Hotspot system, terkenal dengan fitur "plug n play" akses nya, sederhana dan
mudah dalam melakukan konfigurasi, apalagi di Mikrotik sudah disediakan
wizard-nya. Terdiri dari berbagai service yang diaktifkan sehingga tanpa
setting tambahan pun Hotspot sudah dapat berjalan. Akan tetapi tentu
admin jaringan harus tetap menjaga agar jaringan tetap aman namun tidak
mengesampingkan kenyaman user dalam mengakses jaringan.
Fitur apa saja yang bisa diterapkan pada Hotspot Mikrotik, sebelumnya sudah dibahas
pada artikel Fitur-Fitur Hotspot Mikrotik . Kali ini, akan diberikan contoh dalam melakukan manajemen user hotspot,
misalnya memberikan kebijakan yang berbeda untuk setiap user.
Contoh kasus, Pada sebuah jaringan kampus, akan dibangun sebuah jaringan Hotspot.
Rencananya akan dibuat 3 hotspot username, dimana masing-masing
akan diberikan kebijakan yang berbeda.
- username=Dosen -> Limitasi bandwidth share dengan Mahasiswa limit-at 512kbps dan max-limit 1Mbps
- username=Mahasiswa -> Limitasi bandwidth share dengan Dosen dengan maksimal 512kbps . Tidak diijinkan melakukan akses ke Router
Untuk memberikan kebiijakan pada username yang telah kita buat, bisa kita tentukan
dengan User Profile. Dengan kebutuhan kebijakan yang berbeda, maka pada contoh
kasus ini kita akan membuat satu user profile untuk masing-masing username.
Terdapat parameter-parameter yang bisa digunakan untuk menentukan kebijakan untuk
Hotspot Client pada User Profile. Untuk beberapa kondisi , kebijakan tidak bisa
langsung diatur pada User Profile, tetapi harus dikombinasikan dengan Fitur yang
lain.
Limitasi Bandwidth
Limitasi Bandwidth per user bisa dilakukan langsung pada User Profile dengan
mendefinisikan parameter Rate-Limit. Limitasi ini akan diberikan untuk masing-masing
User. Misalnya, jika kita tentukan rate-limit=512k/512k berarti untuk masing-masing
Hotspot Client yang menggunakan User Profile tersebut akan di-limit sebesar 512kbps.
Akan tetapi pada contoh kasus ini, akan diterapkan limitasi bandwidth share.
Bandwidth 512k merupakan limitasi total untuk semua Hotspot Client yang Login
menggunakan username yang sama. Untuk itu kita tidak bisa menentukan langsung
pada user Profile tetapi harus dikombinasikan dengan fitur Mangle, dan kemudian
dibuatkan queue berdasar penandaan packet dari mangle tersebut.
Pada User Profile terdapat parameter yang bisa digunakan untuk menentukan Packet-Mark
Mangle yang secara otomatis akan digenerate pada saat Hotspot Client Login.
Filtering/Blocking
Sesuai rencana awal, username=Mahasiswa hanya diperbolehkan untuk aktifitas ke
internet saja, Sedangkan untuk akses ke router akan diblock. Kebijakan ini tidak
bisa langsung diatur pada User Profile,
tetapi harus dikombinasikan dengan Firewall Filter.
Dalam pembuatan Firewall Filter sebenarnya kita bisa langsung menggunakan src-addrress=IP
Hotspot Client secara manual, tetapi konfigurasi ini terdapat kemungkinan tidak
sesuai harapan
ketika IP yang sudah didefinisikan, terpasang / diberikan ke Client yang lain
oleh
Hotspot System.
Maka untuk kasus ini, digunakan parameter Incoming-Filter pada User-Profile barulah
kemudian dikombinasikan dengan Firewall Filter.
Pengaturan User-Profile=Dosen
Penentuan Nama Profile
Shared-Users digunakan untuk menentukan berapa banyak user yang bisa Login dengan
username
yang sama dalam waktu bersamaan.
-
Address-List : Pada saat Hotspot Client sudah Login , IP akan di masukkan pada address-list dengan nama yang sudah ditentukan
-
Incoming-Filter : Nama Chain Firewall Filter baru untuk traffic yang masuk dari Client. Dibuat secara otomatis ketika Hotspot Client Login. Dibutuhkan action Jump dari built-in chain ke chain=hotspot
-
Incoming-Packet-Mark : Nama/penandaan packet yang masuk dari Client. Berfungsi sama dengan Mangle Mark-Packet dengan src-address IP Hotspot Client.
-
Outgoing-Packet-Mark : Nama/penandaan packet yang keluar ke Client. Berfungsi sama dengan Mangle Mark-Packet dengan dst-address IP Hotspot Client.
Pengaturan Hotspot User-Profile=Mahasiswa
Penentuan Nama Profile dan Shared-User
Penentuan User-Profile Mahasiswa menggunakan parameter yang sama dengan Dosen.
Pada contoh kasus ini, akan digunakan Queue Tree dengan penandaan Packet-Mark
yang dibuat otomatis oleh Hotspot-User Profile.
Penandaan Paket yang dilakukan oleh User-Profile tidak berada pada built-in chain yang ada pada Mangle, melainkan pada chain=hotspot yang dibuat otomatis. Oleh karena itu agar metode ini bekerja perlu dibuat Mangle dengan action=jump dari Built-In ke chain=hotspot.
Penandaan Paket yang dilakukan oleh User-Profile tidak berada pada built-in chain yang ada pada Mangle, melainkan pada chain=hotspot yang dibuat otomatis. Oleh karena itu agar metode ini bekerja perlu dibuat Mangle dengan action=jump dari Built-In ke chain=hotspot.
Setelah ada Hotspot Client yang Login maka otomatis akan terdapat rule mangle
mark-packet baru yang ditambahkan otomatis oleh User-Profile yang sudah kita buat
sebelumnya
Dari Mangle tersebut kita bisa membuat limitasi menggunakan Queue-Tree. Konsep
yang akan diterapkan adalah Bandwidth Share. Baik antar Client dengan username
yang sama atau kelompok Client dengan username yang berbeda. Konsep ini akan kita
set dengan model Staged Limitation.
Tentukan Parent Total Bandwidth
Langkah pertama, lakukan konfigurasi untuk menentukan total bandwidth yang ada pada jaringan kita. Contoh disini menggunakan Bandwidth maksimal 1Mbps.
Selanjutnya tentukan limitasi untuk Dosen dan Mahasiswa sebagai child dari Parent
Total Bandwidth yang dibuat sebelumnya.
Dosen memiliki garansi bandwidth 512k dengan up-to:1Mbps, maka bisa dilakukan konfigurasi seperti berikut
Dosen memiliki garansi bandwidth 512k dengan up-to:1Mbps, maka bisa dilakukan konfigurasi seperti berikut
Pada contoh tersebut menggunakan PCQ untuk queue type nya, digunakan untuk membagi
bandwidth per user yang menggunakan username=Dosen
Pengaturan yang sama juga harus dilakukan untuk username=Mahasiswa, hanya berbeda limit-at dan max-limit nya. Mahasiswa dibuat maksimal 512k untuk semua client dengan username=Mahasiswa
Pengaturan yang sama juga harus dilakukan untuk username=Mahasiswa, hanya berbeda limit-at dan max-limit nya. Mahasiswa dibuat maksimal 512k untuk semua client dengan username=Mahasiswa
Hasil akhirnya seperti berikut
Filtering
Dari konsep awal, Mahasiswa tidak diijinkan untuk akses ke Router, baik ping,winbox,ssh,dsb.
Sebelumnya sudah kita tentukan pada User-Profile Mahasiswa, bahwa ketika Client
Login, maka akan dibuat chain baru dengan nama Mahasiswa-in.
Chain ini bukan pada chain utama, sehingga perlu dibuat jump ke chain hotspot dari Built-In chain. Baru setelah itu kita gunakan Chain=Mahasiswa-in untuk melakukan blocking traffic dari Client ke arah Router
Chain ini bukan pada chain utama, sehingga perlu dibuat jump ke chain hotspot dari Built-In chain. Baru setelah itu kita gunakan Chain=Mahasiswa-in untuk melakukan blocking traffic dari Client ke arah Router
Dengan kombinasi konfigurasi seperti contoh tersebut kita akan lebih mudah dan
fleksible dalam melakukan manajemen jaringan Hotspot.
Sumber: http://mikrotik.co.id/artikel_lihat.php?id=103.
Sumber: http://mikrotik.co.id/artikel_lihat.php?id=103.
Terimakasih dan Semoga Bermanfaat
No comments:
Post a Comment