Thursday, March 4, 2021

Rangkuman CCNA Chapter 11

 Rangkuman CCNA Chapter 11

 

Bagian 11.1

Topik 11.1.1

11.1.1.1 Topologi Jaringan Kecil

    Mayoritas bisnisnya kecil. Maka tidak mengherankan jika mayoritas jaringan juga kecil. Jaringan bisnis kecil yang khas ditunjukkan pada gambar.

    Dengan jaringan kecil, desain jaringan biasanya sederhana. Jumlah dan jenis perangkat yang disertakan berkurang secara signifikan dibandingkan dengan jaringan yang lebih besar. Topologi jaringan biasanya melibatkan satu router dan satu atau lebih switch. Jaringan kecil mungkin juga memiliki titik akses nirkabel (mungkin dibangun di dalam router) dan telepon IP. Sedangkan untuk koneksi ke Internet, biasanya jaringan kecil memiliki koneksi WAN tunggal yang disediakan oleh DSL, kabel, atau koneksi Ethernet.

    Mengelola jaringan kecil membutuhkan banyak keterampilan yang sama seperti yang diperlukan untuk mengelola jaringan yang lebih besar. Sebagian besar pekerjaan difokuskan pada pemeliharaan dan pemecahan masalah peralatan yang ada, serta mengamankan perangkat dan informasi di jaringan. Pengelolaan jaringan kecil dilakukan oleh karyawan perusahaan atau orang yang dikontrak oleh perusahaan, tergantung pada ukuran dan jenis bisnis.


11.1.1.2 Pemilihan Perangkat untuk Jaringan Kecil

    Untuk memenuhi kebutuhan pengguna, jaringan kecil sekalipun memerlukan perencanaan dan desain. Perencanaan memastikan bahwa semua persyaratan, faktor biaya, dan opsi penerapan dipertimbangkan dengan tepat.

    Saat mengimplementasikan jaringan kecil, salah satu pertimbangan desain pertama adalah jenis perangkat perantara yang digunakan untuk mendukung jaringan. Saat memilih jenis perangkat perantara, ada beberapa faktor yang perlu diperhatikan, seperti yang ditunjukkan pada gambar.

Biaya


Biaya sakelar atau router ditentukan oleh kapasitas dan fiturnya. Kapasitas perangkat mencakup jumlah dan jenis port yang tersedia dan kecepatan bidang belakang. Faktor lain yang memengaruhi biaya adalah kemampuan manajemen jaringan, teknologi keamanan tertanam, dan teknologi pengalihan lanjutan opsional. Biaya kabel yang diperlukan untuk menghubungkan setiap perangkat di jaringan juga harus dipertimbangkan. Elemen kunci lain yang mempengaruhi pertimbangan biaya adalah jumlah redundansi yang akan dimasukkan ke dalam jaringan.

Kecepatan dan Jenis Port / Antarmuka


Memilih jumlah dan jenis port pada router atau switch merupakan keputusan penting. Komputer baru memiliki NIC bawaan 1 Gb / s. Port 10 Gb / s sudah disertakan dengan beberapa workstation dan server. Meskipun lebih mahal, memilih perangkat Layer 2 yang dapat mengakomodasi peningkatan kecepatan memungkinkan jaringan berkembang tanpa mengganti perangkat pusat.

Dapat diperluas

Perangkat jaringan hadir dalam konfigurasi fisik tetap dan modular. Konfigurasi tetap memiliki jumlah dan jenis port atau antarmuka tertentu. Perangkat modular memiliki slot ekspansi yang memberikan fleksibilitas untuk menambahkan modul baru seiring berkembangnya persyaratan. Sakelar tersedia dengan port tambahan untuk uplink kecepatan tinggi. Router dapat digunakan untuk menghubungkan berbagai jenis jaringan. Perhatian harus diberikan untuk memilih modul dan antarmuka yang sesuai untuk media tertentu.

Fitur dan Layanan Sistem Operasi

Tergantung pada versi sistem operasi, perangkat jaringan dapat mendukung fitur dan layanan tertentu, seperti:

  • Keamanan
  • Quality of Service (QoS)
  • Voice over IP (VoIP)
  • Peralihan lapisan 3
  • Terjemahan Alamat Jaringan (NAT)
  • Protokol Konfigurasi Host Dinamis (DHCP)

11.1.1.3 Pengalamatan IP untuk Jaringan Kecil

    Saat menerapkan jaringan kecil, perlu direncanakan ruang pengalamatan IP. Semua host dalam internetwork harus memiliki alamat yang unik. Skema pengalamatan IP harus direncanakan, didokumentasikan dan dipelihara berdasarkan jenis perangkat yang menerima alamat tersebut.

Contoh berbagai jenis perangkat yang akan menjadi faktor dalam desain IP adalah:

  • Perangkat akhir untuk pengguna
  • Server dan periferal
  • Host yang dapat diakses dari Internet
  • Perangkat perantara


    Merencanakan dan mendokumentasikan skema pengalamatan IP membantu administrator melacak jenis perangkat. Misalnya, jika semua server diberi alamat host antara kisaran 50-100, maka mudah untuk mengidentifikasi lalu lintas server berdasarkan alamat IP. Ini bisa sangat berguna saat memecahkan masalah lalu lintas jaringan menggunakan penganalisis protokol.

    Selain itu, administrator lebih mampu mengontrol akses ke sumber daya di jaringan berdasarkan alamat IP ketika skema pengalamatan IP deterministik digunakan. Ini bisa sangat penting untuk host yang menyediakan sumber daya ke jaringan internal juga, serta ke jaringan eksternal. Server web atau server e-commerce memainkan peran seperti itu. Jika alamat untuk sumber daya ini tidak direncanakan dan didokumentasikan, keamanan dan aksesibilitas perangkat tidak dapat dikontrol dengan mudah. Jika server memiliki alamat acak yang ditetapkan, sulit untuk memblokir akses ke alamat ini, dan klien mungkin tidak dapat menemukan sumber daya ini.

Masing-masing jenis perangkat yang berbeda ini harus dialokasikan ke blok alamat logis dalam rentang alamat jaringan.


11.1.1.4 Redundansi dalam Jaringan Kecil

    Bagian penting lainnya dari desain jaringan adalah keandalan. Bahkan usaha kecil sering kali sangat bergantung pada jaringan mereka untuk operasi bisnis. Kegagalan jaringan bisa sangat merugikan. Untuk mempertahankan tingkat keandalan yang tinggi, diperlukan redundansi dalam desain jaringan. Redundansi membantu menghilangkan satu titik kegagalan. Ada banyak cara untuk mencapai redundansi dalam jaringan. Redundansi dapat dilakukan dengan memasang peralatan duplikat, tetapi juga dapat dilakukan dengan menyediakan tautan jaringan duplikat untuk area kritis.

Jaringan kecil biasanya menyediakan satu titik keluar menuju Internet melalui satu atau lebih gateway default. Jika router gagal, seluruh jaringan kehilangan konektivitas ke Internet. Untuk alasan ini, mungkin disarankan bagi bisnis kecil untuk membayar penyedia layanan kedua sebagai cadangan.

11.1.1.5 Manajemen Lalu Lintas

    Administrator jaringan harus mempertimbangkan berbagai jenis lalu lintas dan perlakuannya dalam desain jaringan. Router dan sakelar dalam jaringan kecil harus dikonfigurasi untuk mendukung lalu lintas waktu nyata, seperti suara dan video, dengan cara yang berbeda relatif terhadap lalu lintas data lainnya. Padahal, desain jaringan yang baik akan mengklasifikasikan trafik secara hati-hati sesuai dengan prioritasnya, seperti terlihat pada gambar. Pada akhirnya, tujuan desain jaringan yang baik, bahkan untuk jaringan kecil, adalah untuk meningkatkan produktivitas karyawan dan meminimalkan waktu henti jaringan.


Topik 11.1.2

11.1.2.1 Aplikasi Umum

    Jaringan hanya berguna seperti aplikasi yang ada di dalamnya. Ada dua bentuk program atau proses perangkat lunak yang menyediakan akses ke jaringan: aplikasi jaringan dan layanan lapisan aplikasi.

Aplikasi Jaringan

Aplikasi adalah program perangkat lunak yang digunakan untuk berkomunikasi melalui jaringan. Beberapa aplikasi pengguna akhir sadar jaringan, yang berarti bahwa mereka mengimplementasikan protokol lapisan aplikasi dan dapat berkomunikasi langsung dengan lapisan bawah dari tumpukan protokol. Klien email dan browser web adalah contoh dari jenis aplikasi ini.

Layanan Lapisan Aplikasi

Program lain mungkin memerlukan bantuan layanan lapisan aplikasi untuk menggunakan sumber daya jaringan seperti transfer file atau spooling cetak jaringan. Meskipun transparan bagi seorang karyawan, layanan ini adalah program yang berinteraksi dengan jaringan dan menyiapkan data untuk ditransfer. Jenis data yang berbeda, baik teks, grafik atau video, memerlukan layanan jaringan yang berbeda untuk memastikan bahwa mereka dipersiapkan dengan benar untuk diproses oleh fungsi yang terjadi di lapisan bawah model OSI.

Setiap aplikasi atau layanan jaringan menggunakan protokol, yang menentukan standar dan format data yang akan digunakan. Tanpa protokol, jaringan data tidak akan memiliki cara umum untuk memformat dan mengarahkan data. Untuk memahami fungsi berbagai layanan jaringan, penting untuk memahami protokol yang mendasari yang mengatur operasi mereka.

Gunakan Task Manager untuk melihat aplikasi, proses, dan layanan saat ini yang berjalan di PC Windows.


11.1.2.2 Protokol Umum

    Sebagian besar pekerjaan teknisi, baik dalam jaringan kecil atau besar, dalam beberapa cara akan terlibat dengan protokol jaringan. Protokol jaringan mendukung aplikasi dan layanan yang digunakan oleh karyawan di jaringan kecil. Protokol jaringan umum ditunjukkan pada gambar. Klik setiap server untuk penjelasan singkat.

Protokol jaringan ini terdiri dari perangkat dasar seorang profesional jaringan. Masing-masing protokol jaringan ini menentukan:
 

  • Proses di kedua ujung sesi komunikasi
  • Jenis pesan
  • Sintaks pesan
  • Arti bidang informasi
  • Bagaimana pesan dikirim dan tanggapan yang diharapkan
  • Interaksi dengan lapisan bawah berikutnya


Banyak perusahaan telah menetapkan kebijakan penggunaan versi aman dari protokol ini jika memungkinkan. Protokol ini adalah HTTPS, SFTP, dan SSH.


11.1.2.3 Aplikasi Suara dan Video

    Bisnis saat ini semakin banyak menggunakan telepon IP dan media streaming untuk berkomunikasi dengan pelanggan dan mitra bisnis, seperti yang ditunjukkan pada Gambar 1. Administrator jaringan harus memastikan peralatan yang tepat dipasang di jaringan dan perangkat jaringan dikonfigurasi untuk memastikan pengiriman prioritas. Gambar 2 menunjukkan elemen jaringan kecil yang mendukung aplikasi real-time.

Infrastruktur

Untuk mendukung aplikasi real-time yang ada dan yang diusulkan, infrastruktur harus mengakomodasi karakteristik setiap jenis lalu lintas. Perancang jaringan harus menentukan apakah sakelar dan kabel yang ada dapat mendukung lalu lintas yang akan ditambahkan ke jaringan.

VoIP

Perangkat VoIP mengubah analog menjadi paket IP digital. Perangkat tersebut dapat berupa adaptor telepon analog (ATA) yang dipasang antara telepon analog tradisional dan sakelar Ethernet. Setelah sinyal diubah menjadi paket IP, router mengirimkan paket tersebut di antara lokasi yang sesuai. VoIP jauh lebih murah daripada solusi telepon IP terintegrasi, tetapi kualitas komunikasi tidak memenuhi standar yang sama. Solusi suara dan video melalui IP untuk bisnis kecil dapat direalisasikan, misalnya, dengan Cisco WebEx versi Skype dan non-perusahaan.

Telepon IP

Dalam telepon IP, telepon IP itu sendiri melakukan konversi suara-ke-IP. Router berkemampuan suara tidak diperlukan dalam jaringan dengan solusi telepon IP terintegrasi. Telepon IP menggunakan server khusus untuk kontrol panggilan dan pensinyalan. Sekarang ada banyak vendor dengan solusi telepon IP khusus untuk jaringan kecil.

Aplikasi Real-time

Untuk mengangkut media streaming secara efektif, jaringan harus dapat mendukung aplikasi yang memerlukan pengiriman yang sensitif terhadap penundaan. Real-Time Transport Protocol (RTP) dan Real-Time Transport Control Protocol (RTCP) adalah dua protokol yang mendukung persyaratan ini. RTP dan RTCP memungkinkan kontrol dan skalabilitas sumber daya jaringan dengan memungkinkan mekanisme Quality of Service (QoS) untuk digabungkan. Mekanisme QoS ini memberikan alat yang berharga untuk meminimalkan masalah latensi untuk aplikasi streaming waktu nyata.


Topik 11.1.3

11.1.3.1 Pertumbuhan Jaringan Kecil

    Pertumbuhan adalah proses alami bagi banyak bisnis kecil, dan jaringan mereka harus tumbuh sesuai dengan itu. Idealnya, administrator jaringan memiliki cukup waktu untuk membuat keputusan cerdas tentang menumbuhkan jaringan sejalan dengan pertumbuhan perusahaan.

Untuk menskalakan jaringan, diperlukan beberapa elemen:

     Dokumentasi jaringan - topologi fisik dan logis
 

  1. Inventaris perangkat - daftar perangkat yang menggunakan atau termasuk dalam jaringan
  2. Anggaran - perincian anggaran TI, termasuk anggaran pembelian peralatan tahun fiskal
  3. Analisis lalu lintas - protokol, aplikasi, dan layanan serta persyaratan lalu lintasnya masing-masing, harus didokumentasikan


Elemen-elemen ini digunakan untuk menginformasikan pengambilan keputusan yang menyertai penskalaan jaringan kecil.


11.1.3.2 Analisis Protokol

    Saat mencoba menentukan cara mengelola lalu lintas jaringan, terutama saat jaringan tumbuh, penting untuk memahami jenis lalu lintas yang melintasi jaringan serta arus lalu lintas saat ini. Jika jenis lalu lintas tidak diketahui, penganalisis protokol akan membantu mengidentifikasi lalu lintas dan sumbernya.

Untuk menentukan pola arus lalu lintas, penting untuk:

  • Menangkap lalu lintas selama waktu pemanfaatan puncak untuk mendapatkan representasi yang baik dari jenis lalu lintas yang berbeda.
  • Lakukan penangkapan pada segmen jaringan yang berbeda; beberapa lalu lintas akan menjadi lokal untuk segmen tertentu.


    Informasi yang dikumpulkan oleh penganalisis protokol dievaluasi berdasarkan sumber dan tujuan lalu lintas, serta jenis lalu lintas yang dikirim. Analisis ini dapat digunakan untuk membuat keputusan tentang cara mengelola lalu lintas dengan lebih efisien. Ini dapat dilakukan dengan mengurangi arus lalu lintas yang tidak perlu atau mengubah pola arus sama sekali dengan memindahkan server, misalnya.

    Terkadang, hanya dengan merelokasi server atau layanan ke segmen jaringan lain akan meningkatkan kinerja jaringan dan mengakomodasi kebutuhan lalu lintas yang terus meningkat. Di lain waktu, mengoptimalkan kinerja jaringan memerlukan desain ulang dan intervensi jaringan yang besar.

11.1.3.3 Pemanfaatan Jaringan Karyawan

    Selain memahami tren lalu lintas yang berubah, administrator jaringan juga harus menyadari bagaimana penggunaan jaringan berubah. Seperti yang ditunjukkan pada gambar, administrator jaringan kecil memiliki kemampuan untuk mendapatkan "snapshot" TI langsung dari penggunaan aplikasi karyawan untuk sebagian besar tenaga kerja karyawan dari waktu ke waktu. Snapshot ini biasanya menyertakan informasi seperti:
 

  • Versi OS dan OS
  • Aplikasi Non Jaringan
  • Aplikasi Jaringan
  • Pemanfaatan CPU
  • Drive Pemanfaatan
  • Pemanfaatan RAM


    Mendokumentasikan snapshot untuk karyawan di jaringan kecil selama periode waktu akan sangat membantu dalam menginformasikan administrator jaringan tentang persyaratan protokol yang berkembang dan arus lalu lintas terkait. Pergeseran dalam pemanfaatan sumber daya mungkin memerlukan administrator jaringan untuk menyesuaikan alokasi sumber daya jaringan yang sesuai.


Bagian 11.2

Topik 11.2.1

11.2.1.1 Jenis Ancaman

    Baik kabel maupun nirkabel, jaringan komputer penting untuk aktivitas sehari-hari. Individu dan organisasi sama-sama bergantung pada komputer dan jaringan mereka. Gangguan oleh orang yang tidak berwenang dapat mengakibatkan pemadaman jaringan yang merugikan dan kehilangan pekerjaan. Serangan terhadap jaringan dapat menghancurkan dan dapat mengakibatkan hilangnya waktu dan uang karena kerusakan atau pencurian informasi atau aset penting.

    Penyusup dapat memperoleh akses ke jaringan melalui kerentanan perangkat lunak, serangan perangkat keras, atau dengan menebak nama pengguna dan kata sandi seseorang. Penyusup yang mendapatkan akses dengan memodifikasi perangkat lunak atau mengeksploitasi kerentanan perangkat lunak sering disebut peretas.

    Setelah peretas mendapatkan akses ke jaringan, empat jenis ancaman mungkin muncul.

11.2.1.2 Keamanan Fisik

    Kerentanan yang sama pentingnya adalah keamanan fisik perangkat. Seorang penyerang dapat menolak penggunaan sumber daya jaringan jika sumber daya tersebut dapat disusupi secara fisik.

Empat kelas ancaman fisik adalah:

  • Ancaman perangkat keras - kerusakan fisik pada server, router, sakelar, pabrik kabel, dan workstation
  • Ancaman lingkungan - suhu ekstrim (terlalu panas atau terlalu dingin) atau kelembaban ekstrim (terlalu basah atau terlalu kering)
  • Ancaman kelistrikan - lonjakan tegangan, tegangan suplai tidak mencukupi (pemutusan aliran listrik), daya tidak terkondisi (kebisingan), dan kehilangan daya total
  • Ancaman pemeliharaan - penanganan komponen listrik utama yang buruk (pelepasan muatan elektrostatis), kurangnya suku cadang kritis, pemasangan kabel yang buruk, dan pelabelan yang buruk


Masalah-masalah ini harus ditangani dalam kebijakan organisasi, seperti yang ditunjukkan.


11.2.1.3 Jenis Kerentanan

    Kerentanan adalah tingkat kelemahan yang melekat di setiap jaringan dan perangkat. Ini termasuk router, sakelar, desktop, server, dan bahkan perangkat keamanan. Biasanya, perangkat jaringan yang diserang adalah titik akhir, seperti server dan komputer desktop.

Ada tiga kerentanan atau kelemahan utama:
 

  • Teknologi
  • Konfigurasi
  • Kebijakan keamanan


Ketiga kerentanan atau kelemahan ini dapat menyebabkan berbagai serangan, termasuk serangan kode berbahaya dan serangan jaringan.


11.2.2.1 Jenis Malware

    Malware atau kode berbahaya (malcode) adalah kependekan dari perangkat lunak berbahaya. Ini adalah kode atau perangkat lunak yang secara khusus dirancang untuk merusak, mengganggu, mencuri, atau menimbulkan tindakan "buruk" atau tidak sah pada data, host, atau jaringan. Virus, worm, dan trojan horse adalah jenis malware.

Virus

Virus komputer adalah jenis malware yang menyebar dengan memasukkan salinan dirinya ke dalam, dan menjadi bagian dari, program lain. Ini menyebar dari satu komputer ke komputer lain, meninggalkan infeksi saat menyebar. Tingkat keparahan virus dapat bervariasi mulai dari menyebabkan efek yang agak mengganggu hingga merusak data atau perangkat lunak dan menyebabkan kondisi penolakan layanan (DoS). Hampir semua virus dilampirkan ke file yang dapat dijalankan, yang berarti virus mungkin ada di sistem tetapi tidak akan aktif atau dapat menyebar hingga pengguna menjalankan atau membuka file atau program host yang berbahaya. Ketika kode host dijalankan, kode virus juga dijalankan. Biasanya, program host tetap berfungsi setelah terinfeksi oleh virus. Namun, beberapa virus menimpa program lain dengan salinannya sendiri, yang akan menghancurkan program host sama sekali. Virus menyebar ketika perangkat lunak atau dokumen yang dilampirkan ditransfer dari satu komputer ke komputer lain menggunakan jaringan, disk, file sharing, atau lampiran email yang terinfeksi.

Worm

Worm komputer mirip dengan virus karena mereka mereplikasi salinan fungsional dirinya sendiri dan dapat menyebabkan jenis kerusakan yang sama. Berbeda dengan virus, yang membutuhkan penyebaran file host yang terinfeksi, worm adalah perangkat lunak yang berdiri sendiri dan tidak memerlukan program host atau bantuan manusia untuk menyebarkannya. Worm tidak perlu melampirkan ke program untuk menginfeksi host dan masuk ke komputer melalui kerentanan dalam sistem. Worm memanfaatkan fitur sistem untuk melakukan perjalanan melalui jaringan tanpa bantuan.

Trojan Horse

Trojan Horse adalah jenis malware lain yang dinamai sesuai nama kuda kayu yang digunakan orang Yunani untuk menyusup ke Troy. Ini adalah perangkat lunak berbahaya yang terlihat sah. Pengguna biasanya tertipu untuk memuat dan menjalankannya di sistem mereka. Setelah diaktifkan, ia dapat mencapai sejumlah serangan pada host, mulai dari mengganggu pengguna (membuka jendela atau mengubah desktop) hingga merusak host (menghapus file, mencuri data, atau mengaktifkan dan menyebarkan malware lain, seperti virus) . Kuda troya juga dikenal menciptakan pintu belakang untuk memberi pengguna yang jahat akses ke sistem.

    Tidak seperti virus dan worm, Trojan horse tidak mereproduksi dengan menginfeksi file lain, juga tidak menggandakan diri. Kuda troya harus menyebar melalui interaksi pengguna seperti membuka lampiran email atau mengunduh dan menjalankan file dari Internet.


11.2.2.2 Serangan Pengintaian

    Selain serangan kode berbahaya, jaringan juga mungkin menjadi mangsa berbagai serangan jaringan. Serangan jaringan dapat diklasifikasikan menjadi tiga kategori utama:

  • Serangan pengintaian - penemuan dan pemetaan sistem, layanan, atau kerentanan
  • Serangan akses - manipulasi data yang tidak sah, akses sistem, atau hak istimewa pengguna
  • Denial of service - penonaktifan atau kerusakan jaringan, sistem, atau layanan


    Untuk serangan pengintaian, penyerang eksternal dapat menggunakan alat Internet, seperti utilitas nslookup dan whois, untuk dengan mudah menentukan ruang alamat IP yang ditetapkan ke perusahaan atau entitas tertentu. Setelah ruang alamat IP ditentukan, penyerang kemudian dapat melakukan ping ke alamat IP yang tersedia untuk umum untuk mengidentifikasi alamat yang aktif. Untuk membantu mengotomatiskan langkah ini, penyerang dapat menggunakan alat sapuan ping, seperti fping atau gping, yang secara sistematis mem-ping semua alamat jaringan dalam rentang atau subnet tertentu. Ini serupa dengan menelusuri bagian dari buku telepon dan memanggil setiap nomor untuk melihat siapa yang menjawab.

11.2.2.3 Mengakses Serangan

    Serangan akses mengeksploitasi kerentanan yang diketahui dalam layanan otentikasi, layanan FTP, dan layanan web untuk mendapatkan akses ke akun web, basis data rahasia, dan informasi sensitif lainnya. Serangan akses memungkinkan seseorang untuk mendapatkan akses tidak sah ke informasi yang tidak berhak mereka lihat. Serangan akses dapat diklasifikasikan menjadi empat jenis:

  • Serangan kata sandi
  • Eksploitasi Kepercayaan
  • Port Redirection
  • Man-in-the-Middle

11.2.2.4 Serangan Denial of Service

    Serangan Denial of Service (DoS) adalah bentuk serangan yang paling dipublikasikan dan juga yang paling sulit dihilangkan. Bahkan dalam komunitas penyerang, serangan DoS dianggap sepele dan dianggap bentuk yang buruk karena hanya membutuhkan sedikit usaha untuk mengeksekusinya. Tetapi karena kemudahan implementasinya dan potensi kerusakan yang signifikan, serangan DoS perlu mendapat perhatian khusus dari administrator keamanan.

    Serangan DoS memiliki banyak bentuk. Pada akhirnya, mereka mencegah orang yang berwenang menggunakan layanan dengan mengonsumsi sumber daya sistem.

    Untuk membantu mencegah serangan DoS, penting untuk selalu mengikuti pembaruan keamanan terbaru untuk sistem operasi dan aplikasi. Misalnya, ping kematian tidak lagi menjadi ancaman karena pembaruan sistem operasi telah memperbaiki kerentanan yang dieksploitasi. 

 

Topik 11.2.3

11.2.3.1 Backup, Upgrade, Update, dan Patch

    Mengikuti perkembangan terkini dapat mengarah pada pertahanan yang lebih efektif terhadap serangan jaringan. Saat malware baru dirilis, perusahaan harus selalu mengikuti versi terbaru dari perangkat lunak antivirus.

    Cara paling efektif untuk mengurangi serangan worm adalah mengunduh pembaruan keamanan dari vendor sistem operasi dan menambal semua sistem yang rentan. Mengelola banyak sistem melibatkan pembuatan citra perangkat lunak standar (sistem operasi dan aplikasi terakreditasi yang diizinkan untuk digunakan pada sistem klien) yang digunakan pada sistem baru atau yang ditingkatkan. Namun, persyaratan keamanan berubah dan sistem yang telah diterapkan mungkin perlu menginstal patch keamanan yang diperbarui.

    Salah satu solusi untuk pengelolaan patch keamanan penting adalah dengan membuat server patch pusat yang harus berkomunikasi dengan semua sistem setelah jangka waktu tertentu, seperti yang ditunjukkan pada gambar. Tambalan apa pun yang tidak diterapkan ke host secara otomatis diunduh dari server tambalan dan dipasang tanpa campur tangan pengguna.

11.2.3.2 Otentikasi, Otorisasi, dan Akuntansi

    Layanan keamanan jaringan otentikasi, otorisasi, dan akuntansi (AAA, atau "triple A") menyediakan kerangka kerja utama untuk menyiapkan kontrol akses pada perangkat jaringan. AAA adalah cara untuk mengontrol siapa yang diizinkan mengakses jaringan (otentikasi), apa yang dapat mereka lakukan saat berada di sana (mengotorisasi), dan tindakan apa yang mereka lakukan saat mengakses jaringan (akuntansi).

    Konsep AAA mirip dengan penggunaan kartu kredit. Kartu kredit mengidentifikasi siapa yang dapat menggunakannya, berapa banyak yang dapat dibelanjakan pengguna, dan memperhitungkan item apa yang dibelanjakan pengguna.

11.2.3.3 Firewall

    Firewall adalah salah satu alat keamanan paling efektif yang tersedia untuk melindungi pengguna dari ancaman eksternal. Firewall jaringan berada di antara dua atau lebih jaringan, mengontrol lalu lintas di antara mereka, dan membantu mencegah akses yang tidak sah. Firewall berbasis host atau firewall pribadi diinstal pada sistem akhir. Produk firewall menggunakan berbagai teknik untuk menentukan apa yang diizinkan atau ditolak akses ke jaringan. Teknik-teknik tersebut adalah:

  • Pemfilteran paket - Mencegah atau mengizinkan akses berdasarkan alamat IP atau MAC
  • Pemfilteran aplikasi - Mencegah atau mengizinkan akses menurut jenis aplikasi tertentu berdasarkan nomor port
  • Pemfilteran URL - Mencegah atau mengizinkan akses ke situs web berdasarkan URL atau kata kunci tertentu


    Pemeriksaan paket berstatus (SPI) - Paket masuk harus merupakan tanggapan yang sah untuk permintaan dari host internal. Paket yang tidak diminta diblokir kecuali diizinkan secara khusus. SPI juga dapat mencakup kemampuan untuk mengenali dan menyaring jenis serangan tertentu, seperti penolakan layanan (DoS)

    Produk firewall mungkin mendukung satu atau lebih kemampuan pemfilteran ini. Produk firewall dikemas dalam berbagai bentuk, seperti yang ditunjukkan pada gambar.

11.2.3.4 Keamanan Endpoint

    Titik akhir, atau host, adalah sistem atau perangkat komputer individual yang bertindak sebagai klien jaringan. Endpoint umum, seperti yang ditunjukkan pada gambar, adalah laptop, desktop, server, smartphone, dan tablet. Mengamankan perangkat titik akhir adalah salah satu tugas paling menantang dari administrator jaringan karena melibatkan sifat manusia. Perusahaan harus memiliki kebijakan yang terdokumentasi dengan baik dan karyawan harus mengetahui aturan ini. Karyawan perlu dilatih tentang penggunaan jaringan yang benar. Kebijakan sering kali mencakup penggunaan perangkat lunak antivirus dan pencegahan intrusi host. Solusi keamanan titik akhir yang lebih komprehensif bergantung pada kontrol akses jaringan.

 

Topik 11.2.4

11.2.4.1 Ikhtisar Keamanan Perangkat

    Ketika sistem operasi baru diinstal pada perangkat, pengaturan keamanan diatur ke nilai default. Dalam kebanyakan kasus, tingkat keamanan ini tidak memadai. Untuk router Cisco, fitur Cisco AutoSecure dapat digunakan untuk membantu mengamankan sistem, seperti yang ditunjukkan pada gambar. Selain itu, ada beberapa langkah sederhana yang harus diambil yang berlaku untuk sebagian besar sistem operasi:

  • Nama pengguna dan kata sandi default harus segera diubah.
  • Akses ke sumber daya sistem harus dibatasi hanya untuk individu yang diberi wewenang untuk menggunakan sumber daya tersebut.
  • Semua layanan dan aplikasi yang tidak perlu harus dimatikan dan dihapus instalasinya jika memungkinkan.


    Seringkali, perangkat yang dikirim dari pabrikan telah berada di gudang untuk jangka waktu tertentu dan tidak memiliki tambalan terbaru yang terpasang. Penting untuk memperbarui perangkat lunak apa pun dan menginstal tambalan keamanan apa pun sebelum penerapan.

11.2.4.2 Kata Sandi

    Untuk melindungi perangkat jaringan, penting untuk menggunakan kata sandi yang kuat. Berikut adalah pedoman standar yang harus diikuti:

  • Gunakan sandi yang panjangnya minimal 8 karakter, lebih disukai 10 karakter atau lebih. Kata sandi yang lebih panjang adalah kata sandi yang lebih baik.
  • Buat sandi menjadi rumit. Sertakan campuran huruf besar dan kecil, angka, simbol, dan spasi, jika diperbolehkan.
  • Hindari kata sandi berdasarkan pengulangan, kata-kata kamus umum, urutan huruf atau angka, nama pengguna, nama kerabat atau hewan peliharaan, informasi biografi, seperti tanggal lahir, nomor ID, nama leluhur, atau informasi lain yang mudah diidentifikasi.
  • Dengan sengaja salah mengeja kata sandi. Misalnya, Smith = Smyth = 5mYth atau Security = 5ecur1ty
  • Ubah kata sandi sesering mungkin. Jika kata sandi secara tidak sengaja dikompromikan, jendela peluang bagi penyerang untuk menggunakan kata sandi dibatasi.
  • Jangan menuliskan kata sandi dan meninggalkannya di tempat yang terlihat jelas seperti di atas meja atau monitor.

    Pada router Cisco, spasi di depan diabaikan untuk kata sandi, tetapi spasi setelah karakter pertama tidak. Oleh karena itu, salah satu metode untuk membuat kata sandi yang kuat adalah dengan menggunakan spasi dan membuat frase yang terbuat dari banyak kata. Ini disebut frasa sandi. Frasa sandi seringkali lebih mudah diingat daripada kata sandi sederhana. Ini juga lebih lama dan lebih sulit ditebak. 

11.2.4.3 Praktik Keamanan Dasar

Keamanan Kata Sandi Tambahan

Kata sandi yang kuat hanya berguna karena rahasia. Ada beberapa langkah yang dapat diambil untuk membantu memastikan bahwa sandi tetap dirahasiakan. Menggunakan enkripsi sandi layanan perintah konfigurasi global mencegah orang yang tidak berwenang melihat sandi dalam teks biasa di file konfigurasi, seperti yang ditunjukkan pada gambar. Perintah ini menyebabkan enkripsi semua kata sandi yang tidak terenkripsi.

Selain itu, untuk memastikan bahwa semua sandi yang dikonfigurasi memiliki panjang minimum yang ditentukan, gunakan perintah panjang sandi sandi keamanan dalam mode konfigurasi global.

Cara lain peretas mempelajari kata sandi hanya dengan serangan brute-force, mencoba beberapa kata sandi hingga salah satunya berfungsi. Hal ini dimungkinkan untuk mencegah jenis serangan ini dengan memblokir upaya login ke perangkat jika sejumlah kegagalan terjadi dalam jangka waktu tertentu.

Router (config) # blok login-untuk 120 percobaan 3 dalam 60

Perintah ini akan memblokir upaya login selama 120 detik jika ada tiga upaya login yang gagal dalam 60 detik.

Exec Timeout

Rekomendasi lainnya adalah mengatur batas waktu eksekutif. Dengan menyetel waktu tunggu exec, Anda memberi tahu perangkat Cisco untuk secara otomatis memutuskan pengguna di sebuah baris setelah mereka menganggur selama durasi nilai waktu tunggu exec. Exec timeout dapat dikonfigurasi pada konsol, VTY, dan port aux menggunakan perintah exec-timeout dalam mode konfigurasi baris.

Router(config)# line vty 0 4

Router(config-line)# exec-timeout 10 

    Perintah ini mengonfigurasi perangkat untuk memutuskan pengguna yang menganggur setelah 10 menit.
Gambar tersebut menunjukkan keluaran router untuk mengkonfigurasi kata sandi baris terenkripsi dan mengatur batasan pada panjang kata sandi atau upaya yang gagal. Perintah yang dimasukkan termasuk "enkripsi sandi keamanan", "sandi keamanan min-length 8", blok login untuk 120 upaya 3 dalam 60 ", dan" exec-timeout 10 "pada baris VTY.

11.2.4.4 Mengaktifkan SSH

    Telnet tidak aman. Data yang terkandung dalam paket Telnet dikirim tanpa enkripsi. Karena alasan ini, sangat disarankan untuk mengaktifkan SSH di perangkat untuk akses jarak jauh yang aman. Perangkat Cisco dapat dikonfigurasi untuk mendukung SSH menggunakan empat langkah, seperti yang ditunjukkan pada gambar.

Langkah 1. Pastikan router memiliki nama host yang unik, lalu konfigurasikan nama domain IP jaringan menggunakan perintah nama domain ip dalam mode konfigurasi global.

Langkah 2. Kunci rahasia satu arah harus dibuat agar router dapat mengenkripsi lalu lintas SSH. Untuk membuat kunci SSH, gunakan perintah crypto key generate rsa general-keys dalam mode konfigurasi global. Arti spesifik dari berbagai bagian perintah ini rumit dan di luar cakupan kursus ini. Perhatikan saja bahwa modulus menentukan ukuran kunci dan dapat dikonfigurasi dari 360 bit hingga 2048 bit. Semakin besar modulusnya, semakin aman kuncinya, tetapi semakin lama waktu yang dibutuhkan untuk mengenkripsi dan mendekripsi informasi. Panjang modulus minimum yang direkomendasikan adalah 1024 bit.

Langkah 3. Buat entri nama pengguna database lokal menggunakan perintah konfigurasi global nama pengguna.

Langkah 4. Aktifkan sesi SSH masuk menggunakan perintah baris vty login lokal dan transportasi masukan ssh.

Router sekarang dapat diakses dari jarak jauh hanya dengan menggunakan SSH.


Topik 11.3.1

11.3.1.1 Menafsirkan Hasil Ping

    Menggunakan perintah ping adalah cara efektif untuk menguji konektivitas. Perintah ping menggunakan Internet Control Message Protocol (ICMP) dan memverifikasi konektivitas Layer 3. Perintah ping tidak selalu menunjukkan sifat masalah, tetapi dapat membantu mengidentifikasi sumber masalah, langkah pertama yang penting dalam memecahkan masalah kegagalan jaringan.

Indikator Ping IOS

Ping yang dikeluarkan dari IOS akan menghasilkan salah satu dari beberapa indikasi untuk setiap permintaan echo ICMP yang dikirim. Indikator yang paling umum adalah:

  • ! - menunjukkan penerimaan pesan balasan gema ICMP, seperti yang ditunjukkan pada Gambar 1
  • . - menunjukkan waktu habis saat menunggu pesan balasan gema ICMP
  • U - pesan ICMP yang tidak dapat dijangkau telah diterima

    "." (titik) mungkin menunjukkan bahwa masalah konektivitas terjadi di suatu tempat di sepanjang jalur. Ini mungkin juga menunjukkan bahwa router di sepanjang jalur tidak memiliki rute ke tujuan dan tidak mengirim pesan ICMP tujuan yang tidak dapat dijangkau. Ini juga mungkin menunjukkan bahwa ping diblokir oleh keamanan perangkat. Saat mengirim ping pada LAN Ethernet, biasanya permintaan gema pertama ke waktu tunggu jika proses ARP diperlukan.

"U" menunjukkan bahwa router di sepanjang jalur merespons dengan pesan ICMP yang tidak dapat dijangkau. Router tidak memiliki rute ke alamat tujuan, atau permintaan ping diblokir.

Menguji Loopback

Perintah ping juga dapat digunakan untuk memverifikasi konfigurasi IP internal pada host lokal dengan melakukan ping ke alamat loopback, 127.0.0.1. Ini memverifikasi operasi yang tepat dari tumpukan protokol dari lapisan jaringan ke lapisan fisik , dan kembali, tanpa benar-benar memberi sinyal ke media.
Gambar 1 dan 2 menunjukkan topologi yang sama. R1 dan R2 dihubungkan melalui tautan WAN. Setiap router memiliki dua LAN dengan PC dan satu sakelar yang terhubung ke setiap LAN. Pada Gambar 1, output ditampilkan untuk ping yang berhasil dari R1 ke R2. Pada Gambar 2, output ditampilkan untuk ping yang berhasil dari PC2 ke alamat loopback-nya, 127.0.0.1.


11.3.1.2 Ping yang Diperpanjang

    Cisco IOS menawarkan mode perintah ping "diperpanjang". Mode ini masuk dengan mengetik ping dalam mode EXEC istimewa, tanpa alamat IP tujuan. Serangkaian prompt kemudian disajikan. Menekan Enter menerima nilai default yang ditunjukkan. Contoh tersebut mengilustrasikan bagaimana memaksa alamat sumber untuk ping menjadi 10.1.1.1 (lihat R2 pada gambar); alamat sumber untuk ping standar adalah 209.165.200.226. Dengan melakukan ini, administrator jaringan dapat memverifikasi dari R2 bahwa R1 memiliki rute ke 10.1.1.0/24.

Catatan: Perintah ping ipv6 digunakan untuk ping diperpanjang IPv6.

11.3.1.3 Dasar Jaringan

    Salah satu alat yang paling efektif untuk memantau dan memecahkan masalah kinerja jaringan adalah dengan menetapkan dasar jaringan. Membuat baseline kinerja jaringan yang efektif dicapai selama periode waktu tertentu. Mengukur kinerja pada waktu yang berbeda-beda (Gambar 1 dan 2) dan beban akan membantu dalam menciptakan gambaran yang lebih baik tentang kinerja jaringan secara keseluruhan.

    Output yang diperoleh dari perintah jaringan memberikan kontribusi data ke baseline jaringan.

    Salah satu metode untuk memulai garis dasar adalah dengan menyalin dan menempelkan hasil dari ping, jejak, atau perintah relevan lainnya yang dijalankan ke dalam file teks. File teks ini dapat diberi cap waktu dengan tanggal dan disimpan ke dalam arsip untuk pengambilan dan perbandingan nanti (Gambar 3). Di antara item yang perlu dipertimbangkan adalah pesan kesalahan dan waktu respons dari host ke host. Jika ada peningkatan waktu respons yang cukup besar, mungkin ada masalah latensi yang harus diatasi.

    Jaringan perusahaan harus memiliki baseline yang luas; lebih luas dari yang bisa kita gambarkan dalam kursus ini. Alat perangkat lunak tingkat profesional tersedia untuk menyimpan dan memelihara informasi dasar. Dalam kursus ini, kami membahas beberapa teknik dasar dan membahas tujuan baseline.

Praktik terbaik untuk proses dasar dapat ditemukan di sini.

Topik 11.3.2

11.3.2.1 Menafsirkan Pesan Jejak

    Jejak mengembalikan daftar lompatan saat paket dirutekan melalui jaringan. Bentuk perintah tergantung di mana perintah dikeluarkan. Saat melakukan pelacakan dari komputer Windows, gunakan tracert. Saat melakukan pelacakan dari CLI router, gunakan traceroute.

    Kedua menunjukkan contoh output dari perintah tracert yang dimasukkan pada Host 1 untuk melacak rute ke Host 2. Satu-satunya respons yang berhasil adalah dari gateway pada Router A. Permintaan pelacakan ke hop berikutnya telah habis waktunya, artinya router hop berikutnya tidak menanggapi. Hasil pelacakan menunjukkan bahwa ada kegagalan di internetwork di luar LAN, atau bahwa router ini telah dikonfigurasi untuk tidak menanggapi permintaan gema yang digunakan dalam pelacakan.

11.3.2.2 Traceroute yang Diperpanjang

    Didesain sebagai variasi dari perintah traceroute, perintah traceroute yang diperluas memungkinkan administrator menyesuaikan parameter yang terkait dengan operasi perintah. Ini berguna saat memecahkan masalah loop perutean, menentukan router hop berikutnya yang tepat, atau untuk membantu menentukan di mana paket dijatuhkan oleh router, atau ditolak oleh firewall. Meskipun perintah ping yang diperluas dapat digunakan untuk menentukan jenis masalah konektivitas, perintah traceroute yang diperluas berguna untuk menemukan masalah tersebut.

    Mirip dengan ping, implementasi Windows dari traceroute (tracert) mengirimkan Permintaan ICMP Echo. Tidak seperti ping, paket IPv4 pertama memiliki nilai TTL satu. Router mengurangi nilai TTL satu per satu sebelum meneruskan paket. Jika nilai TTL diturunkan menjadi nol, router akan menjatuhkan paket dan mengembalikan pesan ICMP Time Exceeded kembali ke sumbernya. Setiap kali sumber traceroute menerima pesan ICMP Time Exceeded, ia akan menampilkan alamat IPv4 sumber dari pesan ICMP Time Exceeded, menambah TTL satu per satu dan mengirim Permintaan Gema ICMP lainnya.

    Karena setiap Permintaan Gema ICMP baru dikirim, itu membuatnya ke satu router lebih dari Permintaan Gema terakhir sebelum menerima pesan ICMP Time Exceeded lainnya.

    Traceroute menggunakan pesan ICMP Time Exceeded yang dikembalikan untuk menampilkan daftar router yang dilintasi paket IPv4 dalam perjalanannya ke tujuan akhir, alamat IPv4 tujuan dari traceroute. Ketika paket mencapai tujuan akhir, sumber mengembalikan Balasan Gema ICMP.

    Cisco IOS menggunakan pendekatan yang sedikit berbeda dengan traceroute, yang tidak menggunakan Permintaan ICMP Echo. Sebaliknya, IOS mengirimkan urutan datagram UDP, masing-masing dengan penambahan nilai TTL dan nomor port tujuan. Nomor port adalah nomor port yang tidak valid (Cisco menggunakan default 33434), dan bertambah seiring dengan TTL. Mirip dengan implementasi Windows, ketika router menurunkan TTL ke nol, itu akan mengembalikan pesan ICMP Time Exceeded kembali ke sumbernya. Ini menginformasikan sumber alamat IPv4 dari setiap router di sepanjang jalur.

    Ketika paket mencapai tujuan akhir, karena datagram ini mencoba mengakses port yang tidak valid di host tujuan, host merespons dengan pesan ICMP tipe 3, kode 3 yang menunjukkan port tidak dapat dijangkau. Peristiwa ini memberi sinyal ke sumber traceroute bahwa program traceroute telah mencapai tujuannya.

Catatan: Pengguna dapat menghentikan jejak dengan menjalankan urutan escape Ctrl + Shift + 6. Di Windows, urutan escape dipanggil dengan menekan Ctrl + C.

    Untuk menggunakan traceroute yang diperluas, cukup ketik traceroute, tanpa memberikan parameter apa pun, dan tekan ENTER. IOS akan memandu Anda melalui opsi perintah dengan menampilkan sejumlah petunjuk terkait dengan pengaturan semua parameter yang berbeda. Gambar 1 menunjukkan opsi traceroute diperpanjang IOS dan deskripsinya masing-masing.

    Meskipun perintah Windows tracert memungkinkan masukan beberapa parameter, itu tidak dipandu dan harus dilakukan melalui opsi di baris perintah. Gambar 2 menunjukkan opsi yang tersedia untuk tracert di Windows.

    Catatan: Traceroute di IPv6 memiliki implementasi serupa. Satu-satunya perbedaan di IPv6, bidang TTL diubah namanya menjadi Batas Hop. Pesan ICMPv6 Time Exceeded dikirim oleh router ketika field ini diturunkan ke nol.

    Catatan: Sistem operasi Unix / Linux menggunakan pendekatan yang mirip dengan Cisco IOS.
Gambar 1 adalah tabel yang menjelaskan setiap opsi traceroute IOS. Gambar 2 menunjukkan opsi tracert pada mesin Windows


Topik 11.3.3

11.3.3.1 Pertunjukan umum Perintah Ditinjau kembali

    Cisco IOS CLI menunjukkan perintah yang menampilkan informasi yang relevan tentang konfigurasi dan pengoperasian perangkat.

    Teknisi jaringan menggunakan perintah acara secara ekstensif untuk melihat file konfigurasi, memeriksa status antarmuka dan proses perangkat, dan memverifikasi status operasional perangkat. Perintah pertunjukan tersedia baik perangkat dikonfigurasi menggunakan CLI atau Cisco Configuration Professional.

    Status hampir setiap proses atau fungsi router dapat ditampilkan menggunakan perintah show. Beberapa dari perintah pertunjukan yang lebih populer adalah:

  • show running-config

  • show interfaces

  • show arp

  • show ip route

  • show protocols

  • show version

 

Topik 11.3.4

11.3.4.1 Perintah ipconfig

    Alamat IP dari gateway default sebuah host dapat dilihat dengan mengeluarkan perintah ipconfig pada baris perintah komputer Windows.

Gunakan perintah ipconfig / all untuk melihat alamat MAC, serta sejumlah detail mengenai pengalamatan Layer 3 perangkat.

    Layanan Klien DNS pada PC Windows juga mengoptimalkan kinerja resolusi nama DNS dengan menyimpan nama yang telah diselesaikan sebelumnya dalam memori. Seperti yang ditunjukkan pada Gambar 3, perintah ipconfig / displaydns menampilkan semua entri DNS yang di-cache pada sistem komputer Windows.

11.3.4.2 Perintah arp

    Perintah arp dijalankan dari command prompt Windows, seperti yang ditunjukkan pada gambar. Perintah arp –a mencantumkan semua perangkat yang saat ini ada di cache ARP host, yang mencakup alamat IPv4, alamat fisik, dan jenis pengalamatan (statis / dinamis), untuk setiap perangkat.

Cache dapat dibersihkan dengan menggunakan perintah arp -d * jika administrator jaringan ingin mengisi kembali cache dengan informasi yang diperbarui.

Catatan: Cache ARP berisi informasi hanya dari perangkat yang baru-baru ini diakses. Untuk memastikan bahwa cache ARP diisi, ping perangkat sehingga akan memiliki entri di tabel ARP.

11.3.4.3 Perintah show cdp neighbours

    Ada beberapa perintah IOS lain yang berguna. Misalnya, Cisco Discovery Protocol (CDP) adalah protokol berpemilik Cisco yang berjalan pada lapisan data link. Karena CDP beroperasi pada lapisan data link, dua atau lebih perangkat jaringan Cisco, seperti router yang mendukung protokol lapisan jaringan yang berbeda, dapat belajar satu sama lain meskipun konektivitas Layer 3 tidak ada.

    Bandingkan output dari perintah show cdp neighbours pada Gambar 1 dengan topologi pada Gambar 2. Perhatikan bahwa R3 telah mengumpulkan beberapa informasi rinci tentang R2 dan sakelar yang terhubung ke antarmuka Fast Ethernet pada R3.

    Saat perangkat Cisco melakukan boot, CDP dimulai secara default. CDP secara otomatis menemukan perangkat Cisco tetangga yang menjalankan CDP, terlepas dari protokol atau suite Layer 3 mana yang sedang berjalan. CDP bertukar informasi perangkat keras dan perangkat lunak dengan tetangga CDP yang terhubung langsung.

CDP memberikan informasi berikut tentang setiap perangkat tetangga CDP:

  • Pengenal perangkat - Misalnya, nama host yang dikonfigurasi dari sebuah sakelar
  • Daftar alamat - Hingga satu alamat lapisan jaringan untuk setiap protokol yang didukung
  • Pengidentifikasi port - Nama port lokal dan jarak jauh dalam bentuk string karakter ASCII, seperti FastEthernet 0/0
  • Daftar kemampuan - Misalnya, apakah perangkat ini adalah router atau sakelar
  • Platform - Platform perangkat keras perangkat; misalnya, router seri Cisco 1841


    Perintah show cdp neighbours detail mengungkapkan alamat IP dari perangkat tetangga. CDP akan mengungkapkan alamat IP tetangga terlepas dari apakah Anda dapat melakukan ping ke tetangga itu atau tidak. Perintah ini sangat membantu ketika dua router Cisco tidak dapat merutekan melalui tautan data bersama mereka. Perintah show cdp neighbour detail akan membantu menentukan apakah salah satu tetangga CDP memiliki kesalahan konfigurasi IP.

    Meskipun CDP bermanfaat, ini juga dapat menjadi risiko keamanan karena dapat memberikan informasi infrastruktur jaringan yang berguna bagi penyerang. Misalnya, secara default banyak versi IOS mengirimkan iklan CDP ke semua port yang diaktifkan. Namun, praktik terbaik menyarankan bahwa CDP harus diaktifkan hanya pada antarmuka yang terhubung ke perangkat Cisco infrastruktur lain. Iklan CDP harus dinonaktifkan pada port yang menghadap pengguna.

    Karena beberapa versi IOS mengirimkan iklan CDP secara default, penting untuk mengetahui cara menonaktifkan CDP. Untuk menonaktifkan CDP secara global, gunakan perintah konfigurasi global tanpa menjalankan cdp. Untuk menonaktifkan CDP pada sebuah interface, gunakan perintah interface no cdp enable.
Gambar 1 menunjukkan output dari perintah "show cdp neighbours" dan perintah "show cdp neighbour detail". Gambar 2 menunjukkan topologi dengan tiga router yang terhubung dengan koneksi serial. R1 terhubung ke R2, dan R2. terhubung ke R3 Setiap Router memiliki LAN dengan sakelar dan PC.


11.3.4.4 Menampilkan perintah singkat antarmuka IP

    Dengan cara yang sama seperti perintah dan utilitas digunakan untuk memverifikasi konfigurasi host, perintah dapat digunakan untuk memverifikasi antarmuka perangkat perantara. Cisco IOS menyediakan perintah untuk memverifikasi pengoperasian router dan antarmuka sakelar.

Memverifikasi Antarmuka Router

Salah satu perintah yang paling sering digunakan adalah perintah show ip interface brief. Perintah ini memberikan output yang lebih disingkat daripada perintah show ip interface. Ini memberikan ringkasan informasi kunci untuk semua antarmuka jaringan di router.

Gambar 1 menunjukkan topologi yang digunakan dalam contoh ini.

Pada Gambar 2, klik tombol R1. Output singkat show ip interface menampilkan semua antarmuka di router, alamat IP yang ditetapkan untuk setiap antarmuka, jika ada, dan status operasional antarmuka.

Memverifikasi Antarmuka Switch

Pada Gambar 2, klik tombol S1. Perintah show ip interface brief juga dapat digunakan untuk memverifikasi status antarmuka sakelar. Antarmuka VLAN1 diberi alamat IPv4 192.168.254.250 dan telah diaktifkan, dan beroperasi.

Output juga menunjukkan bahwa antarmuka FastEthernet0 / 1 sedang down. Ini menunjukkan bahwa tidak ada perangkat yang terhubung ke antarmuka atau perangkat yang terhubung memiliki antarmuka jaringan yang tidak beroperasi.

Sebaliknya, output menunjukkan bahwa antarmuka FastEthernet0 / 2 dan FastEthernet0 / 3 beroperasi. Ini ditunjukkan oleh Status dan Protokol yang ditampilkan sebagai up.
Gambar 1 menunjukkan jaringan yang terdiri dari PC yang terhubung ke sakelar, yang terhubung ke router, yang terhubung ke cloud. Gambar 2 menunjukkan output dari perintah show ip interface brief pada router dan pada saklar.


Topik 11.3.5

11.3.5.1 Perintah debug

    Proses, protokol, mekanisme, dan peristiwa IOS menghasilkan pesan untuk mengkomunikasikan statusnya. Pesan-pesan ini dapat memberikan informasi berharga saat memecahkan masalah atau memverifikasi operasi sistem. Perintah debug IOS memungkinkan administrator untuk menampilkan pesan-pesan ini secara real-time untuk dianalisis. Ini adalah alat yang sangat penting untuk memantau kejadian di perangkat Cisco IOS.

    Semua perintah debug dimasukkan dalam mode EXEC istimewa. Cisco IOS memungkinkan untuk mempersempit output debug agar hanya menyertakan fitur atau sub-fitur yang relevan. Ini penting karena keluaran debugging diberikan prioritas tinggi dalam proses CPU dan dapat membuat sistem tidak dapat digunakan. Untuk alasan ini, gunakan perintah debug hanya untuk memecahkan masalah tertentu. Untuk memantau status pesan ICMP di router Cisco, gunakan debug ip icmp, seperti yang ditunjukkan pada gambar.

    Untuk membuat daftar deskripsi singkat dari semua opsi perintah debugging, gunakan debug? perintah dalam mode EXEC istimewa pada baris perintah.

Untuk mematikan fitur debugging tertentu, tambahkan no kata kunci di depan perintah debug:

Router# no debug ip icmp 

Sebagai alternatif, Anda dapat memasukkan bentuk perintah undebug dalam mode privileged EXEC:

Router# undebug ip icmp

Untuk mematikan semua perintah debug aktif sekaligus, gunakan perintah undebug all:

Router# undebug all 

Beberapa perintah debug seperti debug semua dan debug paket ip menghasilkan sejumlah besar keluaran dan menggunakan sebagian besar sumber daya sistem. Router akan menjadi sangat sibuk menampilkan pesan debug sehingga tidak memiliki daya pemrosesan yang cukup untuk menjalankan fungsi jaringannya, atau bahkan mendengarkan perintah untuk menonaktifkan debugging. Untuk alasan ini, menggunakan opsi perintah ini tidak disarankan dan harus dihindari.
Gambar menunjukkan output dari perintah 'debug ip icmp'.


11.3.5.2 Perintah monitor terminal

    Koneksi untuk memberikan akses ke antarmuka baris perintah IOS dapat dibuat secara lokal atau jarak jauh.

    Koneksi lokal memerlukan akses fisik ke router atau sakelar; oleh karena itu, diperlukan sambungan kabel. Koneksi ini biasanya dibuat dengan menghubungkan PC ke router atau port switch konsol menggunakan kabel rollover. Dalam kursus ini, kami menyebut koneksi lokal sebagai koneksi konsol.

    Koneksi jarak jauh dibuat melalui jaringan; oleh karena itu, mereka membutuhkan protokol jaringan seperti IP. Tidak ada akses fisik langsung yang diperlukan untuk sesi jarak jauh. SSH dan Telnet adalah dua protokol koneksi umum yang digunakan untuk sesi jarak jauh. Dalam kursus ini, kami menggunakan protokol saat membahas koneksi jarak jauh tertentu, seperti koneksi Telnet atau koneksi SSH.

    Sementara pesan log IOS dikirim ke konsol secara default, pesan log yang sama ini tidak dikirim ke jalur virtual secara default. Karena pesan debug adalah pesan log, perilaku ini mencegah pesan terkait debug ditampilkan di baris VTY.

    Untuk menampilkan pesan log pada terminal (konsol virtual), gunakan perintah EXEC dengan hak istimewa monitor terminal.

    Untuk menghentikan pencatatan pesan di terminal, gunakan perintah EXEC hak istimewa monitor tanpa monitor.

    Gunakan Pemeriksa Sintaks untuk berlatih menggunakan monitor terminal dan debug untuk pemecahan masalah.


Bagian 11.4

Topik 11.4.1

11.4.1.1 Pendekatan Pemecahan Masalah Dasar

    Masalah jaringan dapat sederhana atau kompleks, dan dapat diakibatkan oleh kombinasi masalah perangkat keras, perangkat lunak, dan konektivitas. Teknisi harus dapat menganalisis masalah dan menentukan penyebab kesalahan sebelum mereka dapat menyelesaikan masalah jaringan. Proses ini disebut pemecahan masalah.

    Metodologi pemecahan masalah yang umum dan efisien didasarkan pada metode ilmiah dan dapat dibagi menjadi enam langkah utama yang ditunjukkan pada gambar.

    Untuk menilai masalah, tentukan berapa banyak perangkat di jaringan yang mengalami masalah. Jika ada masalah dengan satu perangkat di jaringan, mulailah proses pemecahan masalah di perangkat itu. Jika ada masalah dengan semua perangkat di jaringan, mulailah proses pemecahan masalah di perangkat tempat semua perangkat lain terhubung. Anda harus mengembangkan metode yang logis dan konsisten untuk mendiagnosis masalah jaringan dengan menghilangkan masalah satu per satu.

11.4.1.2 Selesaikan atau Tingkatkan?

    Dalam beberapa situasi, mungkin tidak mungkin menyelesaikan masalah dengan segera. Masalah harus ditingkatkan jika memerlukan keputusan manajer, beberapa keahlian khusus, atau tingkat akses jaringan yang tidak tersedia untuk teknisi pemecahan masalah.

    Misalnya, setelah pemecahan masalah, teknisi menyimpulkan modul router harus diganti. Masalah ini harus ditingkatkan untuk persetujuan manajer. Manajer mungkin harus mengeskalasi masalah lagi karena mungkin memerlukan persetujuan departemen keuangan sebelum modul baru dapat dibeli.

    Kebijakan perusahaan harus menyatakan dengan jelas kapan dan bagaimana teknisi harus melaporkan masalah.

11.4.1.3 Verifikasi dan Pantau Solusi

    Cisco IOS menyertakan alat yang ampuh untuk membantu pemecahan masalah dan verifikasi. Ketika masalah telah dipecahkan dan solusi diterapkan, penting untuk memverifikasi operasi sistem. Alat verifikasi termasuk perintah ping, traceroute dan show. Perintah ping dapat digunakan untuk memverifikasi konektivitas jaringan yang berhasil.

Jika ping berhasil, aman untuk menyimpulkan bahwa paket sedang dirutekan dari sumber ke tujuan.

Catatan: Ping yang gagal biasanya tidak memberikan informasi yang cukup untuk menarik kesimpulan apa pun. Ini bisa jadi hasil dari ACL atau firewall yang memblokir paket ICMP, atau perangkat tujuan mungkin dikonfigurasi untuk tidak menanggapi ping. Ping yang gagal biasanya merupakan indikasi bahwa penyelidikan lebih lanjut diperlukan.

Perintah traceroute, berguna untuk menampilkan jalur yang digunakan paket untuk mencapai tujuan. Sementara output dari perintah ping menunjukkan apakah sebuah paket telah sampai di tujuan, output dari perintah traceroute menunjukkan jalur yang diperlukan untuk sampai ke sana, atau di mana paket dihentikan di sepanjang jalur tersebut.

Perintah Cisco IOS Show adalah beberapa alat pemecahan masalah dan verifikasi yang paling berguna termasuk Cisco IOS. Memanfaatkan berbagai macam opsi dan sub-opsi, perintah show dapat digunakan untuk mempersempit dan menampilkan informasi tentang hampir semua aspek tertentu dari IOS.

Gambar 3 menampilkan output dari perintah singkat show ip interface. Perhatikan bahwa dua antarmuka yang dikonfigurasi dengan alamat IPv4 adalah "naik" dan "naik". Antarmuka ini dapat mengirim dan menerima lalu lintas. Tiga antarmuka lainnya tidak memiliki alamat IPv4 dan secara administratif sedang down.
Gambar 1, 2, dan 3 menunjukkan topologi dengan PC, sakelar, dan tiga router. PC terhubung ke switch yang terhubung ke router R1 yang terhubung ke router R2 yang terhubung ke router R3. Gambar 1 menunjukkan keluaran perintah ping. Gambar 2 menunjukkan keluaran traceroute. Gambar 3 menunjukkan keluaran untuk perintah 'show ip interface brief'.


11.4.2.1 Operasi Dupleks

    Dalam komunikasi data, dupleks mengacu pada arah transmisi data antara dua perangkat. Jika komunikasi dibatasi pada pertukaran data dalam satu arah pada satu waktu, koneksi ini disebut half-duplex. Dupleks penuh memungkinkan pengiriman dan penerimaan data terjadi secara bersamaan.

    Untuk kinerja komunikasi terbaik, dua antarmuka jaringan Ethernet yang terhubung harus beroperasi dalam mode dupleks yang sama untuk menghindari inefisiensi dan latensi pada tautan.

    Negosiasi otomatis ethernet dirancang untuk memfasilitasi konfigurasi, meminimalkan masalah, dan memaksimalkan kinerja tautan. Perangkat yang terhubung pertama-tama mengumumkan kapabilitas yang didukungnya dan kemudian memilih mode kinerja tertinggi yang didukung oleh kedua ujungnya. Misalnya, sakelar dan router pada gambar berhasil dinegosiasikan secara otomatis dalam mode dupleks penuh.

    Jika salah satu dari dua perangkat yang terhubung beroperasi dalam dupleks penuh dan yang lainnya beroperasi dalam dupleks setengah, ketidaksesuaian dupleks akan terjadi. Sementara komunikasi data akan terjadi melalui tautan dengan ketidakcocokan dupleks, kinerja tautan akan sangat buruk. Ketidakcocokan dupleks mungkin disebabkan oleh konfigurasi manual yang salah, yang secara manual mengatur dua perangkat yang terhubung ke mode dupleks yang berbeda. Ketidakcocokan dupleks juga dapat terjadi dengan menghubungkan perangkat yang melakukan negosiasi otomatis ke perangkat lain yang secara manual disetel ke dupleks penuh. Meskipun jarang terjadi, ketidakcocokan dupleks juga dapat terjadi karena negosiasi otomatis yang gagal.


11.4.2.2 Duplex Mismatch

    Ketidaksesuaian dupleks mungkin sulit untuk dipecahkan karena komunikasi antar perangkat masih terjadi. Ketidakcocokan dupleks mungkin tidak terlihat bahkan saat menggunakan alat seperti ping. Paket kecil tunggal mungkin gagal mengungkapkan masalah ketidakcocokan dupleks. Sesi terminal yang mengirimkan data dengan lambat (dalam ledakan yang sangat singkat) juga dapat berhasil berkomunikasi melalui ketidakcocokan dupleks. Meskipun salah satu ujung koneksi mencoba mengirim data dalam jumlah besar dan kinerja tautan turun drastis, penyebabnya mungkin tidak langsung terlihat karena jaringan sedang beroperasi.

    CDP, protokol berpemilik Cisco, dapat dengan mudah mendeteksi ketidaksesuaian dupleks antara dua perangkat Cisco. Pertimbangkan topologi dan pesan log pada Gambar 1 di mana antarmuka G0 / 0 pada R1 telah dikonfigurasi secara keliru untuk beroperasi dalam mode setengah dupleks. CDP akan menampilkan pesan log tentang tautan dengan ketidakcocokan dupleks. Pesan juga berisi nama perangkat dan port yang terlibat dalam ketidakcocokan dupleks, yang membuatnya lebih mudah untuk mengidentifikasi dan memperbaiki masalah.

Catatan: Karena ini adalah pesan log, pesan tersebut hanya ditampilkan di sesi konsol secara default. Anda hanya akan melihat pesan-pesan ini pada koneksi jarak jauh jika perintah monitor terminal diaktifkan.


Topik 11.4.3

11.4.3.1 Masalah Pengalamatan IP pada Perangkat IOS

    Masalah terkait alamat IP kemungkinan akan membuat perangkat jaringan jarak jauh tidak dapat berkomunikasi. Karena alamat IP bersifat hierarkis, alamat IP apa pun yang ditetapkan ke perangkat jaringan harus sesuai dengan rentang alamat jaringan itu. Alamat IP yang salah ditetapkan membuat berbagai masalah, termasuk konflik alamat IP dan masalah perutean.

    Dua penyebab umum penetapan IPv4 salah adalah kesalahan penetapan manual atau masalah terkait DHCP.

    Administrator jaringan sering kali harus menetapkan alamat IP secara manual ke perangkat seperti server dan router. Jika kesalahan dibuat selama penugasan, maka masalah komunikasi dengan perangkat sangat mungkin terjadi.

    Pada perangkat IOS, gunakan show ip interface atau show ip interface brief commands untuk memverifikasi alamat IPv4 apa yang ditetapkan ke antarmuka jaringan. Gambar tersebut menampilkan output dari perintah show ip interface yang dikeluarkan pada R1. Perhatikan bahwa output menampilkan informasi IPv4 (OSI Layer 3), sedangkan perintah show interfaces yang disebutkan sebelumnya menampilkan detail fisik dan data link dari sebuah antarmuka.


11.4.3.2 Masalah Alamat IP pada Perangkat Akhir

    Di mesin berbasis Windows, ketika perangkat tidak dapat menghubungi server DHCP, Windows akan secara otomatis menetapkan alamat yang termasuk dalam rentang 169.254.0.0/16. Proses ini dirancang untuk memfasilitasi komunikasi dalam jaringan lokal. Anggap saja sebagai Windows yang mengatakan "Saya akan menggunakan alamat ini dari kisaran 169.254.0.0/16 karena saya tidak bisa mendapatkan alamat lain". Lebih sering daripada tidak, komputer dengan 169.254.0.0/16 tidak akan dapat berkomunikasi dengan perangkat lain di jaringan karena perangkat tersebut kemungkinan besar tidak termasuk dalam jaringan 169.254.0.0/16. Situasi ini menunjukkan masalah penetapan alamat IPv4 otomatis yang harus diperbaiki.

Catatan: Sistem operasi lain, seperti Linux dan OS X, tidak akan menetapkan alamat IPv4 ke antarmuka jaringan jika komunikasi dengan server DHCP gagal.

    Sebagian besar perangkat akhir dikonfigurasi untuk mengandalkan server DHCP untuk penetapan alamat IPv4 otomatis. Jika perangkat tidak dapat berkomunikasi dengan server DHCP, maka server tidak dapat menetapkan alamat IPv4 untuk jaringan tertentu dan perangkat tidak akan dapat berkomunikasi.

    Untuk memverifikasi alamat IP yang ditetapkan ke komputer berbasis Windows, gunakan perintah ipconfig, seperti yang ditunjukkan pada gambar.
Gambar menunjukkan topologi dengan PC, saklar, dan tiga router. PC terhubung ke switch yang terhubung ke router R1 yang terhubung ke router R2 yang terhubung ke router R3. Di bawah topologi adalah output perintah untuk 'ipconfig' dengan alamat IP yang disorot.

11.4.3.3 Masalah Gateway Default

    Gateway default untuk perangkat akhir adalah perangkat jaringan terdekat yang dapat meneruskan lalu lintas ke jaringan lain. Jika perangkat memiliki alamat gateway default yang salah atau tidak ada, perangkat tidak akan dapat berkomunikasi dengan perangkat di jaringan jarak jauh. Karena gateway default adalah jalur ke jaringan jarak jauh, alamatnya harus dimiliki oleh jaringan yang sama dengan perangkat akhir.

    Alamat gateway default dapat diatur secara manual atau diperoleh dari server DHCP. Mirip dengan masalah pengalamatan IPv4, masalah gateway default dapat terkait dengan kesalahan konfigurasi (dalam kasus penetapan manual) atau masalah DHCP (jika penetapan otomatis sedang digunakan).

    Untuk mengatasi masalah gateway default yang salah dikonfigurasi, pastikan perangkat memiliki konfigurasi gateway default yang benar. Jika alamat default disetel secara manual tetapi salah, cukup ganti dengan alamat yang benar. Jika alamat gateway default diatur secara otomatis, pastikan perangkat dapat berkomunikasi dengan benar dengan server DHCP. Penting juga untuk memverifikasi bahwa alamat IPv4 dan subnet mask yang benar telah dikonfigurasi pada antarmuka router dan bahwa antarmuka tersebut aktif.

    Untuk memverifikasi gateway default pada komputer berbasis Windows, gunakan perintah ipconfig, seperti yang ditunjukkan pada Gambar 1.

    Di router, gunakan perintah show ip route untuk mendaftar tabel routing dan verifikasi bahwa default gateway, yang dikenal sebagai default route, telah diatur. Rute ini digunakan ketika alamat tujuan paket tidak cocok dengan rute lain dalam tabel peruteannya. Gambar 2 menunjukkan bahwa R2 adalah rute default untuk R1 dan output dari perintah show ip route menunjukkan bahwa default gateway telah diatur dengan rute default 10.1.0.2.
Gambar menunjukkan topologi dengan PC, saklar, dan tiga router. PC terhubung ke switch yang terhubung ke router R1 yang terhubung ke router R2 yang terhubung ke router R3. Di bawah topologi adalah output perintah untuk 'ipconfig' dengan gateway default yang disorot.


11.4.3.4 Memecahkan Masalah DNS

    Domain Name Service (DNS) mendefinisikan layanan otomatis yang mencocokkan nama, seperti www.cisco.com, dengan alamat IP. Meskipun resolusi DNS tidak penting untuk komunikasi perangkat, ini sangat penting bagi pengguna akhir.

    Sangat umum bagi pengguna untuk secara keliru menghubungkan pengoperasian tautan Internet dengan ketersediaan layanan DNS. Keluhan pengguna seperti "jaringan tidak aktif" atau "Internet tidak aktif" sering kali disebabkan oleh server DNS yang tidak dapat dijangkau. Saat perutean paket dan semua layanan jaringan lainnya masih beroperasi, kegagalan DNS sering kali mengarahkan pengguna ke kesimpulan yang salah. Jika pengguna mengetik nama domain seperti www.cisco.com di browser web dan server DNS tidak dapat dijangkau, nama tersebut tidak akan diterjemahkan ke dalam alamat IP dan situs web tidak akan ditampilkan.

    Alamat server DNS dapat ditetapkan secara manual atau otomatis. Administrator jaringan sering kali bertanggung jawab untuk menetapkan alamat server DNS secara manual pada server dan perangkat lain, sedangkan DHCP digunakan untuk secara otomatis menetapkan alamat server DNS ke klien.

    Meskipun perusahaan dan organisasi biasa mengelola server DNS mereka sendiri, server DNS apa pun yang dapat dijangkau dapat digunakan untuk menyelesaikan nama. Pengguna small office and home office (SOHO) sering mengandalkan server DNS yang dikelola oleh ISP mereka untuk resolusi nama. Server DNS yang dikelola ISP dialihkan ke pelanggan SOHO melalui DHCP. Misalnya, Google mengelola server DNS publik yang dapat digunakan oleh siapa saja dan sangat berguna untuk pengujian. Alamat IPv4 server DNS publik Google adalah 8.8.8.8 dan 2001: 4860: 4860 :: 8888 untuk alamat DNS IPv6-nya.

    Gunakan ipconfig / all, seperti yang ditunjukkan pada Gambar 1, untuk memverifikasi server DNS mana yang digunakan oleh komputer Windows.

    Perintah nslookup adalah alat pemecahan masalah DNS lain yang berguna untuk PC. Dengan nslookup, pengguna dapat menempatkan kueri DNS secara manual dan menganalisis respons DNS. Gambar 2 menunjukkan output nslookup saat membuat kueri untuk www.cisco.com.
Gambar menunjukkan topologi dengan PC, saklar, dan tiga router. PC terhubung ke switch yang terhubung ke router R1 yang terhubung ke router R2 yang terhubung ke router R3. Di bawah topologi adalah output perintah untuk 'show ip route' dengan gateway of last resort disorot.

at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Rangkuman CCNA Chapter 11

  Rangkuman CCNA Chapter 11   Bagian 11.1 Topik 11.1.1 11.1.1.1 Topologi Jaringan Kecil     Mayoritas bisnisnya kecil. Maka tidak mengherank...