MAKALAH TUGAS AKHIR ADMINISTRASI JARINGAN RANGKUMAN MATERI SEMESTER GENAP 

Diajukan untuk memenuhi nilai mata pelajaran Administrasi Jaringan

OLEH NAMA NO. INDUK TINGKAT KOMPETENSI KEAHLIAN : TEZA RAHMATIANA : 111009423 : III (TIGA)

: TEKNIK KOMPUTER DAN JARINGAN

SEKOLAH MENENGAH KEJURUAN NEGERI 1 CIMAHI

CIMAHI 

KATA PENGANTAR 

Puji dan syukur kepada Allah SWT karena dengan rahmat dan karunia-Nya maka Makalah ini dapat diselesaikan dengan lancar tanpa ada masalah yang berarti. Tak lupa salawat serta salah selalu tercurah kepada Nabi Muhammad SAW, keluarga, para sahabat, dan umatnya sampai akhir zaman.

Ucapan terima kasih penulis ucapkan kepada kedua orang tua, saudara, dan keluarga besar yang selalu memberikan dukungan, semangat dan nasihat baik dari segi material maupun moril yang telah membuat pengerjaan makalah ini terasa lebih ringan.

Makalah ini ditujukan sebagai salah satu syarat terpenuhinya nilai tugas akhir pelajaran Administrasi Server di Sekolah Menengah Kejuruan Negeri 1 Cimahi serta sebagai bahan pertanggung jawaban tertulis mengenai rangkuman materi Administrasi Jaringan semester genap.

Selama proses pembuatan makalah ini, penulis mendapatkan banyak dukungan dari berbagai pihak sehingga makalah dengan judul “RANGKUMAN MATERI ADMINISTRASI JARINGAN SEMESTER GENAP” dapat diselesaikan tepat pada waktunya.

Oleh karena itu, ucapan terima kasih kepada seluruh pihak yang telah memberikan pendidikan dan bimbingannya diberikan kepada :

1. DODI PERMANA HIDAYAT, S.Pd., selaku Guru mata Pelajaran Administrasi .

2. ADI SETIADI, S.Pd., selaku Guru mata Pelajaran Administrasi Server.

3. ORANG TUA, yang senantiasa memberikan motivasi sehingga makalah ini dapat terselesaikan

4. TEMAN – TEMAN, yang telah membantu sehingga tugas ini dapat

Saya juga mengucapkan terima kasih kepada semua pihak yang terkait yang telah membantu saya dalam menyelesaikan makalah ini, yang tidak mungkin disebutkan satu persatu. Semoga bantuan yang telah mereka lakukan mendapat balasan dan kebaikan yang belipat ganda dari Allah SWT.

Akhir kata, semoga makalah ini bisa menambah ilmu pengetahuan dan menjadi manfaat bagi semua orang yang membacanya.

Cimahi, Juni 2014

DAFTAR ISI 

Kata Pengantar ... i

Daftar Isi ... iii

DAFTAR GAMBAR ... v

BAB 1 Pendahuluan ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Tujuan ... 1

1.3 Pembatasan Masalah ... 2

1.4 Sistematika Pembahasan ... 2

BAB 2 LANDASAN TEORI ... 3

2.1 Administrasi Jaringan ... 3

2.2 Jaringan Komputer ... 4

2.2.1 Klasifikasi Jaringan Komputer ... 6

BAB 3 PEMBAHASAN ... 8

3.1 RADIUS (Remote Access Dial In User Service) ... 8

3.1.1 AAA (Authentication, Authorization, Accounting) ... 8

3.1.2 Network Access Server (NAS) ... 9

3.1.3 Pengertian RADIUS ... 10

3.1.4 RFC 2865 ... 12

3.1.5 Struktur Paket Data Radius ... 14

3.1.6 Metode Free RADIUS ... 20

3.1.7 Jenis - Jenis ... 21

3.1.8 Instalasi Radius ... 22

3.1.9 Keamanan RADIUS Server ... 28

3.2 Proxy ... 30

3.2.1 Konsep Dasar Proxy ... 30

3.2.2 Fungsi Proxy ... 36

3.2.4 Squid Proxy ... 42

3.2.5 Proxy Server Level Circuit ... 44

3.3 Bandwith Management ... 45

3.3.1 Quality of Service ... 45

3.3.2 Teknik Antrian ... 49

3.3.3 Filtering ... 54

3.3.4 Klasifikasi Paket ... 55

3.4 Intrusion Detection System ... 60

3.4.1 Pendahuluan ... 60

3.4.2 Cara Kerja ... 60

3.4.3 Jenis - Jenis ... 62

3.4.4 Tipe – Tipe Penggunaan ... 62

3.4.5 Karakteristik ... 65

3.5 Network Monitoring ... 66

3.5.1 Pendahuluan ... 66

3.5.2 Protokol Jaringan SNMP ... 68

3.5.3 Tujuan Monitoring dan Testing Jaringan Komputer ... 70

BAB 4 PENUTUP ... 72

4.1 Kesimpulan ... 72

4.2 Saran ... 72

DAFTAR GAMBAR 

Gambar 3.1-1 Basic Architecture for NAS/RADIUS/AAA ... 10

Gambar 3.1-2 Proses Komunikasi pada RADIUS Server ... 13

Gambar 3.1-3 Struktur Packet Data Radius ... 15

Gambar 3.1-4 Mekanisme Autentikasi menggunakan RADIUS Server ... 18

Gambar 3.1-5 Pemfilteran Alamat MAC menggunakan RADIUS Server . 19 Gambar 3.2-1 Proxy Server & Gateway/Firewall ... 32

Gambar 3.2-2 Mekanisme Caching ... 39

Gambar 3.2-3 Design Cache 1 ... 39

Gambar 3.2-4 Design Cache 2 ... 40

Gambar 3.2-5 Cara Kerja Transparent Proxy ... 42

Gambar 3.3-1 Komputer dengan Satu Kartu Ethernet ... 46

Gambar 3.3-2 Komputer Linux sebagai Router/Gateway ... 47

Gambar 3.3-3 Struktur Kernel Traffic Control ... 47

Gambar 3.3-4 Queuing Discipline ... 49

Gambar 3.3-5 Antrian FIFO ... 50

Gambar 3.3-6 Prioritas Antrian ... 51

Gambar 3.3-7 Penjadwalan Round Robin ... 52

Gambar 3.3-8 Token Bucket Filter ... 53

Gambar 3.3-9 Antrian Ingress pada Komputer Gateway ... 54

Gambar 3.3-10 Packet Filtering ... 54

Gambar 3.5-1 Faktor-Faktor yang Menyebabkan Network Down ... 67

BAB 1 PENDAHULUAN 

1.1 Latar Belakang Masalah

Jaringan berkembang begitu pesat sejalan dengan perkembangan pola hidup manusia yang bertambah waktu demi waktu. Jaringan mendukung dan memberikan keterhubungan antara masing-masing lokasi walaupun dipisahkan dengan jarak yang jauh. Jaringan juga dibutuhkan bagi banyak elemen masyarakat, mulai dari pengguna jaringan Internet, perusahaan yang membutuhkan jaringan untuk keterhubungan antar kantor yang berbeda lokasi, hingga keperluan iptek. Berdasarkan hal-hal tersebut jaringan menjadi salah satu hal yang berkembang begitu pesat di dunia, terutama di Indonesia.

Jaringan pada sebuah perusahaan ataupun pada sebuah instansi pasti akan berkembang untuk memenuhi kebutuhan perusahaan hari demi hari. Hal ini mengakibatkan perusahaan harus mengikuti perkembangan teknologi. Oleh karena itu, peran Administrator sangat penting dalam Jaringan komunikasi.

1.2 Tujuan

Tujuan dari pembuatan makalah mengenai Rangkuman Materi Administrasi Jaringan Semester Genap ini adalah :

a. Untuk memenuhi nilai mata pelajaran Administrasi Jaringan, b. Untuk mengingat kembali materi Administrasi Jaringan yang telah

dipelajari pada semester genap,

c. Untuk membuat dokumentasi tentang praktikum apa saja yang telah dikerjakan pada mata pelajaran Administrasi Jaringan semester 2.

1.3 Pembatasan Masalah

Batasan masalah yang diambil penulis adalah hanya garis besar Materi Pelajaran Administrasi Jaringan semester 2 dengan batasan meliputi :

1. Materi yang disampaikan pada mata pelajaran Administrasi Jaringan semester 2 dan besifat teoritis.

1.4 Sistematika Pembahasan

Laporan ini terdiri atas beberapa bab. Pembagian ini dimaksudkan untuk memudahkan gambaran tentang isi laporan ini. Adapun sistematika pembahasan dari judul diatas adalah sebagai berikut:

BAB 1 PENDAHULUAN

Membahas tentang latar belakang, tujuan, Pembatasan Masalah, dan Sistematika Pembahasan.

BAB 2 LANDASAN TEORI

Landasan Teori mencakup materi–materi dasar yang melandasi masalah atau judul yang dibahas.

BAB 3 PEMBAHASAN

Pembahasan mencakup isi dari materi inti pembelajaran Administrasi Jaringan semester 2.

BAB 4 PENUTUP

Berisi kesimpulan dari pembahasan bab 3 serta saran – saran yang bersifat solusi.

BAB 2 LANDASAN TEORI 

2.1 Administrasi Jaringan

Administrator Jaringan Komputer adalah sebuah jenis pekerjaan yang banyak dibutuhkan saat ini terutama pada perusahaan/instansi yang telah mengimplementasikan teknologi komputer dan internet untuk menunjang pekerjaan.

Penggunaaan sistem jaringan komputer dalam sekala kecil maupun luas akan membutuhkan pengaturan-pengaturan mulai dari tingkat fisik maupun non fisik. Pengaturan-pengaturan tersebut melibatkan proses pengontrolan. Ada beberapa definisi mengenai administrasi jaringan ini antara lain :

1. controlling corporate strategic (assets) 2. controlling complekxity

3. improving service

4. balancing various needs 5. reducing downtime 6. controlling costs

Pada intinya network administrator bertugas mengelola serta menjaga seluruh sumber daya pada sistem jaringan agar kinerja jaringan lebih efektif dan efisien dilihat dari fungsi, struktur dan keamanan jaringan itu sendiri.

Fungsi dan Tugas Network Administrator

Ada beberapa fungsi dan kerja administrator, namun secara  garis besar dapat dinyatakan dari irisan antara network, hardware, dan application. Tugas dari administrator jaringan adalah:

Menitikberatkan kerja tentang masalah network

administrator yang mencakup hal-hal berikut: 1) Firewall

Sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalulintas yang dianggap tidak aman.

2) Username

Username akan digunakan sebagai informasi log in 3) Password Control

Pengendalian password yang dimiliki oleh sebuah

sistem.

4) Resource Access

Network administrator mampu melakukan pembatasan penggunaan sumber daya sesuai dengan hak akses yang diberikan.

2.2 Jaringan Komputer

Jaringan komputer merupakan sekumpulan komputer

berjumlah banyak yang terpisah-pisah akan tetapi saling berhubungan dalam melaksanakan tugasnya. Dua buah komputer misalnya dikatakan terkoneksi bila keduanya dapat saling bertukar informasi. Bentuk koneksi dapat melalui: kawat tembaga, serat optik, gelombang mikro, satelit komunikasi.

Dalam suatu jaringan komputer, pengguna harus secara eksplisit: 1. masuk atau log in ke sebuah mesin

2. menyampaikan tugas dari jauh 3. memindahkan file-file Jaringan komputer menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan bagi mereka. Tujuan jaringan komputer adalah untuk:

1. Resource sharing/berbagi sesumber

Seluruh program, peralatan dan data yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sesumber dan pemakai. Misalnya: Staff BIRO

Akademik mengirimkan daftar mahasiswa baru ke

perpustakaan dalam bentuk print out dengan langsung

mencetaknya di printer perpustakaan dari komputer di BIRO

akademik. Atau sebaliknya staff perpustakaan mendapatkan langsung file daftar mahasiswa baru yang disimpan di komputer staff BIRO akademik.

2. High reliability / kehandalan tinggi

Tersedianya sumber- sumber alternatif kapanpun diperlukan. Misalnya pada aplikasi perbankan atau militer, jika salah satu mesin tidak bekerja, kinerja organisasi tidak terganggu karena mesin lain mempunyai sumber yang sama.

3. Menghemat uang

Membangun jaringan dengan komputer-komputer kecil lebih murah dibandingkan dengan menggunakan mainframe. Data

disimpan di sebuah komputer yang bertindak sebagai server

dan komputer lain yang menggunakan data tersebut bertindak sebagai client. Bentuk ini disebut client-server.

4. Scalability / skalabilitas

Meningkatkan kinerja dengan menambahkan komputer server atau client dengan mudah tanpa mengganggu kinerja komputer server atau komputer client yang sudah ada lebih  dulu.

Memungkinkan kerjasama antar orang-orang yang saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun berkomunikasi.

6. Akses informasi luas

Dapat mengakses dan mendapatkan informasi dari jarak jauh 7. Komunikasi orang ke orang

Digunakan untuk berkomunikasi dari satu orang ke orang yang lain

8. Hiburan interaktif

Dalam pengenalan jaringan komputer, pembahasan dilihat dari dua aspek: perangkat keras dan perangkat lunak. Dalam perangkat keras pengenalan meliputi jenis transmisi, dan bentukbentuk jaringan komputer atau topologi. Sedangkan dalam pembahasan perangkat lunaknya akan meliputi susunan protokol dan perjalanan data dari satu komputer ke komputer lain dalam suatu jaringan.

2.2.1 Klasifikasi Jaringan Komputer

Berdasarkan jarak dan area kerjanya jaringan komputer dibedakan menjadi tiga kelompok, yaitu :

1. Local Area Network (LAN)

Local Area Network (LAN), merupakan jaringan milik pribadi di dalam sebuah gedung atau kampus yang berukuran sampai

beberapa kilometer. LAN seringkali digunakan untuk

menghubungkan komputer-komputer pribadi dan workstation

dalam kantor suatu perusahaan atau pabrik-pabrik untuk memakai bersama sumber daya (resource, misalnya printer) dan saling bertukar informasi.

2. Metropolitan Area Network (MAN)

Metropolitan Area Network (MAN), pada dasarnya merupakan  versi LAN yang berukuran lebih besar dan biasanya menggunakan teknologi yang sama dengan LAN. MAN dapat mencakup kantor-kantor perusahaan yang letaknya berdekatan atau juga sebuah kota dan dapat dimanfaatkan untuk keperluan pribadi (swasta) atau umum. MAN mampu menunjang data dan suara, bahkan dapat berhubungan dengan jaringan televisi kabel. 3. Wide Area Network (WAN)

Wide Area Network (WAN), jangkauannya mencakup daerah geografis yang luas, seringkali mencakup sebuah negara bahkan benua. WAN terdiri dari kumpulan mesin-mesin yang bertujuan untuk menjalankan program-program (aplikasi) pemakai.

BAB 3 PEMBAHASAN 

3.1 RADIUS (Remote Access Dial In User Service)

3.1.1 AAA (Authentication, Authorization, Accounting)

A. Authentication

 Mengacu pada konfirmasi bahwa pengguna yang meminta layanan adalah pengguna yang valid.

 Dilakukan melalui presentasi identitas dan kepercayaan.  Contoh surat-surat password, token satu kali, sertifikat digital,

dan nomor telepon (memanggil / dipanggil).

B. Authorization

 Mengacu pada pemberian jenis layanan tertentu (termasuk "tidak ada layanan") kepada pengguna, berdasarkan otentikasi mereka.

 Mungkin didasarkan pada pembatasan, misalnya pembatasan waktu-dari-hari, atau pembatasan lokasi fisik, atau pembatasan terhadap beberapa login oleh pengguna yang sama.

 Contoh layanan termasuk, namun tidak dibatas pada: alamat IP filtering, alamat tugas, tugas rute, enkripsi, layanan QoS /

diferensial, bandwidth management control / traffic

management.

C. Accounting

 Mengacu pada pelacakan konsumsi sumber daya jaringan oleh pengguna.

 Informasi khas yang dikumpulkan dalam akuntansi adalah identitas pengguna, sifat dari layanan yang disampaikan, ketika layanan dimulai, dan ketika itu berakhir.

 Bisa digunakan untuk manajemen, perencanaan, billing dll.

D. AAA Protocols

 Terminal Access Controller Access Control System (TACACS)

Protokol otentikasi remote yang digunakan untuk

berkomunikasi dengan sebuah server otentikasi yang umum digunakan dalam jaringan UNIX. TACACS memungkinkan akses remote server untuk berkomunikasi dengan server otentikasi dalam rangka untuk menentukan apakah pengguna memiliki akses ke jaringan. Daemon Unix adalah TACACSD dan berjalan pada port 49. Menggunakan TCP.

 TACACS+

Merupakan protokol yang menyediakan kontrol akses untuk router, server akses jaringan dan perangkat komputasi jaringan lain melalui satu atau lebih server terpusat. Menggunakan TCP dan menyediakan otentikasi, otorisasi dan akuntansi layanan yang terpisah. Port 49.

 RADIUS

Sebuah protokol AAA untuk aplikasi seperti Network Access atau IP Mobility. Kita akan melihat lebih banyak tentang RADIUS dalam bab-bab berikutnya.

 DIAMETER :

Diameter direncanakan menjadi pengganti RADIUS.

3.1.2 Network Access Server (NAS)

Network Access Server (NAS) adalah elemen layanan yang klien dial dalam rangka untuk mendapatkan akses ke jaringan.

Sebuah Network Access Server adalah perangkat yang biasanya

memiliki antarmuka baik untuk backbone dan ke telco (POTS atau ISDN) dan menerima panggilan dari host yang ingin mengakses backbone dengan layanan dialup. Sebuah NAS terletak pada titik penyedia internet itu hadir untuk memberikan pelanggan mereka akses internet.

Network Access Server adalah Sebuah titik akses ke suatu sumber daya Remote Access Server, karena memungkinkan akses remote ke jaringan. Titik awal masuk ke jaringan Gateway untuk menjaga akses ke sumber daya yang dilindungi

Beberapa contoh adalah:

 Internet Access Verifikasi menggunakan User ID dan Password  Menggunakan VoIP, FoIP, VMoIP membutuhkan Nomor Telepon

valid atau IP Address.

 Telepon Kartu Prabayar menggunakan Nomor Kartu Prabayar.

Gambar 3.1-1 Basic Architecture for NAS/RADIUS/AAA

3.1.3 Pengertian RADIUS

RADIUS adalah singkatan dari Remote Acces Dial In User

Service. RADIUS adalah sebuah bagian dari solusi AAA yang disampaikan oleh Livingston Enterprise kepada Merit Network pada

1991. Merit Network adalah sebuah ISP yang tidak mencari untuk memanage akses dial-in kepada berbagai macam

Points-Of-Presence (POPs) semua networknya.

Solusi yang diberikan oleh Livingston Enterprise mempunyai pusat penyimpanan user yang digunakan untuk autentikasi. Ini bisa digunakan oleh banyak server RAS (dial-in). Authorisasi dan Accounting juga bisa dilakukan dengan cara memenuhi persyaratan AAA. Aspek utama yang lain dari solusi Livingston memasukkan proxying untuk bisa melakukan scaling.

Protokol RADIUS lalu kemudian dipublikasikan pada tahun 1997 di RFC. Beberapa perubahan dilakukan, dan sekarang ini kita mempunyai RFC2865, yang mengkover tentang protokol RADIUS, dan RFC2866 yang mengkover tentang radius accounting. Dan juga ada beberapa RFC yang lain yang mengkover pembaruan didalam beberapa aspek RADIUS.

ISP dan network administrator pasti sudah mengenal RADIUS

semenjak ia banyak digunakan oleh berbagai macam device yang

mengkontrol akses network TCP/IP. Dibawah ini adalah contohnya :  Sebuah firewall dengan layanan VPN dapat menggunakan

RADIUS.

 WI-Fi dengan enkripsi WPA2-Enterprise menggunakan RADIUS.  Ketika pengguna berhubungan dengan infrastruktur telco yang

sudah ada menggunakan DSL. Peralatan telco akan

menggunakan radius untuk berhubungan dengan server ISP atau network provider untuk menentukan apakah ia mendapatkan akses internet melalui DSL(proxying).

Radius mempunyai 802.1x STANDAR IEEE, yang berguna untuk menghasilkan untuk menghasilkan kontrol akses, Konsep AAA (Autentikasi, authorization, and accounting) dan manajemen kunci untuk wireless LANs berbasis UDP Protocol. Tapi kelemahan RADIUS adalah lambat. Tidak ada keamanan jaringan yang benar-benar secure.

Apabila pelanggan konek ke suatu netwotk menggunakan wireless, maka RADIUS akan bekerja dengan metode 3 konsepnya tersebut. Dengan metode Autentikasi, yaitu memastikan apakah pelanggan tersebut benar telah terdaftar pada sebuah jaringan wireless tersebut, autentikasi merupakan keaslian, dapat melihat keaslian pelanggan dengan menggunakan user name dan password. RADIUS menggunakan RAS Secure ID untuk membuat autentikasi yang kuat dalam pengontrolan akses. Terdapat port di RADIUS autentikasi, yaitu port 1812. Terdapat vendor – vendor hardware dan software yang mengimplementasikan RADIUS sebagai solusi autentikasi user, jadi keaslian dalam suatu network dapat benar – benar terjaga apabila menggunakan RADIUS.

RADIUS juga meng-authorization, yaitu untuk mengetahui hak akses dia sebagai apa, apakah hanya sebagai pelanggan, administrator (yang bekerja untuk meng-insert, update, delete), atau sebagai pimpinan. Ini digunakan agar kemananan jaringan lebih terkontrol karena telah di bagi hak – haknya masing – masing. Konsep lainnya adalah accounting, accounting ini merupakan pendaftaran account, apakah pelanggan ini sah sebagai pelanggan atau tidak. RADIUS accounting menggunakan port 1813 namun ada juga vendor yang menggunakan port 1645/1646 (cisco) dan 1645/1646 (juniper).

3.1.4 RFC 2865 

Protokol RADIUS adalah protokol client / server. Yang dimana untuk berkomunikasi menggunakan UDP. Menggunakan UDP bukan TCP malah membuat komunikasi tidak ketat sesuai jalurnya. tipikalnya flowdata antara client dan server yaitu single request dari client dan diikuti single reply dari server. ini membuat protocol RADIUS sangat ringan dan membantu dengan keefesiennya melewati link jaringan.

Sebelum komunikasi yang sukses antara klien dan server dapat, masing-masing memiliki kode untuk mendefinisikan shared secret. Ini digunakan untuk otentikasi klien.

Gambar 3.1-2 Proses Komunikasi pada RADIUS Server

RADIUS packet mempunyai beberapa pengspesifikasian fomat di RFC. 2 komponen kunci didalam paket RADIUS adalah:

1. Code, mengindikasikan jenis paket.

2. Attributes, yang membawa data penting dari RADIUS.

RADIUS accounting server bekerja pada port 1813, saat user memulai session NAS dan mengirimkan accounting paket ke radius server. paket ini harus mempunyai AVPs tertentu. ini adalah paket pertama yang dikirimkan setelah authentikasi sukses. Server akan mengkonfirm reception dengan mengirimkan paket matching Accounting-Response.

Dengan melewati session NAS bisa menggunakan optional update reports dengan seperti berapa waktu yang digunakan user dan data usege yang digunakan user. Saat user mengakhiri session NAS akan menginformasikannya ke sever radius. nah ini yang disebut accounting detail saat user melakukan koneksi.

Fungsi Radius client membuat ketentuan, contohnya saat server radius down. radius client ini akan menentukan mecoba retry ke server radius, atau mencari server radius yang lain, ini tergantung dari konfigurasi yang diterapkan.

Saat RADIUS server berfungsi sebagai fordwarding proxy ke RADIUS server yang lain, ini akan membuat relay sebagai accounting data. ini juga bisa membuat record accounting data lokal sebelum forwarding itu dimulai.

3.1.5 Struktur Paket Data Radius

Radius mempunyai struktur paket data. Di sinilah tugas protocol RADIUS, Paket – paket data tersebut di encapsulation. Paket data tersebut terdiri dari 5 bagian dan memiliki pengertian masing – masing. Antara lain :

1. Code

Code digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Code memiliki panjang adalah satu octet. Kode-kode tersebut (dalam desimal) ialah:

 1 = Access-Request  2 = Access-Accept  3 = Access-Reject  4 = Accounting-Request  5 = Accounting-Response  11 = Access-Challenge  12 = Status-Server  13 = Status-Client  255 = Reserved

Berikut gambar dari penjelasan di atas :

Gambar 3.1-3 Struktur Packet Data Radius

Gambar di atas ini merupakan paket data , terdapat remote user pelanggan yang benar – benar sah untuk mengakses wireless tersebut. Terdapat juga NAS server, NAS Server itu yang biasa

disingkat Network-Attached Storage (NAS) device adalah sebuah

sistem penyimpanan yang mempunyai tujuan khusus yaitu untuk  diakses dari jauh melalui data network. Dari gambar tesebut terlihat terdapat hubungan antara Remote user (pelanggan) dengan AAA

(Autentikasi, authorization, and accounting ) melalui NAS (Network-Attached Storage).

NAS menyediakan jalan yang cocok untuk setiap komputer dalam sebuah LAN untuk saling berbagi pool penyimpanan dengan kemudahan yang sama seperti menamai dan menikmati akses seperti HAS lokal. Tetapi kelemahan dari NAS ini adalah umumnya cenderung untuk lebih tidak efisien dan memiliki peforma yang lebih buruk dari penyimpanan direct-attached. SCSI adalah protokol NAS

terbaru. Protokol ini menggunakan protokol IP network untuk

membawa protokol SCSI. Host dapat memperlakukan

penyimpanannya seperti direct-attached, tapi storage-nya sendiri dapat berada jauh dari host.

Ketika Terkoneksi terdapat kode – kode yang di gunakan untuk membedakan tipe pesan RADIUS, misal paket data yang di kirimkan oleh kode RADIUS access-requst menuju ke AAA Server, di AAA Server tersebut terdapat user database, pengertian dari database itu sendiri adalah sekumpulan data-data atau file yang saling berhubungan satu sama lain dalam satu media penyimpanan, dimana pemakai dapat mengakses dan memanipulasi data. Data base yang terdapat pada AAA Server merupakan data base yang terdistribusi. Jadi di dalam database AAA Server tersebut berisi Autentikasi yang bisa berupa user name dan password atau authorization yang berisi hak akses pelanggan untuk menggunakan network tersebut dan

membatasi kekuasaan, sedangkan accounting berisikan account –

account pelanggan yang menggunakan network tersebut. Dari paket data yang berisikan kode – kode tersebut di AAA Server akan di kembalikan lagi ke NAS Client yang mempunyai tujuan khusus yang dapat di akses dari jauh melalui data network.

1. Identifier

Identifier juga berguna untuk mengidentifikasikan dan untuk mencocokkan permintaan, apabila permintaan itu cocok maka akan terjadi RADIUS access Request. Identifier memiliki panjang satu oktet.

2. Length

Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.

3. Authenticator

Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password.

4. Attributes

Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapatmembawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password, alamat IP access point(AP), pesan balasan.

Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284. Standar 802.1x IEEE juga mendukung beberapa metode autentikasi, seperti smart cards, password yang hanya bisa digunakan oleh satu pengguna pada satu waktu, dan yang lebih baik lagi adalah biometrics. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284. Standar 802.1x

IEEE juga mendukung beberapa metode autentikasi, seperti smart

cards, password yang hanya bisa digunakan oleh satu pengguna pada satu waktu, dan yang lebih baik lagi adalah biometrics.

802.1x terdiri dari tiga bagian, yaitu wireless node (supplicant), access point (autentikator), autentikasi server. Autentikasi server yang digunakan adalah Remote Authentication Dial-In Service (RADIUS) server dan digunakan untuk autentikasi pengguna yang akan mengakses wireless LAN. EAP adalah protokol layer 2 yang menggantikan PAP dan CHAP.

Gambar 3.1-4 Mekanisme Autentikasi menggunakan RADIUS Server

Penjelasan :

1. Wireless Node (WN) / Supplicant akan meminta akses ke wireless network Akses Point atau disebut dengan AP akan menanyakan identitas Supplicant. Tidak ada trafik data selain EAP yang di perbolehkan sebelum Supplicant terautentikasi. Access Point bukanlah sebuah autentikator, tetapi akses point berisi autentikator. 2. Setelah nama-pengguna dan password di kirim, proses autentikasi dimulai. Protokokol yang di gunakan antara Supplicant dan Autentikator adalah EAP. Protocol over LAN (EAPoL) Autentikator mengencapsulasi kembali pesan EAP ke dalam format RADIUS, dan mengirimnya ke RADIUS server. Selama proses autentikasi, autentikator hanya menyampaikan paket antara Supplicant dan RADIUS server. Setelah proses autentikasi selesai, RADIUS server mengirimkan pesan sukses ( atau gagal, apabila proses autentikasi gagal).

3. Apabila proses autentikasi sukses, Supplicant diperbolehkan untuk mengakses wireless LAN dan/atau internet.

Pemfilteran alamat MAC

MAC address merupakan alamat setiap computer. Setiap computer (PC), server, laptop pasti mempunyai NIC, NIC itu berupa hardware. Di dalam NIC itu terdapat nomor MAC. Pengguna wireless LAN dapat difilter berdasarkan alamat MAC wireless card yang

dimiliki pengguna.Hampir semua access point telah mempunyai

fiturpemfilter alamat MAC.

Administrator jaringan dapat memprogram access point,

program ini yang berisi daftar alamat-alamat MAC yang dapat mengakses access point tersebut. Memprogram access point

untuk memasukkan alamat-alamat MAC akan sangat merepotkan,

terutama apabila jumlah alamat MAC yang ingin terhubung ke

access point sangat banyak. Pemfilteran alamat MAC dapat diimplementasikan pada RADIUS server, alamat MAC beserta identitas pengguna dimasukkan ke dalam RADIUS server. Hal ini

tentu akan mempermudah administrator untuk mengelola wireless

LAN.

Gambar 3.1-5 Pemfilteran Alamat MAC menggunakan RADIUS Server

Berikut ini penjelasan dari mengenai pemfilteran alamat MAC dengan RADIUS server:

1. Client (Wireless Node) meminta akses ke Access Point (AP).

2. AP meneruskan permintaan client ke RADIUS Server, di RADIUS Server alamat MAC client diperiksa apakah ada di database.

3. RADIUS memberikan tanggapan ke AP, apabila autentikasi di

RADIUS Server berhasil maka client diperbolehkan untuk

mengakses AP, dan apabila gagal maka client tidak diijinkan untuk mengakses AP tersebut.

Autentikasi menggunakan RADIUS Server yang dibarengi dengan pemfilteran alamat MAC diharapkan dapat menambah keamanan wireless LAN dari orang orang yang tidak mempunyai hak akses ke wireless LAN. Sistem ini cocok di terapkan disuatu instansi, baik itu swasta maupun pemerintahan. Karena alamat MAC yang dapat mengakses wireless LAN dibatasi, maka sistem ini kurang cocok apabila diterapkan pada hotspot yang terpasang di tempat-tempat umum, seperti kafe, mal, bandara. Alasan orang menggunakan hotspot yang berada di tempat-tempat umum adalah karena kemudahan yang ditawarkan oleh teknologi wireless. Apabila sistem ini diterapkan pada hotspot yang terdapat di tempattempat umum, ada kemungkinan para pelanggan yang menggunakan hotspot tidak tertarik lagi karena merasa repot.

3.1.6 Metode Free RADIUS

Alasan utama kenapa memilih free RADIUS server adalah karena mahalnya harga RADIUS server komersial. Sebagai contoh : Interlink’s Secure.XS harganya mulai dari $2375 untuk 250 pengguna, Funk Odyssey Server $2500, VOP Radius Small Business mulai dari $995 untuk 100 pengguna [8]. Harga RADIUS server komersial diatas kebanyakan tidak terjangkau bagi para pemilik hotspot, terutama bagi kalangan kampus. Salah satu contoh RADIUS server yang non-komersial adalah FreeRADIUS server. FreeRADIUS server ini tidak kalah dengan RADIUS server yang komersial. Salah satu buktinya adalah freeRADIUS server sudah mendukung beberapa Access Point (AP)/ Network Access Server (NAS) dibawah ini:

 3Com/USR Hiper Arc Total Control  3Com/USR NetServer

 3Com/USR TotalControl  Ascend Max 4000 family  Cisco Access Server family  Cistron PortSlave

 Computone PowerRack  Cyclades PathRAS  Livingston PortMaster

 Multitech CommPlete Server  Patton 2800 family

3.1.7 Jenis - Jenis

FreeRADIUS dapat berjalan di berbagai sistem operasi, misalnya Linux, FreeBSD, OpenBSD, OSF. Selain FreeRADIUS, ada beberapa RADIUS server non-komersial yang lain, diantaranya adalah:

 Cistron RADIUS Server

Cistron RADIUS dibuat oleh Miguel van Smoorenburg. Merupakan free software (dibawah lisensi GNU GPL).

 ICRADIUS

ICRADIUS merupakan varian dari Cistron. ICRADIUS menggunakan MySQL untuk menyimpan database nama-pengguna beserta password. ICRADIUS sudah berbasis web, hal ini akan memudahkan administrator untuk mengelola server ini.

 XtRADIUS

XtRadius adalah freeware RADIUS server yang berbasiskan pada Cistron RADIUS Server. Perbedaan utama antara XtRadius dengan RADIUS server yang lain adalah kita dapat mengeksekusi skript untuk menangani autentikasi.

 OpenRADIUS

OpenRADIUS server dapat berjalan di beberapa sistem operasi unix. OpenRADIUS juga merupakan free software, bebas digunakan tanpa harus bayar, pengguna dapat melakukan modifikasi apabila dianggap perlu.

 YARDRRADIUS

Adalah singkatan dari Yet Another Radius Daemon RADIUS. Tulisannya YARDRADIUS, tetapi membacanya Y-A-R-D RADIUS. YARDRADIUS merupakan free software yang berasal dari open source Livinston RADIUS Server 2.1.  JRadius

Merupakan Java plug-in untuk FreeRADIUS

3.1.8 Instalasi Radius 

FreeRADIUS

SUSE Linux 9.0 ternyata sudah mempunyai paket RADIUS server yang terdiri dari:

a. Big Sister

Paket ini merupakan Big Sister plug-in untuk pemonitoran sebuah RADIUS server.

b. FreeRADIUS

Paket ini merupakan RADIUS server. c. freeradius-devel

Paket ini berisi file-file untuk pengembangan FreeRADIUS. d. pam_radius

Pam_radius adalah suatu modul PAM yang digunakan untuk autentikasi pengguna pada RADIUS server.

e. radiusclient

RADIUS client server memberikan beberapa program untuk proses outentitikasi melalui radius server.

Radiusd-livingston adalah RADIUS server dari Lucent

Technologies

FreeRADIUS merupakan salah satu paket program yang terdapat di SUSE Linux 9.0, maka proses instalasinya relatif lebih mudah. Karena paket free RADIUS bukan termasuk paket default yang otomatis terinstal apabila kita menginstal SUSE Linux 9.0, maka instalasinya harus dilakukan secara manual. Langkahlangkah proses instalasi paket freeRADIUS yang terdapat pada SUSE Linux 9.0 adalah sebagai berikut:

1. Kita dapat menggunakan program YaST. Ada dua cara untuk menjalankan program YaST, cara pertama : Start Menu → System → YaST, apabila kita login sebagai pengguna biasa (bukan super user),maka akan muncul window yang meminta password root. Sedangkan cara yang kedua adalah melalui konsole dan harus login sebagai root, kemudian ketik yast. Apabila window YaST Control Center sudah muncul, pada menu sebelah kiri pilih Software, kemudian pilih Install and Remove Software. Agar tidak terlalu binggung, kita dapat menggunakan fasilitas search untuk mencari paket. RADIUS, pada menu filter pilih search, ketik radius pada kolom isian, tekan enter, maka akan muncul paket-paket RADIUS seperti yang telah disebutkan diatas.

2. Pilih paket yang ingin kita instal.

3. Tombol accept apabila sudah selesai memilih paket yang akan diinstal.

Apabila kita telah memilih freeRADIUS sebagai RADIUS server, maka kita tidak boleh memilih radiusd-livingston sebagai RADIUS server dan begitu juga sebaliknya. Apabila kita memilih freeRADIUS dan radiusd-livingston bersamasama, maka pada saat kita menekan tombol accept akan keluar window yang berisi peringatan bahwa ada konflik. Untuk menghindari konflik tersebut, maka kita harus memilih salah satu dari freeRADIUS dan radiusd-livingston yang akan digunakan sebagai RADIUS server.

Dibawah ini merupakan cuplikan dari file /etc/raddb/users, file ini perlu diubah dengan cara menghilangkan tanda “#“ pada baris-baris yang berisi konfigurasi.

# This is a complete entry for "steve". Note that there is no Fall-Through

# entry so that no DEFAULT entry will be used. #

steve Auth-Type = Local, Password = "testing" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.3.33, Framed-IP-Netmask = 255.255.255.255, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobson-TCP-

Untuk menjalankan freeRADIUS dari konsole gunakan perintah: radiusd , dan untuk memastikan bahwa radiusd sudah berjalan, ketik ps –ax. Apabila ada radiusd dalam daftar proses yang sedang berjalan, maka RADIUS server sudah dapat digunakan.

Uji coba untuk mengetahui apakah RADIUS server yang kita instal tadi sudah berjalan dengan baik atau tidak, dapat dilakukan dengan menggunakan perintah radtest. Aturan pemakaian radtest harus menurut skript dibawah ini:

radtest user passwd radius-server[:port] nas-port-number secret [ppphint] [nasname]

Dari file /etc/raddb/users diatas, kita dapat menggunakan user “steve” dan password “testing”. Perintah radtest diatas menjadi:

linux:/home/agungws # radtest steve testing localhost:1812 10 testing123

Pada RADIUS server akan muncul:

Sending Access-Request of id 125 to 127.0.0.1:1812 User-Name = "steve"

User-Password = "testing" NAS-IP-Address = linux NAS-Port = 10

rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=125, length=71 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 172.16.3.33 Framed-IP-Netmask = 255.255.255.255 Framed-Routing = Broadcast-Listen Filter-Id = "std.ppp" Framed-MTU = 1500 Framed-Compression = Van-Jacobson-TCP-IP

Dari file diatas dapat kita lihat ada kata Access-Accept, yang berarti permintaan client telah diterima oleh RADIUS server. Sedangkan apabila permintaan client ditolak oleh RADIUS server maka akan muncul kata Access-Reject.

OpenRADIUS

Selain menggunakan freeRADIUS yang terdapat dalam paket SUSE Linux sebagai RADIUS server, dilakukan juga percobaan menggunakan OpenRADIUS. OpenRADIUS dapat diperoleh secara gratis di alamat situs yang telah disebutkan diatas. Versi OpenRADIUS yang digunakan adalah openradius-0.9.10.

Proses instalasi:

1. Pastikan bahwa program “GNU make” telah terinstal

3. digunakan adalah tar –zxvf openradius-0.9.10.tar.gz 4. Pindah ke direktori openradius-0.9.10

5. Ketik make –f Makefile.gnu

6. Ketik make –f Makefile.gnu install

File konfigurasi terdapat di direktori

./openradius-0.9.10/etc/openradius. Ada dua buah file yang dapat diubah apabila diperlukan dalam direktori tersebut, yaitu:

 Configuration

File ini berisi nomor port dan alamat yang digunakan oleh RADIUS server.

 Behavior

File ini digunakan untuk menangani permintaan yang masuk. Untuk menjalankan server:

 Dari direktori openradius-0.9.10 ketik perintah: ./server/radius  Dari direktori openradius-0.9.10 ketik perintah:

./server/radiusd -dall –b

 Untuk mengetahui apakah program radiusd telah berjalan, dapat dilakukan dengan mengetik perintah ps –ax.

 Lakukan permintaan ke RADIUS server, dari direktori openradius-0.9.10 ketik perintah : ./bin/radtest evbergen welcome1 localhost h1dd3n

Di server akan muncul :

[recv] job_new: Received request:

INTERNAL:None:Timestamp = 1117759304 INTERNAL:None:IP-Source = 127.0.0.1 INTERNAL:None:IP-Dest = 0.0.0.0 INTERNAL:None:UDP-Source = 32768 INTERNAL:None:UDP-Dest = 1812 UDP-PKT:Any:RAD-Packet =

 "\x01`\x006W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7\ x01\x0aevbergen\x04\x0 6\x0a\x00\x00\x0a\x02\x12\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x 22@\x03!\x1a\x0f" RAD-PKT:None:RAD-Code = Access-Request RAD-PKT:None:RAD-Identifier = 96 RAD-PKT:None:RAD-Length = 54 RAD-PKT:None:RAD-Authenticator = "W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7" RAD-ATR:None:User-Name = "evbergen" RAD-ATR:None:NAS-IP-Address = 10.0.0.10 RAD-ATR:None:User-Password = "\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x22@\x03!\x1a\x0f"

Pada kalimat terakhir file diatas terdapat kata Access-Accept, yang berartipermintaan client telah diterima oleh RADIUS server.

YARDRADIUS

YARDRADIUS yang digunakan adalah yardradius-1.1.1, yang dapat diperoleh di alamat situs yang telah disebutkan diatas.

Proses instalasi:

1. Pastikan program “GNU make” dan GDBM telah terinstal.

2. Ekstrak file yardradius-1.1.1.tar.gz (tar –zxvf yardradius-1.1.1.tar.gz)

3. Pindah ke direktori yardradius-1.1.1 (cd yardradius1.1.1) 4. Ketik ./configure

5. Ketik make

6. Ketik make install

File hasil instalasi terdapat di direktori /usr/local/yardradius. Untuk menjalankan RADIUS server ketik perintah ./src/radius

CISTRON RADIUS

Yang digunakan adalah radiusd-cistron-1.6.7, yang dapat diperoleh di alamat situs yang telah disebutkan diatas.

Proses instalasi:

1. Pastikan program “GNU make”.

2. Ekstrak file 1.6.7.tar.gz (tar –zxvf radiusd-cistron-tar.gz)

3. Pindah ke direktori 1.6.7 (cd radiusd-cistron-1.6.7)

4. Ketik make

5. Ketik make install

Untuk menjalankan RADIUS server ketik perintah: /usr/local/sbin/radiusd [options]

Manual radius(8) dapat dijadikan referensi lebih lanjut. 3.1.9 Keamanan RADIUS Server

Protokol RADIUS yang digunakan sebagai salah satu sistem keamanan wireless LAN melalui autentikasi pengguna wireless LAN, ternyata memiliki beberapa lubang keamanan.

Mekanisme proteksi menggunakan nama pengguna dan password ternyata tidak cukup aman untuk diterapkan. Hal ini diperparah dengan penerapan teknik enkripsi dan kriptografi yang tidak benar. Paket access-request yang tidak diautentikasi oleh RADIUS server. Metode shared secret sudah sangat berisiko apabila diterapkan untuk proses autentikasi dari client ke RADIUS server. Beberapa lubang keamanan protokol RADIUS:

 MD5 dan shared secret

Seperti yang sudah disebutkan diatas bahwa metode shared secret sudah sangat berisiko untuk diterapkan, hal ini dikarenakan lemahnya MD5 hash yang menyimpan tanggapan autentikator. Hacker / penyusup dapat dengan mudah

mengetahui paket access-request beserta tanggapannya. Penyusup dapat dengan mudah mengetahui shared secret

dengan cara melakukan penghitungan awal terhadap

perhitungan MD5.  Paket access-request

Tidak adanya autentikasi dan verifikasi terhadap paket access-request merupakan salah satu kelemahan dari protokol RADIUS. Paket access-request harus berisi atribut alamat IP access point (AP), nama pengguna beserta password atau CHAP-password, port yang digunakan oleh access point [6]. Nama pengguna beserta password disembunyikan dengan memakai metode RSA Message Digest Algorithm MD5. RADIUS server akan memeriksa dan memastikan bahwa pesan yang dikirim oleh alamat IP adalah salah satu dari client yang terdaftar. Penyusup dapat mengetahui dan menggunakan alamat IP yang menjadi client dari RADIUS server ini. Hal ini merupakan salah satu keterbatasan dari rancangan protokol RADIUS.

 Pemecahan password

Skema proteksi password yang dipakai adalah stream-chiper, dimana MD5 digunakan sebagai sebuah ad hoc pseudorandom number generator (PRNG). 16 oktet pertama bertindak sebagai sebuah synchronous stream chiper. Yang menjadi masalah adalah keamanan dari cipher ini masih menjadi suatu pertanyaan, protokol RADIUS tidak dengan jelas menyebutkan apa yang menjadi kebutuhan dari cipher tersebut. MD5 hash secara umum digunakan untuk crypthographic hash, bukan stream chiper. Ada kemungkinan masalah keamanan yang ditimbulkan dari penggunaan MD5 hash tersebut.

Seperti yang telah dijelaskan diatas bahwa atribut password diamankan dengan metode stream chiper. Hal ini memungkinkan penyusup mendapatkan informasi shared secret apabila mereka melakukan sniffing ke jaringan wireless dan mencoba masuk ke RADIUS server

 Serangan menggunakan Request Authenticator

Keamanan RADIUS bergantung pada pembangkitan Request Authenticator. Request Authenticator ini harus unik dan tidak dapat diprediksi untuk menjamin keamanan. Protokol RADIUS tidak menekankan pada pentingnya Pembangkitan Request

Authenticator, sehingga banyak implementasi yang

menggunakan PRNG yang jelek untuk membangkitkan Request Authenticator. Apabila client menggunakan PRNG yang mempunyai short cyrcle, maka protokol tidak mneyediakan proteksi.

3.2 Proxy

3.2.1 Konsep Dasar Proxy

Proxy dapat dipahami sebagai pihak ketiga yang berdiri ditengah-tengah antara kedua pihak yang saling berhubungan dan berfungsi sebagai perantara, sedemikian sehingga pihak pertama dan pihak kedua tidak secara langsung berhubungan, akan tetapi masing-masing berhubungan dengan perantara, yaitu proxy.

Sebuah analogi; bila seorang mahasiswa meminjam buku di perpustakaan, kadang si mahasiswa tidak diperbolehkan langsung mencari dan mengambil sendiri buku yang kita inginkan dari rak, tetapi kita meminta buku tersebut kepada petugas, tentu saja dengan memberikan nomor atau kode bukunya, dan kemudian petugas tersebut yang akan mencarikan dan mengambilkan bukunya. Dalam kasus diatas, petugas perpustakaan tersebut telah bertindak sebagai perantara atau Proxy. Petugas tersebut juga bisa memastikan dan menjaga misalnya, agar mahasiswa hanya bisa meminjam buku untuk mahasiswa, dosen boleh meminjam buku semua buku, atau masyarakat umum hanya boleh meminjam buku tertentu.

Mungkin proses tersebut menjadi lebih lama dibandingkan bila kita langsung mencari dan mengambil sendiri buku yang kita inginkan. Namun bila saja setiap kali petugas mencari dan mengambil buku untuk seseorang, si petugas juga membuat beberapa salinan dari buku tersebut sebelum memberikan bukunya kepada orang yang meminta, dan menyimpannya di atas meja pelayanan, maka bila ada orang lain yang meminta buku tertentu, sangat besar kemungkinan buku yang diminta sudah tersedia salinannya diatas meja, dan si petugas tinggal memberikannya langsung. Hasilnya adalah layanan yang lebih cepat dan sekaligus keamanan yang baik.

Analogi diatas menjelaskan konsep dan fungsi dasar dari suatu proxy dalam komunikasi jaringan komputer dan internet. Proxy server mempunyai 3 fungsi utama yaitu Connection Sharing, Filtering dan Caching. Masing masing fungsi akan dijelaskan lebih lanjut dibawah.

Proxy dalam pengertiannya sebagai perantara, bekerja dalam berbagai jenis protokol komunikasi jaringan dan dapat berada pada level-level yang berbeda pada hirarki layer protokol komunikasi jaringan. Suatu perantara dapat saja bekerja pada layer Data-Link, layer Network dan Transport, maupun layer Aplikasi dalam hirarki layer komunikasi jaringan menurut OSI. Namun pengertian proxy server sebagian besar adalah untuk menunjuk suatu server yang bekerja sebagai proxy pada layer Aplikasi, meskipun juga akan dibahas mengenai proxy pada level sirkuit.

Dalam suatu jaringan lokal yang terhubung ke jaringan lain atau internet, pengguna tidak langsung berhubungan dengan jaringan luar atau internet, tetapi harus melewati suatu gateway, yang bertindak sebagai batas antara jaringan lokal dan jaringan luar. Gateway ini sangat penting, karena jaringan lokal harus dapat dilindungi dengan baik dari bahaya yang mungkin berasal dari internet, dan hal tersebut akan sulit dilakukan bial tidak ada garis batas yang jelas jaringan lokal dan internet. Gateway juga bertindak sebagai titik dimana sejumlah koneksi dari pengguna lokal akan terhubung kepadanya, dan suatu koneksi ke jaringan luar juga terhubung kepadanya. Dengan demikian, koneksi dari jaringan lokal ke internet akan menggunakan sambungan yang dimiliki oleh gateway secara bersama-sama (connection sharing). Dalam hal ini, gateway adalah juga sebagai proxy server, karena menyediakan layanan sebagai perantara antara jaringan lokal dan jaringan luar atau internet.

Gambar berikut menggambarkan posisi dan fungsi dari proxy server, diantara pengguna dan penyedia layanan:

Gambar 3.2-1 Proxy Server & Gateway/Firewall

Cara Kerja

Proxy server memotong hubungan langsung antara pengguna dan layanan yang diakases. Dilakukan pertama-tama dengan mengubah alamat IP, membuat pemetaan dari alamat IP jaringan lokal ke suatu alamat IP proxy, yang digunakan untuk jaringan luar atau internet. Pada prinsipnya hanya lamat IP proxy tersebut yang akan diketahui secara umum di internet, Berfungsi sebagai network address translator.

PROXY, GATEWAY DAN FIREWALL

Proxy server juga biasanya menjadi satu dengan firewall server, meskipun keduanya bekerja pada layer yang berbeda. Firewall atau packet filtering yang digunakan untuk melindungi jaringan lokal dari serangan atau gangguan yang berasal dari jaringan internet bekerja pada layer network, sedangkan proxy server bekerja pada layer aplikasi. Firewall biasanya diletakkan pada router-router, untuk sehingga bisa melakukan filtering atas paket yang lewat dari dan ke jaringan-jaringan yang dihubungkan.

Karena firewall melakukan filtering berdasarkan suatu daftar aturan dan pengaturan akses tertentu, maka lebih mudah mengatur dan mengendalikan trafik dari sumber-sumber yang tidak dipercaya. Firewall juga melakukan filtering berdasarkan jenis protokol yang digunakan (TCP,UDP,ICMP) dan port TCP atau UDP yang digunakan oleh suatu layanan (semisal telnet atau FTP). Sehingga firewall melakukan kendali dengan metode boleh lewat atau tidak boleh lewat, sesuai dengan daftar aturan dan pengaturan akses yang dibuat. Bila suatu layanan tertentu atau alamat tertentu merupakan layanan atau alamat yang terpercaya, maka dapat diatur pada firewall agar paket dari sumber terpercaya diperbolehkan lewat.

Packet filtering pada firewall mempunyai keunggulan yaitu kecapatan yang lebih dan tidak memerlukan konfigurasi tertentu pada pengguna-pengguna yang terhubung. Namun di sisi lain dapat menimbulkan kesulitan, karena akan sangat sulit bila kita harus membuat satu daftar aturan yang banyak dan kompleks. Disamping itu, yang bisa dilakukan firewall hanya memperbolehkan atau tidak memperbolehkan suatu paket lewat berdasarkan pada alamat IP sumber atau alamat IP tujuan yang ada pada paket tersebut. Penyerang bisa melakukan memalsukan alamat IP pada paket (spoofing) emnggunakan alamat IP tertentu yang terpercaya, dan firewall akan melewatkannya. Penyerang juga dapat melakukan penyadapan paket (sniffing) dengan relatif mudah untuk mengetahui struktur alamat IP pada header paket yang lewat di jaringan.

Dalam analogi perpustakaan diatas, filtering pada firewall serupa dengan petugas perpustakaan menimpan daftar mahasiswa dan dosen yang terpercaya, dan mereka boleh langsung mengambil sendiri buku yang diinginkan dari rak. Ini bisa menghasilkan proses sirkulasi buku yang lebih cepat, namun memerlukan penanganan khusus atas daftar yang diperbolehkan tersebut. Ini juga beresiko bila ada seseorang yang menggunkan identitas palsu, sehingga seolah-olah dia adalah salah satu dari yang ada dalam daftar yang diperbolehkan.

Proxy server menggunakan cara yang berbeda. Proxy server memotong hubungan langsung antara pengguna dan layanan yang diakases (atau antara mahasiswa dan buku-buku perpustakaan dalam analogi diatas). Ini dilakukan pertama-tama dengan mengubah alamat IP, membuat pemetaan dari alamat IP jaringan lokal ke suatu alamat IP proxy, yang digunakan untuk jaringan luar atau internet. Karena hanya lamat IP proxy tersebut yang akan diketahui secara umum di internet (jaringan yang tidak terpercaya), maka pemalsuan tidak bisa dilakukan.

PENDEKATAN LAYER OSI

Karena proxy bekerja pada layer aplikasi, proxy server dapat berjalan pada banyak aplikasi antara lain HTTP Proxy atau Web Proxy untuk protokol HTTP atau Web, FTP Proxy, SMTP/POP Proxy untuk email, NNTP proxy untuk Newsgroup, RealAudio/RealVideo Proxy untuk multimedia streaming, IRC proxy untuk Internet Relay

Chat (IRC), dan lain-lain. Masing-masing hanya akan

menerima,meneruskan atau melakukan filter atas paket yang dihasilkan oleh layanan yang bersesuaian.

Proxy aplikasi spesifik memiliki pilihan konfigurasi yang sangat banyak. Sebagai contoh, Web Proxy dapat dikonfigurasi untuk menolak akses ke situs web tertentu pada waktu-waktu tertentu. Demikian juga proxy yang lain, misalnya dapat dikonfigurasi

untuk hanya memperbolehkan download FTP dan tidak

memperbolehkan upload FTP, hanya memperbolehkan pengguna tertentu yang bisa memainkan file-file RealAudio, mencegah akses ke email server sebelum tanggal tertentu, dan masih banyak lagi.

Proxy server juga sangat baik dalam hal kemampuan menyimpan catatan (logging) dari trafik jaringan, dan dapat digunakan untuk memastikan bahwa koneksi untuk jenis trafik tertentu harus selalu tersedia. Sebagai contoh, sebuah kantor mempunyai koneksi terus menerus ke Internet untuk keperluan akses Web menggunakan satu koneksi Dial-up. Proxy server dapat dikonfigurasi untuk membuka satu lagi koneksi Dial-up kedua bila ada pengguna yang melakukan download melalui FTP pada koneksi Dial-up pertama dalam waktu lama.

Sebagaimana biasa, kelemahan dari konfigurasi yang sangat fleksibel dan banyak pilihan adalah timbulnya kompleksitas. Aplikasi pada sisi pengguna seperti Web Browser atau RealAudio Player harus ikut dikonfigurasi untuk bisa mengetahui adanya proxy server dan bisa menggunakan layanannya. Bila suatu layanan baru dibuat di internet yang berjalan pada layer aplikasi, dengan menggunakan protokol baru dan port yang baru, maka harus dibuat juga proxy yang spesifik dan bersesuaian dengan layanan tersebut. Proses penambahan pengguna dan pendefinisian aturan akses pada suatu proxy juga bisa sangat rumit.

Sebagai perantara antara pengguna dan server-server di internet, proxy server bekerja dengan cara menerima permintaan layanan dari user, dan kemudian sebagai gantinya proxy server akan mewakili permintaan pengguna, ke server-server di internet yang dimaksudkan. Dengan demikian, sebenarnya proxy server hanya meneruskan permintaan pengguna ke server yang dimaksud, akan tetapi disini identitas peminta sudah berganti, bukan lagi pengguna asal, tetapi proxy server tersebut. Server-server di internet hanya akan mengeahui identitas proxy server tersebut, sebagai yang meminta, tetapi tidak akan tahu peminta sebenarnya (yaitu pengguna asalnya) karena permintaan yang sampai kepada server-server di internet bukan lagi dari pengguna asal, tetapi dari proxy server.

Bagi penggguna sendiri, proses yang terjadi pada proxy server diatas juga tidak kelihatan (transparan). Pengguna melakukan permintaan atas layanan-layanan di internet langsung kepada server-server layanan di internet. Penguna hanya mengetahui keberadaan atau alamat dari proxy server, yang diperlukan untuk melakukan konfigurasi pada sisis pengguna untuk dapat menggunakan layanan dari proxy server tersebut.

3.2.2 Fungsi Proxy

Berikut adalah fungsi dari Proxy:  Connection Sharing,

 Filtering,

 Filter Situs-Situs Terlarang,  Filter Pengguna Internet,  Caching,

 Management User’s Authentication,

 Management Waktu Akses Internet,  Management Bandwidth,

 Dst.

Connection Sharing

Konsep dasar, pengguna tidak langsung berhubungan dengan jaringan luar atau internet, tetapi harus melewati suatu gateway, yang bertindak sebagai batas antara jaringan lokal dan jaringan luar.

Gateway ini sangat penting, karena jaringan lokal harus dapat dilindungi dengan baik dari bahaya yang mungkin berasal dari internet, dan hal tersebut akan sulit dilakukan bila tidak ada garis batas yang jelas jaringan lokal dan internet.

Gateway juga bertindak sebagai titik dimana sejumlah koneksi dari pengguna lokal akan terhubung kepadanya, dan suatu koneksi ke jaringan luar juga terhubung kepadanya.

Dengan demikian, koneksi dari jaringan lokal ke internet akan menggunakan sambungan yang dimiliki oleh gateway secara bersama-sama (connection sharing).

Dalam hal ini, gateway adalah juga sebagai proxy server, karena menyediakan layanan sebagai perantara antara jaringan lokal dan jaringan luar atau internet.

Filtering

Filter situs-situs terlarang, Konsepnya adalah jika ada client yang ingin mengakses situs-situs yang sudah difilter oleh proxy server maka akses akan gagal.

Filter Pengguna Internet, pengguna internet sudah

didefinisikan di konfigurasi proxy. Pendefinisan yang digunakan adalah dengan menggunakan IP Address yang digunakan client. Proxy juga bisa mendefinisikan beberapa IP yang tidak bisa akses internet.

Bekerja pada layer aplikasi shg berfungsi sebagai firewall packet filtering yang digunakan untuk melindungi jaringan lokal dari serangan atau gangguan yang berasal dari jaringan internet. Berfungsi melakukan filtering atas paket yang lewat dari dan ke jaringan-jaringan yang dihubungkan.

Dapat dikonfigurasi untuk menolak akses ke situs web tertentu pada waktu-waktu tertentu. Dapat dikonfigurasi untuk hanya memperbolehkan download FTP dan tidak memperbolehkan upload FTP, hanya memperbolehkan pengguna tertentu yang bisa memainkan file-file RealAudio, mencegah akses ke email server sebelum tanggal tertentu, dll.

Caching

Proxy server memiliki mekanisme penyimpanan obyek-obyek yang sudah pernah diminta dari server-server di internet. Proxy server yang melakukan proses diatas biasa disebut cache server. Mekanisme caching akan menyimpan obyek-obyek yang merupakan hasil permintaan dari dari para pengguna, yang didapat dari internet. Disimpan dalam ruang disk yang disediakan (cache).

Dengan demikian, bila suatu saat ada pengguna yang meminta suatu layanan ke internet yang mengandung obyek-obyek yang sama dengan yang sudah pernah diminta sebelumnya, yaitu yang sudah ada dalam cache, maka proxy server akan dapat langsung memberikan obyek dari cache yang diminta kepada pengguna, tanpa harus meminta ulang ke server aslinya di internet. Bila permintaan tersebut tidak dapat ditemukan dalam cache di proxy server, baru kemudian proxy server meneruskan atau memintakannya ke server aslinya di internet.

Dua Jenis Metode Caching

Object yang disimpan dalam cache bisa saja mencapai expired, untuk memeriksanya dilakukan validasi. Jika validasi ini dilakukan setelah ada permintaan dari klien, metode ini disebut pasif.

Pada caching aktif, cache server mengamati object dan pola perubahannya. Misalkan pada sebuah object didapati setiap harinya berubah setiap jam 12 siang dan pengguna biasanya membacanya jam 14, maka cache server tanpa diminta klien akan memperbaharui object tersebut antara jam 12 dan 14 siang, dengan cara update otomatis ini waktu yang dibutuhkan pengguna untuk mendapatkan object yang fresh akan semakin sedikit.

Proses Penghapusan Cache

Pada kondisi tertentu, kapasitas penyimpanan akan terkuras habis oleh object. Ada beberapa metode penghapusan untuk menjaga kapasitas tetap terjaga, sesuai dengan konfigurasi yang telah ditetapkan. Penghapusan didasarkan pada umur dan kepopuleran, semakin tua umur object akan tinggi prioritasnya untuk dihapus. Dan juga untuk object yang tidak popular akan lebih cepat dihapus juga.

Gambar 3.2-2 Mekanisme Caching

Design Cache

Gambar 3.2-3 Design Cache 1 ABCDEFGH SELECTED ON-LINE internet Firewall/router Web Proxy/cache server switch

Pengguna jaringan lokal

Data dari internet, ketika diminta, akan disimpan

dalam cache Permintaan dari proxy/cache server,

terurut dan teratur Permintaan dari

pengguna web browser, random dan

tidak teratur

Data yang diberikan oleh cache server

 Parent

Cache server yang wajib mencarikan content yang diminta oleh klien.

 Sibling

Cache server yang wajib memberikan content yang diminta jika memang tersedia. Jika tidak, sibling tidak wajib untuk mencarikannya.

Dari dua hubungannya ini, sistem cache bias didesain secara bertingkat. Misalkan dalam mendesain sebuah ISP atau network kampus, anda bias mempunyai lebih dari satu cache server yang saling sibling satu dengan yang lainnya.

Misalkan antara cache kantor pusat dan kantor cabang, dimana kantor pusat terletak di gateway internet. Parent kantor pusat selain digunakan network lokalnya, juga dibebani trafik yang berasal dari cache server milik kantor cabang.

Gambar 3.2-4 Design Cache 2

Bersifat ketergantungan penuh

Cache child (cache server) mau tidak mau harus meminta kepada parent, dan parent pun berkewajiban untuk memenuhi permintaan child tanpa kecuali, pada kondisi ada atau tidaknya object yang diminta di dalam hardsiknya.

Bila parent tidak bias memenuhi permintaan, maka cache child akan memberikan pesan error pada browser klien bahwa URL maupun content yang diminta tidak dapat diambil

3.2.3 Transparent Proxy

Salah satu kompleksitas dari proxy pada level aplikasi adalah bahwa pada sisi pengguna harus dilakukan konfigurasi yang spesifik untuk suatu proxy tertentu agar bisa menggunakan layanan dari suatu proxy server.

Agar pengguna tidak harus melakukan konfigurasi khusus, kita bisa mengkonfigurasi proxy/cache server agar berjalan secara benar-benar transparan terhadap pengguna (transparent proxy).

Transparent Proxy memerlukan bantuan dan konfigurasi aplikasi firewall (yang bekerja pada layer network) untuk bisa membuat transparent proxy yang bekerja pada layer aplikasi.

Cara Kerja Transparent Proxy

Pengguna benar-benar tidak mengetahui tentang keberadaan proxy ini, dan apapun konfigurasi pada sisi pengguna, selama proxy server ini berada pada jalur jaringan yang pasti dilalui oleh pengguna untuk menuju ke internet, maka pengguna pasti dengan sendirinya akan “menggunakan” proxy/cache ini.

Cara membuat transparent proxy adalah dengan

membelokkan arah (redirecting) dari paket-paket untuk suatu aplikasi tertentu, dengan menggunakan satu atau lebih aturan pada firewall/router.

Prinsipnya setiap aplikasi berbasis TCP akan menggunakan salah satu port yang tersedia, dan firewall membelokkan paket yang menuju ke port layanan tertentu, ke arah port dari proxy yang bersesuaian.

Sebagai Contoh : Pada saat klient membuka hubungan HTTP (port 80) dengan suatu web server, firewall pada router yang menerima segera mengenali bahwa ada paket data yang berasal dari klien dengan nomor port 80.

Misal kita juga mempunyai satu HTTP proxy server yang berjalan pada port 3130. Pada Firewall router kita buat satu aturan yang menyatakan bahwa setiap paket yang datang dari jaringan lokal menuju ke port 80 harus dibelokkan ke arah alamat HTTP proxy server port 3130. Akibatnya, semua permintaan web dari pengguna akan masuk dan diwakili oleh HTTP proxy server diatas.

Gambar 3.2-5 Cara Kerja Transparent Proxy

/sbin/iptables -t nat -A PREROUTING -i eth+ -p tcp --dport 80 -j REDIRECT --to-port 8080

3.2.4 Squid Proxy

Squid sudah termasuk di dalam distro REDHAT. Install squid dengan menggunakan Add/remove Application.

Konfigurasi Dasar

Edit file : /etc/squid/squid.conf

akan berjalan di Ip berapa dan port berapa. Contoh :

http_port 10.252.105.21:8080 (jalan di IP 10.252.105.21 di port 8080)

http_port 8080 (jalan di sembarang IP di port 8080)

Cache Peer

Cache_peer adalah metode squid dalam melakukan hirarki akses, squid memungkinkan dirinya untuk bekerjasama dengan mesin proxy yang lain. Cache_peer sangat berguna bagi mesin yang tidak punya koneksi langsung ke internet tapi bisa mengakses ke suatu proxy yang konek ke internet (mesin yang punya akses ke internet disebut dengan parent)

Cache_peer

cache_peer parent.foo.net parent 3128 3130

Parent.foo.net adalah mesin parent yang membuka port pada 3128

Membuat Cache

Menggunakan Directory. Harus dibangun dulu sebelum digunakan. Ditentukan dalam konfigurasi cache_dir:

Tipe Cache storage file system secara default adalah ufs Nama directory harus writable oleh squid

Ukuran ukuran maks dari Cache ini Jumlah subdirektori Level1

Jumlah subdirektori level 2

Ukuran Cache tidak bisa dirubah-rubah secara fleksibel tanpa harus membangun, sehingga cache_dir bisa kita berikan lebih dari satu baris

Contoh cache_dir :

cache_dir ufs /var/spool/squid 100 16 256

Membangun Cache

Tentukan dulu cache_dir nya, ukuran dan lokasinya Jalankan squid dengan options –z

Contoh : /usr/sbin/squid –z

Proses ini berjalan agak lama karena squid akan membuat direktori yang kosong

Setiap kali kita akan menambah cache_dir kita harus membangun cache_dir tersebut dulu menggunakan option -z

File System 

Ufs: file system default untuk cache storage

Aufs : menggunakan Thread untuk menghindari blocking I/O

DISKD: menggunakan process yang berbeda untuk menghindarkan blocking I/O (harus menentukan dan menghidupkan program diskd) Jumlah Subdirektori akan menentukan kecepatan akses squid terhadap cache-nya

Logging

Sangat diperlukan untuk menganalisa dan memonitor kejadian pada squid

cache_access_log : melihat URL akses ke proxy cache_access_log /var/log/squid/access.log

cache_log : melihat kejadian pada squid tergantung dari nilai debug_options

cache_log /var/log/squid/cache.log

Harus dipastikan bahwa file tersebut adalah writable oleh squid.

3.2.5 Proxy Server Level Circuit 

Proxy ini tidak bekerja pada layer aplikasi, akan tetapi bekerja sebagai “sambungan” antara layer aplikasi dan layer transport, melakukan pemantauan terhadap sesi-sesi TCP antara pengguna dan penyedia layanan atau sebaliknya.

Proxy ini bertindak sebagai perantara, namun juga membangun suatu sirkuit virtual diantara layer aplikasi dan layer transport. Dengan proxy level sirkuit, aplikasi klien pada pengguna tidak perlu dikonfigurasi untuk setiap jenis aplikasi.

Sebagai contoh, dengan menggunakan Microsoft Proxy Server, sekali saja diperlukan untuk menginstall WinSock Proxy pada komputer pengguna, setelah itu aplikasi-apliakasi seperrti Windows Media Player, IRC atau telnet dapat langsung menggunakannya seperti bila terhubung langsung ke internet.

Kelemahan dari proxy level sirkuit adalah tidak bisa memeriksa isi dari paket yang dikirimkan atau diterima oleh aplikasi-aplikasi yang menggunakannya.

3.3 Bandwith Management

3.3.1 Quality of Service 

Quality of Service atau QoS digunakan untuk mengukur tingkat kualitas koneksi jaringan TCP/IP internet atau intranet. Ada beberapa metode untuk mengukur kualitas koneksi seperti konsumsi bandwidth oleh user, ketersediaan koneksi, latency, losses dll. Sekarang kita bahas istilah-istilah dalam Quality of Service.

Bandwidth

Bandwidth adalah kapasitas atau daya tampung kabel ethernet agar dapat dilewati trafik paket data dalam jumlah tertentu. Bandwidth juga bisa berarti jumlah konsumsi paket data per satuan waktu dinyatakan dengan satuan bit per second [bps]. Bandwidth internet di sediakan oleh provider internet dengan jumlah tertentu tergantung sewa pelanggan. Dengan QoS kita dapat mengatur agar user tidak menghabiskan bandwidth yang disediakan oleh provider.

Latency

Jika kita mengirimkan data sebesar 3 Mbyte pada saat jaringan sepi waktunya 5 menit tetapi pada saat ramai 15 menit, hal ini di sebut latency. Latency pada saat jaringan sibuk berkisar 50-70 msec.

Losses adalah jumlah paket yang hilang saat pengiriman paket data ke tujuan, kualitas terbaik dari jaringan LAN/WANmemilikijumlah lossespaling kecil.

Availability

Availability berarti ketersediaan suatu layanan web, smtp, pop3 dan aplikasi pada saat jaringan LAN/WAN sibuk maupun tidak.

Linux Traffic Control

Pengendalian trafik jaringan. Trafik jaringan berhubungan dengan paket data yang dibangkitkan oleh kartu ethernet pada komputer, sebelumnya kita membahas terlebih dahulu kartu ethernet. Pada Gambar dibawah ini menunjukkan computer linux dengan satu kartu ethernet.

Gambar 3.3-1 Komputer dengan Satu Kartu Ethernet

Paket data yang dikirimkan oleh komputer lain diterima NIC (kartu ethernet), kemudian teruskan oleh driver kartu ethernet (Network Driver) ke bagian kernel linux untuk diproses. Proses ini hanya mengatur paket data yang keluar maupun masuk melalui satu kartu ethernet. Kernel linux yang bertanggung jawab mengaturaliran data disebu tkernel traffic control.

Sedangkan pada gambar di bawah menggambarkan komputer linux yang dioperasikan sebagai gateway atau router, aliran paket data dapat diatur secara bidirectional (dua arah) melalui NIC0 dan NIC1. Gateway linux dikonfigurasi untuk memisahkan trafik dari jaringan lain atau koneksi internet yang disediakan oleh ISP. Hubungan komputer klien yang dibagian

NIC1 ke ISP dapat dikendalikan, misalnya bandwidth smtp dijatah 64Kbps, &ftp mendapatkan bandwidth 10Kbps.

Gambar 3.3-2 Komputer Linux sebagai Router/Gateway

Struktur kernel traffic control

Pada dasarnya kernel traffic controll memiliki 3 bagian, yang pertama perangkat ingress yaitu jika paket data diterima oleh kartu LAN maka paket tersebut akan diproses oleh ingress, biasanya ingress dipakai untuk mengendalikan traffic upload / uplink. Kemudian perangkat egress dipergunakan untuk mengendalikan paket data yang keluar dari kartu ethernet, sehingga trafik download oleh computer klien dapat dibatasi sesuai konfigurasi.

Gambar 3.3-3 Struktur Kernel Traffic Control

Metode pengendalian trafik

Dalam mengendalikan trafik administrator jaringan bisa memilih beberapa metode tergantung dari situasi pada jaringan LAN atau backbone. Tiap trafik akan dikendalikan dengan metode tertentu yang akan berdampak pada kecepatan akses, jadi administrator jaringan perlu membaca dan mengerti bagian ini terlebih dahulu, beberapa metode pengendalian trafik sebagai berikut:

Pada metode prioritas paket data yang melintasi gateway diberikan prioritas berdasarkan port, alamat IP atau sub net. Jika trafik pada gateway sedang tinggi maka prioritas dengan nilai terendah (nilai paling rendah berarti prioritas tertinggi) akan di proses terlebih dahulu, sedangkan yang lainnya akan di berikan ke antrian atau dibuang. Metode prioritas paling cocok diterapkan pada koneksi internet yang memiliki bandwidth sempit, hanya trafik paling penting sajayang dilewatkan sepertismtp dan pop3.

FIFO

Pada metode FIFO jika trafik melebihi nilai set maka paket data akan dimasukkan ke antrian, paket data tidak mengalami pembuangan hanya tertunda beberapa saat. Metode FIFO cocok diterapkan pada koneksi internet dengan bandwidth menengah 64kbps, untuk menghindari bootle neck pada jaringan LAN. Paket data jika melebihi batas konfigurasi akan di masukkan ke dalam antrian dan pada saat jaringan LAN tidak sibuk maka paket data dalam antrian akan dikeluarkan.

Penjadwalan 

Metode penjadwalan atau scheduling ini paling sering dipakai karena memiliki kemampuan membagi paket data ke dalam ukuran yang sama besar kemudian memasukkan ke dalam beberapa antrian. Antrian itu kemudian di keluarkan oleh scheduler dengan algoritma round robin.

Shape&drop

Shape & drop merupakan metode paling cocok serta efektif untuk jaringan yang memiliki beban trafik sangat tinggi. Jika trafik melebihi nilai set maka paket data akan di masukan ke dalam antrian sehingga trafik menurun secara perlahan, metode ini disebut pemotongan bandwidth, kemudian jika trafik terus menerus melebihi nilai set maka paket data akan dibuang (drop).

qdisc

Antrian dalam setiap kartu ethernet di sebut qdisc (queuing discipline) yang dipergunakan untuk menyimpan antrian paket data, paket data masuk ataupun keluar melalui qdisc. Paket data yang memasuki qdisc akan dipisahkan oleh bagian filter untuk menentukan port / alamat ip yang akan diatur aliran trafiknya. Bagian class atau klasifikasi trafik akan dibahas pada bagian berikutnya, sedangkan qdisc yang berwarna ungu dipergunakan untuk mengeluarkan paket data ke kartu ethernet.

Gambar 3.3-4 Queuing Discipline

3.3.2 Teknik Antrian First In First Out

Teknik antrian FIFO mengacu pada FCFS (First Come First Server), paket data yang pertama datang diprosesterlebih dahulu. Paketdatayang keluarterlebih dahulu dimasukan ke dalam antrian FIFO, kemudian dikeluarkan sesuai dengan urutan kedatangan. Teknik antrian FIFO sangat cocok untuk jaringan dengan bandwidth menengah 64kbps tetapi cukup menghabiskan sumber daya prosessor dan memori.

Gambar 3.3-5 Antrian FIFO

Gambar diatas menunjukkan kedatangan beberapa paket data yang berbeda waktu, paket pertama (1) dari flow 8 yang tiba lebih awal dikeluarkan ke port terlebih dahulu oleh antrian FIFO.

Untuk men-set antrian kita memerlukan perintah “tc” dengan qdisc pfifo, parameter limit untuk menentukan batas maksimum antrian.

Menambahkan qdisc FIFO

[root@server root]# tc qdisc add dev eth0 root pfifo limit 100 [root@server root]# tc qdisc show dev eth0

qdisc pfifo 8001: limit 100p

untuk melihatpaketdatayang telah diterimadengan perintah [root@server root]# tc -s -d qdisc ls dev eth0

qdisc pfifo 8001: limit 100p

Sent 267399 bytes 318 pkts (dropped 0, overlimits 0) Menghapus qdisc FIFO

[root@server root]# tc qdisc del dev eth0 root

Prioritas Antrian

Pada situasi tertentu kadangkala kita harus memutuska