Dalam
membangun infrastruktur jaringan yang terstruktur, kita mengenal konsep Separation
of Duties, di mana Router dan Switch berbagi peran secara spesifik. Dalam
skenario sebelumnya, Router bertindak sebagai VLAN Trunk Generator yang
memproduksi tiga jalur virtual, yaitu VLAN 11 (Data A), VLAN 12 (Data B), dan
VLAN 99 (Management). Seluruh lalu lintas ini dikirimkan melalui satu kabel
fisik dari ether2 Router menuju ether2 Switch dalam kondisi Tagged (Trunk).
Artinya, setiap paket data yang lewat memiliki "stempel" identitas
agar tidak tertukar satu sama lain saat melintasi jalur utama tersebut.
Setibanya
di sisi Switch, perangkat bertindak sebagai Distributor yang membongkar
muatan paket. Untuk kebutuhan klien di ether3 dan ether4, Switch akan mencopot
stempel VLAN 11 dan 12 agar perangkat akhir seperti PC atau laptop menerima
data secara polos (Untagged). Namun, yang menarik adalah perlakuan
terhadap VLAN 99. Bukannya dikirim ke port fisik, paket VLAN 99 justru
diarahkan kembali ke Internal CPU (bridge1) Switch dengan status Tagged.
Hal inilah yang memungkinkan Switch memiliki identitas IP Management sendiri,
sehingga kita bisa mengelola perangkat secara terisolasi tanpa tercampur dengan
trafik pengguna biasa.
Mengapa VLAN Saja Tidak Cukup?
Banyak
teknisi menganggap bahwa setelah membagi VLAN, jaringan sudah otomatis aman.
Padahal, secara default, MikroTik adalah sebuah router yang tugasnya
menghubungkan antar jaringan. Tanpa pengamanan tambahan, user di VLAN 11 masih
bisa "memanggil" IP Management di VLAN 99. Inilah alasan kita perlu
menerapkan pengamanan di dua level sekaligus.
Step 1: Keamanan Layer 2: Port Hardening (Switch Level)
Langkah
pertama adalah memastikan tidak ada manipulasi "stempel" VLAN di
level kabel. Kita akan mengunci setiap port agar hanya bisa menerima tipe paket
tertentu.
- Access Port (Port User): Kita kunci agar hanya
menerima paket tanpa tag (Untagged). Ini mencegah serangan VLAN
Hopping, di mana user mencoba menyusup ke VLAN Management dengan
mengirim paket ber-tag palsu dari laptopnya.
- Trunk Port (Jalur
Router-Switch):
Kita kunci agar hanya menerima paket ber-tag (Tagged).
Kunci port
user agar tidak bisa kirim paket ber-tag
Kunci port
trunk agar hanya menerima paket ber-tag
Step 2:
Konfigurasi Tabel VLAN (The Map)
Setelah
port fisik dikunci di Step 1, langkah selanjutnya adalah memberi tahu MikroTik
ke mana paket ber-stempel VLAN harus dikirim. Tanpa tabel ini, MikroTik akan
bingung dan memilih untuk membuang paketnya demi keamanan.
1. Di
Sisi Router (Pusat Data)
Di sini
kita harus menghubungkan "Otak" Router dengan "Kabel" yang
menuju Switch.
- Wajib: Masukkan bridge1 sebagai Tagged.
Ini adalah "pintu" agar DHCP Server dan IP Address bisa keluar
dari CPU menuju jaringan.
- Wajib: Masukkan port trunk (ether2)
sebagai Tagged.
2. Di
Sisi Switch (Distributor)
Di sini
perannya hanya meneruskan paket. Kita hubungkan "Jalur Masuk" dari
router ke "Jalur Keluar" ke arah client.
- Tagged: Port ether2 (jalur dari
router).
- Untagged: Port access (ether3 untuk
VLAN 11, ether4 untuk VLAN 12).
- Khusus VLAN 99: Tambahkan bridge1 sebagai Tagged
agar Switch ini bisa punya IP Management (bisa di-remote Winbox).
Penutup
Step 2: Aktifkan Filtering!
Setelah
tabel di atas selesai diisi di kedua sisi (Router & Switch), barulah
"saklar" keamanan dinyalakan:
Step 3:
Layer 3 Hardening (Gembok Firewall)
Setelah
jalurnya lancar di Step 2, kita tidak boleh membiarkan user di VLAN 11 atau 12
mencoba login ke Router. Ingat, memisahkan VLAN saja belum cukup kalau
Router-nya sendiri masih "terbuka" menerima koneksi dari mana saja.
Kita akan
memasang Firewall Filter dengan prinsip "White-list":
Hanya yang terdaftar yang boleh masuk.
Step 4: Membuat Port Khusus Management (Router)
Tujuan
kita adalah membuat ether4 menjadi Access Port untuk VLAN 99. Artinya,
siapa pun yang colok ke port ini akan langsung masuk ke jaringan Management
tanpa perlu setting VLAN di laptopnya.
1.
Memasukkan Port ke Bridge
Pastikan ether4
sudah menjadi anggota bridge1 dan kita paksa agar paket yang masuk dari sini
diberi stempel VLAN 99.
- Buka menu Bridge >
tab Ports > Klik (+).
- Interface: ether4
- Bridge: bridge1
- PVID: 99 (Ini bagian terpenting
agar paket polos dicap sebagai VLAN 99).
2.
Update Tabel VLAN (VLAN Table)
Kita harus
memberi tahu Router bahwa VLAN 99 sekarang punya satu pintu keluar lagi, yaitu ether4,
dan paketnya harus keluar tanpa stempel (Untagged).
- Buka menu Bridge >
tab VLANs.
- Cari baris VLAN ID 99
(atau buat baru jika belum ada).
- Tagged: bridge1, ether2 (jalur ke
switch).
- Untagged: ether4 (jalur PC Admin).
3.
Sinkronisasi Interface VLAN & IP
Pastikan
IP Management (192.168.99.1) terpasang pada Interface VLAN 99, bukan
pada bridge atau port fisik.
- Buka IP > Addresses.
- Pastikan: Address:
192.168.99.1/24, Interface: vlan99.
Step 5:
Quality Assurance (The Security Audit)
Konfigurasi
tanpa pengujian adalah spekulasi. Kita harus memastikan tiga hal: Fungsi
Jalan, Segmentasi Aman, dan Akses Terkunci.
1. Test
Konektivitas (Fungsi Dasar)
- PC di Port 3 Switch (VLAN 11): Cek apakah dapat IP 10.10.11.x.
Coba ping ke google.com.
- PC di Port 4 Switch (VLAN 12): Cek apakah dapat IP 10.10.12.x.
Coba ping ke gateway.
- Hasil yang diharapkan: Internet lancar, DHCP normal.
2. Test
SSH & Winbox (Layer 3 Hardening)
Coba akses
Router dari VLAN User (bukan dari port admin).
- Dari VLAN 11/12: Buka CMD, ketik ssh
admin@10.10.11.1 atau coba buka Winbox ke IP tersebut.
- Hasil yang diharapkan: TIMED OUT atau REJECTED.
Ini artinya Firewall Filter chain=input kamu bekerja sempurna.
- Dari VLAN 99 (Port 4 Router): Lakukan hal yang sama.
- Hasil yang diharapkan: LOGIN SUCCESS. Kamu
punya akses penuh.
3. Test
Inter-VLAN (Segmentasi)
Coba ping
antar PC (dari PC di VLAN 11 ke PC di VLAN 12).
- Hasil yang diharapkan: Seharusnya REPLY
(karena secara default MikroTik melakukan routing).
- Opsional Hardening: Jika kamu ingin antar
departemen/VLAN tidak bisa saling ping, kamu harus tambah Firewall di chain=forward
untuk drop trafik antar VLAN.
