This blog content Internet and Network Troubleshoot guide, tips and trick based on my experience from day to day activities as Network Administrator
Silahkan Cari Disini
Rabu, 30 April 2008
Online Tools untuk pengecekkan DNS
Untuk bisa meng-aksesnya cukup Create My Account , untuk pengecekkan 3 domain sifatnya maish gratis / free.
Dengan melakukan pengecekkan di checkdns.net maka akan diketahui konfiguasi dns kita benar atau ada yang perlu diperbaiki juga sekaligus melakukan pengecekkan smtp dan web server domain tersebut.
Adapun screen capturenya kurang lebih seperti berikut ini
Contoh Kasus Management Bandwidth dengan Mikrotik BGP Web-Proxy
Sejak saya menulis artikel tentang memisahkan bandwidth Intenational dan IIX/NICE sangat banyak sekali pertanyaan baik melalui email maupun chatting.
Sebenarnya Pak Valens Riyadi @ www.mikrotik.co.id sudah membuat beberapa artikel yang sangat baik, tetapi saya coba untuk memberikan contoh kasus yang saya impelementasi di LAN kantor PT. Data Utama Dinamika Jakarta agar para pembaca dapat lebih jelas lagi bagaimana caranya memisahkan traffic International dengan IIX/NICE menggunakan Mikrotik yang menjalankan BGP dan Web-Proxy.
Adapun diagram jaringannya dapat dilihat pada gambar 1. dibawah ini.
Gambar 1. Diagram Jaringan Kantor PT. Data Utama Dinamika Jakarta
Kondisi jaringan adalah sbb:
- Router Kantor menggunakan 3 ethernet card dijalankan pada PC Pentium 4 2660Mhz, Memory 256MB, DOM 128MB.
- Klient menggunakan IP Private sehingga diperlukan mekanisme NAT / Masquerade
- Router kantor menerima prefix/routing table dari NICE/OpenIXP (NICE/OpenIXP adalah alternatif IIX yang dikelola PT. IDC) menggunakan mekanisme BGP Peering.
- Mikrotik RouterOS menggunakan Vesi 2.9.41 dan mengaktifkan paket routing-test, sesuai petunjuk dari Valens Riyadi @ www.mikrotik.co.id.
Gambar 2. Resources Mikrotik Router Kantor
Gambar 3. Packet List
Konfigurasi IP
Gambar 4. Konfigurasi IP Router Kantor
Konfigurasi NAT/Masqurade LAN 192.168.2.0/24
Gambar 5. Konfigurasi NAT General
Gambar 6. Konfigurasi NAT Action
Konfigurasi BGP Peer
Gambar 7. BGP Instance Mikrotik2BGP
Gambar 8. BGP Peer Mikrotik2BGP
Gambar 9. BGP Instance Mikrotik3BGP
Gambar 10. BGP Peer Mikrotik3BGP
AS Number 65003 dan 65004 adalah private AS Number hanya digunakan utk peering internal antar Mikrotik2BGP dengan Mikrotik3BGP
Konfigurasi Routing Filter
Konfigurasi routing filter ini bertujuan agar Mikrotik hanya menerima supernet dengan prefix-length=8-24 bit sehingga lebih menghemat memory penyimpanan prefix/routing table dari NICE/OpenIXP/IIX.
[datautama@router-02-jkt] > /routing filter print
Flags: X - disabled
0 chain=prefix-in prefix-length=0-7 invert-match=no action=discard
1 chain=prefix-in prefix-length=8-24 invert-match=no action=accept
set-nexthop=203.89.26.65
2 chain=prefix-in prefix-length=25-32 invert-match=no action=discard
3 chain=prefix-out prefix-length=0-32 invert-match=no action=discard
BGP Peer Status
Gambar 11. BGP Peer Status
Jika BGP Peering sudah terbentuk maka Mikrotik3BGP menerima prefix-count=2939, dimana jumlah prefix ini akan berubah-rubah secara dinamis tergantung perkembangan BGP advertise dari ISP/NAP atau pengelola jaringan lainnya.
Route List
Gambar 12. Route List
Pada Gambar 12, bisa dilihat routing table dari BGP yang ditandai dengan DAB, sedangkan routing statis ditandai dengan AS.
Dalam sistem routing memiliki aturan main: ”routing spesifik akan dibaca terlebih dahulu”. Dengan demikian maka table routing dari NICE/OpenIXP/IIX yang lebih spesifik akan dibaca dahulu dan jika network yang dicari tidak diketemukan maka paket akan melalui default route yang ditandai dengan ”destination=0.0.0.0/0 gateway=203.89.24.65” ini artinya paket data yang menuju International akan melalui gateway=203.89.24.65 dengan Interface=ether1-intl sedangkan traffic data yang menuju NICE/OpenIXP/IIX akan melalui gateway=203.89.2.6.65 dengan Interface=vlan-id-23-iix, dalam contoh kasus ini kebetulan menggunakan VLAN yang dijalankan pada interface ether2-iix. Sebenarnya tidak harus menggunakan vlan, ether2 juga cukup syaratnya adalah antara traffic NICE/OpenIXP/IIX dan traffic International harus melalui dua Interface yang berbeda karena ini ada hubungannya dengan proses mangle dan limitasi bandwidth antara traffic lokal dengan traffic international.
Hasil Traceroute
Gambar 13. Traceroute ke www.yahoo.com
Gambar 14. Traceroute ke www.plasa.com
Dari hasil traceroute antara Gambar 13 dan Gambar 14 bisa dilihat perbedaan hop1 dimana utk traffic international melalui 203.89.24.65 menggunakan interface ether1-intl dan traffic lokal melalui 203.89.26.65 menggunakan interface vlan-id-23-iix
Konfigurasi Tanpa BGP
Jika ternyata ISP Anda tidak dapat memberikan layanan BGP maka Anda dapat mendownload skrip berikut dari http://www.datautama.net.id/harijanto/mikrotik/datautama-nice-statik.php
Copy skrip diatas lalu lakukan koneksi ssh ke mikrotik menggunakan aplikasi putty.exe lalu paste kan skrip tersebut maka akan dihasilkan daftar rules pada /ip route rules.
Kemudian tambahkan statik routing berikut :
/ip route add dst-address=0.0.0.0/0 gateway=[ip gateway iix/nice] routing-mark=nice
Dalam contoh ini ip gateway/nice adalah = 203.89.26.65 sehingga statik routingnya adalah sbb:
/ip route add dst-address=0.0.0.0/0 gateway=203.89.26.65 routing-mark=nice
Dengan demikian maka routing dari dalam menuju ke alamat IP IIX/NICE akan diarahkan melalui gateway 203.89.26.65 hasilnya akan sama saja dengan menggunakan BGP, bedanya kalau menggunakan BGP routing dihasilkan secara dynamic sedangkan dengan cara ini bersifat statik. Tetapi ISP Anda harus memberikan dua ip point-to-point agar Anda memiliki dua gateway dan masing-masing ip tersebut tetap harus dipisahkan interface/ethernet-nya.
Pengaturan Bandwidth
Sesuai dengan petunjuk dari Valens Riyadi @ www.mikrotik.co.id karena network klien menggunakan IP Private, maka perlu melakukan connection tracking pada mangle.
Gambar 15. Connection Tracking
Selanjutnya untuk masing-masing trafik, lokal dan internasional dibuatkan rule mangle connection pada untuk masing-masing IP komputer yang akan di atur bandwidthnya.
Konfigurasi Mangle
Mangle adalah proses menandai paket data sesuai dengan kebijakan yang diinginkan, sebenarnya teknik mangle ini sudah biasa juga dilakukan di linux dengan mengunakan iptables, di mikrotik proses mangle lebih mudah dan menyenangkan. Untuk contoh kasus ini contoh skrip manglenya adalah sbb:
# may/16/2007 17:23:13 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall mangle
#1
add chain=forward out-interface=ether1-intl src-address=192.168.2.12 \
action=mark-connection \
new-connection-mark=harijanto-conn-intl passthrough=yes comment="" \
disabled=no
#2
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.12 \
action=mark-connection new-connection-mark=harijanto-conn-nice \
passthrough=yes comment="" disabled=no
#3
add chain=output dst-address=192.168.2.12 action=mark-packet \
new-packet-mark=harijanto-packet-intl passthrough=yes comment="" \
disabled=no
#4
add chain=forward connection-mark=harijanto-conn-intl action=mark-packet \
new-packet-mark=harijanto-packet-intl passthrough=yes comment="" \
disabled=no
#5
add chain=forward connection-mark=harijanto-conn-nice action=mark-packet \
new-packet-mark=harijanto-packet-nice passthrough=yes comment="" \
disabled=no
#6
add chain=forward out-interface=ether1-intl src-address=192.168.2.119 \
action=mark-connection new-connection-mark=christine-conn-intl \
passthrough=yes comment="" disabled=no
#7
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.119 \
action=mark-connection new-connection-mark=christine-conn-nice \
passthrough=yes comment="" disabled=no
#8
add chain=output dst-address=192.168.2.119 action=mark-packet \
new-packet-mark=christine-packet-intl passthrough=yes comment="" \
disabled=no
#9
add chain=forward connection-mark=christine-conn-intl action=mark-packet \
new-packet-mark=christine-packet-intl passthrough=yes comment="" \
disabled=no
#10
add chain=forward connection-mark=christine-conn-nice action=mark-packet \
new-packet-mark=christine-packet-nice passthrough=yes comment="" \
disabled=no
mangle dibuat satu persatu untuk semua komputer yang akan di manage bandwidthnya
Penjelasan mangle
Proses mangle biasanya diawali dengan new-connection-mark yang kemudian dilanjutkan dengan new-packet-mark, jadi di mark koneksinya dulu baru di mark paketnya, nah paket ini yang akan digunakan di queue-tree maupun di simple queue.
Mangle no #1,#3,dan #4 adalah proses mangle traffic international untuk komputer IP 192.168.2.12.
Mangle no #2 dan #5 adalah proses mangle traffic lokal untuk komputer IP 192.168.2.12
Pada mangle no #3 digunakan chain=output karena ini tujuannya untuk menandai paket dari Web-Proxy yang dijalankan di Mikrotik3BGP ke komputer IP 192.168.2.12, salah satu pertanyaan yang sering diutarakan adalah bagaimana melakukan limitasi bandwidth kalau pakai proxy karena biasanya jika menggunakan proxy limitasi per komputer jadi tidak efektif, nah hasil dari meditasi sampai jam 4 subuh adalah harus melakukan mangle pada chain=output karena klient mendapatkan isi website dari proxy yang di jalankan di Mikrotik itu sendiri, lebih jelasnya nanti akan dijabarkan pada bagian Web-Proxy.
Sedangkan No #6 sd #10 adalah identik dengan no #1 sd #5 bedanya adalah sumber IP komputer yang di mangle.
Hasil dari skrip diatas adalah seperti pada gambar 16 berikut
Gambar 16. Hasil Mangle
Salah satu kunci efektif tidaknya proses mangle adalah pemilihan “chain”, penjelasannya ada pada dokumentasi “Packet Flow” yang bisa dibaca dari situs http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php
Pengaturan Bandwidth menggunakan Queue Tree
Untuk melakukan limitas yang efektif dapat digunakan queue-tree, pada dokumen http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
Dijelaskan bahwa
The queuing is applied on packets leaving the router through a real interface (i.e., the queues are applied on the outgoing interface, regarding the traffic flow), or any of the 3 additional virtual interfaces (global-in, global-out, global-total).
Artinya proses queuing diaplikasikan pada saat paket keluar dari router melalui interface fisik atau interface virtual.
Oleh karena itu pada queue tree didefinisikan bahwa utk traffic download berarti traffic yang keluar dari ether3-client , artinya dari router menuju ke komputer klient sedangkan upload adalah traffic dari ether1-intl atau vlan-id-23-iix yang mana masing-masing interface dilewati oleh paket yang berbeda, ether1-intl untuk traffic international dan vlan-id-23-iix untuk traffic lokal, oleh karena itu harus memiliki interfacenya masing-masing.
Berikut adalah contoh skrip queue tree yang digunakan
# may/16/2007 19:31:00 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ queue tree
#1
add name="harijanto-intl-down" parent=ether3-client \
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8 \
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#2
add name="harijanto-intl-up" parent=ether1-intl \
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8 \
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#3
add name="harijanto-nice-up" parent=vlan-id-23-iix \
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#4
add name="harijanto-nice-down" parent=ether3-client \
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#5
add name="christine-intl-down" parent=ether3-client \
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8 \
max-limit=256000 burst-limit=512000 burst-threshold=128000 burst-time=20m \
disabled=no
#6
add name="christine-intl-up" parent=ether1-intl \
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8 \
max-limit=128000 burst-limit=256000 burst-threshold=96000 burst-time=20m \
disabled=no
#7
add name="christine-nice-down" parent=ether3-client \
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#8
add name="christine-nice-up" parent=vlan-id-23-iix \
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Penjelasan
#1 adalah pengaturan traffic download internasional untuk IP komputer 192.168.2.12 dimana parent = ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-intl yang merupakan hasil mangle, untuk limit-at, max-limit, burst-limit penjelasannya dapat dibaca dari http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
#2 adalah pengaturan traffic upload international untuk IP komputer 192.168.2.12 dimana parent=ether1-intl, artinya traffic yang keluar dari router ke Internet
#3 adalah pengaturan traffic upload lokal untuk IP komputer 192.168.2.12 dimana parent=vlan-id-23-iix, artinya traffic yang keluar dari router ke lokal NICE/OpenIXP/IIX
#4 adalah pengaturan traffic downlaod lokal untuk IP komputer 192.168.2.12 dimana parent=ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-nice yang merupakan hasil mangle.
#5 sd #8 adalah identik dengan no #1 sd #4 bedanya IP komputer yang di limit adalah 192.168.2.119.
Hasilnya dapat dilihat pada gambar 17 berikut ini
Gambar 17. Queue Tree
Sampai pada langkah ini proses limitasi bandwidth per komputer sudah selesai tetapi jika diperlukan agar grafik pemakaian peruser dapat ditampilkan pada web mesin mikrotik maka perlu dibuat Simple Queues., contohnya seperti pada gambar 18 dan 19 berikut
Gambar 18. Contoh Simple Queue General
Gambar 19 Contoh Simple Queue Advanced
Di Simple Queue tidak perlu menentukan max limit karena yang membatasi adalah queue-tree tetapi kalau diperlukan boleh juga diisi max limitnya, yang penting adalah target address dan packet-mark nya. Jadi masing-masing user dibuatkan dua simple queue, satu untuk yang international satu untuk yang lokal.
Kalau sudah untuk mengaktifkan grafiknya dilakukan dengan mengaktifkan dari tool graphing seperti pada gambar 20 berikut
Gambar 20. Tools Graphing
Hasilnya dapat dilihat seperti pada gambar 21 berikut
Gambar 21. Contoh grafik MRTG per Simple Queue International
Gambar 21. grafik MRTG per Simple Queue Lokal
Ok selesai sudah proses limitasi bandwidth menggunakan BGP dan Queue-Tree
Selanjutnya bagaiman kalau mau pake Proxy? Seperti sudah diketahui bahwa proxy sangat bermanfaat dalam melakukan penghematan bandwidth setidaknya sampai dengan 30% traffic web yang ada.
Konfigurasi Web-Proxy
Mikrotik pada dasarnya adalah linux yang sangat powerfull, bahkan dengan mudahnya kita menggunakan squid yang dijalankan di mikrotik. Di mikrotik paket squid ini dikenal dengan nama Web-Proxy
Gambar 22. Web-Proxy Settings
Untuk mengaktifkan Web-Proxy caranya dari IP->Web Proxy kemudian klik enable agar Web-Proxy dijalankan, untuk menjadi Transparant Proxy dengan cara ceklist kotak disamping kiri tulisan ”Transparent Proxy” kemudian OK atau Apply. Untuk fungsi Transparent Proxy harus didukung juga dengan IP->Firewall->NAT, nanti akan saya jelaskan lebih detail.
Untuk Web-Proxy ini yang penting adalah pertama tambahkan Access List agar IP network LAN dapat di allow untuk mengambil web melalui proxy sedangkan selain IP LAN harus di deny, ini bertujuan agar Web-Proxy tersebut tidak open proxy yang berakibat habisnya bandwidth yang dimiliki karena di akses oleh user diluar LAN.
Jika memiliki proxy lainnya dapat pula dijadikan Parent Proxy, misalnya proxy ISP atau proxy yang dijalankan pada Linux Server yang berkapasitas besar. Tujuannya agar proses browsing dapat lebih cepat karena beberapa object telah di cache pada proxy tersebut.
Contoh skrip untuk web-proxy adalah sbb:
# may/16/2007 20:01:52 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname="proxy" \
transparent-proxy=yes parent-proxy=203.89.24.4:3128 \
cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system \
max-cache-size=none max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" \
disabled=no
add src-address=192.168.2.0/24 action=allow comment="" disabled=no
add action=deny comment="" disabled=no
/ ip web-proxy cache
add url=":cgi-bin \\\?" action=deny comment="don't cache dynamic http pages" \
disabled=no
/ ip web-proxy direct
add dst-address=203.89.24.0/21 action=allow comment="" disabled=no
add action=deny comment="" disabled=no
Pada script diatas ditentukan 192.168.2.0/24 boleh akses web-proxy sedangkan selain itu di deny dan utk url yang mengandung cgi-bin atau “?” tidak di cache karena itu tandanya halaman dinamis dan untuk dst-address=203.89.24.0/21 boleh direct sedangkan yang lain tidak, ini tujuannya agar website www.datautama.net.id tidak usah di cache, tentunya nanti ini disesuaikan dengan konfigurasi yang akan digunakan.
Berikutnya adalah pengaturan agar setiap request port 80 diarahkan ke web-proxy, nah ini triknya.
Untuk traffic international saya arahkan ke web-proxy yang jalan di Mikrotik3BGP sedangkan untuk traffic lokal saya arahkan ke proxy 203.89.24.4 yang merupakan proxy server yang jalan di linux. Tujuannya adalah supaya walupun menggunakan proxy limiter tetap efektif, hanya saja berdasarkan pengetesan sistem ini masih ada kelemahan yaitu untuk test upload internasional tetap tidak dapat di limit secara efektif tetapi akan terlimit dari limiter lokalnya, hal ini tidak akan jadi masalah kalau antara bandwidth internasional dan lokal sama tetapi ada kecendrungan saat ini bandwidth lokal lebi besar dari pada bandwidth internasional.
Contoh skrip IP->Firewall-NAT untuk mengarahkan traffic http ke proxy adalah sebagai berikut:
# may/16/2007 20:09:14 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall nat
#1
add chain=srcnat src-address=192.168.2.0/24 action=masquerade comment="LAN \
Kantor" disabled=no
#2
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80 \
dst-address-list=!nice action=redirect to-ports=3128 comment="Transparent \
Proxy untuk traffic International" disabled=no
#3
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80 \
dst-address-list=nice action=dst-nat to-addresses=203.89.24.4 \
to-ports=3128 comment="Tranparent Proxy untuk traffic NICE/OpenIXP/IIX" \
disabled=no
Penjelasan
#1 berfungsi untuk melakukan NAT / Masquerade IP Private
#2 berfungsi mengarahkan traffic http yaitu protocol=tcp port=80 untuk dst-address-list=!nice ke port 3128 Web-Proxy internal di Mikrotik3BGP , arti dari dst-address-list=!nice adalah tujuan alamat yang bukan NICE/OpenIXP/IIX jadi untuk yang traffic Internasional, nah dapat dari mana address list tersebut nanti akan saya jelaskan.
#3 berfungsi mengarahkan traffic http lokal ke proxy 203.89.24.4 port 3128
Dengan skrip diatas maka kalau yang ditujua adalah www.yahoo.com maka proxy yang akan di gunakan adalah internal Web-Proxy sedangkan jika ke www.plasa.com proxy yang digunakan adalah 203.89.24.4:3128
Untuk address-list NICE dapat diambil dari:
- http://ixp.mikrotik.co.id/download/nice.rsc
- http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
Hasil test bandwidth dari sistem ini adalah sbb:
Gambar 23. Contoh Speedtest
Untuk melindungi router mikrotik jangan lupa baca juga
http://www.datautama.net.id/web3/index.php?option=com_content&task=view&id=27&Itemid=31
Bahan bacaan:
- http://www.mikrotik.co.id/artikel_lihat.php?id=21
- http://www.mikrotik.co.id/artikel_lihat.php?id=23
- http://www.mikrotik.co.id/artikel_lihat.php?id=20
- http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
- http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php
- http://www.squid-cache.org/
- http://www.linuxguruz.com/iptables/howto/
Firewall untuk router mikrotik
Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya
Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7
Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.
Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik
/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network" \
disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no
Selanjutnya copy-paste skrip berikut pada console mikrotik
/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow \
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid \
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus \
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related \
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server" \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything \
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no
Efek dari skrip diatas adalah:
- router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
- Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
- Packet ping dibatasi untuk menghindari excess ping.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.
Memisahkan Bandwidth Lokal dan International menggunakan Mikrotik
Versi 3
Perubahan dari versi sebelumnya:
- Proses mangle berdasarkan address-list
- Pemisahan traffic Indonesia dan overseas lebih akurat
Semakin berkembangnya konten Internet lokal di Indonesia telah memberikan peluang bisnis baru dalam industri Internet di Indonesia. Saat ini banyak Internet Service Provider
(ISP) yang menawarkan paket bandwidth lokal atau IIX yang lebih besar dibandingkan bandwidth Internet Internasional, hal ini seiring dengan semakin banyaknya pengelola RT-RW Net yang mampu menyediakan layanan koneksi Internet yang lebih terjangkau bagi lingkungan sekitarnya.
Permasalahan umum yang terjadi pada jaringan RT-RW Net adalah masalah pengaturan bandwidth. Pada umumnya pengelola RT-RW Net akan kesulitan pada saat ingin memisahkan antara traffic lokal dengan traffic internasional karena umumnya jaringan RT-RW Net hanya menggunakan static routing, berbeda dengan ISP yang mampu membangun jaringan yang lebih komplek menggunakan protocol routing BGP sehingga ISP dapat dengan mudah memisahkan antara traffic local dan internasional.
Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT-RW Net dapat dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi. Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya http://www.mikrotik.com atau http://www.mikrotik.co.id
Berikut adalah sekenario jaringan dengan Mikrotik sebagai router
Gambar 1. Sekenario Jaringan
Penjelasan:
- Mikrotik Router dengan 2 Network Interface Card (NIC) Ether1 dan Ether3, dimana Ether1 adalah Ethernet yang terhubung langsung ke ISP dan Ether3 adalah Ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
- Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kbps lokal IIX
- Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps internasional dan 256Kbps lokal IIX
Untuk memisahkan antara traffic lokal IIX dengan traffic internasional caranya adalah dengan menandai paket data yang menuju atau berasal dari jaringan lokal IIX menggunakan mangle. Pertanyaannya bagaimana caranya Mikrotik bisa mengetahui paket tersebut menuju atau berasal dari jairngan lokal IIX?
Jawabannya adalah dengan mengambil data dari http://lg.mohonmaaf.com
karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:
http://203.89.24.3/cgi-bin/lg.cgi
*** Mohon maaf lagi ya server 203.89.24.3 nya baru saya install ulang jadi pake yang http://lg.mohonmaaf.com aja ***
Pilih Query dengan men-cek-list BGP dan klik Submit
Gambar 2. Hasil Query http://lg.mohonmaaf.com untuk perintah “show ip bgp”
Fungsi dari http://lg.mohonmaaf.com adalah sebagai fasilitas looking glass jaringan lokal yang dikelola oleh PT. IDC , terima kasih kepada Bapak Johar Alam yang telah menyediakan layanan tersebut.
Dari hasil query tersebut selanjutnya simpan sebagai text files untuk selanjutnya dapat diolah dengan menggunakan spreadsheet contohnya Ms. Excel untuk mendapatkan semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia pada BGP router IDC atau National Inter Connection Exchange (NICE).
Pada penjelasan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan daftar ip blok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali daftar ip yang didapat dari router NICE ke /ip firewall mangle.
Cara lain yang lebih baik adalah dengan memasukkan daftar ip blok dari router NICE ke /ip firewall address-list dengan demikian maka pada /ip firewall mangle hanya terdapat beberapa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat karena mangle dapat dilakukan berdasarkan address-list saja.
Lebih jelasnya adalah sbb:
Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik
/ ip firewall address-list
add list=nice address=58.65.240.0/23 comment="" disabled=no
add list=nice address=58.65.242.0/23 comment="" disabled=no
add list=nice address=58.65.244.0/23 comment="" disabled=no
add list=nice address=58.65.246.0/23 comment="" disabled=no
add list=nice address=58.145.174.0/24 comment="" disabled=no
add list=nice address=58.147.184.0/24 comment="" disabled=no
add list=nice address=58.147.185.0/24 comment="" disabled=no
dst…
untuk mendapatkan script diatas dapat melalui URL berikut:
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
URL diatas secara online akan melakukan query ke router NICE dari http://lg.mohonmaaf.com
CATATAN:
Karena looking glass saya lagi tidak aktif jadi pake lg.mohonmaaf.com saja tetapi tetap utk daftar ip local dapat di ambil dari
http://ixp.mikrotik.co.id/download/nice.rsc
atau dari http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
yang datanya dari looking glass DatautamaNet
dari hasil URL diatas copy lalu paste ke mikrotik dengan menggunakan aplikasi putty.exe ssh ke ipmikrotik tersebut, caranya setelah di copy teks hasil proses URL diatas lalu klik kanan mouse pada jendela ssh putty yang sedang meremote mikrotik tersebut. Cara ini agak kurang praktis tetapi karena jika script diatas dijadikan .rsc ternyata akan bermasalah karena ada beberapa baris ip blok yang saling overlap sebagai contoh:
\... add address=222.124.64.0/23 list="nice"
[datautama@router-01-jkt] > /ip firewall address-list \
\... add address=222.124.64.0/21 list="nice"
address ranges may not overlap
dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc akan selalu berhenti pada saat menemui situasi seperti ini.
Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut diatas.
Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.
Selanjutnya pada /ip firewall mangle perlu dilakukan konfigurasi sbb:
/ ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia source connection traffic" disabled=no
add chain=forward dst-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia destination connection traffic" disabled=no
add chain=forward src-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas source connection traffic" disabled=no
add chain=forward dst-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas destination connection traffic" disabled=no
add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet \
new-packet-mark=indonesia passthrough=yes comment="mark all indonesia \
traffic" disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet \
new-packet-mark=overseas passthrough=yes comment="mark all overseas \
traffic" disabled=no
Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:
/ queue simple
add name="harijant-indonesia" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=256000/256000 total-queue=default disabled=no
add name="harijanto-overseas" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=128000/128000 total-queue=default disabled=no
Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia) sedangkan yang lainnya tidak dibatasi.
Hasil dari script tersebut adalah sbb:
Gambar 3. simple queue untuk komputer 192.168.2.4
Dengan demikian maka komputer 192.168.2.4 hanya dapat mendownload atau mengupload sebesar 128Kbps untuk internasional dan 256Kbps untuk lokal IIX.
Untuk mengujinya dapat menggunakan bandwidthmeter sbb:
Gambar 4. Hasil bandwidth meter komputer 192.168.2.4 ke lokal ISP
Gambar 5. Hasil bandwidth meter ke ISP internasional
Dengan demikian berarti Mikrotik telah berhasil mengatur pemakaian bandwidth internasional dan lokal IIX sesuai dengan yang diharapkan pada komputer 192.168.2.4.
Pada penjelasan versi-3 ini proses mangle terhadap traffic “overseas” dapat lebih akurat karena menggunakan address-list dimana arti dari src-address=!nice adalah source address “bukan nice” dan dst-address=!nice adalah destination address “bukan nice”.
Sehingga demikian traffic “overseas” tidak akan salah identifikasi, sebelumnya pada penjelasan versi-2 traffic “overseas” bisa salah indentifikasi karena traffic “overseas” di definisikan sbb
add connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia chain=prerouting comment="mark indonesia"
add packet-mark=!indonesia action=mark-packet new-packet-mark=overseas chain=prerouting comment="mark all overseas traffic"
packet-mark=!indonesia artinya “packet-mark=bukan paket Indonesia”, padahal “bukan paket Indonesia” bisa saja paket lainnya yang telah didefinisikan sebelumnya sehingga dapat menimbulkan salah identifikasi.
Adapun teknik diatas telah di test pada router mikrotik yang menjalankan NAT , jika router mikrotik tidak menjalankan NAT coba rubah chain=prerouting menjadi chain=forward.
Untuk lebih lanjut mengenai pengaturan bandwidth pada Mikrotik dapat dilihat pada manual mikrotik yang dapat didownload padahttp://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf
Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik sebelumnya kemungkinan ada perbedaan perintah.
Reference:
* http://www.mikrotik.com
* http://www.mikrotik.co.id
* http://wiki.mikrotik.com
Memisahkan gateway traffic Local dan International
Misal untuk traffic International dilewatkan melalui gateway 203.89.24.65 sedangkan traffic local Indonesia di lewatkan melalui gateway 203.89.24.177.
contoh konfigurasi IP address router user pada interface yang terhubung ke router Datautama
/ ip address
add address=203.89.24.66/27 network=203.89.24.64 broadcast=203.89.24.95 \
interface=ether1 comment="ip point to point utk traffic lnternational" \
disabled=no
add address=203.89.24.178/30 network=203.89.24.176 broadcast=203.89.24.179 \
interface=ether1 comment="ip point to point utk traffic local" disabled=no
Pertama masukkan daftar ip blok dari router NICE ke /ip firewall address-list seperti berikut:
/ ip firewall address-list
add list=nice address=58.65.240.0/23 comment="" disabled=no
add list=nice address=58.65.242.0/23 comment="" disabled=no
add list=nice address=58.65.244.0/23 comment="" disabled=no
add list=nice address=58.65.246.0/23 comment="" disabled=no
add list=nice address=58.145.174.0/24 comment="" disabled=no
add list=nice address=58.147.184.0/24 comment="" disabled=no
add list=nice address=58.147.185.0/24 comment="" disabled=no
dst…
untuk mendapatkan script diatas dapat melalui URL berikut:
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
Kemudian tandai packet data yang menuju local Indonesia
/ ip firewall mangle
add chain=postrouting dst-address-list=nice action=mark-routing \
new-routing-mark=nice passthrough=yes comment="" disabled=no
Selanjutnya buat ip route berikut
/ ip route
add dst-address=0.0.0.0/0 gateway=203.89.24.65 scope=255 target-scope=10 \
comment="traffic selain local Indonesia" disabled=no
add dst-address=0.0.0.0/0 gateway=203.89.24.177 scope=255 target-scope=10 \
routing-mark=nice comment="traffic local Indonesia" disabled=no
Dengan demikian maka jika ke jaringan local Indonesia akan melalui 203.89.24.177 sedangkan untuk ke International melalui 203.89.24.65, sehingga jika interfacenya dipisah diantara router user dengan router datautama dapat diberi dua mikrotik sebagai bridge utk melimit traffic International maupun local secara terpisah.
Hasil traceroute ke www.plasa.com
C:\Documents and Settings\user>tracert www.plasa.com
Tracing route to www.plasa.com [202.134.0.12]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.2.1
2 <1 ms <1 ms <1 ms ip-24-177.datautama.net.id [203.89.24.177]
3 16 ms 25 ms 12 ms ip-24-1.datautama.net.id [203.89.24.1]
4 25 ms 25 ms 15 ms telkomnet.openixp.net [218.100.27.179]
5 21 ms 23 ms 19 ms 202.134.2.148
6 12 ms 9 ms 12 ms web.plasa.com [202.134.0.12]
7 10 ms 12 ms 28 ms web.plasa.com [202.134.0.12]
8 11 ms 17 ms 12 ms web.plasa.com [202.134.0.12]
Trace complete.
Hasil traceroute ke www.yahoo.com
C:\Documents and Settings\user>tracert www.yahoo.com
Tracing route to www.yahoo-ht2.akadns.net [209.131.36.158]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.2.1
2 <1 ms <1 ms <1 ms ip-24-65.datautama.net.id [203.89.24.65]
3 15 ms 25 ms 10 ms ip-24-1.datautama.net.id [203.89.24.1]
4 12 ms 12 ms 15 ms 202.59.203.241
5 10 ms 14 ms 10 ms 202.153.90.89
6 94 ms 99 ms 71 ms 202.153.90.225
7 110 ms 204 ms 225 ms 208.30.197.53
8 * 140 ms 125 ms sl-bb20-hk-14-0.sprintlink.net [203.222.38.37]
9 * 163 ms 161 ms sl-bb20-tok-15-0.sprintlink.net [203.222.33.88]
10 318 ms 245 ms 241 ms sl-bb21-sea-8-2.sprintlink.net [144.232.20.50]
11 305 ms 260 ms 222 ms sl-bb20-sea-15-0.sprintlink.net [144.232.6.89]
12 218 ms 216 ms 228 ms so-3-0-0.gar1.Seattle1.Level3.net [209.0.227.133
]
13 226 ms 225 ms 313 ms ae-1-53.mp1.Seattle1.Level3.net [4.68.105.65]
14 237 ms 232 ms 239 ms as-0-0.bbr2.SanJose1.Level3.net [64.159.0.218]
15 230 ms 235 ms 238 ms ae-23-54.car3.SanJose1.Level3.net [4.68.123.109]
16 232 ms 241 ms 365 ms 4.71.112.14
17 230 ms 238 ms 233 ms g-1-0-0-p171.msr2.sp1.yahoo.com [216.115.107.87]
18 345 ms 314 ms 258 ms UNKNOWN-209-131-32-23.yahoo.com [209.131.32.23]
19 311 ms 261 ms 235 ms f1.www.vip.sp1.yahoo.com [209.131.36.158]
Trace complete.
Sedangkan disisi cisco router datautama dapat diseting seperti berikut:
interface FastEthernet0/1
description Interface yang point to point dengan International
ip policy route-map from-int-to-user
duplex auto
speed auto
!
interface FastEthernet1/1
description Interface yang point to point dengan IDC
ip policy route-map from-nice-to-user
duplex auto
speed auto
!
access-list 120 remark traffic dari luar ke user
access-list 120 permit ip any 203.89.26.0 0.0.0.255
!
route-map from-nice-to-user permit 10
match ip address 120
set ip next-hop 203.89.24.178
!
route-map from-int-to-user permit 10
match ip address 120
set ip next-hop 203.89.24.66
Jika ingin lebih baik maka di sisi user harus menggunakan router bgp, utk memisahkan traffic user menggunakan BGP akan dijabarkan pada artikel berikutnya.
Selamat mencoba.
Contoh Desain Jaringan Internet untuk Pelanggan ISP
Akses Internet semakin banyak di butuhkan oleh berbagai pihak, baik untuk kantor, warnet, game online, sekolah, kampus bahkan dirumah.
Untuk lebih memudahkan pelanggan dalam mengimplementasikan jaringan Internet di lingkungannya berikut adalah beberapa contoh umum yang dapat digunakan dalam merancang jaringan komputer berbasis TCP/IP.
Contoh 1.
Akses Internet melalui:
Wireless LAN (WLAN) / Leased line
Implementasi untuk:
- SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
- Kantor Cabang
- Sekolah
- Warung Internet atau Game Online
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game online
Keterangan:
- Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding.
Gambar 1. Jaringan Internet Sederhana menggunakan WLAN
Contoh 2.
Akses Internet melalui:
Wireless LAN (WLAN)
Implementasi untuk:- SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
- Kantor Cabang
- Sekolah
- Warung Internet atau Game Online
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game online
Keterangan:
- Terdapat DMZ = De Military Zone untuk sistem keamanan Server
- Dapat menambahkan 1 Server yang dapat diakses dari Internet
- Membutuhkan 4 IP Public = 1 IP Public untuk server yang dapat diakses langsung dari Internet, 1 IP Public sebagai gateway dari server yang ada, 1 IP Public sebagai Network Address, 1 IP Public sebagai Broadcast Address.
Gambar 2. Jaringan Internet dengan DMZ menggunakan WLAN
Contoh 3.
Akses Internet melalui:
Wireless LAN (WLAN)
Implementasi untuk:
- Perusahaan menengah
- Kantor Pusat
- Kampus
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Application Server
Keterangan:
- Memerlukan alokasi /29 dengan 8 IP Public = 5 IP Public untuk server yang dapat diakses langsung dari Internet, 1 IP Public sebagai gateway dari server yang ada, 1 IP Public sebagai Network Address, 1 IP Public sebagai Broadcast Address.
- Memiliki Netname sendiri yang dapat di whois dari Internet.
- Membutuhkan Network/System Administrator.
Gambar 3. Jaringan Internet dengan alokasi /29 menggunakan WLAN
Contoh 4.
Akses Internet melalui:
ADSL
Implementasi untuk:
- SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
- Kantor Cabang
- Sekolah
- Warung Internet atau Game Online
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game online
Keterangan:
- Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding, tetapi perlu diketahui teknologi ADSL tidak cocok untuk menempatkan web server di dalam jaringan karena sifatnya yang Asymmetric dimana Downstream biasanya besar tetapi Upstream kecil.
Gambar 4.Jaringan Internet Sederhana Menggunakan ADSL menggunakan modem eksternal
Contoh 5.
Akses Internet melalui:
ADSL
Implementasi untuk:
- SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
- Kantor Cabang
- Sekolah
- Warung Internet atau Game Online
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game online
Keterangan:
- Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding, tetapi perlu diketahui teknologi ADSL tidak cocok untuk menempatkan web server di dalam jaringan karena sifatnya yang Asymmetric dimana Downstream biasanya besar tetapi Upstream kecil.
Jaringan Internet Sederhana Menggunakan ADSL
menggunakan modem internal/USB
Contoh 6.
Akses Internet melalui:
ADSL
Implementasi untuk:
- SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
- Kantor Cabang
- Personal
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game online
Gambar 6. Jaringan Internet Personal menggunakan ADSL
Contoh 7.
Akses Internet melalui:
Wireless LAN (WLAN), ADSL, Fiber Optic, Leased Line dll.
Implementasi untuk:
- APARTEMENT
- Gedung Perkantoran
Aplikasi untuk:
- Browsing Internet
- Chatting
- Download / Upload
- VoIP = Voice Over Internet Protocol
- Game Online
Keterangan:
- Akses Internet melalui infrastruktur kabel telepon gedung , dimana Internet di tumpangkan pada kabel telepon yang ada di Apartment atau gedung perkantoran.
- Pelanggan cukup menggunakan Home PNA Adaptor atau ADSL modem biasa sebagai pengganti modem.
Gambar 7. Jaringan Internet menggunakan Home PNA