Konfigurasi Cisco
Ikhtisar
Salah satu area yang menjadi perhatian khusus dalam manajemen informasi informasi adalah melindungi keamanan bangunan fisik dan lingkungan dimana salah satunya adalah ruangan tempat diletakkannya jaringan router (umumnya Cisco router) untuk business anda. Disamping mengamankan fisik router itu sendiri, router juga perlu diproteksi dengan melakukan konfigurasi Cisco router yang salah satunya adalah memberikan password.
Proteksi password
Salah satu tugas dasar dalam melakukan konfigurasi adalah membatasi akses kepada system router itu sendiri meliputi enable dan enable secret password, dan tidak lupa juga memberikan pesan MOTD dan lain2, sebelum membuat suatu rule base security dengan konfigurasi access-list yang aman.
Enable dan enable secret
Konfigurasi cisco router untuk membatasi akses system dengan password ada dua jenis yaitu “enable” dan “enable secret” passwords. Anda harus melindungi password ini dengan aman untuk melindungi serangan intruders.
Password dipakai untuk mengendalikan access ke modus privileged EXECPassword enable disimpan dalam clear text (tidak di inkripsi), password bisa dilihat jika mereview konfigurasi Cisco router dengan command show runPassword enable secret di inkripsi, jika dijalankan command show run akan kelihatan bahwa password tersebut tidak dalam clear text, akan tetapi di inkripsiJika ada password enable secret pada konfigurasi Cisco router tersebut, maka cisco router ajan menggunakan enable secretKedua password enabe dan enable secret haruslah berbeda demi keamanan.
Bagaimana cara melakukan konfigurasi cisco router untuk mensetup password?
Setting password cisco router
Untuk melakukan setting gunakanRouter (config)# enable password <router_password>Untuk setting enable secret password gunakan:Router (config)# enable secret <your_router_password>
Setting password VTY line
Konfigurasi Cisco router dengan membatasi akses system juga bisa menggunakan control password pada line console dan koneksi virtual terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi Telnet.
Beralih ke konfigurasi line mode untuk consoleRouter (config)# line conBeralih ke konfigurasi line mode untuk virtual terminalRouter (config)# line vtyUntuk set passwordRouter (config-line)# passwordUntuk meng-enable terminal dan juga perlunya password gunakanRouter (config-line)# login
Contoh:
Berikut ini memberikan password “cracker” pada console dan enable password
Router (config)# line con 0
Router (config-line)# password cracker
Router (config-line)# login
Command berikut mensetting password “cracker” untuk semua koneksi VTY pada router Cisco dan juga enable password
Router (config)# line vty 0 4
Router (config-line)# password cracker
Router (config-line)# login
Konfigurasi Banner
Adakalanya kita memerlukan pesan legal kepada router saat seseorang logon kepada system router dengan menggunakan command banner. Ada empat macam tampilan banner yang bisa digunakan saat login dan rangkaian startup.
MOTD (message of the day) – akan menampilkan pesan banner MOTD segera sesaat koneksi terbentuk kepada router ciscoLogin – akan tampil setelah pesan banner MOTD dan sebelum promp LoginEXEC – pesan yang ditampilkan sesaat user berhasil loginIncoming – menampilkan saat sesi reverse telnetUntuk konfigurasi Cisco router menampilkan pesan MOTDRouter (config)# banner motdUntuk setup banner LoginRouter (config)# banner loginUntuk setup banner EXECRouter (config)# banner exec
Mengikuti command banner, gunakan character delimiter. Buka dan tutup dengan text delimiter agar Cisco router bisa meng-identifikasi awal dan akhir dari pesan banner.
Misalkan:
Command berikut mensetup banner MOTD, Login, dan EXEC menggunakan text delimiter “#” dan menyisipkan line baru antar pesan banner
Router (config)# banner motd # ini adalah pesan Meesae-of-the-Day!#
Router (config)# banner login # <cr>
This is the login banner! #
Router (config)# banner exec # <cr>
This is the Exec banner!#
Apapun yang diketik akan dianggap bagian dari banner sampai anda menutupnya dengan text delimiter (misal #). Hal ini termasuk karakter2 lain seperti ganti baris, spasi, dan sebaginya. Makanya jika anda membuat banner maka definisikan text delimiter yang akan dipakai, yang merupakan symbol start dan finish dalam pesan banner yang tidak akan tampil pada pesan banner tersebut. Delimiter karakter ini memberitahukan kepada router bahwa text banner selesai. Banner akan tampil pada screen persis seperti yang anda ketik pada konfigurasi Cisco router anda.
Untuk menghapus apapun yang anda ketik dalam konfigurasi Cisco router, awali dengan karakter “no”. misalkan jika untuk konfigrasi cisco “banner motd “ini contoh banner” yang diset untuk banner MOTD, maka untuk menhapusnya gunakan command sisipan no, “no banner motd”.
Memberikan password kepada suatu system haruslah kuat agar tidak gampang ditebak. Lihat juga Petunjuk keamanan dalam hal password di artikel sebelumnya.
Enable IP Interface
Konfigurasi Cisco router berikutnya mengenai Interface IP. Secara default router Cisco port console adalah sudah enable. Anda perlu melakukan konfigurasi untuk port interface WAN (untuk komunikasi WAN link misal untukframe relay, atau PPTP, dan ISDN) dan LAN sebelum router tersebut bisa digunakan untuk berkomunikasi. Konfigurasi Cisco router paling dasar adalah memberikan IP address kepada interface dan mengaktifkannya.
Catatan: IP dan IP routing sudah enable by default, akan tetapi anda harus melakukan konfigurasi interface dengan sebuah IP address sebelum bisa melakukan koneksi lewat terminal virtual.
Untuk melakukan konfigurasi IP address cisco router pada interface lakukan step berikut:
Masuk ke mode global configuration dengan mengetikkan command “config t” dari EXEC modePindah ke mode interface configuration yang dimaksudkan, misal “int s0” masuk ke interface serial #0 (pertama)Gunakan command untuk melakukan perubahan seperlunyaExit dari privilege mode dan save perubahan anda
Setting IP address
Lakukan langkah berikut untuk melakukan konfigurasi IP address Cisco router
Set IP address pada interfaceRouter (config-if)#ip address <ip address> <subnet mask>Kemudian aktifkan interface tersebutRouter (config-if)# no shutdownUntuk melihat konfigurasi IP address pada interface gunakanRouter (config)#show interfaces
Atau:
Router (config)#show protocols
Atau:
Router (config)#show ip interfaces
Contoh berikut adalah konfigurasi cisco router untuk setting IP address 192.168.200.101 pada interface Ethernet pertama (e0) dan mengaktifkannya:
Router (config)#int e0
Router (config-if)#ip address 192.168.200.101 255.255.255.0
Router (config-if)#no shutdown
Untuk memberikan identifikasi pada router gunakan hostname pada EXEC mode:
Router (config)# hostname cv-sysneta
Dan juga bisa mengunakan command description untuk mensetup keterangan pada interface misal:
Router (config)# config t
Router (config)# hostname cv-sysneta
Router (config)#int s0
Router (config-if)#description cv-sysneta koneksi ke router ITS serial line pertama
Perhatikan bahwa saat masuk mode configuration interface, maka ada perubahan prompt (Router (config-if)#)
Status interface Router Cisco
Status interface menunjukkan apakah link secara hardware kepada jaringan sudah berfungsi atau belum untuk menunjukkan kesiapan berkomunikasi dengan piranti lainnya. Saat anda melakukan troubleshooting router, status interface ini sangat membantu sekali.
Ada dua macam status interface:
Line status, menunjukkan apakah link hardware ke jaringan sudah berfungsi atau belum. Status ini berhubungan dengan layer Physical pada model OSILine protocol (link) status, menunjukkan status apakah kebutuhan software untuk berkomunikasi sudah berfungsi sempurna atau belum. Hal ini berhubungan dengan layer OSI Data Link
Status line interface ini memudahkan kita melakukan troubleshooting masalah koneksi router apakah link antara router ke jaringan bisa operasional.
StatusMenunjukkanAdministratively down, line protocol downInterface ini shut down (dengan command shutdown)Down, line protocol downAda masalah dengan hardware atau masalah koneksi (layer Physical)
Tidak mendeteksi signal carrier
Up, line protocol is downMasalah koneksi dan komunikasi (pada layer Data Link)
No keepalives
Up, line protocol is upLink ini berfungsi sempurna
Konfigurasi Back-to-Back koneksi Serial
Saat anda melakukan konfigurasi Cisco router agar terhubung kepada jaringan melalui suatu interface serial, router harus terhubung ke suatu piranti (seperti CSU/DSU atau router lain) yang memberikan signal Clock. Jika anda melakukan konfigurasi router back-to-back melalui serial interface masing2, maka salah satu router tersebut harus berfungsi sebagai pemasok signal Clock. Router yang berfungsi sebagai pemasok clock disebut DCE (Data Circuit-terminating equipment). Router satunya yang menerima signal Clock disebut sebagai DTE (Data terminal equipment).
Interface DCE bisa diidentifikasikan dengan dua cara berikut ini:
Cable yang menghubungkan kedua router mempunyai kedua ujung DCE dan DTE. Hubungkan ujung DCE kepada interface router yang ingin dijadikan sebagai piranti DCE.Interface DCE di konfigurasikan agar bisa memberikan signal clock dengan command “clock rate”. Jika command “clock rate” tidak dilakukan maka tidak ada signal clocking dan line kedua router tidak akan berubah menjadi status Up.
Konfigurasi Cisco router dengan Setup mode
Jika router Cisco anda baru dibeli dari pabrik, dia tidak mempunyai file startup-config. Makanya saat booting ia akan segera masuk ke setup mode. Setup mode merupakan rutin panduan yang menanyakan serangkaian pertanyaan dan menggunakan respon anda sebagai masukan dasar konfigurasi Cisco router anda.
Ada dua cara untuk masuk kepada mode Setup ini:
Booting router tanpa file startup-config. Hal ini bisa terjadi jika anda menghapus file startup-config yang sekarang atau jika anda boot dari router baru dibeli.Anda menggunakan command setupdari mode privileged
Cisco Discovery Protocol (CDP)
Cisco Discovery Protocol (CDP) adalah protocol khusus Cisco yang dijalankan pada router Cisco, access server, dan switch. CDP berjalan pada layer Data Link. Router menggunakan broadcast data link untuk saling bertukar informasi satu sama lain, dan menyimpan dalam cache.
Command CDP memungkinkan anda melihat interface dan setting konfigurasi CDP pada router, dan untuk mendapatkan informasi tentang router yang terhubung langsung dengan jaringan. Jika CDP menyadari keberadaan router lainnya, anda bisa menggunakan nya untuk:
Set update, hold time, dan frequency dari broadcasts CDPDisplay CDP, protocol, dan informasi interfaceMenampilkan informasi CDP yang diterima dari router lainMenampilkan CDP routers disekitarnyaMenampilkan traffic CDP pada jaringan
Catatan: CDP dapat informasi hanya tentang router yang terhubung langsung dengannya. Untuk menampilkan informasi CDP dari remote router, anda harus melakukan koneksi virtual VTP kepada router yang terhubung langsung dengannya.
Berikut adalah beberapa command CDP
GunakanUntukRouter (config)# cdpModifikasi setting cdp pada routerRouter (config)# cdp holdtimeSpesifikasikan waktu didalam paket masih valid (defaultnya = 180 detik)Router (config)# cdp timerSpesifikasikan seberapa sering paket CDP bertukaran (default = 60 detik)Router (config)# cdp runEnable protocol CDP pada interfaceRouter (config)# no cdp runDisable CDP pada router, untuk menjaga router lain bertukar paket CDPRouter (config-if)# cdp enableMengaktifkan CDP pada interfaceRouter (config-if)# no cdp enableMematikan CDP pada interfaceShow cdpMelihat informasi CDP (gunakan pada mode privilege EXECShow cdp entryMenunjukkan informasi tentang suatu interface tetangga tertentuShow cdp interfaceMenunjukkan tentang informasi tetangga yang diakses melalui suatu interfaceShow cdp neighborsMenjukkan tentang informasi semua piranti Cisco tetanggaShow cdp trafficMenunjukkan tentang informasi pertukaran paket CDP
Semoga bermanfa’at.....