Sarana Informasi Bidang Informatika.

Cara Membuat Keamanan VLAN


Pada saat ini saya juga akan sharing pengetahuan saya mengenai aplikasi keamanan VLAN, di sini saya juga akan menerangkan maksud VLAN dalam switch jaringan, mengkaji bagaimana switch melanjutkan frame berbasiskan konfigurasi VLAN di llingkungan multi-switched, mengkofigurasi switch port yang juga akan ditugaskan ke VLAN spesifik berdasar pada keperluan, mengkonfigurasi port trunk pada switch LAN, mengkonfigurasi Dinamic Trunk Protocol (DTC), Troubleshoot VLAN serta konfigurasi trunk pada switch jaringan, mengkonfigurasi feature keamanaan untuk kurangi serangan dalam lingkungan yang ter-segmentasi VLAN serta menerangkan praktik paling baik untuk pengamanan lingkungan yang ter-segmentasi VLAN.


Pengertian VLAN ;

  • VLAN (Virtual LAN) yaitu partisi logic dari network layer 2 
  • Sebagian partisi bisa di buat, yang sangat mungkin sebagian VLAN untuk aktif dengan berdampingan 
  • Semasing VLAN yaitu domain broadcast, umumnya dengan IP network-nya sendiri 
  • VLAN yang sama-sama terisolasi serta paket-paket yang cuma dapat lewat antar VLAN lewat router 
  • Partisi di layer 2 network datang dari piranti layer 2 (umumnya satu switch). 
  • Host yang digolongkan dalam VLAN tidak mengerti kehadiran VLAN lain-nya 



Faedah VLAN / Manfaat VLAN :

  1. Keamanan 
  2. Pengurangan biaya 
  3. Kemampuan yang lebih baik 
  4. Kurangi broadcast domain 
  5. Penambahan efisiensi Staf TI 
  6. Pengelolaan jaringan serta aplikasi lebih mudah 

Type VLAN ;

  • Data VLAN 
  • Default VLAN 
  • Native VLAN 
  • Management VLAN 



Voice VLAN ;

1.Trafik VoIP yaitu waktu-sensitif serta memerlukan :

  • Bandwidth yang cukup untuk meyakinkan kwalitas suara 
  • Prioritas transmisi lebih dari type paket yang lain di traffic network 
  • Kekuatan untuk diteruskan di sekitaran ruang padat pada jaringan 
  • Toleransi keterlambatan kurang dari 150 ms di semua network 

2. Feature Voice VLAN ini sangat mungkin akses ke port untuk membawa IP voice traffic dari IP phone

3. Switch bisa tersambung ke IP phone Cisco 7960 serta membawa trafik IP voice

4. Karna kwalitas nada panggilan IP phone bisa lebih buruk bila data tidak di kirim rata, jadi switch mensupport Quality of Service (QoS)

Nada VLAN ;

IP phone Cisco 7960 terintegrasi tiga-port 10/100 switch :

  • Port 1 tersambung ke switch 
  • Port 2 yaitu 10/100 interface internal yang membawa trafik IP phone 
  • Port 3 (port akses) menghubungkan ke PC atau piranti beda. 

TRUNK VLAN ;

  • Trunk VLAN bisa membawa lebih dari satu VLAN 
  • Umumnya dibangun pada switch hingga piranti di VLAN yang sama bisa berkomunikasi meskipun dengan fisik tersambung ke switch yang berlainan 
  • Trunk VLAN tidak dihubungkan ke tiap-tiap VLAN. Termasuk juga trunk port yang dipakai untuk membuat link trunk 
  • Cisco IOS mensupport IEEE 802. 1q, yang disebut VLAN trunk protocol yang popular. 



Mengontrol Broadcast Domain dengan VLAN ;

  • VLAN bisa dipakai untuk membatasi jangkauan broadcast frame 
  • Satu VLAN yaitu domain broadcast dianya sendiri 
  • Oleh karenanya, broadcast frame yang di kirim oleh piranti dalam VLAN spesifik diteruskan dalam VLAN itu saja. 
  • Pertolongan ini mengatur jangkauan broadcast frame yang bisa beresiko dalam jaringan 
  • Unicast and multicast frame juga akan diteruskan dalam native VLAN juga. 

Melabeli Ethernet Frame untuk Identifikasi VLAN ;

  1. Frame tagging (pelabelan frame) dipakai untuk kirim sebagian VLAN frame lewat trunk link 
  2. Switch harusnya juga akan melabeli frame untuk mengidentifikasi VLAN. Berlainan dengan tagging protocols, dengan IEEE 802. 1q adalah satu diantara protocol trunk yang begitu populer 
  3. Protokol mendeskripsikan susunan tagging header yang ditambahkan ke frame 
  4. Switch juga akan menaikkan label VLAN ke frame sebelumnya meletakkan VLAN kedalam trunk link serta menghapus label itu sebelumnya melanjutkan frame lewat port non-trunk 
  5. Sesudah diikuti dengan benar, frame bisa melintas ke beberapa switch lewat link trunk serta masih tetap dapat melanjutkan ke tempat VLAN maksud dengan benar. 
  6. Melabeli Ethernet Frame untuk identifikasi VLAN 



Native VLAN serta Label 802. 1q 

  • Satu frame yang dipunyai oleh native VLAN akan tidak diikuti (dilabeli) 
  • Satu frame yang di terima tanpa ada label diletakkan di native VLAN serta diteruskan 
  • Bila tak ada port yang terkait dengan native VLAN serta tak ada trunk link beda, frame yg tidak diikuti juga akan di dropp 
  • Dengan default pada switch Cisco, native VLAN yaitu VLAN 1. 

Label Voice VLAN ;



Rentang VLAN pada Catalyst Switch
1.Catalyst 2960 serta 3560 Series switch mensupport lebih dari 4. 000 VLAN
2.VLAN dibagi jadi 2 kelompok :
3.Rentang normal VLAN

  • Nomor VLAN dari 1 hingga 1005 
  • Konfigurasi disimpan dalam vlan. dat (di flash) 
  • VTP cuma dapat serta menaruh rentang normal VLAN 

4. Rentang perpanjangan VLAN

  • VLAN nomor dari 1006 hingga 4096 
  • Konfigurasi disimpan di running-config (Dalam NVRAM) 
  • VTP tidak dapat perpanjang rentang VLAN. 

Buat VLAN 



Mengambil keputusan Ports Untuk VLAN 



Merubah Keanggotaan Port VLAN 




Menghapus VLAN



Memverifikasi Info VLAN 




Konfigurasi IEEE 802. 1q Trunk Link 




Reset Trunk Untuk Default Negara 




Memverifikasi Konfigurasi Trunk 




Pengantar DTP ;

  1. Port switch bisa dikonfigurasi dengan manual untuk membuat trunk 
  2. Port switch dapat juga dikonfigurasi untuk berunding serta membuat trunk link dengan di koneksi peer 
  3. Dynamic Trunking Protocol (DTP) yaitu protokol yang dipakai untuk mengelola trunk negotiation 
  4. DTP yaitu protokol punya Cisco serta diaktifkan dengan default di Cisco Catalyst Switch 2960 serta 3560 Bila port pada switch tetangga dikonfigurasi dalam model trunk yang mensupport DTP, itu untuk mengelola negotiation 
  5. Default DTP configuration untuk Cisco Catalyst 2960 serta 3560 switch yaitu auto dynamic. 

Menangani Problem dengan VLAN ;

  • Praktik begitu umum untuk mengasosiasikan VLAN dengan IP network 
  • Karna bila berlainan IP network cuma dapat berkomunikasi lewat router, semuanya piranti dalam VLAN mesti jadi sisi dari IP network yang sama agar bisa berkomunikasi 
  • Pada gambar berikut ini, PC1 tidak bisa berkomunikasi ke server karna mempunyai IP address yang salah konfigurasi. 

Problem Umum Dengan Trunks ;

  • Problem trunking umumnya terkait dengan konfigurasi yang salah. 

Type kekeliruan konfigurasi trunk paling umum yaitu :
1. Native VLAN mismatches
2. Trunk model mismatches
3. Allowed VLANs on trunks

  • Bila problem trunk terdeteksi, dasar praktik paling baik yang direferensikan untuk memecahkan troubleshoot dari posisi tertinggi. 

Serangan pada VLAN (Switch spoofing Attack) 

  1. Ada beberapa ketidaksamaan type serangan VLAN dalam jaringan switch moderen. VLAN hopping yaitu salah satunya 
  2. Default configuration dari switch port yaitu auto dynamic 
  3. Dengan mengkonfigurasi host untuk melakukan tindakan jadi switch serta membuat trunk, penyerang dapat memperoleh akses ke tiap-tiap VLAN network. 
  4. Karna penyerang saat ini bisa terhubung VLAN beda, Ini dimaksud VLAN hopping attack 
  5. Untuk menghindar basic switch spoofing attack, matikan trunking pada semuanya port, terkecuali port-port yang dengan spesial memerlukan trunking. 

Serangan pada VLAN (Double-Tagging Attack) 

  • Double-tagging attack ambil keuntungan lewat hardware pada umumnya switch de-enkapsulasi 802. 1Q tag 
  • Umumnya switch cuma mempunyai 1 level de-enkapsulasi 802. 1Q, yang sangat mungkin penyerang untuk menanamkan yang ke-dua, penyerang menanamkan header ilegal kedalam frame 
  • Sesudah buang yang pertama serta daftarkan header 802. 1Q yang baru, switch melanjutkan frame ke VLAN yang sudah ditetapkan dalam header 802. 1Q yang ilegal tsb 
  • Pendekatan paling baik untuk kurangi double-tagging attacks yaitu untuk meyakinkan kalau native VLAN dari trunk port berlainan dari VLAN dari port pemakai. 



Serangan pada VLAN (Double-Tangging Attack) 
Disain Praktek Paling baik Untuk VLAN (Dasar Desain VLAN)

  1. Pindahkan semuanya port dari VLAN1 serta menetapkannya ke VLAN yg tidak tengah digunakan 
  2. Tutup semuanya switch port yg tidak terpakai 
  3. Pisahkan manajemen serta user data traffic 
  4. Merubah manajemen VLAN ke VLAN terkecuali VLAN1. Hal yang sama berlaku juga untuk native VLAN 
  5. Yakinkan kalau cuma piranti dalam manajemen VLAN yang bisa tersambung ke switch 
  6. Switch mesti terima SSH connections 
  7. Disable auto negotiation pada trunk ports 
  8. anganlah pakai auto atau model switchport desirable
Semoga Bermanfaat ......