Konfigurasi Cisco
Ikhtisar
Salah satu area yang menjadi perhatian khusus dalam manajemen informasi informasi adalah melindungi keamanan bangunan fisik dan lingkungan dimana salah satunya adalah ruangan tempat diletakkannya jaringan router (umumnya Cisco router) untuk business anda. Disamping mengamankan fisik router itu sendiri, router juga perlu diproteksi dengan melakukan konfigurasi Cisco router yang salah satunya adalah memberikan password.
Proteksi password
Salah satu tugas dasar dalam melakukan konfigurasi adalah membatasi akses kepada system router itu sendiri meliputi enable dan enable secret password, dan tidak lupa juga memberikan pesan MOTD dan lain2, sebelum membuat suatu rule base security dengan konfigurasi access-listyang aman.
Enable dan enable secret
Konfigurasi cisco router untuk membatasi akses system dengan password ada dua jenis yaitu “enable” dan “enable secret” passwords. Anda harus melindungi password ini dengan aman untuk melindungi serangan intruders.
- Password dipakai untuk mengendalikan access ke modus privileged EXEC
- Password enable disimpan dalam clear text (tidak di inkripsi), password bisa dilihat jika mereview konfigurasi Cisco router dengan command show run
- Password enable secret di inkripsi, jika dijalankan command show run akan kelihatan bahwa password tersebut tidak dalam clear text, akan tetapi di inkripsi
- Jika ada password enable secret pada konfigurasi Cisco router tersebut, maka cisco router ajan menggunakan enable secret
- Kedua password enabe dan enable secret haruslah berbeda demi keamanan.
Bagaimana cara melakukan konfigurasi cisco router untuk mensetup password?
Setting password cisco router
Untuk melakukan setting gunakan | Router (config)# enable password <router_password> |
Untuk setting enable secret password gunakan: | Router (config)# enable secret <your_router_password> |
Setting password VTY line
Konfigurasi Cisco router dengan membatasi akses system juga bisa menggunakan control password pada line console dan koneksi virtual terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi Telnet.
Beralih ke konfigurasi line mode untuk console | Router (config)# line con |
Beralih ke konfigurasi line mode untuk virtual terminal | Router (config)# line vty |
Untuk set password | Router (config-line)# password |
Untuk meng-enable terminal dan juga perlunya password gunakan | Router (config-line)# login |
Contoh:
Berikut ini memberikan password “cracker” pada console dan enable password
Router (config)# line con 0
Router (config-line)# password cracker
Router (config-line)# login
|
Command berikut mensetting password “cracker” untuk semua koneksi VTY pada router Cisco dan juga enable password
Router (config)# line vty 0 4
Router (config-line)# password cracker
Router (config-line)# login
|
Konfigurasi Banner
Adakalanya kita memerlukan pesan legal kepada router saat seseorang logon kepada system router dengan menggunakan command banner. Ada empat macam tampilan banner yang bisa digunakan saat login dan rangkaian startup.
- MOTD (message of the day) – akan menampilkan pesan banner MOTD segera sesaat koneksi terbentuk kepada router cisco
- Login – akan tampil setelah pesan banner MOTD dan sebelum promp Login
- EXEC – pesan yang ditampilkan sesaat user berhasil login
- Incoming – menampilkan saat sesi reverse telnet
Untuk konfigurasi Cisco router menampilkan pesan MOTD | Router (config)# banner motd |
Untuk setup banner Login | Router (config)# banner login |
Untuk setup banner EXEC | Router (config)# banner exec |
Mengikuti command banner, gunakan character delimiter. Buka dan tutup dengan text delimiter agar Cisco router bisa meng-identifikasi awal dan akhir dari pesan banner.
Misalkan:
Command berikut mensetup banner MOTD, Login, dan EXEC menggunakan text delimiter “#” dan menyisipkan line baru antar pesan banner
Router (config)# banner motd # ini adalah pesan Meesae-of-the-Day!#
Router (config)# banner login # <cr>
This is the login banner! #
Router (config)# banner exec # <cr>
This is the Exec banner!#
|
Apapun yang diketik akan dianggap bagian dari banner sampai anda menutupnya dengan text delimiter (misal #). Hal ini termasuk karakter2 lain seperti ganti baris, spasi, dan sebaginya. Makanya jika anda membuat banner maka definisikan text delimiter yang akan dipakai, yang merupakan symbol start dan finish dalam pesan banner yang tidak akan tampil pada pesan banner tersebut. Delimiter karakter ini memberitahukan kepada router bahwa text banner selesai. Banner akan tampil pada screen persis seperti yang anda ketik pada konfigurasi Cisco router anda.
Untuk menghapus apapun yang anda ketik dalam konfigurasi Cisco router, awali dengan karakter “no”. misalkan jika untuk konfigrasi cisco “banner motd “ini contoh banner” yang diset untuk banner MOTD, maka untuk menhapusnya gunakan command sisipan no, “no banner motd”.
Memberikan password kepada suatu system haruslah kuat agar tidak gampang ditebak. Lihat juga Petunjuk keamanan dalam hal password di artikel sebelumnya.
Enable IP Interface
Konfigurasi Cisco router berikutnya mengenai Interface IP. Secara default router Cisco port console adalah sudah enable. Anda perlu melakukan konfigurasi untuk port interface WAN (untuk komunikasi WAN link misal untuk frame relay, atau PPTP, dan ISDN) dan LAN sebelum router tersebut bisa digunakan untuk berkomunikasi. Konfigurasi Cisco router paling dasar adalah memberikan IP address kepada interface dan mengaktifkannya.
Catatan: IP dan IP routing sudah enable by default, akan tetapi anda harus melakukan konfigurasi interface dengan sebuah IP address sebelum bisa melakukan koneksi lewat terminal virtual.
Untuk melakukan konfigurasi IP address cisco router pada interface lakukan step berikut:
- Masuk ke mode global configuration dengan mengetikkan command “config t” dari EXEC mode
- Pindah ke mode interface configuration yang dimaksudkan, misal “int s0” masuk ke interface serial #0 (pertama)
- Gunakan command untuk melakukan perubahan seperlunya
- Exit dari privilege mode dan save perubahan anda
Setting IP address
Lakukan langkah berikut untuk melakukan konfigurasi IP address Cisco router
Set IP address pada interface | Router (config-if)#ip address <ip address> <subnet mask> |
Kemudian aktifkan interface tersebut | Router (config-if)# no shutdown |
Untuk melihat konfigurasi IP address pada interface gunakan | Router (config)#show interfaces
Atau:
Router (config)#show protocols
Atau:
Router (config)#show ip interfaces
|
Contoh berikut adalah konfigurasi cisco router untuk setting IP address 192.168.200.101 pada interface Ethernet pertama (e0) dan mengaktifkannya:
Router (config)#int e0
Router (config-if)#ip address 192.168.200.101 255.255.255.0
Router (config-if)#no shutdown
Untuk memberikan identifikasi pada router gunakan hostname pada EXEC mode:
Router (config)# hostname Sysneta
Dan juga bisa mengunakan command description untuk mensetup keterangan pada interface misal:
Router (config)# config t
Router (config)# hostname Sysneta
Router (config)#int s0
Router (config-if)#description Sysneta koneksi ke router ITS serial line pertama
Perhatikan bahwa saat masuk mode configuration interface, maka ada perubahan prompt (Router (config-if)#)
Status interface Router Cisco
Status interface menunjukkan apakah link secara hardware kepada jaringan sudah berfungsi atau belum untuk menunjukkan kesiapan berkomunikasi dengan piranti lainnya. Saat anda melakukan troubleshooting router, status interface ini sangat membantu sekali.
Ada dua macam status interface:
- Line status, menunjukkan apakah link hardware ke jaringan sudah berfungsi atau belum. Status ini berhubungan dengan layer Physical pada model OSI
- Line protocol (link) status, menunjukkan status apakah kebutuhan software untuk berkomunikasi sudah berfungsi sempurna atau belum. Hal ini berhubungan dengan layer OSI Data Link
Status line interface ini memudahkan kita melakukan troubleshooting masalah koneksi router apakah link antara router ke jaringan bisa operasional.
Status | Menunjukkan |
Administratively down, line protocol down | Interface ini shut down (dengan command shutdown) |
Down, line protocol down | Ada masalah dengan hardware atau masalah koneksi (layer Physical)
Tidak mendeteksi signal carrier
|
Up, line protocol is down | Masalah koneksi dan komunikasi (pada layer Data Link)
No keepalives
|
Up, line protocol is up | Link ini berfungsi sempurna |
Konfigurasi Back-to-Back koneksi Serial
Saat anda melakukan konfigurasi Cisco router agar terhubung kepada jaringan melalui suatu interface serial, router harus terhubung ke suatu piranti (seperti CSU/DSU atau router lain) yang memberikan signal Clock. Jika anda melakukan konfigurasi router back-to-back melalui serial interface masing2, maka salah satu router tersebut harus berfungsi sebagai pemasok signal Clock. Router yang berfungsi sebagai pemasok clock disebut DCE (Data Circuit-terminating equipment). Router satunya yang menerima signal Clock disebut sebagai DTE (Data terminal equipment).
Interface DCE bisa diidentifikasikan dengan dua cara berikut ini:
- Cable yang menghubungkan kedua router mempunyai kedua ujung DCE dan DTE. Hubungkan ujung DCE kepada interface router yang ingin dijadikan sebagai piranti DCE.
- Interface DCE di konfigurasikan agar bisa memberikan signal clock dengan command “clock rate”. Jika command “clock rate” tidak dilakukan maka tidak ada signal clocking dan line kedua router tidak akan berubah menjadi status Up.
Konfigurasi Cisco router dengan Setup mode
Jika router Cisco anda baru dibeli dari pabrik, dia tidak mempunyai file startup-config. Makanya saat booting ia akan segera masuk ke setup mode. Setup mode merupakan rutin panduan yang menanyakan serangkaian pertanyaan dan menggunakan respon anda sebagai masukan dasar konfigurasi Cisco router anda.
Ada dua cara untuk masuk kepada mode Setup ini:
- Booting router tanpa file startup-config. Hal ini bisa terjadi jika anda menghapus file startup-config yang sekarang atau jika anda boot dari router baru dibeli.
- Anda menggunakan command setup dari mode privileged
Cisco Discovery Protocol (CDP)
Cisco Discovery Protocol (CDP) adalah protocol khusus Cisco yang dijalankan pada router Cisco, access server, dan switch. CDP berjalan pada layer Data Link. Router menggunakan broadcast data link untuk saling bertukar informasi satu sama lain, dan menyimpan dalam cache.
Command CDP memungkinkan anda melihat interface dan setting konfigurasi CDP pada router, dan untuk mendapatkan informasi tentang router yang terhubung langsung dengan jaringan. Jika CDP menyadari keberadaan router lainnya, anda bisa menggunakan nya untuk:
- Set update, hold time, dan frequency dari broadcasts CDP
- Display CDP, protocol, dan informasi interface
- Menampilkan informasi CDP yang diterima dari router lain
- Menampilkan CDP routers disekitarnya
- Menampilkan traffic CDP pada jaringan
Catatan: CDP dapat informasi hanya tentang router yang terhubung langsung dengannya. Untuk menampilkan informasi CDP dari remote router, anda harus melakukan koneksi virtual VTP kepada router yang terhubung langsung dengannya.
Berikut adalah beberapa command CDP
Gunakan | Untuk |
Router (config)# cdp | Modifikasi setting cdp pada router |
Router (config)# cdp holdtime | Spesifikasikan waktu didalam paket masih valid (defaultnya = 180 detik) |
Router (config)# cdp timer | Spesifikasikan seberapa sering paket CDP bertukaran (default = 60 detik) |
Router (config)# cdp run | Enable protocol CDP pada interface |
Router (config)# no cdp run | Disable CDP pada router, untuk menjaga router lain bertukar paket CDP |
Router (config-if)# cdp enable | Mengaktifkan CDP pada interface |
Router (config-if)# no cdp enable | Mematikan CDP pada interface |
Show cdp | Melihat informasi CDP (gunakan pada mode privilege EXEC |
Show cdp entry | Menunjukkan informasi tentang suatu interface tetangga tertentu |
Show cdp interface | Menunjukkan tentang informasi tetangga yang diakses melalui suatu interface |
Show cdp neighbors | Menjukkan tentang informasi semua piranti Cisco tetangga |
Show cdp traffic | Menunjukkan tentang informasi pertukaran paket CDP |
0 comments:
Post a Comment