by: CITRAWEB SOLUSI TEKNOLOGI, PT
Aturan | Tentang Kami | Kontak Kami

Artikel

Port Isolation CRS 3xx Series

Jum'at, 18 Juni 2021, 10:36:00 WIB
Kategori: Fitur & Penggunaan

Produk switch MikroTik memiliki salah satu fitur yang memiliki fungsi keamanan yaitu port isolation. Fitur ini terdapat pada semua seri dari produk switch MikroTik yang ada baik CSS Series, CRS 1xx/2xx Series dan CRS 3xx Series. Namun dari semua seri tersebut terdapat perbedaan dari cara konfigurasinya port isolation.

Untuk contoh konfigurasi port isolation dari CSS Series bisa diliohat pada artikel sebelumnya disini. Sedangkan untuk CRS 1xx/2xx Series bisa dilihat pada artikel disini.

Dan kali ini kita akan mencoba membahas konfigurasi port isolatioan pada CRS 3xx Series. Fitur port isolation sendiri ditambahkan pada semua switch chip mulai versi ROS 6.43. Pada port isolation di seri CRS 3xx secara umum dibagi menjadi dua skenario, diantaranya Private VLAN (Port Level Isolation) dan Isolated Switch Groups.

Private VLAN

Pada metode ini kita bisa melakukan isolasi pada setiap port di perangkat switch. Dengan kata lain kita bisa membatasi komunikasi antar end-device (Laptop/PC) yang melalui switch. Sehingga nantinya komunikasi yang bisa dilakukan hanya koneksi ke uplink/WAN saja.


 


Langkah-langkah konfigurasi seperti berikut:

- Pertama kita akan setting dan memastikan setiap interface dari perangkat CRS masuk kedalam mode bridge dengan indikator/flag "S".

/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1 hw=yes
add interface=ether2 bridge=bridge1 hw=yes
add interface=ether3 bridge=bridge1 hw=yes
add interface=ether4 bridge=bridge1 hw=yes


- Selanjutnya kita masuk ke menu 'Switch -> Port-Isolation' untuk melakukan konfigurasi port-port yang akan dilakukan isolasi trafiknya. Untuk melakukan hal ini cukup setting pada parameter 'forwarding-override' pada masing-masing port ethernet.

/interface ethernet switch port-isolation
set ether2 forwarding-override=ether1
set ether3 forwarding-override=ether1
set ether4 forwarding-override=ether1


Dengan konfigurasi tersebut trafik dari port ethernet hanya bisa dilakukan untuk trafik yang melewati port sesuai dengan yang ditentukan di parameter 'forwarding-override' tersebut.

Isolated Switch Group

Pada skenario kedua ini kita bisa konfigurasi port isolation dengan membuat sebuah group. Dengan kata lain komunikasi perangkat-perangkat yang ada hanya bisa dilakukan dalam satu group itu saja. Jika berbeda group atau interface ethernetnya tidak masuk dalam group yang sama maka komunikasi tidak bisa dilakukan.



Langkah-langkah konfigurasinya sebagai berikut:

- Pertama, seperti pada konfiurasi diatas, kita setting dan pastikan setiap interface dari perangkat switch CRS sudah masuk ke mode bridge. Atau pada menu interface terlihat indikator/flag "S" di masing-masing interfacenya.
Sebagai contoh kita akan buat koneksi pada ether2-ether7 yang mana nanti dari ether tersebut kita bagi menjadi dua group.

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
- Selanjutnya, kita juga atur pada menu 'Switch -> Port-Isolation'. Pada pengaturan ini kita akan membaga komunikasi antar port nya sesuai dengan group yang ada.
Untuk group yang pertama (Group 1), seperti di topologi komunikasi dapat dilakukan antara ether2, ether3, ether4.
/interface ethernet switch port-isolation
set ether2 forwarding-override=ether3,ether4
set ether3 forwarding-override=ether2,ether4
set ether4 forwarding-override=ether2,ether3

Sedangkan untuk group yang kedua (Group 2), komunikasi hanya dapat dilakukan antara ether5, ether6, ether7.
/interface ethernet switch port-isolation
set ether5 forwarding-override=ether6,ether7
set ether6 forwarding-override=ether5,ether7
set ether7 forwarding-override=ether5,ether6


Dari langkah-langkah konfigurasi port isolation pada CRS3XX series diatas, bisa dikembangkan sesuai dengan kebutuhan jaringan yang ada di lapangan.

Artikel dibuat pada 17 Juni 2021, oleh Sulih Tiyo Adi (TSO)



Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan