APNIC Training Routingds

APNIC TRAINING Routing Class

APNIC Training - Routing Class Organized by: Citraweb Nusa Infomedia

(Mikrotik Certified Training Partner)

Mikrotik Indonesia http://www.mikrotik.co.id

Jadwal Training

00-2 3-Sep-15

SESI 1 SESI 2 SESI 3 SESI 4

DAY 1 BASIC CONFIG STATIC ROUTE + LAB

DAY 2 TUNNEL + LAB LOAD BALANCE + LAB

DAY 3 OSPF + LAB

DAY 4 BGP

DAY 5 BGP


Trainers ¢  Valens Riyadi

l  MTCNA (2004), Certified Consultant (2005) l  Certified Trainer (2006), MTCRE (2008) l  MTCTCE (2009), MTCUME (2009), l  MTCINE (2010)

¢  Novan Chris l  MTCNA (2006), Certified Trainer (2008) l  MTCWE (2008), MTCRE (2008) l  MTCTCE (2011), MTCINE (2012) , MTCUME

(2012)

00-3 3-Sep-15


Trainers ¢  Adyatma Yoga Kurnia

l  MTCNA (2010), l  MTCTCE (2013),MTCRE (2014),

00-4 3-Sep-15


Perkenalan ¢  Perkenalkanlah :

l  Nama Anda : l  Tempat Bekerja : l  Kota / Domisili : l  Apa yang Anda kerjakan sehari-hari dan

fitur-fitur apa yang ada di Mikrotik yang sudah Anda gunakan.

l  Motivasi mengikuti training.

00-5 3-Sep-15

Static Route & Policy Route



Outline ¢  Basic Config ¢  Routing Concepts ¢  Routing Parameters ¢  Routing Table ¢  Point to Point Addressing ¢  Check Gateway ¢  SCOPE & Target SCOPE ¢  SRC-Routing ¢  Policy Routing

l  Route – Rules l  Route – Firewall – Route Mark

3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-7

3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id

Lakukanlah terlebih dahulu! ¢  Ubahlah nama Router System Identity

menjadi : “XX-NAMA ANDA”

¢  Aktifkan neighbor interface pada WLAN1 ¢  Buatlah username baru untuk anda dan

berilah password (group full) ¢  Proteksilah user admin (tanpa password)

hanya bisa diakses dari 10.10.10.30/31 (group full)

¢  Buatlah user “demo” dengan group read

01-8


[LAB-1] System Identity ¢  Supaya tidak membingungkan, ubahlah nama

router Anda. ¢  Format: xx-NamaAnda

01-9

[LAB-2] Activate Neighbor Protocol


Aktifkan Discovery Interface agar router bisa saling mendeteksi di layer 2 menggunakan MNDP

[LAB-3] User Configuration


Persiapkan User di Router mikrotik supaya siap di semua kegiatan lab training.

01-11


[LAB-4] Konfigurasi Dasar

ETHER1 192.168.1.1/24

ETHERNET PORT 192.168.1.2/24

WLAN1 10.10.10.1/24

Internet

ETHER1 192.168.2.1/24

ETHERNET PORT 192.168.2.2/24

WLAN1 10.10.10.2/24

ETHER1 192.168.X.1/24

ETHERNET PORT 192.168.X.2/24

WLAN1 10.10.10.X/24

MEJA 1 MEJA 2 MEJA X 01-12


IP Configuration ¢  Routerboard Setting

l  WAN IP : 10.10.10.x/24 l  Gateway : 10.10.10.100 l  LAN IP : 192.168.x.1/24 l  DNS : 10.100.100.1 l  Services: Src-NAT and DNS Server

¢  Laptop Setting l  IP Address : 192.168.x.2/24 l  Gateway : 192.168.x.1 l  DNS : 192.168.x.1

01-13

Laptop Config Konfigurasi ip-address statik pada laptop.

9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-14

9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id

First Setup ¢  Hubungkan port ethernet Laptop Anda

dengan ether1 pada Routerboard. ¢  Pastikan ethernet port di laptop Anda

memiliki IP statik ¢  Jalankan program winbox.exe, klik pada

tombol [...] untuk melihat router Anda.

04-15

First Setup ¢  Terdapat “default-configuration” pada RouterBoard

keluaran terbaru ¢  Biasanya, pada RouterBoard dengan 5 port

ethernet atau lebih terdapat config : l  Ether2-ether5 dan wireless (jika ada) dikonfigurasi mode

switch dengan ip 192.168.88.1/24 l  Interface wireless (jika ada) menerapkan authentication

(WPA/WPA2) l  Ether1 tidak dapat diremote, gunakan port ether lain.

¢  Jika tidak dibutuhkan bisa dihapus pada saat awal remote Router atau dengan perintah :

/system reset-configuration no-defaults=yes 9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-16


Config System Identity ¢  Supaya tidak membingungkan, ubahlah nama

router Anda. ¢  Format: xx-NamaAnda ¢  Contoh: 30-Pujo-Dewobroto

04-17


Wireless Config Aktifkan Interface Wireless – Wlan1

04-18

Wireless Config (opt)


Ubah Wireless Security Profile

“default” (optional)


IP Address Config

04-20

Default Gateway



DNS Config

04-22

Allow Remote Requests – Mengaktifkan fungsi router Mikrotik sebagai DNS server sederhana sehingga bisa meresponse request DNS dari Client


Src-NAT Config

04-23


Terminal / Console Config ¢  Konfigurasi identity router

l  /system identity set name=”xx-nama-anda” ¢  Konfigurasi wireless sebagai media untuk backbone

l  /interface wireless set wlan1 mode=station ssid=training disabled=no

¢  Konfigurasi IP Address l  /ip address add address=10.10.10.x/24 interface=wlan1 l  /ip address add address=192.168.x.1/24 interface=ether1

¢  Konfigurasi Routing – Default Gateway l  /ip route add gateway=10.10.10.100

¢  Konfigurasi DNS l  /ip dns set servers=10.100.100.1 allow-remote-request=yes

¢  Konfigurasi NAT l  /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

04-24


Configuration

¢  NTP Client = enable l  NTP Server : “id.pool.ntp.org”/ “ntp.nasa.gov”

¢  Sesuaikan System Clock menggunakan TimeZone Asia-Jakarta

¢  Wlan1 SSID : training (WPA=…………….) ¢  Buatlah file backup! Dan simpan file tersebut ke

laptop

01-25


Backup Config

04-26

¢  Melakukan backup seluruh konfigurasi Router , termasuk username dan password untuk login Winbox

¢  File hasil backup dapat dilihat di menu file dan didownload via FTP ¢  File backup tidak dapat di-edit !


Routing

¢  Sebuah metode atau proses untuk meneruskan paket data dari suatu jaringan ke jaringan lain yang berbeda segmen (berbeda subnet).

¢  Proses ini dilakukan pada OSI layer 3 (Network).

¢  Pada Mikrotik, fungsi Routing ini sudah menjadi fitur / fungsi standart dan sudah ada di paket “System”.

01-27


Routing Benefits ¢  Memungkinkan kita melakukan pemantauan dan

pengelolaan jaringan yang lebih baik. l  Pemisahan jaringan menjadi beberapa subnet sesuai

kebutuhan. l  Pengembangan jaringan menjadi lebih mudah.

¢  Lebih aman (firewall filtering lebih mudah dan lengkap) l  Trafik broadcast hanya terkonsentrasi di subnet yang

sama. ¢  Jika diimplementasikan pada jaringan wireless,

dibutuhkan perangkat wireless yang mampu melakukan full routing, atau bisa juga menambahkan router di wireless BTS.

¢  Untuk network dengan skala besar, bisa menggunakan protocol Dynamic Routing (RIP/OSPF/BGP)

01-28


Routing

ROUTER GATEWAY

WIRELESS

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

setiap segment jaringan memiliki subnet IP address yang berbeda.

01-29


Tipe Routing ¢  MikroTik RouterOS tipe routing sbb:

l  dynamic routes yang akan dibuat secara otomatis:

•  saat menambahkan IP Address pada interface (Connected Routes)

•  informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF, dan BGP.

l  static routes adalah informasi routing yang dibuat secara manual oleh user untuk mengatur ke arah mana sebuah koneksi akan dilewatkan. Default route adalah salah satu contoh static routes.

01-30


Tipe Routing

01-31

Setiap memasang IP disebuah interface, secara otomatis akan dibuatkan routing DAC untuk networknya dengan prefered source IP tersebut

A: Active S: Static

A: Active D: Dynamic

C: Connected

Connected Routes ¢  Dibuat secara otomatis setiap kali kita

menambahkan sebuah IP Address pada interface yang valid (interface yang aktif).

¢  Jika terdapat dua buah IP Address yang satu subnet pada satu interface yang sama, maka hanya akan ada 1 connected route.

¢  Jangan menempatkan dua ip address dari subnet yang sama tetapi diletakkan pada dua interface yang berbeda, karena akan membingungkan tabel dan logika routing di router.


Connected Routes


Static Route ¢  Static Routing digunakan untuk melakukan

pengaturan arah paket data yang akan melalui router, yaitu dengan menentukan gateway untuk dst-address yang spesifik.

¢  Dst-address=0.0.0.0/0 sering disebut sebagai “all destination address” karena ip 0.0.0.0/0 bisa menggantikan/mewakili semua ip address.

¢  Gateway bisa berupa : l  IP Address l  Interface (khusus PPP interface)



Menambahkan Routing

01-35

Static Route


Contoh Implementasi Static Route, yaitu pemasangan Default Gateway atau Default Route.

01-36


Parameter Dasar Routing ¢  Destination

l  Host address – 222.124.211.23 l  Network address – 202.53.246.0/24 l  Semua Network / Semua Host – 0.0.0.0/0

¢  Gateway l  IP Address gateway, harus merupakan IP Address yang satu subnet

dengan IP yang terpasang pada salah satu interface l  Gateway Interface, digunakan apabila IP gateway tidak diketahui atau

bersifat dinamik (hanya bisa menggunakan interface ber-type PPP). ¢  Pref Source

l  source IP address dari paket yang akan meninggalkan router, Biasanya adalah ip address yang terpasang di interface yang menjadi gateway (juga digunakan untuk proses NAT-Masquerade).

¢  Distance l  Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing

yang akan dijalankan router.

01-37


Konsep Dasar Routing IP Address Gateway harus merupakan IP Address yang subnetnya sama dengan salah satu IP Address yang terpasang pada router (connect directly).

Internet

10.10.0.2/24

10.10.1.1/24 10.10.2.1/24

10.10.2.2/24 10.10.3.2/24

10.10.4.1/24

10.10.4.2/24

A

B

¢  Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP Address.

¢  Default gateway pada router B adalah router A ¢  IP Address yang menjadi default gateway

router B adalah 10.10.2.1, karena IP Address tersebut berada dalam subnet yang sama dengan salah satu IP Address pada router B (10.10.2.2/24)

¢  Setting static route default : l  Dst-address=0.0.0.0/0 gateway=10.10.2.1

3-Sep-15 01-38


10.10.3.1/24

10.10.3.2/24

Implementasi Konsep Routing

Internet

10.10.0.1/24

10.10.0.2/24

10.10.1.1/24 10.10.1.2/24 10.10.2.1/24

10.10.2.2/24

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1

(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2

(AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2

(DAC) Dst-addr= 10.10.0.0/24 pref-source=10.10.0.2 (DAC) Dst-addr= 10.10.1.0/24 pref-source=10.10.1.1

(DAC) Dst-addr= 10.10.3.0/24 pref-source=10.10.3.1


(DAC) Dst-addr= 10.10.1.0/24 pref-source=10.10.1.2 (DAC) Dst-addr= 10.10.2.0/24 pref-source=10.10.2.1


01-39


Konsep Dasar Routing Untuk pemilihan routing, router akan memilih berdasarkan:

l  Rule routing yang paling spesifik dst-address nya menyesuaikan dengan tujuan paket

•  Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24 jika tujuan paket menuju ke host ip 192.168.0.130

l  Distance •  Router akan memilih yang distance nya paling kecil

l  Round robin (random)

3-Sep-15 01-40


Contoh Pemilihan

Destination Gateway Distance Prioritas

192.168.0.0/27 192.168.1.1 1

192.168.0.0/29 192.168.2.1 1

192.168.0.0/24 192.168.3.1 5

192.168.0.0/24 192.168.4.1 1

Untuk koneksi dengan destination 192.168.0.13, manakah urutan prioritas rule yang digunakan?

-

1

3

2

01-41

Distance Merupakan salah satu parameter yang digunakan untuk pemilihan (prioritas) rule routing, nilainya (0-255) secara default tergantung protocol routing yang digunakan:

l  Connected routes : 0 l  Static Routes : 1 l  eBGP : 20 l  OSPF : 110 l  RIP : 120 l  MME : 130 l  iBGP : 200


Note: Distance=255 berarti “rejected”

01-42

Routing Table

¢  Routing Table dibuat oleh router untuk memetakan jaringan yang ada di sekitar perangkat router tersebut.

¢  Routing Table terdiri dari 2 bagian : l  RIB – Routing Information Base l  FIB – Forwarding Information Base


BGP

Routing Information Base


Connected Routes

Static Routes

OSPF

RIP

MME

Instance 1

Instance 2

Instance n

BGP

OSPF

RIP

MME

Instance 1

Instance 2

Instance n

All Routes

Actives Routes

Protocol’s Routes

Input Filters

Output Filters

Route Selection

+

-

Discard

01-44


Berisi informasi routing yang lengkap, yang terdiri dari:

l  Static routes dan Policy Routing Rules l  Informasi routing dari Dynamic Routing Protocol

(RIP, OSPF, BGP, etc) l  Informasi Connected Routes



Digunakan untuk: l  Memfilter informasi routing l  Mengkalkulasi best route untuk masing-masing

dst-address/prefix l  Membuat dan mengupdate Forwarding

Information Base (FIB) l  Mendistribusikan informasi routing ke routing

protokol lainnya


Forwarding Information Base


¢  FIB merupakan tabel yang digunakan untuk menentukan forwarding packet.

¢  Tabel ini berisi : l  Active route l  Policy Routing Rules

01-47

FIB

Catch All

User Defined

Implicit

Main

Routing Tables Rules

Connected Routes

Active Routes



•  FIB akan melihat parameter-parameter berikut untuk menentukan routing: •  Source Address •  Destination Address •  Source Interface •  Routing Mark •  ToS

•  Kemungkinan decision routingnya meliputi :

•  Paket di tujukan untuk ke router •  Paket di discard •  Paket di tujukan ke sebuah alamat

sasongko

Typewritten text

(Term of Service)



Cache FIB +

-

01-49

•  Hasil penentuan routing akan disimpan kedalam route cache untuk mempercepat proses forwarding paket-paket berikutnya

•  Jika paket yang memiliki parameter src-address, dst-address, src-interface, routing mark dan tos sama, maka router cukup melihat dari route cache

Point to Point Addressing

Adalah sistem pengalamatan IP Address untuk dua buah perangkat yang terkoneksi langsung, menggunakan dua buah IP Address /32


Router 1 Router 2 172.16.0.X1/32 IP Address 172.16.0.X2/32

172.16.0.X2 Network Address 172.16.0.X1 [kosongkan] Broadcast Address [kosongkan]

ether2 Interface ether2

01-50


[LAB-5] P2P Addressing

192.168.X.2

172.16.0.X1/32 172.16.0.X2/32

192.168.X.2

Internet

¢  Hubungkanlah ether2 di router dengan ether2 router rekan semeja menggunakan kabel ethernet.

¢  Buatlah P2P Addressing dan lakukanlah static route untuk network laptop

¢  Test koneksi dengan ping antar router & test ping antar laptop

Ether2 Ether2

Router Meja X Router Meja X

01-51

Contoh: P2P Addressing


Router Meja 1

Router Meja 2

01-52

Check Gateway ¢  Adalah sebuah mekanisme pengecekan

gateway yang dilakukan oleh router mikrotik. ¢  Dikirimkan setiap 10 detik, menggunakan ARP

request atau ICMP ping. ¢  Dianggap “Gateway time-out” jika tidak

menerima respon dalam 10 detik dari mesin Gateway.

¢  Gateway dianggap “unreachable” jika terjadi 3 kali Gateway time-out berurutan.

¢  Jika mengaktifkan fitur check gateway untuk sebuah rule, maka akan berpengaruh juga untuk semua rule lain dengan gateway yang sama.


Check Gateway Option



[LAB-6] Static Route

172.16.Y.1/32

192.168.X.2

172.16.Y.2/32

172.16.Y.3/32

172.16.Y.4/32

172.16.Y.7/32

172.16.Y.6/32

172.16.Y.5/32

172.16.Y.8/32

192.168.X.2

192.168.X.2 192.168.X.2

Internet

R1 R2

R4 R3 Ether3 Ether2

Ether2 Ether3

Ether3

Ether2 Ether3

Ether2

01-55

[LAB-6] Static Route 2 ¢  Pasang ip Point to Point untuk menghubungkan semua

Router dalam kelompok. ¢  Buatlah static route untuk menjangkau setiap laptop teman

sekelompok menggunakan link Point to Point address. ¢  Konfigurasi Distance untuk menentukan Prioritas link. ¢  Link utama adalah melalui jalan terdekat ¢  Jika ada kondisi jaraknya sama, maka link utama adalah

yang searah jarum jam. ¢  Pantaulah link utama dengan menggunakan check-gateway ¢  Buatlah static route juga untuk back-up link


Quiz ! Terdapat kofigurasi

/ip route add dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101 distance=1 add dst-address=192.168.1.0/28 gateway=10.10.10.100 check-gateway=ping distance=2 add dst-address=192.168.2.0/28 gateway=10.10.10.101 check-gateway=ping distance=2

Untuk trafik yang menuju ke 192.168.2.20 akan melewati gateway? Untuk trafik yang menuju ke 192.168.1.14 akan melewati gateway? Apabila gateway 10.10.10.100 putus? apa yang akan terjadi?



[LAB-7] Static Route (Fail Over)

172.16.Y.1/32

192.168.X.2

172.16.Y.2/32

172.16.Y.3/32

172.16.Y.4/32

172.16.Y.7/32

172.16.Y.6/32

172.16.Y.5/32

172.16.Y.8/32

192.168.X.2

192.168.X.2 192.168.X.2

Internet

R1 R2

R4 R3 Ether3 Ether2

Ether2 Ether3

Ether3

Ether2 Ether3

Ether2

X DROP LINK !!!!!!

01-58

Evaluasi ¢  Mekanisme Check gateway yang kita gunakan

hanya bisa mendeteksi problem koneksi pada hoop (gateway) terdekat.

¢  Jika problem terjadi setelah gateway terdekat (next hoop), check gateway tidak bisa mendeteksinya.

¢  Untuk mendeteksi problem koneksi yang terjadi setelah gateway terdekat, bisa digunakan teknik scope/target scope.


Scope dan Target Scope ¢  Digunakan untuk static route yang dibuat

recursive (tidak terkoneksi langsung). ¢  Target Scope adalah nilai scope maksimum

dari rule lainnya yang reachable. ¢  Kegunaan:

l  Bisa melakukan pemantauan check gateway ping untuk gateway yang tidak terhubung langsung

l  Dikombinasikan dengan iBGP bila nexthoop tidak direct connected


Scope dan Target Scope

Nilai default scope dan target scope:


Scope dan Target Scope Contoh: dst-address 0.0.0.0/0 dengan gateway 117.20.50.233, recursive via 10.10.10.100


Dst-Address Gateway Scope Target Scope 0.0.0.0/0 117.20.50.233 30 30 117.20.50.233 10.10.10.100 30 10

Internet

10.10.10.1/24

10.10.10.100/24

117.20.50.233

01-62

[LAB-8] Routing - Scope ¢  Sesuai dengan diagram network pada LAB-7 sebelumnya,

perbaikilah sistem monitoring link sehingga bisa mendeteksi adanya problem koneksi yang terjadi setelah gateway terdekat.

¢  Coba cabut salah satu koneksi kabel untuk mensimulasikan terjadinya permasalahan di salah satu link.


Routing Modification


Dst-Address Gateway Check Gateway Distance Scoop Target Scoop

0.0.0.0/0 10.10.10.100 no 1 30 10

172.16.Y.5 172.16.Y.2 no 1 30 10

172.16.Y.6 172.16.Y.2 no 1 30 10

172.16.Y.7 172.16.Y.4 no 1 30 10

172.16.Y.8 172.16.Y.4 no 1 30 10

192.168.2.0/24 172.16.Y.2 ping 1 30 10

192.168.2.0/24 172.16.Y.4 no 2 30 10

192.168.7.0/24 172.16.Y.4 ping 1 30 10

192.168.7.0/24 172.16.Y.2 no 2 30 10

192.168.8.0/24 172.16.Y.6 ping 1 30 30

192.168.8.0/24 172.16.Y.4 no 2 30 10

01-64

Static Route dgn Scope


Static Route dgn Scope


Pada saat terjadi link failure antara R2 dan R4

01-66

Block Using Routing ¢  Kita bisa melakukan blok untuk dst-address tertentu

menggunakan static route : l  Blackhole

•  Memblok dengan diam-diam l  Prohibit

•  Memblok dan mengirimkan pesan error ICMP “administratively prohibited” (type 3 code 13)

l  Unreachable •  Memblok dan mengirimkan pesan error ICMP

“host unreachable” (type 3 code 1) ¢  Ketiga tipe di atas tidak membutuhkan IP Address

gateway.


Pref-source ¢  By default: null, kecuali untuk connected routes ¢  Fungsi :

l  IP Address asal untuk paket data yang berasal dari router

l  IP Address src-address-to untuk paket data yang terkena action NAT – masquerade

¢  Jika tidak ditentukan, secara otomatis akan menggunakan salah satu IP Address yang ada pada output interface

¢  Jika isian pref-src adalah IP Address yang tidak terpasang pada router, rule ini akan non-aktif.


Source Routing ¢  Source Routing adalah sebuah teknik routing

yang memungkinkan Administrator jaringan menentukan jalur routing balik / incoming yang akan dilalui oleh paket data.

¢  Perlu diingat bahwa parameter “dst-address” pada paket header akan selalu diperiksa oleh router yang dilewatinya untuk menentukan hop selanjutnya.

¢  Dengan memodifikasi Pref-Source Maka jalur routing balik bisa dimanipulasi sesuai keinginan administrator.


[LAB-9] Pref-Source


Internet

01-70

•  IP lokal ptp wireless : 10.10.10.x/24

•  IP Public yang dialokasikan dari provider : 172.16.x.0/24

•  Router bisa diakses dari internet dengan IP publik 172.16.x.1/24

•  PC Client juga bisa diakses menggunakan IP publik 172.16.x.2/24

10.10.10.100/24

10.10.10.X/24

172.16.x.1/24

172.16.x.2/24

Static Route Setting


Src-Nat Setting


Policy Route

¢  Secara default, router akan menggunakan table routing “main”

¢  Kita bisa membuat table routing tambahan dan mengarahkan router menggunakan table tersebut dengan menggunakan: l  IP - Route – Rules l  IP - Firewall - Mangle – Route-mark


Route Rules

¢  Route rules hanya dapat melakukan decision berdasarkan src-address, dst-address, routing-mark, dan interface.

¢  Untuk parameter yang lebih detail, gunakanlah mangle.


[LAB-10] Route Mark ¢  WLAN1: Untuk traffic dari 192.168.x.0/24 ¢  WLAN2: Untuk traffic dari 172.16.x.0/24


Internet Internet

10.10.10.100/24 10.20.20.100/24

WLAN1 WLAN2 10.10.10.X/24 10.20.20.X/24

192.168.X.0/24 172.16.X.0/24

Ether1 Ether2

01-75

sasongko

Typewritten text

Start 4 September 2015

Route - Rules


Tambahkan Route – Rules untuk menentukan klasifikasi dari segmen network yang akan menggunakan gateway yang berbeda.

01-76

Routing Table - Rules

Tambahkan rule routing untuk mengarahkan segmen network2 supaya menggunakan gateway lain.


Mangle Route Mark

¢  Untuk trafik yang melalui router: l  Mangle chain: prerouting

¢  Untuk trafik yang berasal dari router : l  Mangle chain: output

¢  Chain lainnya (input, forward, dan postrouting) tidak dapat digunakan untuk melakukan route-mark.


[LAB-11] Route Mark

¢  WLAN1: All other traffic ¢  WLAN2: http only


Internet Internet

10.10.10.100/24 10.20.20.100/24

WLAN1 WLAN2 10.10.10.X/24 10.20.20.X/24

01-79

Route Mark (client)


sasongko

Typewritten text

Passthrough check digunakan untuk melakukan pengecekan kembali pada rule mangle dibawahnya.

Route Mark (local process / Proxy)


sasongko

Typewritten text

Hanya digunakan apabila router difungsikan sebagai web proxy

Static Route


Trafik Lainnya Trafik TCP 80

01-82

Quiz !

¢  Bagaimana jika ingin mendeteksi jalur gateway yang putus di >10 hoop di depan router anda ?

¢  Dengan menggunakan metode scope dan target scope kita tidak lagi memerlukan ip gateway dari isp. (Benar / Salah)

¢  Kita bisa mengganti Pref-Source menggunakan ip public dari Router lain yang masih dalam satu jaringan yang sama. (Benar/Salah)


Tunnel



Tunnel

Tunnel adalah sebuah metode manipulasi (encapsulation) paket data di jaringan TCP/IP, yang biasanya digunakan untuk mensimulasikan koneksi fisik antara dua network melewati jaringan lain (WAN/Internet).

02-85 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15

TCP/IP Link TUNNEL Link

¢  Paket data dari traffic mengalami sedikit pengubahan atau modifikasi. Yaitu penambahan Tunnel Header di tiap paket data tersebut. Tetapi data paket yang asli tetap dipertahankan (RFC 2003 compliant ).

¢  Ketika data yang melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dihilangkan).

Tunnel Header


IP DATA Tunnel IP DATA

Tunnel Network

Point to point network encapsulation

WAN

Point 1 Point 2 tunnel

1.1.1.1 1.1.1.2 R1 R2

IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24


VPN Networks (Tunnel + Sec) Merupakan sebuah jaringan virtual yang dibangun diatas jaringan yang sudah ada

VPN Networks

Router

File Server

PC PC

Aplication Server

Office 1

WAN

Router

File Server

PCPC

Aplication Server

Office 2

Router

File Server

PCPC

Office 3

PCPC

Server Client 1

Client 2

Mobile Client 1

Mobile Client 2


Tunnel & VPN ¢  Tunnel

l  IPIP – IP Tunnel l  EoIP – Ethernet Over IP l  VLAN – Virtual Lan l  Gre Tunnel

¢  VPN l  PPPoE – Point To Point Protocol Over Ethernet l  PPTP – Point To Point Tunnel Protocol l  L2TP – Leyer 2 Tunnel Protocol l  OpenVPN – Open Virtual Private Network l  IPSec – IP Security l  SSTP – Secure Socket Tunnel Protocol


IPIP Tunnel ¢  IPIP atau IP Tunnel adalah salah satu protocol tunnel yang

paling sederhana dan ringan. ¢  IPIP Tunnel dianggap sebagai interface (fisik tetapi virtual)

yang independen. ¢  Banyak variant router sudah support protocol ini seperti

MikroTik, CISCO dan Linux.

¢  IPIP Tunnel bisa digunakan untuk : l  Routing antar local network melewati jaringan internet l  Bisa dimanfaatkan untuk melakukan Source Routing

¢  Interface IPIP tunnel Tidak Bisa dimasukkan dalam bridge network (bridge port).


IPIP Packet Header

¢  Dengan packet sniffer, diketahui besar packet header yang digunakan oleh protocol tunnel IPIP.

¢  Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte tiap packet. ¢  Paket header standardnya adalah 20byte. ¢  (GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22

(Encap Header)


IPIP Header


IP HEADER

SMALL DATA

1500

Byt

es OUTER IP HEADER

SMALL DATA

IPIP HEADER

INNER IP HEADER IP HEADER

SMALL DATA

OUTER IP HEADER

SMALL DATA

IPIP HEADER

INNER IP HEADER

1500 Bytes

CLIENT ROUTER ROUTER CLIENT

IP HEADER

DATA

1500

Byt

es OUTER IP HEADER

DATA

IPIP HEADER

INNER IP HEADER IP HEADER

DATA

OUTER IP HEADER

DATA

IPIP HEADER

INNER IP HEADER

1500 Bytes


FRAGMENTED DATA

NEXT PACKET

IPIP Example


MAIN OFFICE Jakarta

LAN : 172.16.0.0/16

REP. OFFICE Yogyakarta

LAN : 192.168.1.0/24

RB1100AHx2 RB450G

117.20.57.x/27 202.78.123.x/30

IPIP Configuration


IPIP Configuration

¢  Parameter Local Address adalah parameter untuk ip local router yang digunakan untuk membangun koneksi IPIP tunnel.

¢  Sedangkan Remote Address adalah parameter dari ip address router lawan.


[LAB-1] IPIP Tunnels

10.10.10.30/24 10.10.10.31/24 10.10.10.100/24

IPIP1 Address : 192.168.200.1/30

IPIP1 Address : 192.168.200.2/30

¢  IPIP Tunnel melewati jaringan WAN. ¢  Tambahkan ip address untuk menghubungkan kedua

interface tunnel. ¢  Tambahkan rule static routing untuk menghubungkan

kedua local network dari masing-masing router.


[LAB-1] IPIP Tunnels ROUTER A

ROUTER B


[LAB-1] IPIP Tunnels

¢  /interface ipip add name=ipip1 local-address=10.10.10.30 remote-address=10.10.10.31

¢  /ip address add address=192.168.200.1/30 interface=ipip1

¢  /interface ipip add name=ipip1 local-address=10.10.10.31 remote-address=10.10.10.30

¢  /ip address add address=192.168.200.2/30 interface=ipip1

10.10.10.30/24 10.10.10.31/24 10.10.10.100/24

IPIP1 Address : 192.168.200.1/30

IPIP1 Address : 192.168.200.2/30


[LAB-1] Routing over Tunnel

¢  Static route untuk menghubungkan kedua local network menggunakan tunnel IPIP.

¢  Routing di Router1 : l  /ip route add dst-address=192.168.2.0/24

gateway=192.168.200.2 ¢  Routing di Router2 :

l  /ip route add dst-address=192.168.1.0/24 gateway=192.168.200.1

192.168.1.1/24 192.168.2.1/24 10.10.10.100/24

IPIP1 Address : 192.168.200.1/30

IPIP1 Address : 192.168.200.2/30

Meja 1 Meja 2


EoIP Tunnel

Mikrotik Indonesia http://www.mikrotik.co.id 02-100

¢  Adalah protocol pada Mikrotik RouterOS yang membangun sebuah Network Tunnel antar mikrotik router di atas sebuah koneksi TCP/IP.

¢  Interface EoIP dianggap sebagai sebuah Interface Ethernet.

¢  Jika Bridge mode diberlakukan pada EoIP tunnel maka semua protocol yang berbasis ethernet akan dapat berjalan di Bridge tersebut (Dianggap seperti hardware interface ethernet yang di bridge).

¢  Hanya dapat dibuat di Mikrotik RouterOS. ¢  Menggunakan Protocol GRE (RFC1701).

3-Sep-15

EoIP Tunnel (2)

¢  EoIP biasa digunakan untuk : l  Membuat jaringan bridge diatas jalur internet l  Membuat jaringan bridge diatas tunnel yang

terenkripsi l  Membuat jaringan bridge diatas jaringan

wireless

¢  Dalam penggunaan EoIP tunnel akan terjadi penambahan header sebesar 42byte (8 byte GRE + 14 byte Ethernet Header + 20 byte IP)

Mikrotik Indonesia http://www.mikrotik.co.id 02-101 3-Sep-15

EOIP Header


IP HEADER

SMALL DATA

1500

Byt

es OUTER IP HEADER

SMALL DATA

GRE HEADER

Eth HEADER

IP HEADER

SMALL DATA

OUTER IP HEADER

SMALL DATA

GRE HEADER

1500 Bytes


IP HEADER

DATA

1500

Byt

es OUTER IP HEADER

DATA

IP HEADER

DATA

OUTER IP HEADER

DATA

1500 Bytes


FRAGMENTED DATA

NEXT PACKET

INNER IP HEADER

Eth HEADER

INNER IP HEADER

GRE HEADER

Eth HEADER

INNER IP HEADER

GRE HEADER

Eth HEADER

INNER IP HEADER


EoIP Example Internet

City A

EoIP

192.168.0.12

192.168.0.3

192.168.0.13

10.0.0.1 10.10.10.2

192.168.0.2

Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.

City B

3-Sep-15

EoIP Config


[LAB-2] EoIP over Wireless


192.168.y.1/24

192.168.y.3/24

192.168.y.2/24

192.168.y.4/24

Tunnel-id=100

Tunnel-id=200 Tunnel-id=300

R1 R2

R3 R4

Internet

3-Sep-15

Virtual LAN (VLAN) 1 ¢  VLAN adalah sebuah logical group

(pengelompokan) pada jaringan ethernet. ¢  Dengan VLAN, memungkinkan user-user saling

berkomunikasi pada group (VLAN-ID) yang sama. ¢  Traffic yang menggunakan VLAN terisolasi dari

traffic/user lain walaupun sebenarnya user-user ini masih terhubung secara fisik.

¢  Dengan menggunakan VLAN Router dapat meningkatkan security serta management yang berbeda terhadap jaringan walaupun masih ada sharing media.

¢  VLAN Bekerja di layer 2 (DataLink).


Virtual LAN (VLAN) 2 ¢  VLAN di Mikrotik RouterOS merupakan

implementasi dari standarisasi 802.1Q.

¢  Dengan menggunakan VLAN, Mikrotik RouterOS bisa membangun beberapa Virtual LAN untuk memisahkan jaringan (group) di sebuah interface ethernet atau interface wireless.

¢  Mikrotik RouterOS secara teoritis mampu membangun 4095 Interface Vlan di sebuah Interface ethernet.


VLAN Configuration


VLAN on Mikrotik


Mikrotik Vlan on Manageable Switch

Mikrotik bisa bekerja sama dengan switch manageable yang mampu mengimplementasikan standarisasi 802.1q (VLAN).

ACCESS / UNTAGGED

Vlan 2

Vlan 2

Vlan 1

Vlan 1

TRUNK / TAGGED


Mikrotik Vlan on Manageable Switch

Ether 2 Vlan 1 Vlan 2 Vlan 3

Port 1 Mode Trunk (Tagged)

Port 2 – mode Access (Untagged) Vlan 1



Man

agea

ble

Switc

h


Vlan Implementation using RB250GS

Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36


[LAB-3] Mikrotik Vlan Trunking

02-113 Mikrotik Indonesia http://www.mikrotik.co.id

Internet

192.168.2.3/24

192.168.1.2/24

192.168.2.4/24

R2 R3

R1 R4

VLAN over EoIP

VLAN2 VLAN3

192.168.1.1/24

ether3 ether3

ether4 ether4

ether2 ether2

3-Sep-15

[LAB-] Create VLAN Interface

Membangun vlan interface memanfaatkan EoIP Tunnel


R2 + R3

3-Sep-15

[LAB-4] VLAN Bridge


R2 + R3

3-Sep-15

[LAB-4]VLAN Distribution


R1 & R4

3-Sep-15


[LAB-5] VLAN over VLAN

192.168.2.3/24

192.168.1.2/24

192.168.2.4/24

R2 R3

R1 R4

VLAN over VLAN

VLAN100 VLAN200

192.168.1.1/24

ether3 ether3

ether4 ether4

ether2 ether2 VLAN1

VLAN1

ether3 ether3

3-Sep-15


[LAB-5] VLAN Config

3-Sep-15


[LAB-5] VLAN Interface

3-Sep-15

L2TP (1)


¢  Layer 2 Tunneling Protocol (L2TP) pengembangan dari kerjasama Cisco dengan Microsoft yang menggabungkan fitur dari PPTP dan Layer 2 Forwarding (L2F) protocol.

¢  L2TP dapat diimplementasikan pada jaringan non-TCP/IP clients, seperti Contoh: Frame Relay dan ATM.

¢  L2TP tidak memiliki mekanisme enkripsi, biasanya menggunakan protocol enkripsi lain yang lewat didalam tunnelnya.

3-Sep-15

L2TP (2)

¢  L2TP menggunakan UDP (port 1701) sehingga pengiriman paketnya lebih cepat. Sayangnya tidak reliable karena tidak ada mekanisme pengiriman ulang paket yang hilang/rusak.

¢  L2TP lebih “firewall friendly” dibandingkan PPTP — suatu Keuntungan besar jika menggunakan protocol ini, karena kebanyakan Firewall tidak GRE Friendly.


L2TP Configuration - Client


Encription Option – MPPE 128Bit Akan menyesuaikan Server

3-Sep-15

L2TP Configuration - Server


Encription Option – MPPE 128Bit

3-Sep-15

sasongko

Typewritten text

Microsoft Point to Point Encryption

[LAB-2] Routing over L2TP

Dari lab IPIP sebelumnya, silahkan rubah routingnya menggunakan L2TP antar teman.

Internet

City A

192.168.2.1

L2TP

192.168.1.2

192.168.1.1

192.168.2.2

Communication over L2TP

City B


L2TP Security

¢  L2TP secara default bisa menggunakan MPPE 128Bit sama seperti yang digunakan pada PPTP.

¢  Karena MPPE dirasa kurang aman maka L2TP dikembangkan untuk bisa digabungkan dengan protocol security yang lain yaitu IPSec.


SSTP Overview

¢  Secure Socket Tunneling Protocol (SSTP) adalah salah satu metode VPN yang membuat tunnel PPP melalui SSL Channel pada protocol HTTPS.

¢  Kelebihan membuat tunnel diatas protocol HTTPS adalah bisa melewati hampir semua firewall dan proxy server.

¢  Selain itu SSL juga digunakan untuk security level transport (layer4) dengan meningkatkan key negotiation, enkripsi serta integrity checking.

¢  SSTP baik client ataupun server bisa diterapkan di Mikrotik. l  Catatan : SSTP mulai ada di OS Windows vista sp1


SSTP Process


Open TCP Connection (TCP:443)

SSL Negotiation

SSTP over HTTPS

authentikasi PPP & IP Request

Communication data over SSTP

3-Sep-15

SSTP Security ¢  Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan

di SSTP. ¢  Disisi client, server akan diverifikasi berdasarkan sertifikat

yang dimiliki server dan menentukan metode enkripsi yang akan digunakan.

¢  Client juga akan menggenerate SSL session key dan mengenkripsinya dengan publik key dari server.

¢  Server bisa mendecrypt session key tersebut menggunakan private key yang dimilikinya.

¢  Semua komunikasi client server akan dienkripsi berdasarkan SSL session key tersebut.

¢  Jika client dan server menggunakan Mikrotik, SSTP bisa dibentuk tanpa menggunakan sertifikat.

¢  Disisi server, authentikasi hanya dilakukan berdasarkan username dan password di protocol PPP.


SSL Certificate ¢  SSL sertifikat bisa dibuat sendiri, dan untuk

verifikasinya bisa menggunakan layanan berbayar (Signed Certificate) ataupun diverifikasi sendiri (Self Signed Certificate).

¢  Verifikasi ini menggunakan CA (Certificate Authority).

¢  Jika menggunakan Self Signed Certificate, maka CA certificate harus diimport ke client.

¢  Sertifikat bisa kita generate menggunakan aplikasi “openssl”.


CA Certificate Setup (1)


CA Certificate Setup (2)


Server Certificate Setup (1)


Client Certificate Setup (1)


SSL Certificate (2)


Server Side

Client Side

Untuk keamanan, jangan mengupload CA private key

3-Sep-15

SSL Certificate (3)


SSTP Server Setup (1)


SSTP Server Setup (2) ¢  SSTP Server bisa diatur dengan beberapa

metode : l  Certificate : None, apabila client juga sama-sama

MikrotikOS •  (Unsecure, PPP security only)

l  Certificate : [Server Cert], apabila client MikrotikOS dan Windows (more secure)

¢  Untuk meningkatkan keamanan, aktifkan option “Verify-Client-Certificate” : l  CA harus diimport disisi server l  Client harus menggunakan certificate


SSTP Client Setup (1)


SSTP Client Setup (2) ¢  Jika sisi server diaktifkan “Verify-Client-

Certificate”, maka sisi client juga harus dipasang certificate yang masih dalam 1 chain.

¢  Option “Verify-Server-Certificate” digunakan untuk mengecek apakah sertifikat server masih dalam 1 CA yang ada di client.

¢  Option “Verifiy-Server-Address” digunakan untuk mengecek apakah IP / domain dari server valid/sesuai dengan isi dari sertifikat.


[LAB 3] SSTP Network


mobile client

SSTP server

Internet

Local Main Office

Local Remote Office

10.10.10.100

10.20.20.x 10.10.10.x

3-Sep-15

SSTP Note

¢  Untuk penggunaan sertifikat, pastikan clock server dan client benar à sync NTP.

¢  Windows Client, import CA ke trusted certificate.

¢  Disable “Verify-Client-Certificate” jika clientnya Windows.


Load Balancing

Certified Mikrotik Training Advanced Class (MTCRE) Organized by: Citraweb Nusa Infomedia


Konsep Dasar

¢  Load Balancing l  Membagi trafik ke dua atau lebih jalur

koneksi, sehingga setiap jalur yang ada bisa digunakan secara optimal.

¢  Fail Over l  Sistem proteksi untuk menjaga apabila link

utama terganggu, secara otomatis akan menggunakan jalur cadangan.

Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-148

Load Balance vs Fail Over


InternetInternet

15 Mbps

10 Mbps 5 Mbps

InternetInternet

10 Mbps

10 Mbps 5 Mbps

5 Mbps

03-149

Load Balancing

1 + 1 = 2 1 + 1 = 1 + 1

1 + 1 = ½ + ½ + ½ + ½ 1 + 1 = ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ Semakin banyak user, semakin banyak koneksi, pembagian Load balance akan semakin rata dan mudah.


Konsep Load Balancing ¢  Pembagian trafik dilakukan berdasarkan beberapa

metode : ¢  Probabilitas / Random ¢  Network Segment ¢  Type of Traffic

¢  Kita harus mengetahui kapasitas masing-masing link dan membagi trafik ke setiap interface sesuai dengan proporsinya.

¢  Misalnya kita memiliki 2 buah gateway, A dengan kapasitas 1 mbps, dan B dengan kapasitas 2 mbps, maka kita akan membagi trafik menjadi : ¢  3 = 2:1 = 1 ke A dan 2 ke B


Penggunaan Fitur

¢  Untuk bisa melakukan load balancing dengan baik, kuasailah fitur-fitur berikut ini: l  Static route dan policy route l  Firewall Mangle l  Firewall src-nat

¢  Untuk yang lebih advanced, perlu juga menguasai BGP.


Kunci Load Balancing

¢  Pada jaringan yang sederhana, kita hanya bisa mengatur jalur Uplink.

¢  Kita bisa mengatur koneksi akan lewat ke jalur (ISP) yang mana, tetapi kita tidak bisa mengatur jalur yang digunakan untuk Downlink, karena hal tersebut bergantung pada routing internet secara keseluruhan.


Kunci Load Balancing ¢  Untuk “mengatur” jalur downlink, kuncinya ada

pada penggunaan src-nat di tiap gateway. Yaitu pada saat paket request dikirimkan ke internet.

¢  Data (Uplink) yang di NAT dengan IP yang ada pada gateway, akan kembali (Downlink) melalui gateway tersebut.

¢  Jika kita hanya menggunakan masquerade untuk tiap interface gateway, maka data akan kembali pada interface yang sama dengan interface uplink yang dipilih oleh router.


Skema Kerja Load Balanced

MASQ MASQ

ALGORITMA PEMBAGI TRAFIK


GATEWAY A GATEWAY B

3-Sep-15 03-156

Metode Load Balanced

¢  Static Route dengan Address List ¢  ECMP (Equal Cost Multi Path) ¢  NTH ¢  PCC ¢  BGP


Contoh dengan Static Route

Berdasarkan Tujuan l  Gateway A untuk internasional l  Gateway B untuk trafik lokal Indonesia

•  Menggunakan address-list NICE


Contoh dengan Static Route

Berdasarkan source address l  IP Address client: 192.168.0.0/24

•  192.168.0.0-127 à gateway A •  192.168.0.128-255 à gateway B


ECMP

¢  Equal Cost Multi Path ¢  Pada saat kita memiliki beberapa gateway

yang ingin di load balance, metode termudah adalah menggunakan ECMP

¢  ECMP akan memisahkan trafik per gateway secara random


Contoh ECMP (1)

Ada 2 gateway yang sama besar Bandwithya 10 Mbps : 10 Mbps


Contoh ECMP (2) ¢  Ada 2 gateway, perbandingan kapasitas

bandwith 2 Mbps : 1 Mbps

¢  Karena Kedua gateway berbeda kapasitas maka perlu disesuai dengan perbandingan.


¢  Ada 3 gateway, gateway A dan B menggunakan gateway IP Address, dan gateway C menggunakan pppoe.

¢  Memungkinkan penggunaan kombinasi dengan gateway interface.

Contoh ECMP (3)


[LAB-1] ECMP & Policy Route ¢  IIX à via WLAN1 dan PPPoE di WLAN2.

l  Kapasitas PPPoE 2 x kapasitas WLAN1 ¢  Internasional à PPTP ke server 10.100.100.1

PPTP

PPPoE WLAN1


IIX IIX INTERNASIONAL

3-Sep-15 03-164

Address List Download nice.rsc dari server mikrotik.co.id


PPTP dan PPPoE Username

Username dan password : l  PPTP

•  Username : mikrotik-pptp •  Password : training

l  PPPoE •  Username : mikrotik-pppoe •  Password : training


sasongko

Typewritten text

Server PPTP : 10.20.20.100

sasongko

Typewritten text

wlan 1

Static Route untuk PPTP


PPTP & PPPoE Setting


Interface

Pastikan semua interface sudah bekerja dengan baik


IP Address

Pastikan sudah mendapatkan IP Address dinamik dari PPTP dan PPPoE


Masquerade Setting

Buatlah masquerade untuk ketiga gateway


sasongko

Typewritten text

end 04 September 2015

Route-mark Setting

Rule no 0 untuk trafik dari klien Rule no 1 untuk trafik dari local process di router Rule no 1 menggunakan parameter out-interface=pptp-out1 karena secara default, routing keluar melalui pptp-out1


Route for IIX & Internasional


Test dengan traceroute


Kekurangan ECMP ¢  Forwarding table di Linux Kernel secara

otomatis akan refresh setiap 10 menit ¢  Hal ini menyebabkan ada kemungkinan

paket data untuk suatu traffic dari sebuah aplikasi berganti koneksi sehingga mendapatkan masq address yang berbeda. Koneksi bisa terputus. l  Contoh: terjadi pada traffic game online

¢  Info lebih lanjut mengenai hal ini: –  http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html –  http://marc.info/?m=105217616607144 –  http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19


Metode NTH

¢  NTH dilakukan dengan mengaktifkan counter pada mangle, dan kemudian dinamai (route mark) berdasarkan gateway nya.

¢  Route mark kemudian digunakan sebagai dasar untuk membuat policy route.


Proses NTH pada Mangle

Misalkan kita mempunyai 2 buah gateway (A dan B)

l  Koneksi pertama à route mark “conn-A” l  Koneksi kedua à route mark “conn-B” l  Koneksi ketiga à route mark “conn-A” l  Koneksi keempat à route mark “conn-B” l  Koneksi kelima à route mark “conn-A” l  Dst…..


Proses NTH pada Routing

Setelah ada route-mark, maka kita tinggal mengarahkan route mark tersebut ke gateway yang sesuai.

l  Route-mark “conn-A” ke gateway A l  Route-mark “conn-B” ke gateway B


Proses NTH pada Routing


Kelemahan nth

¢  Nth bekerja berdasarkan “connection tracking”

¢  Seperti halnya ECMP, nth juga ikut “ter-refresh” setiap 10 menit

¢  Tidak disarankan penggunaan nth untuk melakukan load balanced

¢  Untuk “load balanced” yang lebih stabil, disarankan menggunakan PCC (Per Connection Classifier)


Per Connection Classifier

¢  Adalah parameter firewall yang memiliki kemampuan untuk membedakan trafik menjadi dua atau lebih stream berdasarkan parameter tetap terjaga, meskipun forwarding table pada kernel ter-refresh

¢  Option yang bisa digunakan adalah: src-address, src-port, dst-address, dst-port

¢  Informasi lebih lanjut: l  http://wiki.mikrotik.com/wiki/PCC

¢  Diperkenalkan mulai RouterOS 3.24 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-181

[LAB-2] Load balanced PCC

Dengan konfigurasi network seperti lab sebelumnya, gunakanlah wlan1, pppoe, dan pptp untuk load balanced dengan PCC

PPTP

PPPoE WLAN1


Trafik ke Connected Network

¢  Routing ke connected route hanya tersedia di routing table “main”

¢  Kita harus menjaga jangan sampai trafik ke network ini berpindah routing table.

¢  Kita membuat address-list untuk connected network


Trafik ke Connected Network


Koneksi dari luar Untuk menjamin bahwa router akan me-reply setiap connection yang masuk dari luar sesuai dengan jalur masuknya.

l  Contoh: koneksi winbox ke router


Custom Route-mark Chain

¢  Ada dua trafik yang harus di load balanced: l  Trafik dari client

•  Chain=prerouting •  In-interface=local (ether1) •  Connection-mark=no-mark

l  Trafik dari local process •  Chain=output •  Connection-mark=no-mark

¢  Kedua trafik ini akan di jump ke chain baru


Jump to Custom Chain


PCC Rules


Conn-mark à Route Mark


All Mangle


Static Route


sasongko

Typewritten text

point 1 untuk default gw dibuat ke masing-masing gw provider.

Beberapa Problem Lainnya

¢  Hati-hati untuk penggunaan DNS Server jika kita menggunakan DNS Server ISP dan menggunakan beberapa gateway dari ISP yang berbeda.

¢  Hal ini bisa diatasi dengan: l  membuat static route untuk masing-masing

DNS dan meng-accept IP DNS sehingga tidak ikut di PCC

l  Menggunakan dns public seperti google-dns


OSPF APNIC Training - Routing Class

Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)

Outline ¢  About OSPF

l  Autonomous System ¢  Basic LAB OSPF ¢  OSPF Neighbour

l  LSP & Instance ¢  OSPF Router Type ¢  OSPF Routing Type

l  Cost & Matric ¢  OSPF Area Type

l  Tipe LSA & Virtual Link ¢  Routing Filter


Autonomous System

AS

Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan network, yang semuanya dapat dikendalikan oleh network administrator.

Area 0 Area 1

Area 2 Area 3


Background 1 ¢  Karena sebuah Autonomous System (AS)

memiliki skala jaringan yang sangat besar maka penggunaan routing menjadi sangat penting dan kritis.

¢  Informasi routing haruslah tepat dan kesalahan melakukan distribusi informasi routing harus diminimalisasi sedikit mungkin.

¢  Sangatlah tidak nyaman jika harus menuliskan rule routing untuk puluhan bahkan ratusan router secara static.


Background 2

¢  OSPF merupakan sebuah routing protokol yang dapat mendistribusikan informasi routing secara otomatis.

¢  OSPF juga merupakan routing protokol yang menggunakan konsep hirarki routing, dengan kata lain OSPF juga mampu membagi-bagi jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan dengan menggunakan sistem pengelompokan yaitu area.


OSPF ? ¢  Open Shortest Path First (OSPF) adalah sebuah

protocol routing otomatis (Dynamic Routing) yang mampu menjaga, mengatur dan mendistribusikan informasi routing antar network mengikuti setiap perubahan jaringan secara dinamis.

¢  OSPF termasuk di dalam kategori IGP (Interior Gateway Protocol) yang memiliki kemampuan Link-state dan Algoritma Dijkstra yang jauh lebih efisien dibandingkan protocol IGP yang lain.

¢  Menggunakan protocol tersendiri yaitu protocol 89. ¢  OSPF digunakan untuk management informasi dan

distribusi routing di dalam sebuah AS.


OSPF Feature

OSPF (IPv4 RFC 2838 ) l  Dynamic routing l  Interior Gateway Protocol (IGP) didalam

sebuah routing domain (AS) l  Proses convergence yang cepat l  Link State / Shortest Path Technology l  Route Authentication l  Mendukung sistem pembagian Area l  Mendukung Fail Over


sasongko

Typewritten text

--> optional, bisa digunakan atau tidak digunakan.


[LAB-1] Konfigurasi OSPF

192.168.1.1/24

Internet

192.168.2.1/24

MEJA 1 MEJA 2

Backbone Area

ASBR Router Gateway

192.168.x.1/24

MEJA X

10.10.10.1/24 10.10.10.2/24

10.10.10.x/24


[LAB-1] OSPF Network ¢  Tambahkan Network

yang ingin dihubungkan ke area Backbone untuk saling ditukarkan dengan router yang lain.

¢  Amati tabel neighbor router masing-masing dan neighbor router.


[LAB-1] OSPF Neighbor

Tabel neighbor akan berisi informasi mengenai router-router yang berada dalam 1 area OSPF beserta kondisi/statusnya


OSPF – Neighbor Discovery

¢  OSPF mampu malakukan Pencarian neighbor router secara otomatis l  Yaitu Discovery Router yang juga mengaktifkan OSPF

dalam satu area l  Menggunakan Hello Packet

¢  Sebuah router bisa terdaftar didalam list neighbor router yang lain apabila : l  Interface router tersebut berada dalam area (Area-ID)

yang sama l  Interface router tersebut harus dalam subnet dan

network mask yang sama , kecuali network typenya diset point to point

l  Authentikasi, Hello dan Dead Interval HARUS SAMA


OSPF – Discovery Process R1 R2

Hello Packet

Neighbor State Neighbor State DOWN DOWN

INIT R1

Hello Packet

R2 2-WAY R2 ExStart

DD

ExStart R1

DD

R2 Exchange

DD

Exchange R1

DD

R2 Loading

DD

Loading R1

LSR

LSR LSU

LSU

R2 Full Full R1

LSAck

LSAck

1 1 2

3 4 5 6 7 8 9

10 10


OSPF-Neighbor State Neighbor State Description

Down Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan

Attempt Digunakan pada neighbor yang ditambahkan manual pada NBMA

Init Hello packet diterima dari router lain tetapi router-id penerima yang tertera dalam hello packet belum ada didalam list neighbor

2-Way Hello packet yang diterima dari router lain dan ip router penerima ada

didalam list neighbor router lain. Dalam state ini komunikasi bidirectional sudah terbentuk

ExStart DR dan BDR sudah terpilih, pertukaran link-state dimulai

Exchange Router mengirimkan Database Description packet ke neighbor

Loading Router mengirimkan Link State Request packets untuk informasi routing dari neighbor

Full Informasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah terhubung penuh


sasongko

Typewritten text

backup designated router

sasongko

Typewritten text

designated router

OSPF Packet Type

¢  Hello – Digunakan untuk membentuk komunikasi dengan neighbor yang terhubung langsung

¢  Database Descriptor (DD) – Digunakan untuk mengecek sinkronisasi database routing antar router.

¢  Link State Request (LSR) – Digunakan untuk meminta informasi routing terbaru

¢  Link State Update (LSU) – Digunakan untuk mengirimkan informasi routing terbaru

¢  Link State Acknowledgment (LSAck) – Digunakan untuk mengkonfirmasi informasi link-state yang diterima


Link State Routing Langkah-langkah atau cara kerja OSPF :

l  Setiap router membuat Link State packet (LSP). l  Mendistribusikan LSP ke semua neighbor menggunakan Link

State Advertisement (LSA) type 1 dan menentukan DR dan BDR dalam 1 area.

l  Masing-masing router menghitung jalur terpendek ke semua neighbor berdasarkan cost routing.

l  Jika ada perbedaan atau perubahan tabel routing, router akan mengirimkan LSP ke DR dan BDR melalui alamat multicast 224.0.0.6.

l  LSP akan dididistribusikan oleh DR ke router neighbor lain dalam 1 area sehingga semua router neighbor akan melakukan perhitungan ulang jalur terpendek.


[LAB-1] OSPF Instance


OSPF Instance Setting ¢  Router-id à Memberi pengenal pada router.

l  Berformat 32bit seperti IP, sifatnya unik artinya tiap router tidak boleh memiliki ID yang sama dalam sebuah jaringan

l  Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP terbesar yang ada pada router

¢  Redistribute Default Route à Mendistribusikan default route. ¢  Redistribute Connected Routes à Mendisitribusikan IP network

yang terpasang di interface ¢  Redistribute Static Routes à Mendistribusikan route static yang

ada pada table /ip route ¢  Redistribute RIP Routes à Mendistribusikan route hasil RIP ¢  Redistribute BGP Routes à Mendistribusikan route hasil BGP


[LAB-1] OSPF Route

Rule routing yang memiliki Flag DAO menunjukkan ada rule routing yang didistribusikan menggunakan protocol OSPF.


sasongko

Typewritten text

Untuk memisahkan apabila terdapat 2 network yang sama dalam 1 area OSPF, bisa menggunakan VRF (Virtual Routing Forwarding).

[LAB-1] OSPF Route Detail


[LAB-1] OSPF Interface

¢  Setelah OSPF network ditentukan maka secara otomatis mendeteksi interface yang menggunakan network tersebut.

¢  Untuk mengubah cost dan priority interface harus didefinisikan secara manual.


Area DR & BDR ¢  Dalam setiap area, router akan memilih Designated Router (DR)

dan Backup Designated Router (BDR) secara otomatis. ¢  DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam

satu area menggunakan alamat multicast 224.0.0.5, sehingga mengurangi proses pertukaran LSA antar router

¢  BDR, akan menggantikan DR jika terjadi error ¢  Dalam permulaan pembentukan OSPF, DR merupakan router

pertama yang mengaktifkan OSPF dan BDR merupakan router kedua yang mengaktifkan OSPF

¢  Jika OSPF sudah berjalan, maka pemilihan DR dan BDR selanjutnya ditentukan oleh priority dari interface masing-masing router dalam 1 area l  (0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR) l  Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi


sasongko

Highlight

sasongko

Highlight

sasongko

Typewritten text

DR

sasongko

Typewritten text

DR


[LAB-2] OSPF - Fail Over

192.168.1.0/24

IR Meja 1

Internet

192.168.2.0/24

IR Meja 2

192.168.3.0/24

IR Meja 3

MEJA 1 MEJA 2 MEJA 3

Backbone Area

ASBR Router Gateway

192.168.4.0/24

IR Meja 4

MEJA 4

Backup link Backup link


[LAB-2] OSPF - Fail Over detail

IR Meja 1

Internet

Backbone Area

ASBR Router Gateway

IR Meja 2

Backup link

Ether2 10.100.Y.1/24

Ether2 10.100.Y.2/24

¢  Hubungkan ether2 dari router anda ke ether2 router rekan anda sebagai link backup.

¢  Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut. ¢  Y adalah nomor kelompok.


[LAB-2] Interface for Backup

Tambahkan network baru ke backbone area.

10.100.y.0/24


Redundant Detected

¢  DR akan menerima perubahan informasi routing dari masing-masing group dan menyebarkan informasi tersebut ke router group yang lain

¢  Network baru tersebut bisa dirouting menggunakan 2 jalur yang berbeda


[LAB-2] Fail Over Test

¢  Coba matikan link utama dan test apakah fail over bisa dilakukan otomatis.

¢  Hidupkan kembali link utama untuk cek terhadap proses failover.

IR Meja 1

Internet

Backbone Area

ASBR Router Gateway

IR Meja 2

Backup link

Ether2 10.10.1.1/24

Ether2 10.10.1.2/24

x


Metric & Cost ….? ¢  Metric adalah salah satu parameter di routing yang

sebenarnya merupakan kumpulan nilai logic yang digunakan oleh algoritma routing untuk menentukan jalur routing yang akan dilewati

¢  Nilai Metric ditentukan oleh network administrator dengan pertimbangan berdasar : l  Jumlah hop yang akan dilewati l  Kondisi latency l  Packet loss (router congestion/conditions) l  Besar bandwidth l  Cost

¢  Pada OSPF, untuk menetukan nilai Metric internal menggunakan parameter Cost pada interface.


OSPF Cost ¢  Untuk menetukan jalur terpendek atau bisa juga

diartikan sebagai jalur prioritas, OSPF menggunakan parameter “Cost”.

¢  OSPF “Cost” akan dijumlahkan di setiap hopnya pada proses Link State / Shortest Path Technology.

¢  Setelah semua jalur sudah dikalkulasi dan total Cost semua jalur sudah dijumlahkan, maka akan dipilih jumlah akumulasi cost yang terkecil


OSPF Cost

¢  Terlihat ada dua jalur yang bisa menuju ke network tujuan.

¢  Setelah dilakukan perhitungan total Cost, jalur 1 memiliki total cost terkecil. Maka jalur tersebut yang akan digunakan

40 20

10

10 10

Jalur 1 total : 30

Jalur 2 total : 70


[LAB-3] OSPF - Cost ¢  Bangun bagan network

berikut dengan kelompok terdiri 4 router dan terkoneksi menggunakan ethernet.

¢  Gunakan konfigurasi OSPF (manual Interface) sehingga traffic berjalan searah jarum jam.

¢  Traffic upload melewati router bagian kiri dan download melewati router bagian kanan.

10

10

10

10

100

100

100

100

?? ??

Internet

Backup

¢  Gunakan koneksi wireless (ether4) sebagai backup link.

¢  Tentukan cost dari backup link supaya traffic tetap searah jarum jam.

R1

R2

R3

R4


[LAB-3] OSPF - Cost

10

10

10

10

100

100

100

100

50 ??

Internet

Backup

ether2 - 10.Y.1.1/24

Ether3 - 10.Y.1.2/24

Ether2 - 10.Y.2.1/24

Ether3 - 10.Y.2.2/24 10.Y.3.1/24 - Ether2

10.Y.3.2/24 – ether3

10.Y.4.1/24 – ether2

10.Y.4.2/24 – ether3

ether4- 10.Y.5.1/24 10.Y.5.2/24 – ether4

10.10.10.X 10.10.10.100

X : Nomor Kursi Y : Nomor Kelompok Tentukan cost pad backup link supaya traffic tetap berjalan searah jarum jam. Test apakah yang terjadi jika salah satu link mati ?

R1

R2

R3

R4


Cost Overwrite

Tambahkan interface untuk link backup dan ubah “cost” supaya menjadi routing backup.


OSPF – Router Type (1)

Area 0 Area 1

Area 2

ASBR

¢  ASBR – Autonomous System Border Router ¢  ABR – Area Border Router ¢  IR – Internal Router

ABR

ABR

IR IR

IR


OSPF – Router Type (2) ¢  IR adalah router yang berada dalam sebuah area OSPF

dan tidak terhubung langsung dengan area yang lain. ¢  ABR adalah router yang menjembatani area backbone

dengan dengan area yang lain. ¢  ASBR adalah sebuah router yang biasanya terletak di

perbatasan sebuah AS (Router Terluar dari AS) dan bertugas untuk menjembatani antara router yang ada di dalam AS dengan Network lain (Berbeda AS). l  ASBR juga bisa berarti sebuah router anggota OSPF

yang menjembatani routing OSPF dengan protocol Routing yang lain (RIP,BGP dll).


OSPF Routing Type Intra-Area routing

l  Menggambarkan route ke network tujuan yang masih dalam satu area.

Area 0 Area 1

Area 2


OSPF Routing Type Inter-Area routing

l  Menggambarkan route ke tujuan yang membutuhkan melewati satu atau lebih area OSPF dan masih dalam satu AS.

Area 0 Area 1

Area 2


RIP BGP

Other OSPF dsb

OSPF Routing Type External Area routing

l  Menggambarkan route untuk keluar jaringan OSPF l  Dibedakan menjadi 2 tipe :

•  E1 à E1 route cost merupakan jumlah dari internal cost dan external ospf metric.

•  E2 à E2 route cost merupakan nilai dari external OSPF metric saja

Area 0


192.168.1.0/24

192.168.1.0/24

OSPF - External Route Type

40 20

10

10 10

Jalur 1 total : 50

Jalur 2 total : 90

TYPE 1

Metric 20 Redistribute as type 1


OSPF Metric – as type 1

¢  Ketika OSPF pada IR 1 menggunakan “as-type-1” maka informasi metric akan diberikan dengan informasi routing ke IR2.

¢  Sehingga total Metric pada IR2 adalah pejumlahan metric dari IR1 dengan Cost pada IR2.

IR 1 IR 2 OSPF Routing Transaction

Ether2 10.10.Y.1/24

Ether2 10.10.Y.2/24

Route Metric Cost

Route Metric Cost


192.168.1.0/24

192.168.1.0/24

OSPF - External Route Type

40 20

10

10 10

Jalur 1 total : 30

Jalur 2 total : 70

TYPE 2

Metric 20 Redistribute as type 2


OSPF Metric – as type 2

¢  Ketika OSPF pada IR1 menggunakan “as-type-2” maka yang dikirimkan ke IR2 hanyalah informasi routing saja

¢  Sehingga total Metric pada IR2 hanya mengacu pada cost IR2

IR 1 IR 2 OSPF Routing Transaction

Ether2 10.10.Y.1/24

Ether2 10.10.Y.2/24

Route Cost

Route Cost


Metric Overwrite


OSPF Network Type (1) ¢  Point-to-Point

l  Adalah jenis jaringan yang paling sederhana, tersusun atas dua router yang terhubung langsung dan tidak diperlukan DR dan BDR dalam type ini

¢  Broadcast l  Type Default yang digunakan pada jaringan ethernet. Satu paket yang

dikirimkan sebuah router akan diterima oleh banyak router

neighbor neighbor

neighbor

DR


NBMA – Non-Broadcast-Multiple-Access l  Mirip dengan broadcast, akan tetapi untuk neighbor harus

ditambahkan secara manual karena tidak semua jaringan mendukung broadcast, salah satu contohnya adalah ATM dan Frame-relay.

OSPF Network Type (2)

DR

neighbor

neighbor

neighbor


Point-to-Multipoint l  Solusi lain untuk network yang tidak mendukung broadcast,

mengemulasi link point-to-point ke dalam beberapa node dan mengirimkan paket Halo ke semua node. Biasanya type ini digunakan untuk jaringan wireless

OSPF Network Type (3)

neighbor

neighbor

neighbor

neighbor


OSPF Area

Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu area menyesuaikan skala dari jaringan yang dimiliki.

Area 0 Area 1

Area 2

ASBR

ABR

ABR

IR

IR

Area 3 IR IR

IR


OSPF Area ¢  Semakin banyak router dan jaringan didalamnya,

semakin besar ukuran Link State Databaseà cpu load, memory

¢  Internal router akan mendapat LSA hanya dari router lain yang masih dalam satu area

¢  Area yang ingin mendapatkan informasi LSA secara lengkap dan bisa terkoneksi dengan jaringan yang ada di luar AS maka harus terhubung secara logic dengan Backbone (Area 0).

¢  Untuk area yang tidak secara langsung terhubung ke ke area backbone bisa menggunakan Virtual Link memanfaatkan area lain yang sudah terhubung ke Backbone Area.


Area Type ¢  Backbone – Area 0 (Area ID 0.0.0.0)

l  Bertanggung jawab mendistribusikan informasi routing antara non-Backbone area

l  Semua sub-Area HARUS terhubung dengan backbone secara logikal

¢  Standart / Default Area l  Merupakan sub-Area dari Area 0. Area ini menerima LSA intra-

area dan inter-area dari ABR yang terhubung dengan area 0 ¢  Stub Area

l  Area yang paling “ujung”. Area ini tidak menerima advertise external route (digantikan default route)

¢  Not So Stubby Area (NSSA) l  Stub Area yang tidak menerima external route (digantikan

default route) dari area lain tetapi masih bisa mendapatkan external route dari router yang masih dalam 1 area


OSPF – Backbone Area

Area 0

Area 1

Area 2

ASBR

ABR ABR

¢  Area 0 atau sering juga disebut sebagai Backbone Area merupakan area dimana Router-Router ABR berkumpul untuk saling menukarkan informasi routing dari area-area yang lain.

¢  Area Backbone juga merupakan Area Transit sebelum traffic keluar atau masuk ke dalam sebuah AS.

¢  Sebuah area yang tidak terhubung langsung ke area backbone bisa terhubung ke backbone area menggunakan Virtual Link.


[LAB-4] OSPF – Area

R1

R3

R5 R6

R2

R4

R7 R8

Internet

AREA 0 – BACKBONE AREA STANDART AREA

AREA 1 NSSA AREA

AREA 2 STUB AREA


[LAB-4] OSPF – Backbone

R1

R3

R2

R4

Internet

AREA 0 – BACKBONE AREA STANDART AREA

Wlan 2 10.y.1.1/24

Wlan 2 10.y.1.2/24

Wlan 2 10.y.1.3/24

Wlan 2 10.y.1.4/24

¢  Koneksi antar router backbone gunakan interface WLAN2 ¢  Gunakan frekuensi 5GHz dengan SSID – “KelompokY”


[LAB-4] OSPF – Backbone ¢  Atur Router-ID menggunakan 10.10.10.x pada instances ¢  Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area

backbone

R1-R4


[LAB-4] OSPF – NSSA Area

R3

R5 R6

AREA 1 NSSA AREA

Ether2 10.y.2.1/24

Ether3 10.y.3.1/24

Ether2 10.y.2.2/24

Ether3 10.y.3.2/24


[LAB-4] OSPF – NSSA

R3 , R5, R6

¢  Atur Router-ID menggunakan 10.10.10.x pada instances ¢  Buat Area dengan type NSSA



Pada R3

Tambahkan network ke area1



R5


R6


[LAB-4] OSPF – STUB Area

R4

R7 R8

AREA 2 STUB AREA

Ether2 10.y.4.1/24

Ether3 10.y.5.1/24

Ether2 10.y.4.2/24

Ether3 10.y.5.2/24


[LAB-4] OSPF – STUB

R4 , R7, R8

¢  Atur Router-ID menggunakan 10.10.10.x pada instances ¢  Buat Area dengan type STUB



Pada R4




R7


R8


[LAB-4] OSPF – AREA ¢  Amati dan lihat perubahan tabel routing untuk

masing-masing IR di setiap AREA. ¢  Apakah ada perbedaan tabel routing antara IR

pada NSSA dengan STUB area ? ¢  Tambahkan static default gateway pada R1 ke

10.10.10.100 dan aktifkan redistribute-default-route, kemudian amati perubahan tabel routing di masing-masing router.

¢  Import route-nice.rsc ke R3 dan R4. ¢  Aktifkan redistribute-static route di R3 dan R4

kemudian cek perubahan tabel routing di masing-masing router.


OSPF - Virtual Link ¢  Virtual Link à digunakan untuk mengatasi

koneksi router yang terpisah (secara fisik) dari area backbone.

¢  Juga dapat digunakan untuk menyabung area backbone yang terpisah.

¢  Virtual Link Tidak bisa berjalan sempurna jika melewati stub area.


[LAB-6] OSPF – Virtual Link

¢  Karena Virtual Link tidak bisa melewati area yang bertipe Stub maka ubah type area pada Area1 dan Area2 menjadi type standard (default).

¢  Kemudian Aktifkan Virtual Link di R2 dan R3.

Internet

Area Backbone

Area 1

10.10.10.X

10.10.10.100 Ether2: 10.Y.1.1

Ether3: 10.Y.1.2

Ether2: 10.Y.2.1

Ether3: 10.Y.2.2

Ether2: 10.Y.3.1

Ether2: 10.Y.3.2

Virtual Link

Y = Nomor Kelompok X = Nomor Meja

Area 2

R1

ABR

ABR

IR

R2

R3

R4


[LAB-6] R2 Configuration

¢  Ubah Area1 menjadi Area Standard. ¢  Buat Virtual Link melewati Area1


[LAB-6] R3 Configuration


[LAB-6] R3 Configuration Aktifkan network OSPF di kedua area.


[LAB-6] R3 Configuration ¢  Tambahkan Virtual Link

memanfaatkan Area1. ¢  Pastikan NeighborID

sama dengan RouterID yang ada di Area1.


[LAB-6] R4 Configuration ¢  Tambahkan Area2 di R4. ¢  Aktifkan Network untuk

Area2.


OSPF - Virtual Link

Saat ini Virtual link tidak bisa berjalan sempurna di ROS v4/v5 !!

Solusi : 1.  Gunakan EoIP antara R3 ke R1 2.  Pasang IP di interface EoIP 3.  Masukkan IP network EoIP tersebut kedalam

network backbone


sasongko

Typewritten text

end 5 september 2015

LSA Type ¢  Type 1 (Router link) : LSA yang diterima dari router lain dalam satu

area dan berisi informasi router-id neighbor ¢  Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR

dalam satu area. ¢  Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR

ke neighbor yang berisi ringkasan informasi network area lain dalam satu AS

¢  Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari router ASBR yang mengadvertise LSA type 5

¢  Type 5 (AS External Link) : LSA ini berisi informasi network external AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub Area dan NSSA Area)

¢  Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF (MOSPF), routing protocol yang jarang digunakan

¢  Type 7 (Group Membership) : Membawa informasi network external AS yang melewati NSSA


STANDART AREA AREA 0

OSPF – LSA Standart Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 3

TYPE 5

TYPE 4


STUB AREA AREA 0

OSPF – LSA STUB Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 3

0.0.0.0/0


NSSA AREA AREA 0

OSPF – LSA NSSA Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 5 TYPE 7

TYPE 4

0.0.0.0/0


Routing Filter ¢  Hampir sama dengan IP firewall, routing bisa

mengimplementasikan filtering terhadap informasi routing yang didistribusikan di setiap protocolnya.

¢  Mirip juga dengan IP firewall Urutan penempatan rule sangat berpengaruh.

¢  OSPF memiliki chain default yang digunakan untuk meletakkan filter : l  Chain built in atau chain default “OSPF-IN” adalah

chain untuk meletakkan filter informasi routing yang masuk.

l  Chain built in atau chain default “OSPF-OUT” aladah chain untuk meletakkan filter informasi routing yang keluar.

¢  Custom chain juga bisa dibuat sesuai kebutuhan dengan menuliskan nama chain baru secara manual.


OSPF-Filter


Routing Filter Chain ¢  Beberapa parameter yang diperlukan untuk melakukan

routing filter : ¢  Chain : Nama chain untuk meletakkan rule filter.

l  ospf-in – Lokasi untuk melakukan filter informasi routing OSPF yang diterima oleh router sebelum dipasangkan di tabel routing

l  ospf-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam OSPF

l  rip-in – Lokasi untuk melakukan filter informasi routing RIP yang diterima oleh router sebelum dipasangkan di tabel routing

l  rip-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam RIP

l  mme-in – Lokasi untuk melakukan filter informasi routing MME yang diterima oleh router sebelum dipasangkan di tabel routing

l  connected-in – Letak chain default untuk menempatkan filter routing Direct Connect (input).

l  dynamic-in – Letak chain default untuk routing dynamic yang lain (Selain routing protocol dan connect directly). Biasanya untuk routing yang diinputkan dari ppp daemon.


Routing Filter Prefix & Prefix Lenght ¢  Prefix adalah segmen network yang ingin difilter

l  Contoh : •  0.0.0.0/0 – untuk memfilter default route •  192.168.0.0/24 – jika tidak ada tambahan setting di preffix-

length maka akan melakukan filter network tersebut secara spesifik.

•  192.168.0.0 – jika tidak ada prefix segmen maka dianggap sebagai /32

¢  Prefix-Length adalah filter terhadap prefix-mask dari parameter Prefix. Contoh : l  prefix=10.0.0.0/8 prefix-length=8-32

•  Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255 l  prefix=8.8.0.0/16 prefix-length=16-32

•  Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255


Routing Filter - Action ¢  Accept – Menerima prefix routing ¢  Discard – tidak memasukkan prefix routing ke proses

pengolahan routing di FIB. ¢  Jump – Melemparkan prefix routing ke chain filter routing

yang lain. l  Jump Target – Chain tujuan yang baru.

¢  Log – Memasukkan informasi routing ke pesan Log System.

¢  Passthrough – Meneruskan informasi routing untuk di periksa di rule dibawahnya dalam chain yang sama.

¢  Reject – jika digunakan di Incoming Filter, prefix yang masuk akan disimpan di memory tetapi tidak akan diaktif. Jika Outgoing Filter, prefix tidak akan diproses sama sekali.

¢  Return – Mengembalikan prefix routing yang sebelumnya sudah terkena filter jump.


[LAB-7] OSPF – PPP Network Internet

Area Backbone

Area 1 STD AREA

10.10.10.X

10.10.10.100 Ether2: 10.Y.1.1

Ether3: 10.Y.1.2

Ether2: 10.Y.2.1

Ether3: 10.Y.2.2

Ether3: 10.Y.3.1

Ether2: 10.Y.3.2

Y = Nomor Kelompok X = Nomor Meja

PPPoE Network

¢  Bangun network topologi seperti pada gambar dan aktifkan PPPoE server di Ether3 R4.

¢  Tambahkan Jaringan yang menggunakan protocol PPP untuk kasus kali ini kita akan mencoba menggunakan network PPPoE

¢  Gunakan Notebook sebagai client

Ether3

R1

R2

R3

R4


OSPF – Filter PPP protocol ¢  OSPF juga bisa melakukan distribusi routing untuk

network point-to-point /32 (VPN / point-to-point addressing).

¢  Karena sifatnya yang sangat dinamis perubahan struktur jaringan VPN (PPP) akan semakin membebani kerja protocol OSPF.

¢  Direkomendasikan untuk melakukan filter terhadap network jenis ini.

¢  Untuk distribusi routing PPPoE di OSPF kita bisa memasang IP Agregasi ke salah satu interface di router, biasanya ip agregasi tersebut dipasang di interface dimana service PPP dipasang.

¢  Atau bisa juga memasang static route dari network VPN (PPP) mengarah ke router itu sendiri.


[LAB-7] OSPF - PPP Filter

Gunakan routing filter di OSPF untuk menghilangkan advertise network /32 karena akan membebani proses update routing.

Ether3: 10.Y.3.1

Ether2: 10.Y.3.2

Area 1

PPPoE / VPN Network Ether3

Client 1

Client 2

Client 4 Client 3

R3

R4


[LAB-7] OSPF-Filter

/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard

Filter ini dipasang di semua Router yang terhubung ke OSPF Network


BGP APNIC Training - Routing Class

Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)

Outline

¢  Konsep Routing ¢  BGP ¢  eBGP ¢  iBGP


Konsep Routing


MTCINE Training Class 2014

05-277

Apa yang dilakukan router?


Agenda harian sebuah router

¢  Mencari jalur terbaik ¢  Mem-forward paket, forward, forward,

forward, forward….. ¢  Mencari alternatif jalur ¢  Mem-forward paket, forward, forward,

forward, forward….. ¢  Berulang hingga router dimatikan.


Routing vs Forwarding

¢  Routing : melakukan pemetaan jaringan dan memberikan pilihan jalur terbaik untuk tujuan tertentu

¢  Forwarding : melewatkan paket data sesuai dengan pilihan jalur terbaik


Mencari jalur terbaik

¢  Jalur ditentukan berdasarkan informasi yang diterima dari protokol routing

¢  Untuk tujuan yang sama, sangat dimungkinkan ada dua atau lebih pilihan jalur l  Hanya pilihan jalur terbaik yang disimpan

pada forwarding table


Mencari jalur terbaik

¢  Proses pemilihan jalur dilakukan secara berkala, atau jika terjadi perubahan topologi jaringan l  Misalnya:

•  ada jalur yang putus •  ada penambahan atau pengurangan perangkat/

jalur


BGP

RoS Routing Information Base


BGP

+

- discard

All Routes

Active Routes

Input Filters

Protocol’s Routes

Route Selection

Output Filters Instance 1

Instance 2

Instance 2

Connected Routes

Static Routes

OSPF

RIP

MME

OSPF

RIP

MME

Instance 1

Instance 2

Instance 2

citraweb2014

05-283

Autonomous System

¢  Kumpulan router dengan kontrol administratif yang sama.

¢  Memiliki AS Number l  2 byte atau 4 byte l  AS64512 – 65534 digunakan untuk

kebutuhan privat


Default Administrative Distance Route Source Distance Connected Interface 0 Static Route 1 Enhanced IGRP Summary Route 5 External BGP 20 Internal Enhanced IGRP 90 IGRP 100 OSPF 110 IS-IS 115 RIP 120 EGP 140 External Enhanced IGRP 170 Internal BGP 200 Unknown 255


BGP



05-286

BGP

¢  Border Gateway Protocol ¢  Menggunakan TCP port 179 ¢  Saat ini sebagai protokol EGP utama,

menghubungkan antar backbone internet ¢  Update routing dengan “incremental

updates” ¢  Merupakan “path vector protocol”

l  kalkulasi jalur berdasarkan panjang path


BGP General Operation

¢  Mendengar dan mempelajari semua path, baik dari IGP maupun EGP

¢  Memilih best path dan mengaktifkannya ke forwarding table

¢  Best path dikirimkan ke external BGP neighbor

¢  Filter/policy bisa diterapkan untuk mengatur proses pemilihan best path


BGP - RFC ¢  RFC 4271 Border Gateway Protocol 4 ¢  RFC 4456 BGP Route Reflection ¢  RFC 5065 Autonomous System Confederations for BGP ¢  RFC 1997 BGP Communities Attribute ¢  RFC 2385 TCP MD5 Authentication for BGPv4 ¢  RFC 5492 Capabilities Advertisement with BGP-4 ¢  RFC 2918 Route Refresh Capability ¢  RFC 4760 Multiprotocol Extensions for BGP-4 ¢  RFC 2545 Use of BGP-4 Multiprotocol Extensions for

IPv6 Inter-Domain Routing ¢  RFC 4893 BGP Support for Four-octet AS Number

Space


Demarcation Zone (DMZ)


AS1 AS2

AS3

Network/link antar AS

citraweb2014

05-290

BGP Capabilities

¢  BGP speaker akan mengadvertise tipe data tertentu yang disupport router tersebut

¢  Router akan mengirimkan notifikasi apabila menerima tipe data yang tidak disupport

¢  Peering akan dilakukan bila kedua router dapat mensupport tipe data yang sama

¢  Beberapa hal yang dapat dilakukan routerOS: l  Route refresh l  Multi protocol extention l  4 byte AS


BGP Transport

¢  Dilakukan dengan mempertukarkan NLRI (network layer reachability information)

¢  NLRI mengandung prefix dan atribut yang menyertainya

¢  TCP 179 ¢  Saat pertama kali terkoneksi (initial

exchange), router akan bertukar semua informasi routing yang dimiliki

¢  Update secara incremental dilakukan sesudahnya (menjaga versi routing table)


Format Protocol

¢  Paket data BGP terbagi menjadi 4 bagian: l  Markers (128bits) – untuk otentikasi l  Length (16 bits) l  Type (8bits) – BGP message type l  Message body


BGP States


1. Idle

2. Connect

3. Active

4. OpenSent

5. OpenConfirm

6. Established KEEPALIVE UPDATE

akan mulai

menunggu koneksi TCP

berusaha mendapatkan peer

OPEN

KEEPALIVE

KEEPALIVE

citraweb2014

05-294

Tipe Pesan BGP

¢  Open – adalah pesan pertama yang dikirimkan setelah koneksi TCP terbentuk, berisi daftar kemampuan. Dikonfirmasi dengan keepalive.

¢  Keepalive – tidak berisikan data, dikirimkan untuk menjaga supaya hold timer tidak expired.

¢  Update – berisikan data perubahan routing (NLRI dan Path Attributes)

¢  Notification – dikirimkan saat ada kondisi error, berisikan kode error dan subcode


BGP Session & Update


BGP Advertisement

Agar Network 100 dapat berkomunikasi dengan Network 200, maka:


AS100 AS200

Net100 Net200

AS100 harus mengadvertise ke AS200 AS200 harus menerima advertise dari AS100

AS200 harus mengadvertise ke AS100 AS100 harus menerima advertise dari AS200

citraweb2014

05-297

Tipe BGP

¢  Exterior BGP (eBGP) l  dilakukan antar 2 router yang berbeda AS

¢  Interior BGP (iBGP) l  dilakukan antar 2 router dengan AS yang sama


AS100 AS200

AS300

AS400

eBGP

eBGP

iBGP

citraweb2014

05-298

Path Vector

¢  Network dalam 1 AS diperlakukan sebagai 1 titik path

¢  Prefix diadvertise bersama dengan daftar AS terkait, disebut dengan AS Path l  202.65.112.0/24 – AS100,AS200,AS300

¢  Topologi jaringan dalam AS akan tersembunyi

¢  Tidak dapat menjamin loop free di dalam satu AS yang sama


Implementasi Path Vector


AS100 AS200

AS300

1

2 3

menambahkan AS100 ke path

menambahkan AS300 ke path

ditolak karena AS100

sudah ada di path

X

10.10.10.0/24

citraweb2014

05-300

MultiProtocol BGP

¢  BGP awalnya didesain untuk IPv4 ¢  Atribut “Address-Family” ditambahkan

supaya BGP dapat juga membawa tipe pengalamatan yang baru

¢  RouterOS juga mensupport tipe alamat: l  IP à IPv4 l  IPv6 l  L2VPN l  VPN4 l  Cisco style L2VPN


Exterior BGP



05-302

Exterior BGP

¢  Antara 2 router dengan berbeda ASN, untuk mempertukarkan prefix

¢  Hampir selalu dilakukan antara 2 router yang langsung terhubung (direct connected)

¢  Untuk mengimplementasikan routing policy ¢  Bisa menggunakan multihop bila tidak

terhubung langsung ¢  Akan menambahkan AS Path untuk prefix

yang diadvertise ¢  Secara default, next-hop adalah router itu

sendiri


Multihop & TTL

¢  Multihop : diaktifkan jika BGP peer tidak terkoneksi langsung (layer 3), kemungkinan disebabkan adanya router lainnya.

¢  TTL : Banyaknya hop yang diijinkan antar router. Untuk peer yang direct connected, bisa digunakan TTL=1


BGP Peer Multihop=yes, TTL=3

citraweb2014

05-304

Multihop ¢  Hanya berfungsi untuk eBGP dan iBGP

dengan confederation*. ¢  Parameter ini juga berfungsi untuk:

l  melakukan koneksi BGP dengan peer yang tidak satu network.

l  apakah akan menerima prefix dengan atribut NEXT-HOP yang tidak satu subnet dengan IP Address yang digunakan untuk melakukan peer BGP.

l  pengaturan nilai target-scope, sehingga memiliki scope routing IGP.


LAB BGP-1 - Peering

¢  Lakukan konfigurasi dasar sesuai skema ¢  Tidak perlu default route dan src-nat,

informasi routing dijalankan via BGP Peer ¢  Buat instance dan lakukan peer ke router

depan


Nomor meja & kelompok


KELOMPOK Y=1

X=1 X=2 X=3 X=4

KELOMPOK Y=2

X=5 X=6 X=7 X=8

KELOMPOK Y=3

X=9 X=10 X=11 X=12

KELOMPOK Y=4

X=13 X=14 X=15 X=16

KELOMPOK Y=5

X=17 X=18 X=19 X=20

KELOMPOK Y=6

X=21 X=22 X=23 X=24

MEJA GURU

citraweb2014

05-307

Konfigurasi dasar


WLAN1 10.10.10.1/24

WLAN1 10.10.10.2/24

WLAN1 10.10.10.X/24

10.10.10.100/24

ETHER1 192.168.1.1/24

ETHER 192.168.1.2/24

ETHER1 192.168.2.1/24

ETHER 192.168.2.2/24

ETHER1 192.168.X.1/24

ETHER 192.168.X.2/24

AS100

AS1101 AS1102 AS1YXX

MEJA 1 KELOMPOK 1

MEJA 2 KELOMPOK 1

MEJA X KELOMPOK Y

citraweb2014

05-308

Konfigurasi dasar ¢  Pada laptop:

l  Ether : 192.168.X.2/24 l  Gateway : 192.168.X.1 l  DNS : 192.168.X.1

¢  Pada router : l  System identity : Y-XX Nama Peserta l  WLAN : 10.10.10.X/24 (terkoneksi ke depan) l  ETHER1 : 192.168.X.1/24 l  DNS : 10.10.10.100 (allow remote request) l  tidak perlu default route l  tidak perlu src-nat


CLI Basic Config (Meja 1)

/system identityset name="1-01 Dian Sastro" /interface wireless

set mode=station wlan1 band=2ghz-onlyg disabled=no frequency-mode=superchannel scan-list=2502 ssid=MTCINE

/ip address add address=10.10.10.1/24 interface=wlan1 add address=192.168.1.1/24 interface=ether1

/ip dns set allow-remote-requests=yes servers=10.10.10.100


BGP Instance (Meja 1)


citraweb2014

05-311

BGP Peer (Meja 1)


citraweb2014

05-312

CLI Configuration

¢  /routing bgp instance set default as=1101 redistribute-connected=yes redistribute-static=yes

¢  /routing bgp peer add name=peer100 remote-address=10.10.10.100 remote-as=100 default-originate=never


BGP Status & IP Route List


citraweb2014

05-314

BGP Peer Status (Trainer)


citraweb2014

05-315

¢  Lakukan backup konfigurasi ¢  Beri nama “eBGP”


BGP Instance

¢  Jika router-id tidak ditentukan secara manual, secara otomatis akan menggunakan IP address terakhir pada router

¢  Di dalam satu router, bisa terdapat dua buah BGP Instance.

¢  Untuk “menghubungkan” instance yang satu dengan yang lain, aktifkan “redistribute-other-bgp”


BGP dapat mengadvertise routing yang didapatkan dari protokol routing lainnya : connected route, static route, OSPF, RIP, dan BGP instance lainnya di router tersebut.


BGP Instance

¢  ignore-as-path-len l  Jika diaktifkan, maka algoritma BGP di

router tersebut tidak memperhitungkan panjangnya AS Path

¢  out-filter l  Chain filter yang secara default akan

digunakan untuk seluruh peer di instance tersebut

¢  routing-table l  Table routing yang akan digunakan oleh

instance ini


BGP Peer

¢  Instance pada suatu BGP Router, akan terkoneksi ke router lainnya (peer).

¢  Konfigurasi minimum BGP Peer: IP Address, AS.


BGP Peer

¢  Banyak parameter yang bisa dipilih saat membuat sebuah peer.

¢  Detail lengkap mengenai parameter peer dan penjelasannya bisa dilihat di : http://wiki.mikrotik.com/wiki/Manual:Routing/BGP#Peer


LAB 2: BGP Network

¢  Kirimkan prefix : l  172.20.X.0/24 l  10.1XX.0.0/16

¢  Pastikan prefix bisa diterima dari semua router lainnya

¢  Pastikan juga menerima prefix dari router-router lainnya



citraweb2014

05-323

BGP Network

¢  Menginformasikan prefix-prefix yang akan diadvertise dan berasal (originate) dari router tersebut

¢  Berguna jika BGP hanya mengadvertise prefix di BGP Network, tetapi tidak mengadvertise connected route.

¢  Secara bawaan, prefix akan diadvertise jika prefix tersebut aktif di router


BGP Network - Sync

¢  Synchronize=yes : prefix akan diadvertise apabila prefix tersebut ada di dalam routing table router tersebut.

¢  Synchronization dapat dimatikan jika : l  AS tidak memberikan layanan transit l  Semua router transit menjalankan BGP

¢  Menonaktifkan synchronization dapat mempercepat kerja BGP

¢  Berbahaya jika jaringan sering hidup-mati


BGP Network – Sync = yes


Prefix 10.101.0.0/16 ada di router, maka diadvertise

PREFIX YG DITERIMA DI ROUTER LAIN

citraweb2014

05-326

BGP Network – Sync = yes


Prefix 10.101.0.0/16 tidak ada di router, maka tidak diadvertise

PREFIX YG DITERIMA DI ROUTER LAIN

citraweb2014

05-327

BGP Origin

¢  Informasi route origin: l  IGP – interior atau originating AS route. l  EGP – routing didapat dari Exterior

Gateway Protocol l  Incomplete – tidak diketahui asalnya, terjadi

jika route berasal dari routing lainnya


Route List


citraweb2014

05-329

BGP Filter

¢  Untuk mengamankan BGP, kita bisa melakukan filter.

¢  Untuk mengatur data yang masuk (inbound traffic), digunakan out-filter

¢  Untuk mengatur data yang keluar (outbound traffic), digunakan in-filter


BGP & ConnTrack

¢  Connection Tracking di RouterOS tidak dapat menjaga koneksi tetap valid untuk multihomed BGP.

¢  Paket yang terkait dengan sebuah koneksi dapat berjalan melalui jalur yang berbeda

¢  Jangan melakukan drop untuk invalid connection pada firewall

¢  Connection Tracking sebaiknya dimatikan untuk mendapatkan performance yang lebih baik.


LAB 3 : BGP in-filter

¢  Router Guru akan mengirimkan prefix : l  /6, /16, /23, /27

¢  Pastikan prefix yang diterima hanya /8-/24


citraweb2014

05-332

Prefix Belum Difilter


citraweb2014

05-333

Buat Routing Filter (accept)


Buat Routing Filter (discard)


Pilih In-Filter di BGP Peer


Routing Table Setelah Filter


Discard / Reject?

¢  discard – router akan benar-benar mengabaikan prefix tersebut dalam proses berikutnya. Jika di pososi in-filter, prefix ini benar-benar diabaikan/dilupakan.

¢  reject – prefix tersebut diabaikan. l  Untuk in-filter, prefix tersebut tetap disimpan

di memory, tetapi ditandai non-aktif. l  Untuk out-filter, efeknya sama dengan

discard


BGP Soft Reconfiguration

¢  Jika menggunakan discard, routes tidak akan diupdate jika filter ada yang diubah. l  Gunakanlah action=reject supaya prefix

masih tersimpan di memory l  Atau, jika peer memiliki kemampuan

refresh, lakukan refresh route secara manual.


¢  Referensi lebih detail mengenai route filter: http://wiki.mikrotik.com/wiki/Manual:Routing/Routing_filters


BGP Community

¢  Adalah atribut yang melekat pada suatu prefix, router peer bisa melakukan action tertentu (filter) pada group prefix ini

¢  Default groups: l  No-export – tidak diadvertise ke eBGP l  No-advertise – tidak diadvertise ke

manapun l  Internet – di advertise ke Internet

community l  Local-as – tidak diadvertise ke AS yang lain


LAB 4: BGP Community

¢  Buatlah sebuah filter dengan atribut community, untuk mencegah router AS100 melakukan advertise prefix apapun yang didapat dari router siswa


LAB BGP Community


BGP Community

¢  Bisa juga menggunakan format 32 bit “xx:yy” ¢  Memberikan lebih banyak kemungkinan

melakukan kontrol ¢  Dapat digunakan oleh ISP untuk:

l  parameter penambahan AS Path l  restriksi geografis l  Blackhole

¢  Informasi community dapat juga dimasukkan ke Internet Routing Registry (IRR)


Contoh Community

¢  AS100 membuat 2 community: l  100:500 : advertise ke semua peer l  100:501 : advertise hanya ke AS400


AS300

ISP AS100

AS400

AS500 10.1.1.0/24 community 100:500 10.2.2.0/24 community 100:501

citraweb2014

05-345

Contoh #AS300 router config /routing bgp peer set toAS100 out-filter=bgp-out-as100 /routing filter add prefix=10.1.1.0/24 action=accept\

chain=bgp-out-as100 set-bgp-communities=100:500 add prefix=10.2.2.0/24 action=accept\

chain=bgp-out-as100 set-bgp-communities=100:501 # AS100 router config /routing bgp peer set toAS500 out-filter=bgp-out-as500 /routing filter add bgp-communities=100:501 action=discard\

chain=bgp-out-as500


IRR


Lab 5: Community Blackhole

¢  Buat network dan advertise IP Laptop /32 ¢  Buatlah community 100:444 untuk network

tersebut ¢  Router guru akan melakukan blackhole

untuk semua prefix dengan community 100:444


Konfigurasi Meja 1


Konfigurasi Meja Guru


Advertisement yang diterima


¢  Untuk alasan keamanan: l  Tidak semua peer dapat menggunakan

sistem blackhole seperti ini l  Biasanya backbone akan melimit prefix

hanya /25-/32, supaya tidak tercampur dengan advertisement yang valid

l  Saat melakukan advertisement, pastikan tidak mengirimkan IP Privat, lakukan filtering dengan ketat.


Extended Community

¢  Digunakan untuk menambahkan beberapa parameter pada L2VPN dan VPNv4

¢  Parameter yang bisa ditambahkan: l  Route Targets l  Site of Origin l  Control flags l  MTU Encapsulation flags


BGP Multi Gateway

¢  Pertukaran informasi routing yang dilakukan antar router, juga dapat dimanfaatkan untuk melakukan failover pada beberapa gateway yang tersedia.

¢  Penentuan prioritas gateway (inbound dan outbound) dilakukan dengan Route Filter


LAB 6: BGP Multi Gateway


WLAN1

10.10.10.100/24

ETHER2 10.Y.1.1/30

ETHER3 10.Y.1.2/30

AS100

AS1YXX

AS1YXX

MEJA 1 KELOMPOK Y

MEJA 3 KELOMPOK Y

ETHER2 10.Y.2.1/30

ETHER3 10.Y.2.2/30

ETHER3 10.Y.3.2/30

ETHER2 10.Y.3.1/30

WLAN1

MEJA 2 KELOMPOK Y

MEJA 4 KELOMPOK Y

AS1YXX

AS1YXX

citraweb2014

05-355

Konfigurasi Kelompok 1


WLAN1

10.10.10.100/24

ETHER2 10.1.1.1/30

ETHER3 10.1.1.2/30

AS100

AS1101

AS1102

MEJA 1 KELOMPOK 1

MEJA 3 KELOMPOK 1

ETHER2 10.1.2.1/30

ETHER3 10.1.2.2/30

ETHER3 10.1.3.2/30

ETHER2 10.1.3.1/30

WLAN1

MEJA 2 KELOMPOK 2

MEJA 4 KELOMPOK 1

AS1103

AS1104

citraweb2014

05-356

BGP Multi Gateway

¢  Non-aktifkan WLAN di R2 dan R3 pada tiap kelompok

¢  Hubungkan R1-R2, R2-R3, R3-R4 sesuai dengan topologi

¢  Buat BGP Peer baru R1-R2, R2-R3, R3-R4 ¢  Amati tabel routing yang terbentuk ¢  Lakukan test fail over dan amati perubahan

pada tabel routing


Konfigurasi

Meja Guru (kondisi normal)


citraweb2014

05-358

Default Originate

¢  Never – tidak akan pernah mengirimkan default route. Biasanya digunakan jika terkoneksi ke backbone, private peer, atau internet exchange.

¢  Always – selalu akan mengirimkan default route ke peer

¢  If Installed – akan mengirimkan default route, hanya jika router tersebut memiliki default route aktif.


Implementasi Def Originate

¢  AS100 ke peer lain : always/if-installed ¢  R1, R2, R3, R4 ke AS100 : never ¢  R1 ke R2 : if-installed ¢  R2 ke R1, R2 ke R3 : if-installed ¢  R3 ke R2, R3 ke R4 ; if-installed ¢  R4 ke R3 : if-installed


Jika ada perubahan link

Jika wlan di R1 terputus


citraweb2014

05-361

¢  Pastikan semua konfigurasi telah terpasang dengan baik.

¢  Back up konfigurasi ¢  Beri nama “eBGP-multi-gateway”


Algoritma Keputusan BGP

¢  BGP hanya menggunakan satu jalur terbaik ke tujuan tertentu

¢  BGP selalu menginformasikan best path nya ke neighbor

¢  Beberapa atribut digunakan untuk menentukan best path: weight, next-hop, as-path, local- pref dll.


Urutan Prioritas ¢  Next-hop validation ¢  Highest WEIGHT (default 0) ¢  Highest LOCAL-PREF (default 100) ¢  AS-PATH yang lebih pendek ¢  Locally originated path (aggregate, BGP network) ¢  Lowest origin type (IGP,EGP,Incomplete) ¢  Lowest MED (default 0) ¢  Prefer eBGP over iBGP ¢  Prefer the route with lowest router ID or

ORIGINATOR_ID ¢  Shortest route reflection cluster (default 0) ¢  Prefer the path that comes from the lowest neighbor

address


AS Path

¢  Urutan AS yang dilewati sebuah paket ¢  AS Path dapat dimanipulasi untuk

pengarahan trafik (prioritas) -> prepend


AS400

AS300

AS100

AS200

AS-Path: 100 AS-Path: 200,100

AS-Path: 300,200,100

10.0.0.0/16

citraweb2014

05-365

AS Path Prepend


AS100 AS200

AS300

172.16.0.0/24 AS-Path: 100,300,300

172.16.0.0/24 AS-Path: 200,300

Prepend: 2

172.16.0.0/24

citraweb2014

05-366

LAB 7: AS Path Prepend

Buatlah AS Path Prepend untuk mengatur semua arah trafik searah jarum jam.


AS100

R4

R3 R2

R1

citraweb2014

05-367

Konfigurasi

¢  Lihat di router, second route memiliki AS Path dengan panjang 4

¢  Contoh, di R1, untuk mencapai R2 melalui jalur secondary, akan melewati 3 AS lain (AS100, R4, R3), sehingga total menjadi 4.

¢  Peer ke router searah jarum jam perlu dilakukan prepend sebanyak 4, sehingga nantinya menjadi 5.


Trafik Dari R2 ke R1


AS100

R4

R3 R2

R1

AS2

AS2

AS3, AS2

AS4, AS3, AS2 AS100,AS4, AS3, AS2

citraweb2014

05-369

Trafik Dari R2 ke R1


AS100

R4

R3 R2

R1

AS2,AS2,AS2,AS2,AS2

AS2

AS3, AS2

AS4, AS3, AS2 AS100,AS4, AS3, AS2

BGP Prepend 4 citraweb2014

05-370

Buat filter prepend


citraweb2014

05-371

¢  Pasang filter prepend untuk peer di arah berlawanan jarum jam l  R1 memasang prepend di peer ke R100 l  R2 memasang prepend di peer ke R1 l  R3 memasang prepend di peer ke R2 l  R4 memasang prepend di peer ke R3


Route List


Router 1

Router 2

Router 3

Router 4

Router Depan

05-373

LAB 8: Weight/AS Filtering

¢  Router depan tidak melakukan prepend apapun. Akibatnya ?

¢  Trafic dari R4 ke R100 tetap langsung ke 10.10.10.100, tidak melalui R3, R2, R1.

¢  Cara mengatasinya??


R4 citraweb2014

05-374

Weight

¢  Atribut yang hanya dapat digunakan dalam 1 router ¢  Yang nilainya lebih tinggi menang (default 0) ¢  Weight ditambahkan pada prefix menggunakan filter


AS100

AS300

AS200

172.16.0.0/24 Weight=100

172.16.0.0/24 Weight=50

citraweb2014

05-375

sasongko

Highlight

sasongko

Highlight

sasongko

Typewritten text

50

sasongko

Typewritten text

100

sasongko

Cross-Out

sasongko

Cross-Out

Weight

Di R4, kita bisa menambahkan weight untuk prefix yang diterima dari R3 (dengan origin R100)


AS Path Filtering

¢  Dapat digunakan untuk memilih prefix berdasarkan AS Path

¢  Dapat menggunakan regular expression l  “.” - any single character l  “^” - start of the as-path l  “$” - end of the as-path l  “_” - matches comma, space, start and end

of as-path


Contoh AS Path Filtering

AS Path : 400,100,1000,200,350,50


Yang berasal dari AS50 _,50$ Yang melalui AS100 _,100,_ AS terakhir adalah 400 ^400,_

05-378

Route List R4

Setelah diberi atribut weight, dari R4 menuju ke R100 akan melalui R3, R2, R1, karena routing tersebut memiliki weight lebih besar dari pada jalur R4 langsung ke R100.


BGP: Aggregation

¢  Untuk mengagregasi trafik, tidak semua prefix diteruskan.

¢  Prefix yang diagregasi harus berasal dari satu BGP instance


AS100

AS200

AS300 AS400

192.168.1.0/24

192.168.2.0/24

192.168.0.0/16

05-380

Konfigurasi

¢  Konfigurasi ini bisa dicoba pada R1 dan R4


BGP: Stub Network

¢  Single homed l  Menggunakan private AS (>64511) l  ISP hanya memberi default route l  Tidak benar-benar memerlukan BGP l  ISP yang akan mengadvertise network l  Policy jaringan sama dengan ISP


BGP: Stub Network

¢  Multihomed (ke satu AS) l  sama dengan kondisi single homed l  BGP dapat digunakan untuk failover/load

balance


Private AS Removal

Jika kita menggunakan private AS di network kita, pastikan kita tidak meneruskan AS Path yang mengandung private AS tersebut.


AS65000

AS65001

AS300 AS400

192.168.1.0/24

192.168.2.0/24

192.168.0.0/16 AS Path: 300

citraweb2014

05-384

Private AS Removal


BGP: Non-Stub Network

¢  Network berdiri sendiri (memiliki policy tersendiri)

¢  Membutuhkan IP Address dan ASN yang didapat dari RIR atau NIR

¢  Dapat digunakan untuk failover/ load balance/dll


Pengamanan BGP Peer

¢  Gunakan MD5 Auth ¢  Terima hanya IP blok yang dimiliki oleh

peer. Contoh, ISP A memiliki IP Address 172.16.16.0/21. Filter:172.16.16.0/21 prefix: 21-24 accept, lainnya discard

¢  Discard semua IP Bogon ¢  Discard default route ¢  Untuk IX, hanya terima prefix 24-8.


Kuis

¢  Dalam sebuah router MikroTik, bisakah membuat dua buah BGP instances dengan AS number yang sama?

¢  Bagaimana cara BGP menghindari looping routing?

¢  Atribut manakah yang dikirimkan antar router BGP? Pilih: weight, as-path, next-hop, community

¢  Jelaskan mekanisme Path Vector!


sasongko

Typewritten text

Menggunakan routing path vector

sasongko

Cross-Out

sasongko

Typewritten text

ya,

sasongko

Highlight

sasongko

Highlight

sasongko

Cross-Out

sasongko

Underline

sasongko

Underline

sasongko

Highlight

sasongko

Typewritten text

menambahkan path as yang dilaluinya.

¢  Mungkinkah menghubungkan 2 BGP berbeda AS, dengan multihop=no dan TTL=255 jika IP address kedua router tersebut berbeda subnet?

¢  Bagaimana cara membatasi jumlah prefix yang dapat di advertise sebuah peer?


sasongko

Typewritten text

Tidak, dikarenakan status multihop nya NO, walaupun TTL 255 (bisa melewati 255 HOP).

sasongko

Typewritten text

Set Max Prefix Limits pada tab peer.

Interior BGP (iBGP)



05-390

Internal BGP (iBGP)

¢  Peering antar router dengan ASN yang sama

¢  Semua router dalam AS yang sama harus saling “peering”, meskipun secara fisik tidak harus saling terkoneksi (full mesh peering).


iBGP Peering


AS100

citraweb2014

iBGP membutuhkan full mesh peering.

05-392

Karakteristik iBGP

¢  Prefix diterima via iBGP tanpa AS Path ¢  Prefix yang diterima via iBGP tidak

diteruskan ke peering iBGP lainnya


R2 R4 AS200 R3

Mengadvertise 0/0

0/0 AS-Path: -- Next-hop: R2

tidak menerima 0/0

iBGP iBGP

citraweb2014

05-393

Karakteristik eBGP & iBGP

¢  Prefix dari R1 akan diteruskan oleh R2 ke R3: l  tidak menambahkan AS Path l  next-hop nya adalah R1, perlu diubah dengan

default-originate=force-self 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id

R1 R2 R4

AS200

AS100

R3 0/0

0/0 AS-Path: 100 Next-hop: R1

0/0 AS-Path: 100 Next-hop: R1

tidak menerima 0/0

eBGP

iBGP iBGP

citraweb2014

05-394

LAB 9: iBGP


WLAN1

10.10.10.100/24

ETHER2 10.Y.1.1/30

ETHER3 10.Y.1.2/30

AS100

ASY000

MEJA 1 KELOMPOK Y

MEJA 3 KELOMPOK Y

ETHER2 10.Y.2.1/30

ETHER3 10.Y.2.2/30

ETHER3 10.Y.3.2/30

ETHER2 10.Y.3.1/30

WLAN1

MEJA 2 KELOMPOK Y

MEJA 4 KELOMPOK Y

citraweb2014

05-395

IP Address untuk Peering

¢  Peering dengan menggunakan IP Address yang ada di interface, menyebabkan ketergantungan terhadap 1 link fisik. l  Jika link tersebut putus, sulit untuk fail over

melalui link yang lain. l  IP dan prefix tersebut juga akan invalid

¢  Untuk peering antar router iBGP, sangat disarankan untuk menggunakan IP Loopback


IP Loopback

¢  IP yang dipasang pada router dan tidak tergantung pada salah satu interface fisik l  di RouterOS bisa dilakukan dengan

memasang IP pada interface bridge yang independen

¢  IP Loopback dibutuhkan apabila kita hendak menggunakan iBGP ataupun multihop BGP. l  Peering tetap dapat terhubung meskipun

salah satu interface down


IP Loopback

¢  Melakukan peering eBGP menggunakan Loopback address dapat mengurangi resiko BGP terkena DOS attacks

¢  Setting peer to loopback address can force BGP to install ECMP route (for load balancing)


IP Loopback


ETHER1 192.168.0.1/24

ETHER2 192.168.2.1/24

ETHER3 192.168.4.1/24

BRIDGE1 172.16.0.1

05-399

Alokasi IP Loopback /32


Kelompok 1 Meja 01 172.16.1.1 Meja 02 172.16.1.2 Meja 03 172.16.1.3 Meja 04 172.16.1.4






IP Loopback dipasang di interface “bridge-LO”

05-400

OSPF dan iBGP

¢  Untuk mendistribusikan IP Loopback supaya bisa dikenali semua router, gunakanlah OSPF l  Lakukanlah OSPF :

R1 – R2, R2 – R3, R3 – R4 ¢  Lakukan OSPF Filter untuk memastikan

prefix yang terkirim hanya IP Loopback ¢  Lalu lakukan iBGP Peering :

R1 – R2, R2 – R3, R3 – R4


Buat IP Loopback

¢  Buat interface “bridge-LO”

¢  Tambahkan IP Loopback di “bridge-LO”


OSPF Network (Kelompok 1)


R1 R2

R3 R4

05-403

OSPF Filter

Filter OSPF digunakan untuk memastikan hanya IP Loopback yang terdistribusi via OSPF


Route List R1


BGP Peer: Update Source

¢  Secara default source IP Address yang digunakan BGP untuk peering menggunakan IP yang ada di out-interface.

¢  Karena BGP Peer akan dilakukan menggunakan IP Loopback, source address diubah menggunakan IP di interface Loopback


BGP Instance : Router ID

¢  Jika kita menggunakan IP Loopback untuk BGP, biasanya kita juga akan menggunakan IP Loopback ini sebagai Router ID


BGP Peer Configuration R1

/routing bgp peer add hold-time=10s name=peer100 remote-address=10.10.10.100 remote-as=100

add name=peer-to-R2 default-originate=if-installed remote-address=172.16.1.2 remote-as=1000 update-source=bridge-LO


Route List R1


Periksa di R2 dan R3

¢  R2 dan R3 mendapatkan default route yang invalid, karena “gateway unreachable”


Periksa di R2 dan R3

¢  Untuk mengatasinya: l  di R1, pada peer ke R2 l  di R4, pada peer ke R3 l  dibuat Nexthop-Choice = force self


¢  Pastikan R2 dan R3 sudah memiliki default route yang aktif

¢  Lakukanlah back-up konfigurasi (tulis nama file backup “iBGP-non-mesh”)


Periksa prefix yg diterima

l  R1 tidak mendapatkan prefix R3 dan R4 l  R2 tidak mendapatkan prefix R4 l  R3 tidak mendapatkan prefix R1 l  R4 tidak mendapatkan prefix R1 dan R2

¢  Periksalah juga, AS Path yang melekat pada prefix yang diterima dari iBGP


Ingat! Semua router dalam iBGP harus saling melakukan peer secara mesh, karena iBGP

tidak melakukan re-advertise prefix yang juga diterima dari iBGP.

05-413

iBGP : Mesh!

¢  Secara teoritis, semua router iBGP harus saling melakukan peer, supaya semua prefix bisa diterima oleh semua router

¢  Untuk mempermudah proses routing, lakukan force-self


LAB 10: Mesh iBGP Peer


WLAN1

10.10.10.100/24

ETHER2 10.Y.1.1/30

ETHER3 10.Y.1.2/30

AS100

ASY000

MEJA 1 KELOMPOK Y

MEJA 3 KELOMPOK Y

ETHER2 10.Y.2.1/30

ETHER3 10.Y.2.2/30

ETHER3 10.Y.3.2/30

ETHER2 10.Y.3.1/30

WLAN1

MEJA 2 KELOMPOK Y

MEJA 4 KELOMPOK Y

citraweb2014

05-415

BGP Peer R1 & R2


ROUTER 1

ROUTER 2

05-416

BGP Peer R3 & R4


ROUTER 3

ROUTER 4 05-417

iBGP vs eBGP

Dari R1 dan R4 ke R100 akan melalui wlan, karena prefix 0/0 diperoleh via eBGP (distance 20), sedangkan alternate route 0/0 via iBGP (distance 200)


Local Preferences

¢  Digunakan sebagai atribut untuk router dengan AS yang sama untuk mengontrol seleksi BGP Path, menentukan best path untuk traffic outbound

¢  Tidak dapat dikirimkan ke AS lainnya ¢  Default local preferences: 100 ¢  Path yang memiliki nilai lebih besar

menang


LAB 11: Local Preferences


WLAN1

AS100

ASY000

MEJA 1

MEJA 3

WLAN1

MEJA 2

MEJA 4 citraweb2014

0/0 Local-Pref = 200

0/0 Local-Pref = 100

Buatlah agar trafik dari R1, R2, R3 ke R100 melalui R4 (wlan)

05-420

Konfigurasi R4

¢  Membuat in-filter di R4 untuk peer ke R100


citraweb2014

05-421

Konfigurasi R4

Memasang in-filter di R4 pada

peer ke R100


citraweb2014

05-422

Route List di R1

Sebelum ada local-pref Sesudah ada local-pref Hal yang sama akan juga mempengaruhi R2 dan R3 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-423

Atribut BGP-MED

¢  Multi Exit Discriminator atau Metric – petunjuk yang diberikan ke external neighbor mengenai jalur inbound yang diprioritaskan

¢  Metric yang lebih kecil adalah prioritas (Default: 0)

¢  Pertukaran data MED antar 2 AS tidak diteruskan ke AS lainnya

¢  Akan diabaikan jika MED diterima dari AS yang berbeda


Contoh Implementasi MED


AS100

AS200

AS300

R1

R2 R3

R4

med=100

med=50

med=10

R1, R2, dan R3 mengadvertise network yang sama (originate dari AS200) ke R4 dengan nilai MED yang berbeda. Untuk memilih jalur dari R4 ke network tersebut, R4 akan membandingkan nilai MED yang didapat dari R2 dan R3. MED dari R4 akan diabaikan karena berasal dari AS yang berbeda.

citraweb2014

05-425

LAB 12: BGP - MED


WLAN1

AS100

ASY000

MEJA 1

MEJA 3

WLAN1

MEJA 2

MEJA 4 citraweb2014

Buatlah agar trafik dari R100 ke R1, R2, R3, R4 melalui R4 (wlan)

Default MED = 0 MED = 50

05-426

Konfigurasi di R1 ¢  Membuat out-filter di R1 untuk peer ke R100


citraweb2014

05-427

Konfigurasi di R1

Memasang out-filter di R1 pada peer ke R100


citraweb2014

05-428

Route List di R100


Sebelum ada MED (default MED=0) Setelah ada MED=50 dari R1

Dengan menggunakan MED, kita bisa menginformasikan prioritas yang diinginkan untuk inbound traffic dari AS tertentu (jika tersedia dua jalur ke AS tersebut tanpa melalui AS lainnya)

citraweb2014

05-429

Ribet dengan Full Mesh?

¢  Secara default, kita harus melakukan full mesh untuk network iBGP.

¢  Namun, jika jumlah router banyak, sulit untuk melakukan full mesh.

¢  Beberapa hal yang bisa dilakukan supaya kita tidak perlu melakukan full mesh: l  Route Reflect l  Confederation


Route Reflect

¢  Digunakan untuk membagi network iBGP menjadi beberapa cluster dan tidak perlu melakukan full mesh ke semua router.

¢  Mengurangi trafik komunikasi BGP, karena jumlah peer berkurang

¢  Mengurangi jumlah data per message, karena hanya best path yang disampaikan


BGP Instance untuk RR

¢  Konfigurasi “client-to-client-reflection” pada Router reflector harus aktif.

¢  Cluster-id bisa digunakan untuk menulis identitas router, terutama kalau ada 2 reflector di dalam satu cluster, untuk menghindari routing loop. Namun sangat jarang digunakan dan biasanya diisi dengan router-id.


Topologi Route Reflect


ROUTE REFLECTOR

ROUTE REFLECTOR

RR CLIENT

RR CLIENT RR CLIENT

RR CLIENT

RR CLIENT

RR CLIENT

citraweb2014

05-433

Mekanisme RR

¢  Reflector menerima prefix/path dari client dan non-client

¢  Melakukan pemilihan best path ¢  Jika best path dari client, path tersebut

akan direfleksi ke client lainnya dan non-client

¢  Jika best path dari non-client, maka path tersebut hanya akan direfleksikan ke client

¢  Client dapat berbentuk mesh ataupun tidak


Topologi RR

¢  Network dibagi menjadi beberapa cluster ¢  Harus ada paling tidak 1 reflector setiap

cluster ¢  Reflector haruslah full mesh ¢  1 client bisa tergabung dalam lebih dari 1

cluster


LAB 13: Route Reflect


WLAN1

AS100

ASY000

MEJA 1

MEJA 3

WLAN1

MEJA 2

MEJA 4

citraweb2014

05-436

LAB RR

¢  Tidak melakukan full mesh: l  R1 hanya peer ke R100 dan R2 l  R2 hanya peer ke R1 dan R3 l  R3 hanya peer ke R2 dan R4 l  R4 hanya peer ke R3 dan R100

¢  R2 dan R3 menjadi Reflector l  Aktifkan Client-toclient Reflection di BGP

Instance l  Aktifkan Route-Reflect pada peer:

•  Dari R2 ke R1 •  Dari R3 ke R4


BGP Instance


Aktifkan Client To Client Reflection

05-438

BGP Peer

Hanya pada peer di: ¢  R2 ke R1 ¢  R3 ke R4


Pastikan R2 dan R3 mendapatkan default route Pastikan R1 bisa terkoneksi ke R4

Aktifkan Route Reflect

citraweb2014

05-439

BGP: Confederation

¢  Digunakan untuk membagi sebuah AS menjadi beberapa AS (melakukan eBGP di jaringan iBGP).

¢  Dari luar AS, tetap terlihat sebagai 1 AS ¢  AS Path di dalam confederation ditulis

dengan tanda kurung : (1001,1002,1003) ¢  Propagasi prefix seperti iBGP, next-hop

eBGP dipertahankan. Perlu melakukan Nexthop-Choice : force-self


BGP Confederation


AS100

AS200 AS300

AS400 AS500

AS101

AS102

AS103

AS-Path: 300,100

AS-Path: (102,103)

R1

R2

R3 R4

R5

R6

R9

R8

R9

R10

citraweb2014

05-441

LAB 14: BGP Confederation


WLAN1

AS100

ASY000

MEJA 1

MEJA 3

WLAN1

MEJA 2

MEJA 4

citraweb2014

ASY001

ASY002 ASY003

ASY004

05-442

LAB : BGP Confederation

¢  Tidak melakukan full mesh: l  R1 hanya peer ke R100 dan R2 l  R2 hanya peer ke R1 dan R3 l  R3 hanya peer ke R2 dan R4 l  R4 hanya peer ke R3 dan R100

¢  Untuk peering antar sub AS (confederation), aktifkan multihop=yes, karena peering dilakukan dengan IP Loopback

¢  Pastikan dari R1 bisa ke R4, dan dari R2 dan R3 bisa ke internet


BGP Instance (Meja 1)


Masukkan sub AS

Masukkan AS

Masukkan sub AS yang akan peer

citraweb2014

05-444

BGP Peer (R1 ke R2)


Masukkan sub AS

Gunakan force-self

Gunakan Multihop = yes

citraweb2014

05-445

Prefix dari R4 di R1


citraweb2014

05-446

Prefix dari R3 di R100


citraweb2014

05-447

Kuis

¢  Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?

¢  Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?

¢  AS100 memiliki 2 jalur ke AS300. Satu jalur terkoneksi langsung, dan satu jalur melalui AS200. Bisakah kita menggunakan atribut MED?


sasongko

Cross-Out

sasongko

Typewritten text

outbound

sasongko

Typewritten text

Gunakan local pref

sasongko

Typewritten text

Gunakan MED

sasongko

Typewritten text

Bisa,

Kuis

¢  Pada jaringan iBGP, setiap prefix melewati sebuah router, maka router tersebut akan menambahkan AS pada AS-Path. (Benar/Salah)

¢  Apa yang bisa dilakukan supaya jaringan iBGP tidak perlu full mesh?

¢  Apa saja perbedaan perilaku iBGP dan eBGP?


sasongko

Typewritten text

Salah, pada default ibgp set tidak mengadvertise path Harus menggunakan confederation

sasongko

Typewritten text

menggunakan route-reflector atau confederation

Terima Kasih!

Jangan lupa follow :


@mikrotik_id

05-450

APNIC Training Routingds

Documents

Transcript of APNIC Training Routingds