SWITCHING SPANNING TREE PROTOCOL PART 2

Spanning-Tree Protocol Port-Fast
Seperti yang kita tahu bahwa switch membutuhkan waktu sekitar 50 detik sampai dalam kondisi adjancecy dengan tetangganya untuk menentukan apakah port  yang terhubung berstatus block atau forward. Namun hal tersebut lebih efektif bila switch terhubung dengan sesama switch dan membentuk jalur redundant (STP). Dan bagaimana ada port switch yang terhubung dengan komputer, server atau router maka akan tidak efektif maka disinilah peran dari feature STP Port-Fast, dengan menggunakan feature ini transisi akan lebih cepat dan direkomendasikan untuk link access. Kenapa menggunakan port-fast? karena tanpa adanya port-fast kebanyakan koneksi akan mengalami time-out saat melakukan koneksi kabel pertama kali. Jangan melakukan “enable” STP port-fast pada port koneksi antar switch karena akan menimbulkan bridging loop kepada jaringan.
Untuk mengaktifkan port-fast adalah dengan perintah berikut.
Switch0
Switch>enable
Switch#configure terminal
Switch(config)#interface range fastethernet 0/1-2
Switch(config-if-range)#spanning-tree portfast
Switch(config-if-range)#exit
Switch(config)#
Switch1
Switch>enable
Switch#configure terminal
Switch(config)#interface range fastethernet 0/1-2
Switch(config-if-range)#spanning-tree portfast
Switch(config-if-range)#exit
Switch(config)#
Lakukan test konfigurasi dengan mencabut kabel dan pasang kembali maka akan terlihat bahwa indikator lampu LED switch akan langsung berwarna hijau tanpa orange terlebih dahulu.
Spanning-Tree Protocol BPDU (Bridge Protocol Data Unit) Guard
BPDU adalah protocol yang menentukan switch mana yang akan menjadi root bridge beserta menentukan state dari port-port yang terlibat dalam jaringan STP. Di dalam BPDU ini terdapat informasi tentang MAC address switch pengirim BPDU dan juga Bridge ID mereka. Apa fungsi BPDU guard? dia memiliki fungsi sebagai pemroteksi port yang sudah aktif port-fast yang menuju ke host dari koneksi kabel ke switch, sehingga mengakibatkan loop. Seperti contoh interface fastethernet 0/1 dan 0/2 sudah terhubung ke komputer kemudian ada orang dengan sengaja memindahkan kabel yang terhubung ke interface tersebut ke switch yang lain. Dengan menggunakan BPDU guard interface tersebut akan disable secara otomatis (shutdown).
Lakukan konfigurasi BPDU guard pada Switch0 dan Switch1.
Switch0
Switch#
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface range fastethernet 0/1-2
Switch(config-if-range)#spanning-tree bpduguard enable
Switch(config-if-range)#end
Switch#
Switch1
Switch#
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface range fastethernet 0/1-2
Switch(config-if-range)#spanning-tree bpduguard enable
Switch(config-if-range)#end
Switch#
Coba lakukan test konfigurasi dengan cara mencabut kabel switch yang menuju ke komputer dengan kabel yang menuju ke switch lain.

Dari gambar diatas terlihat kalo port yang terhubung ke switch2 statusnya adalah shutdown.

Selamat mencoba 🙂

SWITCH SPANNING TREE PROTOCOL PART 1

Spanning-Tree Protocol
Spanning-Tree Protocol (STP) dirancang untuk mengatasi masalah yang disebabkan oleh redudance topologi atau lebih dari satu link pada switch yang saling terhubung. Prinsip kerja dari STP adalah mencegah terjadinya loop dan memilih jalur terpendek. Pemilihan jalur terpendek berdasarkan link cost pada port switch. Sedangkan untuk menjamin topologi ada switch bebas loop maka setiap port akan bekerja tahap demi tahap, mulai dari disable, blocking, listening, learning dan forwarding.
Secara otomatis switch cisco akan menjalankan STP dan tidak perlu konfigurasi apapun. Lihat informasi STP dengan ketikkan perintah show spanning-tree pada kedua switch.
Switch0
Switch#show spanning-tree
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0001.641D.858D
             Cost        19
             Port        10(FastEthernet0/10)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     000A.F351.30D1
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
———————– ——– —————–
Fa0/10           Root FWD 19        128.10   P2p
Fa0/15           Altn BLK 19        128.15   P2p

Switch1
Switch#show spanning-tree
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0001.641D.858D
             This bridge is the root
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0001.641D.858D
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
————————————————-
Fa0/11           Desg FWD 19        128.11   P2p
Fa0/15           Desg FWD 19        128.15   P2p

Dari informasi diatas dapat kita lihat yang mana root bridge, designated port, root port, dan blocked port. Karena kedua switch memiliki tipe yang sama yaitu c2950.
root bridge adalah switch dengan bridge ID  terendah yaitu switch yang menjadi titik fokus dalam network tersebut. Bila beberapa switch memiliki bridge ID yang sama maka root bridge ditentukan oleh nilai MAC address switch (vlan 1) yang terendah. Jadi yang menjadi root bridge adalah switch 1 karena memiliki mac address yang terendah.
designated port adalah port yang berada di root bridge yaitu switch 1.
root port adalah port yang aktif yang berada di switch non-root bridge yaitu switch0. root port ditentukan melalui cost yang terendah jika semua port memiliki cost yang sama root port ditentukan oleh nomor port yang terendah.
blocked port adalah port yang menjadi jalur alternatif pada non-root bridge. Port ini tidak meneruskan frame-frame untuk menghindari loop. Namun blocked port akan selalu mendengarkan frame.

Per-Vlan STP
Bila pada suatu network ada dua switch yang saling terkoneksi lebih dari satu link katakanlah 2 link dan kedua switch tersebut memiliki database vlan yang sama yaitu vlan10 dan vlan 20, maka dalam kasus STP kita dapat menentukan root bridge untuk masing-masing vlan.
Konfigurasi vlan dan trunk switch.
Switch0
switch>enable
switch#configure terminal
switch(config)#vlan 10
switch(config-vlan)#exit
switch(config)#vlan 20
switch(config-vlan)#exit
switch(config)#interface fastethernet 0/10
switch(config-if)#switchport mode trunk
switch(config-if)#exit
switch(config)#interface fastethernet 0/15
switch(config-if)#switchport mode trunk
switch(config-if)#exit
switch(config)#interface fastethernet 0/1
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
switch(config)#interface fastethernet 0/2
switch(config-if)#switchport access vlan 20
switch1
switch>enable
switch#configure terminal
switch(config)#vlan 10
switch(config-vlan)#exit
switch(config)#vlan 20
switch(config-vlan)#exit
switch(config)#interface fastethernet 0/11
switch(config-if)#switchport mode trunk
switch(config-if)#exit
switch(config)#interface fastethernet 0/15
switch(config-if)#switchport mode trunk
switch(config-if)#exit
switch(config)#interface fastethernet 0/1
switch(config-if)#switchport access vlan 10
switch(config-if)#exit
switch(config)#interface fastethernet 0/2
switch(config-if)#switchport access vlan 20
Konfigurasi untuk vlan 10 root bridge pada switch0 dan vlan 20 root-bridge pada switch1.
Switch0
switch#configure terminal
switch(config)#spanning-tree vlan 10 root primary
Switch1

switch#configure terminal
switch(config)#spanning-tree vlan 20 root primary
Cek konfigurasi dengan melihat informasi spanning-tree dengan perintah berikut.
Switch0
Switch#show spanning-tree vlan 10
VLAN0010
  Spanning tree enabled protocol ieee
  Root ID    Priority    24586
             Address     000A.F351.30D1
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    24586  (priority 24576 sys-id-ext 10)
             Address     000A.F351.30D1
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
————————————————-
Fa0/1            Desg FWD 19        128.1    P2p
Fa0/10           Desg FWD 19        128.10   P2p
Fa0/15           Desg FWD 19        128.15   P2p


Switch#show spanning-tree vlan 20
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    24596
             Address     0001.641D.858D
             Cost        19
             Port        10(FastEthernet0/10)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32788  (priority 32768 sys-id-ext 20)
             Address     000A.F351.30D1
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
————————————————-
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/10           Root FWD 19        128.10   P2p
Fa0/15           Altn BLK 19        128.15   P2p

Switch 1
Switch#show spanning-tree vlan 10
VLAN0010
  Spanning tree enabled protocol ieee
  Root ID    Priority    24586
             Address     000A.F351.30D1
             Cost        19
             Port        11(FastEthernet0/11)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32778  (priority 32768 sys-id-ext 10)
             Address     0001.641D.858D
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
————————————————–
Fa0/1            Desg FWD 19        128.1    P2p
Fa0/11           Root FWD 19        128.11   P2p
Fa0/15           Altn BLK 19        128.15   P2p

Switch#show spanning-tree vlan 20
VLAN0020
  Spanning tree enabled protocol ieee
  Root ID    Priority    24596
             Address     0001.641D.858D
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    24596  (priority 24576 sys-id-ext 20)
             Address     0001.641D.858D
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
————————————————–
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/11           Desg FWD 19        128.11   P2p
Fa0/15           Desg FWD 19        128.15   P2p


Rapid Per-Vlan Spanning Tree Protocol (R-PVST)

Dikatakan rapid karena di dalam prosesnya hanya ada 3 state yaitu discarding, learning dan forwarding. Maka dari itu untuk proses adjancecy-nya akan lebih cepat dari pada STP default yaitu 3 x hello times (3 x 2 detik = 6 detik). Kemudian perpindahan jalur ketika root port down ke alternate port juga lebih cepat. Untuk membuktikannya masih menggunakan topologi jaringan yang sama dari sub-bab diatas matikan port interface fastethernet 0/10 dengan mengetikkan perintah shutdown pada Switch0 kemudian langsung lakukan test ping dari PC0 ke PC3. Akan terjadi RTO (Request Time Out) yang cukup lama. Aktifkan kembali interface fastetherbet 0/10 dengan perintah no shutdown dan sekarang aktifkan RSTP pada Switch0 dan Switch1 dengan perintah berikut.

Switch0

Switch#
Switch#configure terminal
Switch(config)#spanning-tree mode rapid-pvst

Switch1

Switch#
Switch#configure terminal
Switch(config)#spanning-tree mode rapid-pvst

Coba lakukan percobaan seperti sebelumnya yaitu matikan interface fastethernet 0/10 langsung test ping dari PC0 ke PC3. Akan terlihat bahwa kecilnya waktu RTO bahkan tidak ada.

Selamat mencoba 🙂

MENGGUNAKAN VPCS DI GNS3

Virtual PC Simulator (VPCS) merupakan simulator untuk PC di GNS3 dengan kelebihan ringan dijalankan dibandingkan dengan virtualbox. Saya akan memberi sebuah tutorial kecil bagaimana menjalankan vpcs di GNS3.

Download terlebih dahulu sourcenya disini. Setelah selesai download extract file tersebut maka akan keluar direktori dengan nama vpcs-0.3.
Buat simbol terlebih untuk komputer di GNS3 dengan type cloud. Klik menu Edit > Symbol manager.
 
 
Buatlah topologi sederhana yang berisi 2 buah komputer yang terhubung menggunakan switch. Kemudian  lakukan perintah melalui terminal seperti berikut.
root@akrom:/home/akrommusajid#cd vpcs-0.3/src/
root@akrom:/home/akrommusajid#chmod 755 vpcs
root@akrom:/home/akrommusajid#./vpcs
Maka akan muncul terminal seperti dibawah ini.
Welcome to Virtual PC Simulator for dynamips, v0.3
Dedicated to Daling.
Build time: Sep 21 2013 11:18:55
All rights reserved.

Please contact me at mirnshi@gmail.com if you have any questions.

Press ‘?’ to get help.

VPCS[1]>


Lakukan konfigurasi IP pada virtual pc dengan perintah berikut.
VPCS[1]> ip 192.168.1.1 24
Lakukan juga pada virtual pc yang kedua dengan perintah berikut.
VPCS[1]> 2
VPCS[2]> ip 192.168.1.2 24
Lihat konfigurasi dengan perintah show.
VPCS[2]> show ip

NAME   IP/CIDR        GATEWAY  MAC               LPORT      RPORT
VPCS1  192.168.1.1/24 0.0.0.0  00:50:79:66:68:00  20000     30000
                      fe80::250:79ff:fe66:6800/64
VPCS2  192.168.1.2/24 0.0.0.0  00:50:79:66:68:01  20001     30001
                      fe80::250:79ff:fe66:6801/64
VPCS3  0.0.0.0/0      0.0.0.0  00:50:79:66:68:02  20002     30002
                      fe80::250:79ff:fe66:6802/64
VPCS4  0.0.0.0/0      0.0.0.0  00:50:79:66:68:03  20003     30003
       fe80::250:79ff:fe66:6803/64
VPCS5  0.0.0.0/0      0.0.0.0  00:50:79:66:68:04  20004     30004
                      fe80::250:79ff:fe66:6804/64

Sekarang konfigurasi kedua komputer dengan klik kanan simbol komputer > configure > NIO UDP. Sesuai inforimasi show diatas untuk setting di GNS3 pada VPCS1 memiliki Local port 30000 dan Remote port 20000 kemudian VPCS2 Local port 30001 dan Remote port 20001.

Lakukan ping dari komputer 1 dan komputer 2.
VPCS[2]> ping 192.168.1.2
192.168.1.2 icmp_seq=1 ttl=64 time=0.001 ms
192.168.1.2 icmp_seq=2 ttl=64 time=0.001 ms
192.168.1.2 icmp_seq=3 ttl=64 time=0.001 ms
192.168.1.2 icmp_seq=4 ttl=64 time=0.001 ms
192.168.1.2 icmp_seq=5 ttl=64 time=0.001 ms

VPCS[2]> ping 192.168.1.1
192.168.1.1 icmp_seq=1 ttl=64 time=1.400 ms
192.168.1.1 icmp_seq=2 ttl=64 time=1.236 ms
192.168.1.1 icmp_seq=3 ttl=64 time=1.615 ms
192.168.1.1 icmp_seq=4 ttl=64 time=1.527 ms
192.168.1.1 icmp_seq=5 ttl=64 time=1.747 ms

Selesai dan selamat mencoba 🙂

CISCO DISCOVERY PROTOCOL

CDP adalah protokol pada layer 2 (Data Link) dan protokol pada layer 3 (network). CDP digunakan untuk mendapatkan iformasi tentang perangkat Cisco di sebelahnya seperti informasi mengenai tipe device, interface yang terhubung, interface yang digunakan untuk koneksi dan jumlah model device. Saya memiliki topologi sederhana dengan 2 router Cisco R1 dengan tipe c2600 series dan R2 c7200 series.

Langkah pertama setting IP address pada masing-masing router R1 dan R2. Misalkan untuk R1 10.10.10.1 dan R2 10.10.10.2 dengan subnetmask 255.255.255.252. Ketikkan perintah show cdp neighbors detail atau show cdp entry * pada masing-masing router.

Pada router R2

R2#show cdp entry *
————————-
Device ID: R1
Entry address(es):
  IP address: 10.10.10.1
Platform: Cisco 2691,  Capabilities: Router Switch IGMP
Interface: FastEthernet0/1,  Port ID (outgoing port): FastEthernet0/0
Holdtime : 132 sec

Version :
Cisco IOS Software, 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 05:51 by prod_rel_team

advertisement version: 2
VTP Management Domain: ”
Duplex: half

Pada router R1

R1#sh cdp entry *
————————-
Device ID: R2
Entry address(es):
  IP address: 10.10.10.2
Platform: Cisco 7206VXR,  Capabilities: Router
Interface: FastEthernet0/0,  Port ID (outgoing port): FastEthernet0/1
Holdtime : 76 sec

Version :
Cisco IOS Software, 7200 Software (C7200-JK9S-M), Version 12.4(21), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 10-Jul-08 11:36 by prod_rel_team

advertisement version: 2
Duplex: full

Misalkan pada router R1 diatas bisa kita lihat bahwa terdapat informasi sebagai berikut.

Device ID: R2, id/hostname router untuk router tetangga.
IP address: 10.10.10.2, ip address dari router tetangga.
Platform: Cisco 7206VXR, merupakan tipe series router tetangga.
Interface: FastEthernet0/1, interface dari R2 yang terhubung dengan R1.
Port ID (outgoing port): FastEthernet0/0, interface dari R1 yang menuju ke R2.

Ketikkan perintah show cdp.

R2#show cdp                
Global CDP information:
    Sending CDP packets every 60 seconds
    Sending a holdtime value of 180 seconds
    Sending CDPv2 advertisements is  enabled
 

Secara default router akan mengirim packet cdp setiap 60 detik dan holdtime 180 detik. holdtime adalah waktu yang ditentukan untuk menahan informasi router sebelah sebelum dihapus setelah putus koneksi. Dapat kita ubah setting waktu cdp dengan perintah berikut.

R1(config)#cdp timer 10
R1(config)#cdp holdtime 30
R1(config)#end


Lihat lagi informasi cdp.

R1#show cdp
Global CDP information:
    Sending CDP packets every 10 seconds
    Sending a holdtime value of 30 seconds
    Sending CDPv2 advertisements is  enabled

KONFIGURASI KEMANAN PERANGKAT CISCO PART 2

Pada postingan sebelumnya mengenai keamanan perangkat Cisco, sekarang dilanjutkan lagi dengan tema yang sama.

AAA Authentication dengan TACACS+ Server
Menggunakan TACACS+ server memungkinkan kita memiliki tempat tersendiri untuk menyimpan database username dan password untuk akses ke perangkat Cisco.
Untuk konfigurasi server saya gunakan Linux Ubuntu Server. Install terlebih dahulu untuk paket tacacs+.

root@akrom:/home/akrom#apt-get install tacacs+ libwrap0-dev gcc make libc6-dev flex bison
Sekarang konfigurasi pada file /etc/tacacs+/tac_plus.conf. Tambahkan isi file sebagai berikut.
# Define where to log accounting data, this is the default.

accounting file = /var/log/tac_plus.acct

# This is the key that clients have to use to access Tacacs+

key = testing123

user = DEFAULT {
 login = PAM
 service = ppp protocol = ip{}
}

#user account
user = akromlagi {
 login = cleartext “loginlagi”
 enable = cleartext “enablelagi”
 name = “Akrom Musajid”
}
Catatan : dengan konfigurasi diatas saya memiliki sebuah username “akromlagi” dengan password “loginlagi” kemudian sandi untuk masuk ke mode privillege “enablelagi”.
 
Langkah berikutnya adalah hubungkan data yang ada di tacacs+ server tadi ke router Cisco menggunakan AAA authentication.
R1(config)#aaa authentication login IJIN_AKSES group tacacs+ local
R1(config)#aaa authentication enable default group tacacs+ enable
R1(config)#aaa authorization exec default if-authenticated
R1(config)#aaa accounting update newinfo
R1(config)#aaa accounting exec default start-stop group tacacs+
R1(config)#tacacs-server host 10.10.10.3
R1(config)#tacacs-server key testing123

Langkah terakhir konfigurasi pada console dan virtual terminal.
R1(config)#line con 0

R1(config-line)#login authentication IJIN_AKSES

R1(config-line)#exit

R1(config)#line vty 0 4
R1(config-line)#login authentication IJIN_AKSES

Untuk verifikasi konfigurasi coba akses menggunkan console.
R1 con0 is now available

Press RETURN to get started.

User Access Verification

Username: akromlagi

Password:
Kemudian akses telnet dari server ke router R1.
root@akrom:/home/akrom# telnet 10.10.10.1
Trying 10.10.10.1…
Connected to 10.10.10.1
Escape character is ‘^]’.


User Access Verification

Username: akromlagi
Password:
Konfigurasi SSH
Kita tahu bahwa SSH merupakan solusi secure masalah akses remote, konfigurasi ssh di dalam router Cisco adalah seperti berikut, untuk topologi masih sama seperti pada gambar diatas.
R1#configure terminal
R1(config)#ip domain-name latihancisco.com
R1(config)#R1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.latihancisco.com

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]


R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#end
Coba akses remote dari sisi server menggunakan ssh.
root@akrom:/home/akrom# ssh akromlagi@10.10.10.1
Access List
ACL merupakan teknik dasar dalam network security, ktia dapat menentukan sumber IP maupun tujuan IP yang boleh dan tidak boleh lewat. Pada pembahasan selanjutnya saya akan menerapkan aturan access list pada virtual terminal. Ada banyak macam access list yang sering di pakai adalah standard dan extended, yang dipakai kali ini access list dengan tipe extended.
Buat aturan access list yang memperbolehkan akses telnet hanya dari ip 10.10.10.3.
R1#configure terminal
R1(config)#access-list 110 permit tcp host 10.10.10.3 host 10.10.10.1 eq telnet
Kemudian apply ke interface fastethernet 0/0
R1(config)#interface fastethernet 0/0
R1(config-if)#ip access-group 110 out
R1(config-if)#end
Akses dari server dengan ip 10.10.10.3 ke router R1.
root@akrom:/home/akrom# telnet 10.10.10.1
Trying 10.10.10.1…
Connected to 10.10.10.1
Escape character is ‘^]’.


User Access Verification

Username: akromlagi

Password:

R1>

Ganti ip server dengan ip 10.10.10.4 kemudian login lagi ke router R1 menggunakan telnet.

root@akrom:/home/akrom# telnet 10.10.10.1
Trying 10.10.10.1…
Connected to 10.10.10.1
Escape character is ‘^]’.


User Access Verification

Username: akromlagi

Password:

% Authentication failed
 

PROXMOX HIGH AVAILABILITY (MANUAL)

HA (High Availability) adalah salah satu feature promox yang memungkinkan virtual machine atau container yang telah dikonfigurasi untuk berpindah saat node mati.
Sebelum konfigurasi HA terlebih dahulu setting cluster pada kedua node Proxmox dan juga share storage. Untuk bisa mengaktifkan feature HA hal-hal yang perlu dikonfigurasi antara lain.


Mengaktifkan fencing pada semua node
Fencing adalah sebuah metode yang digunakan untuk “memagari” sebuah node agar satu node hanya menjalankan satu VM yang tersimpan didalam share storage di waktu yang sama. Berikut cara mengaktifkan fencing :
#nano /etc/default/redhat-cluster-pve
Buang tanda pagar pada salah satu bagian baris script sehingga seperti berikut :
FENCE_JOIN=”yes”
Join fencing pada semua node yang akan dimasukkan ke dalam member dengan perintah berikut :
#fence_tool join
Untuk melihat status fencing contoh kali ini adalah pada dua node Proxmox gunakan  perintah berikut :

#fence_tool ls
Maka akan muncul status seperti berikut :
fence domain
member count    2
victim count    0
victim now      0
master nodeid   1
wait state      none
members         1 2
Edit Cluster
Edit cluster yang sudah diseting sebelumnya dan perhatikan pada config_version setiap melakukan perubahan jangan lupa untuk melakukan activate melalui Proxmox Web Admin pada menu Datacenter | HA. Untuk melakukan edit gunakan perintah berikut.
#cp /etc/pve/cluster.conf /etc/pve/cluster.conf.new
#nano /etc/pve/cluster.conf.new
Edit file tersebut sesuai dengan contoh kasus seperti dibawah ini.
<?xml version=”1.0”?>
<cluster config_version=”5” name=”coba”>

<cman expected_votes=”1” keyfile=”/var/lib/pvecluster/corosync.authkey” two_node=”1”/>
 

  <fencedevices>
    <fencedevice agent=”fence_manual” name=”human”/>
  </fencedevices>
 

  <clusternodes>
    <clusternode name=”akrom” nodeid=”1” votes=”1”>
      <fence>
        <method name=”single”>
          <device name=”human” nodename=”akrom”/>
        </method>
      </fence>
    </clusternode>


    <clusternode name=”arum” nodeid=”2” votes=”1”>
      <fence>
        <method name=”single”>
          <device name=”human” nodename=”arum”/>
        </method>
      </fence>
    </clusternode>
  </clusternodes>

</cluster>
Perhatikan beberapa hal berikut terkait dengan script diatas :
config_version=”5″ menunjukkan apabila dilakukan perubahan script, maka harus menaikkan nilai config_version misalkan dari 4 diubah menjadi 5.
coba adalah nama dari cluster yang telah dibuat.
akrom dan arum adalah nama hostname dari masing-masing node Proxmox.
Validasi script diatas agar dapat dibaca oleh node Proxmox dengan perintah berikut :
#ccs_config_validate -v -f /etc/pve/cluster.conf.new
Lakukan aktivasi dengan cara masuk Proxmox web admin Datacenter | HA | Activate.
Konfigurasi container/VM untuk HA
Setelah membuat container/VM sebelumnya kali ini aka dilakukan HA untuk container/VM tersebut. Dengan cara masuk Proxmox web admin klik Datacenter | HA | Add | Managed VM/CT. Pilih VM ID yang akan diaktifkan HA.

Lakukan aktivasi kembali Datacenter | HA | Activate. Setelah selesai perhatikan status HA pada container melalui menu summary.
Akan ada keterangan Managed by HA “Yes”. Untuk ujicoba HA bisa dilakukan dengan 2 cara, yaitu shutdown/restart secara normal node Proxmox yang sedang menjalankan Virtual Machine atau dimatikan secara tiba-tiba pada node Proxmox yang menjalankan Virtual Machine. Jika Proxmox tiba-tiba mati perlu dijalankan sebuah perintah untuk mengambil alih Virtual Machine yang sedang berjalan di Proxmox yang mati. Perintah yang dijalankan adalah sebagai berikut.

#fence_ack_manual (nama node proxmox yang mati mendadak)
Seperti contoh dibawah ini :
#fence_ack_manual akrom
Kemudian konfirmasi dengan mengetik “absolutely“. Lihat apa yang terjadi setelah mengetikkan perintah tersebut.