hmm.. sekian lama dah ga update ini blog, akhirnya niat gw untuk update muncul lagi :P
ok deh langsung aj, tapi kali ini bukan tentang curhat mencurhat, tapi gw pengen share sedikit ilmu yang gw dapet :) yaitu tentang proxy arp
ok guys, lanjut ke TKP...
Topology
Gedung abc memiliki 4 lantai, dan masing-masing switch di lantai tersebut access vlan 60 yang ada di distribution switch di gedung tersebut.
Switch(config)#int vlan 60
Switch(config-if)#ip add
Switch(config-if)#ip add 10.10.0.254 255.255.0.0
Switch(config-if)#no shut
Switch(config)#int range gigabitethernet 0/1 - 4
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 61
note : ip interface vlan 60 di atas menggunakan ip address kelas C
Apabila terjadi broadcast di gedung abc, maka semua lantai di gedung tersebut akan mengalaminya. Dengan alasan itulah maka dibuat vlan perlantai.
contoh config:
lantai 1 : 10.10.1.254
lantai 2 : 10.10.2.254
lantai 3 : 10.10.3.254
lantai 4 : 10.10.4.254
untuk config di distribution swithcnya (misal cisco 3750)
untuk lantai 1
Switch(config)#int vlan 61
Switch(config-if)#ip add
Switch(config-if)#ip add 10.10.1.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#int gigabitethernet 0/1
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 61
untuk lantai 2
Switch(config)#int vlan 62
Switch(config-if)#ip add
Switch(config-if)#ip add 10.10.2.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#int gigabitethernet 0/2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 62
untuk lantai-lantai selanjutnya mengikuti dari command-command yang ada di atas, hanya saja ubah ip address dan penamaan vlan-nya.
untuk config pada access swtichnya (misal cisco 2950)
untuk lantai 1
Switch1(config)#int vlan 61
Switch1(config-if)#ip add
Switch1(config-if)#ip add 10.10.1.253 255.255.255.0
Switch1(config-if)#no shut
Switch1(config-if)#exit
Switch1(config)#int range fastEthernet 0/1 - 24
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access vlan 61
Switch(config)#ip default-gateway 10.6.1.254
untuk lantai 2
Switch2(config)#int vlan 62
Switch2(config-if)#ip add
Switch2(config-if)#ip add 10.10.2.253 255.255.255.0
Switch2(config-if)#no shut
Switch2(config-if)#exit
Switch2(config)#int range fastEthernet 0/1 - 24
Switch2(config-if-range)#switchport mode access
Switch2(config-if-range)#switchport access vlan 62
Switch2(config-if-range)#exit
Switch2(config)#ip default-gateway 10.6.1.254
Setelah semua di setting seperti diatas, saya coba test di lantai 1 dan ternyata saat menggunakan ip vlan 61 (10.10.1.2 - 252) dan masih menggunakan gateway yang lama yaitu 10.10.0.254, saya masih bisa ping ke ip segment lain, misal ke segment ip lantai 2.
Dengan kondisi seperti ini sebenernya untuk segmentasi broadcast per lantai sudah berhasil, dari sisi security masih terbilang kurang.
Untuk solusinya kita disable proxy arp di masing-masing interface vlan pada distribution swtich.
list command :
Switch2(config)#int vlan 61
Switch2(config-if)#no ip proxy-arp
Switch2(config-if)#int vlan 62
Switch2(config-if)#no ip proxy-arp
Switch2(config-if)#int vlan 63
Switch2(config-if)#no ip proxy-arp
Switch2(config-if)#int vlan 64
Switch2(config-if)#no ip proxy-arp
Switch2(config-if)#exit
Switch2(config-if)#int vlan 62
Switch2(config)#
Dengan command di atas, maka apabila kita menggunakan gateway yang lama atau gateway sembarang, maka sudah tidak bisa lagi ping ke lain segment.
Untuk lebih jelas membahas proxy arp, bisa diliat di link di bawah ini :)
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml
regards
Kamis, 10 September 2009
Proxy ARP
Langganan:
Posting Komentar (Atom)
.jpg)
0 komentar:
Posting Komentar