Fitur Isolation pada Cloud Router Switch (CRS) Series


Fitur Isolation pada Cloud Router Switch (CRS) Series


Selain produk Router, MikroTik saat ini mulai banyak mengeluarkan produk switch manageable. Perangkat switch manageable pertama yang dikeluarkan adalah RB250/260 series menggunakan Switch OS (SwOS) yang simple namun memiliki banyak fitur. Kemudian muncul produk Cloud Router Switch (CRS) series yang dibekali dengan RouterOS. Selain dapat mengatur komunikasi Layer2 CRS juga dapat digunakan untuk menghandle trafik Layer3 (Routing). 

Tidak berhenti sampai disitu, MikroTik kembali melakukan inovasi dan mengeluarkan produk switch baru yakni Cloud Smart Switch dibekali dengan SwOS versi baru yang telah disempurnakan, walaupun secara tampilan web-interface hampir sama dengan RB250 series namun terdapat tambahan fitur baru di dalamnya. Di antara fitur baru tersebut salah satunya adalah Port Isolation. Contoh pengaturannya sudah pernah kami bahas pada artikel CSS326-24G-2S+RM Smart Switch baru dengan SwOS 
Seperti pada perangkat manageable switch pada umumnya, produk CRS series juga memiliki fitur isolation antara lain Port level isolation dan protocol level isolation. Pada artikel kali ini akan dibahas mengenai fitur isolation pada perangkat switch Mikrotik yang menggunakan RouterOS yakni pada perangkat CRS series. 
Port Level Isolation 
Sama dengan fitur Port Isolation pada SwOS, fitur Port Level Isolation pada CRS dapat digunakan untuk membatasi komunikasi antar host berdasarkan interface / port. Dalam pembuatan rule Port Isolation masing-masing port dapat berdiri sendiri atau dapat juga beberapa port disusun menjadi sebuah group (community).
Fitur ini biasa diterapkan pada jaringan satu subnet, namun dengan penerapan kebijakan akses setiap Client yang berbeda. Agar lebih jelas kita akan coba dalam sebuah contoh kasus di bawah ini. 
Topologi 
Terdapat sebuah jaringan dengan topologi seperti gambar di bawah ini, dimana semua Client menggunakan alamat IP subnet yang sama alokasi dari Router. 
topologi 1 
Dari topologi diatas akan diterapkan pengaturan hak akses yang berbeda untuk tiap Client. 
  • Client A hanya boleh berkomunikasi ke gateway atau internet.
  • Client B dan C bisa akses internet, file sharing antar keduanya namun tidak diperbolehkan akses ke port lain termasuk ke Client A 
Konfigurasi yang harus dilakukan pertama adalah memfungsikan CRS sebagai Switch dengan mengkonfigurasi master-port pada tiap ethernet yang digunakan, dalam Topologi diatas master-port=ether2.
master-port
Selanjutnya, untuk implementasi Port Level Isolation sesuai konsep sebelumnya, terlebih dahulu tentukan Isolation-Profile pada tiap port ethernet, bisa dikonfigurasi pada menu Switch -> Port.

Klik 2x pada port yang ingin diubah, kemudian isikan Isolation Profile sesuai kebutuhan.  
isolation-uplink
Isolation Profile merupakan angka identifier untuk port group, dapat didefinisikan dengan angka 0 s/d 30. Secara default, sudah terdapat 2 Isolation Profile (predefined), yakni Isolation-Profile=0 dan 1. Keduanya bisa kita gunakan, sebagai contoh untuk port Uplink Ether2 Isolation-profile=0.
Isolation-Profile=1 kita terapkan pada port yang akan diisolasi, sebagai contoh pada kasus ini pada ether7, dimana nantinya Client hanya bisa berkomunikasi dengan internet/uplink. 


Jika ingin membuat port group (community) yang lebih banyak kita bisa definisikan secara manual Isolation-Profile = 2 s/d 30. Seperti contoh pada topologi dalam kasus ini terdapat community Div.Admin, maka kita dapat definisikan Isolation-Profile=2 pada port ether5 dan ether6. 
grup1
Setelah Isolation-Profile pada tiap port didefinisikan, langkah selanjutnya adalah membuat rule Port Isolation untuk memberikan batasan hak akses berdasarkan Isolation-Profile sebelumnya. 
Untuk Isolation-Profile=1 (client A) hanya diperbolehkan untuk akses internet saja, tidak bisa akses ke Client lain, maka rule nya sebagi berikut
 

Untuk Isolation-Profile=2 (Client B dan C) bisa akses internet, file sharing antar community member, namun tidak diperbolehkan akses ke port lain termasuk ke Client A 
 
Jika dalam satu Community bisa saling berkomunikasi maka tidak menutup kemungkinan ada DHCP Rogue. untuk menanggulangi hal tersebut di CRS series juga ada Fitur Protocol level Isolation. 
Topologi 2
topologi2 
Dari Topologi ke-2 berarti kita tambahkan interface ether4 sebagai salah satu anggota dari community div.Admin. Cara nya sama dengan sebelumnya yaitu mengubah parameter "isolation Profile override" di interface ether4 menjadi profile 2 dan menambahkan interface ether 4 pada switch port isolation profile 2.
 
1port4 
Untuk mencegah agar Client di dalam sebuah community hanya akan meminta IP dari DHCP server bukan DHCP Rogue, maka kita buat rule baru di Port isolation dengan memanfaatkan protocol type.
  
Rule memiliki nomor sehingga dibaca berurutan agar protocol isolation dapat berjalan maka kita drag n drop saja rule yang baru di buat supaya berada diatas rule port isolation untuk Community.
urutan 
Jadi dengan konfigurasi tersebut kita dapat mencegah Client meminta service IP, DNS, gateway dll hanya ke interface uplink tidak ke interface lain di dalam sebuah Community.

Catatan : 
Dalam satu perangkat CRS series sebaiknya hanya menggunakan 1 Masterport saja.
Dalam pembuatan Community, interface yang digunakan harus berurutan tidak boleh acak. 

Sumber: sahoobi.com

Share this

Related Posts

Previous
Next Post »