Beranda > ccna, CCNA Exam > Secuil Konfigurasi Switch

Secuil Konfigurasi Switch

Mengamankan CLI Switch

Untuk memasuki enable mode dari virtual terminal vty (Telnet or SSH) hal-hal berikut harus sudah dikonfigurasi pada switch:

  • Sebuah IP address
  • Login security pada vty
  • enable password

User pada user mode bisa mengakses enable mode dengan cara mengeksekusi perintah enable, dengan default yang berbeda-beda tergantung apakah user mengakses via konsole, atau me-remote mesin via Telnet atau SSH. Secara default, perintah enable pada konsole membawa user pada enable mode tanpa meminta password, tetapi user pada Telnet dan SSH akan di tolak mentah-mentah. Berikut perintah yang harus dieksekusi untuk menge-set password enable dan agar user dari Telnet dan SSH bisa memasuki enable mode.

Switch>enable
Switch#configure terminal
Switch(config)#enable secret cisco
Switch(config)#hostname Emma

Emma(config)#line console 0
Emma(config-line)#password faith
Emma(config-line)#login
Emma(config-line)#exit

Emma(config)#line vty 0 15
Emma(config-line)#password love
Emma(config-line)#login
Emma(config-line)#exit
Emma(config)#exit
Emma#

Contoh diatas diawali dengan perpindahan user dari enable mode ke configuration mode melalui perintah configure terminal. Setelah itu user mengeksekusi perintah yang hanya bisa dieksekusi di configuration mode,  (enable secret dan hostname).

Perintah konfigurasi global hostname merubah command prompt menjadi Emma. Sedangkan perintah enable secret menge-set password yang dibutuhkan untuk memasuki enable mode.

Akan tetapi, perintah login (yang membuat switch akan meminta password tanpa username) dan perintah password (yang digunakan untuk menge-set password) nampak dieksekusi pada konsole dan vty (Telnet dan SSH), jadi kedua perintah ini adalah sub-perintah pada configuration mode yang berbeda. sub-perintah ini menge-set password yang berbeda untuk konsole dan vty (Telnet dan SSH) tergantung pada submode dimana perintah ini dieksekusi seperti contoh diatas.

Menekan Ctrl-z dari (sub)mode mana saja pada configuration mode akan membawa user kembali ke enable mode. Namun pada contoh diatas digunakan perintah exit 2 kali, yang pertama untuk berpindah dari configuration submode ke global configuration mode, kemudian dari global configuration mode ke enable mode.

Perintah end pada configuration mode juga memiliki efek yang sama seperti perintah Ctrl-z, membawa user dari bagian mana saja pada configuration mode langsung kembali ke enable mode.

Mengkonfigurasi Usernames dan Secure Shell (SSH)

Telnet mengirimkan semua data, termasuk password user, sebagai clear-text. Sedangkan Secure Shell (SSH) menyediakan fungsi yang sama dengan Telnet, yakni menampilkan window emulator terminal yang memungkinkan user mengakses CLI secara remote. Namun, SSH meng-enkripsi semua data yang ditransfer antara klien-server, sehingga SSH lebih dianjurkan untuk mengakses Switch atau Router.

Berikut detail yang harus dilakukan agar user bisa mengakses switch via SSH:

  1. Mengubah vty lines agar menggunakan usernames, baik user local atau menggunakan AAA server. Untuk hal ini, sub-perintah login local digunakan untuk menge-set username lokal, menggantikan sub-perintah  login pada konfigurasi vty.
  2. Set switch agar menerima akses via Telnet dan SSH dengan sub-perintah transport input telnet ssh pada bagian vty. (defaultnya adalah transport input telnet, tanpa parameter ssh).
  3. Menambahkan satu atau lebih perintah “username nama password passwordpada global configuration commands untuk menge-set username dan password.
  4. Mengkonfigurasi DNS domain name dengan perintah “ip domain-name name” pada global configuration.
  5. Mengkonfigurasi switch agar meng-generate public dan private key, juga shared encryption key, dengan perintah crypto key generate rsa pada global configuration mode.

Perhatikan contoh berikut:

Emma#
Emma#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Emma(config)#line vty 0 15
! Langkah 1
Emma(config-line)#login local
! Langkah 2
Emma(config-line)#transport input telnet ssh
Emma(config-line)#exit
! Langkah 3
Emma(config)#username wendell password hope
! Langkah 4
Emma(config)#ip domain-name example.com
! Langkah 5
Emma(config)#crypto key generate rsa

Password Encryption

Untuk mencegah password ditulis secara simple pada file konfigurasi, atau pada file bekup yang disimpan pada server, user bisa meng-enkrip atau encode password dengan perintah  service password-encryption pada global configuration mode. Ada atau tidaknya perintah service password-encryption pada global configuration mode memiliki efek sebagai berikut:

  • Saat perintah service password-encryption di eksekusi, semua password konsole, vty, dan password username yang sudah dikonfigurasi sebelumnya akan langsung dienkripsi.
  • Setelah perintah service password-encryption dieksekusi, semua perubahan password setelahnya juga akan dienkripsi.
  • Jika perintah no service password-encryption dieksekusi, maka password yang sudah terenkripsi akan tetap terenkripsi kecuali jika dirubah.

2 Cara Menge-set Password Enable Mode

Sebuah router atau switch bisa dikonfigurasi agar meminta password jika user memasuki area enable mode dengan aturan-aturan sebagai berikut:

  • Jika perintah pada global configuration mode “enable password password1” dieksekusi, maka password yang digunakan untuk masuk ke enable mode adalah password1. Password ini secara default disimpan dalam bentuk clear text pada file konfigurasi.
  • Jika perintah pada global configuration mode “enable secret password2” dieksekusi, maka password yang digunakan untuk masuk ke enable mode adalah password2. Password ini secara default disimpan dengan metode enkripsi MD5 hash pada file konfigurasi.
  • Jika kedua perintah diatas dieksekusi, maka password yang di set dengan perintah enable secret yang akan digunakan.

Mengkonfigurasi IP Address Switch

Konfigurasi IP address dari IOS switch bisa dilakukan pada interface yang disebut VLAN 1 interface. Interface ini melakukan fungsi yang sama dengan Ethernet Interface pada PC. Akibatnya, semua interface (port) pada switch secara default termasuk pada VLAN 1 ini. Berikut cara mengkonfigurasi IP address vlan 1 pada switch :

  1. Untuk memasuki configuration mode VLAN 1,  gunakan perintah interface vlan 1 pada global configuration mode.
  2. Set IP address dan mask dengan sub-perintah “ip address ip-address mask” .
  3. Untuk meng-enable fungsi VLAN 1 interface gunakan sub-perintah no shutdown.
  4. Gunakan perintah “ip default-gateway ip-address” pada global configuratin mode untuk menge-set default gateway.

Emma#configure terminal
Emma(config)#interface vlan 1
Emma(config-if)#ip address 192.168.1.200 255.255.255.0
Emma(config-if)#no shutdown
00:25:07: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
00:25:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Emma(config-if)#exit
Emma(config)#ip default-gateway 192.168.1.1

Konfigurasi VLAN

Interface cisco switch bisa digolongkan sebagai access interface atau trunk interface. Definisi singkatnya, access interface melakukan transfer data hanya pada VLAN yang sama (access VLAN). Trunk interfaces mengirim dan menerima frame dalam multiple VLAN (antar-VLAN). Konsep dan konfigurasi VLAN akan dibahas lebih lanjut pada postingan mendatang😀

Untuk mengirim frame pada sebuah interface dalam VLAN tertentu, maka VLAN tersebut harus didefinisikan terlebih dahulu oleh switch. Defaultnya, Cisco Switch sudah memiliki VLAN 1 yang terdefinisi, dan semua interface (port) nya termasuk kedalam VLAN 1.

Untuk mengkonfigurasi VLAN baru :

  1. Dari configuration mode, gunakan perintah vlan vlan-id untuk mendefinisikan VLAN dan memasuki VLAN configuration mode.
  2. (Optional) Gunakan sub-perintah name name pada VLAN configuration mode untuk memberikan nama pada VLAN tersebut. Jika tidak dikonfigurasi maka VLAN tersebut akan bernama VLANZZZZ, dimana ZZZZ adalah 4 digit desimal VLAN ID.

Untuk mengkonfigurasu VLAN bagi setiap access interface:

  1. Gunakan perintah interface untuk memasuki interface configuration mode untuk interface yang diinginkan.
  2. Gunakan sub-perintah switchport access vlan id-number untuk menentukan pada VLAN mana interface tersebut berada.
  3. (Optional) Agar interface tidak menggunakan trunking dan tetap sebagai access interface, gunakan sub-perintah  switchport mode access.
  1. AlexXx
    Maret 5, 2010 pukul 9:46 am

    nice 🙂
    hampir sama kayak command linux tapi lebih susah nih… thanks

  1. No trackbacks yet.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: