PROYEK AKHIR: Desain Jaringan Kantor Lengkap

Updated on May 3, 2026

Big Picture dulu

Kamu dapat tugas membangun jaringan dari nol di gedung kantor 3 lantai. ISP sudah pasang kabel internet dengan kapasitas 50 Mbps. Tugasmu: semua orang bisa internet, tiap departemen punya “jalur sendiri” yang nggak bisa sembarangan saling masuk, WiFi tamu harus aman, dan Direksi nggak boleh lemot meskipun semua orang sedang streaming YouTube.

Kalau dipikir sekilas ini terasa berat. Tapi kita bongkar satu per satu — dan kamu akan sadar setiap langkahnya nyambung ke langkah berikutnya.

Langkah 1: Desain Topologi

Sebelum colok kabel satu pun, kita gambar dulu. Ini seperti arsitek yang bikin blueprint sebelum tukang mulai kerja.

Perangkat yang dipakai:

  • 1 unit MikroTik RouterBoard (RB951 atau RB4011) → jadi otak jaringan, gateway ke internet
  • 3 unit Switch Managed (satu per lantai) → kayak “distribusi listrik” di gedung, tapi untuk data
  • Access Point per area → hotspot-nya

Koneksi antar-perangkat:

  • ISP → Router MikroTik (masuk lewat wlan1 mode station — ini jalur internet kita)
  • Router → Switch Lantai 1, 2, 3 (lewat kabel trunk — satu kabel, tapi bawa banyak VLAN sekaligus)
  • Switch → masing-masing komputer departemen (lewat port access)

Langkah 2: IP Planning & VLAN

VLAN itu seperti “lorong terpisah” di dalam satu gedung. Fisiknya satu gedung, tapi tiap departemen punya lorong sendiri yang nggak bisa tembus ke lorong lain tanpa izin.

VLAN Departemen Network Address Gateway
VLAN 10 IT 192.168.10.0/24 192.168.10.1
VLAN 20 HRD 192.168.20.0/24 192.168.20.1
VLAN 30 Marketing 192.168.30.0/24 192.168.30.1
VLAN 40 Direksi 192.168.40.0/24 192.168.40.1
VLAN 50 Tamu (WiFi) 192.168.50.0/24 192.168.50.1

Kenapa /24? Karena itu berarti tiap VLAN bisa punya 254 perangkat — lebih dari cukup untuk satu departemen.

Langkah 3: Implementasi VLAN dan Trunking di Switch

Konsep trunk: bayangkan kabel trunk itu seperti pipa besar yang di dalamnya ada banyak pipa kecil berlabel. Satu kabel fisik, tapi bisa mengalirkan traffic VLAN 10, 20, 30, 40, dan 50 sekaligus — masing-masing tetap terpisah.

Di Switch (Cisco Managed):

! Buat semua VLAN dulu di setiap switch
Switch(config)# vlan 10
Switch(config-vlan)# name IT
Switch(config)# vlan 20
Switch(config-vlan)# name HRD
Switch(config)# vlan 30
Switch(config-vlan)# name Marketing
Switch(config)# vlan 40
Switch(config-vlan)# name Direksi
Switch(config)# vlan 50
Switch(config-vlan)# name Tamu
! Port ke router → mode trunk (bawa semua VLAN)
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk

! Port ke PC departemen → mode access (satu VLAN saja)
Switch(config)# interface fa0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

InterVLAN Routing di MikroTik:

MikroTik yang bertugas jadi “jembatan” antar-VLAN. Caranya: buat interface virtual per VLAN di MikroTik.

# Buat VLAN interface di MikroTik
# (ether2 = port yang terhubung ke switch trunk)

/interface vlan
add name=vlan10-IT    vlan-id=10  interface=ether2
add name=vlan20-HRD   vlan-id=20  interface=ether2
add name=vlan30-MKT   vlan-id=30  interface=ether2
add name=vlan40-DIR   vlan-id=40  interface=ether2
add name=vlan50-TAMU  vlan-id=50  interface=ether2

# Pasang IP (gateway) di tiap VLAN interface
/ip address
add address=192.168.10.1/24  interface=vlan10-IT
add address=192.168.20.1/24  interface=vlan20-HRD
add address=192.168.30.1/24  interface=vlan30-MKT
add address=192.168.40.1/24  interface=vlan40-DIR
add address=192.168.50.1/24  interface=vlan50-TAMU

Langkah 4: DHCP Server, Hotspot Tamu, dan Firewall

DHCP Server per VLAN

DHCP itu seperti resepsionis yang otomatis kasih nomor antrian ke siapa pun yang masuk. Tanpa DHCP, tiap komputer harus diisi IP manual satu per satu — ribet.

# Buat DHCP pool per VLAN
/ip pool
add name=pool-IT      ranges=192.168.10.2-192.168.10.254
add name=pool-HRD     ranges=192.168.20.2-192.168.20.254
add name=pool-MKT     ranges=192.168.30.2-192.168.30.254
add name=pool-DIR     ranges=192.168.40.2-192.168.40.254

# Buat DHCP Server
/ip dhcp-server
add name=dhcp-IT    interface=vlan10-IT   address-pool=pool-IT    disabled=no
add name=dhcp-HRD   interface=vlan20-HRD  address-pool=pool-HRD   disabled=no
add name=dhcp-MKT   interface=vlan30-MKT  address-pool=pool-MKT   disabled=no
add name=dhcp-DIR   interface=vlan40-DIR  address-pool=pool-DIR   disabled=no

# Konfigurasi network DHCP (gateway + DNS)
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=8.8.8.8
add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=8.8.8.8
add address=192.168.30.0/24 gateway=192.168.30.1 dns-server=8.8.8.8
add address=192.168.40.0/24 gateway=192.168.40.1 dns-server=8.8.8.8

Hotspot Server untuk WiFi Tamu (VLAN 50)

Tamu tidak langsung dapat internet. Mereka diarahkan ke halaman login dulu — mirip saat kamu connect WiFi di kafe, terus muncul halaman “masukkan password”. Fitur ini namanya Hotspot Server.

Langkah Hotspot Setup via WinBox:

  1. Buka WinBox → IP → Hotspot → klik “Hotspot Setup”
  2. Pilih interface: vlan50-TAMU
  3. Local address: 192.168.50.1/24
  4. Centang “Masquerade Network”: yes
  5. Address pool: 192.168.50.2-192.168.50.100
  6. DNS: 8.8.8.8
  7. DNS name: wifi.kantor.local
  8. Buat user pertama: username tamu, password kantor123

Via CLI:

/ip hotspot setup
hotspot interface: vlan50-TAMU
local address of network: 192.168.50.1/24
masquerade network: yes
address pool: 192.168.50.2-192.168.50.100
select certificate: none
dns servers: 8.8.8.8
dns name: wifi.kantor.local
name of local hotspot user: tamu
password for the user: kantor123

Perhatian penting: Hotspot Setup Wizard otomatis bikin DHCP Server untuk VLAN 50. Jangan bikin DHCP manual lagi untuk VLAN 50 — kalau dobel, akan konflik dan client tidak dapat IP.

Firewall: Atur Siapa Boleh ke Mana

Logikanya:

  • Tamu (VLAN 50): hanya boleh akses internet, tidak boleh masuk ke VLAN lain
  • IT (VLAN 10): full access ke semua VLAN (mereka admin jaringan)
  • Direksi (VLAN 40): bisa akses semua, bandwidth prioritas tertinggi
  • HRD & Marketing: bisa internet, bisa akses internal sesama VLAN sendiri, tidak bisa masuk ke VLAN Direksi
/ip firewall filter

# Izinkan koneksi yang sudah established/related (wajib ada)
add chain=forward connection-state=established,related action=accept

# Blokir Tamu masuk ke jaringan internal
add chain=forward src-address=192.168.50.0/24 \
    dst-address=192.168.10.0/8 action=drop \
    comment="Blokir tamu ke internal"

# Izinkan Tamu ke internet saja
add chain=forward src-address=192.168.50.0/24 action=accept

# Blokir HRD dan Marketing ke Direksi
add chain=forward src-address=192.168.20.0/24 \
    dst-address=192.168.40.0/24 action=drop \
    comment="Blokir HRD ke Direksi"
add chain=forward src-address=192.168.30.0/24 \
    dst-address=192.168.40.0/24 action=drop \
    comment="Blokir Marketing ke Direksi"

# IT full access (accept dulu sebelum rule drop lainnya)
add chain=forward src-address=192.168.10.0/24 action=accept \
    comment="IT full access"

NAT Masquerade (wajib ada agar semua VLAN bisa internet):

/ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade

Ingat: out-interface=wlan1 — bukan ether1. Di lab ini WAN kita pakai wlan1 mode station.

Langkah 5: Bandwidth Management (Queue Tree + PCQ)

Ini bagian paling seru. Bayangkan bandwidth 50 Mbps itu seperti pipa air besar. Kita bagi dengan aturan: Direksi dapat selang paling besar dan prioritas pertama, IT dapat selang kedua, sisanya berbagi sisanya secara merata.

Logika hirarki Queue Tree:

Total ISP: 50 Mbps
├── Direksi (VLAN 40)   → priority 1, limit-at 15M, max 50M
├── IT (VLAN 10)        → priority 2, limit-at 10M, max 50M
├── HRD (VLAN 20)       → priority 4, limit-at 8M,  max 50M
├── Marketing (VLAN 30) → priority 5, limit-at 8M,  max 50M
└── Tamu (VLAN 50)      → priority 8, limit-at 5M,  max 10M

Priority 1 = yang paling dulu dilayani. Priority 8 = paling belakang. Ini seperti antrian kasir VIP vs antrian biasa.

Langkah konfigurasi Queue Tree:

Step 1: Tandai traffic tiap VLAN dengan Firewall Mangle

/ip firewall mangle

# Tandai koneksi tiap VLAN
add chain=forward src-address=192.168.40.0/24 \
    action=mark-connection new-connection-mark=conn-direksi passthrough=yes
add chain=forward connection-mark=conn-direksi \
    action=mark-packet new-packet-mark=pkt-direksi passthrough=no

add chain=forward src-address=192.168.10.0/24 \
    action=mark-connection new-connection-mark=conn-IT passthrough=yes
add chain=forward connection-mark=conn-IT \
    action=mark-packet new-packet-mark=pkt-IT passthrough=no

add chain=forward src-address=192.168.20.0/24 \
    action=mark-connection new-connection-mark=conn-HRD passthrough=yes
add chain=forward connection-mark=conn-HRD \
    action=mark-packet new-packet-mark=pkt-HRD passthrough=no

add chain=forward src-address=192.168.30.0/24 \
    action=mark-connection new-connection-mark=conn-MKT passthrough=yes
add chain=forward connection-mark=conn-MKT \
    action=mark-packet new-packet-mark=pkt-MKT passthrough=no

add chain=forward src-address=192.168.50.0/24 \
    action=mark-connection new-connection-mark=conn-tamu passthrough=yes
add chain=forward connection-mark=conn-tamu \
    action=mark-packet new-packet-mark=pkt-tamu passthrough=no

Step 2: Buat Queue Tree hierarki

/queue tree

# Parent utama — total bandwidth ISP keluar ke wlan1
add name=total-WAN parent=wlan1 max-limit=50M

# Anak-anak (child queue) dengan prioritas masing-masing
add name=queue-direksi   parent=total-WAN packet-mark=pkt-direksi \
    limit-at=15M max-limit=50M priority=1 queue=pcq-download-default

add name=queue-IT        parent=total-WAN packet-mark=pkt-IT \
    limit-at=10M max-limit=50M priority=2 queue=pcq-download-default

add name=queue-HRD       parent=total-WAN packet-mark=pkt-HRD \
    limit-at=8M  max-limit=50M priority=4 queue=pcq-download-default

add name=queue-marketing parent=total-WAN packet-mark=pkt-MKT \
    limit-at=8M  max-limit=50M priority=5 queue=pcq-download-default

add name=queue-tamu      parent=total-WAN packet-mark=pkt-tamu \
    limit-at=5M  max-limit=10M priority=8 queue=pcq-download-default

PCQ (Per Connection Queue) di sini bertugas membagi bandwidth secara adil ke semua user dalam satu departemen. Kalau di IT ada 5 orang online, masing-masing dapat 10M ÷ 5 = 2M. Kalau cuma 1 orang, dia dapat semua 10M.

Langkah 6: Monitoring, Backup, dan Dokumentasi

Graphing (pantau traffic secara visual)

/tool graphing interface
add interface=wlan1     store-on-disk=yes
add interface=vlan10-IT store-on-disk=yes
add interface=vlan40-DIR store-on-disk=yes

Akses grafiknya lewat browser: http://192.168.10.1/graphs/ — kamu bisa lihat grafik naik-turunnya traffic tiap interface.

NTP Client (sinkronisasi waktu)

Ini perlu agar log punya timestamp yang benar. Kalau waktu router salah, log susah dibaca.

/system ntp client
set enabled=yes primary-ntp=0.id.pool.ntp.org secondary-ntp=1.id.pool.ntp.org

Logging

/system logging
add topics=firewall action=memory
add topics=dhcp     action=memory

Bisa dilihat di WinBox → Log.

Backup Konfigurasi Terjadwal

Jangan sampai kerja keras seminggu hilang karena router kena petir.

/system scheduler
add name=backup-harian \
    start-date=jan/01/2025 start-time=00:00:00 \
    interval=1d \
    on-event="/system backup save name=backup-kantor"

File backup otomatis tersimpan tiap tengah malam. Bisa di-download dari WinBox → Files.

Jebakan Umum yang Sering Bikin Gagal

  • NAT masquerade salah interface. Banyak siswa nulis out-interface=ether1, padahal WAN kita pakai wlan1. Akibatnya: VLAN dapat IP dari DHCP tapi tidak bisa internet.
  • DHCP dobel di VLAN Tamu. Hotspot Setup Wizard sudah otomatis bikin DHCP. Kalau kamu bikin lagi manual, dua DHCP server jalan bersamaan dan client dapat IP kacau atau tidak dapat sama sekali.
  • Urutan firewall filter. MikroTik baca rule dari atas ke bawah. Rule accept untuk IT harus ada sebelum rule drop yang lain, kalau tidak IT pun ikut keblokir.
  • Tidak isi DNS di DHCP network. Klien dapat IP tapi tidak bisa buka website. Padahal internet nyambung. Penyebabnya: DNS tidak dikonfigurasi, jadi browser tidak tahu cara “terjemahkan” nama domain.
  • Queue Tree tidak jalan tanpa Mangle. Queue Tree berbeda dengan Simple Queue — Queue Tree bergantung pada packet mark dari Firewall Mangle. Kalau Mangle tidak ada, traffic tidak tertandai, Queue Tree tidak tahu mana yang Direksi mana yang Tamu.

Kuis Pemahaman

  1. Mengapa DHCP Server untuk VLAN 50 (Tamu/Hotspot) tidak perlu dibuat secara manual, sementara VLAN 10-40 harus dibuat manual?

  2. Pada konfigurasi NAT masquerade di lab ini, mengapa parameter out-interface diisi dengan wlan1, bukan ether1?

  3. Seorang staf HRD mengeluh tidak bisa membuka aplikasi internal milik Direksi yang ada di VLAN 40. Ternyata memang ada firewall rule yang memblokir. Menurut kamu, apakah kebijakan ini benar atau salah dari sisi keamanan jaringan? Jelaskan alasanmu.