Filtering Mac-address dan STP Root Guard di berbagai vendor Switch
Berhubung saya nggak bisa tidur dan nanti harus kerja lagi, daripada kalau ketiduran nanti kebablasan, untuk mengisi waktu saya coba nulis aja deh tentang mac-filtering.
Mungkin
untuk teman-teman yang kerja di ISP dan terkoneksi ke IIX AP***
seringkali kesulitan atau menemukan masalah saat ganti router BGP nya
(atau mungkin pindah port), peer ke IIX nya jadi down. Padahal router
BGP yang baru (port yang baru) sudah dikonfig sama persis dengan router /
port yang lama. Sebenarnya kenapa sih?
Yuk, kita flashback sebentar.
Sebelum melakukan peering ke IIX biasanya ISP harus mengirimkan MoU ke NOC IIX. MoU ada di http://bit.ly/1kK1t7r. Di MoU, pada bab persyaratan teknis, point ke 6 tertulis seperti ini :
Anggota harus mengkonfigurasikan pada semua sambungan ke IIX untuk mematikan (disable) : Proxy ARP, ICMP redirects, Directed broadcast, IEEE802 Spanning Tree, Interior routing protocol broadcast, dan semua MAC layer broadcast kecuali ARP.
Harusnya
di sisi ISP, pada harus di-disable MAC layer broadcast, dan
spanning-tree pada interface mengarah ke IIX. Nah, kalau lupa?
Disinilah fungsinya IIX melakukan mac-filtering, selain untuk fungsi
keamanan, untuk menghindari juga broadcast traffic yang berlebih dari
perangkat ISP.
Setiap
merk perangkat punya setingan sendiri-sendiri yang mirip-mirip
sebenarnya. Tapi meskipun mirip kalau nggak biasa ya lumayan bingung
juga. Nah, berikut saya berikan perbandingan untuk beberapa vendor
antara lain Cisco, Brocade, dan Force 10.
1. Mac Filtering di Cisco Catalyst 3750
Pertama-tama,
buat access list dulu untuk filtering mac-address yang akan dipermit
untuk kirim traffic ke port kita. Contohnya seperti ini :
mac access-list extended MAC-ISP-A
permit host 0025.90c0.d9f9 any
deny any any
Nah, setelah dibuat access listnya, sekarang bisa kita apply di interfacenya. Seperti ini caranya :
interface FastEthernet2/0/5
description IIX-ISP-A
switchport access vlan 111
switchport mode access
mac access-group MAC-ISP-A in
no cdp enable
spanning-tree guard root
2. Mac Filtering di Force 10 S50N
Mirip-mirip dengan sebelumnya, pertama kali kita buat access list nya dulu:
mac access-list standard MAC-ISP-B
seq 5 permit 00:25:90:21:21:bb
seq 10 deny any
Assign
terlebih dahulu port nya di VLAN berapa jika memang ingin dipisahkan
VLAN tersendiri, seperti ini assign VLAN di Force 10:
interface Vlan 111
description VLAN-IIX
no ip address
untagged GigabitEthernet 0/1-6
no shutdown
Sekarang assign access list nya di port siwtch nya:
interface GigabitEthernet 0/4
description IIX-ISP-B
no ip address
switchport
mac access-group MAC-ISP-B in
no shutdown
3. Mac Filtering di Brocade
Pertama-tama konfigurasikan port dan VLAN nya:
interface VLAN 111
description IIX
untagged GigabitEthernet 0/2-14
Ada 2 cara untuk konfigurasi mac-filternya. Sebenarnya nggak hanya di Brocade aja sih..
> Cara 1
- Buat mac filter nya seperti ini :
mac filter 1 permit 0004.c01a.e408 ffff.ffff.ffff any
mac filter 2 permit 0025.9021.21bb ffff.ffff.ffff any
mac filter 10 permit 0009.7b74.5008 ffff.ffff.ffff any
mac filter 11 permit 0015.63f2.3507 ffff.ffff.ffff any
mac filter 20 permit 000a.f304.8820 ffff.ffff.ffff any
mac filter 21 permit 0012.018f.cc02 ffff.ffff.ffff any
mac filter 22 permit 000b.45ec.bc19 ffff.ffff.ffff any
mac filter 30 permit 000c.429a.4c8a ffff.ffff.ffff any
mac filter 512 deny any any
- Setelah itu apply langsung di interfacenya :
interface ethernet 1/1/13
port-name IIX-ISP-C
loop-detection
mac filter-group 1 512
spanning-tree root-protect
no shutdown
> Cara 2
- Buat access list untuk filtering mac-addressnya sperti ini:
mac access-list standard MAC-ISP-D
seq 5 permit 00:0c:42:9a:4c:8a
seq 10 deny any
- Apply access list tersebut di interface nya :
interface GigabitEthernet 0/32
description IIX-ISP-D
no ip address
switchport
mac access-group MAC-ISP-D in
no shutdown
Nah..
Demikian sedikit perbandingan gimana caranya filtering mac-address,
assign VLAN, termasuk juga konfigurasi root protect / root guard nya.
Semoga bermanfaat.
Semoga bermanfaat.
Syawal Nugrahanto
0 komentar:
Posting Komentar