Diberdayakan oleh Blogger.
Unduh Adobe Flash player

Filtering Mac-address dan STP Root Guard di berbagai vendor Switch



Berhubung saya nggak bisa tidur dan nanti harus kerja lagi, daripada kalau ketiduran nanti kebablasan, untuk mengisi waktu saya coba nulis aja deh tentang mac-filtering.

Mungkin untuk teman-teman yang kerja di ISP dan terkoneksi ke IIX AP*** seringkali kesulitan atau menemukan masalah saat ganti router BGP nya (atau mungkin pindah port), peer ke IIX nya jadi down. Padahal router BGP yang baru (port yang baru) sudah dikonfig sama persis dengan router / port yang lama. Sebenarnya kenapa sih?

Yuk, kita flashback sebentar.
Sebelum melakukan peering ke IIX biasanya ISP harus mengirimkan MoU ke NOC IIX. MoU ada di http://bit.ly/1kK1t7r. Di MoU, pada bab persyaratan teknis, point ke 6 tertulis seperti ini :
Anggota harus mengkonfigurasikan pada semua sambungan ke IIX untuk mematikan (disable) : Proxy ARP, ICMP redirects, Directed broadcast, IEEE802 Spanning Tree, Interior routing protocol broadcast, dan semua MAC layer broadcast kecuali ARP.
Harusnya di sisi ISP, pada harus di-disable MAC layer broadcast, dan  spanning-tree pada interface mengarah ke IIX. Nah, kalau lupa? Disinilah fungsinya IIX melakukan mac-filtering, selain untuk fungsi keamanan, untuk menghindari juga broadcast traffic yang berlebih dari perangkat ISP.

Setiap merk perangkat punya setingan sendiri-sendiri yang mirip-mirip sebenarnya. Tapi meskipun mirip kalau nggak biasa ya lumayan bingung juga. Nah, berikut saya berikan perbandingan untuk beberapa vendor antara lain Cisco, Brocade, dan Force 10.

1. Mac Filtering di Cisco Catalyst 3750
Pertama-tama, buat access list dulu untuk filtering mac-address yang akan dipermit untuk kirim traffic ke port kita. Contohnya seperti ini :

mac access-list extended MAC-ISP-A
 permit host 0025.90c0.d9f9 any
 deny   any any

Nah, setelah dibuat access listnya, sekarang bisa kita apply di interfacenya. Seperti ini caranya :

interface FastEthernet2/0/5
 description IIX-ISP-A
 switchport access vlan 111
 switchport mode access
 mac access-group MAC-ISP-A in
 no cdp enable
 spanning-tree guard root

2. Mac Filtering di Force 10 S50N
Mirip-mirip dengan sebelumnya, pertama kali kita buat access list nya dulu:

mac access-list standard MAC-ISP-B
 seq 5 permit 00:25:90:21:21:bb 
 seq 10 deny any 

Assign terlebih dahulu port nya di VLAN berapa jika memang ingin dipisahkan VLAN tersendiri, seperti ini assign VLAN di Force 10:

interface Vlan 111
 description VLAN-IIX
 no ip address
 untagged GigabitEthernet 0/1-6
 no shutdown

Sekarang assign access list nya di port siwtch nya:

interface GigabitEthernet 0/4
 description IIX-ISP-B
 no ip address
 switchport
 mac access-group MAC-ISP-B in
 no shutdown

3. Mac Filtering di Brocade
Pertama-tama konfigurasikan port dan VLAN nya:

interface VLAN 111
  description IIX  
  untagged GigabitEthernet 0/2-14

Ada 2 cara untuk konfigurasi mac-filternya. Sebenarnya nggak hanya di Brocade aja sih..
> Cara 1
   - Buat mac filter nya seperti ini :
      mac filter 1 permit 0004.c01a.e408 ffff.ffff.ffff any 
      mac filter 2 permit 0025.9021.21bb ffff.ffff.ffff any 
      mac filter 10 permit 0009.7b74.5008 ffff.ffff.ffff any 
      mac filter 11 permit 0015.63f2.3507 ffff.ffff.ffff any 
      mac filter 20 permit 000a.f304.8820 ffff.ffff.ffff any 
      mac filter 21 permit 0012.018f.cc02 ffff.ffff.ffff any 
      mac filter 22 permit 000b.45ec.bc19 ffff.ffff.ffff any 
      mac filter 30 permit 000c.429a.4c8a ffff.ffff.ffff any 
      mac filter 512 deny any any 
  - Setelah itu apply langsung di interfacenya :
     interface ethernet 1/1/13
      port-name IIX-ISP-C 
      loop-detection                                                   
      mac filter-group 1 512 
      spanning-tree root-protect
       no shutdown

> Cara 2
   - Buat access list untuk filtering mac-addressnya sperti ini:
      mac access-list standard MAC-ISP-D
       seq 5 permit 00:0c:42:9a:4c:8a 
       seq 10 deny any
   - Apply access list tersebut di interface nya :
      interface GigabitEthernet 0/32
       description IIX-ISP-D
       no ip address
       switchport
       mac access-group MAC-ISP-D in
       no shutdown

Nah.. Demikian sedikit perbandingan gimana caranya filtering mac-address, assign VLAN, termasuk juga konfigurasi root protect / root guard nya.

Semoga bermanfaat.

Syawal Nugrahanto

0 komentar:

Posting Komentar