VIRTUAL PRIVATE NETWORK DI CISCO PACKET TRACER A. VPN Router ke Router PDF

Preview

Summary

VIRTUAL PRIVATE NETWORK DI CISCO PACKET TRACER A. VPN Router ke Router VPN router ke router pada intinya membuat sebuah tunneling antara router dengan router. Misal Router0 akan membuat tunneling ke Router2. Pembuatan tunneling ini dengan membungkus destination IP dan source IP menjadi IP address ro...

Description

VIRTUAL PRIVATE NETWORK DI CISCO PACKET TRACER A. VPN Router ke Router VPN router ke router pada intinya membuat sebuah tunneling antara router dengan router. Misal Router0 akan membuat tunneling ke Router2. Pembuatan tunneling ini dengan membungkus destination IP dan source IP menjadi IP address router. Langkah-langkah pembuatan VPN router ke router adalah : Skema jaringan seperti dibawah ini :

Konfigurasikan masing-masing PC dan Router sampai semua terkoneksi. Nama Device

Interface

IP Address

PC0

Fast Ethernet 0

192.168.1.100

Router0

Fast Ethernet 0/0

192.168.1.200

Router0

Fast Ethernet 0/1

193.168.1.100

Router1

Fast Ethernet 0/0

193.168.1.200

Router1

Fast Ethernet 0/1

194.168.1.100

Router3

Fast Ethernet 0/1

194.168.1.200

Router3

Fast Ethernet 0/0

195.168.1.100

Router2

Fast Ethernet 0/1

195.168.1.200

Router2

Fast Ethernet 0/0

196.168.1.100

Laptop0

Fast Ethernet 0

196.168.1.200

Routing masing-masing Router menggunakan Routing RIP dengan memasukkan network address dari masing-masing interface yang dimiliki. Misal Router0 memiliki IP address interface Fa0/0 192.168.1.200 dan Fa0/1 193.168.1.100, maka pada RIP dimasukkan 192.168.1.0 dan 193.168.1.0. Berikut simulasi jaringan yang telah dikonfigurasi :

Screen shot Konfigurasi salah satu router (Router0) :

Hasil ping & trace route dari PC0 ke Laptop0 (192.168.1.100 ke 196.168.1.200) :

Untuk melihat perbedaan antara packet yang menggunakan VPN dan yang tidak menggunakan VPN, kita harus melakukan simulasi terlebih dahulu pada jaringan yang tidak menggunakan VPN.

Pada jaringan tanpa VPN, data yang dikirim dari 192.168.1.100 ke 196.168.1.200 layer 3 tidak pernah di enkripsi dan tidak pernah dibungkus. Asal IP (source IP) tetap dari 192.168.1.100 menuju ke (destination IP) 196.168.1.200. Konfigurasi VPN Router ke Router menggunakan IPSec 1. Konfigurasi Router0 Buat access list untuk mendefinisikan siapa saja yang boleh melewati ke router0

Kita membuat sebuah access list baru bernama CP dan pada access list ini yang diperbolehkan melewati router0 adalah ip address dari kelas 192.168.1.0 menuju 196.168.1.0.

Kita membuat sebuah IKE (Internet Key Exchange Protocol) menggunakan ISAKMP SA dan mempunyai policy 1. Enkripsi yang digunakan adalah 3des (triple DES) yang merupakan symetric key. Autentikasi yang digunakan adalah pre-share, jadi dengan pre-share ini antara pengirim dan penerima harus mempunyai kunci yang sama.

Pada script diatas kita membuat sebuah key myvpn untuk nanti koneksi ke 195.168.1.200 dan melakukan setting ipsec dengan nama transform-set : 6 dengan protocol security adalah esp3des dan esp-sha-hmac.

Pada script ini kita membuat sebuah map dengan nama vpn-ngn dengan protocol ipsec-isakmp. Map ini digunakan agar nantinya router yang kita miliki dapat menerima koneksi dari IP lain lain. 2. Konfigurasi Router2

Pada prinsipnya konfigurasi router2 ini sama dengan konfigurasi router0. Perbedaannya, hanya IP address dan interface-nya saja yang disesuaikan. Simulasikan kembali jaringan yang telah dikonfigurasi dengan VPN dengan melakukan pengiriman paket ICMP melalui ping. Lihat perbedaannya.

Data saat baru dikirim dari PC0 masih menunjukan source address 192.168.1.100 dan destination address 196.168.1.200.

Tetapi pada saat data berada pada Router0 data dienkapsulasi dan dirubah source address dan destination address-nya dirubah menjadi 193.168.1.100 untuk source address dan 195.168.1.200 untuk destination address. begitu pula saat data melewati Router1 dan Router3. Baru pada Router2 data dibuka kembali menjadi seperti keadaan awal.

Begitu pula sebaliknya saat response dari Laptop0 ke PC0 akan dienkapsulasi. Itulah prinsip dasar dari VPN Router ke Router melakukan enkapsulasi / penyembunyian source address dan destination address.

B. VPN Host to Host Skema jaringan tanpa VPN :

Nama Device

Interface

IP Address

Server0

Fast Ethernet 0

200.200.200.200/24

Router0

Fast Ethernet 0/0

200.200.200.100/24

Router0

Fast Ethernet 0/1

200.200.100.200/24

Router1

Fast Ethernet 0/1

200.200.100.100/24

Router1

Fast Ethernet 0/0

200.200.50.200/24

Router2

Fast Ethernet 0/1

200.200.50.100/24

Router2

Fast Ethernet 0/0

200.200.150.200/24

PC0

Fast Ethernet 0

200.200.150.100/24

PC1

Fast Ethernet 0

200.200.150.150/24

Konfigurasi routing router RIP dengan mengisi network address dari masing-masing interface yang dimiliki. Untuk PC0 dan PC1 isi gateway dengan 200.200.150.200, dengan Server0 isi gateway dengan 200.200.200.100. Lakukan ping dari PC0 ke Server0 untuk melihat apakah skema jaringan sudah terhubung dengan baik.

Pada server0, service AAA harus dinyalakan, ini tujuannya supaya Server0 dapat melakukan validasi terhadap siapa saja yang masuk ke router.

Client IP adalah IP address Router0 interface Fa0/0. Nantinya hanya IP address 200.200.200.100 inilah yang dapat mengakses AAA Server. Konfigurasi Router0 dengan script seperti dibawah ini : Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login VPNAUTH group radius local Router(config)#aaa authorization network VPNAUTH local Router(config)#crypto isakmp policy 10 Router(config-isakmp)#encr aes 256 Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#group 2 Router(config-isakmp)#ex Router(config)#crypto isakmp client configuration group myciscogroup Router(config-isakmp-group)#key myciscogroup Router(config-isakmp-group)#pool VPNCLIENTS Router(config-isakmp-group)#netmask 255.255.255.0 Router(config-isakmp-group)#ex Router(config)#crypto ipsec transform-set 6 esp-3des esp-sha-hmac Router(config)#crypto dynamic-map mymap 10 Router(config-crypto-map)#set transform-set 6 Router(config-crypto-map)#reverse-route Router(config-crypto-map)#ex Router(config)#crypto map mymap client authentication list VPNAUTH Router(config)#crypto map mymap isakmp authorization list VPNAUTH Router(config)#crypto map mymap client configuration address respond Router(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap Router(config)#ip ssh version 1 Please create RSA keys (of at least 768 bits size) to enable SSH v2. Router(config)#spanning-tree mode pvst Router(config)#int fa0/1 Router(config-if)#crypto map mymap *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Router(config-if)#ex Router(config)#int vlan1 Router(config-if)#no ip address Router(config-if)#shutdown Router(config-if)#ip local pool VPNCLIENTS 201.1.100.100 201.1.100.150 Router(config)#ip route 201.1.100.0 255.255.255.0 200.200.100.100 Router(config)#radius-server host 200.200.200.200 auth-port 1645 key myciscovpn

Pada PC0 atau PC1 coba lakukan tes VPN :

Group Name dan Group Key diisi sesuai dengan nama group name dan group key pada saat kita konfigurasi Router0. Sedangkan username dan password disesuaikan dengan nama user dan password yang kita isi pada AAA server. Nantinya kita akan mendapatkan Client IP.

Pada saat kita melakukan ping ke 200.200.200.200 (server0), maka setelah terjadi tunneling destination IP akan terlebih dahulu menuju 200.200.100.200 (Router0, interface fa0/1).

Baru pada 200.200.100.200 (Router0) destination IP akan dirubah ke tujuan sebenarnya....