.2)
b. Network IP (192.168.10.0/24)
c. Beberapa IP (192.168.10.2,192.168.10.13) dengan menekan tombol
Panah bawah kecil di sebelah kanan kotak isian.
Penentuan kecepatan maksimum client dilakukan pada parameter target
upload dan target download max-limit. Bisa di pilih dengan dropdown menu
atau ditulis manual, satuan bps (bit per second).
3. Shared/Up to
Metode pembagian Bandwidth Share
Selain diginakan untuk melakukan manajemen bandwidth fix seperti
pada contoh sebelumnya, kita juga bisa memanfaatkan Simple Qucue untuk
melakukan pengaturan bandwidth share dengan menerapkan Limitasi
bertingkat. konsep limitasi bertingkat.
Router tidak tahu total bandwidth real yang kita miliki, maka kita harus
mendefinisikannya pada langkah pertama. pendefinisian ini bisa dilakukan
dengan melakukan setting qucue parent. besar bandwidth yang kita miliki
bisa di isikan pada parameter Target upload max-limit dan target Download
max-limit
Langkah selanjutnya, kita akan menentukan limitasi per client dengan
melakukan setting child-qucue, kita menentukan target address dengan
mengisikan IP address masing-masing client. terapkan Limit At (CIR): 128
kbps dan Max Limit (MIR):512 kbps, arahkan ke parent Total Bandwidth
yang kita buat sebelumnya. ulangi, untuk memberikan limitasi pada client
yang lain, sesuaikan targer address.
Selanjutnya, lakukan pengetesan dengan melakukan Download di si client.
1. Kondisi 1
Kondisi 1 menunjukkan ketika hanya 1 client yang menggunakan
bandwidth, maka client tersebut bisa mendapat hingga Max Limit.
Perhitungannya adalah router pertama akan memenuhi Limit At client, yaitu
128 kbps, Bandwidth yang tersedia masih sisa 512 kbps = 128 kbps = 384
kbps, karena client lain tidak aktif, maka 384 kbps yang tersisa akan di
berikan lagi ke client 1 sehingga mendapat 128 kbps + 384 kbps =512 kbps
atau sama dengan Max Limit.
2. Kondisi 2
Kondisi 2 menggambarkan ketika hanya 2 client yang menggunakan
bandwidth.
Perhitungannya adalah router pertama akan memenuhi Limit At semua
client terlebih dalulu, Akumulasi Limit At untuk 2 client=128 kbps x 2=256
kbps. Bandwidth total masih tersisa 256 kbps. sisa diberikan kemana? Tentu
akan di bagi rata ke kedua client sehingga tiap client mendapat Limit At +
(sisa Bandwidth/2) = 128 kbps + 128 kbps =256 kbps.
3. Kondisi 3
Kondisi 3 menunjukkan apabila semua client menggunakan bandwith
Perhitungannya adalah router pertama akan memenuhi Limit At tiap clien
lebih dulu, sehingga bandwidth yang di gunakan 128 kbps x3 =384 kbps.
bandwidth total masih tersisa 128 kbps. sisa bandwidth akan di bagikan ke
ketiga clien secara merata sehingga client mendapat 128 kbps + (128 kbps/3)
=170 kbps.
Pada Limitasi bertingkat ini, kita pun bisa menerapkan priority untuk
client. nilai priority qucue adalah 1-8 di mana terendah 8 dan tertinggi 1,
contohnya adalah sebagai berikut:
Client 1 adalah pengguna VVIP, maka bisa mendapatkan priority 1
(tertinggi).
Jika kita menerapkan priority, perhitungan pembagian bandwidth
hampir sama dengan sebelumnya. hanya saja setalah Limit At semua client
terpenuhi, Router akan melihat priority client. Router akan mencoba
memenuhi Max Limit client priority tertinggi dengan bandwidth yang masih
tersedia.
Perhitungnnya adlah client 1 mempunyai priority tertinggi maka router
akan mencoba memberikan bandwidth sampai batas Max Limit, yaitu 512
kbps, sementara bandwidth yang tersisa hanya 128 kbps, maka client 1
mendapat bandwidth sebesar Limit At + sisa Bandwidth = 128 kbps + 128
kbps =256 kbps. konsep pembagian bandwidth ini mirip ketika anda
berlangganan interensi dengan sistem Bandwidth Share.
4. Prioritas Trafik
Bypass Traffic Lokal
Ketika kita melakukan implementasi Simple Qucue dengan hanya
berdasarkan target address, router hanya akan melihat asal trafik itu sehingga
kemanapun tujuannya (dst-address), Trafik tetap akan terkena limitasi, tidak
hanya ke arah internet, tetapi ke arah jaringan lokal lain yang berbeda
segment juga akan terkena limitasi.
Contohnya adalah:
a. IP LAN 1 :192.168.10.0/24
b. IP LAN 1 :192.168.11.0/24
5. Delay Pools
Delay pools merupakan salah satu fasilitas squid untuk membatasi
bandwidth yang di konsumsi client. lebih lanjut, Delay pools adalah opsi
untuk melakukan spesifikasi jumlah pool yang di gunakan untuk membatasi
jumlah bandwidth dari ACL tertentu. ACL (Access Control List) sederhana
digunakan untuk mengizinkan atau tidak paket host menuju ke tujuan
tertentu.
ACL terdiri atas aturan-aturan dan kondisi yang menentukan trafik
jaringan dan menentukan proses nantinya akan di lewatkan atau tidak.
sebelum mulai mengkonfigurasi delay pools, kita harus mempersiapkan
terlebih dahulu aplikasi aquid yang sudah di kompilasi dengan support delay
pools, Beberapa distro besar seperti RedHat/Mandrake biasanya sudah di
atur support delay pools, Bila tidak, kita dapat mengompilasinya sendiri atau
manual. Biasanya delay pools akan dirangkaikan bersama opsi-opsi yang
lain.
Delay class adalah opsi yang menentukan masing-masing pool yang
telah didefinisikan pada opsi delay pools, ada tiga class yang di dukung
aquid, antara lain:
a. Class 1: Akses di batasi dengan single bucket, artinya hanya bisa
mendefinisikan overall bandwidth untuk suatu ACL, tidak bisa
mendefinisikan bandwidth dengan lebih mendetail.
b. Class 2: Semua akses dibatasi single agregate dengan dua parameter
bandwidth parameter pertama mendefinisikan berapa bandwidth
maksimal yang di dapatkan ACL, sedangkan parameter kedua
mendefinisikan berapa bandwidth overall untuk ACL, yang spesifik pada
network tersebut.
c. Class 3: Kelompok yang definisi bandwidthnya paling mendetail
parameter pertama mendefinisikan berapa bandwidth maksimal yang di
dapatkan ACL, parameter kedua mendefinisikan berapa bandwidth
normal yang didapatkan ACL secara umum, dan parameter ketiga
mendefinisikan bandwidth yang di dapatkan ACL. jika mengkses ACL
tertentu yang spesifik, misalnya file mp3.
6. HTB
Hierarchical Tocken Bucket (HTB) merupakan jenis aplikasi yang di
kembangkan oleh Martin Devera pada 2001. aplikasi ini digunakan untuk
membatasi akses menuju ke port/IP tertentu tanpa mengganggu trafik
bandwidth pengguna lain. kemudian, HTB berfungsi sebagai pengganti
aplikasi yang masih sering di gunakan, yaitu CBQ. HTB diklaim mampu
melakukan pembagian trafik yang lebih akurat.
Teknik antrian HTB mirip dengan teknik pada CBQ. perbedaannya
hanya terletak pada opsi. pada HTB, opsi digunakan jauh lebih sedikit dalam
konfigurasinya serta lebih presisi dalam penggunaannya.teknik antrian HTB
memberikan fasilitas pembatasan trafik pada setiap level ataupun
klasifikasinya. jadi,bandwidth yang tidak terpakai dapat digunakan oleh
klasifikasi lain yang lebih rendah. HTB mempunyai parameter yang
menyusunya dalam antrian, yaitu:
a. Rate Parameter
Rate menentukan bandwidth maksimum yang bisa digunakan oleh
setiap class. jika bandwidth melebihi nilai “rate”, maka paket data akan di
potong atau di jatuhkan (drop).
b. Ceil Parameter
Ceil diset untuk menentukan peminjaman bandwidth antar-class
(kelas) peminjaman bandwidth dilakukan kelas paling bawah ke kelas di
atasnya. Teknik ini disebut link sharing.
2) Max
Nilai rata-rata maksimum antrian, biasanya dua kali nilai minimum
atau dengan rumus:
Max = bandwidth(bps) * latency(s)
3) Probability
Jumlah maksimum probabilitas penandaan paket data, Nilainya
berkisar antara 0,0 sampai dengan 1,0.
4) Limit
Batas paling atas antrian secara riil. jumlah paket data yang melewati
limit pasti dibuang, Nilai limit harus lebih besar dari pada “Max” dan
dinyatakan dengan persamaan:
5) Burst
Digunakan untuk menentukan kecepatan perhitungan pada antrian
yang mempengaruhi antrian riil (Limit). Bisa dihubungi dengan
persamaan:
Burst = (min + min + max)/3*avpkt
6) Avpkt
Nilai rata-rata paket data atau grafik yang melintasi gateway RED,
sebaiknya diisi 1000.
7) Bandwidth
Yaitu lebar bandwidth kartu ethernet.
7. CBQ
Teknik klasifikasi paket data yang paling terkenal adalah CBQ karna
mudah dikonfigurasi, memungkinkan sharing bandwidth antar kelas (class),
dan memiliki fsilitas antar muka pengguna.
b. Target Address
Anda dapat mengisi Target Address dengan IP address tertentu yang
ingin anda batasi bandwith-nya, misal 192.168.100.0\24. Target Address
kosong, Artinya, konfigurasi limit bandwith iini berlaku untuk semua
alamat IP.
c. Max Limit
Max Limit adalah lokasi bandwith maksimal yang bisa didapatkan
pengguna. Kemudian, biasanya pengguna akan mendapatkannya jika ada
alokasi bandwith yang tidak digunakan lagi oleh pengguna lain. Jangan
lupa centang Target Upload dan Target Download untuk mengaktifkan
fitur ini, lalu pilihlah besar Bandwith yang ingin diibatasi pada Max
Limit. Misalnya, upload: 256 kbps dan download: 1 Mbps.
Besar limit bandwith untuk upload lebih rendah daripada download
karena memang pengguna biasanya lebiih banyak melakukan download
(browsing, download musik, file,dll) daripada upload. Anda dapat
memilih sesuai keinginan. Anda dapat pula menentukan waktu kapan dan
berapa lama Simple Queue akan mulai berjalan dengan memilih opsi
time.
d. Tab Advenced
Pada tab Advanced hal yang perlu diperhatikan adalah opsi Interface dan
Limit At.
e. Interface
Pilih antarmuka yang ingin dibatasi bandwith-nya, misalnya antarmuka
Wlan 1 untuk membatasi koneksi internet via wireless. Jika ingin
membatasi bandwith di semua Interface, pilihlah all.
f. Limit At
Adalah alokasi bandwith terendah yang bisa didapatkan oleh
pengguna jika trafik jaringan sangat sibuk. Seburuk apapun keadaan
jaringan, pengguna tidak akan mendapat alokasi bandwith di bawah nilai
Limit At. Nilainya terserah Anda. Misalnya, Anda mengisi upload: 128
kbps dan download: 512 kbps.
Dari konfigurasi tersebut, hasilnya adalah jika semua pengguna
sedang memakai koneksi internet dan kondisi jaringan sibuk maka tiap
pengguna akan mendapatkan bandwith sebesar 128 kbps/512 kbps. Jika
satu atau beberapa pengguna tidak sedang menggunakan koneksi maka
alokasi bandwith akan diberikan ke pengguna yang sedang terkoneksi.
Kemudian, jika hanya satu pengguna yang menggunakan koneksi maka
pengguna itu akan mendapatkan alokasi bandwith maksimal 256 kbps/1
Mbps.
Kliklah OK untuk menambahkan Simplle Queue tersebut, Sehigga
akan muncul di Queue List. Ada dua Simple Queue, yaitu Simple Queue
yang terbentuk secara otomatis oleh Hostpot dan Simple Queue yang
baru dibuat. Jika ada dua konfigurasi berbeda maka eksekusi akan
dilakukan dari atas ke bawah (top to buttom). Jadi, Simple Queue hostpot
dieksekusi dulu baru kemudian Simple Queue MikrotikIndo. Walaupun
Simple Queue hostpot memiliki Tx dan RX Max Limit unlimited, tetappi
semua pengguna hostpot akan mendapatkan bandwith Max Tx Rx
256k/1M dari Simple Queue MikrotikIndo, sehingga Simple Queue
hostpot tidak berlaku.
RANGKUMAN
1. Bandwith adalah ukukuran banyaknya informasi atau data (bit)yang dapat
dikirim dari satu empat ketempat lainnnya bandwith bisa digunakan untuk
mengukur aliran data analog maupun aliran data digital.