Date post: | 12-Dec-2015 |
Category: |
Documents |
Upload: | juniorsilalahi |
View: | 152 times |
Download: | 30 times |
Advanced Mikrotik Training
Routing (MTCRE)
Certified Mikrotik Training - Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Jadwal Training
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-2
Sesi 1 Sesi 2 Sesi 3 Sesi 4
Hari 1 Static Route
Hari 2 Tunnel Load Balance
Hari 3 OSPF
Hari 4 LAB TEST
New Training Scheme 2010
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-3
Basic/Essential Training
MikroTik Certified Network Associate (MTCNA)
Advanced Training
Certified Wireless Engineer (MTCWE)
Certified Routing Engineer (MTCRE)
Certified Traffic Control Engineer (MTCTCE)
Certified User Managing Engineer (MTCUME)
Certified Inter Networking Engineer (MTCINE)
Certification Test
Diadakan oleh Mikrotik.com secara online
Dilakukan pada sessi terakhir
Jumlah soal : 25
Nilai minimal kelulusan : 60% Trainer: 75%
Yang mendapatkan nilai 50% hingga 59%berkesempatan mengambil “second chance”
Yang lulus akan mendapatkan sertifikat yang diakui secara internasional
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-4
License for training program materials and certification test questions
All content of written materials, specifically questions, answers and diagrams of the certification tests questions are the proprietary and confidential property of Mikrotikls SIA. They may not be copied, reproduced, modified, published, uploaded, posted, transmitted, or distributed in anyway without prior written permission of Mikrotikls SIA.
You are expressly prohibited from disclosing, publishing, reproducing, or transmitting any tests and any related information including, without limitation, questions, answers, worksheets, computations, drawings, diagrams, length or number of test segments or questions, or any communication, including oral communication, regarding or related to the tests (known collectively as “Proprietary Information”), in whole or in part, in any form or by any means, oral or written, electronic or mechanical, for any purpose.
A disclosure of Proprietary Information by any means in violation of this license undermines the integrity and security of the MikroTik training programs
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-5
Violation of Test Questions license may lead to a temporary or permanent ban on future MikroTik certification tests and the cancellation of previously
earned MikroTik certifications.
Trainers
Novan Chris
MTCNA (2006), Certified Trainer (2008)
MTCWE (2008), MTCRE (2008)
MTCTCE (2011), MTCINE (2012) , MTCUME (2012)
Pujo Dewobroto
MTCNA (2009), MTCTCE (2009), MTCRE (2011)
MTCWE (2010), MTCUME (2012)
Certified Trainer (2011)
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-6
Perkenalan
Perkenalkanlah :
Nama Anda :
Tempat Bekerja :
Kota / Domisili :
Apa yang Anda kerjakan sehari-hari dan fitur-fitur apa yang ada di Mikrotik yang sudah Anda gunakan.
Motivasi mengikuti training.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-7
Static Route & Policy Route
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Outline
Basic Config
Routing Concepts
Routing Parameters
Routing Table
Point to Point Addressing
Check Gateway
SCOPE & Target SCOPE
SRC-Routing
Policy Routing
Route – Rules
Route – Firewall – Route Mark
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-9
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Lakukanlah terlebih dahulu!
Ubahlah nama Router System Identitymenjadi : “XX-NAMA ANDA”
Aktifkan neighbor interface pada WLAN1
Buatlah username baru untuk anda dan berilah password (group full)
Proteksilah user admin (tanpa password) hanya bisa diakses dari 10.10.10.30/31 (group full)
Buatlah user “demo” dengan group read
01-10
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-1] System Identity
Supaya tidak membingungkan, ubahlah nama router Anda.
Format: xx-NamaAnda
01-11
[LAB-2] Activate Neighbor Protocol
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-12
Aktifkan Discovery Interface agar router bisa saling mendeteksi di layer 2 menggunakan MNDP
[LAB-3] User Configuration
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Persiapkan User di Router mikrotik supayasiap di semua kegiatanlab training.
01-13
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-4] Konfigurasi Dasar
ETHER1192.168.1.1/24
ETHERNET PORT192.168.1.2/24
WLAN110.10.10.1/24
ETHER1192.168.2.1/24
ETHERNET PORT192.168.2.2/24
WLAN110.10.10.2/24
ETHER1192.168.X.1/24
ETHERNET PORT192.168.X.2/24
WLAN110.10.10.X/24
MEJA 1 MEJA 2 MEJA X
01-14
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
IP Configuration
Routerboard Setting
WAN IP : 10.10.10.x/24
Gateway : 10.10.10.100
LAN IP : 192.168.x.1/24
DNS : 10.100.100.1
Services: Src-NAT and DNS Server
Laptop Setting
IP Address : 192.168.x.2/24
Gateway : 192.168.x.1
DNS : 192.168.x.1
01-15
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Configuration
NTP Client = enable
NTP Server : “id.pool.ntp.org”/ “ntp.nasa.gov”
Sesuaikan System Clock menggunakan TimeZone Asia-Jakarta
Wlan1 SSID : training (WPA=…………….)
Buatlah file backup! Dan simpan file tersebut ke laptop
01-16
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Routing
Sebuah metode atau proses untuk meneruskan paket data dari suatu jaringan ke jaringan lain yang berbeda segmen (berbeda subnet).
Proses ini dilakukan pada OSI layer 3 (Network).
Pada Mikrotik, fungsi Routing ini sudah menjadi fitur / fungsi standart dan sudah ada di paket “System”.
01-17
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Routing Benefits Memungkinkan kita melakukan pemantauan dan
pengelolaan jaringan yang lebih baik. Pemisahan jaringan menjadi beberapa subnet sesuai
kebutuhan.
Pengembangan jaringan menjadi lebih mudah.
Lebih aman (firewall filtering lebih mudah dan lengkap) Trafik broadcast hanya terkonsentrasi di subnet yang
sama.
Jika diimplementasikan pada jaringan wireless, dibutuhkan perangkat wireless yang mampumelakukan full routing, atau bisa juga menambahkanrouter di wireless BTS.
Untuk network dengan skala besar, bisamenggunakan protocol Dynamic Routing (RIP/OSPF/BGP)
01-18
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Routing
ROUTERGATEWAY
WIRELESS
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
setiap segment jaringan memilikisubnet IP address yang berbeda.
01-19
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Tipe Routing MikroTik RouterOS tipe routing sbb:
dynamic routesyang akan dibuat secara otomatis:
• saat menambahkan IP Address pada interface (Connected Routes)
• informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF, dan BGP.
static routesadalah informasi routing yang dibuat secara manual oleh user untuk mengatur ke arah mana sebuah koneksi akan dilewatkan. Default route adalah salah satu contoh static routes.
01-20
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Tipe Routing
01-21
Setiap memasang IP disebuah interface, secara otomatis akan dibuatkan routing DAC untuk networknya dengan prefered source IP tersebut
A: ActiveS: Static
A: ActiveD: Dynamic
C: Connected
Connected Routes
Dibuat secara otomatis setiap kali kita menambahkan sebuah IP Address pada interface yang valid (interface yang aktif).
Jika terdapat dua buah IP Address yang satu subnet pada satu interface yang sama, maka hanya akan ada 1 connected route.
Jangan menempatkan dua ip address dari subnet yang sama tetapi diletakkan pada dua interface yang berbeda, karena akan membingungkan tabel dan logika routing di router.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-22
Connected Routes
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-23
Static Route
Static Routing digunakan untuk melakukan pengaturan arah paket data yang akan melalui router, yaitu dengan menentukan gateway untuk dst-address yang spesifik.
Dst-address=0.0.0.0/0 sering disebut sebagai “all destination address” karena ip 0.0.0.0/0 bisa menggantikan/mewakili semua ip address.
Gateway bisa berupa :
IP Address
Interface (khusus PPP interface)
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-24
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Menambahkan Routing
01-25
Static Route
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Contoh Implementasi Static Route, yaitu pemasangan Default Gateway atau Default Route.
01-26
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Parameter Dasar Routing Destination
Host address – 222.124.211.23
Network address – 202.53.246.0/24
Semua Network / Semua Host – 0.0.0.0/0
Gateway
IP Address gateway, harus merupakan IP Address yang satu subnet dengan IP yang terpasang pada salah satu interface
Gateway Interface, digunakan apabila IP gateway tidak diketahui atau bersifat dinamik (hanya bisa menggunakan interface ber-type PPP).
Pref Source
source IP address dari paket yang akan meninggalkan router, Biasanya adalah ip address yang terpasang di interface yang menjadi gateway (juga digunakan untuk proses NAT-Masquerade).
Distance
Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing yang akan dijalankan router.
01-27
Mikrotik Indonesia http://www.mikrotik.co.id
Konsep Dasar Routing
IP Address Gateway harus merupakan IP Address yang subnetnya sama dengan salah satu IP Address yang terpasang pada router (connect directly).
10.10.0.2/24
10.10.1.1/24 10.10.2.1/24
10.10.2.2/24 10.10.3.2/24
10.10.4.1/24
10.10.4.2/24
A
B
Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP Address.
Default gateway pada router B adalah router A
IP Address yang menjadi default gateway router B adalah 10.10.2.1, karena IP Address tersebut berada dalam subnet yang sama dengan salah satu IP Address pada router B (10.10.2.2/24)
Setting static route default :
Dst-address=0.0.0.0/0 gateway=10.10.2.1
31-Aug-1501-28
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
10.10.3.1/24
10.10.3.2/24
Implementasi Konsep Routing
10.10.0.1/24
10.10.0.2/24
10.10.1.1/24 10.10.1.2/24 10.10.2.1/24
10.10.2.2/24
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2
(DAC) Dst-addr= 10.10.0.0/24pref-source=10.10.0.2
(DAC) Dst-addr= 10.10.1.0/24pref-source=10.10.1.1
(DAC) Dst-addr= 10.10.3.0/24pref-source=10.10.3.1
(DAC) Dst-addr= 10.10.2.0/24pref-source=10.10.2.2
(DAC) Dst-addr= 10.10.1.0/24pref-source=10.10.1.2
(DAC) Dst-addr= 10.10.2.0/24pref-source=10.10.2.1
(DAC) Dst-addr= 10.10.3.0/24pref-source=10.10.3.2
01-29
Mikrotik Indonesia http://www.mikrotik.co.id
Konsep Dasar Routing
Untuk pemilihan routing, router akan memilih berdasarkan:
Rule routing yang paling spesifik dst-address nya menyesuaikan dengan tujuan paket
• Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24 jika tujuan paket menuju ke host ip 192.168.0.130
Distance• Router akan memilih yang distance nya paling kecil
Round robin (random)
31-Aug-1501-30
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Contoh Pemilihan
Destination Gateway Distance Prioritas
192.168.0.0/27 192.168.1.1 1
192.168.0.0/29 192.168.2.1 1
192.168.0.0/24 192.168.3.1 5
192.168.0.0/24 192.168.4.1 1
Untuk koneksi dengan destination 192.168.0.1, manakah urutan prioritas rule yang digunakan?
1
2
4
3
01-31
Distance
Merupakan salah satu parameter yang digunakan untuk pemilihan (prioritas) rule routing, nilainya (0-255) secara default tergantung protocol routing yang digunakan:
Connected routes : 0
Static Routes : 1
eBGP : 20
OSPF : 110
RIP : 120
MME : 130
iBGP : 200
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Note:Distance=255 berarti “rejected”
01-32
Routing Table
Routing Table dibuat oleh router untuk memetakan jaringan yang ada di sekitar perangkat router tersebut.
Routing Table terdiri dari 2 bagian :
RIB – Routing Information Base
FIB – Forwarding Information Base
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-33
BGP
Routing Information Base
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Connected Routes
Static Routes
OSPF
RIP
MME
Instance 1
Instance 2
Instance n
BGP
OSPF
RIP
MME
Instance 1
Instance 2
Instance n
AllRoutes
ActivesRoutes
Protocol’sRoutes
InputFilters
OutputFilters
RouteSelection
+
-
Discard
01-34
Routing Information Base
Berisi informasi routing yang lengkap, yang terdiri dari:
Static routes dan Policy Routing Rules
Informasi routing dari Dynamic Routing Protocol (RIP, OSPF, BGP, etc)
Informasi Connected Routes
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-35
Routing Information Base
Digunakan untuk:
Memfilter informasi routing
Mengkalkulasi best route untuk masing-masing dst-address/prefix
Membuat dan mengupdate Forwarding Information Base (FIB)
Mendistribusikan informasi routing ke routing protokol lainnya
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-36
Forwarding Information Base
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
FIB merupakan tabel yang digunakan untuk menentukan forwarding packet.
Tabel ini berisi :
Active route
Policy Routing Rules
01-37
FIB
Catch All
User Defined
Implicit
Main
Routing Tables Rules
Connected Routes
ActiveRoutes
Forwarding Information Base
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-38
• FIB akan melihat melihat parameter berikutuntuk menentukan routing:• Source Address• Destination Address• Source Interface• Routing Mark• ToS
• Kemungkinan decision routingnya meliputi :• Paket di tujukan untuk ke router • Paket di discard• Paket di tujukan ke sebuah alamat
Forwarding Information Base
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Cache FIB
+-
01-39
• Hasil penentuan routing akan disimpan kedalam route cache untuk mempercepat proses forwarding paket-paket berikutnya
• Jika paket yang memiliki parameter src-address, dst-address, src-interface, routing mark dan tos sama, maka router cukup melihat dari route cache
Point to Point Addressing
Adalah sistem pengalamatan IP Address untuk dua buah perangkat yang terkoneksilangsung, menggunakan dua buah IP Address /32
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Router 1 Router 2
172.16.0.X1/32 IP Address 172.16.0.X2/32
172.16.0.X2 Network Address 172.16.0.X1
[kosongkan] Broadcast Address [kosongkan]
ether2 Interface ether2
01-40
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-5] P2P Addressing
192.168.X.2
172.16.0.X1/32 172.16.0.X2/32
192.168.X.2
Hubungkanlah ether2 di router dengan ether2 router rekan semeja menggunakan kabel ethernet.
Buatlah P2P Addressing dan lakukanlah static route untuk network laptop
Test koneksi dengan ping antar router & test ping antar laptop
Ether2 Ether2
Router Meja X Router Meja X
01-41
Contoh: P2P Addressing
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Router Meja 1
Router Meja 2
01-42
Check Gateway Adalah sebuah mekanisme pengecekan
gateway yang dilakukan oleh router mikrotik. Dikirimkan setiap 10 detik, menggunakan ARP
request atau ICMP ping. Dianggap “Gateway time-out” jika tidak
menerima respon dalam 10 detik dari mesin Gateway.
Gateway dianggap “unreachable” jika terjadi 3kali Gateway time-out berurutan.
Jika mengaktifkan fitur check gateway untuk sebuah rule, maka akan berpengaruh juga untuk semua rule lain dengan gateway yang sama.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-43
Check Gateway Option
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-44
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-6] Static Route
172.16.Y.1/32
192.168.X.2
172.16.Y.2/32
172.16.Y.3/32
172.16.Y.4/32
172.16.Y.7/32
172.16.Y.6/32
172.16.Y.5/32
172.16.Y.8/32
192.168.X.2
192.168.X.2192.168.X.2
R1 R2
R4R3
Ether3 Ether2
Ether2 Ether3
Ether3
Ether2 Ether3
Ether2
01-45
[LAB-6] Static Route 2 Pasang ip Point to Point untuk menghubungkan semua
Router dalam kelompok.
Buatlah static route untuk menjangkau setiap laptop teman sekelompok menggunakan link Point to Point address.
Konfigurasi Distance untuk menentukan Prioritas link.
Link utama adalah melalui jalan terdekat
Jika ada kondisi jaraknya sama, maka link utama adalah yang searah jarum jam.
Pantaulah link utama dengan menggunakan check-gateway
Buatlah static route juga untuk back-up link
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-46
Quiz !Terdapat kofigurasi
/ip routeadd dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101 distance=1
add dst-address=192.168.1.0/28 gateway=10.10.10.100 check-gateway=ping distance=2
add dst-address=192.168.2.0/28 gateway=10.10.10.101 check-gateway=ping distance=2
Untuk trafik yang menuju ke 192.168.2.20 akan melewatigateway?
Untuk trafik yang menuju ke 192.168.1.14 akan melewatigateway?
Apabila gateway 10.10.10.100 putus? Bagaimana yang terjadi?
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-47
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
[LAB-7] Static Route (Fail Over)
172.16.Y.1/32
192.168.X.2
172.16.Y.2/32
172.16.Y.3/32
172.16.Y.4/32
172.16.Y.7/32
172.16.Y.6/32
172.16.Y.5/32
172.16.Y.8/32
192.168.X.2
192.168.X.2192.168.X.2
R1 R2
R4R3
Ether3 Ether2
Ether2 Ether3
Ether3
Ether2 Ether3
Ether2
XDROP LINK !!!!!!
01-48
Evaluasi Mekanisme Check gateway yang kita gunakan
hanya bisa mendeteksi problem koneksi padahoop (gateway) terdekat.
Jika problem terjadi setelah gateway terdekat(next hoop), check gateway tidak bisamendeteksinya.
Untuk mendeteksi problem koneksi yang terjadisetelah gateway terdekat, bisa digunakan teknikscope/target scope.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-49
Scope dan Target Scope
Digunakan untuk static route yang dibuat recursive (tidak terkoneksi langsung).
Target Scope adalah nilai scope maksimum dari rule lainnya yang reachable.
Kegunaan:
Bisa melakukan pemantauan check gateway ping untuk gateway yang tidak terhubung langsung
Dikombinasikan dengan iBGP bila nexthoop tidak direct connected
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-50
Scope dan Target Scope
Nilai default scope dan target scope:
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-51
Scope dan Target Scope
Contoh: dst-address 0.0.0.0/0 dengan gateway 117.20.50.233, recursive via 10.10.10.100
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Dst-Address Gateway Scope Target Scope
0.0.0.0/0 117.20.50.233 30 30
117.20.50.233 10.10.10.100 30 10
10.10.10.1/24
10.10.10.100/24
117.20.50.233
01-52
[LAB-8] Routing - Scope
Sesuai dengan diagram network pada LAB-7 sebelumnya, perbaikilah sistem monitoring link sehingga bisa mendeteksi adanya problem koneksi yang terjadi setelah gateway terdekat.
Coba cabut salah satu koneksi kabel untuk mensimulasikan terjadinya permasalahan di salah satu link.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-53
Routing Modification
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Dst-Address Gateway Check Gateway Distance Scoop Target Scoop
0.0.0.0/0 10.10.10.100 no 1 30 10
172.16.Y.5 172.16.Y.2 no 1 30 10
172.16.Y.6 172.16.Y.2 no 1 30 10
172.16.Y.7 172.16.Y.4 no 1 30 10
172.16.Y.8 172.16.Y.4 no 1 30 10
192.168.2.0/24 172.16.Y.2 ping 1 30 10
192.168.2.0/24 172.16.Y.4 no 2 30 10
192.168.7.0/24 172.16.Y.4 ping 1 30 10
192.168.7.0/24 172.16.Y.2 no 2 30 10
192.168.8.0/24 172.16.Y.6 ping 1 30 30
192.168.8.0/24 172.16.Y.4 no 2 30 10
01-54
Static Route dgn Scope
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-55
Static Route dgn Scope
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Pada saat terjadi link failure antara R2 dan R4
01-56
Block using Routing
Kita bisa melakukan blok untuk dst-address tertentu menggunakan static route :
Blackhole
• Memblok dengan diam-diam
Prohibit
• Memblok dan mengirimkan pesan error ICMP “administratively prohibited” (type 3 code 13)
Unreachable
• Memblok dan mengirimkan pesan error ICMP “host unreachable” (type 3 code 1)
Ketiga tipe di atas tidak membutuhkan IP Address gateway.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-57
Pref-source By default: null, kecuali untuk connected routes
Fungsi :
IP Address asal untuk paket data yang berasal dari router
IP Address src-address-to untuk paket data yang terkena action NAT – masquerade
Jika tidak ditentukan, secara otomatis akan menggunakan salah satu IP Address yang ada pada output interface
Jika isian pref-src adalah IP Address yang tidak terpasang pada router, rule ini akan non-aktif.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-58
Source Routing
Source Routing adalah sebuah teknik routing yang memungkinkan Administrator jaringan menentukan jalur routing balik / incoming yang akan dilalui oleh paket data.
Perlu diingat bahwa parameter “dst-address”pada paket header akan selalu diperiksa oleh router yang dilewatinya untuk menentukan hop selanjutnya.
Dengan memodifikasi Pref-Source Maka jalur routing balik bisa dimanipulasi sesuai keinginan administrator.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-59
[LAB-9] Pref-Source
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-60
• IP lokal ptp wireless : 10.10.10.x/24
• IP Public dari provider : 172.16.x.0/24
• Router bisa diakses dari internet dengan IP publik 172.16.x.1/24
• Untuk client menggunakan IP publik 172.16.x.2/24
Static Route Setting
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-61
Src-Nat Setting
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-62
Policy Route
Secara default, router akan menggunakan table routing “main”
Kita bisa membuat table routing tambahan dan mengarahkan router menggunakan table tersebut dengan menggunakan:
IP - Route – Rules
IP - Firewall - Mangle – Route-mark
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-63
Route Rules
Route rules hanya dapat melakukan decision berdasarkan src-address, dst-address, routing-mark, dan interface.
Untuk parameter yang lebih detail, gunakanlah mangle.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-64
[LAB-10] Route Mark
WLAN1: Untuk traffic dari 192.168.x.0/24
WLAN2: Untuk traffic dari 172.16.x.0/24
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
10.10.10.100/24 10.20.20.100/24
WLAN1 WLAN210.10.10.X/24 10.20.20.X/24
192.168.X.0/24 172.16.X.0/24
Ether1 Ether2
01-65
Route - Rules
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Tambahkan Route –Rules untuk menentukan klasifikasi dari segmen network yang akan menggunakan gateway yang berbeda.
01-66
Routing Table - Rules
Tambahkan rule routing untuk mengarahkan segmen network2 supaya menggunakan gateway lain.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-67
Mangle Route Mark
Untuk trafik yang melalui router:
Mangle chain: prerouting
Untuk trafik yang berasal dari router :
Mangle chain: output
Chain lainnya (input, forward, dan postrouting) tidak dapat digunakan untuk melakukan route-mark.
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-68
[LAB-11] Route Mark
WLAN1: All other traffic
WLAN2: http only
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
10.10.10.100/24 10.20.20.100/24
WLAN1 WLAN210.10.10.X/24 10.20.20.X/24
01-69
Route Mark (client)
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-70
Route Mark (local process / Proxy)
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-71
Static Route
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id
Trafik Lainnya Trafik TCP 80
01-72
Quiz !
Bagaimana jika ingin mendeteksi jalur gateway yang putus di >10 hoop di depan router anda ?
Dengan menggunakan metode scope dan target scope kita tidak lagi memerlukan ip gateway dari isp. (Benar / Salah)
Kita bisa mengganti Pref-Source menggunakan ip public dari Router lain yang masih dalam satu jaringan yang sama. (Benar/Salah)
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id01-73
Tunnel
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Tunnel Tunnel adalah sebuah metode penyelubungan
(encapsulation) paket data di jaringan TCP/IP, yang biasanya digunakan untuk mensimulasikan koneksi fisik antara dua network melewati jaringan lain (WAN/Internet).
Paket data dari aktifitas transfer data di kedua network mengalami sedikit pengubahan atau modifikasi. Yaitu penambahan header dari tunnel di tiap paket data dari traffic yang terjadi di kedua network tersebut. Walupun ada pengubahan pada paket data informasi paket yang asli tetap disertakan (RFC 2003 compliant ).
Ketika data sudah melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dihilangkan).
02-75 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Tunnel Network
Point to point network encapsulation
WAN
Point 1 Point 2tunnel
1.1.1.1 1.1.1.2
R1 R2
IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24
02-76 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
VPN Networks
Merupakan sebuah jaringan virtual yang dibangun diatasjaringan yang sudah ada
ServerClient 1
Client 2
Mobile Client 1
Mobile Client 2
02-77 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Tunnel & VPN Tunnel
IPIP – IP Tunnel
EoIP – Ethernet Over IP
VLAN – Virtual Lan
Gre Tunnel
VPN
PPPoE – Point To Point Protocol Over Ethernet
PPTP – Point To Point Tunnel Protocol
L2TP – Leyer 2 Tunnel Protocol
OpenVPN – Open Virtual Private Network
IPSec – IP Security
SSTP – Secure Socket Tunnel Protocol
02-78 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
IPIP Tunnel
IPIP atau IP Tunnel adalah salah satu protocol tunnel yang paling sederhana dan ringan yang mampu menghubungkan dua router melewati jaringan TCP/IP.
IPIP Tunnel bisa dibuat di menu Interface dan dianggap sebagai interface (fisik tetapi virtual) yang independen.
Sudah banyak type router support protocol ini seperti CISCO dan Linux.
IPIP Tunnel bisa digunakan untuk : Routing antar local network melewati jaringan internet Digunakan untuk menggantikan Source Routing
Interface IPIP tunnel tidak bisa dimasukkan dalam bridge network (bridge port).
02-79 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
IPIP Packet Header
Test packet sniffer dilakukan untuk mengetahui besar packet header yang digunakan oleh protocol tunnel IPIP.
Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte pada tiap packet headernya di setiap paket data yang lewat.
Paket header standardnya adalah 20byte. (GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22
(Encap Header)
02-80 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
IPIP Example Salah satu pengaplikasiannya adalah pada
kondisi sebuah network hanya memiliki koneksi VSAT DVB downlink only provider dan uplink provider yang tidak mengijinkan ip ISP lain yang melewati networknya.
Maka kita bisa membuat sebuah IPIP tunnel untuk mensimulasi koneksi kabel independen ke DVB provider.
Sehingga traffic uplink melewati Uplink ISP dan traffic downlink melewati DVB.
Uplink ISP
Our Router
DVB Provider
Sattelite
IPIP Tunnel
02-81 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
IPIP Configuration
02-82 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
IPIP Configuration
Parameter Local Address adalah parameter untuk ip local router yang digunakan untuk membangun koneksi IPIP tunnel.
Sedangkan Remote Address adalah parameter dari ip address router lawan.
02-83 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
[LAB-1] IPIP Tunnels
10.10.10.30/24 10.10.10.31/2410.10.10.100/24
IPIP1 Address :192.168.200.1/30
IPIP1 Address :192.168.200.2/30
IPIP Tunnel melewati jaringan WAN.
Tambahkan ip address untuk menghubungkan kedua interface tunnel.
Tambahkan rule static routing untuk menghubungkan kedua local network dari masing-masing router.
02-84 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
[LAB-1] IPIP Tunnels
ROUTER A
ROUTER B
02-85 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
[LAB-1] IPIP Tunnels
/interface ipip add name=ipip1 local-address=10.10.10.30 remote-address=10.10.10.31
/ip address add address=192.168.200.1/30 interface=ipip1
/interface ipip add name=ipip1 local-address=10.10.10.31 remote-address=10.10.10.30
/ip address add address=192.168.200.2/30 interface=ipip1
10.10.10.30/24 10.10.10.31/2410.10.10.100/24
IPIP1 Address :192.168.200.1/30
IPIP1 Address :192.168.200.2/30
02-86 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
[LAB-1] Routing over Tunnel
Static route untuk menghubungkan kedua local network menggunakan tunnel IPIP.
Routing di Router1 :
/ip route add dst-address=192.168.2.0/24 gateway=192.168.200.2
Routing di Router2 :
/ip route add dst-address=192.168.1.0/24 gateway=192.168.200.1
192.168.1.1/24 192.168.2.1/2410.10.10.100/24
IPIP1 Address :192.168.200.1/30
IPIP1 Address :192.168.200.2/30
Meja 1 Meja 2
02-87 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
EoIP Tunnel
Mikrotik Indonesia http://www.mikrotik.co.id02-88
Adalah protocol pada Mikrotik RouterOS yang membangun sebuah Network Tunnel antar mikrotikrouter di atas sebuah koneksi TCP/IP.
Interface EoIP dianggap sebagai sebuah Interface Ethernet.
Jika Bridge mode diberlakukan pada EoIP tunnel maka semua protocol yang berbasis ethernet akandapat berjalan di Bridge tersebut (Dianggap sepertihardware interface ethernet yang di bridge).
Hanya dapat dibuat di Mikrotik RouterOS.
Menggunakan Protocol GRE (RFC1701).
31-Aug-15
EoIP Tunnel (2)
EoIP biasa digunakan untuk :
Membuat jaringan bridge diatas jalur internet
Membuat jaringan bridge diatas tunnel yang terenkripsi
Membuat jaringan bridge diatas jaringanwireless
Dalam penggunaan EoIP tunnel akan terjadipenambahan header sebesar 42byte (8 byte GRE + 14 byte PPP + 20 byte IP)
Mikrotik Indonesia http://www.mikrotik.co.id02-89 31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-90
EoIP Example
City A
EoIP
192.168.0.12
192.168.0.3
192.168.0.13
10.0.0.1 10.10.10.2
192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
City B
31-Aug-15
EoIP Config
Mikrotik Indonesia http://www.mikrotik.co.id02-91 31-Aug-15
[LAB-2] EoIP over Wireless
Mikrotik Indonesia http://www.mikrotik.co.id02-92
192.168.y.1/24
192.168.y.3/24
192.168.y.2/24
192.168.y.4/24
Tunnel-id=100
Tunnel-id=200 Tunnel-id=300
R1 R2
R3 R4
31-Aug-15
Virtual LAN (VLAN) 1 VLAN adalah sebuah logical group
(pengelompokan) yang memungkinkan user untuk berkomunikasi dengan user yang memiiki group sama tetapi terisolasi dari user lain yang berbeda group walaupun sebenarnya user-user ini masih terhubung secara fisik.
Dengan menggunakan protocol Vlan Router dapat meningkatkan security dan management yang berbeda terhadap jaringan walaupun masih ada sharing media fisik.
Bekerja di layer DataLink
02-93 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Virtual LAN (VLAN) 2 VLAN di Mikrotik RouterOS merupakan
implementasi dari standarisasi 802.1Q. Dengan menggunakan metode VLAN ini Mikrotik
RouterOS memungkinkan membangun beberapa Virtual LAN untuk memisahkan jaringan (group) di sebuah interface ethernet atau interfacewireless.
Mikrotik RouterOS secara teoritis mampu membangun 4095 Interface Vlan di sebuah Interface ethernet, banyak router termasuk CISCO, Linux dan Layer2 Switch yang sudah mendukung protocol ini.
02-94 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
VLAN Configuration
02-95 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
VLAN on Mikrotik
Mikrotik Indonesia http://www.mikrotik.co.id02-96 31-Aug-15
Mikrotik Vlan on Manageable Switch
Vlan pada Mikrotik bisa bekerja sama dengan switch manageable yang mampu mengimplementasikan standarisasi 802.1q.
ACCESS
Vlan 2
Vlan 2
Vlan 1
Vlan 1TRUNK
02-97 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Mikrotik Vlan on Manageable Switch
Ether 2Vlan 1Vlan 2Vlan 3
Port 1Mode Trunk
Port 2 – mode Access Vlan 1
Port 3 – mode Access Vlan 2
Port 4 – mode Access Vlan 3
Man
ag
eab
le S
wit
ch
02-98 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Vlan Implementation using RB250GS
Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36
02-99 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
Mikrotik Vlan on CISCO Switch
02-100 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
[LAB-3] Mikrotik Vlan Trunking
02-101 Mikrotik Indonesia http://www.mikrotik.co.id
192.168.2.3/24
192.168.1.2/24
192.168.2.4/24
R2 R3
R1 R4
VLAN over EoIP
VLAN2
VLAN3
192.168.1.1/24
ether3ether3
ether4 ether4
ether2ether2
31-Aug-15
[LAB-] Create VLAN Interface
Membangun vlan interface memanfaatkan EoIP Tunnel
02-102 Mikrotik Indonesia http://www.mikrotik.co.id
R2 + R3
31-Aug-15
[LAB-4] VLAN Bridge
02-103 Mikrotik Indonesia http://www.mikrotik.co.id
R2 + R3
31-Aug-15
[LAB-4]VLAN Distribution
Mikrotik Indonesia http://www.mikrotik.co.id02-104
R1 & R4
31-Aug-15
VLAN on Switch Chip
Di beberapa perangkat routerboard, ada yang memilikikomponen switch chip.
Dengan menggunakan switch chip ini, kita bisamemfungsikan port ethernet kita layaknya switch manageable.
Selain itu processing paket data juga lebih cepat tanpaperlu membebani CPU router kita.
Routerboard menggunakan beberapa seri Switch Chipyang berbeda, kemampuannya pun bervariasi.
Mikrotik Indonesia http://www.mikrotik.co.id02-105 31-Aug-15
Switch Chip
Mikrotik Indonesia http://www.mikrotik.co.id02-106
Type Switch Chip di routerboard bisa langsung diidentifikasi di menu “Switch”.
31-Aug-15
Port Switching
Untuk mengaktifkan router kita berfungsi sebagai switch, kita tinggal menentukan parameter “master-port” di interface ethernetnya.
Interface Ethernet yang sudah dimasukkan ke dalam switch group disebut dengan “Slave Port”tanda “S” di Interface.
Interface ethernet yang menjadi Slave Port seakan-akan menjadi tidak aktif dan tidak ada traffic yang melewatinya
Master port berfungsi menjembatani antara port-port “switch group” dengan router
Mikrotik Indonesia http://www.mikrotik.co.id02-107 31-Aug-15
Port Switching (2)
Mikrotik Indonesia http://www.mikrotik.co.id02-108 31-Aug-15
Port Switching (3)
Mikrotik Indonesia http://www.mikrotik.co.id02-109 31-Aug-15
Diagram Logic
Mikrotik Indonesia http://www.mikrotik.co.id02-110
1 2 3 4 5
Routerboard
firewall, bridging, qos, routing dsb
software level
Wire speed switchingHardware Level
31-Aug-15
Port Mirroring
Kita bisa mengcopy trafik yang berlangsung dari satu port ke port lain, selama masih dalam satu switch
Monitoring Purpose !!!Mikrotik Indonesia http://www.mikrotik.co.id02-111 31-Aug-15
VLAN mode
Switch chip di routerboard juga bisa digunakan untuk implementasiforwarding packet yang menggunakan vlan (802.1q)
Policy mode yang bisa kita gunakan untuk vlan switch
disabled - vlan table tidak dibaca, semua paket dengan vlandianggap tidak menggunakan vlan tag
fallback - Paket yang tagnya tidak ada di tabel tetap diproses sepertipaket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel, tetapi port incoming tidak cocok di vlan table tidak didrop
check - drop paket vlan yang vlan tagnya tidak ada didalam tabelvlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipunport incomingnya tidak sesuai tidak akan didrop
secure - drop paket vlan yang vlan tagnya tidak ada didalam tabelvlan. Selain itu jika port incomingnya tidak cocok dengan yang ditable, juga akan didrop
Semua paket yang tidak menggunakan vlan-id, dianggapmenggunakan vlan-id 0
Mikrotik Indonesia http://www.mikrotik.co.id02-112 31-Aug-15
VLAN Header
Kita bisa memodifikasi header dari paket yang akan keluar dari interface dengan pilihan :
• Leave-as-is : header paket tidak dirubah
• Add-if-missing : jika tidak ada vlan header , maka akan ditambahkan vlan headernya
• Always-strip : vlan header yang ada di paket akan dihilangkan
Mikrotik Indonesia http://www.mikrotik.co.id02-113 31-Aug-15
VLAN Tabel
Mikrotik Indonesia http://www.mikrotik.co.id02-114
Didalam tabel ini kita bisa menentukan port-port interface yang akan menggunakan vlan
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-115
[LAB-5] Vlan Switch
192.168.2.3/24
192.168.1.2/24
192.168.2.4/24
R2 R3
R1 R4
VLAN over EoIP
VLAN100
VLAN200
192.168.1.1/24
ether3ether3
ether4 ether4
ether2ether2
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-116
[LAB-5] Interface Switch
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-117
[LAB-5] VLAN Table
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-118
[LAB-5] VLAN Port
Trunk Port Access Port
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-119
[LAB-6] VLAN over VLAN
192.168.2.3/24
192.168.1.2/24
192.168.2.4/24
R2 R3
R1 R4
VLAN over VLAN
VLAN100
VLAN200
192.168.1.1/24
ether3ether3
ether4 ether4
ether2 ether2VLAN1
VLAN1
ether3 ether3
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-120
[LAB-6] VLAN Config
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-121
[LAB-6] VLAN Config
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id02-122
[LAB-6] VLAN Interface
31-Aug-15
L2TP (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-123
Layer 2 Tunneling Protocol (L2TP) pengembangan dari kerjasama Cisco dengan Microsoft yang menggabungkan fitur dari PPTP dan Layer 2 Forwarding (L2F) protocol.
L2TP dapat diimplementasikan pada jaringan non-TCP/IP clients, seperti Contoh: Frame Relay dan ATM).
L2TP tidak memiliki mekanisme enkripsi, biasanya menggunakan protocol enkripsi lain yang lewat didalam tunnelnya
31-Aug-15
L2TP (2)
L2TP menggunakan UDP (port 1701) sehingga pengiriman paketnya lebih cepat. Sayangnya tidak reliable karena tidak ada mekanisme pengiriman ulang paket yang hilang/rusak.
L2TP lebih “firewall friendly” dibandingkan PPTP — suatu Keuntungan besar jika menggunakan protocol ini, karena kebanyakan Firewall tidak mensupport GRE.
Mikrotik Indonesia http://www.mikrotik.co.id02-124 31-Aug-15
L2TP Configuration - Client
Mikrotik Indonesia http://www.mikrotik.co.id02-125
Encription Option – MPPE 128Bit
Akan menyesuaikan Server
31-Aug-15
L2TP Configuration - Server
Mikrotik Indonesia http://www.mikrotik.co.id02-126
Encription Option – MPPE 128Bit
31-Aug-15
[LAB-2] Routing over L2TP
Dari lab IPIP sebelumnya, silahkan rubah routingnya menggunakan L2TP antar teman.
City A
192.168.2.1
L2TP
192.168.1.2
192.168.1.1
192.168.2.2
Communication over L2TP
City B
02-127 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15
L2TP Security
L2TP secara default bisa menggunakan MPPE 128Bit sama seperti yang digunakan pada PPTP.
Karena MPPE dirasa kurang aman maka L2TP dikembangkan untuk bisa digabungkan dengan protocol security yang lain yaitu IPSec.
Mikrotik Indonesia http://www.mikrotik.co.id02-128 31-Aug-15
SSTP Overview
Secure Socket Tunneling Protocol (SSTP) adalahsalah satu metode VPN yang membuat tunnel PPP melalui SSL Channel pada protocol HTTPS.
Kelebihan membuat tunnel diatas protocol HTTPS adalah bisa melewati hampir semua firewall danproxy server.
Selain itu SSL juga digunakan untuk security level transport (layer4) dengan meningkatkan key negotiation, enkripsi serta integrity checking.
SSTP baik client ataupun server bisa diterapkandi Mikrotik.
Catatan : SSTP mulai ada di OS Windows vista sp1
Mikrotik Indonesia http://www.mikrotik.co.id02-129 31-Aug-15
SSTP Process
Mikrotik Indonesia http://www.mikrotik.co.id02-130
Open TCP Connection (TCP:443)
SSL Negotiation
SSTP over HTTPS
authentikasi PPP & IP Request
Communication data over SSTP
31-Aug-15
SSTP Security Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan
di SSTP.
Disisi client, server akan diverifikasi berdasarkan sertifikatyang dimiliki server dan menentukan metode enkripsi yangakan digunakan.
Client juga akan menggenerate SSL session key dan mengenkripsinya dengan publik key dari server.
Server bisa mendecrypt session key tersebut menggunakanprivate key yang dimilikinya.
Semua komunikasi client server akan dienkripsi berdasarkanSSL session key tersebut.
Jika client dan server menggunakan Mikrotik, SSTP bisadibentuk tanpa menggunakan sertifikat.
Disisi server, authentikasi hanya dilakukan berdasarkanusername dan password di protocol PPP.
Mikrotik Indonesia http://www.mikrotik.co.id02-131 31-Aug-15
SSL Certificate
SSL sertifikat bisa dibuat sendiri, dan untuk verifikasinya bisa menggunakan layanan berbayar (Signed Certificate) ataupun diverifikasi sendiri (Self Signed Certificate).
Verifikasi ini menggunakan CA (Certificate Authority).
Jika menggunakan Self Signed Certificate, maka CA certificate harus diimport ke client.
Sertifikat bisa kita generate menggunakan aplikasi “openssl”.
Mikrotik Indonesia http://www.mikrotik.co.id02-132 31-Aug-15
CA Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-133 31-Aug-15
CA Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id02-134 31-Aug-15
Server Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-135 31-Aug-15
Server Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id02-136 31-Aug-15
Server Certificate Setup (3)
Mikrotik Indonesia http://www.mikrotik.co.id02-137 31-Aug-15
Client Certificate Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-138 31-Aug-15
Client Certificate Setup (2)
Mikrotik Indonesia http://www.mikrotik.co.id02-139 31-Aug-15
Client Certificate Setup (3)
Mikrotik Indonesia http://www.mikrotik.co.id02-140 31-Aug-15
SSL Certificate (2)
Mikrotik Indonesia http://www.mikrotik.co.id02-141
Server Side
Client Side
Untuk keamanan, jangan mengupload CA private key
31-Aug-15
SSL Certificate (3)
Mikrotik Indonesia http://www.mikrotik.co.id02-142 31-Aug-15
SSTP Server Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-143 31-Aug-15
SSTP Server Setup (2)
SSTP Server bisa diatur dengan beberapa metode :
Certificate : None, apabila client juga sama-sama MikrotikOS
• (Unsecure, PPP security only)
Certificate : [Server Cert], apabila client MikrotikOS dan Windows (more secure)
Untuk meningkatkan keamanan, aktifkan option “Verify-Client-Certificate” :
CA harus diimport disisi server
Client harus menggunakan certificate
Mikrotik Indonesia http://www.mikrotik.co.id02-144 31-Aug-15
SSTP Client Setup (1)
Mikrotik Indonesia http://www.mikrotik.co.id02-145 31-Aug-15
SSTP Client Setup (2)
Jika sisi server diaktifkan “Verify-Client-Certificate”, maka sisi client juga harus dipasang certificate yang masih dalam 1 chain.
Option “Verify-Server-Certificate” digunakan untuk mengecek apakah sertifikat server masih dalam 1 CA yang ada di client.
Option “Verifiy-Server-Address” digunakan untuk mengecek apakah IP / domain dari server valid/sesuai dengan isi dari sertifikat.
Mikrotik Indonesia http://www.mikrotik.co.id02-146 31-Aug-15
[LAB 3] SSTP Network
Mikrotik Indonesia http://www.mikrotik.co.id02-147
mobile client
SSTP server
Internet
Local Main Office
Local Remote Office
10.10.10.100
10.20.20.x
10.10.10.x
31-Aug-15
SSTP Note
Untuk penggunaan sertifikat, pastikan clock server dan client benar sync NTP.
Windows Client, import CA ke trusted certificate.
Disable “Verify-Client-Certificate” jika clientnya Windows.
Mikrotik Indonesia http://www.mikrotik.co.id02-148 31-Aug-15
Load Balancing
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Konsep Dasar
Load Balancing
Membagi trafik ke dua atau lebih jalur sehingga setiap jalur yang ada bisa digunakan secara optimal.
Fail Over
Sistem proteksi untuk menjaga apabila link utama terganggu, secara otomatis akan memfungsikan jalur cadangan.
Mikrotik Indonesia http://www.mikrotik.co.id05-150 31-Aug-15
Load Balancing
1 + 1 = 2
1 + 1 = 1 + 11 + 1 = ½ + ½ + ½ + ½
1 + 1 = ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼
Semakin banyak user, semakin banyak koneksi, pembagian Load balance akan semakin rata dan mudah.
Mikrotik Indonesia http://www.mikrotik.co.id05-151 31-Aug-15
Konsep Load Balancing
Pembagian trafik dilakukan berdasarkan probabilitas.
Kita harus mengetahui kapasitas masing-masing link dan membagi trafik ke setiap interface sesuai dengan proporsinya.
Misalnya kita memiliki 2 buah gateway, A dengan kapasitas 1 mbps, dan B dengan kapasitas 2 mbps, maka kita akan membagi trafik menjadi 3 = 2:1 = 1 ke A dan 2 ke B.
Mikrotik Indonesia http://www.mikrotik.co.id05-152 31-Aug-15
Penggunaan Fitur
Untuk bisa melakukan load balancing dengan baik, kuasailah fitur-fitur berikut ini:
Static route dan policy route
Firewall Mangle
Firewall src-nat
Untuk yang lebih advanced, perlu juga menguasai BGP
Mikrotik Indonesia http://www.mikrotik.co.id05-153 31-Aug-15
Kunci Load Balancing
Pada jaringan yang sederhana, kita hanya bisa mengatur jalur uplink.
Kita bisa mengatur koneksi akan lewat ke jalur (ISP) yang mana, tetapi kita tidak bisa mengatur jalur yang digunakan untuk downlink, karena hal tersebut bergantung pada routing internet secara keseluruhan.
Mikrotik Indonesia http://www.mikrotik.co.id05-154 31-Aug-15
Kunci Load Balancing
Untuk “mengatur” jalur downlink, kuncinya pada penggunaan src-nat pada tiap gateway, pada saat request dikirimkan ke internet.
Data yang di NAT dengan IP yang ada pada gateway A, akan kembali melalui gateway A.
Jika kita hanya menggunakan masquerade untuk tiap interface gateway, maka data akan kembali pada interface yang sama dengan interface uplink.
Mikrotik Indonesia http://www.mikrotik.co.id05-155 31-Aug-15
Skema Kerja Load Balanced
MASQMASQ
ALGORITMAPEMBAGITRAFIK
Mikrotik Indonesia http://www.mikrotik.co.id
GATEWAY A GATEWAY B
05-156 31-Aug-15
Metode Load Balanced
Static Route dengan Address List
ECMP (Equal Cost Multi Path)
NTH
PCC
BGP
Mikrotik Indonesia http://www.mikrotik.co.id05-157 31-Aug-15
Contoh dengan Static Route
Berdasarkan Tujuan
Gateway A untuk internasional
Gateway B untuk trafik lokal Indonesia
• Menggunakan address-list NICE
Mikrotik Indonesia http://www.mikrotik.co.id05-158 31-Aug-15
Contoh dengan Static Route
Berdasarkan source address
IP Address client: 192.168.0.0/24
• 192.168.0.0-127 gateway A
• 192.168.0.128-255 gateway B
Mikrotik Indonesia http://www.mikrotik.co.id05-159 31-Aug-15
ECMP
Equal Cost Multi Path
Pada saat kita memiliki beberapa gateway yang ingin di load balance, metode termudah adalah menggunakan ECMP
ECMP akan memisahkan trafik per gateway secara random
Mikrotik Indonesia http://www.mikrotik.co.id05-160 31-Aug-15
Contoh ECMP (1)
Ada 2 gateway yang sama besar Bandwithya
Mikrotik Indonesia http://www.mikrotik.co.id05-161 31-Aug-15
Contoh ECMP (2)
Ada 2 gateway, perbandingan kapasitasbandwith 2 : 1 Mbps
Karena Kedua gateway berbeda kapasitasmaka perlu adanya penyesuaian sesuaiperbandingan.
Mikrotik Indonesia http://www.mikrotik.co.id05-162 31-Aug-15
Ada 3 gateway, gateway A dan B menggunakan gateway IP Address, dan gateway C menggunakan pppoe.
Memungkinkan penggunaan kombinasi dengan gateway interface.
Contoh ECMP (3)
Mikrotik Indonesia http://www.mikrotik.co.id05-163 31-Aug-15
[LAB-1] ECMP & Policy Route
IIX via WLAN1 dan PPPoE di WLAN2. Kapasitas PPPoE 2 x kapasitas WLAN1
Internasional PPTP ke server 10.100.100.1
PPTP
PPPoEWLAN1
Mikrotik Indonesia http://www.mikrotik.co.id
IIX IIX INTERNASIONAL
05-164 31-Aug-15
Address List
Download nice.rsc dari server mikrotik.co.id
Mikrotik Indonesia http://www.mikrotik.co.id05-165 31-Aug-15
PPTP dan PPPoE Username
Username dan password :
PPTP
• Username : mikrotik-pptp
• Password : training
PPPoE
• Username : mikrotik-pppoe
• Password : training
Mikrotik Indonesia http://www.mikrotik.co.id05-166 31-Aug-15
Static Route untuk PPTP
Mikrotik Indonesia http://www.mikrotik.co.id05-167 31-Aug-15
PPTP & PPPoE Setting
Mikrotik Indonesia http://www.mikrotik.co.id05-168 31-Aug-15
Interface
Pastikan semua interface sudah bekerja dengan baik
Mikrotik Indonesia http://www.mikrotik.co.id05-169 31-Aug-15
IP Address
Pastikan sudah mendapatkan IP Address dinamik dari PPTP dan PPPoE
Mikrotik Indonesia http://www.mikrotik.co.id05-170 31-Aug-15
Masquerade Setting
Buatlah masquerade untuk ketiga gateway
Mikrotik Indonesia http://www.mikrotik.co.id05-171 31-Aug-15
Route-mark Setting
Rule no 0 untuk trafik dari klienRule no 1 untuk trafik dari local process di router
Rule no 1 menggunakan parameter out-interface=pptp-out1 karena secara default, routing keluar melalui pptp-out1
Mikrotik Indonesia http://www.mikrotik.co.id05-172 31-Aug-15
Route for IIX & Internasional
Mikrotik Indonesia http://www.mikrotik.co.id05-173 31-Aug-15
Test dengan traceroute
Mikrotik Indonesia http://www.mikrotik.co.id05-174 31-Aug-15
Kekurangan ECMP Forwarding table di Linux Kernel secara
otomatis akan refresh setiap 10 menit
Hal ini menyebabkan ada kemungkinanpaket data untuk suatu traffic dari sebuahaplikasi berganti koneksi sehinggamendapatkan masq address yang berbeda. Koneksi bisa terputus.
Contoh: terjadi pada traffic game online
Info lebih lanjut mengenai hal ini:– http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html
– http://marc.info/?m=105217616607144
– http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19
Mikrotik Indonesia http://www.mikrotik.co.id05-175 31-Aug-15
Metode NTH
NTH dilakukan dengan mengaktifkan counter pada mangle, dan kemudian dinamai (route mark) berdasarkan gateway nya.
Route mark kemudian digunakan sebagai dasar untuk membuat policy route.
Mikrotik Indonesia http://www.mikrotik.co.id05-176 31-Aug-15
Proses NTH pada Mangle
Misalkan kita mempunyai 2 buah gateway (A dan B)
Koneksi pertama route mark “conn-A”
Koneksi kedua route mark “conn-B”
Koneksi ketiga route mark “conn-A”
Koneksi keempat route mark “conn-B”
Koneksi kelima route mark “conn-A”
Dst…..
Mikrotik Indonesia http://www.mikrotik.co.id05-177 31-Aug-15
Proses NTH pada Routing
Setelah ada route-mark, maka kita tinggal mengarahkan route mark tersebut ke gateway yang sesuai.
Route-mark “conn-A” ke gateway A
Route-mark “conn-B” ke gateway B
Mikrotik Indonesia http://www.mikrotik.co.id05-178 31-Aug-15
Proses NTH pada Routing
Mikrotik Indonesia http://www.mikrotik.co.id05-179 31-Aug-15
Kelemahan nth
Nth bekerja berdasarkan “connection tracking”
Seperti halnya ECMP, nth juga ikut “ter-refresh” setiap 10 menit
Tidak disarankan penggunaan nth untuk melakukan load balanced
Untuk “load balanced” yang lebih stabil, disarankan menggunakan PCC (Per Connection Classifier)
Mikrotik Indonesia http://www.mikrotik.co.id05-180 31-Aug-15
Per Connection Classifier
Adalah parameter firewall yang memiliki kemampuan untuk membedakan trafik menjadi dua atau lebih stream berdasarkan parameter tetap terjaga, meskipun forwarding table pada kernel ter-refresh
Option yang bisa digunakan adalah: src-address, src-port, dst-address, dst-port
Informasi lebih lanjut:
http://wiki.mikrotik.com/wiki/PCC
Diperkenalkan mulai RouterOS 3.24
Mikrotik Indonesia http://www.mikrotik.co.id05-181 31-Aug-15
[LAB-2] Load balanced PCC
Dengan konfigurasi network seperti lab sebelumnya, gunakanlah wlan1, pppoe, dan pptp untuk load balanced dengan PCC
PPTP
PPPoEWLAN1
Mikrotik Indonesia http://www.mikrotik.co.id05-182 31-Aug-15
Trafik ke Connected Network
Routing ke connected route hanya tersedia di routing table “main”
Kita harus menjaga jangan sampai trafik ke network ini berpindah routing table.
Kita membuat address-list untuk connected network
Mikrotik Indonesia http://www.mikrotik.co.id05-183 31-Aug-15
Trafik ke Connected Network
Mikrotik Indonesia http://www.mikrotik.co.id05-184 31-Aug-15
Koneksi dari luar
Untuk menjamin bahwa router akan me-reply setiap connection yang masuk dari luar sesuai dengan jalur masuknya.
Contoh: koneksi winbox ke router
Mikrotik Indonesia http://www.mikrotik.co.id05-185 31-Aug-15
Custom Route-mark Chain
Ada dua trafik yang harus di load balanced:
Trafik dari client
• Chain=prerouting
• In-interface=local (ether1)
• Connection-mark=no-mark
Trafik dari local process
• Chain=output
• Connection-mark=no-mark
Kedua trafik ini akan di jump ke chain baru
Mikrotik Indonesia http://www.mikrotik.co.id05-186 31-Aug-15
Jump to Custom Chain
Mikrotik Indonesia http://www.mikrotik.co.id05-187 31-Aug-15
PCC Rules
Mikrotik Indonesia http://www.mikrotik.co.id05-188 31-Aug-15
Conn-mark Route Mark
Mikrotik Indonesia http://www.mikrotik.co.id05-189 31-Aug-15
All Mangle
Mikrotik Indonesia http://www.mikrotik.co.id05-190 31-Aug-15
Static Route
Mikrotik Indonesia http://www.mikrotik.co.id05-191 31-Aug-15
Beberapa Problem Lainnya
Hati-hati untuk penggunaan DNS Server jika kita menggunakan DNS Server ISP dan menggunakan beberapa gateway dari ISP yang berbeda.
Hal ini bisa diatasi dengan:
membuat static route untuk masing-masing DNS dan meng-accept IP DNS sehingga tidak ikut di PCC
Menggunakan dns public seperti google-dns
Mikrotik Indonesia http://www.mikrotik.co.id05-192 31-Aug-15
OSPF
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner
Outline
About OSPF Autonomous System
Basic LAB OSPF OSPF Neighbour
LSP & Instance
OSPF Router Type OSPF Routing Type
Cost & Matric
OSPF Area Type Tipe LSA & Virtual Link
Routing Filter
31-Aug-15
Autonomous System
AS
Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan network, yang semuanya dapat dikendalikan oleh network administrator.
Area 0 Area 1
Area 2 Area 3
31-Aug-15
Background 1 Karena sebuah Autonomous System (AS)
memiliki skala jaringan yang sangat besar maka penggunaan routing menjadi sangat penting dan kritis.
Informasi routing haruslah tepat dan kesalahan melakukan distribusi informasi routing harus diminimalisasi sedikit mungkin.
Sangatlah tidak nyaman jika harus menuliskan rule routing untuk puluhan bahkan ratusan router secara static.
31-Aug-15
Background 2
OSPF merupakan sebuah routing protokol yang dapat mendistribusikan informasi routing secara otomatis.
OSPF juga merupakan routing protokol yang menggunakan konsep hirarki routing, dengan kata lain OSPF juga mampu membagi-bagi jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan dengan menggunakan sistem pengelompokan yaitu area.
31-Aug-15
OSPF ? Open Shortest Path First (OSPF) adalah sebuah
protocol routing otomatis (Dynamic Routing) yang mampu menjaga, mengatur dan mendistribusikan informasi routing antar network mengikuti setiap perubahan jaringan secara dinamis.
OSPF termasuk di dalam kategori IGP (Interior Gateway Protocol) yang memiliki kemampuan Link-state dan Algoritma Dijkstra yang jauh lebih efisien dibandingkan protocol IGP yang lain.
Menggunakan protocol tersendiri yaitu protocol 89.
OSPF digunakan untuk management informasi dan distribusi routing di dalam sebuah AS.
31-Aug-15
OSPF Feature
OSPF (IPv4 RFC 2838 )
Dynamic routing
Interior Gateway Protocol (IGP) didalam sebuah routing domain (AS)
Proses convergence yang cepat
Link State / Shortest Path Technology
Route Authentication
Mendukung sistem pembagian Area
Mendukung Fail Over
31-Aug-15
31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id03-200
[LAB-1] Konfigurasi OSPF
192.168.1.1/24 192.168.2.1/24
MEJA 1 MEJA 2
Backbone Area
ASBRRouter Gateway
192.168.x.1/24
MEJA X
10.10.10.1/24
10.10.10.2/2410.10.10.x/24
31-Aug-15
[LAB-1] OSPF Network
Tambahkan Network yang ingin dihubungkan ke area Backbone untuk saling ditukarkan dengan router yang lain.
Amati tabel neighbor router masing-masing dan neighbor router.
31-Aug-15
[LAB-1] OSPF Neighbor
Tabel neighbor akan berisi informasi mengenai router-router yang berada dalam 1 area OSPF beserta kondisi/statusnya
31-Aug-15
OSPF – Neighbor Discovery
OSPF mampu malakukan Pencarian neighbor router secara otomatis
Yaitu Discovery Router yang juga mengaktifkan OSPFdalam satu area
Menggunakan Hello Packet
Sebuah router bisa terdaftar didalam list neighbor router yang lain apabila :
Interface router tersebut berada dalam area (Area-ID) yang sama
Interface router tersebut harus dalam subnet dan network mask yang sama , kecuali network typenya diset point to point
Authentikasi, Hello dan Dead Interval HARUS SAMA
31-Aug-15
OSPF – Discovery Process
R1 R2
Hello Packet
Neighbor State Neighbor State
DOWN DOWN
INITR1
Hello Packet
R2 2-WAY
R2 ExStart
DD
ExStartR1
DD
R2 Exchange
DD
ExchangeR1
DD
R2 Loading
DD
LoadingR1
LSR
LSRLSU
LSU
R2 Full FullR1
LSAck
LSAck
1 1
2
3
4 5
6 7
8 9
10 10
31-Aug-15
OSPF-Neighbor StateNeighbor State Description
Down Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan
Attempt Digunakan pada neighbor yang ditambahkan manual pada NBMA
InitHello packet diterima dari router lain tetapi router-id penerima yang tertera
dalam hello packet belum ada didalam list neighbor
2-WayHello packet yang diterima dari router lain dan ip router penerima ada
didalam list neighbor router lain. Dalam state ini komunikasi bidirectional sudah terbentuk
ExStart DR dan BDR sudah terpilih, pertukaran link-state dimulai
Exchange Router mengirimkan Database Description packet ke neighbor
LoadingRouter mengirimkan Link State Request packets untuk informasi routing
dari neighbor
FullInformasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah
terhubung penuh
31-Aug-15
OSPF Packet Type
Hello – Digunakan untuk membentuk komunikasi dengan neighbor yang terhubung langsung
Database Descriptor (DD) – Digunakan untuk mengecek sinkronisasi database routing antar router.
Link State Request (LSR) – Digunakan untuk meminta informasi routing terbaru
Link State Update (LSU) – Digunakan untuk mengirimkan informasi routing terbaru
Link State Acknowledgment (LSAck) –Digunakan untuk mengkonfirmasi informasi link-state yang diterima
31-Aug-15
Link State RoutingLangkah-langkah atau cara kerja OSPF :
Setiap router membuat Link State packet (LSP).
Mendistribusikan LSP ke semua neighbor menggunakan Link State Advertisement (LSA) type 1 dan menentukan DR dan BDR dalam 1 area.
Masing-masing router menghitung jalur terpendek ke semua neighbor berdasarkan cost routing.
Jika ada perbedaan atau perubahan tabel routing, router akan mengirimkan LSP ke DR dan BDR melalui alamat multicast 224.0.0.6.
LSP akan dididistribusikan oleh DR ke router neighbor lain dalam 1 area sehingga semua router neighbor akan melakukan perhitungan ulang jalur terpendek.
31-Aug-15
[LAB-1] OSPF Instance
31-Aug-15
OSPF Instance Setting
Router-id Memberi pengenal pada router.
Berformat 32bit seperti IP, sifatnya unik artinya tiap router tidak boleh memiliki ID yang sama dalam sebuah jaringan
Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP terbesar yang ada pada router
Redistribute Default Route Mendistribusikan default route.
Redistribute Connected Routes Mendisitribusikan IP network yang terpasang di interface
Redistribute Static Routes Mendistribusikan route static yang ada pada table /ip route
Redistribute RIP Routes Mendistribusikan route hasil RIP
Redistribute BGP Routes Mendistribusikan route hasil BGP
31-Aug-15
[LAB-1] OSPF Route
Rule routing yang memiliki Flag DAO menunjukkan ada rule routing yang didistribusikan menggunakan protocol OSPF.
31-Aug-15
[LAB-1] OSPF Route Detail
31-Aug-15
[LAB-1] OSPF Interface
Setelah OSPF network ditentukan maka secara otomatis mendeteksi interface yang menggunakan network tersebut.
Untuk mengubah cost dan priority interface harus didefinisikan secara manual.
31-Aug-15
Area DR & BDR
Dalam setiap area, router akan memilih Designated Router (DR) dan Backup Designated Router (BDR) secara otomatis.
DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam satu area menggunakan alamat multicast 224.0.0.5, sehingga mengurangi proses pertukaran LSA antar router
BDR, akan menggantikan DR jika terjadi error
Dalam permulaan pembentukan OSPF, DR merupakan router pertama yang mengaktifkan OSPF dan BDR merupakan router kedua yang mengaktifkan OSPF
Jika OSPF sudah berjalan, maka pemilihan DR dan BDR selanjutnya ditentukan oleh priority dari interface masing-masing router dalam 1 area
(0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR)
Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi
31-Aug-15
Mikrotik Indonesia http://www.mikrotik.co.id03-214
[LAB-2] OSPF - Fail Over
192.168.1.0/24
IRMeja 1
192.168.2.0/24
IRMeja 2
192.168.3.0/24
IRMeja 3
MEJA 1 MEJA 2 MEJA 3
Backbone Area
ASBRRouter Gateway
192.168.4.0/24
IRMeja 4
MEJA 4
Backup link Backup link
31-Aug-15
[LAB-2] OSPF - Fail Over detail
IRMeja 1
Backbone Area
ASBRRouter Gateway
IRMeja 2
Backup link
Ether210.100.Y.1/24
Ether210.100.Y.2/24
Hubungkan ether2 dari router anda ke ether2 router rekan anda sebagai link backup.
Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut.
Y adalah nomor kelompok.
31-Aug-15
[LAB-2] Interface for Backup
Tambahkan network baru ke backbone area.
10.100.y.0/24
31-Aug-15
Redundant Detected
DR akan menerima perubahan informasi routing dari masing-masing group dan menyebarkan informasi tersebut ke router group yang lain
Network baru tersebut bisa dirouting menggunakan 2 jalur yang berbeda
31-Aug-15
[LAB-2] Fail Over Test
Coba matikan link utama dan test apakah fail over bisa dilakukan otomatis.
Hidupkan kembali link utama untuk cek terhadap proses failover.
IRMeja 1
Backbone Area
ASBRRouter Gateway
IRMeja 2
Backup link
Ether210.10.1.1/24
Ether210.10.1.2/24
x
31-Aug-15
Metric & Cost ….? Metric adalah salah satu parameter di routing yang
sebenarnya merupakan kumpulan nilai logic yang digunakan oleh algoritma routing untuk menentukanjalur routing yang akan dilewati
Nilai Metric ditentukan oleh network administrator dengan pertimbangan berdasar : Jumlah hop yang akan dilewati Kondisi latency Packet loss (router congestion/conditions) Besar bandwidth Cost
Pada OSPF, untuk menetukan nilai Metric internal menggunakan parameter Cost pada interface.
31-Aug-15
OSPF Cost
Untuk menetukan jalur terpendek atau bisa juga diartikan sebagai jalur prioritas, OSPF menggunakan parameter “Cost”.
OSPF “Cost” akan dijumlahkan di setiap hopnya pada proses Link State / Shortest Path Technology.
Setelah semua jalur sudah dikalkulasi dan total Cost semua jalur sudah dijumlahkan, maka akan dipilih jumlah akumulasi cost yang terkecil
31-Aug-15
OSPF Cost
Terlihat ada dua jalur yang bisa menuju ke network tujuan.
Setelah dilakukan perhitungan total Cost, jalur 1 memiliki total cost terkecil. Maka jalur tersebut yang akan digunakan
40 20
10
10 10
Jalur 1 total : 30
Jalur 2 total : 70
31-Aug-15
[LAB-3] OSPF - Cost
Bangun bagan network berikut dengan kelompok terdiri 4 router dan terkoneksi menggunakan ethernet.
Gunakan konfigurasi OSPF (manual Interface) sehingga traffic berjalan searah jarum jam.
Traffic upload melewati router bagian kiri dan download melewati router bagian kanan.
10
10
10
10
100
100
100
100
?? ??Backup
Gunakan koneksi wireless (ether4) sebagai backup link.
Tentukan cost dari backup link supaya traffic tetap searah jarum jam.
R1
R2
R3
R4
31-Aug-15
[LAB-3] OSPF - Cost
10
10
10
10
100
100
100
100
50 ??Backup
ether2 - 10.Y.1.1/24
Ether3 - 10.Y.1.2/24
Ether2 - 10.Y.2.1/24
Ether3 - 10.Y.2.2/2410.Y.3.1/24 - Ether2
10.Y.3.2/24 – ether3
10.Y.4.1/24 – ether2
10.Y.4.2/24 – ether3
ether4- 10.Y.5.1/24 10.Y.5.2/24 – ether4
10.10.10.X
10.10.10.100
X : Nomor KursiY : Nomor Kelompok
Tentukan cost pad backup link supaya traffic tetap berjalan searah jarum jam.Test apakah yang terjadi jika salah satu link mati ?
R1
R2
R3
R4
31-Aug-15
Cost Overwrite
Tambahkan interface untuk link backup dan ubah “cost” supaya menjadi routing backup.
31-Aug-15
OSPF – Router Type (1)
Area 0Area 1
Area 2
ASBR
ASBR – Autonomous System Border Router
ABR – Area Border Router
IR – Internal Router
ABR
ABR
IRIR
IR
31-Aug-15
OSPF – Router Type (2) IR adalah router yang berada dalam sebuah area OSPF
dan tidak terhubung langsung dengan area yang lain.
ABR adalah router yang menjembatani area backbone dengan dengan area yang lain.
ASBR adalah sebuah router yang biasanya terletak di perbatasan sebuah AS (Router Terluar dari AS) dan bertugas untuk menjembatani antara router yang ada di dalam AS dengan Network lain (Berbeda AS).
ASBR juga bisa berarti sebuah router anggota OSPF yang menjembatani routing OSPF dengan protocol Routing yang lain (RIP,BGP dll).
31-Aug-15
OSPF Routing TypeIntra-Area routing
Menggambarkan route ke network tujuan yang masih dalam satu area.
Area 0
Area 1
Area 2
31-Aug-15
OSPF Routing TypeInter-Area routing
Menggambarkan route ke tujuan yang membutuhkan melewati satu atau lebih area OSPF dan masih dalam satu AS.
Area 0
Area 1
Area 2
31-Aug-15
RIPBGP
Other OSPFdsb
OSPF Routing TypeExternal Area routing
Menggambarkan route untuk keluar jaringan OSPF
Dibedakan menjadi 2 tipe :• E1 E1 route cost merupakan jumlah dari internal cost dan
external ospf metric.
• E2 E2 route cost merupakan nilai dari external OSPF metric saja
Area 0
31-Aug-15
192.168.1.0/24
192.168.1.0/24
OSPF - External Route Type
40 20
10
10 10
Jalur 1 total : 50
Jalur 2 total : 90
TYPE 1
Metric 20Redistribute as type 1
31-Aug-15
OSPF Metric – as type 1
Ketika OSPF pada IR 1 menggunakan “as-type-1” maka informasi metric akan diberikan dengan informasi routing ke IR2.
Sehingga total Metric pada IR2 adalah pejumlahan metric dari IR1 dengan Cost pada IR2.
IR 1 IR 2OSPF Routing Transaction
Ether210.10.Y.1/24
Ether210.10.Y.2/24
RouteMetric Cost
RouteMetricCost
31-Aug-15
192.168.1.0/24
192.168.1.0/24
OSPF - External Route Type
40 20
10
10 10
Jalur 1 total : 30
Jalur 2 total : 70
TYPE 2
Metric 20Redistribute as type 2
31-Aug-15
OSPF Metric – as type 2
Ketika OSPF pada IR1 menggunakan “as-type-2” maka yang dikirimkan ke IR2 hanyalah informasi routing saja
Sehingga total Metric pada IR2 hanya mengacu pada cost IR2
IR 1 IR 2OSPF Routing Transaction
Ether210.10.Y.1/24
Ether210.10.Y.2/24
Route Cost
RouteCost
31-Aug-15
Metric Overwrite
31-Aug-15
OSPF Network Type (1) Point-to-Point
Adalah jenis jaringan yang paling sederhana, tersusun atas dua routeryang terhubung langsung dan tidak diperlukan DR dan BDR dalam type ini
Broadcast Type Default yang digunakan pada jaringan ethernet. Satu paket yang
dikirimkan sebuah router akan diterima oleh banyak router
neighbor neighbor
neighbor
DR
31-Aug-15
NBMA – Non-Broadcast-Multiple-Access Mirip dengan broadcast, akan tetapi untuk neighbor harus
ditambahkan secara manual karena tidak semua jaringan mendukung broadcast, salah satu contohnya adalah ATM dan Frame-relay.
OSPF Network Type (2)
DR
neighbor
neighbor
neighbor
31-Aug-15
Point-to-Multipoint Solusi lain untuk network yang tidak mendukung broadcast,
mengemulasi link point-to-point ke dalam beberapa node danmengirimkan paket Halo ke semua node. Biasanya type ini digunakan untuk jaringan wireless
OSPF Network Type (3)
neighbor
neighbor
neighbor
neighbor
31-Aug-15
OSPF Area
Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu area menyesuaikan skala dari jaringan yang dimiliki.
Area 0Area 1
Area 2
ASBR
ABR
ABR
IR
IR
Area 3
IR IR
IR
31-Aug-15
OSPF Area Semakin banyak router dan jaringan didalamnya,
semakin besar ukuran Link State Database cpu load, memory
Internal router akan mendapat LSA hanya dari router lain yang masih dalam satu area
Area yang ingin mendapatkan informasi LSA secara lengkap dan bisa terkoneksi dengan jaringan yang ada di luar AS maka harus terhubung secara logic dengan Backbone (Area 0).
Untuk area yang tidak secara langsung terhubung ke ke area backbone bisa menggunakan Virtual Linkmemanfaatkan area lain yang sudah terhubung ke Backbone Area.
31-Aug-15
Area Type Backbone – Area 0 (Area ID 0.0.0.0)
Bertanggung jawab mendistribusikan informasi routing antara non-Backbone area
Semua sub-Area HARUS terhubung dengan backbone secara logikal
Standart / Default Area
Merupakan sub-Area dari Area 0. Area ini menerima LSA intra-area dan inter-area dari ABR yang terhubung dengan area 0
Stub Area
Area yang paling “ujung”. Area ini tidak menerima advertise external route (digantikan default route)
Not So Stubby Area (NSSA)
Stub Area yang tidak menerima external route (digantikan default route) dari area lain tetapi masih bisa mendapatkan external route dari router yang masih dalam 1 area
31-Aug-15
OSPF – Backbone Area
Area 0
Area 1
Area 2
ASBR
ABR
ABR
Area 0 atau sering juga disebut sebagai Backbone Area merupakan area dimana Router-Router ABR berkumpul untuk saling menukarkan informasi routing dari area-area yang lain.
Area Backbone juga merupakan Area Transitsebelum traffic keluar atau masuk ke dalam sebuah AS.
Sebuah area yang tidak terhubung langsung ke area backbone bisa terhubung ke backbone area menggunakan Virtual Link.
31-Aug-15
[LAB-4] OSPF – Area
R1
R3
R5 R6
R2
R4
R7 R8
AREA 0 – BACKBONE AREA STANDART AREA
AREA 1 NSSA AREA
AREA 2STUB AREA
31-Aug-15
[LAB-4] OSPF – Backbone
R1
R3
R2
R4
AREA 0 – BACKBONE AREA STANDART AREA
Wlan 210.y.1.1/24
Wlan 210.y.1.2/24
Wlan 210.y.1.3/24
Wlan 210.y.1.4/24
Koneksi antar router backbone gunakan interface WLAN2
Gunakan frekuensi 5GHz dengan SSID – “KelompokY”
31-Aug-15
[LAB-4] OSPF – Backbone Atur Router-ID menggunakan 10.10.10.x pada instances
Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area backbone
R1-R4
31-Aug-15
[LAB-4] OSPF – NSSA Area
R3
R5R6
AREA 1 NSSA AREA
Ether210.y.2.1/24
Ether310.y.3.1/24
Ether210.y.2.2/24
Ether310.y.3.2/24
31-Aug-15
[LAB-4] OSPF – NSSA
R3 , R5, R6
Atur Router-ID menggunakan 10.10.10.x pada instances
Buat Area dengan type NSSA
31-Aug-15
[LAB-4] OSPF – NSSA
Pada R3
Tambahkan network ke area1
31-Aug-15
[LAB-4] OSPF – NSSA
R5
Tambahkan network ke area1
R6
31-Aug-15
[LAB-4] OSPF – STUB Area
R4
R7R8
AREA 2 STUB AREA
Ether210.y.4.1/24
Ether310.y.5.1/24
Ether210.y.4.2/24
Ether310.y.5.2/24
31-Aug-15
[LAB-4] OSPF – STUB
R4 , R7, R8
Atur Router-ID menggunakan 10.10.10.x pada instances
Buat Area dengan type STUB
31-Aug-15
[LAB-4] OSPF – STUB
Pada R4
Tambahkan network ke area1
31-Aug-15
[LAB-4] OSPF – STUB
R7
Tambahkan network ke area1
R8
31-Aug-15
[LAB-4] OSPF – AREA
Amati dan lihat perubahan tabel routing untuk masing-masing IR di setiap AREA.
Apakah ada perbedaan tabel routing antara IR pada NSSA dengan STUB area ?
Tambahkan static default gateway pada R1 ke 10.10.10.100 dan aktifkan redistribute-default-route, kemudian amati perubahan tabel routing di masing-masing router.
Import route-nice.rsc ke R3 dan R4.
Aktifkan redistribute-static route di R3 dan R4 kemudian cek perubahan tabel routing di masing-masing router.
31-Aug-15
OSPF - Virtual Link
Virtual Link digunakan untuk mengatasi koneksi router yang terpisah (secara fisik) dari area backbone.
Juga dapat digunakan untuk menyabung area backbone yang terpisah.
Virtual Link Tidak bisa berjalan sempurna jika melewati stub area.
31-Aug-15
[LAB-6] OSPF – Virtual Link
Karena Virtual Link tidak bisa melewati area yang bertipe Stub maka ubah type area pada Area1 dan Area2 menjadi type standard (default).
Kemudian Aktifkan Virtual Link di R2 dan R3.
Area Backbone
Area 1
10.10.10.X
10.10.10.100Ether2:10.Y.1.1
Ether3:10.Y.1.2
Ether2:10.Y.2.1
Ether3:10.Y.2.2
Ether2:10.Y.3.1
Ether2:10.Y.3.2
Virtual Link
Y = Nomor KelompokX = Nomor Meja
Area 2
R1
ABR
ABR
IR
R2
R3
R4
31-Aug-15
[LAB-6] R2 Configuration
Ubah Area1 menjadi Area Standard.
Buat Virtual Link melewati Area1
31-Aug-15
[LAB-6] R3 Configuration
31-Aug-15
[LAB-6] R3 Configuration Aktifkan network OSPF di kedua area.
31-Aug-15
[LAB-6] R3 Configuration
Tambahkan Virtual Link memanfaatkan Area1.
Pastikan NeighborIDsama dengan RouterIDyang ada di Area1.
31-Aug-15
[LAB-6] R4 Configuration
Tambahkan Area2 di R4.
Aktifkan Network untuk Area2.
31-Aug-15
OSPF - Virtual Link
Saat ini Virtual link tidak bisa berjalan sempurna di ROS v4/v5 !!
Solusi : 1. Gunakan EoIP antara R3 ke R12. Pasang IP di interface EoIP3. Masukkan IP network EoIP tersebut kedalam
network backbone
31-Aug-15
LSA Type Type 1 (Router link) : LSA yang diterima dari router lain dalam satu
area dan berisi informasi router-id neighbor
Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR dalam satu area.
Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR ke neighbor yang berisi ringkasan informasi network area lain dalam satu AS
Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari router ASBR yang mengadvertise LSA type 5
Type 5 (AS External Link) : LSA ini berisi informasi network external AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub Area dan NSSA Area)
Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF (MOSPF), routing protocol yang jarang digunakan
Type 7 (Group Membership) : Membawa informasi network external AS yang melewati NSSA
31-Aug-15
STANDART AREAAREA 0
OSPF – LSA Standart Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
TYPE 5
TYPE 4
31-Aug-15
STUB AREAAREA 0
OSPF – LSA STUB Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
0.0.0.0/0
31-Aug-15
NSSA AREAAREA 0
OSPF – LSA NSSA Area
TYPE 1 & 2 TYPE 1 & 2
TYPE 5 TYPE 7
TYPE 4
0.0.0.0/0
31-Aug-15
Routing Filter Hampir sama dengan IP firewall, routing bisa
mengimplementasikan filtering terhadap informasi routing yang didistribusikan di setiap protocolnya.
Mirip juga dengan IP firewall Urutan penempatan rule sangat berpengaruh.
OSPF memiliki chain default yang digunakan untuk meletakkan filter : Chain built in atau chain default “OSPF-IN” adalah
chain untuk meletakkan filter informasi routing yang masuk.
Chain built in atau chain default “OSPF-OUT” aladah chain untuk meletakkan filter informasi routing yang keluar.
Custom chain juga bisa dibuat sesuai kebutuhan dengan menuliskan nama chain baru secara manual.
31-Aug-15
OSPF-Filter
31-Aug-15
Routing Filter Chain Beberapa parameter yang diperlukan untuk melakukan
routing filter :
Chain : Nama chain untuk meletakkan rule filter. ospf-in – Lokasi untuk melakukan filter informasi routing OSPF yang
diterima oleh router sebelum dipasangkan di tabel routing
ospf-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam OSPF
rip-in – Lokasi untuk melakukan filter informasi routing RIP yang diterima oleh router sebelum dipasangkan di tabel routing
rip-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam RIP
mme-in – Lokasi untuk melakukan filter informasi routing MME yang diterima oleh router sebelum dipasangkan di tabel routing
connected-in – Letak chain default untuk menempatkan filter routing Direct Connect (input).
dynamic-in – Letak chain default untuk routing dynamic yang lain (Selain routing protocol dan connect directly). Biasanya untuk routing yang diinputkan dari ppp daemon.
31-Aug-15
Routing Filter Prefix & Prefix Lenght
Prefix adalah segmen network yang ingin difilter Contoh :
• 0.0.0.0/0 – untuk memfilter default route
• 192.168.0.0/24 – jika tidak ada tambahan setting di preffix-length maka akan melakukan filter network tersebut secara spesifik.
• 192.168.0.0 – jika tidak ada prefix segmen maka dianggap sebagai /32
Prefix-Length adalah filter terhadap prefix-mask dari parameter Prefix. Contoh : prefix=10.0.0.0/8 prefix-length=8-32
• Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255
prefix=8.8.0.0/16 prefix-length=16-32• Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255
31-Aug-15
Routing Filter - Action Accept – Menerima prefix routing
Discard – tidak memasukkan prefix routing ke proses pengolahan routing di FIB.
Jump – Melemparkan prefix routing ke chain filter routing yang lain. Jump Target – Chain tujuan yang baru.
Log – Memasukkan informasi routing ke pesan Log System.
Passthrough – Meneruskan informasi routing untuk di periksa di rule dibawahnya dalam chain yang sama.
Reject – jika digunakan di Incoming Filter, prefix yang masuk akan disimpan di memory tetapi tidak akan diaktif. Jika Outgoing Filter, prefix tidak akan diproses sama sekali.
Return – Mengembalikan prefix routing yang sebelumnya sudah terkena filter jump.
31-Aug-15
[LAB-7] OSPF – PPP Network
Area Backbone
Area 1STD AREA
10.10.10.X
10.10.10.100
Ether2:10.Y.1.1
Ether3:10.Y.1.2
Ether2:10.Y.2.1
Ether3:10.Y.2.2
Ether3:10.Y.3.1
Ether2:10.Y.3.2
Y = Nomor KelompokX = Nomor Meja
PPPoENetwork
Bangun network topologi seperti pada gambar dan aktifkan PPPoE server di Ether3 R4.
Tambahkan Jaringan yang menggunakan protocol PPP untuk kasus kali ini kita akan mencoba menggunakan network PPPoE
Gunakan Notebook sebagai client
Ether3
R1
R2
R3
R4
31-Aug-15
OSPF – Filter PPP protocol OSPF juga bisa melakukan distribusi routing untuk
network point-to-point /32 (VPN / point-to-point addressing).
Karena sifatnya yang sangat dinamis perubahan struktur jaringan VPN (PPP) akan semakin membebani kerja protocol OSPF.
Direkomendasikan untuk melakukan filter terhadap network jenis ini.
Untuk distribusi routing PPPoE di OSPF kita bisa memasang IP Agregasi ke salah satu interface di router, biasanya ip agregasi tersebut dipasang di interface dimana service PPP dipasang.
Atau bisa juga memasang static route dari network VPN (PPP) mengarah ke router itu sendiri.
31-Aug-15
[LAB-7] OSPF - PPP Filter
Gunakan routing filter di OSPF untuk menghilangkan advertise network /32 karena akan membebani proses update routing.
Ether3:10.Y.3.1
Ether2:10.Y.3.2
Area 1
PPPoE / VPNNetwork Ether3
Client 1
Client 2
Client 4Client 3
R3
R4
31-Aug-15
[LAB-7] OSPF-Filter
/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard
Filter ini dipasang di semua Router yang terhubung ke OSPF Network
31-Aug-15