by: CITRAWEB SOLUSI TEKNOLOGI, PT
Aturan | Tentang Kami | Kontak Kami

Artikel

Kesalahan konfigurasi pada Layer 2 (Bridge)

Jum'at, 26 November 2021, 14:10:15 WIB
Kategori: Tips & Trik

Saat mengimplementasikan jaringan, kita harus teliti saat melakukan konfigurasi. Baik konfigurasi hardware atau fisik maupun konfigurasi software. Tentunya topologi dan desain jaringan harus dibuat secara detail dan efisien untuk menghindari terjadi error saat diterapkan di lapangan.

Kesalahan yang biasa dilakukan dalam membuat perencanaan instalasi jaringan ini biasanya terjadi karena kita kurang memperhatikan desain layer 2 yang akan kita bangun. Padahal agar jaringan kita dapat berfungsi dengan baik, salah satu syaratnya adalah tidak adanya kesalahan yang terjadi di Layer 2. Kesalahan konfigurasi di Layer 2 ini bisa mengakibatkan beberapa permasalahannya, diantaranya adalah turunnya performa jaringan secara random, malfungsi suatu service di jaringan, tidak dapat melewatkan data ke segmen tertentu, atau bahkan bisa juga mengakibatkan jaringan kita sama sekali tidak berfungsi.

Berikut beberapa rangkuman studi kasus kesalahan konfigurasi yang sering terjadi pada layer 2. Khususnya pada Bridging dan Switching pada perangkat mikrotik. Beberapa kasus mencakup konfigurasi umum yang sering digunakan dan tidak terlalu umum yang bisa menyebabkan masalah di jaringan Anda.

 

Kasus 1 : Multiple Bridge dalam satu Switch Chip
Pada RouterBoard Mikrotik terdapat beberapa perangkat atau tipe RB yang sudah dilengkapi dengan switch chip. Fungsi dari switch chip ini adalah untuk mengaktifkan hardware offload pada bridge. Dan traffic akan dilewatkan switch chip untuk mengurangi beban CPU.

Skenario :
Anda ingin menambahkan 2 bridge yang berbeda pada satu switch chip yang sama. Dan mengaktifkan hardware offload pada kedua interface bridge agar throughput lebih maksimal. Hal ini digunakan untuk mengisolasi bridge1 dan bridge2 agar tidak bisa saling berkomunikasi karena berada pada domain yang berbeda. Berikut contoh konfigurasinya yang diterapkan :

 

/interface bridge
add name=bridge1
add name=bridge2
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge2 interface=ether4 hw=yes
add bridge=bridge2 interface=ether5 hw=yes


Hasil konfigurasinya adalah sebagai berikut : 

Problem yang muncul :
Jika dilihat, terdapat 2 bridge yang berbeda dan ingin menggunakan fitur hardware offload. Hal ini tidak bisa dilakukan, karena kedua bridge tersebut berada pada satu switch chip yang sama.

Dan hardware offload hanya bisa digunakan pada salah satu interface bridge saja. Port yang berada pada bridge2 akan menggunakan CPU yang mungkin akan menyebabkan beberapa masalah seperti CPU Load tinggi, transfer data yang lambat, dll.
 
Solusi :
Karena hardware offload hanya bisa diaktifkan pada 1 bridge, maka kita bisa arahkan hardware offload ke bridge2 dan bridge1 akan dilewatkan ke CPU karena tidak menggunakan hardware offload.

Apabila kita memang membutuhkan dua segmen yang berbeda dalam satu switch chip, kita bisa menggunakan perangkat yang sudah mendukung port isolation, seperti perangkat CRS1xx/CRS2xx. Atau sebagai alternatif lain kita bisa mengimplementasikan VLAN di jaringan yang kelola.

 

Kasus 2 : Packet Flow dengan HW-Offload dan Mac Learning

Skenario :
Anda mempunyai interface bridge dan sudah mengaktifkan hardware offload agar bisa mendapatkan throughput yang maksimal. Dan perangkat anda sudah berfungsi sebagai switch, tetapi Anda ingin menggunakan tools Sniffer atau Torch untuk keperluan debugging, atau mungkin anda ingin melakukan pencatatan paket yang melewati interface tersebut.

Berikut konfigurasinya :

 

 /interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes


Masalah yang muncul :
Saat tools sniffer atau torch diaktifkan untuk menangkap packet yang melewati switch chip terutama dari ether1 ke ether2, maka hampir tidak ada paket yang terlihat. Yang terdeteksi hanya beberapa paket unicast, tetapi sebagian besar paket broadcast/multicast terdeteksi.

Sementara interface bridge menunjukkan bahwa traffic yang lewat jauh lebih besar dibandingkan hasil traffic yang tertangkap. Kenapa hal ini bisa terjadi? Kemungkinan karena kita sudah mengaktifkan Hardware Offload, maka switch chip akan digunakan untuk meneruskan paket antar port.

Untuk memahami mengapa hanya beberapa paket yang ditangkap, pertama-tama kita harus memeriksa bagaimana switch chip saling berhubungan dengan CPU, dalam contoh ini kami menggunakan diagram blok dari router dengan 5 port ethernet :

 

Untuk perangkat diatas berdasarkan diagram, setiap port Ethernet terhubung ke Switch Chip dan switch chip terhubung ke CPU menggunakan port CPU (atau sering disebut port switch-cpu). Agar paket terlihat di tools Sniffer atau Torch, paket harus dikirim dari port Ethernet ke port CPU, dalam artian destinasi packet harus ke port CPU tersebut (alamat MAC tujuan paket cocok dengan Mac address bridge) atau mac address paket belum dikenali pada tabel host.

 

Switch Chip menyimpan daftar mac address dan port pada tabel Host. Saat sebuah paket perlu di forward, switch chip akan melakukan pengecekan mac address packet tujuan yang terdapat pada tabel host. Untuk menemukan port mana yang harus digunakan untuk meneruskan sebuah paket. Jika switch chip tidak dapat menemukan mac address tujuan pada tabel host, maka paket akan di broadcast ke semua port (termasuk port CPU-Switch).

Dalam situasi tertentu, dimana sebuah paket seharusnya diforward dari ether1 ke ether2. Maka mac address untuk perangkat yang terkoneksi di ether2 ada di tabel host, dan paket tersebut tidak pernah dikirim ke CPU dan tidak akan terlihat oleh Sniffer atau Torch.

Solusi :
Karena paket dengan mac address tujuan yang sudah dikenali tidak akan dikirim ke CPU (dalam kasus ini dari ether1 ke ether2). Maka kita bisa menambahkan rule baru pada switch rule atau ACL. Yaitu dengan melakukan Copy atau mengarahkan ulang paket tersebut ke CPU. Yang nantinya, anda bisa gunakan untuk menganalisa paket tersebut menggunakan Sniffer atau Torch. Di bawah ini adalah contoh cara konfigurasi untuk mengirim salinan paket yang ditujukan untuk mac address = 4C:5E:0C:4D:12:4A

 

 /interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4A/FF:FF:FF:FF:FF:FF ports=ether1 switch=switch1

 

Kasus 3 : Membuat Interface VLAN di Interface Slave Bridge
Skenario :
Terdapat 2 interface yang sudah dimasukkan kedalam interface bridge (ether2 dan ether3). Dan anda membuat interface vlan pada interface ether1 dan menambahkan beberapa konfigurasi seperti IP address dan DHCP Server pada Vlan tersebut. Berikut konfigurasinya:

 

 /interface bridge
add name=bridge1
/interface bridge port
add interface=ether2 bridge=bridge1
add interface=ether3 bridge=bridge1
/interface vlan
add name=VLAN99 interface=ether2 vlan-id=99
/ip pool
add name=VLAN99_POOL range=192.168.99.100-192.168.99.200
/ip address add address=192.168.99.1/24 interface=VLAN99
/ip dhcp-server
add interface=VLAN99 address-pool=VLAN99_POOL disabled=no
/ip dhcp-server network
add address=192.168.99.0/24 gateway=192.168.99.1 dns-server=192.168.99.1



Masalah yang muncul :
Dhcp server tidak berjalan dengan sempurna pada interface VLAN. Ada beberapa client tidak mendapatkan IP, ada juga yang mendapatkan IP Address. Selain itu, router menjadi tidak dapat diakses dari jaringan Vlan.

Alasan utamanya, ketika kita sudah membuat interface bridge lalu menambahkan interface kedalam bridge tersebut, maka interface tersebut akan menjadi interface slave. Jika ingin menambahkan fitur tertentu, maka harus di interface bridge yang bekerja sebagai Master Port.

Solusinya :
Pindahkan interface Vlan menuju interface bridge agar client tetap mendapatkan dhcp dari vlan tersebut.

 

 /interface vlan set VLAN99 interface=bridge1


Sebenarnya ada banyak kasus yang mungkin terjadi saat mengimplementasikan jaringan terutama pada layer 2 maupun layer 3. Baik kesalahan fisik atau secara konfigurasi, kita harus jeli dan teliti dalam membangun topologi jaringan yang ada. Cek juga beberapa parameter dan konfigurasi yang mungkin bisa menjadi masalah di jaringan. Anda bisa melihat beberapa referensi yang ada di internet atau wiki.mikrotik.com untuk mendapatkan konfigurasi paling ideal.

Perhatikan juga pemetaan interface dan kabel untuk menghindari terjadinya looping di jaringan. Di mikrotik sudah terdapat beberapa fitur untuk menghindari looping di jaringan seperti Spanning Tree Protocol, Loop Protect, dll. Untuk kesalahan konfigurasi pada jaringan VLAN, akan kita bahas di artikel selanjutnya.

Artikel ini dibuat pada tanggal 26 November 2021




Kembali ke :
Halaman Artikel | Kategori Tips & Trik