apnic training routingds
DESCRIPTION
dasddsdsdsdTRANSCRIPT
APNIC TRAINING Routing Class
APNIC Training - Routing Class Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Mikrotik Indonesia http://www.mikrotik.co.id
Jadwal Training
00-2 3-Sep-15
SESI 1 SESI 2 SESI 3 SESI 4
DAY 1 BASIC CONFIG STATIC ROUTE + LAB
DAY 2 TUNNEL + LAB LOAD BALANCE + LAB
DAY 3 OSPF + LAB
DAY 4 BGP
DAY 5 BGP
Mikrotik Indonesia http://www.mikrotik.co.id
Trainers ¢ Valens Riyadi
l MTCNA (2004), Certified Consultant (2005) l Certified Trainer (2006), MTCRE (2008) l MTCTCE (2009), MTCUME (2009), l MTCINE (2010)
¢ Novan Chris l MTCNA (2006), Certified Trainer (2008) l MTCWE (2008), MTCRE (2008) l MTCTCE (2011), MTCINE (2012) , MTCUME
(2012)
00-3 3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id
Trainers ¢ Adyatma Yoga Kurnia
l MTCNA (2010), l MTCTCE (2013),MTCRE (2014),
00-4 3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id
Perkenalan ¢ Perkenalkanlah :
l Nama Anda : l Tempat Bekerja : l Kota / Domisili : l Apa yang Anda kerjakan sehari-hari dan
fitur-fitur apa yang ada di Mikrotik yang sudah Anda gunakan.
l Motivasi mengikuti training.
00-5 3-Sep-15
Static Route & Policy Route
APNIC Training - Routing Class Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Outline ¢ Basic Config ¢ Routing Concepts ¢ Routing Parameters ¢ Routing Table ¢ Point to Point Addressing ¢ Check Gateway ¢ SCOPE & Target SCOPE ¢ SRC-Routing ¢ Policy Routing
l Route – Rules l Route – Firewall – Route Mark
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-7
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Lakukanlah terlebih dahulu! ¢ Ubahlah nama Router System Identity
menjadi : “XX-NAMA ANDA”
¢ Aktifkan neighbor interface pada WLAN1 ¢ Buatlah username baru untuk anda dan
berilah password (group full) ¢ Proteksilah user admin (tanpa password)
hanya bisa diakses dari 10.10.10.30/31 (group full)
¢ Buatlah user “demo” dengan group read
01-8
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-1] System Identity ¢ Supaya tidak membingungkan, ubahlah nama
router Anda. ¢ Format: xx-NamaAnda
01-9
[LAB-2] Activate Neighbor Protocol
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-10
Aktifkan Discovery Interface agar router bisa saling mendeteksi di layer 2 menggunakan MNDP
[LAB-3] User Configuration
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Persiapkan User di Router mikrotik supaya siap di semua kegiatan lab training.
01-11
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-4] Konfigurasi Dasar
ETHER1 192.168.1.1/24
ETHERNET PORT 192.168.1.2/24
WLAN1 10.10.10.1/24
Internet
ETHER1 192.168.2.1/24
ETHERNET PORT 192.168.2.2/24
WLAN1 10.10.10.2/24
ETHER1 192.168.X.1/24
ETHERNET PORT 192.168.X.2/24
WLAN1 10.10.10.X/24
MEJA 1 MEJA 2 MEJA X 01-12
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
IP Configuration ¢ Routerboard Setting
l WAN IP : 10.10.10.x/24 l Gateway : 10.10.10.100 l LAN IP : 192.168.x.1/24 l DNS : 10.100.100.1 l Services: Src-NAT and DNS Server
¢ Laptop Setting l IP Address : 192.168.x.2/24 l Gateway : 192.168.x.1 l DNS : 192.168.x.1
01-13
Laptop Config Konfigurasi ip-address statik pada laptop.
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-14
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
First Setup ¢ Hubungkan port ethernet Laptop Anda
dengan ether1 pada Routerboard. ¢ Pastikan ethernet port di laptop Anda
memiliki IP statik ¢ Jalankan program winbox.exe, klik pada
tombol [...] untuk melihat router Anda.
04-15
First Setup ¢ Terdapat “default-configuration” pada RouterBoard
keluaran terbaru ¢ Biasanya, pada RouterBoard dengan 5 port
ethernet atau lebih terdapat config : l Ether2-ether5 dan wireless (jika ada) dikonfigurasi mode
switch dengan ip 192.168.88.1/24 l Interface wireless (jika ada) menerapkan authentication
(WPA/WPA2) l Ether1 tidak dapat diremote, gunakan port ether lain.
¢ Jika tidak dibutuhkan bisa dihapus pada saat awal remote Router atau dengan perintah :
/system reset-configuration no-defaults=yes 9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-16
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
Config System Identity ¢ Supaya tidak membingungkan, ubahlah nama
router Anda. ¢ Format: xx-NamaAnda ¢ Contoh: 30-Pujo-Dewobroto
04-17
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
Wireless Config Aktifkan Interface Wireless – Wlan1
04-18
Wireless Config (opt)
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-19
Ubah Wireless Security Profile
“default” (optional)
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
IP Address Config
04-20
Default Gateway
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id 04-21
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
DNS Config
04-22
Allow Remote Requests – Mengaktifkan fungsi router Mikrotik sebagai DNS server sederhana sehingga bisa meresponse request DNS dari Client
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
Src-NAT Config
04-23
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
Terminal / Console Config ¢ Konfigurasi identity router
l /system identity set name=”xx-nama-anda” ¢ Konfigurasi wireless sebagai media untuk backbone
l /interface wireless set wlan1 mode=station ssid=training disabled=no
¢ Konfigurasi IP Address l /ip address add address=10.10.10.x/24 interface=wlan1 l /ip address add address=192.168.x.1/24 interface=ether1
¢ Konfigurasi Routing – Default Gateway l /ip route add gateway=10.10.10.100
¢ Konfigurasi DNS l /ip dns set servers=10.100.100.1 allow-remote-request=yes
¢ Konfigurasi NAT l /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade
04-24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Configuration
¢ NTP Client = enable l NTP Server : “id.pool.ntp.org”/ “ntp.nasa.gov”
¢ Sesuaikan System Clock menggunakan TimeZone Asia-Jakarta
¢ Wlan1 SSID : training (WPA=…………….) ¢ Buatlah file backup! Dan simpan file tersebut ke
laptop
01-25
9/3/15 Mikrotik Indonesia http://www.mikrotik.co.id
Backup Config
04-26
¢ Melakukan backup seluruh konfigurasi Router , termasuk username dan password untuk login Winbox
¢ File hasil backup dapat dilihat di menu file dan didownload via FTP ¢ File backup tidak dapat di-edit !
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Routing
¢ Sebuah metode atau proses untuk meneruskan paket data dari suatu jaringan ke jaringan lain yang berbeda segmen (berbeda subnet).
¢ Proses ini dilakukan pada OSI layer 3 (Network).
¢ Pada Mikrotik, fungsi Routing ini sudah menjadi fitur / fungsi standart dan sudah ada di paket “System”.
01-27
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Routing Benefits ¢ Memungkinkan kita melakukan pemantauan dan
pengelolaan jaringan yang lebih baik. l Pemisahan jaringan menjadi beberapa subnet sesuai
kebutuhan. l Pengembangan jaringan menjadi lebih mudah.
¢ Lebih aman (firewall filtering lebih mudah dan lengkap) l Trafik broadcast hanya terkonsentrasi di subnet yang
sama. ¢ Jika diimplementasikan pada jaringan wireless,
dibutuhkan perangkat wireless yang mampu melakukan full routing, atau bisa juga menambahkan router di wireless BTS.
¢ Untuk network dengan skala besar, bisa menggunakan protocol Dynamic Routing (RIP/OSPF/BGP)
01-28
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Routing
ROUTER GATEWAY
WIRELESS
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
setiap segment jaringan memiliki subnet IP address yang berbeda.
01-29
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Tipe Routing ¢ MikroTik RouterOS tipe routing sbb:
l dynamic routes yang akan dibuat secara otomatis:
• saat menambahkan IP Address pada interface (Connected Routes)
• informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF, dan BGP.
l static routes adalah informasi routing yang dibuat secara manual oleh user untuk mengatur ke arah mana sebuah koneksi akan dilewatkan. Default route adalah salah satu contoh static routes.
01-30
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Tipe Routing
01-31
Setiap memasang IP disebuah interface, secara otomatis akan dibuatkan routing DAC untuk networknya dengan prefered source IP tersebut
A: Active S: Static
A: Active D: Dynamic
C: Connected
Connected Routes ¢ Dibuat secara otomatis setiap kali kita
menambahkan sebuah IP Address pada interface yang valid (interface yang aktif).
¢ Jika terdapat dua buah IP Address yang satu subnet pada satu interface yang sama, maka hanya akan ada 1 connected route.
¢ Jangan menempatkan dua ip address dari subnet yang sama tetapi diletakkan pada dua interface yang berbeda, karena akan membingungkan tabel dan logika routing di router.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-32
Connected Routes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-33
Static Route ¢ Static Routing digunakan untuk melakukan
pengaturan arah paket data yang akan melalui router, yaitu dengan menentukan gateway untuk dst-address yang spesifik.
¢ Dst-address=0.0.0.0/0 sering disebut sebagai “all destination address” karena ip 0.0.0.0/0 bisa menggantikan/mewakili semua ip address.
¢ Gateway bisa berupa : l IP Address l Interface (khusus PPP interface)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-34
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Menambahkan Routing
01-35
Static Route
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Contoh Implementasi Static Route, yaitu pemasangan Default Gateway atau Default Route.
01-36
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Parameter Dasar Routing ¢ Destination
l Host address – 222.124.211.23 l Network address – 202.53.246.0/24 l Semua Network / Semua Host – 0.0.0.0/0
¢ Gateway l IP Address gateway, harus merupakan IP Address yang satu subnet
dengan IP yang terpasang pada salah satu interface l Gateway Interface, digunakan apabila IP gateway tidak diketahui atau
bersifat dinamik (hanya bisa menggunakan interface ber-type PPP). ¢ Pref Source
l source IP address dari paket yang akan meninggalkan router, Biasanya adalah ip address yang terpasang di interface yang menjadi gateway (juga digunakan untuk proses NAT-Masquerade).
¢ Distance l Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing
yang akan dijalankan router.
01-37
Mikrotik Indonesia http://www.mikrotik.co.id
Konsep Dasar Routing IP Address Gateway harus merupakan IP Address yang subnetnya sama dengan salah satu IP Address yang terpasang pada router (connect directly).
Internet
10.10.0.2/24
10.10.1.1/24 10.10.2.1/24
10.10.2.2/24 10.10.3.2/24
10.10.4.1/24
10.10.4.2/24
A
B
¢ Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP Address.
¢ Default gateway pada router B adalah router A ¢ IP Address yang menjadi default gateway
router B adalah 10.10.2.1, karena IP Address tersebut berada dalam subnet yang sama dengan salah satu IP Address pada router B (10.10.2.2/24)
¢ Setting static route default : l Dst-address=0.0.0.0/0 gateway=10.10.2.1
3-Sep-15 01-38
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
10.10.3.1/24
10.10.3.2/24
Implementasi Konsep Routing
Internet
10.10.0.1/24
10.10.0.2/24
10.10.1.1/24 10.10.1.2/24 10.10.2.1/24
10.10.2.2/24
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2
(DAC) Dst-addr= 10.10.0.0/24 pref-source=10.10.0.2 (DAC) Dst-addr= 10.10.1.0/24 pref-source=10.10.1.1
(DAC) Dst-addr= 10.10.3.0/24 pref-source=10.10.3.1
(DAC) Dst-addr= 10.10.2.0/24 pref-source=10.10.2.2
(DAC) Dst-addr= 10.10.1.0/24 pref-source=10.10.1.2 (DAC) Dst-addr= 10.10.2.0/24 pref-source=10.10.2.1
(DAC) Dst-addr= 10.10.3.0/24 pref-source=10.10.3.2
01-39
Mikrotik Indonesia http://www.mikrotik.co.id
Konsep Dasar Routing Untuk pemilihan routing, router akan memilih berdasarkan:
l Rule routing yang paling spesifik dst-address nya menyesuaikan dengan tujuan paket
• Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24 jika tujuan paket menuju ke host ip 192.168.0.130
l Distance • Router akan memilih yang distance nya paling kecil
l Round robin (random)
3-Sep-15 01-40
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Contoh Pemilihan
Destination Gateway Distance Prioritas
192.168.0.0/27 192.168.1.1 1
192.168.0.0/29 192.168.2.1 1
192.168.0.0/24 192.168.3.1 5
192.168.0.0/24 192.168.4.1 1
Untuk koneksi dengan destination 192.168.0.13, manakah urutan prioritas rule yang digunakan?
-
1
3
2
01-41
Distance Merupakan salah satu parameter yang digunakan untuk pemilihan (prioritas) rule routing, nilainya (0-255) secara default tergantung protocol routing yang digunakan:
l Connected routes : 0 l Static Routes : 1 l eBGP : 20 l OSPF : 110 l RIP : 120 l MME : 130 l iBGP : 200
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Note: Distance=255 berarti “rejected”
01-42
Routing Table
¢ Routing Table dibuat oleh router untuk memetakan jaringan yang ada di sekitar perangkat router tersebut.
¢ Routing Table terdiri dari 2 bagian : l RIB – Routing Information Base l FIB – Forwarding Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-43
BGP
Routing Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Connected Routes
Static Routes
OSPF
RIP
MME
Instance 1
Instance 2
Instance n
BGP
OSPF
RIP
MME
Instance 1
Instance 2
Instance n
All Routes
Actives Routes
Protocol’s Routes
Input Filters
Output Filters
Route Selection
+
-
Discard
01-44
Routing Information Base
Berisi informasi routing yang lengkap, yang terdiri dari:
l Static routes dan Policy Routing Rules l Informasi routing dari Dynamic Routing Protocol
(RIP, OSPF, BGP, etc) l Informasi Connected Routes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-45
Routing Information Base
Digunakan untuk: l Memfilter informasi routing l Mengkalkulasi best route untuk masing-masing
dst-address/prefix l Membuat dan mengupdate Forwarding
Information Base (FIB) l Mendistribusikan informasi routing ke routing
protokol lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-46
Forwarding Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
¢ FIB merupakan tabel yang digunakan untuk menentukan forwarding packet.
¢ Tabel ini berisi : l Active route l Policy Routing Rules
01-47
FIB
Catch All
User Defined
Implicit
Main
Routing Tables Rules
Connected Routes
Active Routes
Forwarding Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-48
• FIB akan melihat parameter-parameter berikut untuk menentukan routing: • Source Address • Destination Address • Source Interface • Routing Mark • ToS
• Kemungkinan decision routingnya meliputi :
• Paket di tujukan untuk ke router • Paket di discard • Paket di tujukan ke sebuah alamat
Forwarding Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Cache FIB +
-
01-49
• Hasil penentuan routing akan disimpan kedalam route cache untuk mempercepat proses forwarding paket-paket berikutnya
• Jika paket yang memiliki parameter src-address, dst-address, src-interface, routing mark dan tos sama, maka router cukup melihat dari route cache
Point to Point Addressing
Adalah sistem pengalamatan IP Address untuk dua buah perangkat yang terkoneksi langsung, menggunakan dua buah IP Address /32
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Router 1 Router 2 172.16.0.X1/32 IP Address 172.16.0.X2/32
172.16.0.X2 Network Address 172.16.0.X1 [kosongkan] Broadcast Address [kosongkan]
ether2 Interface ether2
01-50
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-5] P2P Addressing
192.168.X.2
172.16.0.X1/32 172.16.0.X2/32
192.168.X.2
Internet
¢ Hubungkanlah ether2 di router dengan ether2 router rekan semeja menggunakan kabel ethernet.
¢ Buatlah P2P Addressing dan lakukanlah static route untuk network laptop
¢ Test koneksi dengan ping antar router & test ping antar laptop
Ether2 Ether2
Router Meja X Router Meja X
01-51
Contoh: P2P Addressing
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Router Meja 1
Router Meja 2
01-52
Check Gateway ¢ Adalah sebuah mekanisme pengecekan
gateway yang dilakukan oleh router mikrotik. ¢ Dikirimkan setiap 10 detik, menggunakan ARP
request atau ICMP ping. ¢ Dianggap “Gateway time-out” jika tidak
menerima respon dalam 10 detik dari mesin Gateway.
¢ Gateway dianggap “unreachable” jika terjadi 3 kali Gateway time-out berurutan.
¢ Jika mengaktifkan fitur check gateway untuk sebuah rule, maka akan berpengaruh juga untuk semua rule lain dengan gateway yang sama.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-53
Check Gateway Option
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-54
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-6] Static Route
172.16.Y.1/32
192.168.X.2
172.16.Y.2/32
172.16.Y.3/32
172.16.Y.4/32
172.16.Y.7/32
172.16.Y.6/32
172.16.Y.5/32
172.16.Y.8/32
192.168.X.2
192.168.X.2 192.168.X.2
Internet
R1 R2
R4 R3 Ether3 Ether2
Ether2 Ether3
Ether3
Ether2 Ether3
Ether2
01-55
[LAB-6] Static Route 2 ¢ Pasang ip Point to Point untuk menghubungkan semua
Router dalam kelompok. ¢ Buatlah static route untuk menjangkau setiap laptop teman
sekelompok menggunakan link Point to Point address. ¢ Konfigurasi Distance untuk menentukan Prioritas link. ¢ Link utama adalah melalui jalan terdekat ¢ Jika ada kondisi jaraknya sama, maka link utama adalah
yang searah jarum jam. ¢ Pantaulah link utama dengan menggunakan check-gateway ¢ Buatlah static route juga untuk back-up link
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-56
Quiz ! Terdapat kofigurasi
/ip route add dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101 distance=1 add dst-address=192.168.1.0/28 gateway=10.10.10.100 check-gateway=ping distance=2 add dst-address=192.168.2.0/28 gateway=10.10.10.101 check-gateway=ping distance=2
Untuk trafik yang menuju ke 192.168.2.20 akan melewati gateway? Untuk trafik yang menuju ke 192.168.1.14 akan melewati gateway? Apabila gateway 10.10.10.100 putus? apa yang akan terjadi?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-57
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-7] Static Route (Fail Over)
172.16.Y.1/32
192.168.X.2
172.16.Y.2/32
172.16.Y.3/32
172.16.Y.4/32
172.16.Y.7/32
172.16.Y.6/32
172.16.Y.5/32
172.16.Y.8/32
192.168.X.2
192.168.X.2 192.168.X.2
Internet
R1 R2
R4 R3 Ether3 Ether2
Ether2 Ether3
Ether3
Ether2 Ether3
Ether2
X DROP LINK !!!!!!
01-58
Evaluasi ¢ Mekanisme Check gateway yang kita gunakan
hanya bisa mendeteksi problem koneksi pada hoop (gateway) terdekat.
¢ Jika problem terjadi setelah gateway terdekat (next hoop), check gateway tidak bisa mendeteksinya.
¢ Untuk mendeteksi problem koneksi yang terjadi setelah gateway terdekat, bisa digunakan teknik scope/target scope.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-59
Scope dan Target Scope ¢ Digunakan untuk static route yang dibuat
recursive (tidak terkoneksi langsung). ¢ Target Scope adalah nilai scope maksimum
dari rule lainnya yang reachable. ¢ Kegunaan:
l Bisa melakukan pemantauan check gateway ping untuk gateway yang tidak terhubung langsung
l Dikombinasikan dengan iBGP bila nexthoop tidak direct connected
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-60
Scope dan Target Scope
Nilai default scope dan target scope:
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-61
Scope dan Target Scope Contoh: dst-address 0.0.0.0/0 dengan gateway 117.20.50.233, recursive via 10.10.10.100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Dst-Address Gateway Scope Target Scope 0.0.0.0/0 117.20.50.233 30 30 117.20.50.233 10.10.10.100 30 10
Internet
10.10.10.1/24
10.10.10.100/24
117.20.50.233
01-62
[LAB-8] Routing - Scope ¢ Sesuai dengan diagram network pada LAB-7 sebelumnya,
perbaikilah sistem monitoring link sehingga bisa mendeteksi adanya problem koneksi yang terjadi setelah gateway terdekat.
¢ Coba cabut salah satu koneksi kabel untuk mensimulasikan terjadinya permasalahan di salah satu link.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-63
Routing Modification
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Dst-Address Gateway Check Gateway Distance Scoop Target Scoop
0.0.0.0/0 10.10.10.100 no 1 30 10
172.16.Y.5 172.16.Y.2 no 1 30 10
172.16.Y.6 172.16.Y.2 no 1 30 10
172.16.Y.7 172.16.Y.4 no 1 30 10
172.16.Y.8 172.16.Y.4 no 1 30 10
192.168.2.0/24 172.16.Y.2 ping 1 30 10
192.168.2.0/24 172.16.Y.4 no 2 30 10
192.168.7.0/24 172.16.Y.4 ping 1 30 10
192.168.7.0/24 172.16.Y.2 no 2 30 10
192.168.8.0/24 172.16.Y.6 ping 1 30 30
192.168.8.0/24 172.16.Y.4 no 2 30 10
01-64
Static Route dgn Scope
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-65
Static Route dgn Scope
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Pada saat terjadi link failure antara R2 dan R4
01-66
Block Using Routing ¢ Kita bisa melakukan blok untuk dst-address tertentu
menggunakan static route : l Blackhole
• Memblok dengan diam-diam l Prohibit
• Memblok dan mengirimkan pesan error ICMP “administratively prohibited” (type 3 code 13)
l Unreachable • Memblok dan mengirimkan pesan error ICMP
“host unreachable” (type 3 code 1) ¢ Ketiga tipe di atas tidak membutuhkan IP Address
gateway.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-67
Pref-source ¢ By default: null, kecuali untuk connected routes ¢ Fungsi :
l IP Address asal untuk paket data yang berasal dari router
l IP Address src-address-to untuk paket data yang terkena action NAT – masquerade
¢ Jika tidak ditentukan, secara otomatis akan menggunakan salah satu IP Address yang ada pada output interface
¢ Jika isian pref-src adalah IP Address yang tidak terpasang pada router, rule ini akan non-aktif.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-68
Source Routing ¢ Source Routing adalah sebuah teknik routing
yang memungkinkan Administrator jaringan menentukan jalur routing balik / incoming yang akan dilalui oleh paket data.
¢ Perlu diingat bahwa parameter “dst-address” pada paket header akan selalu diperiksa oleh router yang dilewatinya untuk menentukan hop selanjutnya.
¢ Dengan memodifikasi Pref-Source Maka jalur routing balik bisa dimanipulasi sesuai keinginan administrator.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-69
[LAB-9] Pref-Source
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Internet
01-70
• IP lokal ptp wireless : 10.10.10.x/24
• IP Public yang dialokasikan dari provider : 172.16.x.0/24
• Router bisa diakses dari internet dengan IP publik 172.16.x.1/24
• PC Client juga bisa diakses menggunakan IP publik 172.16.x.2/24
10.10.10.100/24
10.10.10.X/24
172.16.x.1/24
172.16.x.2/24
Static Route Setting
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-71
Src-Nat Setting
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-72
Policy Route
¢ Secara default, router akan menggunakan table routing “main”
¢ Kita bisa membuat table routing tambahan dan mengarahkan router menggunakan table tersebut dengan menggunakan: l IP - Route – Rules l IP - Firewall - Mangle – Route-mark
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-73
Route Rules
¢ Route rules hanya dapat melakukan decision berdasarkan src-address, dst-address, routing-mark, dan interface.
¢ Untuk parameter yang lebih detail, gunakanlah mangle.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-74
[LAB-10] Route Mark ¢ WLAN1: Untuk traffic dari 192.168.x.0/24 ¢ WLAN2: Untuk traffic dari 172.16.x.0/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Internet Internet
10.10.10.100/24 10.20.20.100/24
WLAN1 WLAN2 10.10.10.X/24 10.20.20.X/24
192.168.X.0/24 172.16.X.0/24
Ether1 Ether2
01-75
Route - Rules
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Tambahkan Route – Rules untuk menentukan klasifikasi dari segmen network yang akan menggunakan gateway yang berbeda.
01-76
Routing Table - Rules
Tambahkan rule routing untuk mengarahkan segmen network2 supaya menggunakan gateway lain.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-77
Mangle Route Mark
¢ Untuk trafik yang melalui router: l Mangle chain: prerouting
¢ Untuk trafik yang berasal dari router : l Mangle chain: output
¢ Chain lainnya (input, forward, dan postrouting) tidak dapat digunakan untuk melakukan route-mark.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-78
[LAB-11] Route Mark
¢ WLAN1: All other traffic ¢ WLAN2: http only
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Internet Internet
10.10.10.100/24 10.20.20.100/24
WLAN1 WLAN2 10.10.10.X/24 10.20.20.X/24
01-79
Route Mark (client)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-80
Route Mark (local process / Proxy)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-81
Static Route
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Trafik Lainnya Trafik TCP 80
01-82
Quiz !
¢ Bagaimana jika ingin mendeteksi jalur gateway yang putus di >10 hoop di depan router anda ?
¢ Dengan menggunakan metode scope dan target scope kita tidak lagi memerlukan ip gateway dari isp. (Benar / Salah)
¢ Kita bisa mengganti Pref-Source menggunakan ip public dari Router lain yang masih dalam satu jaringan yang sama. (Benar/Salah)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 01-83
Tunnel
APNIC Training - Routing Class Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Tunnel
Tunnel adalah sebuah metode manipulasi (encapsulation) paket data di jaringan TCP/IP, yang biasanya digunakan untuk mensimulasikan koneksi fisik antara dua network melewati jaringan lain (WAN/Internet).
02-85 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
TCP/IP Link TUNNEL Link
¢ Paket data dari traffic mengalami sedikit pengubahan atau modifikasi. Yaitu penambahan Tunnel Header di tiap paket data tersebut. Tetapi data paket yang asli tetap dipertahankan (RFC 2003 compliant ).
¢ Ketika data yang melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dihilangkan).
Tunnel Header
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 02-86
IP DATA Tunnel IP DATA
Tunnel Network
Point to point network encapsulation
WAN
Point 1 Point 2 tunnel
1.1.1.1 1.1.1.2 R1 R2
IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24
02-87 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
VPN Networks (Tunnel + Sec) Merupakan sebuah jaringan virtual yang dibangun diatas jaringan yang sudah ada
VPN Networks
Router
File Server
PC PC
Aplication Server
Office 1
WAN
Router
File Server
PCPC
Aplication Server
Office 2
Router
File Server
PCPC
Office 3
PCPC
Server Client 1
Client 2
Mobile Client 1
Mobile Client 2
02-88 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
Tunnel & VPN ¢ Tunnel
l IPIP – IP Tunnel l EoIP – Ethernet Over IP l VLAN – Virtual Lan l Gre Tunnel
¢ VPN l PPPoE – Point To Point Protocol Over Ethernet l PPTP – Point To Point Tunnel Protocol l L2TP – Leyer 2 Tunnel Protocol l OpenVPN – Open Virtual Private Network l IPSec – IP Security l SSTP – Secure Socket Tunnel Protocol
02-89 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
IPIP Tunnel ¢ IPIP atau IP Tunnel adalah salah satu protocol tunnel yang
paling sederhana dan ringan. ¢ IPIP Tunnel dianggap sebagai interface (fisik tetapi virtual)
yang independen. ¢ Banyak variant router sudah support protocol ini seperti
MikroTik, CISCO dan Linux.
¢ IPIP Tunnel bisa digunakan untuk : l Routing antar local network melewati jaringan internet l Bisa dimanfaatkan untuk melakukan Source Routing
¢ Interface IPIP tunnel Tidak Bisa dimasukkan dalam bridge network (bridge port).
02-90 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
IPIP Packet Header
¢ Dengan packet sniffer, diketahui besar packet header yang digunakan oleh protocol tunnel IPIP.
¢ Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte tiap packet. ¢ Paket header standardnya adalah 20byte. ¢ (GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22
(Encap Header)
02-91 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
IPIP Header
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 02-92
IP HEADER
SMALL DATA
1500
Byt
es OUTER IP HEADER
SMALL DATA
IPIP HEADER
INNER IP HEADER IP HEADER
SMALL DATA
OUTER IP HEADER
SMALL DATA
IPIP HEADER
INNER IP HEADER
1500 Bytes
CLIENT ROUTER ROUTER CLIENT
IP HEADER
DATA
1500
Byt
es OUTER IP HEADER
DATA
IPIP HEADER
INNER IP HEADER IP HEADER
DATA
OUTER IP HEADER
DATA
IPIP HEADER
INNER IP HEADER
1500 Bytes
CLIENT ROUTER ROUTER CLIENT
FRAGMENTED DATA
NEXT PACKET
IPIP Example
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 02-93
MAIN OFFICE Jakarta
LAN : 172.16.0.0/16
REP. OFFICE Yogyakarta
LAN : 192.168.1.0/24
RB1100AHx2 RB450G
117.20.57.x/27 202.78.123.x/30
IPIP Configuration
02-94 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
IPIP Configuration
¢ Parameter Local Address adalah parameter untuk ip local router yang digunakan untuk membangun koneksi IPIP tunnel.
¢ Sedangkan Remote Address adalah parameter dari ip address router lawan.
02-95 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
[LAB-1] IPIP Tunnels
10.10.10.30/24 10.10.10.31/24 10.10.10.100/24
IPIP1 Address : 192.168.200.1/30
IPIP1 Address : 192.168.200.2/30
¢ IPIP Tunnel melewati jaringan WAN. ¢ Tambahkan ip address untuk menghubungkan kedua
interface tunnel. ¢ Tambahkan rule static routing untuk menghubungkan
kedua local network dari masing-masing router.
02-96 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
[LAB-1] IPIP Tunnels ROUTER A
ROUTER B
02-97 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
[LAB-1] IPIP Tunnels
¢ /interface ipip add name=ipip1 local-address=10.10.10.30 remote-address=10.10.10.31
¢ /ip address add address=192.168.200.1/30 interface=ipip1
¢ /interface ipip add name=ipip1 local-address=10.10.10.31 remote-address=10.10.10.30
¢ /ip address add address=192.168.200.2/30 interface=ipip1
10.10.10.30/24 10.10.10.31/24 10.10.10.100/24
IPIP1 Address : 192.168.200.1/30
IPIP1 Address : 192.168.200.2/30
02-98 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
[LAB-1] Routing over Tunnel
¢ Static route untuk menghubungkan kedua local network menggunakan tunnel IPIP.
¢ Routing di Router1 : l /ip route add dst-address=192.168.2.0/24
gateway=192.168.200.2 ¢ Routing di Router2 :
l /ip route add dst-address=192.168.1.0/24 gateway=192.168.200.1
192.168.1.1/24 192.168.2.1/24 10.10.10.100/24
IPIP1 Address : 192.168.200.1/30
IPIP1 Address : 192.168.200.2/30
Meja 1 Meja 2
02-99 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
EoIP Tunnel
Mikrotik Indonesia http://www.mikrotik.co.id 02-100
¢ Adalah protocol pada Mikrotik RouterOS yang membangun sebuah Network Tunnel antar mikrotik router di atas sebuah koneksi TCP/IP.
¢ Interface EoIP dianggap sebagai sebuah Interface Ethernet.
¢ Jika Bridge mode diberlakukan pada EoIP tunnel maka semua protocol yang berbasis ethernet akan dapat berjalan di Bridge tersebut (Dianggap seperti hardware interface ethernet yang di bridge).
¢ Hanya dapat dibuat di Mikrotik RouterOS. ¢ Menggunakan Protocol GRE (RFC1701).
3-Sep-15
EoIP Tunnel (2)
¢ EoIP biasa digunakan untuk : l Membuat jaringan bridge diatas jalur internet l Membuat jaringan bridge diatas tunnel yang
terenkripsi l Membuat jaringan bridge diatas jaringan
wireless
¢ Dalam penggunaan EoIP tunnel akan terjadi penambahan header sebesar 42byte (8 byte GRE + 14 byte Ethernet Header + 20 byte IP)
Mikrotik Indonesia http://www.mikrotik.co.id 02-101 3-Sep-15
EOIP Header
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 02-102
IP HEADER
SMALL DATA
1500
Byt
es OUTER IP HEADER
SMALL DATA
GRE HEADER
Eth HEADER
IP HEADER
SMALL DATA
OUTER IP HEADER
SMALL DATA
GRE HEADER
1500 Bytes
CLIENT ROUTER ROUTER CLIENT
IP HEADER
DATA
1500
Byt
es OUTER IP HEADER
DATA
IP HEADER
DATA
OUTER IP HEADER
DATA
1500 Bytes
CLIENT ROUTER ROUTER CLIENT
FRAGMENTED DATA
NEXT PACKET
INNER IP HEADER
Eth HEADER
INNER IP HEADER
GRE HEADER
Eth HEADER
INNER IP HEADER
GRE HEADER
Eth HEADER
INNER IP HEADER
Mikrotik Indonesia http://www.mikrotik.co.id 02-103
EoIP Example Internet
City A
EoIP
192.168.0.12
192.168.0.3
192.168.0.13
10.0.0.1 10.10.10.2
192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
City B
3-Sep-15
EoIP Config
Mikrotik Indonesia http://www.mikrotik.co.id 02-104 3-Sep-15
[LAB-2] EoIP over Wireless
Mikrotik Indonesia http://www.mikrotik.co.id 02-105
192.168.y.1/24
192.168.y.3/24
192.168.y.2/24
192.168.y.4/24
Tunnel-id=100
Tunnel-id=200 Tunnel-id=300
R1 R2
R3 R4
Internet
3-Sep-15
Virtual LAN (VLAN) 1 ¢ VLAN adalah sebuah logical group
(pengelompokan) pada jaringan ethernet. ¢ Dengan VLAN, memungkinkan user-user saling
berkomunikasi pada group (VLAN-ID) yang sama. ¢ Traffic yang menggunakan VLAN terisolasi dari
traffic/user lain walaupun sebenarnya user-user ini masih terhubung secara fisik.
¢ Dengan menggunakan VLAN Router dapat meningkatkan security serta management yang berbeda terhadap jaringan walaupun masih ada sharing media.
¢ VLAN Bekerja di layer 2 (DataLink).
02-106 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
Virtual LAN (VLAN) 2 ¢ VLAN di Mikrotik RouterOS merupakan
implementasi dari standarisasi 802.1Q.
¢ Dengan menggunakan VLAN, Mikrotik RouterOS bisa membangun beberapa Virtual LAN untuk memisahkan jaringan (group) di sebuah interface ethernet atau interface wireless.
¢ Mikrotik RouterOS secara teoritis mampu membangun 4095 Interface Vlan di sebuah Interface ethernet.
02-107 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
VLAN Configuration
02-108 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
VLAN on Mikrotik
Mikrotik Indonesia http://www.mikrotik.co.id 02-109 3-Sep-15
Mikrotik Vlan on Manageable Switch
Mikrotik bisa bekerja sama dengan switch manageable yang mampu mengimplementasikan standarisasi 802.1q (VLAN).
ACCESS / UNTAGGED
Vlan 2
Vlan 2
Vlan 1
Vlan 1
TRUNK / TAGGED
02-110 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
Mikrotik Vlan on Manageable Switch
Ether 2 Vlan 1 Vlan 2 Vlan 3
Port 1 Mode Trunk (Tagged)
Port 2 – mode Access (Untagged) Vlan 1
Port 3 – mode Access (Untagged) Vlan 2
Port 4 – mode Access (Untagged) Vlan 3
Man
agea
ble
Switc
h
02-111 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
Vlan Implementation using RB250GS
Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36
02-112 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
[LAB-3] Mikrotik Vlan Trunking
02-113 Mikrotik Indonesia http://www.mikrotik.co.id
Internet
192.168.2.3/24
192.168.1.2/24
192.168.2.4/24
R2 R3
R1 R4
VLAN over EoIP
VLAN2 VLAN3
192.168.1.1/24
ether3 ether3
ether4 ether4
ether2 ether2
3-Sep-15
[LAB-] Create VLAN Interface
Membangun vlan interface memanfaatkan EoIP Tunnel
02-114 Mikrotik Indonesia http://www.mikrotik.co.id
R2 + R3
3-Sep-15
[LAB-4] VLAN Bridge
02-115 Mikrotik Indonesia http://www.mikrotik.co.id
R2 + R3
3-Sep-15
[LAB-4]VLAN Distribution
Mikrotik Indonesia http://www.mikrotik.co.id 02-116
R1 & R4
3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id 02-117
[LAB-5] VLAN over VLAN
192.168.2.3/24
192.168.1.2/24
192.168.2.4/24
R2 R3
R1 R4
VLAN over VLAN
VLAN100 VLAN200
192.168.1.1/24
ether3 ether3
ether4 ether4
ether2 ether2 VLAN1
VLAN1
ether3 ether3
3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id 02-118
[LAB-5] VLAN Config
3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id 02-119
[LAB-5] VLAN Config
3-Sep-15
Mikrotik Indonesia http://www.mikrotik.co.id 02-120
[LAB-5] VLAN Interface
3-Sep-15
L2TP (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-121
¢ Layer 2 Tunneling Protocol (L2TP) pengembangan dari kerjasama Cisco dengan Microsoft yang menggabungkan fitur dari PPTP dan Layer 2 Forwarding (L2F) protocol.
¢ L2TP dapat diimplementasikan pada jaringan non-TCP/IP clients, seperti Contoh: Frame Relay dan ATM.
¢ L2TP tidak memiliki mekanisme enkripsi, biasanya menggunakan protocol enkripsi lain yang lewat didalam tunnelnya.
3-Sep-15
L2TP (2)
¢ L2TP menggunakan UDP (port 1701) sehingga pengiriman paketnya lebih cepat. Sayangnya tidak reliable karena tidak ada mekanisme pengiriman ulang paket yang hilang/rusak.
¢ L2TP lebih “firewall friendly” dibandingkan PPTP — suatu Keuntungan besar jika menggunakan protocol ini, karena kebanyakan Firewall tidak GRE Friendly.
Mikrotik Indonesia http://www.mikrotik.co.id 02-122 3-Sep-15
L2TP Configuration - Client
Mikrotik Indonesia http://www.mikrotik.co.id 02-123
Encription Option – MPPE 128Bit Akan menyesuaikan Server
3-Sep-15
L2TP Configuration - Server
Mikrotik Indonesia http://www.mikrotik.co.id 02-124
Encription Option – MPPE 128Bit
3-Sep-15
[LAB-2] Routing over L2TP
Dari lab IPIP sebelumnya, silahkan rubah routingnya menggunakan L2TP antar teman.
Internet
City A
192.168.2.1
L2TP
192.168.1.2
192.168.1.1
192.168.2.2
Communication over L2TP
City B
02-125 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15
L2TP Security
¢ L2TP secara default bisa menggunakan MPPE 128Bit sama seperti yang digunakan pada PPTP.
¢ Karena MPPE dirasa kurang aman maka L2TP dikembangkan untuk bisa digabungkan dengan protocol security yang lain yaitu IPSec.
Mikrotik Indonesia http://www.mikrotik.co.id 02-126 3-Sep-15
SSTP Overview
¢ Secure Socket Tunneling Protocol (SSTP) adalah salah satu metode VPN yang membuat tunnel PPP melalui SSL Channel pada protocol HTTPS.
¢ Kelebihan membuat tunnel diatas protocol HTTPS adalah bisa melewati hampir semua firewall dan proxy server.
¢ Selain itu SSL juga digunakan untuk security level transport (layer4) dengan meningkatkan key negotiation, enkripsi serta integrity checking.
¢ SSTP baik client ataupun server bisa diterapkan di Mikrotik. l Catatan : SSTP mulai ada di OS Windows vista sp1
Mikrotik Indonesia http://www.mikrotik.co.id 02-127 3-Sep-15
SSTP Process
Mikrotik Indonesia http://www.mikrotik.co.id 02-128
Open TCP Connection (TCP:443)
SSL Negotiation
SSTP over HTTPS
authentikasi PPP & IP Request
Communication data over SSTP
3-Sep-15
SSTP Security ¢ Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan
di SSTP. ¢ Disisi client, server akan diverifikasi berdasarkan sertifikat
yang dimiliki server dan menentukan metode enkripsi yang akan digunakan.
¢ Client juga akan menggenerate SSL session key dan mengenkripsinya dengan publik key dari server.
¢ Server bisa mendecrypt session key tersebut menggunakan private key yang dimilikinya.
¢ Semua komunikasi client server akan dienkripsi berdasarkan SSL session key tersebut.
¢ Jika client dan server menggunakan Mikrotik, SSTP bisa dibentuk tanpa menggunakan sertifikat.
¢ Disisi server, authentikasi hanya dilakukan berdasarkan username dan password di protocol PPP.
Mikrotik Indonesia http://www.mikrotik.co.id 02-129 3-Sep-15
SSL Certificate ¢ SSL sertifikat bisa dibuat sendiri, dan untuk
verifikasinya bisa menggunakan layanan berbayar (Signed Certificate) ataupun diverifikasi sendiri (Self Signed Certificate).
¢ Verifikasi ini menggunakan CA (Certificate Authority).
¢ Jika menggunakan Self Signed Certificate, maka CA certificate harus diimport ke client.
¢ Sertifikat bisa kita generate menggunakan aplikasi “openssl”.
Mikrotik Indonesia http://www.mikrotik.co.id 02-130 3-Sep-15
CA Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-131 3-Sep-15
CA Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id 02-132 3-Sep-15
Server Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-133 3-Sep-15
Server Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id 02-134 3-Sep-15
Server Certificate Setup (3)
Mikrotik Indonesia http://www.mikrotik.co.id 02-135 3-Sep-15
Client Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-136 3-Sep-15
Client Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id 02-137 3-Sep-15
Client Certificate Setup (3)
Mikrotik Indonesia http://www.mikrotik.co.id 02-138 3-Sep-15
SSL Certificate (2)
Mikrotik Indonesia http://www.mikrotik.co.id 02-139
Server Side
Client Side
Untuk keamanan, jangan mengupload CA private key
3-Sep-15
SSL Certificate (3)
Mikrotik Indonesia http://www.mikrotik.co.id 02-140 3-Sep-15
SSTP Server Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-141 3-Sep-15
SSTP Server Setup (2) ¢ SSTP Server bisa diatur dengan beberapa
metode : l Certificate : None, apabila client juga sama-sama
MikrotikOS • (Unsecure, PPP security only)
l Certificate : [Server Cert], apabila client MikrotikOS dan Windows (more secure)
¢ Untuk meningkatkan keamanan, aktifkan option “Verify-Client-Certificate” : l CA harus diimport disisi server l Client harus menggunakan certificate
Mikrotik Indonesia http://www.mikrotik.co.id 02-142 3-Sep-15
SSTP Client Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id 02-143 3-Sep-15
SSTP Client Setup (2) ¢ Jika sisi server diaktifkan “Verify-Client-
Certificate”, maka sisi client juga harus dipasang certificate yang masih dalam 1 chain.
¢ Option “Verify-Server-Certificate” digunakan untuk mengecek apakah sertifikat server masih dalam 1 CA yang ada di client.
¢ Option “Verifiy-Server-Address” digunakan untuk mengecek apakah IP / domain dari server valid/sesuai dengan isi dari sertifikat.
Mikrotik Indonesia http://www.mikrotik.co.id 02-144 3-Sep-15
[LAB 3] SSTP Network
Mikrotik Indonesia http://www.mikrotik.co.id 02-145
mobile client
SSTP server
Internet
Local Main Office
Local Remote Office
10.10.10.100
10.20.20.x 10.10.10.x
3-Sep-15
SSTP Note
¢ Untuk penggunaan sertifikat, pastikan clock server dan client benar à sync NTP.
¢ Windows Client, import CA ke trusted certificate.
¢ Disable “Verify-Client-Certificate” jika clientnya Windows.
Mikrotik Indonesia http://www.mikrotik.co.id 02-146 3-Sep-15
Load Balancing
Certified Mikrotik Training Advanced Class (MTCRE) Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Konsep Dasar
¢ Load Balancing l Membagi trafik ke dua atau lebih jalur
koneksi, sehingga setiap jalur yang ada bisa digunakan secara optimal.
¢ Fail Over l Sistem proteksi untuk menjaga apabila link
utama terganggu, secara otomatis akan menggunakan jalur cadangan.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-148
Load Balance vs Fail Over
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
InternetInternet
15 Mbps
10 Mbps 5 Mbps
InternetInternet
10 Mbps
10 Mbps 5 Mbps
5 Mbps
03-149
Load Balancing
1 + 1 = 2 1 + 1 = 1 + 1
1 + 1 = ½ + ½ + ½ + ½ 1 + 1 = ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ Semakin banyak user, semakin banyak koneksi, pembagian Load balance akan semakin rata dan mudah.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-150
Konsep Load Balancing ¢ Pembagian trafik dilakukan berdasarkan beberapa
metode : ¢ Probabilitas / Random ¢ Network Segment ¢ Type of Traffic
¢ Kita harus mengetahui kapasitas masing-masing link dan membagi trafik ke setiap interface sesuai dengan proporsinya.
¢ Misalnya kita memiliki 2 buah gateway, A dengan kapasitas 1 mbps, dan B dengan kapasitas 2 mbps, maka kita akan membagi trafik menjadi : ¢ 3 = 2:1 = 1 ke A dan 2 ke B
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-151
Penggunaan Fitur
¢ Untuk bisa melakukan load balancing dengan baik, kuasailah fitur-fitur berikut ini: l Static route dan policy route l Firewall Mangle l Firewall src-nat
¢ Untuk yang lebih advanced, perlu juga menguasai BGP.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-152
Kunci Load Balancing
¢ Pada jaringan yang sederhana, kita hanya bisa mengatur jalur Uplink.
¢ Kita bisa mengatur koneksi akan lewat ke jalur (ISP) yang mana, tetapi kita tidak bisa mengatur jalur yang digunakan untuk Downlink, karena hal tersebut bergantung pada routing internet secara keseluruhan.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-153
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 03-154
Kunci Load Balancing ¢ Untuk “mengatur” jalur downlink, kuncinya ada
pada penggunaan src-nat di tiap gateway. Yaitu pada saat paket request dikirimkan ke internet.
¢ Data (Uplink) yang di NAT dengan IP yang ada pada gateway, akan kembali (Downlink) melalui gateway tersebut.
¢ Jika kita hanya menggunakan masquerade untuk tiap interface gateway, maka data akan kembali pada interface yang sama dengan interface uplink yang dipilih oleh router.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-155
Skema Kerja Load Balanced
MASQ MASQ
ALGORITMA PEMBAGI TRAFIK
Mikrotik Indonesia http://www.mikrotik.co.id
GATEWAY A GATEWAY B
3-Sep-15 03-156
Metode Load Balanced
¢ Static Route dengan Address List ¢ ECMP (Equal Cost Multi Path) ¢ NTH ¢ PCC ¢ BGP
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-157
Contoh dengan Static Route
Berdasarkan Tujuan l Gateway A untuk internasional l Gateway B untuk trafik lokal Indonesia
• Menggunakan address-list NICE
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-158
Contoh dengan Static Route
Berdasarkan source address l IP Address client: 192.168.0.0/24
• 192.168.0.0-127 à gateway A • 192.168.0.128-255 à gateway B
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-159
ECMP
¢ Equal Cost Multi Path ¢ Pada saat kita memiliki beberapa gateway
yang ingin di load balance, metode termudah adalah menggunakan ECMP
¢ ECMP akan memisahkan trafik per gateway secara random
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-160
Contoh ECMP (1)
Ada 2 gateway yang sama besar Bandwithya 10 Mbps : 10 Mbps
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-161
Contoh ECMP (2) ¢ Ada 2 gateway, perbandingan kapasitas
bandwith 2 Mbps : 1 Mbps
¢ Karena Kedua gateway berbeda kapasitas maka perlu disesuai dengan perbandingan.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-162
¢ Ada 3 gateway, gateway A dan B menggunakan gateway IP Address, dan gateway C menggunakan pppoe.
¢ Memungkinkan penggunaan kombinasi dengan gateway interface.
Contoh ECMP (3)
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-163
[LAB-1] ECMP & Policy Route ¢ IIX à via WLAN1 dan PPPoE di WLAN2.
l Kapasitas PPPoE 2 x kapasitas WLAN1 ¢ Internasional à PPTP ke server 10.100.100.1
PPTP
PPPoE WLAN1
Mikrotik Indonesia http://www.mikrotik.co.id
IIX IIX INTERNASIONAL
3-Sep-15 03-164
Address List Download nice.rsc dari server mikrotik.co.id
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-165
PPTP dan PPPoE Username
Username dan password : l PPTP
• Username : mikrotik-pptp • Password : training
l PPPoE • Username : mikrotik-pppoe • Password : training
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-166
Static Route untuk PPTP
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-167
PPTP & PPPoE Setting
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-168
Interface
Pastikan semua interface sudah bekerja dengan baik
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-169
IP Address
Pastikan sudah mendapatkan IP Address dinamik dari PPTP dan PPPoE
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-170
Masquerade Setting
Buatlah masquerade untuk ketiga gateway
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-171
Route-mark Setting
Rule no 0 untuk trafik dari klien Rule no 1 untuk trafik dari local process di router Rule no 1 menggunakan parameter out-interface=pptp-out1 karena secara default, routing keluar melalui pptp-out1
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-172
Route for IIX & Internasional
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-173
Test dengan traceroute
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-174
Kekurangan ECMP ¢ Forwarding table di Linux Kernel secara
otomatis akan refresh setiap 10 menit ¢ Hal ini menyebabkan ada kemungkinan
paket data untuk suatu traffic dari sebuah aplikasi berganti koneksi sehingga mendapatkan masq address yang berbeda. Koneksi bisa terputus. l Contoh: terjadi pada traffic game online
¢ Info lebih lanjut mengenai hal ini: – http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html – http://marc.info/?m=105217616607144 – http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-175
Metode NTH
¢ NTH dilakukan dengan mengaktifkan counter pada mangle, dan kemudian dinamai (route mark) berdasarkan gateway nya.
¢ Route mark kemudian digunakan sebagai dasar untuk membuat policy route.
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-176
Proses NTH pada Mangle
Misalkan kita mempunyai 2 buah gateway (A dan B)
l Koneksi pertama à route mark “conn-A” l Koneksi kedua à route mark “conn-B” l Koneksi ketiga à route mark “conn-A” l Koneksi keempat à route mark “conn-B” l Koneksi kelima à route mark “conn-A” l Dst…..
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-177
Proses NTH pada Routing
Setelah ada route-mark, maka kita tinggal mengarahkan route mark tersebut ke gateway yang sesuai.
l Route-mark “conn-A” ke gateway A l Route-mark “conn-B” ke gateway B
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-178
Proses NTH pada Routing
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-179
Kelemahan nth
¢ Nth bekerja berdasarkan “connection tracking”
¢ Seperti halnya ECMP, nth juga ikut “ter-refresh” setiap 10 menit
¢ Tidak disarankan penggunaan nth untuk melakukan load balanced
¢ Untuk “load balanced” yang lebih stabil, disarankan menggunakan PCC (Per Connection Classifier)
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-180
Per Connection Classifier
¢ Adalah parameter firewall yang memiliki kemampuan untuk membedakan trafik menjadi dua atau lebih stream berdasarkan parameter tetap terjaga, meskipun forwarding table pada kernel ter-refresh
¢ Option yang bisa digunakan adalah: src-address, src-port, dst-address, dst-port
¢ Informasi lebih lanjut: l http://wiki.mikrotik.com/wiki/PCC
¢ Diperkenalkan mulai RouterOS 3.24 Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-181
[LAB-2] Load balanced PCC
Dengan konfigurasi network seperti lab sebelumnya, gunakanlah wlan1, pppoe, dan pptp untuk load balanced dengan PCC
PPTP
PPPoE WLAN1
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-182
Trafik ke Connected Network
¢ Routing ke connected route hanya tersedia di routing table “main”
¢ Kita harus menjaga jangan sampai trafik ke network ini berpindah routing table.
¢ Kita membuat address-list untuk connected network
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-183
Trafik ke Connected Network
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-184
Koneksi dari luar Untuk menjamin bahwa router akan me-reply setiap connection yang masuk dari luar sesuai dengan jalur masuknya.
l Contoh: koneksi winbox ke router
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-185
Custom Route-mark Chain
¢ Ada dua trafik yang harus di load balanced: l Trafik dari client
• Chain=prerouting • In-interface=local (ether1) • Connection-mark=no-mark
l Trafik dari local process • Chain=output • Connection-mark=no-mark
¢ Kedua trafik ini akan di jump ke chain baru
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-186
Jump to Custom Chain
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-187
PCC Rules
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-188
Conn-mark à Route Mark
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-189
All Mangle
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-190
Static Route
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-191
Beberapa Problem Lainnya
¢ Hati-hati untuk penggunaan DNS Server jika kita menggunakan DNS Server ISP dan menggunakan beberapa gateway dari ISP yang berbeda.
¢ Hal ini bisa diatasi dengan: l membuat static route untuk masing-masing
DNS dan meng-accept IP DNS sehingga tidak ikut di PCC
l Menggunakan dns public seperti google-dns
Mikrotik Indonesia http://www.mikrotik.co.id 3-Sep-15 03-192
OSPF APNIC Training - Routing Class
Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ About OSPF
l Autonomous System ¢ Basic LAB OSPF ¢ OSPF Neighbour
l LSP & Instance ¢ OSPF Router Type ¢ OSPF Routing Type
l Cost & Matric ¢ OSPF Area Type
l Tipe LSA & Virtual Link ¢ Routing Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-194
Autonomous System
AS
Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan network, yang semuanya dapat dikendalikan oleh network administrator.
Area 0 Area 1
Area 2 Area 3
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-195
Background 1 ¢ Karena sebuah Autonomous System (AS)
memiliki skala jaringan yang sangat besar maka penggunaan routing menjadi sangat penting dan kritis.
¢ Informasi routing haruslah tepat dan kesalahan melakukan distribusi informasi routing harus diminimalisasi sedikit mungkin.
¢ Sangatlah tidak nyaman jika harus menuliskan rule routing untuk puluhan bahkan ratusan router secara static.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-196
Background 2
¢ OSPF merupakan sebuah routing protokol yang dapat mendistribusikan informasi routing secara otomatis.
¢ OSPF juga merupakan routing protokol yang menggunakan konsep hirarki routing, dengan kata lain OSPF juga mampu membagi-bagi jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan dengan menggunakan sistem pengelompokan yaitu area.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-197
OSPF ? ¢ Open Shortest Path First (OSPF) adalah sebuah
protocol routing otomatis (Dynamic Routing) yang mampu menjaga, mengatur dan mendistribusikan informasi routing antar network mengikuti setiap perubahan jaringan secara dinamis.
¢ OSPF termasuk di dalam kategori IGP (Interior Gateway Protocol) yang memiliki kemampuan Link-state dan Algoritma Dijkstra yang jauh lebih efisien dibandingkan protocol IGP yang lain.
¢ Menggunakan protocol tersendiri yaitu protocol 89. ¢ OSPF digunakan untuk management informasi dan
distribusi routing di dalam sebuah AS.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-198
OSPF Feature
OSPF (IPv4 RFC 2838 ) l Dynamic routing l Interior Gateway Protocol (IGP) didalam
sebuah routing domain (AS) l Proses convergence yang cepat l Link State / Shortest Path Technology l Route Authentication l Mendukung sistem pembagian Area l Mendukung Fail Over
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-199
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-1] Konfigurasi OSPF
192.168.1.1/24
Internet
192.168.2.1/24
MEJA 1 MEJA 2
Backbone Area
ASBR Router Gateway
192.168.x.1/24
MEJA X
10.10.10.1/24 10.10.10.2/24
10.10.10.x/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-200
[LAB-1] OSPF Network ¢ Tambahkan Network
yang ingin dihubungkan ke area Backbone untuk saling ditukarkan dengan router yang lain.
¢ Amati tabel neighbor router masing-masing dan neighbor router.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-201
[LAB-1] OSPF Neighbor
Tabel neighbor akan berisi informasi mengenai router-router yang berada dalam 1 area OSPF beserta kondisi/statusnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-202
OSPF – Neighbor Discovery
¢ OSPF mampu malakukan Pencarian neighbor router secara otomatis l Yaitu Discovery Router yang juga mengaktifkan OSPF
dalam satu area l Menggunakan Hello Packet
¢ Sebuah router bisa terdaftar didalam list neighbor router yang lain apabila : l Interface router tersebut berada dalam area (Area-ID)
yang sama l Interface router tersebut harus dalam subnet dan
network mask yang sama , kecuali network typenya diset point to point
l Authentikasi, Hello dan Dead Interval HARUS SAMA
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-203
OSPF – Discovery Process R1 R2
Hello Packet
Neighbor State Neighbor State DOWN DOWN
INIT R1
Hello Packet
R2 2-WAY R2 ExStart
DD
ExStart R1
DD
R2 Exchange
DD
Exchange R1
DD
R2 Loading
DD
Loading R1
LSR
LSR LSU
LSU
R2 Full Full R1
LSAck
LSAck
1 1 2
3 4 5 6 7 8 9
10 10
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-204
OSPF-Neighbor State Neighbor State Description
Down Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan
Attempt Digunakan pada neighbor yang ditambahkan manual pada NBMA
Init Hello packet diterima dari router lain tetapi router-id penerima yang tertera dalam hello packet belum ada didalam list neighbor
2-Way Hello packet yang diterima dari router lain dan ip router penerima ada
didalam list neighbor router lain. Dalam state ini komunikasi bidirectional sudah terbentuk
ExStart DR dan BDR sudah terpilih, pertukaran link-state dimulai
Exchange Router mengirimkan Database Description packet ke neighbor
Loading Router mengirimkan Link State Request packets untuk informasi routing dari neighbor
Full Informasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah terhubung penuh
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-205
OSPF Packet Type
¢ Hello – Digunakan untuk membentuk komunikasi dengan neighbor yang terhubung langsung
¢ Database Descriptor (DD) – Digunakan untuk mengecek sinkronisasi database routing antar router.
¢ Link State Request (LSR) – Digunakan untuk meminta informasi routing terbaru
¢ Link State Update (LSU) – Digunakan untuk mengirimkan informasi routing terbaru
¢ Link State Acknowledgment (LSAck) – Digunakan untuk mengkonfirmasi informasi link-state yang diterima
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-206
Link State Routing Langkah-langkah atau cara kerja OSPF :
l Setiap router membuat Link State packet (LSP). l Mendistribusikan LSP ke semua neighbor menggunakan Link
State Advertisement (LSA) type 1 dan menentukan DR dan BDR dalam 1 area.
l Masing-masing router menghitung jalur terpendek ke semua neighbor berdasarkan cost routing.
l Jika ada perbedaan atau perubahan tabel routing, router akan mengirimkan LSP ke DR dan BDR melalui alamat multicast 224.0.0.6.
l LSP akan dididistribusikan oleh DR ke router neighbor lain dalam 1 area sehingga semua router neighbor akan melakukan perhitungan ulang jalur terpendek.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-207
[LAB-1] OSPF Instance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-208
OSPF Instance Setting ¢ Router-id à Memberi pengenal pada router.
l Berformat 32bit seperti IP, sifatnya unik artinya tiap router tidak boleh memiliki ID yang sama dalam sebuah jaringan
l Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP terbesar yang ada pada router
¢ Redistribute Default Route à Mendistribusikan default route. ¢ Redistribute Connected Routes à Mendisitribusikan IP network
yang terpasang di interface ¢ Redistribute Static Routes à Mendistribusikan route static yang
ada pada table /ip route ¢ Redistribute RIP Routes à Mendistribusikan route hasil RIP ¢ Redistribute BGP Routes à Mendistribusikan route hasil BGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-209
[LAB-1] OSPF Route
Rule routing yang memiliki Flag DAO menunjukkan ada rule routing yang didistribusikan menggunakan protocol OSPF.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-210
[LAB-1] OSPF Route Detail
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-211
[LAB-1] OSPF Interface
¢ Setelah OSPF network ditentukan maka secara otomatis mendeteksi interface yang menggunakan network tersebut.
¢ Untuk mengubah cost dan priority interface harus didefinisikan secara manual.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-212
Area DR & BDR ¢ Dalam setiap area, router akan memilih Designated Router (DR)
dan Backup Designated Router (BDR) secara otomatis. ¢ DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam
satu area menggunakan alamat multicast 224.0.0.5, sehingga mengurangi proses pertukaran LSA antar router
¢ BDR, akan menggantikan DR jika terjadi error ¢ Dalam permulaan pembentukan OSPF, DR merupakan router
pertama yang mengaktifkan OSPF dan BDR merupakan router kedua yang mengaktifkan OSPF
¢ Jika OSPF sudah berjalan, maka pemilihan DR dan BDR selanjutnya ditentukan oleh priority dari interface masing-masing router dalam 1 area l (0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR) l Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-213
Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-2] OSPF - Fail Over
192.168.1.0/24
IR Meja 1
Internet
192.168.2.0/24
IR Meja 2
192.168.3.0/24
IR Meja 3
MEJA 1 MEJA 2 MEJA 3
Backbone Area
ASBR Router Gateway
192.168.4.0/24
IR Meja 4
MEJA 4
Backup link Backup link
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-214
[LAB-2] OSPF - Fail Over detail
IR Meja 1
Internet
Backbone Area
ASBR Router Gateway
IR Meja 2
Backup link
Ether2 10.100.Y.1/24
Ether2 10.100.Y.2/24
¢ Hubungkan ether2 dari router anda ke ether2 router rekan anda sebagai link backup.
¢ Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut. ¢ Y adalah nomor kelompok.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-215
[LAB-2] Interface for Backup
Tambahkan network baru ke backbone area.
10.100.y.0/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-216
Redundant Detected
¢ DR akan menerima perubahan informasi routing dari masing-masing group dan menyebarkan informasi tersebut ke router group yang lain
¢ Network baru tersebut bisa dirouting menggunakan 2 jalur yang berbeda
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-217
[LAB-2] Fail Over Test
¢ Coba matikan link utama dan test apakah fail over bisa dilakukan otomatis.
¢ Hidupkan kembali link utama untuk cek terhadap proses failover.
IR Meja 1
Internet
Backbone Area
ASBR Router Gateway
IR Meja 2
Backup link
Ether2 10.10.1.1/24
Ether2 10.10.1.2/24
x
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-218
Metric & Cost ….? ¢ Metric adalah salah satu parameter di routing yang
sebenarnya merupakan kumpulan nilai logic yang digunakan oleh algoritma routing untuk menentukan jalur routing yang akan dilewati
¢ Nilai Metric ditentukan oleh network administrator dengan pertimbangan berdasar : l Jumlah hop yang akan dilewati l Kondisi latency l Packet loss (router congestion/conditions) l Besar bandwidth l Cost
¢ Pada OSPF, untuk menetukan nilai Metric internal menggunakan parameter Cost pada interface.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-219
OSPF Cost ¢ Untuk menetukan jalur terpendek atau bisa juga
diartikan sebagai jalur prioritas, OSPF menggunakan parameter “Cost”.
¢ OSPF “Cost” akan dijumlahkan di setiap hopnya pada proses Link State / Shortest Path Technology.
¢ Setelah semua jalur sudah dikalkulasi dan total Cost semua jalur sudah dijumlahkan, maka akan dipilih jumlah akumulasi cost yang terkecil
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-220
OSPF Cost
¢ Terlihat ada dua jalur yang bisa menuju ke network tujuan.
¢ Setelah dilakukan perhitungan total Cost, jalur 1 memiliki total cost terkecil. Maka jalur tersebut yang akan digunakan
40 20
10
10 10
Jalur 1 total : 30
Jalur 2 total : 70
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-221
[LAB-3] OSPF - Cost ¢ Bangun bagan network
berikut dengan kelompok terdiri 4 router dan terkoneksi menggunakan ethernet.
¢ Gunakan konfigurasi OSPF (manual Interface) sehingga traffic berjalan searah jarum jam.
¢ Traffic upload melewati router bagian kiri dan download melewati router bagian kanan.
10
10
10
10
100
100
100
100
?? ??
Internet
Backup
¢ Gunakan koneksi wireless (ether4) sebagai backup link.
¢ Tentukan cost dari backup link supaya traffic tetap searah jarum jam.
R1
R2
R3
R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-222
[LAB-3] OSPF - Cost
10
10
10
10
100
100
100
100
50 ??
Internet
Backup
ether2 - 10.Y.1.1/24
Ether3 - 10.Y.1.2/24
Ether2 - 10.Y.2.1/24
Ether3 - 10.Y.2.2/24 10.Y.3.1/24 - Ether2
10.Y.3.2/24 – ether3
10.Y.4.1/24 – ether2
10.Y.4.2/24 – ether3
ether4- 10.Y.5.1/24 10.Y.5.2/24 – ether4
10.10.10.X 10.10.10.100
X : Nomor Kursi Y : Nomor Kelompok Tentukan cost pad backup link supaya traffic tetap berjalan searah jarum jam. Test apakah yang terjadi jika salah satu link mati ?
R1
R2
R3
R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-223
Cost Overwrite
Tambahkan interface untuk link backup dan ubah “cost” supaya menjadi routing backup.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-224
OSPF – Router Type (1)
Area 0 Area 1
Area 2
ASBR
¢ ASBR – Autonomous System Border Router ¢ ABR – Area Border Router ¢ IR – Internal Router
ABR
ABR
IR IR
IR
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-225
OSPF – Router Type (2) ¢ IR adalah router yang berada dalam sebuah area OSPF
dan tidak terhubung langsung dengan area yang lain. ¢ ABR adalah router yang menjembatani area backbone
dengan dengan area yang lain. ¢ ASBR adalah sebuah router yang biasanya terletak di
perbatasan sebuah AS (Router Terluar dari AS) dan bertugas untuk menjembatani antara router yang ada di dalam AS dengan Network lain (Berbeda AS). l ASBR juga bisa berarti sebuah router anggota OSPF
yang menjembatani routing OSPF dengan protocol Routing yang lain (RIP,BGP dll).
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-226
OSPF Routing Type Intra-Area routing
l Menggambarkan route ke network tujuan yang masih dalam satu area.
Area 0 Area 1
Area 2
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-227
OSPF Routing Type Inter-Area routing
l Menggambarkan route ke tujuan yang membutuhkan melewati satu atau lebih area OSPF dan masih dalam satu AS.
Area 0 Area 1
Area 2
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-228
RIP BGP
Other OSPF dsb
OSPF Routing Type External Area routing
l Menggambarkan route untuk keluar jaringan OSPF l Dibedakan menjadi 2 tipe :
• E1 à E1 route cost merupakan jumlah dari internal cost dan external ospf metric.
• E2 à E2 route cost merupakan nilai dari external OSPF metric saja
Area 0
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-229
192.168.1.0/24
192.168.1.0/24
OSPF - External Route Type
40 20
10
10 10
Jalur 1 total : 50
Jalur 2 total : 90
TYPE 1
Metric 20 Redistribute as type 1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-230
OSPF Metric – as type 1
¢ Ketika OSPF pada IR 1 menggunakan “as-type-1” maka informasi metric akan diberikan dengan informasi routing ke IR2.
¢ Sehingga total Metric pada IR2 adalah pejumlahan metric dari IR1 dengan Cost pada IR2.
IR 1 IR 2 OSPF Routing Transaction
Ether2 10.10.Y.1/24
Ether2 10.10.Y.2/24
Route Metric Cost
Route Metric Cost
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-231
192.168.1.0/24
192.168.1.0/24
OSPF - External Route Type
40 20
10
10 10
Jalur 1 total : 30
Jalur 2 total : 70
TYPE 2
Metric 20 Redistribute as type 2
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-232
OSPF Metric – as type 2
¢ Ketika OSPF pada IR1 menggunakan “as-type-2” maka yang dikirimkan ke IR2 hanyalah informasi routing saja
¢ Sehingga total Metric pada IR2 hanya mengacu pada cost IR2
IR 1 IR 2 OSPF Routing Transaction
Ether2 10.10.Y.1/24
Ether2 10.10.Y.2/24
Route Cost
Route Cost
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-233
Metric Overwrite
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-234
OSPF Network Type (1) ¢ Point-to-Point
l Adalah jenis jaringan yang paling sederhana, tersusun atas dua router yang terhubung langsung dan tidak diperlukan DR dan BDR dalam type ini
¢ Broadcast l Type Default yang digunakan pada jaringan ethernet. Satu paket yang
dikirimkan sebuah router akan diterima oleh banyak router
neighbor neighbor
neighbor
DR
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-235
NBMA – Non-Broadcast-Multiple-Access l Mirip dengan broadcast, akan tetapi untuk neighbor harus
ditambahkan secara manual karena tidak semua jaringan mendukung broadcast, salah satu contohnya adalah ATM dan Frame-relay.
OSPF Network Type (2)
DR
neighbor
neighbor
neighbor
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-236
Point-to-Multipoint l Solusi lain untuk network yang tidak mendukung broadcast,
mengemulasi link point-to-point ke dalam beberapa node dan mengirimkan paket Halo ke semua node. Biasanya type ini digunakan untuk jaringan wireless
OSPF Network Type (3)
neighbor
neighbor
neighbor
neighbor
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-237
OSPF Area
Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu area menyesuaikan skala dari jaringan yang dimiliki.
Area 0 Area 1
Area 2
ASBR
ABR
ABR
IR
IR
Area 3 IR IR
IR
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-238
OSPF Area ¢ Semakin banyak router dan jaringan didalamnya,
semakin besar ukuran Link State Databaseà cpu load, memory
¢ Internal router akan mendapat LSA hanya dari router lain yang masih dalam satu area
¢ Area yang ingin mendapatkan informasi LSA secara lengkap dan bisa terkoneksi dengan jaringan yang ada di luar AS maka harus terhubung secara logic dengan Backbone (Area 0).
¢ Untuk area yang tidak secara langsung terhubung ke ke area backbone bisa menggunakan Virtual Link memanfaatkan area lain yang sudah terhubung ke Backbone Area.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-239
Area Type ¢ Backbone – Area 0 (Area ID 0.0.0.0)
l Bertanggung jawab mendistribusikan informasi routing antara non-Backbone area
l Semua sub-Area HARUS terhubung dengan backbone secara logikal
¢ Standart / Default Area l Merupakan sub-Area dari Area 0. Area ini menerima LSA intra-
area dan inter-area dari ABR yang terhubung dengan area 0 ¢ Stub Area
l Area yang paling “ujung”. Area ini tidak menerima advertise external route (digantikan default route)
¢ Not So Stubby Area (NSSA) l Stub Area yang tidak menerima external route (digantikan
default route) dari area lain tetapi masih bisa mendapatkan external route dari router yang masih dalam 1 area
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-240
OSPF – Backbone Area
Area 0
Area 1
Area 2
ASBR
ABR ABR
¢ Area 0 atau sering juga disebut sebagai Backbone Area merupakan area dimana Router-Router ABR berkumpul untuk saling menukarkan informasi routing dari area-area yang lain.
¢ Area Backbone juga merupakan Area Transit sebelum traffic keluar atau masuk ke dalam sebuah AS.
¢ Sebuah area yang tidak terhubung langsung ke area backbone bisa terhubung ke backbone area menggunakan Virtual Link.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-241
[LAB-4] OSPF – Area
R1
R3
R5 R6
R2
R4
R7 R8
Internet
AREA 0 – BACKBONE AREA STANDART AREA
AREA 1 NSSA AREA
AREA 2 STUB AREA
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-242
[LAB-4] OSPF – Backbone
R1
R3
R2
R4
Internet
AREA 0 – BACKBONE AREA STANDART AREA
Wlan 2 10.y.1.1/24
Wlan 2 10.y.1.2/24
Wlan 2 10.y.1.3/24
Wlan 2 10.y.1.4/24
¢ Koneksi antar router backbone gunakan interface WLAN2 ¢ Gunakan frekuensi 5GHz dengan SSID – “KelompokY”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-243
[LAB-4] OSPF – Backbone ¢ Atur Router-ID menggunakan 10.10.10.x pada instances ¢ Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area
backbone
R1-R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-244
[LAB-4] OSPF – NSSA Area
R3
R5 R6
AREA 1 NSSA AREA
Ether2 10.y.2.1/24
Ether3 10.y.3.1/24
Ether2 10.y.2.2/24
Ether3 10.y.3.2/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-245
[LAB-4] OSPF – NSSA
R3 , R5, R6
¢ Atur Router-ID menggunakan 10.10.10.x pada instances ¢ Buat Area dengan type NSSA
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-246
[LAB-4] OSPF – NSSA
Pada R3
Tambahkan network ke area1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-247
[LAB-4] OSPF – NSSA
R5
Tambahkan network ke area1
R6
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-248
[LAB-4] OSPF – STUB Area
R4
R7 R8
AREA 2 STUB AREA
Ether2 10.y.4.1/24
Ether3 10.y.5.1/24
Ether2 10.y.4.2/24
Ether3 10.y.5.2/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-249
[LAB-4] OSPF – STUB
R4 , R7, R8
¢ Atur Router-ID menggunakan 10.10.10.x pada instances ¢ Buat Area dengan type STUB
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-250
[LAB-4] OSPF – STUB
Pada R4
Tambahkan network ke area1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-251
[LAB-4] OSPF – STUB
R7
Tambahkan network ke area1
R8
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-252
[LAB-4] OSPF – AREA ¢ Amati dan lihat perubahan tabel routing untuk
masing-masing IR di setiap AREA. ¢ Apakah ada perbedaan tabel routing antara IR
pada NSSA dengan STUB area ? ¢ Tambahkan static default gateway pada R1 ke
10.10.10.100 dan aktifkan redistribute-default-route, kemudian amati perubahan tabel routing di masing-masing router.
¢ Import route-nice.rsc ke R3 dan R4. ¢ Aktifkan redistribute-static route di R3 dan R4
kemudian cek perubahan tabel routing di masing-masing router.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-253
OSPF - Virtual Link ¢ Virtual Link à digunakan untuk mengatasi
koneksi router yang terpisah (secara fisik) dari area backbone.
¢ Juga dapat digunakan untuk menyabung area backbone yang terpisah.
¢ Virtual Link Tidak bisa berjalan sempurna jika melewati stub area.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-254
[LAB-6] OSPF – Virtual Link
¢ Karena Virtual Link tidak bisa melewati area yang bertipe Stub maka ubah type area pada Area1 dan Area2 menjadi type standard (default).
¢ Kemudian Aktifkan Virtual Link di R2 dan R3.
Internet
Area Backbone
Area 1
10.10.10.X
10.10.10.100 Ether2: 10.Y.1.1
Ether3: 10.Y.1.2
Ether2: 10.Y.2.1
Ether3: 10.Y.2.2
Ether2: 10.Y.3.1
Ether2: 10.Y.3.2
Virtual Link
Y = Nomor Kelompok X = Nomor Meja
Area 2
R1
ABR
ABR
IR
R2
R3
R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-255
[LAB-6] R2 Configuration
¢ Ubah Area1 menjadi Area Standard. ¢ Buat Virtual Link melewati Area1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-256
[LAB-6] R3 Configuration
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-257
[LAB-6] R3 Configuration Aktifkan network OSPF di kedua area.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-258
[LAB-6] R3 Configuration ¢ Tambahkan Virtual Link
memanfaatkan Area1. ¢ Pastikan NeighborID
sama dengan RouterID yang ada di Area1.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-259
[LAB-6] R4 Configuration ¢ Tambahkan Area2 di R4. ¢ Aktifkan Network untuk
Area2.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-260
OSPF - Virtual Link
Saat ini Virtual link tidak bisa berjalan sempurna di ROS v4/v5 !!
Solusi : 1. Gunakan EoIP antara R3 ke R1 2. Pasang IP di interface EoIP 3. Masukkan IP network EoIP tersebut kedalam
network backbone
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-261
LSA Type ¢ Type 1 (Router link) : LSA yang diterima dari router lain dalam satu
area dan berisi informasi router-id neighbor ¢ Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR
dalam satu area. ¢ Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR
ke neighbor yang berisi ringkasan informasi network area lain dalam satu AS
¢ Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari router ASBR yang mengadvertise LSA type 5
¢ Type 5 (AS External Link) : LSA ini berisi informasi network external AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub Area dan NSSA Area)
¢ Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF (MOSPF), routing protocol yang jarang digunakan
¢ Type 7 (Group Membership) : Membawa informasi network external AS yang melewati NSSA
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-262
STANDART AREA AREA 0
OSPF – LSA Standart Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
TYPE 5
TYPE 4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-263
STUB AREA AREA 0
OSPF – LSA STUB Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
0.0.0.0/0
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-264
NSSA AREA AREA 0
OSPF – LSA NSSA Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 5 TYPE 7
TYPE 4
0.0.0.0/0
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-265
Routing Filter ¢ Hampir sama dengan IP firewall, routing bisa
mengimplementasikan filtering terhadap informasi routing yang didistribusikan di setiap protocolnya.
¢ Mirip juga dengan IP firewall Urutan penempatan rule sangat berpengaruh.
¢ OSPF memiliki chain default yang digunakan untuk meletakkan filter : l Chain built in atau chain default “OSPF-IN” adalah
chain untuk meletakkan filter informasi routing yang masuk.
l Chain built in atau chain default “OSPF-OUT” aladah chain untuk meletakkan filter informasi routing yang keluar.
¢ Custom chain juga bisa dibuat sesuai kebutuhan dengan menuliskan nama chain baru secara manual.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-266
OSPF-Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-267
Routing Filter Chain ¢ Beberapa parameter yang diperlukan untuk melakukan
routing filter : ¢ Chain : Nama chain untuk meletakkan rule filter.
l ospf-in – Lokasi untuk melakukan filter informasi routing OSPF yang diterima oleh router sebelum dipasangkan di tabel routing
l ospf-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam OSPF
l rip-in – Lokasi untuk melakukan filter informasi routing RIP yang diterima oleh router sebelum dipasangkan di tabel routing
l rip-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam RIP
l mme-in – Lokasi untuk melakukan filter informasi routing MME yang diterima oleh router sebelum dipasangkan di tabel routing
l connected-in – Letak chain default untuk menempatkan filter routing Direct Connect (input).
l dynamic-in – Letak chain default untuk routing dynamic yang lain (Selain routing protocol dan connect directly). Biasanya untuk routing yang diinputkan dari ppp daemon.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-268
Routing Filter Prefix & Prefix Lenght ¢ Prefix adalah segmen network yang ingin difilter
l Contoh : • 0.0.0.0/0 – untuk memfilter default route • 192.168.0.0/24 – jika tidak ada tambahan setting di preffix-
length maka akan melakukan filter network tersebut secara spesifik.
• 192.168.0.0 – jika tidak ada prefix segmen maka dianggap sebagai /32
¢ Prefix-Length adalah filter terhadap prefix-mask dari parameter Prefix. Contoh : l prefix=10.0.0.0/8 prefix-length=8-32
• Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255 l prefix=8.8.0.0/16 prefix-length=16-32
• Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-269
Routing Filter - Action ¢ Accept – Menerima prefix routing ¢ Discard – tidak memasukkan prefix routing ke proses
pengolahan routing di FIB. ¢ Jump – Melemparkan prefix routing ke chain filter routing
yang lain. l Jump Target – Chain tujuan yang baru.
¢ Log – Memasukkan informasi routing ke pesan Log System.
¢ Passthrough – Meneruskan informasi routing untuk di periksa di rule dibawahnya dalam chain yang sama.
¢ Reject – jika digunakan di Incoming Filter, prefix yang masuk akan disimpan di memory tetapi tidak akan diaktif. Jika Outgoing Filter, prefix tidak akan diproses sama sekali.
¢ Return – Mengembalikan prefix routing yang sebelumnya sudah terkena filter jump.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-270
[LAB-7] OSPF – PPP Network Internet
Area Backbone
Area 1 STD AREA
10.10.10.X
10.10.10.100 Ether2: 10.Y.1.1
Ether3: 10.Y.1.2
Ether2: 10.Y.2.1
Ether3: 10.Y.2.2
Ether3: 10.Y.3.1
Ether2: 10.Y.3.2
Y = Nomor Kelompok X = Nomor Meja
PPPoE Network
¢ Bangun network topologi seperti pada gambar dan aktifkan PPPoE server di Ether3 R4.
¢ Tambahkan Jaringan yang menggunakan protocol PPP untuk kasus kali ini kita akan mencoba menggunakan network PPPoE
¢ Gunakan Notebook sebagai client
Ether3
R1
R2
R3
R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-271
OSPF – Filter PPP protocol ¢ OSPF juga bisa melakukan distribusi routing untuk
network point-to-point /32 (VPN / point-to-point addressing).
¢ Karena sifatnya yang sangat dinamis perubahan struktur jaringan VPN (PPP) akan semakin membebani kerja protocol OSPF.
¢ Direkomendasikan untuk melakukan filter terhadap network jenis ini.
¢ Untuk distribusi routing PPPoE di OSPF kita bisa memasang IP Agregasi ke salah satu interface di router, biasanya ip agregasi tersebut dipasang di interface dimana service PPP dipasang.
¢ Atau bisa juga memasang static route dari network VPN (PPP) mengarah ke router itu sendiri.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-272
[LAB-7] OSPF - PPP Filter
Gunakan routing filter di OSPF untuk menghilangkan advertise network /32 karena akan membebani proses update routing.
Ether3: 10.Y.3.1
Ether2: 10.Y.3.2
Area 1
PPPoE / VPN Network Ether3
Client 1
Client 2
Client 4 Client 3
R3
R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-273
[LAB-7] OSPF-Filter
/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard
Filter ini dipasang di semua Router yang terhubung ke OSPF Network
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 04-274
BGP APNIC Training - Routing Class
Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline
¢ Konsep Routing ¢ BGP ¢ eBGP ¢ iBGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-276
Konsep Routing
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
MTCINE Training Class 2014
05-277
Apa yang dilakukan router?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-278
Agenda harian sebuah router
¢ Mencari jalur terbaik ¢ Mem-forward paket, forward, forward,
forward, forward….. ¢ Mencari alternatif jalur ¢ Mem-forward paket, forward, forward,
forward, forward….. ¢ Berulang hingga router dimatikan.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-279
Routing vs Forwarding
¢ Routing : melakukan pemetaan jaringan dan memberikan pilihan jalur terbaik untuk tujuan tertentu
¢ Forwarding : melewatkan paket data sesuai dengan pilihan jalur terbaik
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-280
Mencari jalur terbaik
¢ Jalur ditentukan berdasarkan informasi yang diterima dari protokol routing
¢ Untuk tujuan yang sama, sangat dimungkinkan ada dua atau lebih pilihan jalur l Hanya pilihan jalur terbaik yang disimpan
pada forwarding table
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-281
Mencari jalur terbaik
¢ Proses pemilihan jalur dilakukan secara berkala, atau jika terjadi perubahan topologi jaringan l Misalnya:
• ada jalur yang putus • ada penambahan atau pengurangan perangkat/
jalur
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-282
BGP
RoS Routing Information Base
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
BGP
+
- discard
All Routes
Active Routes
Input Filters
Protocol’s Routes
Route Selection
Output Filters Instance 1
Instance 2
Instance 2
Connected Routes
Static Routes
OSPF
RIP
MME
OSPF
RIP
MME
Instance 1
Instance 2
Instance 2
citraweb2014
05-283
Autonomous System
¢ Kumpulan router dengan kontrol administratif yang sama.
¢ Memiliki AS Number l 2 byte atau 4 byte l AS64512 – 65534 digunakan untuk
kebutuhan privat
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-284
Default Administrative Distance Route Source Distance Connected Interface 0 Static Route 1 Enhanced IGRP Summary Route 5 External BGP 20 Internal Enhanced IGRP 90 IGRP 100 OSPF 110 IS-IS 115 RIP 120 EGP 140 External Enhanced IGRP 170 Internal BGP 200 Unknown 255
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-285
BGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
MTCINE Training Class 2014
05-286
BGP
¢ Border Gateway Protocol ¢ Menggunakan TCP port 179 ¢ Saat ini sebagai protokol EGP utama,
menghubungkan antar backbone internet ¢ Update routing dengan “incremental
updates” ¢ Merupakan “path vector protocol”
l kalkulasi jalur berdasarkan panjang path
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-287
BGP General Operation
¢ Mendengar dan mempelajari semua path, baik dari IGP maupun EGP
¢ Memilih best path dan mengaktifkannya ke forwarding table
¢ Best path dikirimkan ke external BGP neighbor
¢ Filter/policy bisa diterapkan untuk mengatur proses pemilihan best path
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-288
BGP - RFC ¢ RFC 4271 Border Gateway Protocol 4 ¢ RFC 4456 BGP Route Reflection ¢ RFC 5065 Autonomous System Confederations for BGP ¢ RFC 1997 BGP Communities Attribute ¢ RFC 2385 TCP MD5 Authentication for BGPv4 ¢ RFC 5492 Capabilities Advertisement with BGP-4 ¢ RFC 2918 Route Refresh Capability ¢ RFC 4760 Multiprotocol Extensions for BGP-4 ¢ RFC 2545 Use of BGP-4 Multiprotocol Extensions for
IPv6 Inter-Domain Routing ¢ RFC 4893 BGP Support for Four-octet AS Number
Space
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-289
Demarcation Zone (DMZ)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS1 AS2
AS3
Network/link antar AS
citraweb2014
05-290
BGP Capabilities
¢ BGP speaker akan mengadvertise tipe data tertentu yang disupport router tersebut
¢ Router akan mengirimkan notifikasi apabila menerima tipe data yang tidak disupport
¢ Peering akan dilakukan bila kedua router dapat mensupport tipe data yang sama
¢ Beberapa hal yang dapat dilakukan routerOS: l Route refresh l Multi protocol extention l 4 byte AS
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-291
BGP Transport
¢ Dilakukan dengan mempertukarkan NLRI (network layer reachability information)
¢ NLRI mengandung prefix dan atribut yang menyertainya
¢ TCP 179 ¢ Saat pertama kali terkoneksi (initial
exchange), router akan bertukar semua informasi routing yang dimiliki
¢ Update secara incremental dilakukan sesudahnya (menjaga versi routing table)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-292
Format Protocol
¢ Paket data BGP terbagi menjadi 4 bagian: l Markers (128bits) – untuk otentikasi l Length (16 bits) l Type (8bits) – BGP message type l Message body
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-293
BGP States
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
1. Idle
2. Connect
3. Active
4. OpenSent
5. OpenConfirm
6. Established KEEPALIVE UPDATE
akan mulai
menunggu koneksi TCP
berusaha mendapatkan peer
OPEN
KEEPALIVE
KEEPALIVE
citraweb2014
05-294
Tipe Pesan BGP
¢ Open – adalah pesan pertama yang dikirimkan setelah koneksi TCP terbentuk, berisi daftar kemampuan. Dikonfirmasi dengan keepalive.
¢ Keepalive – tidak berisikan data, dikirimkan untuk menjaga supaya hold timer tidak expired.
¢ Update – berisikan data perubahan routing (NLRI dan Path Attributes)
¢ Notification – dikirimkan saat ada kondisi error, berisikan kode error dan subcode
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-295
BGP Session & Update
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-296
BGP Advertisement
Agar Network 100 dapat berkomunikasi dengan Network 200, maka:
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100 AS200
Net100 Net200
AS100 harus mengadvertise ke AS200 AS200 harus menerima advertise dari AS100
AS200 harus mengadvertise ke AS100 AS100 harus menerima advertise dari AS200
citraweb2014
05-297
Tipe BGP
¢ Exterior BGP (eBGP) l dilakukan antar 2 router yang berbeda AS
¢ Interior BGP (iBGP) l dilakukan antar 2 router dengan AS yang sama
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100 AS200
AS300
AS400
eBGP
eBGP
iBGP
citraweb2014
05-298
Path Vector
¢ Network dalam 1 AS diperlakukan sebagai 1 titik path
¢ Prefix diadvertise bersama dengan daftar AS terkait, disebut dengan AS Path l 202.65.112.0/24 – AS100,AS200,AS300
¢ Topologi jaringan dalam AS akan tersembunyi
¢ Tidak dapat menjamin loop free di dalam satu AS yang sama
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-299
Implementasi Path Vector
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100 AS200
AS300
1
2 3
menambahkan AS100 ke path
menambahkan AS300 ke path
ditolak karena AS100
sudah ada di path
X
10.10.10.0/24
citraweb2014
05-300
MultiProtocol BGP
¢ BGP awalnya didesain untuk IPv4 ¢ Atribut “Address-Family” ditambahkan
supaya BGP dapat juga membawa tipe pengalamatan yang baru
¢ RouterOS juga mensupport tipe alamat: l IP à IPv4 l IPv6 l L2VPN l VPN4 l Cisco style L2VPN
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-301
Exterior BGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
MTCINE Training Class 2014
05-302
Exterior BGP
¢ Antara 2 router dengan berbeda ASN, untuk mempertukarkan prefix
¢ Hampir selalu dilakukan antara 2 router yang langsung terhubung (direct connected)
¢ Untuk mengimplementasikan routing policy ¢ Bisa menggunakan multihop bila tidak
terhubung langsung ¢ Akan menambahkan AS Path untuk prefix
yang diadvertise ¢ Secara default, next-hop adalah router itu
sendiri
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-303
Multihop & TTL
¢ Multihop : diaktifkan jika BGP peer tidak terkoneksi langsung (layer 3), kemungkinan disebabkan adanya router lainnya.
¢ TTL : Banyaknya hop yang diijinkan antar router. Untuk peer yang direct connected, bisa digunakan TTL=1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
BGP Peer Multihop=yes, TTL=3
citraweb2014
05-304
Multihop ¢ Hanya berfungsi untuk eBGP dan iBGP
dengan confederation*. ¢ Parameter ini juga berfungsi untuk:
l melakukan koneksi BGP dengan peer yang tidak satu network.
l apakah akan menerima prefix dengan atribut NEXT-HOP yang tidak satu subnet dengan IP Address yang digunakan untuk melakukan peer BGP.
l pengaturan nilai target-scope, sehingga memiliki scope routing IGP.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-305
LAB BGP-1 - Peering
¢ Lakukan konfigurasi dasar sesuai skema ¢ Tidak perlu default route dan src-nat,
informasi routing dijalankan via BGP Peer ¢ Buat instance dan lakukan peer ke router
depan
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-306
Nomor meja & kelompok
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
KELOMPOK Y=1
X=1 X=2 X=3 X=4
KELOMPOK Y=2
X=5 X=6 X=7 X=8
KELOMPOK Y=3
X=9 X=10 X=11 X=12
KELOMPOK Y=4
X=13 X=14 X=15 X=16
KELOMPOK Y=5
X=17 X=18 X=19 X=20
KELOMPOK Y=6
X=21 X=22 X=23 X=24
MEJA GURU
citraweb2014
05-307
Konfigurasi dasar
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1 10.10.10.1/24
WLAN1 10.10.10.2/24
WLAN1 10.10.10.X/24
10.10.10.100/24
ETHER1 192.168.1.1/24
ETHER 192.168.1.2/24
ETHER1 192.168.2.1/24
ETHER 192.168.2.2/24
ETHER1 192.168.X.1/24
ETHER 192.168.X.2/24
AS100
AS1101 AS1102 AS1YXX
MEJA 1 KELOMPOK 1
MEJA 2 KELOMPOK 1
MEJA X KELOMPOK Y
citraweb2014
05-308
Konfigurasi dasar ¢ Pada laptop:
l Ether : 192.168.X.2/24 l Gateway : 192.168.X.1 l DNS : 192.168.X.1
¢ Pada router : l System identity : Y-XX Nama Peserta l WLAN : 10.10.10.X/24 (terkoneksi ke depan) l ETHER1 : 192.168.X.1/24 l DNS : 10.10.10.100 (allow remote request) l tidak perlu default route l tidak perlu src-nat
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-309
CLI Basic Config (Meja 1)
/system identityset name="1-01 Dian Sastro" /interface wireless
set mode=station wlan1 band=2ghz-onlyg disabled=no frequency-mode=superchannel scan-list=2502 ssid=MTCINE
/ip address add address=10.10.10.1/24 interface=wlan1 add address=192.168.1.1/24 interface=ether1
/ip dns set allow-remote-requests=yes servers=10.10.10.100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-310
BGP Instance (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-311
BGP Peer (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-312
CLI Configuration
¢ /routing bgp instance set default as=1101 redistribute-connected=yes redistribute-static=yes
¢ /routing bgp peer add name=peer100 remote-address=10.10.10.100 remote-as=100 default-originate=never
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-313
BGP Status & IP Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-314
BGP Peer Status (Trainer)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-315
¢ Lakukan backup konfigurasi ¢ Beri nama “eBGP”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-316
BGP Instance
¢ Jika router-id tidak ditentukan secara manual, secara otomatis akan menggunakan IP address terakhir pada router
¢ Di dalam satu router, bisa terdapat dua buah BGP Instance.
¢ Untuk “menghubungkan” instance yang satu dengan yang lain, aktifkan “redistribute-other-bgp”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-317
BGP dapat mengadvertise routing yang didapatkan dari protokol routing lainnya : connected route, static route, OSPF, RIP, dan BGP instance lainnya di router tersebut.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-318
BGP Instance
¢ ignore-as-path-len l Jika diaktifkan, maka algoritma BGP di
router tersebut tidak memperhitungkan panjangnya AS Path
¢ out-filter l Chain filter yang secara default akan
digunakan untuk seluruh peer di instance tersebut
¢ routing-table l Table routing yang akan digunakan oleh
instance ini
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-319
BGP Peer
¢ Instance pada suatu BGP Router, akan terkoneksi ke router lainnya (peer).
¢ Konfigurasi minimum BGP Peer: IP Address, AS.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-320
BGP Peer
¢ Banyak parameter yang bisa dipilih saat membuat sebuah peer.
¢ Detail lengkap mengenai parameter peer dan penjelasannya bisa dilihat di : http://wiki.mikrotik.com/wiki/Manual:Routing/BGP#Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-321
LAB 2: BGP Network
¢ Kirimkan prefix : l 172.20.X.0/24 l 10.1XX.0.0/16
¢ Pastikan prefix bisa diterima dari semua router lainnya
¢ Pastikan juga menerima prefix dari router-router lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-322
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-323
BGP Network
¢ Menginformasikan prefix-prefix yang akan diadvertise dan berasal (originate) dari router tersebut
¢ Berguna jika BGP hanya mengadvertise prefix di BGP Network, tetapi tidak mengadvertise connected route.
¢ Secara bawaan, prefix akan diadvertise jika prefix tersebut aktif di router
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-324
BGP Network - Sync
¢ Synchronize=yes : prefix akan diadvertise apabila prefix tersebut ada di dalam routing table router tersebut.
¢ Synchronization dapat dimatikan jika : l AS tidak memberikan layanan transit l Semua router transit menjalankan BGP
¢ Menonaktifkan synchronization dapat mempercepat kerja BGP
¢ Berbahaya jika jaringan sering hidup-mati
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-325
BGP Network – Sync = yes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Prefix 10.101.0.0/16 ada di router, maka diadvertise
PREFIX YG DITERIMA DI ROUTER LAIN
citraweb2014
05-326
BGP Network – Sync = yes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Prefix 10.101.0.0/16 tidak ada di router, maka tidak diadvertise
PREFIX YG DITERIMA DI ROUTER LAIN
citraweb2014
05-327
BGP Origin
¢ Informasi route origin: l IGP – interior atau originating AS route. l EGP – routing didapat dari Exterior
Gateway Protocol l Incomplete – tidak diketahui asalnya, terjadi
jika route berasal dari routing lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-328
Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-329
BGP Filter
¢ Untuk mengamankan BGP, kita bisa melakukan filter.
¢ Untuk mengatur data yang masuk (inbound traffic), digunakan out-filter
¢ Untuk mengatur data yang keluar (outbound traffic), digunakan in-filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-330
BGP & ConnTrack
¢ Connection Tracking di RouterOS tidak dapat menjaga koneksi tetap valid untuk multihomed BGP.
¢ Paket yang terkait dengan sebuah koneksi dapat berjalan melalui jalur yang berbeda
¢ Jangan melakukan drop untuk invalid connection pada firewall
¢ Connection Tracking sebaiknya dimatikan untuk mendapatkan performance yang lebih baik.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-331
LAB 3 : BGP in-filter
¢ Router Guru akan mengirimkan prefix : l /6, /16, /23, /27
¢ Pastikan prefix yang diterima hanya /8-/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-332
Prefix Belum Difilter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-333
Buat Routing Filter (accept)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-334
Buat Routing Filter (discard)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-335
Pilih In-Filter di BGP Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-336
Routing Table Setelah Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-337
Discard / Reject?
¢ discard – router akan benar-benar mengabaikan prefix tersebut dalam proses berikutnya. Jika di pososi in-filter, prefix ini benar-benar diabaikan/dilupakan.
¢ reject – prefix tersebut diabaikan. l Untuk in-filter, prefix tersebut tetap disimpan
di memory, tetapi ditandai non-aktif. l Untuk out-filter, efeknya sama dengan
discard
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-338
BGP Soft Reconfiguration
¢ Jika menggunakan discard, routes tidak akan diupdate jika filter ada yang diubah. l Gunakanlah action=reject supaya prefix
masih tersimpan di memory l Atau, jika peer memiliki kemampuan
refresh, lakukan refresh route secara manual.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-339
¢ Referensi lebih detail mengenai route filter: http://wiki.mikrotik.com/wiki/Manual:Routing/Routing_filters
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-340
BGP Community
¢ Adalah atribut yang melekat pada suatu prefix, router peer bisa melakukan action tertentu (filter) pada group prefix ini
¢ Default groups: l No-export – tidak diadvertise ke eBGP l No-advertise – tidak diadvertise ke
manapun l Internet – di advertise ke Internet
community l Local-as – tidak diadvertise ke AS yang lain
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-341
LAB 4: BGP Community
¢ Buatlah sebuah filter dengan atribut community, untuk mencegah router AS100 melakukan advertise prefix apapun yang didapat dari router siswa
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-342
LAB BGP Community
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-343
BGP Community
¢ Bisa juga menggunakan format 32 bit “xx:yy” ¢ Memberikan lebih banyak kemungkinan
melakukan kontrol ¢ Dapat digunakan oleh ISP untuk:
l parameter penambahan AS Path l restriksi geografis l Blackhole
¢ Informasi community dapat juga dimasukkan ke Internet Routing Registry (IRR)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-344
Contoh Community
¢ AS100 membuat 2 community: l 100:500 : advertise ke semua peer l 100:501 : advertise hanya ke AS400
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS300
ISP AS100
AS400
AS500 10.1.1.0/24 community 100:500 10.2.2.0/24 community 100:501
citraweb2014
05-345
Contoh #AS300 router config /routing bgp peer set toAS100 out-filter=bgp-out-as100 /routing filter add prefix=10.1.1.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:500 add prefix=10.2.2.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:501 # AS100 router config /routing bgp peer set toAS500 out-filter=bgp-out-as500 /routing filter add bgp-communities=100:501 action=discard\
chain=bgp-out-as500
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-346
IRR
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-347
Lab 5: Community Blackhole
¢ Buat network dan advertise IP Laptop /32 ¢ Buatlah community 100:444 untuk network
tersebut ¢ Router guru akan melakukan blackhole
untuk semua prefix dengan community 100:444
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-348
Konfigurasi Meja 1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-349
Konfigurasi Meja Guru
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-350
Advertisement yang diterima
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-351
¢ Untuk alasan keamanan: l Tidak semua peer dapat menggunakan
sistem blackhole seperti ini l Biasanya backbone akan melimit prefix
hanya /25-/32, supaya tidak tercampur dengan advertisement yang valid
l Saat melakukan advertisement, pastikan tidak mengirimkan IP Privat, lakukan filtering dengan ketat.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-352
Extended Community
¢ Digunakan untuk menambahkan beberapa parameter pada L2VPN dan VPNv4
¢ Parameter yang bisa ditambahkan: l Route Targets l Site of Origin l Control flags l MTU Encapsulation flags
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-353
BGP Multi Gateway
¢ Pertukaran informasi routing yang dilakukan antar router, juga dapat dimanfaatkan untuk melakukan failover pada beberapa gateway yang tersedia.
¢ Penentuan prioritas gateway (inbound dan outbound) dilakukan dengan Route Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-354
LAB 6: BGP Multi Gateway
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
AS1YXX
AS1YXX
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
AS1YXX
AS1YXX
citraweb2014
05-355
Konfigurasi Kelompok 1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.1.1.1/30
ETHER3 10.1.1.2/30
AS100
AS1101
AS1102
MEJA 1 KELOMPOK 1
MEJA 3 KELOMPOK 1
ETHER2 10.1.2.1/30
ETHER3 10.1.2.2/30
ETHER3 10.1.3.2/30
ETHER2 10.1.3.1/30
WLAN1
MEJA 2 KELOMPOK 2
MEJA 4 KELOMPOK 1
AS1103
AS1104
citraweb2014
05-356
BGP Multi Gateway
¢ Non-aktifkan WLAN di R2 dan R3 pada tiap kelompok
¢ Hubungkan R1-R2, R2-R3, R3-R4 sesuai dengan topologi
¢ Buat BGP Peer baru R1-R2, R2-R3, R3-R4 ¢ Amati tabel routing yang terbentuk ¢ Lakukan test fail over dan amati perubahan
pada tabel routing
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-357
Konfigurasi
Meja Guru (kondisi normal)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-358
Default Originate
¢ Never – tidak akan pernah mengirimkan default route. Biasanya digunakan jika terkoneksi ke backbone, private peer, atau internet exchange.
¢ Always – selalu akan mengirimkan default route ke peer
¢ If Installed – akan mengirimkan default route, hanya jika router tersebut memiliki default route aktif.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-359
Implementasi Def Originate
¢ AS100 ke peer lain : always/if-installed ¢ R1, R2, R3, R4 ke AS100 : never ¢ R1 ke R2 : if-installed ¢ R2 ke R1, R2 ke R3 : if-installed ¢ R3 ke R2, R3 ke R4 ; if-installed ¢ R4 ke R3 : if-installed
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-360
Jika ada perubahan link
Jika wlan di R1 terputus
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-361
¢ Pastikan semua konfigurasi telah terpasang dengan baik.
¢ Back up konfigurasi ¢ Beri nama “eBGP-multi-gateway”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-362
Algoritma Keputusan BGP
¢ BGP hanya menggunakan satu jalur terbaik ke tujuan tertentu
¢ BGP selalu menginformasikan best path nya ke neighbor
¢ Beberapa atribut digunakan untuk menentukan best path: weight, next-hop, as-path, local- pref dll.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-363
Urutan Prioritas ¢ Next-hop validation ¢ Highest WEIGHT (default 0) ¢ Highest LOCAL-PREF (default 100) ¢ AS-PATH yang lebih pendek ¢ Locally originated path (aggregate, BGP network) ¢ Lowest origin type (IGP,EGP,Incomplete) ¢ Lowest MED (default 0) ¢ Prefer eBGP over iBGP ¢ Prefer the route with lowest router ID or
ORIGINATOR_ID ¢ Shortest route reflection cluster (default 0) ¢ Prefer the path that comes from the lowest neighbor
address
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-364
AS Path
¢ Urutan AS yang dilewati sebuah paket ¢ AS Path dapat dimanipulasi untuk
pengarahan trafik (prioritas) -> prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS400
AS300
AS100
AS200
AS-Path: 100 AS-Path: 200,100
AS-Path: 300,200,100
10.0.0.0/16
citraweb2014
05-365
AS Path Prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100 AS200
AS300
172.16.0.0/24 AS-Path: 100,300,300
172.16.0.0/24 AS-Path: 200,300
Prepend: 2
172.16.0.0/24
citraweb2014
05-366
LAB 7: AS Path Prepend
Buatlah AS Path Prepend untuk mengatur semua arah trafik searah jarum jam.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
citraweb2014
05-367
Konfigurasi
¢ Lihat di router, second route memiliki AS Path dengan panjang 4
¢ Contoh, di R1, untuk mencapai R2 melalui jalur secondary, akan melewati 3 AS lain (AS100, R4, R3), sehingga total menjadi 4.
¢ Peer ke router searah jarum jam perlu dilakukan prepend sebanyak 4, sehingga nantinya menjadi 5.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-368
Trafik Dari R2 ke R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
AS2
AS2
AS3, AS2
AS4, AS3, AS2 AS100,AS4, AS3, AS2
citraweb2014
05-369
Trafik Dari R2 ke R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
AS2,AS2,AS2,AS2,AS2
AS2
AS3, AS2
AS4, AS3, AS2 AS100,AS4, AS3, AS2
BGP Prepend 4 citraweb2014
05-370
Buat filter prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-371
¢ Pasang filter prepend untuk peer di arah berlawanan jarum jam l R1 memasang prepend di peer ke R100 l R2 memasang prepend di peer ke R1 l R3 memasang prepend di peer ke R2 l R4 memasang prepend di peer ke R3
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-372
Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Router 1
Router 2
Router 3
Router 4
Router Depan
05-373
LAB 8: Weight/AS Filtering
¢ Router depan tidak melakukan prepend apapun. Akibatnya ?
¢ Trafic dari R4 ke R100 tetap langsung ke 10.10.10.100, tidak melalui R3, R2, R1.
¢ Cara mengatasinya??
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R4 citraweb2014
05-374
Weight
¢ Atribut yang hanya dapat digunakan dalam 1 router ¢ Yang nilainya lebih tinggi menang (default 0) ¢ Weight ditambahkan pada prefix menggunakan filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS300
AS200
172.16.0.0/24 Weight=100
172.16.0.0/24 Weight=50
citraweb2014
05-375
Weight
Di R4, kita bisa menambahkan weight untuk prefix yang diterima dari R3 (dengan origin R100)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-376
AS Path Filtering
¢ Dapat digunakan untuk memilih prefix berdasarkan AS Path
¢ Dapat menggunakan regular expression l “.” - any single character l “^” - start of the as-path l “$” - end of the as-path l “_” - matches comma, space, start and end
of as-path
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-377
Contoh AS Path Filtering
AS Path : 400,100,1000,200,350,50
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Yang berasal dari AS50 _,50$ Yang melalui AS100 _,100,_ AS terakhir adalah 400 ^400,_
05-378
Route List R4
Setelah diberi atribut weight, dari R4 menuju ke R100 akan melalui R3, R2, R1, karena routing tersebut memiliki weight lebih besar dari pada jalur R4 langsung ke R100.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-379
BGP: Aggregation
¢ Untuk mengagregasi trafik, tidak semua prefix diteruskan.
¢ Prefix yang diagregasi harus berasal dari satu BGP instance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200
AS300 AS400
192.168.1.0/24
192.168.2.0/24
192.168.0.0/16
05-380
Konfigurasi
¢ Konfigurasi ini bisa dicoba pada R1 dan R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-381
BGP: Stub Network
¢ Single homed l Menggunakan private AS (>64511) l ISP hanya memberi default route l Tidak benar-benar memerlukan BGP l ISP yang akan mengadvertise network l Policy jaringan sama dengan ISP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-382
BGP: Stub Network
¢ Multihomed (ke satu AS) l sama dengan kondisi single homed l BGP dapat digunakan untuk failover/load
balance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-383
Private AS Removal
Jika kita menggunakan private AS di network kita, pastikan kita tidak meneruskan AS Path yang mengandung private AS tersebut.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS65000
AS65001
AS300 AS400
192.168.1.0/24
192.168.2.0/24
192.168.0.0/16 AS Path: 300
citraweb2014
05-384
Private AS Removal
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-385
BGP: Non-Stub Network
¢ Network berdiri sendiri (memiliki policy tersendiri)
¢ Membutuhkan IP Address dan ASN yang didapat dari RIR atau NIR
¢ Dapat digunakan untuk failover/ load balance/dll
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-386
Pengamanan BGP Peer
¢ Gunakan MD5 Auth ¢ Terima hanya IP blok yang dimiliki oleh
peer. Contoh, ISP A memiliki IP Address 172.16.16.0/21. Filter:172.16.16.0/21 prefix: 21-24 accept, lainnya discard
¢ Discard semua IP Bogon ¢ Discard default route ¢ Untuk IX, hanya terima prefix 24-8.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-387
Kuis
¢ Dalam sebuah router MikroTik, bisakah membuat dua buah BGP instances dengan AS number yang sama?
¢ Bagaimana cara BGP menghindari looping routing?
¢ Atribut manakah yang dikirimkan antar router BGP? Pilih: weight, as-path, next-hop, community
¢ Jelaskan mekanisme Path Vector!
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-388
¢ Mungkinkah menghubungkan 2 BGP berbeda AS, dengan multihop=no dan TTL=255 jika IP address kedua router tersebut berbeda subnet?
¢ Bagaimana cara membatasi jumlah prefix yang dapat di advertise sebuah peer?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-389
Interior BGP (iBGP)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
MTCINE Training Class 2014
05-390
Internal BGP (iBGP)
¢ Peering antar router dengan ASN yang sama
¢ Semua router dalam AS yang sama harus saling “peering”, meskipun secara fisik tidak harus saling terkoneksi (full mesh peering).
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-391
iBGP Peering
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
citraweb2014
iBGP membutuhkan full mesh peering.
05-392
Karakteristik iBGP
¢ Prefix diterima via iBGP tanpa AS Path ¢ Prefix yang diterima via iBGP tidak
diteruskan ke peering iBGP lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R2 R4 AS200 R3
Mengadvertise 0/0
0/0 AS-Path: -- Next-hop: R2
tidak menerima 0/0
iBGP iBGP
citraweb2014
05-393
Karakteristik eBGP & iBGP
¢ Prefix dari R1 akan diteruskan oleh R2 ke R3: l tidak menambahkan AS Path l next-hop nya adalah R1, perlu diubah dengan
default-originate=force-self 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R1 R2 R4
AS200
AS100
R3 0/0
0/0 AS-Path: 100 Next-hop: R1
0/0 AS-Path: 100 Next-hop: R1
tidak menerima 0/0
eBGP
iBGP iBGP
citraweb2014
05-394
LAB 9: iBGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
ASY000
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
citraweb2014
05-395
IP Address untuk Peering
¢ Peering dengan menggunakan IP Address yang ada di interface, menyebabkan ketergantungan terhadap 1 link fisik. l Jika link tersebut putus, sulit untuk fail over
melalui link yang lain. l IP dan prefix tersebut juga akan invalid
¢ Untuk peering antar router iBGP, sangat disarankan untuk menggunakan IP Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-396
IP Loopback
¢ IP yang dipasang pada router dan tidak tergantung pada salah satu interface fisik l di RouterOS bisa dilakukan dengan
memasang IP pada interface bridge yang independen
¢ IP Loopback dibutuhkan apabila kita hendak menggunakan iBGP ataupun multihop BGP. l Peering tetap dapat terhubung meskipun
salah satu interface down
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-397
IP Loopback
¢ Melakukan peering eBGP menggunakan Loopback address dapat mengurangi resiko BGP terkena DOS attacks
¢ Setting peer to loopback address can force BGP to install ECMP route (for load balancing)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-398
IP Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ETHER1 192.168.0.1/24
ETHER2 192.168.2.1/24
ETHER3 192.168.4.1/24
BRIDGE1 172.16.0.1
05-399
Alokasi IP Loopback /32
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Kelompok 1 Meja 01 172.16.1.1 Meja 02 172.16.1.2 Meja 03 172.16.1.3 Meja 04 172.16.1.4
Kelompok 2 Meja 05 172.16.2.1 Meja 06 172.16.2.2 Meja 07 172.16.2.3 Meja 08 172.16.2.4
Kelompok 3 Meja 09 172.16.3.1 Meja 10 172.16.3.2 Meja 11 172.16.3.3 Meja 12 172.16.3.4
Kelompok 4 Meja 13 172.16.4.1 Meja 14 172.16.4.2 Meja 15 172.16.4.3 Meja 16 172.16.4.4
Kelompok 5 Meja 17 172.16.5.1 Meja 18 172.16.5.2 Meja 19 172.16.5.3 Meja 20 172.16.5.4
Kelompok 6 Meja 21 172.16.6.1 Meja 22 172.16.6.2 Meja 23 172.16.6.3 Meja 24 172.16.6.4
IP Loopback dipasang di interface “bridge-LO”
05-400
OSPF dan iBGP
¢ Untuk mendistribusikan IP Loopback supaya bisa dikenali semua router, gunakanlah OSPF l Lakukanlah OSPF :
R1 – R2, R2 – R3, R3 – R4 ¢ Lakukan OSPF Filter untuk memastikan
prefix yang terkirim hanya IP Loopback ¢ Lalu lakukan iBGP Peering :
R1 – R2, R2 – R3, R3 – R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-401
Buat IP Loopback
¢ Buat interface “bridge-LO”
¢ Tambahkan IP Loopback di “bridge-LO”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-402
OSPF Network (Kelompok 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R1 R2
R3 R4
05-403
OSPF Filter
Filter OSPF digunakan untuk memastikan hanya IP Loopback yang terdistribusi via OSPF
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-404
Route List R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-405
BGP Peer: Update Source
¢ Secara default source IP Address yang digunakan BGP untuk peering menggunakan IP yang ada di out-interface.
¢ Karena BGP Peer akan dilakukan menggunakan IP Loopback, source address diubah menggunakan IP di interface Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-406
BGP Instance : Router ID
¢ Jika kita menggunakan IP Loopback untuk BGP, biasanya kita juga akan menggunakan IP Loopback ini sebagai Router ID
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-407
BGP Peer Configuration R1
/routing bgp peer add hold-time=10s name=peer100 remote-address=10.10.10.100 remote-as=100
add name=peer-to-R2 default-originate=if-installed remote-address=172.16.1.2 remote-as=1000 update-source=bridge-LO
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-408
Route List R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-409
Periksa di R2 dan R3
¢ R2 dan R3 mendapatkan default route yang invalid, karena “gateway unreachable”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-410
Periksa di R2 dan R3
¢ Untuk mengatasinya: l di R1, pada peer ke R2 l di R4, pada peer ke R3 l dibuat Nexthop-Choice = force self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-411
¢ Pastikan R2 dan R3 sudah memiliki default route yang aktif
¢ Lakukanlah back-up konfigurasi (tulis nama file backup “iBGP-non-mesh”)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-412
Periksa prefix yg diterima
l R1 tidak mendapatkan prefix R3 dan R4 l R2 tidak mendapatkan prefix R4 l R3 tidak mendapatkan prefix R1 l R4 tidak mendapatkan prefix R1 dan R2
¢ Periksalah juga, AS Path yang melekat pada prefix yang diterima dari iBGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Ingat! Semua router dalam iBGP harus saling melakukan peer secara mesh, karena iBGP
tidak melakukan re-advertise prefix yang juga diterima dari iBGP.
05-413
iBGP : Mesh!
¢ Secara teoritis, semua router iBGP harus saling melakukan peer, supaya semua prefix bisa diterima oleh semua router
¢ Untuk mempermudah proses routing, lakukan force-self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-414
LAB 10: Mesh iBGP Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
ASY000
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
citraweb2014
05-415
BGP Peer R1 & R2
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTER 1
ROUTER 2
05-416
BGP Peer R3 & R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTER 3
ROUTER 4 05-417
iBGP vs eBGP
Dari R1 dan R4 ke R100 akan melalui wlan, karena prefix 0/0 diperoleh via eBGP (distance 20), sedangkan alternate route 0/0 via iBGP (distance 200)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-418
Local Preferences
¢ Digunakan sebagai atribut untuk router dengan AS yang sama untuk mengontrol seleksi BGP Path, menentukan best path untuk traffic outbound
¢ Tidak dapat dikirimkan ke AS lainnya ¢ Default local preferences: 100 ¢ Path yang memiliki nilai lebih besar
menang
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-419
LAB 11: Local Preferences
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4 citraweb2014
0/0 Local-Pref = 200
0/0 Local-Pref = 100
Buatlah agar trafik dari R1, R2, R3 ke R100 melalui R4 (wlan)
05-420
Konfigurasi R4
¢ Membuat in-filter di R4 untuk peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-421
Konfigurasi R4
Memasang in-filter di R4 pada
peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-422
Route List di R1
Sebelum ada local-pref Sesudah ada local-pref Hal yang sama akan juga mempengaruhi R2 dan R3 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-423
Atribut BGP-MED
¢ Multi Exit Discriminator atau Metric – petunjuk yang diberikan ke external neighbor mengenai jalur inbound yang diprioritaskan
¢ Metric yang lebih kecil adalah prioritas (Default: 0)
¢ Pertukaran data MED antar 2 AS tidak diteruskan ke AS lainnya
¢ Akan diabaikan jika MED diterima dari AS yang berbeda
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-424
Contoh Implementasi MED
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200
AS300
R1
R2 R3
R4
med=100
med=50
med=10
R1, R2, dan R3 mengadvertise network yang sama (originate dari AS200) ke R4 dengan nilai MED yang berbeda. Untuk memilih jalur dari R4 ke network tersebut, R4 akan membandingkan nilai MED yang didapat dari R2 dan R3. MED dari R4 akan diabaikan karena berasal dari AS yang berbeda.
citraweb2014
05-425
LAB 12: BGP - MED
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4 citraweb2014
Buatlah agar trafik dari R100 ke R1, R2, R3, R4 melalui R4 (wlan)
Default MED = 0 MED = 50
05-426
Konfigurasi di R1 ¢ Membuat out-filter di R1 untuk peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-427
Konfigurasi di R1
Memasang out-filter di R1 pada peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-428
Route List di R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Sebelum ada MED (default MED=0) Setelah ada MED=50 dari R1
Dengan menggunakan MED, kita bisa menginformasikan prioritas yang diinginkan untuk inbound traffic dari AS tertentu (jika tersedia dua jalur ke AS tersebut tanpa melalui AS lainnya)
citraweb2014
05-429
Ribet dengan Full Mesh?
¢ Secara default, kita harus melakukan full mesh untuk network iBGP.
¢ Namun, jika jumlah router banyak, sulit untuk melakukan full mesh.
¢ Beberapa hal yang bisa dilakukan supaya kita tidak perlu melakukan full mesh: l Route Reflect l Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-430
Route Reflect
¢ Digunakan untuk membagi network iBGP menjadi beberapa cluster dan tidak perlu melakukan full mesh ke semua router.
¢ Mengurangi trafik komunikasi BGP, karena jumlah peer berkurang
¢ Mengurangi jumlah data per message, karena hanya best path yang disampaikan
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-431
BGP Instance untuk RR
¢ Konfigurasi “client-to-client-reflection” pada Router reflector harus aktif.
¢ Cluster-id bisa digunakan untuk menulis identitas router, terutama kalau ada 2 reflector di dalam satu cluster, untuk menghindari routing loop. Namun sangat jarang digunakan dan biasanya diisi dengan router-id.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-432
Topologi Route Reflect
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTE REFLECTOR
ROUTE REFLECTOR
RR CLIENT
RR CLIENT RR CLIENT
RR CLIENT
RR CLIENT
RR CLIENT
citraweb2014
05-433
Mekanisme RR
¢ Reflector menerima prefix/path dari client dan non-client
¢ Melakukan pemilihan best path ¢ Jika best path dari client, path tersebut
akan direfleksi ke client lainnya dan non-client
¢ Jika best path dari non-client, maka path tersebut hanya akan direfleksikan ke client
¢ Client dapat berbentuk mesh ataupun tidak
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-434
Topologi RR
¢ Network dibagi menjadi beberapa cluster ¢ Harus ada paling tidak 1 reflector setiap
cluster ¢ Reflector haruslah full mesh ¢ 1 client bisa tergabung dalam lebih dari 1
cluster
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-435
LAB 13: Route Reflect
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4
citraweb2014
05-436
LAB RR
¢ Tidak melakukan full mesh: l R1 hanya peer ke R100 dan R2 l R2 hanya peer ke R1 dan R3 l R3 hanya peer ke R2 dan R4 l R4 hanya peer ke R3 dan R100
¢ R2 dan R3 menjadi Reflector l Aktifkan Client-toclient Reflection di BGP
Instance l Aktifkan Route-Reflect pada peer:
• Dari R2 ke R1 • Dari R3 ke R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-437
BGP Instance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Aktifkan Client To Client Reflection
05-438
BGP Peer
Hanya pada peer di: ¢ R2 ke R1 ¢ R3 ke R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Pastikan R2 dan R3 mendapatkan default route Pastikan R1 bisa terkoneksi ke R4
Aktifkan Route Reflect
citraweb2014
05-439
BGP: Confederation
¢ Digunakan untuk membagi sebuah AS menjadi beberapa AS (melakukan eBGP di jaringan iBGP).
¢ Dari luar AS, tetap terlihat sebagai 1 AS ¢ AS Path di dalam confederation ditulis
dengan tanda kurung : (1001,1002,1003) ¢ Propagasi prefix seperti iBGP, next-hop
eBGP dipertahankan. Perlu melakukan Nexthop-Choice : force-self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-440
BGP Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200 AS300
AS400 AS500
AS101
AS102
AS103
AS-Path: 300,100
AS-Path: (102,103)
R1
R2
R3 R4
R5
R6
R9
R8
R9
R10
citraweb2014
05-441
LAB 14: BGP Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4
citraweb2014
ASY001
ASY002 ASY003
ASY004
05-442
LAB : BGP Confederation
¢ Tidak melakukan full mesh: l R1 hanya peer ke R100 dan R2 l R2 hanya peer ke R1 dan R3 l R3 hanya peer ke R2 dan R4 l R4 hanya peer ke R3 dan R100
¢ Untuk peering antar sub AS (confederation), aktifkan multihop=yes, karena peering dilakukan dengan IP Loopback
¢ Pastikan dari R1 bisa ke R4, dan dari R2 dan R3 bisa ke internet
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-443
BGP Instance (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Masukkan sub AS
Masukkan AS
Masukkan sub AS yang akan peer
citraweb2014
05-444
BGP Peer (R1 ke R2)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Masukkan sub AS
Gunakan force-self
Gunakan Multihop = yes
citraweb2014
05-445
Prefix dari R4 di R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-446
Prefix dari R3 di R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-447
Kuis
¢ Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?
¢ Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?
¢ AS100 memiliki 2 jalur ke AS300. Satu jalur terkoneksi langsung, dan satu jalur melalui AS200. Bisakah kita menggunakan atribut MED?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-448
Kuis
¢ Pada jaringan iBGP, setiap prefix melewati sebuah router, maka router tersebut akan menambahkan AS pada AS-Path. (Benar/Salah)
¢ Apa yang bisa dilakukan supaya jaringan iBGP tidak perlu full mesh?
¢ Apa saja perbedaan perilaku iBGP dan eBGP?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-449
Terima Kasih!
Jangan lupa follow :
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
@mikrotik_id
05-450