Tampilkan postingan dengan label Layer 7. Tampilkan semua postingan
Tampilkan postingan dengan label Layer 7. Tampilkan semua postingan

Senin, 11 Agustus 2014

Penjelasan Queue Tree & PCQ serta Penerapannya di Mikrotik

Pengaturan dan managemen Bandwidth di Mikrotik tidak dapat lepas dari fitur Queue. Ada dua jenis Queue yang dapat digunakan di Mikrotik, yaitu Simple Queue dan Queue Tree. Untuk penjelasan tentang Simple Queue sudah pernah saya bahas disini :
Cara Membatasi (Limit) Bandwidth Mikrotik dengan Simple Queue
Nah, kali ini kita akan membahas Penjelasan Queue Tree & PCQ (Per Connection Queue) serta Penerapannya di Mikrotik.

Queue Tree 

Queue Tree berfungsi untuk mengimplementasikan fungsi yang lebih komplex dalam limit bandwidth pada mikrotik dimana penggunaan packet mark nya memiliki fungsi yang lebih baik. Digunakan untuk membatasi satu arah koneksi saja baik itu download maupun upload. Secara umum Queue Tree ini tidak terlihat berbeda dari Simple Queue.

Perbedaan yang bisa kita lihat langsung yaitu hanya dari sisi cara pakai atau penggunaannya saja. Dimana Queue Simple secara khusus memang dirancang untuk kemudahan konfigurasi sementara Queue Tree dirancang untuk melaksanakan tugas antrian yang lebih kompleks dan butuh pemahaman yang baik tentang aliran trafik.


Beberapa Perbedaan Simple Queue dan Queue Tree :
1. Queue Simple
  • Memiliki aturan urutan yang sangat ketat, antrian diproses mulai dari yang paling atas sampai yang paling bawah.
  • Mengatur aliran paket secara bidirectional (dua arah).
  • Mampu membatasi trafik berdasarkan alamat IP.
  • Satu antrian mampu membatasi trafik dua arah sekaligus (upload/download).
  • Jika menggunakan Queue Simple dan Queue Tree secara bersama-sama, Queue Simple akan diproses lebih dulu dibandingkan Queue Tree.
  • Mendukung penggunaan PCQ sehingga mampu membagi bandwidth secara adil dan merata.
  • Bisa menerapkan antrian yang ditandai melalui paket di /firewall mangle.
  • Mampu membagi bandwidth secara fixed.
  • Sesuai namanya, pengaturannya sangat sederhana dan cenderung statis, sangat cocok untuk admin yang tidak mau ribet dengan traffic control di /firewall mangle.
2. Queue Tree
  • Tidak memiliki urutan, setiap antrian akan diproses secara bersama-sama.
  • Mengatur aliran paket secara directional (satu arah)
  • Membutuhkan pengaturan /firewall mangle untuk membatasi trafik per IP.
  • Membutuhkan pengaturan /firewall mangle terlebih dahulu untuk membedakan trafik download dan upload.
  • Dinomorduakan setelah Queue Simple.
  • Mendukung penggunaan PCQ sehingga mampu membagi bandwidth secara adil dan merata.
  • Pengaturan antrian murni melalui paket yang ditandai di /firewall mangle.
  • Mampu membagi bandwidth secara fixed.
  • Lebih fleksibel dan butuh pemahaman yang baik di /firewall mangle khususnya tentang traffic control.

http://mikrotikindo.blogspot.com/

Penjelasan beberapa argumen di Queue Tree :
1. Parent : berguna untuk menentukan apakah queue yang dipilih bertugas sebagai child queue
Ada beberapa pilihan default di parent queue tree yang biasanya digunakan untuk induk queue:
- Global-in :
Mewakili semua input interface pada umumnya. Maksudnya disini interface yang menerima input data/trafik sebelum difilter seperti trafik upload
 - Global-out :
Mewakili semua output interface pada umumnya. Maksudnya disini interface yang mengeluarkan output data/trafik yang sudah difilter seperti trafik download
- Global-total :
Mewakili semua input dan output interface secara bersama, dengan kata lain merupakan penyatuan dari global-in dan global-out.                                  
 - <interface name>: ex: lan atau wan :
Mewakili salah satu interface keluar. Maksudnya disini hanya trafik yang keluar dari interface ini yang akan diqueue.

2. Packet Mark : Digunakan untuk menandai paket yang sudah ditandai di /ip firewall mangle.

3. Priority ( 1 s/d 8) : Digunakan untuk memprioritaskan child queue dari child queue lainnya. Priority tidak bekerja pada induk queue. Child Queue yang mempunyai priority satu (1) akan mencapai limit-at lebih dulu dari pada child queue yang berpriority (2).

4. Queue Type : Digunakan untuk memilih type queue yang bisa dibuat secara khusus dibagian queue types
- Limit At : Bandwidth minimal yang diperoleh oleh target/ip yang diqueue
- Max Limit : Bandwidth maksimal yang bisa dicapai oleh target/ip yang diqueue.
- Burst limit : Bandwidth maksimal yang bisa dicapai oleh target/ip yang diqueue ketika burst sedang aktif
- Burst time : Periode waktu dalam detik, dimana  data Rate rata-rata dikalkulasikan.
- Burst Threshold : Digunakan ketika data Rate dibawah nilai burst threshold maka burst diperbolehkan.Ketika data Rate sama dengan nilai burst threshold burst dilarang. Untuk mengoptimalkan burst nilai burst threshold harus diatas nilai Limit At dan dibawah nilai
Max Limit.


PCQ (Per Connection Queuing) 

Digunakan untuk mengenali arah arus dan digunakan karena dapat membagai bandwidth secara adil, merata dan masif. PCQ pada mikrotik digunakan bersamaan dengan fitur Queue, baik Simple Queue maupun Queue Tree.

Untuk lebih mudah memahami konsep PCQ, silakan simak analogi berikut ini :
Saya punya 10 PC yang akan saya bagikan bandwidth maksimal 1 Mb dan bandwidth minimal tiap PC 256 kb. Jika hanya satu PC saya yang online maka dia akan dapat BW max 1 Mb, namun jika ada dua PC yang online BW dibagi 2, dan seterusnya hingga 10 dengan pembagian bandwidth yang merata.

Nah, untuk membuat konfigurasi seperti ini, saya harus membuat 1 rule parent Queue dan 10 rule child Queue untuk tiap client. Untuk kondisi sekarang yang hanya 10 PC it's ok, ga masalah. Namun bayangkan jika PC nya ada 100? 200? Gimana kalau yang saya kelola adalah jaringan WiFi Hotspot dengan client yg ga tentu jumlah nya? Apa iya saya harus membuat ratusan rule untuk tiap client? Capek dongg..

Oleh karena itu, saya dapat gunakan fitur PCQ ini untuk melakukan manajemen bandwidth secara massive kepada semua client secara besar-besaran. Dengan menggunakan PCQ ini, walaupun jumlah client tidak tentu dan sangat banyak, kita hanya perlu membuat satu atau dua konfigurasi Queue. Enak kan?


Penjelasan Beberapa Argumen di PCQ :

PCQ Classifier berfungsi mengklasifikasikan arah koneksi, Misalnya jika Classifier yang digunakan adalah src-address pada Local interface, maka aliran pcq akan menjadi koneksi upload. Begitu juga dgn dst-address akan menjadi pcq download.

PCQ rate berfungsi untuk membatasi bandwidth maksimum yang bisa didapatkan. Dengan memasukkan angka pada rate ini (default: 0) maka maksimal download yang akan didapatkan per IP akan dibatasi mis. 128k (kbps).



Limit berfungsi untuk membatasi jumlah koneksi paralel yang diperkenankan bagi tiap IP. artinya bila kita meletakkan nilai 50, maka cuma 50 koneksi simultan yang bisa didapat oleh 1 IP address (baik itu source / destination).

Total Limit adalah total keseluruhan koneksi paralel yang diperkenankan untuk seluruh ip addresss (baik itu source ataupun destination).

Contoh penerapan PCQ dan Queue Tree di Mikrotik :

Menggabungkan fitur Layer7 dan packet marking menggunakan mangle untuk menandai file yang biasa di download untuk kemudian dibatasi bandwidth download menggunakan Queue Tree + PCQ. Sehingga tiap client akan mendapatkan koneksi limited download dan unlimited browsing.

http://mikrotikindo.blogspot.com/2014/01/tutorial-mikrotik-limited-download-unlimited-browsing.html

Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing Menggunakan Layer 7

Referensi :
http://learningbytutz.blogspot.com/2012/03/memahami-queue-tree-dan-pcq-di-mikrotik.html
http://www.alkomp.net/2014/03/perbedaan-queue-simple-dan-queue-tree.html
Read more

Minggu, 10 Agustus 2014

Cara Memblokir/Membatasi Koneksi IDM di Mikrotik

Memblokir/Membatasi koneksi Internet Download Manager (IDM) di Mikrotik dapat dilakukan menggunakan Layer7 protocol. Jika seorang user melakukan download menggunakan IDM, maka ia dapat menggunakan 16 koneksi sekaligus untuk mendownload file. Hal ini tentunya akan menguras bandwidth yang sudah dialokasikan, sehingga user lain yang tidak download akan terganggu karena koneksi yang lemot.

Nah, untuk mengatasi hal itu, kita dapat membatasi koneksi Internet Download Manager (IDM) menggunakan Layer7 Mikrotik. Caranya dengan menggabungkan fitur Layer7 protocol dengan Firewall filter Mikrotik. Silakan simak caranya berikut ini :

1. Sebelum mulai, kita coba mendownload sebuah file menggunakan IDM dengan 16 koneksi.


2. Selanjutnya, Buka Winbox, masuk ke menu IP --> Firewall --> Tab Layer7. Tambahkan rule baru.
Silakan masukkan setingan seperti berikut ini :


Name : Limit IDM
Regexp :
get /.*(user-agent: mozilla/4.0|range: bytes=)

3. Masuk ke tab Filter. Tambah rule baru. 
=> Pada tab General :
- Chain : Forward
- Protocol : TCP



=> Pada tab Advanced :
- Layer7 Pilih nama Layer7 yang sebelumnya dibuat.



=> Pada tab Extra :
- Limit : 2 (berapa koneksi yang mau dibuka)
- Netmask : 32



=> Pada tab Action :
- Action : drop



4. Setelah setingan dibuat dan dijalankan pada Mikrotik, silakan coba download lagi.

5. Hasilnya, koneksi yang digunakan oleh IDM akan berkurang menjadi 2 koneksi saja.


Oke sekian dulu tutorial mikrotik Indonesia tentang Cara Memblokir/Membatasi Koneksi IDM di Mikrotik. Selamat mencoba :)
Read more

Jumat, 17 Januari 2014

Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing Menggunakan Layer 7

Limited Download dan Unlimited Browsing adalah salah satu teknik manajemen Bandwidth yang efektif untuk membagi bandwidth secara adil. Karena, jika bandwidth download tidak dibatasi, maka akan menggangu kecepatan internet pengguna lain dalam satu jaringan. Akibatnya, jika ada beberapa pengguna yang melakukan download apalagi menggunakan IDM, maka pengguna lain yang cuma browsing tidak kebagian bandwidth.

Nah, untuk mengatasi hal ini, maka teknik Limited Download dan Unlimited Browsing ini kita terapkan. Pada Mikrotik, teknik ini bisa dilakukan dengan banyak cara. Salah satu cara yang simpel dan efektif adalah menggunakan filter Layer 7 Protocol. Yang belum tau apa itu Layer 7 Protocol, silakan baca disini.


1. Buat daftar extensi file yang masuk filter download di Layer 7 protocol. Silakan copy dan paste script berikut ke Terminal Mikrotik kemudian tekan enter. Jika ekstensi file nya dirasa kurang banyak silakan ditambahkan sendiri.

/ip firewall layer7-protocol

add comment="" name=donlotan regexp="^.*get.+\\.(exe|rar|zip|7z|cab|asf|mov|wmv\

|mpg|mpeg|mkv|avi|flv|pdf|wav|rm|mp3|mp4|ram|rmvb|dat|daa|iso|nrg|bin|vcd|\

mp2|3gp|mpe|qt|raw|wma|ogg|doc|deb|tar|bzip|gzip|gzip2|0[0-9][0-9]).*\$"

2. Buat Firewall Mangle untuk menandai paket yang mau dilimit. Silakan copy paste juga script berikut ini ke Terminal dan tekan enter. Kita cukup menggunakan 1 Mangle saja, simpel kan? :D

/ip firewall mangle

add action=mark-packet chain=forward comment=Donlotan disabled=no \

layer7-protocol=donlotan new-packet-mark=paket-donlot passthrough=no protocol=tcp



3. Silakan cek apakah script tadi berhasil dieksekusi menjadi setingan atau tidak.
Cek Setingan Layer 7 protocol : IP --> Firewall --> Layer7 Protocol

Cek Setingan Mangle : IP --> Firewall --> Mangle




4. Selanjutnya buat limit bandwidth nya dengan Queue. 
Queue Type : Masuk ke Queue --> Queue Types --> add
- Beri nama limit dl
- Kind : pcq
- Rate : 64k (silakan sesuaikan dengan keinginan berapa max speed download nya)
jika diisi 64k, maksudnya membatasi kecepatan download 64 kbps dibagi 8 --> 8 KB/s
jika ingin lebih tinggi bisa saja diisi 256k sehingga throughput : 256/8 = 32 KB/s
NB : ingat 1 byte = 8 bit
Silakan diisi sesuai keinginan anda.
- Setingan lainnya biarkan saja, lihat gambar berikut ini :



Queue Tree : masuk ke Queue --> Queue Tree --> add
- Beri nama : Limit Download
- Parent : global (Router OS saya versi 6, cuma ada satu parent global)
- Packet Marks : paket-donlot
- Queue Type : limit dl
- Max Limit : 64k (Sesuaikan dengan kebutuhan anda)
Anda juga bisa memanfaatkan fitur Limit At, silakan baca disini untuk penjelasan lebih lengkap :


5. Setingan selesai. Jadi setingan di atas membatasi bandwidth download sebesar 64kbps = 8KB/s.

6. Coba cek apakah setingan sudah benar dengan melakukan tes download file :
Sebelum menggunakan Limit Download :


Setelah menggunakan Limit Download :

Oke, demikianlah Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing Menggunakan Layer 7 Protocol. Silakan anda praktekan sesuai dengan kondisi jaringan anda. Selamat mencoba :)

Referensi :
http://komputersinau.blogspot.com/2012/10/limitid-download-unlimited-browsing.html
Read more

Jumat, 06 Desember 2013

Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik

Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.

Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.


Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7  harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.

Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :



Tutorial ini ada dua bagian :

1. Block facebook website buat semua orang yang konek ke local network.
Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.


Cek IP address client yang tidak boleh buka Facebook

Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.
Langkah nya seperti pada gambar berikut ini :



 
Beri nama rule tersebut facebook, masukkan script regexp berikut ini :
^.+(facebook.com).*$


Selanjutnya, buat Firewall Rule baru dengan :
Chain : forward
Src Address : alamat jaringan dari client (172.16.10.0/24)


Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"


Masuk tab Action, pilih Action drop.


Sekarang coba tes setingan tadi berhasil apa tidak.


Cek juga apa setingan ini ngeblok situs selain facebook
Oke bisa, setingannya berjalan dengan lancar gan :)


2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.

Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.


Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).
Jangan lupa Action nya pilih accept.


Pindah rule yang baru dibuat tadi ke paling atas ya.

Coba tes setingan ini pada client kedua (172.16.10.199/24):

Detail pada rule nya ada paket dan data yang lewat.

Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.

Coba lihat lagi rule nya
Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.

Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.
Semoga bermanfaat :)
Read more