Ebook Syafi
Koleksi
Admin
← Kembali ke Upgrade Kerjaya Dengan Homelab
Edit Bab
Tajuk Bab
Urutan
Jenis
Syarat & Amaran
Mukadimah
Bab/Chapter
Penutup
Kandungan HTML
<h1 id="bab-4a-rangkaian-lanjutan-kuasai-network-macam-pro">Bab 4A: Rangkaian Lanjutan — Kuasai Network Macam Pro</h1> <figure><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 840 470" width="840" height="470"> <defs> <linearGradient id="vz-bg" x1="0%" y1="0%" x2="100%" y2="100%"> <stop offset="0%" style="stop-color:#f8fafc"/> <stop offset="100%" style="stop-color:#eff6ff"/> </linearGradient> <filter id="vz-shadow"> <feDropShadow dx="0" dy="8" stdDeviation="10" flood-color="#0f172a" flood-opacity="0.12"/> </filter> </defs> <rect width="840" height="470" rx="18" fill="url(#vz-bg)"/> <text x="420" y="36" font-family="Arial, Helvetica, sans-serif" font-size="20" font-weight="bold" fill="#1e293b" text-anchor="middle">Peta Zon VLAN dan Keselamatan</text> <text x="420" y="58" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#64748b" text-anchor="middle">Contoh segmentasi rangkaian menggunakan pfSense atau OPNsense</text> <g stroke="#94a3b8" stroke-width="3" stroke-linecap="round"> <line x1="420" y1="108" x2="420" y2="138"/> <line x1="420" y1="190" x2="170" y2="250"/> <line x1="420" y1="190" x2="420" y2="250"/> <line x1="420" y1="190" x2="670" y2="250"/> </g> <g filter="url(#vz-shadow)"> <rect x="300" y="72" width="240" height="46" rx="16" fill="#1d4ed8"/> <text x="420" y="101" font-family="Arial, Helvetica, sans-serif" font-size="16" font-weight="bold" fill="#ffffff" text-anchor="middle">Internet / WAN</text> </g> <g filter="url(#vz-shadow)"> <rect x="280" y="138" width="280" height="58" rx="16" fill="#334155"/> <text x="420" y="166" font-family="Arial, Helvetica, sans-serif" font-size="16" font-weight="bold" fill="#ffffff" text-anchor="middle">pfSense / OPNsense</text> <text x="420" y="184" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#cbd5e1" text-anchor="middle">Firewall, NAT, DHCP, DNS forwarding, policy rules</text> </g> <g filter="url(#vz-shadow)"> <rect x="60" y="250" width="220" height="120" rx="18" fill="#0f766e"/> <text x="170" y="285" font-family="Arial, Helvetica, sans-serif" font-size="16" font-weight="bold" fill="#ffffff" text-anchor="middle">VLAN 20 - Pelayan</text> <text x="170" y="307" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ccfbf1" text-anchor="middle">Proxmox, NAS, Docker, Grafana</text> <text x="170" y="325" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ccfbf1" text-anchor="middle">Akses luas tetapi dikawal</text> <text x="170" y="347" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ccfbf1" text-anchor="middle">Boleh bercakap dengan internet</text> </g> <g filter="url(#vz-shadow)"> <rect x="310" y="250" width="220" height="120" rx="18" fill="#ea580c"/> <text x="420" y="285" font-family="Arial, Helvetica, sans-serif" font-size="16" font-weight="bold" fill="#ffffff" text-anchor="middle">VLAN 30 - IoT</text> <text x="420" y="307" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ffedd5" text-anchor="middle">Kamera, sensor, peranti pintar</text> <text x="420" y="325" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ffedd5" text-anchor="middle">Akses minimum ke pelayan tertentu</text> <text x="420" y="347" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ffedd5" text-anchor="middle">Sekat RFC1918 lain secara lalai</text> </g> <g filter="url(#vz-shadow)"> <rect x="560" y="250" width="220" height="120" rx="18" fill="#7c3aed"/> <text x="670" y="285" font-family="Arial, Helvetica, sans-serif" font-size="16" font-weight="bold" fill="#ffffff" text-anchor="middle">VLAN 40 - Tetamu</text> <text x="670" y="307" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ede9fe" text-anchor="middle">Internet sahaja</text> <text x="670" y="325" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ede9fe" text-anchor="middle">Client Isolation di WiFi</text> <text x="670" y="347" font-family="Arial, Helvetica, sans-serif" font-size="11" fill="#ede9fe" text-anchor="middle">Tiada akses ke LAN atau server</text> </g> </svg> <figcaption>Peta zon VLAN dan keselamatan</figcaption></figure> <p>Okay, kalau anda dah berjaya setup rangkaian asas dari Bab 4 — DNS jalan, DHCP stabil, peranti semua boleh online — tahniah! Sekarang kita masuk level seterusnya. Bab ini akan tunjuk macam mana nak fine-tune rangkaian anda supaya lebih selamat, lebih teratur, dan lebih professional.</p> <p>Tapi macam biasa — jangan rush. Tambah satu benda pada satu masa, test, pastikan okay, baru tambah benda seterusnya.</p> <p><strong>Apa yang anda akan belajar:</strong></p> <ul> <li>Cara mendalami NAT, VLAN, managed switch, dan monitoring rangkaian</li> <li>Bagaimana segmentasi rangkaian membantu keselamatan dan organisasi</li> <li>Setup WiFi dengan VLAN, IPv6, dan tools untuk troubleshoot network</li> </ul> <blockquote> <p><strong>Nota Beginner:</strong> Bab ini sesuai dianggap sebagai “fasa 2”. Kalau DNS, DHCP, dan akses dalaman pun belum stabil, tangguhkan dulu bahagian lanjutan ni. Selesaikan asas dulu, baru level up.</p> </blockquote> <h3 id="laluan-paling-mudah-untuk-beginner">Laluan Paling Mudah untuk Beginner</h3> <ul> <li>Jangan sentuh VLAN berbilang lapis kalau anda masih belum selesa dengan IP biasa dan DHCP</li> <li>Kalau nak cuba segmentasi, mula dengan satu VLAN tambahan sahaja — contohnya untuk IoT</li> <li>Selepas setiap perubahan switch atau firewall, uji akses internet dan DNS dahulu. Ini penting!</li> </ul> <h2 id="langkah-1-konfigurasi-pfsenseopnsense-mendalam">Langkah 1: Konfigurasi pfSense/OPNsense Mendalam</h2> <h3 id="antara-muka-web-pfsense">Antara Muka Web pfSense</h3> <p>Selepas pemasangan, akses antara muka web pfSense melalui <code>https://10.0.0.1</code>. Dari sini, anda boleh control semua benda — firewall rules, DHCP, DNS, VLAN, dan banyak lagi.</p> <p><strong>Wizard Persediaan Awal:</strong></p> <ol type="1"> <li><strong>General Information:</strong> <ul> <li>Hostname: <code>pfsense</code></li> <li>Domain: <code>lab.local</code></li> <li>DNS Servers: <code>1.1.1.1</code>, <code>9.9.9.9</code></li> </ul></li> <li><strong>Time Server:</strong> <ul> <li>Timezone: <code>Asia/Kuala_Lumpur</code></li> <li>NTP Server: <code>my.pool.ntp.org</code></li> </ul></li> <li><strong>WAN Configuration:</strong> <ul> <li>Jenis: DHCP (atau PPPoE untuk Unifi/TM)</li> <li>Sekat rangkaian peribadi: Ya</li> <li>Sekat rangkaian bogon: Ya</li> </ul></li> <li><strong>LAN Configuration:</strong> <ul> <li>Alamat IP: <code>10.0.0.1/24</code></li> </ul></li> </ol> <blockquote> <p><strong>Nota Beginner:</strong> Wizard ni akan guide anda step by step. Kalau guna ISP Unifi atau TM, pilih PPPoE dan masukkan username/password yang ISP bagi. Kalau tak pasti, hubungi ISP anda.</p> </blockquote> <h3 id="nat-network-address-translation">NAT (Network Address Translation)</h3> <p>NAT ni macam receptionist di pejabat. Semua orang dalam pejabat (rangkaian peribadi) guna satu nombor telefon utama (IP awam) untuk call keluar. Receptionist (NAT) yang uruskan siapa call siapa.</p> <p><strong>Port Forwarding:</strong></p> <p>Kadang-kadang anda nak orang luar boleh access service tertentu. Port forwarding macam bagi extension number — call masuk ke nombor utama, tapi sambung ke orang yang betul.</p> <pre><code>Firewall → NAT → Port Forward → Add Interface: WAN Protocol: TCP Destination: WAN address Destination Port: 443 Redirect Target: 10.0.20.20 Redirect Port: 443 Description: HTTPS ke Reverse Proxy</code></pre> <p><strong>Contoh Port Forward yang Biasa:</strong></p> <table> <thead> <tr class="header"> <th>Perkhidmatan</th> <th>Port Luaran</th> <th>IP Dalaman</th> <th>Port Dalaman</th> </tr> </thead> <tbody> <tr class="odd"> <td>HTTPS (Reverse Proxy)</td> <td>443</td> <td>10.0.20.20</td> <td>443</td> </tr> <tr class="even"> <td>WireGuard VPN</td> <td>51820/UDP</td> <td>10.0.20.20</td> <td>51820</td> </tr> <tr class="odd"> <td>SSH (pilihan)</td> <td>22222</td> <td>10.0.20.20</td> <td>22</td> </tr> </tbody> </table> <blockquote> <p><strong>Nota Beginner:</strong> Minimumkan port yang dibuka melalui Port Forward. Setiap port yang terbuka adalah satu “pintu masuk” yang attacker boleh cuba. Gunakan VPN untuk akses perkhidmatan dalaman — jauh lebih selamat daripada buka banyak port.</p> </blockquote> <h3 id="dhcp-static-mappings">DHCP Static Mappings</h3> <p>Ini cara elegant untuk pastikan peranti sentiasa dapat IP yang sama, tanpa perlu set IP statik pada peranti tu sendiri. Router yang uruskan.</p> <pre><code>Services → DHCP Server → LAN → DHCP Static Mappings Alamat MAC: aa:bb:cc:dd:ee:ff IP Address: 10.0.0.20 Hostname: docker-host Description: Pelayan Docker Utama</code></pre> <p>Bagusnya cara ni — kalau anda format semula server, dia tetap dapat IP yang sama sebab router ingat MAC address dia. Tak perlu reconfigure.</p> <h3 id="dns-resolverforwarder">DNS Resolver/Forwarder</h3> <p>pfSense boleh jadi DNS resolver atau forwarder. Apa bezanya?</p> <p><strong>DNS Resolver (Unbound):</strong> - Menyelesaikan pertanyaan DNS secara langsung — tanya terus ke root servers - Lebih peribadi (tiada pihak ketiga nampak pertanyaan anda) - Sedikit lebih perlahan untuk pertanyaan pertama</p> <p><strong>DNS Forwarder:</strong> - Majukan pertanyaan ke pelayan DNS lain (1.1.1.1, 8.8.8.8) - Lebih pantas untuk pertanyaan pertama - Kurang peribadi</p> <p><strong>Saya cadangkan:</strong> Gunakan Pi-hole sebagai DNS utama, dengan pfSense sebagai sandaran. Best of both worlds!</p> <pre><code>Services → DNS Resolver → General Settings Aktifkan: Ya Port: 53 Interface: LAN, VLAN20, VLAN30 DNS Query Forwarding: Aktifkan (ke Pi-hole 10.0.0.2)</code></pre> <h3 id="konfigurasi-vlan-mendalam-pada-pfsense">Konfigurasi VLAN Mendalam pada pfSense</h3> <p>Jom setup VLAN step by step. Bayangkan anda nak buat tiga “bilik” dalam rangkaian — satu untuk server, satu untuk IoT, satu untuk tetamu.</p> <p><strong>Langkah 1: Cipta VLAN</strong></p> <pre><code>Interfaces → VLANs → Add Parent Interface: igb1 (LAN) VLAN Tag: 20 Description: Pelayan (Ulang untuk VLAN 30, 40, dll.)</code></pre> <p><strong>Langkah 2: Tetapkan Antara Muka</strong></p> <pre><code>Interfaces → Assignments → Add VLAN 20 → Tetapkan sebagai OPT1 → Namakan semula ke "PELAYAN" → Alamat IP: 10.0.20.1/24 → DHCP: Aktifkan (10.0.20.100 - 10.0.20.254) VLAN 30 → Tetapkan sebagai OPT2 → Namakan semula ke "IOT" → Alamat IP: 10.0.30.1/24 → DHCP: Aktifkan (10.0.30.100 - 10.0.30.254)</code></pre> <p><strong>Langkah 3: Peraturan Firewall VLAN</strong></p> <p>Ini bahagian yang paling penting — tentukan siapa boleh bercakap dengan siapa:</p> <pre><code># VLAN PELAYAN (20) Benarkan: PELAYAN net → Mana-mana (Internet + LAN) Benarkan: PELAYAN net → PELAYAN net (inter-server) # VLAN IoT (30) Benarkan: IoT net → IoT net (peranti IoT sesama) Benarkan: IoT net → 10.0.20.23:8123 (Home Assistant sahaja) Benarkan: IoT net → Mana-mana:53 (DNS) Benarkan: IoT net → Mana-mana:123 (NTP) Sekat: IoT net → RFC1918 (sekat semua rangkaian peribadi lain) Benarkan: IoT net → Mana-mana (Internet) # VLAN Tetamu (40) Sekat: Tetamu net → RFC1918 (sekat semua rangkaian peribadi) Benarkan: Tetamu net → Mana-mana (Internet sahaja)</code></pre> <p>Perhatikan logiknya — IoT boleh access internet dan Home Assistant, tapi tak boleh nampak server atau PC anda. Tetamu pula hanya boleh guna internet. Simple dan selamat!</p> <h2 id="langkah-2-konfigurasi-suis-terurus">Langkah 2: Konfigurasi Suis Terurus</h2> <h3 id="tp-link-tl-sg108e-tl-sg3210">TP-Link TL-SG108E / TL-SG3210</h3> <p>Sekarang kita dah buat VLAN kat firewall, kena setup switch pulak. Switch kena tahu port mana belong VLAN mana.</p> <p><strong>Konfigurasi VLAN pada Suis:</strong></p> <pre><code>Port 1: Trunk (ke router) - VLAN 1: Tagged - VLAN 20: Tagged - VLAN 30: Tagged - VLAN 40: Tagged - PVID: 1 Port 2-3: Pelayan (VLAN 20) - VLAN 20: Untagged - PVID: 20 Port 4: NAS (VLAN 1 - LAN utama) - VLAN 1: Untagged - PVID: 1 Port 5-6: IoT (VLAN 30) - VLAN 30: Untagged - PVID: 30 Port 7: WiFi AP (Trunk) - VLAN 1: Tagged - VLAN 30: Tagged - VLAN 40: Tagged - PVID: 1 Port 8: Komputer Admin (VLAN 1) - VLAN 1: Untagged - PVID: 1</code></pre> <p><strong>Penjelasan Tagged vs Untagged:</strong></p> <p>Ini konsep yang ramai orang pening. Saya jelaskan dengan analogi:</p> <ul> <li><strong>Tagged (Trunk):</strong> Macam surat dengan cop warna. Paket ada label VLAN, jadi switch/router tahu dia datang dari VLAN mana. Guna untuk sambungan antara switch, router, dan WiFi AP.</li> <li><strong>Untagged (Access):</strong> Macam surat biasa tanpa cop. Peranti biasa (server, PC, IoT) tak perlu tahu pasal VLAN — switch yang uruskan.</li> <li><strong>PVID (Port VLAN ID):</strong> VLAN default untuk surat tanpa cop yang masuk melalui port tu.</li> </ul> <blockquote> <p><strong>Nota Beginner:</strong> Kalau VLAN setup anda tak berfungsi, 90% masalah adalah salah satu daripada: (1) trunk port tak tagged semua VLAN yang perlu, (2) PVID salah, atau (3) firewall rule tak betul. Check tiga benda tu dulu.</p> </blockquote> <h3 id="mikrotik-routeros">MikroTik RouterOS</h3> <p>MikroTik sangat popular sebab harga murah tapi feature gila banyak. Saya cadangkan untuk orang yang tak takut CLI:</p> <div class="sourceCode" id="cb8"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb8-1"><a href="#cb8-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Konfigurasi VLAN pada MikroTik (CLI)</span></span> <span id="cb8-2"><a href="#cb8-2" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-3"><a href="#cb8-3" aria-hidden="true" tabindex="-1"></a><span class="co"># Cipta bridge</span></span> <span id="cb8-4"><a href="#cb8-4" aria-hidden="true" tabindex="-1"></a><span class="ex">/interface</span> bridge add name=bridge1</span> <span id="cb8-5"><a href="#cb8-5" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-6"><a href="#cb8-6" aria-hidden="true" tabindex="-1"></a><span class="co"># Tambah port ke bridge</span></span> <span id="cb8-7"><a href="#cb8-7" aria-hidden="true" tabindex="-1"></a><span class="ex">/interface</span> bridge port add bridge=bridge1 interface=ether2</span> <span id="cb8-8"><a href="#cb8-8" aria-hidden="true" tabindex="-1"></a><span class="ex">/interface</span> bridge port add bridge=bridge1 interface=ether3</span> <span id="cb8-9"><a href="#cb8-9" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-10"><a href="#cb8-10" aria-hidden="true" tabindex="-1"></a><span class="co"># Cipta VLAN</span></span> <span id="cb8-11"><a href="#cb8-11" aria-hidden="true" tabindex="-1"></a><span class="ex">/interface</span> vlan add interface=bridge1 name=vlan20 vlan-id=20</span> <span id="cb8-12"><a href="#cb8-12" aria-hidden="true" tabindex="-1"></a><span class="ex">/interface</span> vlan add interface=bridge1 name=vlan30 vlan-id=30</span> <span id="cb8-13"><a href="#cb8-13" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-14"><a href="#cb8-14" aria-hidden="true" tabindex="-1"></a><span class="co"># Tetapkan alamat IP</span></span> <span id="cb8-15"><a href="#cb8-15" aria-hidden="true" tabindex="-1"></a><span class="ex">/ip</span> address add address=10.0.20.1/24 interface=vlan20</span> <span id="cb8-16"><a href="#cb8-16" aria-hidden="true" tabindex="-1"></a><span class="ex">/ip</span> address add address=10.0.30.1/24 interface=vlan30</span> <span id="cb8-17"><a href="#cb8-17" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-18"><a href="#cb8-18" aria-hidden="true" tabindex="-1"></a><span class="co"># Konfigurasi DHCP untuk setiap VLAN</span></span> <span id="cb8-19"><a href="#cb8-19" aria-hidden="true" tabindex="-1"></a><span class="ex">/ip</span> pool add name=pool-vlan20 ranges=10.0.20.100-10.0.20.254</span> <span id="cb8-20"><a href="#cb8-20" aria-hidden="true" tabindex="-1"></a><span class="ex">/ip</span> dhcp-server add interface=vlan20 address-pool=pool-vlan20</span> <span id="cb8-21"><a href="#cb8-21" aria-hidden="true" tabindex="-1"></a><span class="ex">/ip</span> dhcp-server network add address=10.0.20.0/24 gateway=10.0.20.1 dns-server=10.0.0.2</span></code></pre></div> <h2 id="langkah-3-wifi-dan-vlan">Langkah 3: WiFi dan VLAN</h2> <h3 id="konfigurasi-wifi-dengan-vlan">Konfigurasi WiFi dengan VLAN</h3> <p>Ini benda yang sangat cool — satu WiFi AP boleh broadcast berbilang SSID, setiap satu dengan VLAN berbeza. Macam satu bangunan dengan pintu masuk berbeza.</p> <p><strong>Contoh Konfigurasi:</strong></p> <table> <thead> <tr class="header"> <th>SSID</th> <th>VLAN</th> <th>Tujuan</th> <th>Keselamatan</th> </tr> </thead> <tbody> <tr class="odd"> <td>HomeNet</td> <td>1</td> <td>Rangkaian utama</td> <td>WPA3 Personal</td> </tr> <tr class="even"> <td>IoT-Devices</td> <td>30</td> <td>Peranti pintar</td> <td>WPA2 Personal</td> </tr> <tr class="odd"> <td>Guest-WiFi</td> <td>40</td> <td>Tetamu</td> <td>WPA2 Personal</td> </tr> </tbody> </table> <p>Nampak? Tetamu connect ke Guest-WiFi, tapi mereka hanya boleh access internet — tak boleh nampak NAS atau server anda. Selamat!</p> <p><strong>Pada Ubiquiti UniFi:</strong> 1. Settings → WiFi → Create New 2. Nama: <code>IoT-Devices</code> 3. Security: WPA2 Personal 4. VLAN: 30 5. Band: 2.4 GHz sahaja (untuk peranti IoT lama yang tak support 5GHz)</p> <p><strong>Pada TP-Link Omada:</strong> 1. Wireless Networks → Add 2. SSID: <code>IoT-Devices</code> 3. VLAN: 30 4. Security: WPA/WPA2-Personal 5. Schedule: Sentiasa aktif</p> <h3 id="pengasingan-klien-wifi">Pengasingan Klien WiFi</h3> <p>Satu lagi feature penting — <strong>Client Isolation</strong>. Ini bermaksud peranti pada WiFi yang sama pun tak boleh nampak sesama sendiri. Sangat penting untuk rangkaian tetamu!</p> <pre><code>UniFi: WiFi → Guest Network → Client Isolation: ON Omada: Wireless → SSID → Client Isolation: Enable</code></pre> <blockquote> <p><strong>Nota Beginner:</strong> Bayangkan anda bagi WiFi kat tetamu. Tanpa Client Isolation, telefon tetamu A boleh “nampak” laptop tetamu B. Dengan Client Isolation, setiap tetamu isolated — lebih selamat.</p> </blockquote> <h2 id="langkah-4-pemantauan-rangkaian-mendalam">Langkah 4: Pemantauan Rangkaian Mendalam</h2> <h3 id="ntopng">ntopng</h3> <p>Nak tahu siapa yang makan bandwidth paling banyak? ntopng boleh jawab. Ia macam CCTV untuk rangkaian anda — nampak semua trafik secara real-time.</p> <div class="sourceCode" id="cb10"><pre class="sourceCode yaml"><code class="sourceCode yaml"><span id="cb10-1"><a href="#cb10-1" aria-hidden="true" tabindex="-1"></a><span class="fu">services</span><span class="kw">:</span></span> <span id="cb10-2"><a href="#cb10-2" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">ntopng</span><span class="kw">:</span></span> <span id="cb10-3"><a href="#cb10-3" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">image</span><span class="kw">:</span><span class="at"> ntop/ntopng:stable</span></span> <span id="cb10-4"><a href="#cb10-4" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">container_name</span><span class="kw">:</span><span class="at"> ntopng</span></span> <span id="cb10-5"><a href="#cb10-5" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">network_mode</span><span class="kw">:</span><span class="at"> host</span></span> <span id="cb10-6"><a href="#cb10-6" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">environment</span><span class="kw">:</span></span> <span id="cb10-7"><a href="#cb10-7" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> NTOPNG_ARGS=-i eth0 -w 3000</span></span> <span id="cb10-8"><a href="#cb10-8" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">volumes</span><span class="kw">:</span></span> <span id="cb10-9"><a href="#cb10-9" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> ./ntopng/data:/var/lib/ntopng</span></span> <span id="cb10-10"><a href="#cb10-10" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">restart</span><span class="kw">:</span><span class="at"> unless-stopped</span></span></code></pre></div> <p><strong>Ciri ntopng:</strong> - Papan pemuka trafik masa nyata — nampak siapa guna berapa bandwidth - Pengenalpastian aplikasi (Layer 7) — Netflix ke YouTube yang makan bandwidth? - Pengesanan ancaman — kalau ada traffic suspicious, ntopng alert - Sejarah trafik — boleh check traffic pattern semalam, minggu lepas - Amaran berdasarkan ambang — set alert kalau bandwidth exceed limit</p> <h3 id="speedtest-berkala">Speedtest Berkala</h3> <p>Nak tahu kalau ISP deliver speed yang dijanjikan? Automate speedtest dan log hasilnya:</p> <div class="sourceCode" id="cb11"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb11-1"><a href="#cb11-1" aria-hidden="true" tabindex="-1"></a><span class="co">#!/bin/bash</span></span> <span id="cb11-2"><a href="#cb11-2" aria-hidden="true" tabindex="-1"></a><span class="co"># /usr/local/bin/speedtest-log.sh</span></span> <span id="cb11-3"><a href="#cb11-3" aria-hidden="true" tabindex="-1"></a><span class="va">RESULT</span><span class="op">=</span><span class="va">$(</span><span class="ex">speedtest-cli</span> <span class="at">--json</span><span class="va">)</span></span> <span id="cb11-4"><a href="#cb11-4" aria-hidden="true" tabindex="-1"></a><span class="bu">echo</span> <span class="st">"</span><span class="va">$RESULT</span><span class="st">"</span> <span class="op">>></span> /var/log/speedtest.json</span> <span id="cb11-5"><a href="#cb11-5" aria-hidden="true" tabindex="-1"></a><span class="bu">echo</span> <span class="st">"</span><span class="va">$(</span><span class="fu">date</span><span class="va">)</span><span class="st">: </span><span class="va">$(</span><span class="bu">echo</span> <span class="va">$RESULT</span> <span class="kw">|</span> <span class="ex">jq</span> <span class="at">-r</span> <span class="st">'.download/1000000 | floor'</span><span class="va">)</span><span class="st"> Mbps down, </span><span class="va">$(</span><span class="bu">echo</span> <span class="va">$RESULT</span> <span class="kw">|</span> <span class="ex">jq</span> <span class="at">-r</span> <span class="st">'.upload/1000000 | floor'</span><span class="va">)</span><span class="st"> Mbps up"</span></span></code></pre></div> <p>Dari pengalaman saya, ini sangat berguna kalau anda nak complain ke ISP. Ada data concrete, bukan sekadar “internet saya slow.”</p> <h2 id="langkah-5-ipv6-dalam-homelab">Langkah 5: IPv6 dalam Homelab</h2> <h3 id="mengapa-ipv6">Mengapa IPv6?</h3> <p>IPv6 ni macam upgrade dari nombor telefon 8 digit ke 12 digit — lebih banyak nombor, semua orang boleh dapat nombor sendiri.</p> <ul> <li>ISP di Malaysia semakin menyokong IPv6 (Unifi, Maxis dah ada)</li> <li>Setiap peranti boleh mempunyai alamat IP awam — tak perlu NAT lagi</li> <li>Tiada lagi NAT yang kompleks</li> <li>Ini masa depan internet — baik belajar sekarang</li> </ul> <h3 id="konfigurasi-asas-ipv6-pada-pfsense">Konfigurasi Asas IPv6 pada pfSense</h3> <pre><code>Interfaces → WAN → IPv6 Configuration Type: DHCPv6 → DHCPv6 Prefix Delegation Size: 56 Interfaces → LAN → IPv6 Configuration Type: Track Interface → Track IPv6 Interface: WAN → IPv6 Prefix ID: 0 Services → DHCPv6 Server → LAN → Aktifkan → Range: ::100 to ::ffff → Router Advertisements: Managed</code></pre> <blockquote> <p><strong>Nota Beginner:</strong> IPv6 memberikan alamat IP awam kepada setiap peranti. Ini bermaksud firewall rules anda jadi lebih penting! Pastikan peraturan firewall IPv6 dikonfigurasi dengan betul. Kalau tak pasti, disable IPv6 dulu dan enable kemudian bila dah lebih faham.</p> </blockquote> <h2 id="langkah-6-penyelesaian-masalah-rangkaian">Langkah 6: Penyelesaian Masalah Rangkaian</h2> <p>Bila rangkaian tak berfungsi (dan ia akan berlaku — percayalah), anda perlu tahu cara troubleshoot. Ini skills yang sangat berharga, bukan sahaja untuk homelab tapi untuk kerjaya IT anda.</p> <h3 id="alat-diagnostik-dalam-pfsense">Alat Diagnostik dalam pfSense</h3> <p>pfSense dah siap sedia dengan tools troubleshooting:</p> <pre><code>Diagnostics → Ping → Ping peranti dari perspektif firewall Diagnostics → Traceroute → Jejak laluan ke destinasi Diagnostics → DNS Lookup → Uji resolusi DNS — domain resolve ke IP yang betul ke? Diagnostics → Packet Capture → Tangkap paket pada mana-mana antara muka → Sangat berguna untuk mengesan masalah VLAN</code></pre> <h3 id="menggunakan-tcpdump">Menggunakan tcpdump</h3> <p>tcpdump ni macam stethoscope untuk network — anda boleh “dengar” apa yang berlaku pada kabel:</p> <div class="sourceCode" id="cb14"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb14-1"><a href="#cb14-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Tangkap semua trafik pada antara muka</span></span> <span id="cb14-2"><a href="#cb14-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> tcpdump <span class="at">-i</span> eth0</span> <span id="cb14-3"><a href="#cb14-3" aria-hidden="true" tabindex="-1"></a></span> <span id="cb14-4"><a href="#cb14-4" aria-hidden="true" tabindex="-1"></a><span class="co"># Tangkap trafik DNS sahaja</span></span> <span id="cb14-5"><a href="#cb14-5" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> tcpdump <span class="at">-i</span> eth0 port 53</span> <span id="cb14-6"><a href="#cb14-6" aria-hidden="true" tabindex="-1"></a></span> <span id="cb14-7"><a href="#cb14-7" aria-hidden="true" tabindex="-1"></a><span class="co"># Tangkap trafik ke/dari IP tertentu</span></span> <span id="cb14-8"><a href="#cb14-8" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> tcpdump <span class="at">-i</span> eth0 host 10.0.20.20</span> <span id="cb14-9"><a href="#cb14-9" aria-hidden="true" tabindex="-1"></a></span> <span id="cb14-10"><a href="#cb14-10" aria-hidden="true" tabindex="-1"></a><span class="co"># Tangkap trafik VLAN</span></span> <span id="cb14-11"><a href="#cb14-11" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> tcpdump <span class="at">-i</span> eth0 <span class="at">-e</span> vlan</span> <span id="cb14-12"><a href="#cb14-12" aria-hidden="true" tabindex="-1"></a></span> <span id="cb14-13"><a href="#cb14-13" aria-hidden="true" tabindex="-1"></a><span class="co"># Simpan tangkapan ke fail (untuk analisis Wireshark)</span></span> <span id="cb14-14"><a href="#cb14-14" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> tcpdump <span class="at">-i</span> eth0 <span class="at">-w</span> /tmp/capture.pcap</span></code></pre></div> <blockquote> <p><strong>Nota Beginner:</strong> Jangan takut dengan tcpdump. Mulakan dengan command simple macam <code>sudo tcpdump -i eth0 port 53</code> untuk tengok DNS traffic. Lama-lama anda akan makin selesa.</p> </blockquote> <h3 id="ujian-lebar-jalur-dengan-iperf3">Ujian Lebar Jalur dengan iperf3</h3> <p>Nak tahu betul-betul berapa laju rangkaian antara dua peranti? iperf3 jawapannya:</p> <div class="sourceCode" id="cb15"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb15-1"><a href="#cb15-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Pada pelayan (penerima)</span></span> <span id="cb15-2"><a href="#cb15-2" aria-hidden="true" tabindex="-1"></a><span class="ex">iperf3</span> <span class="at">-s</span></span> <span id="cb15-3"><a href="#cb15-3" aria-hidden="true" tabindex="-1"></a></span> <span id="cb15-4"><a href="#cb15-4" aria-hidden="true" tabindex="-1"></a><span class="co"># Pada klien (penghantar)</span></span> <span id="cb15-5"><a href="#cb15-5" aria-hidden="true" tabindex="-1"></a><span class="ex">iperf3</span> <span class="at">-c</span> 10.0.20.10</span> <span id="cb15-6"><a href="#cb15-6" aria-hidden="true" tabindex="-1"></a></span> <span id="cb15-7"><a href="#cb15-7" aria-hidden="true" tabindex="-1"></a><span class="co"># Ujian dengan berbilang aliran</span></span> <span id="cb15-8"><a href="#cb15-8" aria-hidden="true" tabindex="-1"></a><span class="ex">iperf3</span> <span class="at">-c</span> 10.0.20.10 <span class="at">-P</span> 4</span> <span id="cb15-9"><a href="#cb15-9" aria-hidden="true" tabindex="-1"></a></span> <span id="cb15-10"><a href="#cb15-10" aria-hidden="true" tabindex="-1"></a><span class="co"># Ujian UDP</span></span> <span id="cb15-11"><a href="#cb15-11" aria-hidden="true" tabindex="-1"></a><span class="ex">iperf3</span> <span class="at">-c</span> 10.0.20.10 <span class="at">-u</span> <span class="at">-b</span> 1G</span> <span id="cb15-12"><a href="#cb15-12" aria-hidden="true" tabindex="-1"></a></span> <span id="cb15-13"><a href="#cb15-13" aria-hidden="true" tabindex="-1"></a><span class="co"># Contoh output:</span></span> <span id="cb15-14"><a href="#cb15-14" aria-hidden="true" tabindex="-1"></a><span class="co"># [SUM] 0.00-10.00 sec 1.10 GBytes 941 Mbits/sec sender</span></span> <span id="cb15-15"><a href="#cb15-15" aria-hidden="true" tabindex="-1"></a><span class="co"># [SUM] 0.00-10.00 sec 1.10 GBytes 940 Mbits/sec receiver</span></span></code></pre></div> <p>941 Mbits/sec kat Gigabit link? Itu dah almost perfect. Kalau anda dapat jauh kurang dari tu, mungkin ada bottleneck — kabel rosak, switch issue, atau NIC problem.</p> <h3 id="checklist-siap-bab-ini">Checklist Siap Bab Ini</h3> <ul class="task-list"> <li><label><input type="checkbox" />Saya tahu sama ada saya perlukan VLAN tambahan sekarang</label></li> <li><label><input type="checkbox" />Saya tahu perubahan mana yang perlu dibuat pada firewall dan switch</label></li> <li><label><input type="checkbox" />Saya faham bagaimana hendak menguji rangkaian selepas perubahan</label></li> </ul> <h2 id="ringkasan">Ringkasan</h2> <p>Anda dah sampai penghujung bab rangkaian lanjutan! Ini banyak content, tapi anda tak perlu master semua sekaligus. Kita dah bincangkan:</p> <ul> <li>Konfigurasi mendalam pfSense — NAT, DHCP static mapping, DNS</li> <li>Konfigurasi VLAN pada pelbagai switch — TP-Link, MikroTik</li> <li>WiFi dengan VLAN — satu AP, berbilang rangkaian</li> <li>Pemantauan rangkaian dengan ntopng — tahu siapa guna bandwidth</li> <li>Asas IPv6 — persediaan untuk masa depan</li> <li>Tools troubleshooting — tcpdump, iperf3, dan diagnostik pfSense</li> </ul> <p>Rangkaian yang kukuh dan terurus adalah asas kepada homelab yang berjaya. Kalau bab ini rasa overwhelming, jangan risau. Bookmark bahagian yang anda belum perlukan dan fokus pada apa yang relevan sekarang. Dari pengalaman saya, networking skills ni akan develop secara natural bila anda guna homelab setiap hari. Sabar dan enjoy the process!</p>
💾 Kemaskini
Batal