Call Us: (+62).817.410.4747
Log in Register

Login to your account

Username *
Password *
Remember Me

Create an account

Fields marked with an asterisk (*) are required.
Name *
Username *
Password *
Verify password *
Email *
Verify email *
Captcha *

Segmentasi network dalam satu SSID dengan VLAN Tagging

Tujuan tutorial ini adalah dalam satu SSID wireless dapat diterapkan segmentasi network dengan tagging VLAN berdasarkan MAC address. Teorinya, VLAN tagging ditambahkan pada MAC address CPE/station yang telah di identifikasikan pada Access List, dan diteruskan ke VLAN ID yang sama pada router. MAC address yang belum di daftarkan pada Access List bisa menggunakan default konfigurasi di port ethernet router.

Mengapa menggunakan VLAN tagging, bisakah menggunakan multi SSID atau WDS?
  • minim konfigurasi di AP
  • beberapa device karena alasan keamanan ingin membuat jaringan tersendiri tanpa terganggu dengan device publik
  • multi SSID belum dapat dilakukan pada protocol NV2

Hal ini juga merupakan penyerdehanaan skema jaringan yang dibahas di di sini

Langkah langkah nya sebagai berikut

  1. Dalam tutorial ini menggunakan 3 device,
    • 1 sebagai router (menggunakan MikroTik hEX),
    • 1 sebagai akses point (menggunakan Mikrotik BaseBox 2),
    • 1 sebagai CPE (menggunakan hAP lite)
  2. Buat VLAN dengan interface eth5 dengan vlan-id 511, berikan IP address 192.168.7.1/27, aktifkan DHCP server pada port VLAN tersebut
  3. Setting eth5 pada hEX, IP address 172.16.7.1/27 aktifkan DHCP server pada port tersebut.
  4. Pada BaseBox set wlan1 sebagai akses point (AP Bridge), bridge dengan ether1 BaseBox, uncheck default authenticate, selanjutkan gunakan Access List untuk menentukan VLAN CPE.
  5. Test dengan enable disable Access List pada AP

Konfigurasi hEX

Ganti ether5 atau port di Mikrotik yang tidak terpakai untuk lab, dalam tutorial kali ini memakai ether5 diberi nama eth5-lab
/in et print where name~"lab"
Flags: X - disabled, R - running, S - slave 
#    NAME        MTU   MAC-ADDRESS        ARP       SWITCH
0 R  eth5-lab    1500  6C:3B:6B:7D:E2:A6  enabled   switch1

Tambahkan VLAN

/interface vlan add interface=eth5-lab vlan-id=511 name=vlan511

Tambahkan IP address pada eth5 dan vlan511

ip address add address=172.16.7.1/27 interface=eth5-lab ;
ip address add address=192.168.7.1/27 interface=vlan511

Setting DHCP server pada eth5 dan vlan511

/ip dhcp-server setup   
Select interface to run DHCP server on 

dhcp server interface: eth5-lab
Select network for DHCP addresses 

dhcp address space: 172.16.7.0/27
Select gateway for given network 

gateway for dhcp network: 172.16.7.1
Select pool of ip addresses given out by DHCP server 

addresses to give out: 172.16.7.2-172.16.7.30
Select DNS servers 

dns servers: 8.8.8.8,8.8.4.4
Select lease time 

lease time: 10m
/ip dhcp-server setup 
Select interface to run DHCP server on 

dhcp server interface: vlan511
Select network for DHCP addresses 

dhcp address space: 192.168.7.0/27
Select gateway for given network 

gateway for dhcp network: 192.168.7.1
Select pool of ip addresses given out by DHCP server 

addresses to give out: 192.168.7.2-192.168.7.30
Select DNS servers 

dns servers: 8.8.8.8,8.8.4.4
Select lease time 

lease time: 10m

Ubah IP pool untuk memudahkan konfigurasi

/ip pool set [find ranges~"172.16.7"] name=dhcp_pool50
/ip pool set [find ranges~"192.168.7"] name=dhcp_pool51

Ubah nama DHCP server untuk memudahkan konfigurasi

/ip dhcp-server set [find interface~"eth5"] name=dhcp50
/ip dhcp-server set [find interface~"vlan5"] name=dhcp51

Pada AP cukup dibuat bridge antara ether1 dan wlan1

/interface bridge
add fast-forward=no name=bridge1
/interface wireless
set [ find default-name=wlan1 ] default-authentication=no disabled=no mode=\
    ap-bridge nv2-preshared-key=nv123 nv2-security=enabled radio-name=AP-VLAN \
    ssid=test-vlan-tagging wireless-protocol=nv2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/interface wireless access-list
#cpe yang di tagging
add interface=wlan1 mac-address=4C:5E:0C:65:90:17 vlan-id=511 vlan-mode=use-tag
#cpe lain yang tidak di tagging
add interface=wlan1 vlan-mode=no-tag
/system identity
set name=AP-VLAN

Pada CPE dibuat bridge antara wlan1 dan ether4, dan dhcp-client pada bridge1

/interface bridge
add fast-forward=yes name=bridge1
/interface wireless
set [ find default-name=wlan1 ] disabled=no mac-address=4C:5E:0C:65:90:17 mode
    station-bridge nv2-preshared-key=nv123 nv2-security=enabled radio-name=\
    CPE-VLAN ssid=test-vlan-tagging
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether4
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=CPE-VLAN

Test konfigurasi

jika access list pada AP-VLAN di enable maka CPE akan mendaptkan ip address dari VLAN511. jika access list pada AP-VLAN di disable maka CPE akan mendapatkan ip default dari eth5-lab hal ini berlaku juga pada CPE yang lain dengan VLAN yang lain pula.
Read 477 times Last modified on 19 Feb 2018, 10:23 AM
Tidar Tanjung

I'm a routing engineer. Trust me, I will show the best path for you.

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

Positive SSL