Produk switch MikroTik memiliki salah satu fitur yang memiliki fungsi keamanan yaitu port isolation. Fitur ini terdapat pada semua seri dari produk switch MikroTik yang ada baik CSS Series, CRS 1xx/2xx Series dan CRS 3xx Series. Namun dari semua seri tersebut terdapat perbedaan dari cara konfigurasinya port isolation.
Untuk contoh konfigurasi port isolation dari CSS Series bisa diliohat pada artikel sebelumnya disini. Sedangkan untuk CRS 1xx/2xx Series bisa dilihat pada artikel disini.
Dan kali ini kita akan mencoba membahas konfigurasi port isolatioan pada CRS 3xx Series. Fitur port isolation sendiri ditambahkan pada semua switch chip mulai versi ROS 6.43. Pada port isolation di seri CRS 3xx secara umum dibagi menjadi dua skenario, diantaranya Private VLAN (Port Level Isolation) dan Isolated Switch Groups.
Private VLAN
Pada metode ini kita bisa melakukan isolasi pada setiap port di perangkat switch.
Dengan kata lain kita bisa membatasi komunikasi antar end-device (Laptop/PC) yang
melalui switch. Sehingga nantinya komunikasi yang bisa dilakukan hanya koneksi
ke uplink/WAN saja.
Langkah-langkah konfigurasi seperti berikut:
- Pertama kita akan setting dan memastikan setiap interface dari perangkat CRS masuk kedalam mode bridge dengan indikator/flag "S".
/interface bridge add name=bridge1 /interface bridge port add interface=ether1 bridge=bridge1 hw=yes add interface=ether2 bridge=bridge1 hw=yes add interface=ether3 bridge=bridge1 hw=yes add interface=ether4 bridge=bridge1 hw=yes
- Selanjutnya kita masuk ke menu 'Switch -> Port-Isolation' untuk melakukan konfigurasi port-port yang akan dilakukan isolasi trafiknya. Untuk melakukan hal ini cukup setting pada parameter 'forwarding-override' pada masing-masing port ethernet.
/interface ethernet switch port-isolation set ether2 forwarding-override=ether1 set ether3 forwarding-override=ether1 set ether4 forwarding-override=ether1
Dengan konfigurasi tersebut trafik dari port ethernet hanya bisa dilakukan untuk trafik yang melewati port sesuai dengan yang ditentukan di parameter 'forwarding-override' tersebut.
Isolated Switch Group
Pada skenario kedua ini kita bisa konfigurasi port isolation dengan membuat sebuah group. Dengan kata lain komunikasi perangkat-perangkat yang ada hanya bisa dilakukan dalam satu group itu saja. Jika berbeda group atau interface ethernetnya tidak masuk dalam group yang sama maka komunikasi tidak bisa dilakukan.
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes add bridge=bridge1 interface=ether4 hw=yes add bridge=bridge1 interface=ether5 hw=yes add bridge=bridge1 interface=ether6 hw=yes add bridge=bridge1 interface=ether7 hw=yes
/interface ethernet switch port-isolation set ether2 forwarding-override=ether3,ether4 set ether3 forwarding-override=ether2,ether4 set ether4 forwarding-override=ether2,ether3
/interface ethernet switch port-isolation set ether5 forwarding-override=ether6,ether7 set ether6 forwarding-override=ether5,ether7 set ether7 forwarding-override=ether5,ether6
Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan