Home

Senin, 06 Januari 2014

Implementasi VLAN



1. PENDAHULUAN VLAN
 VLAN atau virtual LAN atau logical LAN atau logical subnet merupakan sebuah cara untuk memecah network menjadi beberapa network (segmen) yang lebih kecil. Tujuan utama VLAN adalah untuk memperkecil jumlah traffic broadcast pada masing-masing subnet, sehingga setiap subnet akan memiliki broadcast domain-nya sendiri.

Logical-subnet adalah sekumpulan port switch yang digunakan untuk menghubungkan VLAN yang sama.
Physical subnet adalah sekumpulan perangkat yang berbagi media transmisi fisik (wire) yang sama.
Berdasarkan informasi dari berbagai sumber yang pernah penulis dapatkan, VLAN dapat dikelompokkan dalam beberapa kategori :

a. berdasarkan membership type

·         Static VLAN
Anggota VLAN ditentukan berdasarkan port pada switch yang hanya dapat diubah dengan memindahkan kabel yang terhubung ke port tersebut. VLAN statis mudah dikonfigurasi dan relatif aman

·         Dynamic VLAN
Anggota VLAN ditentukan secara logika, berdasarkan MAC address, username, IP address, atau tipe protokol yang digunakan oleh paket data.



Ada juga pengelompokkan VLAN menjadi :
·         Port-based VLAN

·         MAC-based VLAN

·         Protocol-based VLAN

·         SSID-based VLAN

·         ATM VLAN

Pengelompokkan VLAN di atas sebenarnya mirip dengan sebelumnya. Hanya saja dijabarkan lebih rinci.


b. berdasarkan boundaries
cisco membagi VLAN menjadi :

·         End-to-end VLAN
Anggota VLAN dihubungkan oleh beberapa switch yang lokasinya “berjauhan” (misal pada gedung yang berbeda).
Biasanya jenis VLAN ini digunakan untuk memberikan fleksibilitas yang tinggi bagi user. Di mana pun dia berada, user akan tetap memperoleh keanggotaan yang sama, policy yang sama, dan security yang sama.

End-to-end VLAN jauh lebih sulit ditangani, karena perbedaan perangkat switch akan berpengaruh pada broadcast traffic yang melalui switch-switch tersebut.

·         Local VLAN
Anggota VLAN dihubungkan dengan switch yang alokasinya “berdekatan”. Misalkan saja semua host yang ada di gedung A akan memiliki VLAN yang sama.
Sebuah VLAN dapat mengendalikan traffic broadcast, traffic multicast, traffic unicast, yang melalui perangkat layer 2

2. MENGAPA VLAN ?
 Penulis sudah pernah menyinggung salah satu keuntungan VLAN. Dengan VLAN kita dapat memperkecil broadcast domain. Beberapa keuntungan VLAN antara lain :
·         Pemakaian bandwidth secara optimal
VLAN dapat membagi network besar menjadi segmen-segmen yang lebih kecil. Traffic lokal (antarsesama anggota sebuah VLAN) dapat disekat dan tidak mengganggu VLAN yang lainnya. Sehingga penggunaan bandwidth menjadi lebih optimal. Aturan 80/20 dapat dijadikan acuan. Dimana 80% merupakan traffic lokal dan 20% bersifat nonlocal

·         Pembentukan network logika
Dengan VLAN, kita dapat membentuk network secara logika. Koneksi antar perangkat dapat dikonfigurasi ulang tanpa harus memindahkan perangkat secara fisik.

·         Meningkatkan security
VLAN dapat mengisolasi traffic. Traffic internal tidak akan mengalir ke luar. Server dapat disimpan di lokasi yang aman. Kondisi ini menyulitkan penyusup untuk mencuri data yang mengalir. Kecuali jika port switch yang digunakan oleh VLAN

·         Memudahkan pembuatan IP subnet
Dengan VLAN, pembentukan IP subnet akan lebih mudah. Tidak bergantung lokasi fisik. Jika komputer dipindah ke tempat lain IP subnet­-nya masih dapat dipertahankan

·         Memudahkan administrasi
Administrasi network dapat dilakukan dengan mudah. Pembentukan ulang network tidak memerlukan pemindahan alat dan pengaturan ulang kabel network.


Dahulu kala, network bersifat flat. Artinya network tidak dapat dibagi-bagi dan semua perangkat dapat “saling melihat”. Network hanya dihubungkan dengan hub/bridge yang akan meneruskan broadcast traffic ke semua host.

Sejak TCP/IP diperkenalkan, network dapat dibagi-bagi menjadi subnetwork dengan bantuan router. Broadcast traffic dapat disekat dengan baik. Sayangnya, sebuah subnetwork tidak dapat melibatkan host yang lokasinya terpisah secara fisik (berjauhan).

Munculnya teknologi VLAN ternyata dapat mengatasi keterbatasan subnetwork (yang menggunakan router). Dengan VLAN, host yang lokasinya berjauhan dapat dikelompokkan dalam sebuah subnetwork.
Paradigma yang berlaku saat ini adalah: “sebisa mungkin membangun network menggunakan teknologi switching dan hanya menggunakan routing jika benar-benar dirasa perlu”.

c. yang perlu diketahui
perintah swithport digunakan dalam proses konfigurasi VLAN. Berikut ini beberapa perintah switchport
·         switchport mode access                               : menetukan access port
·         no switchport                                                : menonaktifkan port
·         switchport mode trunk                                 : menentukan trunk
·         switchport mode vlan 2                                : membuat VLAN, dengan vlan-id=2

beberapa hal yang harus dipahami :
·         tentang port switch :
o   dapat dimiliki oleh 1 atau beberapa buah VLAN
o   bisa berupa access port atau trunk ports
o   DTP adalah protokol yang digunakan untuk mengangkut VLAN tagged frames melalui berbagai switch dan router. DTP mengatur trunk negotiation pada Catalyst Supervisor Engine software versi 4.2 atau yang lebih baru. DTP mendukung IEEE 802.1Q dan ISL

·         Tentang access ports :
o   Hanya dimiliki oleh 1 buah VLAN. Kecuali jika dikonfigurasi sebagai port voice untuk VLAN
o   Traffic dikirim dan diterima tanpa VLAN tagging (menggunakan native format)
o   Jika access port menerima tagging packet (IEEE 802.1Q), maka source address tidak akan dibaca dan packet tersebut akan dibuang
o   Traffic yang diterima oleh access port akan selalu diasumsikan sebagai milik VLAN untuk port tersebut
o   Static access port ditentukan secara manual
o   Dynamic access ports ditentukan berdasarkan informasi yang dipelajari dari packet yang datang dan ditentukan oleh VLAN Membership Policy Server (VMPS). Contoh switch yang mendukung VMPS adalah catalysh 6500.

·         Tentang trunk ports :
o   Trunk ports digunakan untuk trunk link
o   Trunk link merupakan link point-to-point berkecepatan tinggi (100 s.d 1000 Mbps), antara switch dengan perangkat network lain (misal: antara dua buah switch, sebuah switch dan sebuah router, sebuah switch dan sebuah server)
o   Dapat menghubungkan beberapa VLAN. Trunk link dapat mengangkut traffic dari 1.005 buah VLAN pada saat yang bersamaan
o   Pada switch catalysh 2960 (atau yang baru) telah mendukung enkapsulasi IEEE 802.1Q

Ada beberapa protokol yang terkait dengan trunk, yang lazim disebut protokol enkapsulasi. Sebenarnya tidak semua protokol melakukan enkapsulasi. Ada yang melakukan tagging (penandaan). Berikut ini penjelasannya :

·         ISL
Protokol ISL (Inter Switch Link) dikembangkan oleh Cisco sehingga traffic berbagai VLAN dapat mengalir dari satu perangkat ke perangkat yang lain. ISL merupakan protokol trunk standar untuk perangkat Cisco dan tidak kompatibel dengan perangkat lain. ISL dibuat sebelum IEEE mengeluarkan standar untuk VLAN

ISL melakukan enkapsulasi penuh (fully encapsulation) terhadap frame Enthernet  asli dengan penambahan ISL, header dan Frame Check (FCS). Panjang ISL header adalah 26 byte dan panjang FCS hanya 4 byte. Kadangkala teknik enkapsulasi yang dilakukan ISL disebut external tagging.

Bagian yang terpenting dari header adalah field DA (Destination Address), SA (Source Address), dan VLAN. Source address dan destination address berisi MAC address dari switch asal dan tujuan. Sedangkan field  VLAN berisi nomor atau ID dari VLAN
Setiap frame yang memasuki switch dan keluar (di-forward) dari trunk port (port yang dikonfigurasi sebagai trunk link) akan di tandai (tag) atau di enkapsulasi. Setelah ditandai dengan informasi yang sesuai, frame dapat melalui berbagai router, switch, tanpa mengalami proses retagging (penghapus tag). Sehingga mengurangi latency atau delay. ISL encapsulation akan di-forward ke sebuah access link.

·         IEEE 802.1Q
Merupakan protokol standar untuk trunk yang dikembangkan oleh IEEE. IEEE 802.1Q didukung oleh berbagai vendor. Protokol ini hanya digunakan untuk berbagai perangkat yang melibatkan Ethernet. Protokol tidak melakukan enkapsulasi data.

Jika ISL menggunakan external tagging process, maka 802.1Q menggunakan internal tagging process dengan cara menambahkan header sepanjang 4 byte pada header frame Ethernet asli.

Akibat penambahan header tersebut maka akan ada kalkulasi ulang pada FCS. Sehingga FCS milik frame Ethernet asli (FCS-1) akan berbeda dengan FCS dengan frame hasil modifikasi (FCS-2).

Ketika sebuah frame memasuki switch, frame tersebut diberi tanda (tag) dengan informasi tambahan yang berkaitan dengan VLAN properties.

Tag tersebut tetap dipertahankan sepanjang perjalanan. Frame akan di-forward dari satu switch ke switch yang lain. Setelah sampai di access link atau interface tujuan maka tag akan di-remove.

·         IEEE 802.10
Protokol 802.10 digunakan untuk mengirim frame melalui link Fiber Distributed Data Interface (FDDI). ISL akan di-disabled dan IEEE 802.10 digunakan untuk men-forward frame VLAN.

Clear Header pada frame FDDI berisi field Security Association Identifier (SAID), Link Service Access Point (LSAP), dan Management Defined Field (MDF). Field SAID digunakan untuk identifikasi VLAN.

Karena protokol 802.10 hanya digunakan pada FDDI maka kita hanya dapat menemukannya di media fiber, seperti backbone fiber optic.

LANE
LANE (LAN Emulation) merupakan protokol  yang digunakan VLAN yang melalui network ATM. LANE tidak melakukan enkapsulasi tagging.

Jika traffic harus mengalir dari satu VLAN ke VLAN yang lain maka dapat digunakan mekanisme Layer 3 routing. Protokol STP (spanning tree protocol) dapat diimplementasikan di setiap VLAN untuk mencegah terjadinya bridging loops atau network loops.

VLAN didefinisikan pada database khusus yang disebut VLAN Trunking Protocol (VTP) database. VLAN di identifikasikan dengan nomor yang unik. Switch cisco menyediakan 2 buah range VLAN, yaitu :
·         Normal range
·         Extended range

VTP bukanlah protokol yang digunakan dalam pembentukan trunk link. VTP dibuat oleh cisco untuk mengatur dan mendistribusikan konfigurasi VLAN antar-network switched.

Saat merencanakan VLAN, kita harus mempertimbangkan juga jenis traffic yang akan ditangani. Sebagai contoh, multicast traffic melibatkan proses routing dan perangkat router, sedangkan IP voice media traffic memerlukan perangkat telepon.

Walaupun secara logika traffic antar-VLAN dapat disekat, namun traffic tersebut tetap saja akan melalui trunk line yang sama. Sehingga VLAN harus didesain dengan cermat.

Melakukan konfigurasi VLAN cukup mudah. Begitu juga menghapus VLAN yang sudah ada. Yang sulit adalah bagaimana merencanakan VLAN sesuai dengan kebutuhan.

Informasi berikut ini sudah sering disinggung. Untuk sekedar mengingatkan, penulis akan menuliskannya sekali lagi :
1.       Collision domain adalah sekumpulan NIC yang apabila mengirim frame secara bersamaaan, akan menimbulkan collision

2.       Broadcast domain adalah sekumpulan NIC yang apabila salah satu interface mengirim frame broadcast, akan diterima oleh semua NIC

3.       Sebuah VLAN identik dengan sebuah broadcast domain.
4.       Sebuah VLAN identik dengan sebuah subnet dan menggunakan IP subnet yang sama. Berbeda VLAN akan berbeda IP subnet-nya juga.

5.       Switch Layer 2 hanya dapat men-forward frame pada VLAN yang sama, dan tidak dapat men-forward frame antar-VLAN

6.       Multilayer switch, switch layer 3, dan router dapar men-forward frame antar-VLAN

7.       Pada saat membangun VLAN yang melibatkan beberapa buah switch, diperlukan VLAN trunking untuk menghubungkan antar-switch

8.       VLAN trunking akan menandai (tag) setiap frame, sehingga switch lain dapat mengetahui frame tersebut milik VLAN yang mana

3. MEMBANGUN VLAN

A. PERENCANAAN
Keputusan membuat VLAN bergantung beberapa kondisi, seperti:
·         Network memiliki lebih dari 200 buah perangkat

·         Traffic broadcast dirasakan sudah cukup mengganggu

·         Adanya peningkatan kebutuhan security untuk masing-masing group user

·         Adanya penggunaan aplikasi yang harus berada pada sebuah broadcast domain

Keputusan membuat VLAN dapat dipengaruhi oleh beberapa faktor. Seperti kebijakan, pengalaman sebelumnya, lokasi, kebutuhan teknis, dan sebagainya. Kita sudah pernah membahasnya bahwa ada dua cara membuat VLAN, yaitu :

End-to-end VLAN
·         Anggota VLAN tidak bergantung pada  lokasi
·         Jika user pindah ke lokasi lain maka keanggotaannya akan tetap sama

Local VLAN
·         Anggota VLAN bergantung pada lokasi
·         Jika user pindah ke lokasi lain maka keanggotaanya akan ikut berubah

Sebelum membangun VLAN, beberapa hal berikut ini perlu direncanakan :
·         Penomoran VLAN, penamaan, dan skema IP address

·         Penempatan VLAN (lokal atau multiple switch)

·         Perlu trunk link atau tidak, dan di bagian mana trunk akan dibuat

·         Menentukan parameter VTP

·         Pengujian dan verifikasi


Untuk memudahkan memahami VLAN, kita akan membuat beberapa topologi sederhana berikut ini.
b. Topologi VLAN 1 (tanpa Trunk Link)
pada topologi yang pertama, akan dibuat 3 buah VLAN untuk PT EddyWira yang terdiri atas 3 buah divisi, yaitu divisi Marketing, Keuangan, dan Produksi. Setiap divisi memiliki 2 buah anggota. Keanggotaannya ditentukan secara statik atau lokal. Setiap anggota VLAN sudah ditentukan port-nya secara fix dan switch berada di lokasi yang sama dengan setiap host.

Setiap VLAN akan diberi nama sesuai dengan divisinya masing-masing. Perhatikan keterangan pada tabel. Kita boleh memilih switch seri apa pun, yang penting sudah mendukung VLAN.


Diposting oleh di
Label:

1 komentar:

Langganan: Posting Komentar (Atom)