Dalam operasi jaringan , ada banyak hal yang sering kali membuat pusing kepala kita sebagai administrator jaringan . Hal yang paling menyebalkan adalah memonitor aktifitas di jaringan . Mendeteksi apakah ada yang tidak normal di jaringan . Apakah ada serangan virus? Kemana aja arah pembicaraan / traffic di lakukan?
Hal lain yang juga tidak kalah menyebalkannya adalah kekurangan bandwidth di jaringan yang kita managed. Sering kali kita ingin menambahkan bandwidth dari sumber lain, misalnya dari ISP ke dua (2), yang berbeda dari ISP kita yang pertama. Oleh karena itu, kita akan membutuhkan teknik-teknik untuk melakukan akses Internet dengan lebih dari satu sambungan ke Internet .
Dua (2) hal tersebut akan di jelaskan dengan lebih detail pada kesempatan ini.
Memonitor Aktifitas Jaringan Menggunakan NTOP
Untuk memonitoring aktifitas di jaringan , pada masa lalu kita lebih sering menggunakan software Multi Router Traffic Grapher (MRTG). MRTG memungkinkan kita untuk melihat bandwidth total yang digunakan di jaringan . MRTG sebetulnya relatif sederhana sekali, tidak ada informasi lebih detail tentang aktifitas detail yang terjadi di jaringan .
Belakangan, saya lihat software NTOP akan sangat menarik jika kita gunakan untuk memonitor aktiftas yang terjadi di jaringan kita karena sangat banyak sekali informasi yang dapat di peroleh tetapi teknik instalasi-nya sangat sederhana sekali.
Saya kebetulan banyak menggunakan Ubuntu belakangan ini karena ternyata lebih tidak rewel, dan relatif reliable di bandingkan dengan distribusi Linux yang lain. Ubuntu dapat di peroleh dengan mudah di Internet , bahkan repository-nya dapat di peroleh dalam bentuk DVD yang distribusi-nya dapat dilihat di situs http://www.ubuntu-id.org.
Kita perlu menginstalasi NTOP bersama RRD tool, pada Ubuntu 7.04, dapat dilakukan menggunakan perintah,
# apt-get install ntop
# apt-get install rrdcollect rrdtool rrdtool-tcl
Saya perhatikan RRD tool tidak membuat folder yang dibutuhkan, oleh karena itu kita perlu membuat berbagai direktory yang dibutuhkan oleh RRD mengunakan perintah
# mkdir /var/lib/ntop/rrd
# mkdir /var/lib/ntop/rrd/graphics
# mkdir /var/lib/ntop/rrd/flows
# mkdir /var/lib/ntop/rrd/interfaces
# chown -Rf ntop.root /var/lib/ntop
Pengalaman saya supaya tidak rewel, ada baiknya di ubah permission dari folder RRD menjadi 777. Memang ini berbahaya sekali untuk operasi di level ISP, tapi di level RT/RW-net atau perkantoran atau WARNET yang keamanannya tidak terlalu berbahaya sekali tampaknya agak aman-aman untk mengubah permission menjadi 777 menggunakan perintah
# chmod -Rf 777 /var/lib/ntop/rrd
Selanjutnya kita perlu menset password administrator ntop menggunakan perintah
# ntop –set-admin-password
Untuk menjalankan ntop dapat dilakukan menggunakan perintah
# ntop
atau
# /etc/init.d/ntop start
Selesai sudah dan NTOP dapat digunakan dengan cara mengakses menggunakan Web pada alamat http://localhost:3000 .
Home page / menu pertama yang akan di tampilkan pada halaman Web NTOP adalah rangkuman aktifitas jaringan yang terjadi pada router yang kita manage. Secara umum kita akan dapat melihat laporan traffic, distribusi traffic berdasarkan protocol, detail distribusi traffic TCP/UDP, distribusi nomor port yang digunakan.
Pada menu IP -> Summary -> Traffic kita kan melihat tampilan yang lebih dahsyat. Kita dapat melihat dengan jelas host mana saja yang dihubungi, lokasi mesin yang dihubungi, total Mbyte, Mbyte berdasarkan protocol. Kita dapat mengurut traffic yang di tampilkan untuk memudahkan analisa.
Saya sering melakukan sorting berdasarkan Byte data yang dikirim dengan demikian kita dapat langsung melihat dari situs mana saja yang memakan bandwidth kita dari Internet . Jika dibutuhkan kita dapat dengan mudah memfilter / memblok akses ke situs tersebut menggunakan firewall.
Pada menu Summary -> Network Load kita dapat dengan mudah melihat load traffic yang ada di jaringan . Tampilan ini juga dapat di peroleh menggunakan MRTG. Sayang, konfigurasi MRTG lebih rumit bagi sebagian besar orang.
Network load ini dapat dilihat berdasarkan waktu, 10 menit yang lalu, jam yang lalu, hari, bulan mau tahun. Sehingga kita dapat dengan mudah melihat aktifitas yang terjadi dijaringan.
Melalui menu yang lain kita dapat melihat detail summary / grafik dari berbagai protokol / aplikasi yang digunakan dalam jaringan berdasarkan waktu.
Yang tidak kalah menarik, jika kita klik nama mesin / IP address mesin yang ada di tabel akan di perlihatkan karakteristik dari mesin tersebut. kita jadi tahu apa aja yang dilakukan oleh sebuah mesin.
Tentunya masih banyak hal yang dapat kita lihat dari NTOP yang tidak akan di terangkan pada bagian ini. Sangat saya sarankan bagi anda yang menginstalasi NTOP untuk mengeksplorasi NTOP dan melihat aktifitas yang ada di jaringan .
Load Balancing Beberapa Sambungan Internet
Pada berbagai kesempatan di mailing list, banyak sekali orang yang bertanya teknik untuk melakukan load balancing atau menggunakan secara bersamaan beberapa sambungan ke Internet sekaligus. Hal ini terjadi karena sering kali kita dapati bandwidth dari sebuah ISP tidak mencukupi. Kita memerlukan tambahan bandwidth dari bandwidth yang sudah ada.
Teknik yang sering digunakan untuk menambahkan bandwidth dari yang sudah biasanya adalah load balancing dari beberapa link / sambungan Internet . Teknik load balancing sangat erat hubungannya dengan teknik routing. Teknik routing yang sederhana menggunakan parameter gateway yang mempunyai satu gateway saja. Teknik load balancing termasuk kategori advanced bukan untuk pemula.
Pada gambar di perlihatkan sebuah LAN dengan IP address 192.168.0.0/24 tersambung ke dua buah sambungan sekaligus, yaitu, ADSL Speedy dan Wireless Internet yang menggunakan 2.4GHz. Kita berharap bandwidth dari Speedy dan Wireless Internet dapat sekaligus termanfaatkan.
Untuk itu kita menggunakan sebuah Linux Gateway yang mempunyai tiga (3) LAN card. Semakin banyak sambungan ke Internet semakin banyak LAN card yang dibutuhkan. Dalam percobaan saya menggunakan Ubuntu yang di install hanya shell saja.
LAN di RT/RW-net atau kantor menggunakan IP address 192.168.0.0/24. Linux gateway mempunyai tiga (3) LAN card dengan tiga (3) IP address yang berbeda, yaitu,
eth0 IP address 10.0.148.48 gateway 10.0.148.254 ke Provider Wireless
eth1 IP address 192.168.0.222 ke LAN RT/RW-net yang kita layani
eth2 IP address 192.168.1.222 gateway 192.168.1.1 ke ADSL Speedy
Konfigurasi Linux PC gateway agar mendukung load balancing yang perlu dilakukan adalah sebagai berikut.
Install SSH server agak mudah di remote dari komputer lain, lakukan,
# apt-get install openssh-server
# /etc/init.d/ssh restart
Edit file /etc/network/interfaces pastikan agar isinya adalah
auto eth0
iface eth0 inet static
address 10.0.148.48
netmask 255.255.255.0
auto eth1
iface eth1 inet static
address 192.168.0.222
netmask 255.255.255.0
auto eth2
iface eth2 inet static
address 192.168.1.222
netmask 255.255.255.0
Melalui perintah di atas, kita pada dasarnya memberikan IP address statik pada eth0, eth1 dan eth2. Masing-masing 10.0.148.48, 192.168.0.222 dan terakhir ke eth2 192.168.1.222.
Isi file /etc/iproute2/rt_tables dengan tabel adsl, wirelessisp dan internet agar memudahkan iproute2 bekerja. Isi /etc/iproute2
120 adsl
121 wirelessisp
123 internet
Buat script untuk menjalankan menset iproute2 agar menjalankan load balancing. Script tersebut dapat di panggil dari /etc/rc.local agar langsung operasional pada saat PC router Linux di booting.
# aktifkan interface lo, eth0, eth1, dan eth2
/sbin/ip link set lo up
/sbin/ip link set eth0 up
/sbin/ip link set eth1 up
/sbin/ip link set eth2 up
# flush / bersihkan tabel routing yang ada
# flush tabel router adsl, table wirelessisp dan tabel internet
/sbin/ip route flush table adsl
/sbin/ip route flush table wirelessisp
/sbin/ip route flush table internet
# masukan informasi IP address & broadcast address dari masing-masing interface
/sbin/ip addr add 127.0.0.1/8 brd 127.0.0.255 dev lo
/sbin/ip addr add 192.168.1.222/24 brd 192.168.1.255 dev eth2
/sbin/ip addr add 10.0.148.48/24 brd 10.0.148.255 dev eth0
/sbin/ip addr add 192.168.0.222/24 brd 192.168.0.255 dev eth1
# masukan tabel routing ke arah LAN / RT/RW-net yang sifatnya statik
# routing ke arah LAN / RT/RW-net / kantor sifatnya statik
/sbin/ip route add 127.0.0.0/8 dev lo
/sbin/ip route add 192.168.0.0/24 dev eth1
# beri prioritas untuk masing-masing tabel
/sbin/ip rule add prio 10 table main
/sbin/ip rule add prio 20 table adsl
/sbin/ip rule add prio 30 table wirelessisp
/sbin/ip rule add prio 40 table internet
# delete routing ke arah default gateway
/sbin/ip route del default table main
/sbin/ip route del default table adsl
/sbin/ip route del default table wirelessisp
/sbin/ip route del default table internet
# buat tabel routing ke arah ADSL Speedy
/sbin/ip rule add prio 20 from 192.168.1.0/24 table adsl
/sbin/ip route add default via 192.168.1.1 dev eth2 src 192.168.1.222 \
proto static table adsl
/sbin/ip route append prohibit default table adsl metric 1 proto static
# buat tabel routing ke arah Wireless ISP
/sbin/ip rule add prio 30 from 10.0.148.0/24 table wirelessisp
/sbin/ip route add default via 10.0.148.254 dev eth0 src 10.0.148.48 \
proto static table wirelessisp
/sbin/ip route append prohibit default table wirelessisp metric 1 proto static
Perhatikan pada routing ke arah ADSL Speedy dan Wireless ISP routing default dibuang (prohibit). Hal ini dilakukan supaya nantinya dapat dilakukan load balancing beberapa sambungan ke Internet .
# Set up load balancing ke dua (2) buah gateway ke Internet
/sbin/ip rule add prio 40 table internet
/sbin/ip route add default proto static table internet \
nexthop via 192.168.1.1 dev eth2 weight 1 \
nexthop via 10.0.148.254 dev eth0 weight 1
Di bagian akhir ini terlihat proses load balancing-nya dengan cara mengarahkan default ke table Internet yang mempunyai dua buat “nexthop” melalui 192.168.1.1 eth2 dan 10.0.148.254 eth0. Perhatikan parameter weight, disini digunakan nilai weight yang sama maka prioritas paket akan sama baik untuk eth0 maupun eth2. Jika kita bedakan nilai weight-nya maka nilai weight yang lebih besar akan memperoleh prioritas untuk dilalui paket lebih rendah.
Buat script untuk melakukan NAT untuk ke dua (2) interface menuju Internet . Script tersebut dapat di letakan di /etc/rc.local jika mau. Contoh script adalah sebagai berikut,
# pastikan agar PC Linux dapat memforward IP paket
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# bersihkan isi iptables
/sbin/iptables -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i eth1 -j ACCEPT
sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -i eth2 -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A INPUT -p udp -i eth2 -j REJECT --reject-with icmp-port-unreachable
# lakukan source NAT untuk eth0 dan eth2
/sbin/iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to 192.168.1.222
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.0.148.48
No comments:
Post a Comment