Hotspot system, terkenal dengan fitur "plug n play"
akses nya, sederhana dan mudah dalam melakukan konfigurasi, apalagi di Mikrotik
sudah disediakan wizard-nya. Terdiri dari berbagai
service yang diaktifkan sehingga tanpa setting tambahan pun Hotspot sudah dapat
berjalan. Akan tetapi tentu admin jaringan harus tetap menjaga agar jaringan
tetap aman namun tidak mengesampingkan kenyaman user dalam mengakses jaringan.
Fitur apa saja yang bisa diterapkan pada Hotspot Mikrotik,
sebelumnya sudah dibahas pada artikel Fitur-Fitur Hotspot Mikrotik . Kali ini,
akan diberikan contoh dalam melakukan manajemen user hotspot, misalnya
memberikan kebijakan yang berbeda untuk setiap user.
Contoh kasus, Pada sebuah jaringan kampus, akan dibangun sebuah
jaringan Hotspot. Rencananya akan dibuat 3 hotspot username, dimana
masing-masing akan diberikan kebijakan yang berbeda.
§
username=Dosen -> Limitasi bandwidth share dengan Mahasiswa limit-at
512kbps dan max-limit 1Mbps
§
username=Mahasiswa -> Limitasi bandwidth share dengan Dosen dengan maksimal
512kbps . Tidak diijinkan melakukan akses ke Router
User Profile
Untuk memberikan kebiijakan pada username yang telah kita buat,
bisa kita tentukan dengan User Profile. Dengan kebutuhan kebijakan yang
berbeda, maka pada contoh kasus ini kita akan membuat satu user profile untuk
masing-masing username.
Terdapat parameter-parameter yang bisa digunakan untuk menentukan
kebijakan untuk Hotspot Client pada User Profile. Untuk beberapa kondisi ,
kebijakan tidak bisa langsung diatur pada User Profile, tetapi harus
dikombinasikan dengan Fitur yang lain.
Limitasi Bandwidth
Limitasi Bandwidth per user bisa dilakukan langsung pada User
Profile dengan mendefinisikan parameter Rate-Limit. Limitasi ini akan diberikan untuk masing-masing User. Misalnya,
jika kita tentukan rate-limit=512k/512k berarti untuk masing-masing Hotspot Client yang menggunakan
User Profile tersebut akan di-limit sebesar 512kbps.
Akan tetapi pada contoh kasus ini, akan diterapkan limitasi
bandwidth share. Bandwidth 512k merupakan limitasi total untuk semua Hotspot
Client yang Login menggunakan username yang sama. Untuk itu kita tidak bisa
menentukan langsung pada user Profile tetapi harus dikombinasikan dengan fitur
Mangle, dan kemudian dibuatkan queue berdasar penandaan packet dari mangle tersebut.
Pada User Profile terdapat parameter yang bisa digunakan untuk
menentukan Packet-Mark Mangle yang secara otomatis akan digenerate pada saat
Hotspot Client Login.
Filtering/Blocking
Sesuai rencana awal, username=Mahasiswa hanya diperbolehkan untuk
aktifitas ke internet saja, Sedangkan untuk akses ke router akan diblock.
Kebijakan ini tidak bisa langsung diatur pada User Profile, tetapi harus
dikombinasikan dengan Firewall Filter.
Dalam pembuatan Firewall Filter sebenarnya kita bisa langsung
menggunakan src-addrress=IP Hotspot Client secara manual, tetapi konfigurasi
ini terdapat kemungkinan tidak sesuai harapan ketika IP yang sudah
didefinisikan, terpasang / diberikan ke Client yang lain oleh Hotspot System.
Maka untuk kasus ini, digunakan parameter Incoming-Filter pada
User-Profile barulah kemudian dikombinasikan dengan Firewall Filter.
Pengaturan User-Profile=Dosen
Penentuan
Nama Profile
Shared-Users digunakan untuk menentukan berapa banyak user yang bisa
Login dengan username yang sama dalam waktu bersamaan.
§
Address-List :
Pada saat Hotspot Client sudah Login , IP akan di masukkan pada address-list
dengan nama yang sudah ditentukan
§
Incoming-Filter : Nama Chain Firewall Filter baru untuk traffic yang masuk
dari Client. Dibuat secara otomatis ketika Hotspot Client Login. Dibutuhkan
action Jump dari built-in chain ke chain=hotspot
§
Incoming-Packet-Mark : Nama/penandaan packet yang masuk dari Client. Berfungsi
sama dengan Mangle Mark-Packet dengan src-address IP Hotspot Client.
§
Outgoing-Packet-Mark : Nama/penandaan packet yang keluar ke Client. Berfungsi
sama dengan Mangle Mark-Packet dengan dst-address IP Hotspot Client.
Pengaturan Hotspot User-Profile=Mahasiswa
Penentuan Nama Profile dan Shared-User
Penentuan User-Profile
Mahasiswa menggunakan parameter yang sama dengan Dosen.
Bandwidth Manajemen
Pada contoh kasus ini, akan digunakan Queue Tree dengan penandaan
Packet-Mark yang dibuat otomatis oleh Hotspot-User Profile.
Penandaan Paket yang dilakukan oleh User-Profile tidak berada pada built-in chain yang ada pada Mangle, melainkan pada chain=hotspot yang dibuat otomatis. Oleh karena itu agar metode ini bekerja perlu dibuat Mangle dengan action=jump dari Built-In ke chain=hotspot.
Penandaan Paket yang dilakukan oleh User-Profile tidak berada pada built-in chain yang ada pada Mangle, melainkan pada chain=hotspot yang dibuat otomatis. Oleh karena itu agar metode ini bekerja perlu dibuat Mangle dengan action=jump dari Built-In ke chain=hotspot.
Setelah ada Hotspot Client yang Login maka otomatis akan terdapat
rule mangle mark-packet baru yang ditambahkan otomatis oleh User-Profile yang
sudah kita buat sebelumnya
Dari Mangle tersebut kita bisa membuat limitasi menggunakan
Queue-Tree. Konsep yang akan diterapkan adalah Bandwidth Share. Baik antar
Client dengan username yang sama atau kelompok Client dengan username yang
berbeda. Konsep ini akan kita set dengan model Staged Limitation.
Tentukan Parent Total Bandwidth
Langkah pertama, lakukan konfigurasi untuk menentukan total
bandwidth yang ada pada jaringan kita. Contoh disini menggunakan Bandwidth
maksimal 1Mbps.
Selanjutnya tentukan limitasi untuk Dosen dan Mahasiswa sebagai
child dari Parent Total Bandwidth yang dibuat sebelumnya.
Dosen memiliki garansi bandwidth 512k dengan up-to:1Mbps, maka bisa dilakukan konfigurasi seperti berikut
Dosen memiliki garansi bandwidth 512k dengan up-to:1Mbps, maka bisa dilakukan konfigurasi seperti berikut
Pada contoh tersebut menggunakan PCQ
untuk queue type nya, digunakan untuk membagi bandwidth per user yang
menggunakan username=Dosen
Pengaturan yang sama juga harus dilakukan untuk username=Mahasiswa, hanya berbeda limit-at dan max-limit nya. Mahasiswa dibuat maksimal 512k untuk semua client dengan username=Mahasiswa
Pengaturan yang sama juga harus dilakukan untuk username=Mahasiswa, hanya berbeda limit-at dan max-limit nya. Mahasiswa dibuat maksimal 512k untuk semua client dengan username=Mahasiswa
Hasil akhirnya seperti berikut
Filtering
Dari konsep awal, Mahasiswa tidak diijinkan untuk akses ke Router,
baik ping,winbox,ssh,dsb. Sebelumnya sudah kita tentukan pada User-Profile
Mahasiswa, bahwa ketika Client Login, maka akan dibuat chain baru dengan nama
Mahasiswa-in.
Chain ini bukan pada chain utama, sehingga perlu dibuat jump ke chain hotspot dari Built-In chain. Baru setelah itu kita gunakan Chain=Mahasiswa-in untuk melakukan blocking traffic dari Client ke arah Router
Chain ini bukan pada chain utama, sehingga perlu dibuat jump ke chain hotspot dari Built-In chain. Baru setelah itu kita gunakan Chain=Mahasiswa-in untuk melakukan blocking traffic dari Client ke arah Router
Dengan kombinasi konfigurasi seperti contoh tersebut kita akan
lebih mudah dan fleksible dalam melakukan manajemen jaringan Hotspot.