Pages

Konfigurasi Trunk Pada Switch Cisco

Pada artikel sebelumnya telah di bahas tentang konsep Trunk dan di artikel ini akan dibahas tentang konfigurasi trunk di switch Cisco.















Pada sebuah topologi terdapat 2 buah switch dimana pada masing-masing switch terdapat 3 VLAN : 10, 20, 30 dan 6 PC yang IP nya sudah dikonfig sesuai topologi. Kita akan konfigurasi VLAN trunking dengan skenario sebagai berikut :

VLAN 10
PC1 ke Switch1 port fa0/1
PC5 ke Switch2 port fa0/2

VLAN 20
PC2 ke Switch1 port fa0/2
PC6 ke Switch2 port fa0/3 

VLAN 30
PC3 ke Switch1 port fa0/3
PC4 ke Switch2 port fa0/1

 Trunk di port fa0/4 pada masing-masing switch
Trunk encapsulation : dot1q
Native VLAN : 90

Berikut adalah switchport status default pada switch Cisco.

Switch1#show interfaces fa0/4 switchport
Name: Fa0/4
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none

Pada switch Cisco, berikut adalah status switchport default pada interface :
- Administrative Mode.
Merupakan switchport mode default yaitu dynamic auto.
- Administrative Trunking Encapsulation.
Merupakan enkapsulasi default yaitu dot1q.
- Trunking Native Mode VLAN.
Native VLAN default menggunakan VLAN 1.
- Capture VLANs Allowed
Secara default, semua VLAN dibolehkan masuk ke trunk port. Namun anda bisa membuat limitasi VLAN mana saja yang diperbolehkan masuk ke trunk port.

Berikut adalah langkah-langkah konfigurasi trunk :
- Konfigurasi VLAN membership.
Tambahkan VLAN 10, 20, dan 30 di masing-masing switch serta VLAN 90 untuk native VLAN.

Switch1
Switch1(config)#vlan 10
Switch1(config-vlan)#name VLAN10
Switch1(config-vlan)#vlan 20
Switch1(config-vlan)#name VLAN20
Switch1(config-vlan)#vlan 30
Switch1(config-vlan)#name VLAN30 
Switch1(config-vlan)#vlan 90
Switch1(config-vlan)#name native90 

 Switch2 
Switch2(config)#vlan 10
Switch2(config-vlan)#name VLAN10
Switch2(config-vlan)#vlan 20
Switch2(config-vlan)#name VLAN20
Switch2(config-vlan)#vlan 30
Switch2(config-vlan)#name VLAN30
Switch2(config-vlan)#vlan 90
Switch2(config-vlan)#name native90 

Daftarkan interface ke masing-masing VLAN.

Switch1
Switch1(config)#interface fa0/1 
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan 10
Switch1(config-if)#interface fa0/2
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan 20
Switch1(config-if)#interface fa0/3
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan 30

Switch2
Switch2(config)#interface fa0/2
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan 10
Switch2(config-if)#interface fa0/3
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan 20
Switch2(config-if)#interface fa0/1
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan 30

- Konfigurasi Trunk port.
Ubah port mode interface fa0/4 menjadi mode trunk. Gunakan command switchport mode trunk pada interface level configuration submode.

Switch1(config)#interface fa0/4
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to up

 Akan muncul pesan log yang menunjukan bahwa line protocol status nya menjadi up, artinya trunk sudah establish dengan Switch2. Di Switch2 tidak perlu di konfig juga trunk port nya, karena port fa0/4 di Switch2 masih dalam port mode default yaitu dynamic auto. Port mode dynamic auto akan menjadi trunk bila port switch lawan nya mode trunk. Untuk negosiasi trunk port secara dynamic bisa menggunakan DTP (Dynamic Trunking Protocol)  dengan command switchport mode dynamic [auto || desirable]

Switch1(config-if)#int fa0/4
Switch1(config-if)#switchport mode dynamic ?
auto       Set trunking mode dynamic negotiation parameter to AUTO
desirable  Set trunking mode dynamic negotiation parameter to DESIRABLE

- Konfigurasi Native VLAN.
Native VLAN default pada switch Cisco adalah VLAN 1. Untuk mengubah native VLAN, gunakan command switchport trunk native vlan [VLAN_ID] pada interface configuration mode.

Switch1
Switch1(config)#interface fa0/4
Switch1(config-if)#switchport trunk native vlan 90

 Lakukan hal yang sama di Switch2. Native VLAN antar kedua switch harus sama. Jika tidak, maka akan muncul pesan error log CDP :
CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/4 (90), with Switch2 FastEthernet0/4 (1).
yang artinya native VLAN antar kedua switch tidak sama yang akan menyebabkan untagged traffic tidak akan bisa melewati trunk link.

Verifikasi :
- Interface switchport status.
Operational mode sudah trunk, berarti trunk sudah aktif antar kedua switch.

Switch1 :
Switch1#show interfaces fa0/4 switchport
Name: Fa0/4
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 90 (native90)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none

 Switch2 :
Switch2#show interfaces fa0/4 switchport
Name: Fa0/4
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 90 (native90)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none

- Trunk status.
Status nya trunking dan semua VLAN dibolehkan masuk ke trunk.

Switch1#show interfaces trunk
Port   Mode  Encapsulation  Status    Native vlan
Fa0/4  on    802.1q         trunking  90
Port Vlans allowed on trunk
Fa0/4 1-1005
Port Vlans allowed and active in management domain
Fa0/4 1,10,20,30,90
Port Vlans in spanning tree forwarding state and not pruned
Fa0/4 1,10,20,30

 Interface fa0/4 tidak akan ada di VLAN brief, karena interface tersubut sudah menjadi trunk.

 Switch1#show vlan brief
VLAN Name                        Status Ports
---- --------------------------- ------ ---------------------------
1    default                     active Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                        Fa0/9,Fa0/11,Fa0/12, 
                                        Fa0/13, Fa0/14, Fa0/15,
                                        Fa0/16, Fa0/17, Fa0/18,
                                        Fa0/19, Fa0/20, Fa0/21,
                                        Fa0/22, Fa0/23, Fa0/24
10   VLAN10                      active Fa0/1
20   VLAN20                      active Fa0/2
30   VLAN30                      active Fa0/3
90   native90                    active 
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
    
- Tes koneksi.
Dari PC1 (192.168.10.11 VLAN 10) bisa ping ke PC5 (192.168.10.12 VLAN 10) yang ada di Switch2.
Begitu juga dengan PC6 (192.168.20.12 VLAN 20) bisa ping ke PC2 (192.168.20.11 VLAN 20) yang ada di Switch1.

Hal di atas memperlihatkan bahwa trunk port bisa membawa lebih dari satu VLAN.

- Limitasi VLAN di Trunk port.
Secara default, semua VLAN diperbolehkan masuk ke trunk port. Namun kita juga bisa membatasi VLAN mana saja yang boleh masuk ke trunk tersebut dengan menggunakan command switchport trunk allowed vlan [vlan_id || add || all || except || none || remove] pada interface level. Konfigurasi ini dilakukan di kedua switch.

 Switch1(config)#interface fa0/4
Switch1(config-if)#switchport trunk allowed vlan ?
WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
none no VLANs
remove remove VLANs from the current list

 Berikut penjelasan masing-masing command :
- WORD => untuk menentukan VLAN mana saja yang boleh masuk ke trunk port. Untuk banyak VLAN bisa menggunakan notasi comma "," atau dash "-", misalnya 10,20,30-40,42-44
- add => Menambah VLAN tertentu di allowed VLAN list.
- all => Memperbolehkan semua VLAN masuk di allowed VLAN list.
- except => Memperbolehkan semua VLAN kecuali VLAN yang di except.
- none => tidak memperbolehkan semua VLAN.
- remove => menghapus VLAN tertentu di allowed VLAN list.

 di sini kita akan mencoba hapus VLAN 10 di trunk port sehingga traffic dari VLAN 10 ini tidak dibolehkan masuk ke trunk.

 Switch1(config-if)#switchport trunk allowed vlan remove 10

 Pada trunk status, terlihat bahwa VLAN 10 sudah tidak ada di allowed VLANs.

 Switch1(config-if)#do show interface trunk
Port   Mode  Encapsulation  Status    Native vlan
Fa0/4  on    802.1q         trunking  90
Port Vlans allowed on trunk
Fa0/4 1-9,11-1005
Port Vlans allowed and active in management domain
Fa0/4 1,20,30
Port Vlans in spanning tree forwarding state and not pruned
Fa0/4 1,20,30

CATATAN :
- agar untagged traffic dapat melewati trunk port, maka pastikan native VLAN masuk di allowed VLAN.

Dari PC1 (192.168.10.11 VLAN 10) sekarang tidak bisa ping ke PC5 (192.168.10.12 VLAN 10) yang ada di Switch2 karena VLAN 10 tidak dibolehkan masuk ke trunk.

Untuk menonaktifkan DTP pada interface yang di set ke mode trunk, bisa menggunakan command switchport nonegotiate. Interface dengan command ini akan mengabaikan DTP advertisement dari switch2. Jadi interface switch2 harus di ubah secara manual ke switchport mode trunk untuk dapat mengaktifkan trunk pada interface ini.

Switch1(config)#interface fa0/4
Switch1(config-if)#switchport nonegotiate 


Latihan  lab :
- Lab 1
- Lab 2
- Jawaban Lab 1
- Jawaban Lab 2

8 comments

Apa itu Trunk ?

Setelah memahami konsep dan konfigurasi VLAN, pada artikel ini akan di jelaskan tentang VLAN Trunking.

Konsep Trunk.
Jika suatu port pada switch di set ke switchport mode access, maka port tersebut hanya akan bisa dilewati oleh 1 VLAN, yaitu VLAN yang di assign ke port tersebut karena tidak mungkin satu port dengan mode access di assign ke lebih dari 1 VLAN. 

Jika jumlah port pada switch sudah tidak mencukupi untuk jumlah PC, maka mau tidak mau anda harus menambah switch baru untuk tambahan port. Lalu bagaimana jika switch-switch yang akan anda hubungkan itu masing-masing berisi lebih dari 1 VLAN? sementara dengan port mode access hanya bisa membawa 1 VLAN? Nah, disini lah anda membutuhkan Trunk.

Dalam VLAN trunking ada beberapa poin yang harus diperhatikan :
- Port mode
- Trunk Encapsulation
- Native VLAN

Switch Port Mode.
Berikut mode-mode port pada layer 2 switching :
- Mode access.
Port dengan mode ini hanya akan bisa membawa 1 VLAN. Itulah mengapa mode ini biasanya hanya di set di port switch yang terhubung ke Endpoint (PC, Server , dll). Port mode access bisa saja di gunakan untuk menghubungkan switch ke switch lain jika port tersebut memang benar-benar hanya digunakan untuk membawa 1 VLAN.



Pada gambar di atas terlihat bahwa semua port pada switch yang terhubung ke PC maupun ke switch lain terdaftar di VLAN 20. Artinya hanya traffic dari VLAN 20 yang dibolehkan melewati port fa0/1.

- Mode Trunk.
Port switch pada mode trunk bisa untuk membawa banyak VLAN. Port mode ini akan menjadi trunk jika port pada switch lawan di set ke mode trunk atau Dynamic Trunking Protocol.

Pada gambar di atas terlihat ada beberapa VLAN yaitu VLAN 10, 20, 30, 40, dan 50. Secara default, trunk port (fa0/1) bisa di lewati oleh traffic dari semua VLAN tersebut, namun bisa di setting juga agar beberapa VLAN saja yang boleh melewati port tersebut.

Mode trunk akan membuat port switch menjadi trunk port secara permanen dan akan memaksa port switch lawan nya untuk membentuk trunk link.

Dynamic Trunking Protocol (DTP).
Untuk negosiasi pembentukan trunk port secara dinamis, bisa menggunakan DTP (Dynamic Trunking Protocol) yang akan secara dinamik mengirimkan atau hanya menerima DTP advertisement.
DTP merupakan protokol Cisco proprietary artinya protokol ini di kembangkan oleh Cisco dan hanya bisa digunakan di switch Cisco.
Berikut adalah port mode pada DTP :
- Mode Dynamic Auto.
Ini adalah mode default untuk port switch Cisco. Port mode ini bersifat passive dalam negosiasi trunk, artinya port ini hanya akan memerima DTP advertisement dari port switch lawannya.
Port ini akan menjadi trunk hanya jika port switch lawan nya adalah mode Trunk atau Dynamic Desirable.

- Mode Dynamic Desirable.
Mode ini adalah kebalikan dari mode dynamic auto, jika pada dynamic auto bersifat passive dalam negosiasi trunk, maka mode dynamic desirable adalah bersifat active. Port mode ini akan secara aktif mengirimkan DTP advertisement ke port switch lawannya.
Port ini akan menjadi trunk port hanya jika port lawan nya adalah dynamic auto, trunk, atau dynamic desirable itu sendiri.

Pada kenyataannya, menggunakan DTP untuk negosiasi trunk port akan berdampak pada masalah network security karena jika ada switch asing yang terkoneksi ke switch di jaringan internal anda maka switch asing tersebut bisa membentuk trunk port dengan switch anda dan bisa mengakes semua VLAN di jaringan anda, tentu hal ini akan menjadi masalah security. Untuk mengatasi hal tersebut anda bisa nonaktifkan DTP secara total dengan menggunakan Switchport Nonegotiate yang kompatibel dengan mode trunk dan mode access.

Port nonegotiate ini akan mengabaikan DTP advertisement, jadi untuk membentuk trunk di port ini maka interface pada swtich lawan juga harus di set ke mode trunk secara manual.

Trunk Encapsulation.
Perhatikan ethernet frame berikut :

Gambar di atas merupakan isi dari ethernet frame pada ethernet switching (Layer 2) traffic.
Trunk beroperasi pada layer 2 switching, sementara di ethernet frame tersebut tidak ada field untuk VLAN. Jika ada traffic yang masuk ke sebuah switch dan akan dilewatkan ke trunk port, lalu bagaimana switch ini mengetahui traffic tersebut milik VLAN mana?sementara pada ethernet frame tidak field VLAN?

Maka dari itu di perlukan yang namanya trunk encapsulation. Ada 2 trunk encapsulation yang digunakan di swtich Cisco yaitu ISL (Cisco Propriatery) dan IEEE 802.1q (open standard). Trunk encapsulation default pada switch Cisco adalah 802.1q. ISL hanya support di beberapa switch Cisco dan ISL sudah sangat jarang digunakan lagi, oleh karena itu kita hanya akan membahas 802.1q












Pada gambar di atas, terlihat bahwa ethernet frame di modifikasi dengan menyisipkan field "Tag" yang berisi VLAN ID. Anggap saja misalnya port pada switch di set ke mode access untuk VLAN 10, maka semua packet yang datang dari PC yang masuk ke port tersebut akan di tag dengan VLAN 10. Dari sini lah switch akan tahu dari VLAN mana packet tersebut berasal.

 CATATAN :
- Pada access port, semua frame nya adalah untagged. Artinya tidak akan ada penambahan VLAN tag pada ethernet frame jika masuk dan keluar melalui port ini. Hal ini dikarenakan jika ethernet frame masuk dan keluar melalui port di switch yang kedua-duanya adalah access port ,yang pastinya kedua port tersebut di assign ke vlan yang sama, maka switch tidak perlu tahu ethernet frame tersebut datang dari VLAN berapa. Dalam VLAN trunking, hal ini dikenal sebagai untagged frames atau untagged VLAN.
- Pada trunk port, frame nya adalah tagged. Artinya akan ada penambahan VLAN tag pada ethernet frame jika keluar melalui port ini. Hal ini dikarenakan pada umumnya trunk port di switch terhubung ke perangkat layer 3 (router, firewall, dll), yang dimana port pada router tersebut menggunakan sub-interface yang berisi informasi tag vlan, jadi ethernet frame yang keluar lewat trunk port di switch dan mengarah ke router akan di tag agar router tahu traffic tersebut datang dari VLAN berapa. Dalam VLAN trunking, hal ini dikenal sebagai tagged frames atau tagged VLAN.

Native VLAN.
Pada trunk port, memang semua traffic yang lewat adalah tagged frames. Namun agar trunk port dapat beroperasi, harus ada 1 VLAN yang digunakan untuk memproses untagged frames yang masuk ke trunk port. Nah, untagged frames inilah yang merupakan untagged VLAN pada trunk port yang disebut dengan Native VLAN.
Untagged frames ini biasanya berasal dari hub yang dimana traffic nya tidak di tagged sebelum masuk ke trunk port di switch. Begitu masuk ke trunk port, switch akan tag traffic tersebut sebagai native VLAN.
Suatu trunk link hanya bisa mempunyai 1 native VLAN. VLAN ID yang akan dijadikan native VLAN ini harus sama pada kedua port switch yang akan membentuk trunk. Jika berbeda, maka untagged frames tidak akan bisa di forward melewati trunk link

Artikel selanjutnya : Konfigurasi Trunk 


1 comments
Subscribe to: Posts (Atom)