by: CITRAWEB SOLUSI TEKNOLOGI, PT
Aturan | Tentang Kami | Kontak Kami

Artikel

Kesalahan konfigurasi pada Layer 2 (Part2)

Kamis, 9 Desember 2021, 10:56:18 WIB
Kategori: Fitur & Penggunaan

Pada artikel sebelumnya, kami sudah membahas beberapa point kesalahan yang umumnya terjadi pada layer2, seperti Multiple Bridge dalam satu Switch Chip, Packet Flow dengan HW-Offload & Mac Learning, dan Membuat Interface VLAN di Interface Slave Bridge. Bagi teman-teman yang belum melihat artikel kami sebelumnya, maka bisa kunjungi halaman berikut: Kesalahan konfigurasi pada Layer 2 (Bridge).

Pada kesempatan kali ini, kami akan melanjutkan pembahasan mengenai kesalahan-kesalahan lain yang sering terjadi pada layer 2.

 

Kasus 4: Bridge Horizon

Skenario:
Anda memiliki kebutuhan di mana komunikasi antar port pada switch tidak di perbolehkan. atau biasa disebut dengan port isolation. Salah satu fitur yang bisa kita gunakan untuk kebutuhan tersebut adalah melakukan konfigurasi Bridge Horizon. Namun dengan konfigurasi Bridge Horizon yang kurang tepat, maka antar client pada suatu switch tetap bisa komunikasi.

Berikut Konfigurasinya:

 

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 horizon=1 hw=no interface=ether1
add bridge=bridge1 horizon=2 hw=no interface=ether2
add bridge=bridge1 horizon=3 hw=no interface=ether3
add bridge=bridge1 horizon=4 hw=no interface=ether4 

 

 

Masalah yang muncul:
Berdasarkan konfigurasi diatas, untuk tiap portnya di konfigurasi nilai horizon yang berbeda-beda. Dengan begitu, maka antar client tetap bisa saling komunikasi, sehingga isolation port tidak bisa berjalan.

Solusi:
Kebutuhan isolasi client bisa di handle dengan Bridge Horizon ini dengan catatan untuk nilai horizon yang sama maka komunikasi antar client akan di drop. Namun dengan nilai horizon yang berbeda, maka komunikasi antar client tetap bisa berjalan.

 

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 horizon=1 hw=no interface=ether1
add bridge=bridge1 horizon=1 hw=no interface=ether2
add bridge=bridge1 horizon=1 hw=no interface=ether3
add bridge=bridge1 horizon=1 hw=no interface=ether4


Note: Dengan melakukan konfigurasi Bridge Horizon ini, maka Hardware Offload pada interface akan tidak aktif.

Kasus 5 : Filter tidak berjalan pada bridge

Skenario :
Pada menu bridge, bisa kita jumpai suatu menu yang bisa digunakan untuk memanagement client yang terhubung di layer2. Fitur yang digunakan adalah Bridge Filter.
Pada suatu kasus, semisal kita ingin membatasi akses ping antar client dengan bridge filter ini, terutama pada client yang berada pada bridge yang sama.

Berikut Konfigurasinya :

 

/interface bridge filter add chain=forward action=drop in-interface=ether1 out-interface=ether2 mac-protocol=ip ip-protocol=icmp log=no log-prefix=""


Masalah yang muncul :
Dengan konfigurasi di atas, maka antar client tetap bisa berkomunikasi.

 

Solusi :
Supaya bridge filter ini bisa berjalan, maka pastikan untuk Hardware Offload pada port dalam kondisi non aktif. Dengan begitu maka traffik antar port  akan melewati CPU, dan traffik antar port bisa di handle  dan dimanage oleh bridge filter.

 

Kasus 6 : Switch tidak bisa di remote setelah mengkonfigurasi VLAN

Skenario :
VLAN merupakan suatu fitur yang sering sekali di implementasikan di jaringan, karena dengan VLAN ini kita bisa memberikan macam-macam service di satu interface fisik.

Berikut Konfigurasi :
VLAN Routerboard
VLAN CRS 1XX/2XX
VLAN CRS 3XX
VLAN SwOS

Masalah yang muncul :  
Setelah berhasil mengkonfigurasi VLAN, kemudian sisi client yang terhubung ke port yang ditentukan juga sudah mendapatkan IP Address yang sesuai, maka terkadang switch yang kita gunakan tidak bisa di remote. Hal ini biasa terjadi karena kita mengaktifkan VLAN Filtering.

Solusi :
Supaya switch bisa kita remote, pastikan kita sudah mengkonfigurasi VLAN Management supaya switch tersebut bisa diakses. Konfigurasinya pun cukup mudah, dan sederhana. Panduan VLAN Management bisa Anda lihat pada artikel kami berikut: VLAN Management.

Note: Ketika bermain dengan VLAN, maka Anda bisa sisakan satu port yang tidak di konfigurasi VLAN sama sekali. Hal ini berfungsi ketika kita mengalami kesalahan dalam konfigurasi VLAN, dan menyebabkan switch tidak bisa di akses, maka kita tetap bisa mengakses switch tersebut melalui port yang tidak di konfigurasi tersebut.

Kasus 7 : Bridge VLAN filtering on non-CRS3xx

Skenario :
Konfigurasi VLAN yang umumnya di gunakan oleh beberapa user Mikrotik adalah Bridge VLAN Filtering. Dimana dengan metode ini konfigurasi cukup di lakukan di dalam menu bridge saja, baik dalam menentukan trunk port, access port, dan VLAN Filtering.

Konfigurasi :

 

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=30
add bridge=bridge1 interface=ether4 pvid=40
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30
add bridge=bridge1 tagged=ether1 untagged=ether4 vlan-ids=40

 

Masalah yang muncul :  
Sebagai contoh, misal Anda menggunakan perangkat CRS1xx/CRS2xx dan Anda melakukan konfigurasi VLAN seperti diatas.
Dengan konfigurasi di atas maka VLAN akan tetap berjalan secara normal. Untuk port yang kita tentukan sebagai Access maka akan mendapatkan IP sesuai dengan alokasi yang sudah di tentukan.
Namun jika kita terapkan konfigurasi di atas pada perangkat CRS1xx/CRS2xx maka Hardware Offload tidak akan berjalan, sehingga akan menyebabkan CPU dari CRS akan tinggi dan akan menyebabkan penurunan throughput.

Solusi :  
Konfigurasi di atas hanya akan berjalan efektif untuk perangkat CRS 3xx series, karena hanya pada CRS 3xx series saja yang mendukung Bridge VLAN Filtering, dengan Hardware Offload tetap aktif, detail: Bridge HW Offload.

Sebagai solusinya, maka untuk konfigurasi VLAN pada perangkat CRS 1xx dan CRS 2xx dilakukan pada menu switch VLAN. Contoh konfigurasinya sebagai berikut:
VLAN pada CRS 1xx dan CRS 2xx.

Kasus 8 : VLAN filtering dengan penyederhanaan tabel VLAN

Skenario :
Kita memiliki kebutuhan jaringan, dimana untuk client yang terhubung maka akan mendapatkan IP segmentasi yang berbeda-beda. Dengan kebutuhan tersebut maka pada switch bisa kita konfigurasi VLAN.

Pada kasus kali ini, konfigurasi VLAN kita lakukan di dalam menu bridge, kemudian kita melakukan konfigurasi penyederhanaan pada bridge vlan table (lihat pada konfigurasi di bawah ini).

Konfigurasi :

 

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3 pvid=10
add bridge=bridge1 interface=ether4 pvid=20
/interface bridge vlan
add bridge=bridge1 tagged=ether2 vlan-ids=10,20

 

Masalah yang muncul :
Dengan konfigurasi di atas, ketika terdapat trafik broadcast atau multicast, maka akan terjadi flood packet ke port yang sudah di konfigurasi access/untagged, meskipun kedua port yang digunakan sudah di konfigurasi VLAN yang berbeda.
Hal ini mungkin akan menyebabkan beberapa masalah keamanan, karena lalu lintas dari jaringan yang berbeda dapat di sniff.

Solusi :
Ketika Anda melihat pada Bridge VLAN Table (pada konfigurasi diatas), maka Anda melihat satu rule yang dikonfigurasi VLAN 10, dan 20, dan kedua port untagged adalah bagian dari group VLAN yang sama.
Sebagai solusinya, maka konfigurasi pada bridge vlan table tidak perlu di sederhanakan dengan koma (,) sehingga konfigurasinya menjadi seperti berikut:

 

/interface bridge vlan
add bridge=bridge1 tagged=ether2 untagged=ether3 vlan-ids=10
add bridge=bridge1 tagged=ether2 untagged=ether4 vlan-ids=20

 

 

Artikel ini dibuat pada 9 Desember 2021




Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan