-
LAPORAN KEGIATAN ANALISA DAN OPTIMALISASI LAYANAN
VIRTUAL PRIVATE NETWORK / VPN JAWABAN SOAL UJIAN AKHIR
SEMESTER
Dosen Pengampu : Nur Widiyasono, S.Kom., CEH, CHFI.
Nama : Nandang Gozali Nursambas N.P.M : 12060059
PROGRAM STUDI TEKNIK INFORMATIKA KOMPUTER SEKOLAH TINGGI
TEKNOLOGI YBSI
YAYASAN ISLAM BOJONG Tasikmalaya@2014
-
I. Latar Belakang
a. Maksud dan Tujuan Dengan semakin berkembangnya dunia
Teknologi dan Informasi di
seluruh dunia, serta pemanfaatannya dalam kehidupan sehari-hari
mendorong semua orang untuk semakin memperbanyak pengetahuan dalam
bidang Teknologi Informasi.
Selain itu, penggunaan konsep Jaringan Komputer dalam
pemanfaatan dunia Teknologi Informasi semakin banyak di
implementasikan di berbagai sector kehidupan.
Oleh karena itu, perluasan ilmu pengetahuan dibidang Jaringan
computer mutlak diperlukan di kalangan orang-orang IT. Pasalnya
seluruh kegiatan baik pendidikan, pemerintahan, perusahaan maupun
bidang lainnya mulai melirik Sistem Jaringan Komputer untuk
memudahkan pertukaran informasi.
Adapun maksud dan tujuan dibuatnya laporan ini adalah untuk
memperdalam ilmu pengetahuan tentang Jaringan Komputer, khususnya
materi tentang VPN (Virtual Private Network) serta implementasi dan
pemanfaatannya dalam kehidupan sehari-hari seperti sebuah
perusahaan yang memiliki beberapa kantor cabang di beberapa kota
atau wilayah yang berbeda, dimana system computer yang berada di
kantor pusat ingin dapat terhubung dengan kantor-kantor cabangnya
melewati public network. Sehingga setiap kantor cabang memerlukan
eknripdi untuk keamanan transfer data melalui public network.
Selain itu, pembuatan laporan ini juga bertujuan untuk
memberikan pengetahuan kepada rekan-rekan yang ingin mengetahui
lebih jauh ilmu pengetahuan tentang Sistem Jaringan Komputer yang
membutuhkan, meskipun dalam laporan ini masih memiliki banyak
kekurangan. Disamping itu, pembuatan laporan ini ditujukan untuk
memenuhi salah satu tugas matakuliah Jaringan Komputer.
b. Manfaat VPN
Pengunaan Jaringan Komputer pada sebuah perusahaan seringkali
terkendala dengan adanya keterbatasan media transmisi yang biasanya
berupa kabel, media transmisi yang menggunakan kabel terbatas
dengan ketersediaan jarak untuk kabel UTP dan STP. Untuk komunikasi
jarak jauh biasanya menggunakan media serat optic atau gelombang
radio. Adapun untuk komunikasi menggunakan koneksi internet
(clouds) menggunakan jaringan public biasanya sangat riskan dengan
gangguan external seperti pencurian data dari internet dan
sebagainya.
Untuk dapat menghubungkan beberapa kantor cabang yang letaknya
berjauhan, digunakanlah sebuah aplikasi server yang dapat
menjangkau remote network yang berada dibelakang jaringan public
dengan membuat sebuah terowongan melewati jaringan public dengan
enkripsi data untuk menjangkau remote network tujuan, sehingga
dapat meminimalisir pencurian data oleh pihak luar. Teknik tersebut
bersama IPSec dapat digunakan untuk membuat jaringan pribadi
(private network) dibelakang jaringan public (public network) yang
disebut dengan VPN (Virtual Private Network).
II. Landasan Teori
-
a. NAT (Network Address Translation) NAT (Network Address
Translation) merupakan proses perubahan IP
Address, baik IP Address pengirim maupun IP Address tujuan. NAT
terbagi dua, yaitu:
Source NAT (SNAT), jika yang dilakukan adalah perubahan pada
field IP Address pengirim dari sebuah packet.
Destination NAT (DNAT), jika yang dilakukan adalah perubahan
field IP Address tujuan dari sebuah packet.
Mari kita amati gambar dibawah ini:
Pada Gambar diatas, R1 melakukan routing namun diikuti NAT. Jika
R1 melakukan NAT, maka R1 akan merubah field IP Address pengirim
dari packet yang diterimanya dari Host A. Dapat dilihat pada packet
request Host A yang keluar dari R1. Packet tersebut tidak memiliki
field IP Address pengirim yaitu 192.168.10.2, tetapi R1 merubahnya
(mentranslasikan) menjadi IP Address 192.168.20.1. Hal ini
menyebabkan Host B mengira bahwa packet yang diterimanya berasal
dari R1 dengan IP Address 192.168.20.1, padahal pengirim sebenarnya
adalah Host A dengan IP Address 192.168.10.2. Begitupun sebaliknya
jika packet data dikirim dari Host B ke Host A, Host A akan selalu
berasumsi bahwa pengirimnya adalah R1, karena R1 membuat translasi
ip.
Destination IP 192.168.20.2
Source IP 192.168.20.1
Data Destination IP 192.168.20.2
Source IP 192.168.10.2
Data
Destination IP 192.168.20.1
Source IP 192.168.20.2
Data Destination IP 192.168.10.2
Source IP 192.168.20.2
Data
Network Address Translation
Network Address Translation
-
Selanjutnya muncul sebuah pertanyaan, kapan kita menggunakan NAT
pada router atau hanya routing saja.? NAT hanya diterapkan pada
router yang menjadi batas antara jaringan private dengan jaringan
public (internet). NAT pada router ini ditunjukkan untuk
menyembunyikan IP Address private dari jaringan public. Diusahakan
jangan menerapkan NAT pada jaringan private, karena hal tersebut
dapat menyulitkan administrator network untuk memonitor host yang
berada di belakang router tersebut, kecuali memang menghendaki
untuk menyembunyikan host tersebut.
b. VPN Inter-VLAN Routing Virtual Local Area Network (VLAN)
adalah metode layer 2 yang
memungkinkan beberapa Virtual LAN pada antarmuka fisik tunggal
(Ethernet, wireless, dll). Sehingga memungkinkan untuk memisahkan
LAN secara efisien. Perlu diperhatikan bahwa VLAN bukanlah
tunneling protocol penuh, untuk itu VLAN memerlukan bantuan VPN
(Virtual Private Network) untuk dapat membuat tunneling secara
penuh.
Protocol yang paling umum digunakan untuk VLAN adalah standard
IEEE 802.1 Q. Protocol ini adalah protocol enkapsulasi standard
yang mendefinisikan bagaimana empat byte VLAN identifier ke header
Ethernet.
Preamble Destination MAC Address
Source MAC Address
Type PayLoad CRC/FCS
Preamble Destination
MAC Address
Source MAC Address
802.1Q Header (VLAN ID)
PayLoad CRC/FCS
Pada setiap VLAN diberlakukan pemakaian subnet terpisah, itu
berarti bahwa secara default host dalam VLAN tersebut tidak dapat
berkomunikasi dengan host anggota VLAN lain meskipun host tersebut
terhubung dengan sebuah switch yang sama. Jadi jika ingin
berkomunikasi antar VLAN kita membutuhkan router yang selanjutnya
bisa disebut dengan Inter-VLAN Routing, yaitu routing yang
digunakan untuk interface antar VLAN. RouterOS mendukung hingga
4095 interface VLAN, masing-masing dengan ID VLAN yang bersifat
unik per interface.
Ketika jumlah VLAN semakin membesar yaitu lebih dari satu
switch, maka link antar switch harus dibuat trunk (batang), dimana
paket dari setiap VLAN akan ditandai muntuk menunjukkan identitas
masing-masing VLAN. Trunking hamper seperti link
point-to-point.
Selanjutnya, untuk dapat menghubungkan beberapa VLAN yang letak
wilayahnya berjauhan dan berada dibelakang public network,
dibuatlah tunneling (terowongan) untuk menghubungkan dua buah VLAN
dengan latar belakang network yang berbeda menggunakan VPN (Virtual
Private Network). Inilah yang disebut dengan VPN Inter-VLAN
Routing, yaitu teknik untuk menghubungkan beberapa VLAN dibelakang
router dengan membuat terowongan untuk membuat jaringan private
dibelakang jaringan public.
-
III. Pembahasan dan Hasil a. Konfigurasi Router dan Switch
Sebelum melakukan konfigurasi Router dan switch, terlebih dahulu
kita harus membuat desain topologi jaringan yang akan dibangun.
Dalam hal ini penulis menggunakan network simulator Cisco Packet
Tracert untuk membuat desain topologi jaringan, adapun jaringan
yang akan dibangun adalah seperti berikut:
Dari topologi jaringan diatas, kita akan membangun sebuah
jaringan dengan 3(tiga) buah Router masing-masing R1, R2 dan R3
dengan dua buah jaringan local atau VLAN. Dimana kita akan membuat
sebuah tunneling atau terowongan untuk menghubungkan R1 dan R3
dengan Virtual Private Network (VPN) menggunakan protocol
IpSec.
i. Konfigurasi Router Router yang digunakan dalam simulasi ini
adalah Router 2091 dengan IOS version 15. Yang memiliki 2 buah port
GigabitEthernet dan 2 buah port Serial.
1. Konfigurasi IP Address a. Konfigurasi IP Address R1
-
Konfigurasi IP Address dengan port GigabitEthernet0/0 yang
menuju ke switch:
Keterangan: en (enable) =Untuk masuk sebagai Privileged-
Mode conf t (configure terminal)= Untuk masuk pada
global configuration int Fa0/0 (interface FastEthernet0/0)=
Memilih interface yang akan dikonfigurasi ip addr (ip address)=
Memberi IP Address
pada interface no sh (no shutdown)= Mengaktifkan interface write
= Menyimpan konfigurasi
Langkah selanjutnya mengkonfigurasi interface Serial0/0/0 pada
R1:
b. Konfigurasi IP Address di R2
Konfigurasi IP Address untuk port Serial0/0/0 yang menuju ke
R1:
-
Selanjutnya kita konfigurasi port Serial0/0/1 yang menuju
R3:
c. Konfigurasi IP Address di R3
-
Konfigurasi IP Address pada port Serial0/0/0 yang menuju ke
R2:
Selanjutnya konfigurasi IP Address pada port GigabitEthernet0/0
yang menuju ke switch 2:
-
Sehingga hasil setelah dikonfigurasi IP Address sebagai
berikut:
2. Konfigurasi Routing Untuk konfigurasi routing, penulis
menggunakan routing Dynamic dengan routing protocol RIP
Konfigurasi Routing di R1 dilakukan dengan menambahkan network
yang dimilikinya untuk nantinya diperkenalkan ke R2 dan R3.
Selanjutnya konfigurasi routing yang dilakukan di R2 hanya
menambahkan 1 buah network karena network 10.1.1.0 dan 10.2.2.0
merupakan summarize network (network yang dirangkum) menjadi sebuah
network.
-
Terakhir, konfigurasi di R3 menambahkan dua buah network, yaitu
1.0.0.0 dan 192.168.3.0.
Dengan routing Dynamic, maka router akan secara otomatis
bertukar informasi mengenai table routing yang mereka miliki,
sehingga menghasilkan table routing di setiap router masing-masing
sebagai berikut, guanakan perintah #show ip route = untuk
menampilkan table routing: Tabel Routing di R1:
-
Tabel Routing di R2:
Tabel Routing di R3:
-
Sampai pada tahapan ini, semua network dapat saling terhubung
satu sama lain. Jika diuji menggunakan protocol ICM dari PC Server
ke PC Client maka hasilnya sebagai berikut:
Atau jika menggunakan tool tracert, hasilnya sebagai
berikut:
3. Konfigurasi Tunneling dari R1 ke R3 melewati R2
Tabel Perencanaan IP: Device Interface IP Address Subnetmask
Default GW
R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0 10.1.1.2
255.255.255.252 N/A
R2 S0/0/0 10.1.1.1 255.255.255.252 N/A
-
S0/0/1 10.2.2.1 255.255.255.252 N/A
R3 G0/0 192.168.3.1 255.255.255.0 N/A S0/0/0 10.2.2.1
255.255.255.252 N/A
PC Server
Fa0/0 192.168.1.2 255.255.255.0 192.168.1.1
PC Client
Fa0/0 192.168.3.2 255.255.255.0 192.168.3.1
Tabel Key Management, Enkripsi dan Authentikasi:
Parameter R1 R3 Key Distribution method
Manual/ISAKMP ISAKMP ISAKMP
Algorithma Enkripsi
DES, 3DES atau AES
AES AES
Algorimha Hash
MD5 atau SHA-1 SHA-1 SHA-1
Metode Authentikasi
Pre-Shared keys atau RSA
Pre-Shared key
Pre-shared key
Key Exchange
DH, group 1, 2 atau 5
Group 2 Group2
IKE SA Lifetime
86400 s atau kurang
86400 86400
ISAKMP KEY hindasah hindasah Parameter untuk IPSec Phase 2
Policy:
Parameter R1 R3 Transform set mytrans mytrans Peer Hostname R3
R1 Peer Address 10.2.2.2 10.1.1.2 Network yang akan di enkripsi
192.168.1.0/24 192.168.3.0/24
Nama Crypto Map
mymap mymap
SA Establishment
ipsec-isakmp ipsec-isakmp
Nama Group dan Key untuk AAA Server:
Parameter R1 R3 Group Name sttybsi sttybsi Key/ secret Sttybsi
sttybsi
-
Pembuatan Tunneling utuk R1 dan R3 akan dilakukan dengan
konfigurasi sebagai berikut:
a) Konfigurasi di R1, langkah pertama adalah mengaktifkan
Feature Keamanan di Router. Yaitu mengaktifkan security technology
package license dengan cara:
Cek apakah security technology package telah aktif atau belum
dengan mengetikan show version pada mode privilege.
Jika belum aktif, aktifkan dengan perintah dibawah ini:
R1(config)# license boot module c9200 technology-package
securityk9 R1(config)# end R1#copy running-config startup-config
R1)#reload
Cek kembali apakah sudah aktif atau belum?
Lakukan juga aktivasi security technology package license pada
R3.
Konfigurasi IPSec pada R1 Konifurasi ACL 110 untuk
mengidentifikasti traffic dari LAN R1 pada LAN R3 yang
berkepentingan. Selain dari pada itu, traffic tidak akan di
enkripsi.
Lakukan juga Hal tersebut pada R3.
-
Konfigurasi ISAKMP Phase 1 properties pada R1 Konfigurasi Crypto
ISAKMP policy 10 pada R1 dengan shared crypto key hindasah.
Konfigurasi ISAKMP Phase 2 properties pada
R1 Buat Transform set mytrans untuk menggunakan esp-3des dan
esp-sha-hmac, kemudian buat crypto map mymap. Gunakan sequence
number 10 dan identifikasikan sebagai ipsec-isakmp.
Konfigurasi aaa model dan Crypto Map pada
Outgoing Interface
-
Konfigurasi ISAKMP properties Phase 1 di R3
Konfigurasi ISAKMP properties Phase 2 di R3
-
Verifikasi Untuk melihat paket yang di enkapsulasi dan di
enkripsi, tuliskan perintah show crypto ipsec sa :
Lakukan test ping dari PC Server ke PC Client:
-
Cek kembali paket yang di enkapsulasi di R1 dengan perintah show
crypto ipsec sa. Maka hasilnya seperti gambar di bawah, berarti
konfigurasi tunneling R1 dan R3 VPN dengan IpSec sudah
berhasil.
ii. Konfigurasi Switch
b. Konfigurasi PC/ Laptop Konfigurasi IP Address untuk PC
Server
-
Konfigurasi IP Address pada PC Client:
Konfigurasi VPN di PC Client:
Jika koneksi berhasil, maka akan tampil pesean seperti
berikut:
-
c. Konfigurasi Mail dan DNS Konfigurasi DNS Server :
Klik Tab Config pada PC Server kemudian klik Service DNS
Jalankan service dengan memilih radio button On Pada field Resource
Records Name isi dengan Domain yang
dikehendaki misalnya sttybsi.ac.id Pada field Type pilih A
Record untuk translasi domain ke IP Address
atau sebaliknya. Pada field Address, isi dengan alamat IP yang
memiliki service DNS
Server kemudian klik tombol Add.
-
Konfigurasi Mail Server:
Klik Tab Config pada PC Server, kemudian klik Service Email
Aktifkan service SMPT dan POP3 dengan meng klik radio
button on pada kedua service. Pada field domain, isi dengan
domain yang akan digunakan
untuk mail server, karena sebelumnya kita membuat domain sttybsi
ac.id maka kita isi field domain dengan sttybsi.ac.id kemudian klik
tombol set.
Tambahkan daftar user yang akan dijadikan user untuk berkirim
email antar user, jangan lupa memberi password kemudian tekan
tombol plus (+) untuk menambahkan user baru.
-
d. Konfigurasi FTP Service
Klik Tab config pada PC Server, kemudian klik service FTP
Pastikan service nya aktif dengan meng klik radio button On. Buat
user dan untuk koneksi ftp Kemudian tentukan type hak access untuk
user.
e. Verifikasi Konfigurasi
i. Router Verifikasi dari R1 ke PC Server
Verifikasi dengan perintah ping
Verifikasi dengan perintah Traceroute
-
Verifikais dari R1 ke R2 dan sebaliknya Verifikasi dengan
perintah ping
Verifikasi dengan perintah traceroute
Verifikasi dari R1 ke R3 Verifikasi dengan perintah ping
-
Verifikasi dengan perintah traceroute
ii. PC Verifikasi dari PC Server ke PC Router 1, 2 dan 3
Verifikasi dengan perintah ping
-
Verifikasi dengan perintah tarcert
-
Perivikasi dari PC Server ke PC Client dan sebaliknya Verifikasi
dengan perintah ping
Verifikasi dengan perintah tracert
-
iii. Mail dan DNS Verifikasi DNS Server dari PC Client
Verifikasi dengan perintah ping
Verifikasi dengan nslookup
Verifikasi dengan web browser
Verifikasi mail server dari client Konfigurasi mail client
-
Tes penerimaan email dengan protocol POP3
-
IV. Kesimpulan VPN (Virtual Vrivate Network) merupakan sebuah
koneksi yang menghubungkan dua buah remote network melalui public
network. Koneksi tersebut dapat merupakan koneksi Layer 2 maupun
Layer 3 dalam model OSI Layer. Maka dari itu, VPN dapat di
klasifikasikan menjadi Layer 2 VPN dan Layer 3 VPN. Pada dasarnya
Layer 2 VPN dan Layer 3 VPN adalah sama, yaitu menambahkan header
pengiriman dalam packet data yang menuju ke remote network tujuan.
Contoh dari Layer 2 VPN diantaranya ATM (Asinchronous Transfer
Mode) dan Frame Relay. Sedangkan untuk Layer 3 VPN contohnya adalah
L2TP, MPLS dan IPSec. IPSec diciptakan oleh kelompok kerja IPsec
dibawah IETF. Arsitektur IPSec VPN didefinisikan oleh RFC2401,
yaitu:
a. Security Protocol Terdiri dari Authentication Header (AD) dan
Encapsulatin Security Payload (ESP)
b. Key Management Terdiri dari ISAKMP, IKE, SKEME
c. Algorithm Terdiri Enkripsi dan Authentikasi
VLAN (Virtual LAN) membagi broadcast domain pada LAN
Environment. Setiap Host dalam sebuah VLAN ingin berkomunikasi
dengan Host yang berada pada VLAN lain, maka traffic harus di
routing antar keduanya. Inilah yang dinamakan inter-VLAN
routing
V. Referensi
Building Multilayer Switched Networks, Cisco Networking Academy
Program Balchunas, Aaron. Cisco CCNP Routing Stydy Guide :2012 CCNA
Security. Securing The Router for Administrative Access, Cisco
Networking Academy. Cisco System: 2012 Towidjojo, Rendra. Konsep
dan Implementasi Routing dengan Router Mikrotik, Jasakom Yugianto,
Gin-Gin. Router Teknologi, Konsep, Konfigurasi dan Troubleshooting,
Inromatika; Bandung :2012