mtcre

Advanced Mikrotik Training

Routing (MTCRE)

Certified Mikrotik Training - Advanced Class (MTCRE)

Organized by: Citraweb Nusa Infomedia

(Mikrotik Certified Training Partner)

Jadwal Training

31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id00-2

Sesi 1 Sesi 2 Sesi 3 Sesi 4

Hari 1 Static Route

Hari 2 Tunnel Load Balance

Hari 3 OSPF

Hari 4 LAB TEST

New Training Scheme 2010


Basic/Essential Training

MikroTik Certified Network Associate (MTCNA)

Advanced Training

Certified Wireless Engineer (MTCWE)

Certified Routing Engineer (MTCRE)

Certified Traffic Control Engineer (MTCTCE)

Certified User Managing Engineer (MTCUME)

Certified Inter Networking Engineer (MTCINE)

Certification Test

Diadakan oleh Mikrotik.com secara online

Dilakukan pada sessi terakhir

Jumlah soal : 25

Nilai minimal kelulusan : 60% Trainer: 75%

Yang mendapatkan nilai 50% hingga 59%berkesempatan mengambil “second chance”

Yang lulus akan mendapatkan sertifikat yang diakui secara internasional


License for training program materials and certification test questions

All content of written materials, specifically questions, answers and diagrams of the certification tests questions are the proprietary and confidential property of Mikrotikls SIA. They may not be copied, reproduced, modified, published, uploaded, posted, transmitted, or distributed in anyway without prior written permission of Mikrotikls SIA.

You are expressly prohibited from disclosing, publishing, reproducing, or transmitting any tests and any related information including, without limitation, questions, answers, worksheets, computations, drawings, diagrams, length or number of test segments or questions, or any communication, including oral communication, regarding or related to the tests (known collectively as “Proprietary Information”), in whole or in part, in any form or by any means, oral or written, electronic or mechanical, for any purpose.

A disclosure of Proprietary Information by any means in violation of this license undermines the integrity and security of the MikroTik training programs


Violation of Test Questions license may lead to a temporary or permanent ban on future MikroTik certification tests and the cancellation of previously

earned MikroTik certifications.

Trainers

Novan Chris

MTCNA (2006), Certified Trainer (2008)

MTCWE (2008), MTCRE (2008)

MTCTCE (2011), MTCINE (2012) , MTCUME (2012)

Pujo Dewobroto

MTCNA (2009), MTCTCE (2009), MTCRE (2011)

MTCWE (2010), MTCUME (2012)

Certified Trainer (2011)


Perkenalan

Perkenalkanlah :

Nama Anda :

Tempat Bekerja :

Kota / Domisili :

Apa yang Anda kerjakan sehari-hari dan fitur-fitur apa yang ada di Mikrotik yang sudah Anda gunakan.

Motivasi mengikuti training.


Static Route & Policy Route

Certified Mikrotik Training Advanced Class (MTCRE)



Outline

Basic Config

Routing Concepts

Routing Parameters

Routing Table

Point to Point Addressing

Check Gateway

SCOPE & Target SCOPE

SRC-Routing

Policy Routing

Route – Rules

Route – Firewall – Route Mark


31-Aug-15Mikrotik Indonesia http://www.mikrotik.co.id

Lakukanlah terlebih dahulu!

Ubahlah nama Router System Identitymenjadi : “XX-NAMA ANDA”

Aktifkan neighbor interface pada WLAN1

Buatlah username baru untuk anda dan berilah password (group full)

Proteksilah user admin (tanpa password) hanya bisa diakses dari 10.10.10.30/31 (group full)

Buatlah user “demo” dengan group read

01-10


[LAB-1] System Identity

Supaya tidak membingungkan, ubahlah nama router Anda.

Format: xx-NamaAnda

01-11

[LAB-2] Activate Neighbor Protocol


Aktifkan Discovery Interface agar router bisa saling mendeteksi di layer 2 menggunakan MNDP

[LAB-3] User Configuration


Persiapkan User di Router mikrotik supayasiap di semua kegiatanlab training.

01-13


[LAB-4] Konfigurasi Dasar

ETHER1192.168.1.1/24

ETHERNET PORT192.168.1.2/24

WLAN110.10.10.1/24

ETHER1192.168.2.1/24

ETHERNET PORT192.168.2.2/24

WLAN110.10.10.2/24

ETHER1192.168.X.1/24

ETHERNET PORT192.168.X.2/24

WLAN110.10.10.X/24

MEJA 1 MEJA 2 MEJA X

01-14


IP Configuration

Routerboard Setting

WAN IP : 10.10.10.x/24

Gateway : 10.10.10.100

LAN IP : 192.168.x.1/24

DNS : 10.100.100.1

Services: Src-NAT and DNS Server

Laptop Setting

IP Address : 192.168.x.2/24

Gateway : 192.168.x.1

DNS : 192.168.x.1

01-15


Configuration

NTP Client = enable

NTP Server : “id.pool.ntp.org”/ “ntp.nasa.gov”

Sesuaikan System Clock menggunakan TimeZone Asia-Jakarta

Wlan1 SSID : training (WPA=…………….)

Buatlah file backup! Dan simpan file tersebut ke laptop

01-16


Routing

Sebuah metode atau proses untuk meneruskan paket data dari suatu jaringan ke jaringan lain yang berbeda segmen (berbeda subnet).

Proses ini dilakukan pada OSI layer 3 (Network).

Pada Mikrotik, fungsi Routing ini sudah menjadi fitur / fungsi standart dan sudah ada di paket “System”.

01-17


Routing Benefits Memungkinkan kita melakukan pemantauan dan

pengelolaan jaringan yang lebih baik. Pemisahan jaringan menjadi beberapa subnet sesuai

kebutuhan.

Pengembangan jaringan menjadi lebih mudah.

Lebih aman (firewall filtering lebih mudah dan lengkap) Trafik broadcast hanya terkonsentrasi di subnet yang

sama.

Jika diimplementasikan pada jaringan wireless, dibutuhkan perangkat wireless yang mampumelakukan full routing, atau bisa juga menambahkanrouter di wireless BTS.

Untuk network dengan skala besar, bisamenggunakan protocol Dynamic Routing (RIP/OSPF/BGP)

01-18


Routing

ROUTERGATEWAY

WIRELESS

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

setiap segment jaringan memilikisubnet IP address yang berbeda.

01-19


Tipe Routing MikroTik RouterOS tipe routing sbb:

dynamic routesyang akan dibuat secara otomatis:

• saat menambahkan IP Address pada interface (Connected Routes)

• informasi routing yang didapat dari protokol routing dinamik seperti RIP, OSPF, dan BGP.

static routesadalah informasi routing yang dibuat secara manual oleh user untuk mengatur ke arah mana sebuah koneksi akan dilewatkan. Default route adalah salah satu contoh static routes.

01-20


Tipe Routing

01-21

Setiap memasang IP disebuah interface, secara otomatis akan dibuatkan routing DAC untuk networknya dengan prefered source IP tersebut

A: ActiveS: Static

A: ActiveD: Dynamic

C: Connected

Connected Routes

Dibuat secara otomatis setiap kali kita menambahkan sebuah IP Address pada interface yang valid (interface yang aktif).

Jika terdapat dua buah IP Address yang satu subnet pada satu interface yang sama, maka hanya akan ada 1 connected route.

Jangan menempatkan dua ip address dari subnet yang sama tetapi diletakkan pada dua interface yang berbeda, karena akan membingungkan tabel dan logika routing di router.


Connected Routes


Static Route

Static Routing digunakan untuk melakukan pengaturan arah paket data yang akan melalui router, yaitu dengan menentukan gateway untuk dst-address yang spesifik.

Dst-address=0.0.0.0/0 sering disebut sebagai “all destination address” karena ip 0.0.0.0/0 bisa menggantikan/mewakili semua ip address.

Gateway bisa berupa :

IP Address

Interface (khusus PPP interface)



Menambahkan Routing

01-25

Static Route


Contoh Implementasi Static Route, yaitu pemasangan Default Gateway atau Default Route.

01-26


Parameter Dasar Routing Destination

Host address – 222.124.211.23

Network address – 202.53.246.0/24

Semua Network / Semua Host – 0.0.0.0/0

Gateway

IP Address gateway, harus merupakan IP Address yang satu subnet dengan IP yang terpasang pada salah satu interface

Gateway Interface, digunakan apabila IP gateway tidak diketahui atau bersifat dinamik (hanya bisa menggunakan interface ber-type PPP).

Pref Source

source IP address dari paket yang akan meninggalkan router, Biasanya adalah ip address yang terpasang di interface yang menjadi gateway (juga digunakan untuk proses NAT-Masquerade).

Distance

Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing yang akan dijalankan router.

01-27

Mikrotik Indonesia http://www.mikrotik.co.id

Konsep Dasar Routing

IP Address Gateway harus merupakan IP Address yang subnetnya sama dengan salah satu IP Address yang terpasang pada router (connect directly).

10.10.0.2/24

10.10.1.1/24 10.10.2.1/24

10.10.2.2/24 10.10.3.2/24

10.10.4.1/24

10.10.4.2/24

A

B

Pada interface yang menghubungkan router A dan B, pada masing-masing router terdapat lebih dari 1 buah IP Address.

Default gateway pada router B adalah router A

IP Address yang menjadi default gateway router B adalah 10.10.2.1, karena IP Address tersebut berada dalam subnet yang sama dengan salah satu IP Address pada router B (10.10.2.2/24)

Setting static route default :

Dst-address=0.0.0.0/0 gateway=10.10.2.1

31-Aug-1501-28


10.10.3.1/24

10.10.3.2/24

Implementasi Konsep Routing

10.10.0.1/24

10.10.0.2/24

10.10.1.1/24 10.10.1.2/24 10.10.2.1/24

10.10.2.2/24

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1

(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2

(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2

(AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2

(DAC) Dst-addr= 10.10.0.0/24pref-source=10.10.0.2







01-29


Konsep Dasar Routing

Untuk pemilihan routing, router akan memilih berdasarkan:

Rule routing yang paling spesifik dst-address nya menyesuaikan dengan tujuan paket

• Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24 jika tujuan paket menuju ke host ip 192.168.0.130

Distance• Router akan memilih yang distance nya paling kecil

Round robin (random)

31-Aug-1501-30


Contoh Pemilihan

Destination Gateway Distance Prioritas

192.168.0.0/27 192.168.1.1 1

192.168.0.0/29 192.168.2.1 1

192.168.0.0/24 192.168.3.1 5

192.168.0.0/24 192.168.4.1 1

Untuk koneksi dengan destination 192.168.0.1, manakah urutan prioritas rule yang digunakan?

1

2

4

3

01-31

Distance

Merupakan salah satu parameter yang digunakan untuk pemilihan (prioritas) rule routing, nilainya (0-255) secara default tergantung protocol routing yang digunakan:

Connected routes : 0

Static Routes : 1

eBGP : 20

OSPF : 110

RIP : 120

MME : 130

iBGP : 200


Note:Distance=255 berarti “rejected”

01-32

Routing Table

Routing Table dibuat oleh router untuk memetakan jaringan yang ada di sekitar perangkat router tersebut.

Routing Table terdiri dari 2 bagian :

RIB – Routing Information Base

FIB – Forwarding Information Base


BGP

Routing Information Base


Connected Routes

Static Routes

OSPF

RIP

MME

Instance 1

Instance 2

Instance n

BGP

OSPF

RIP

MME

Instance 1

Instance 2

Instance n

AllRoutes

ActivesRoutes

Protocol’sRoutes

InputFilters

OutputFilters

RouteSelection

+

-

Discard

01-34


Berisi informasi routing yang lengkap, yang terdiri dari:

Static routes dan Policy Routing Rules

Informasi routing dari Dynamic Routing Protocol (RIP, OSPF, BGP, etc)

Informasi Connected Routes



Digunakan untuk:

Memfilter informasi routing

Mengkalkulasi best route untuk masing-masing dst-address/prefix

Membuat dan mengupdate Forwarding Information Base (FIB)

Mendistribusikan informasi routing ke routing protokol lainnya


Forwarding Information Base


FIB merupakan tabel yang digunakan untuk menentukan forwarding packet.

Tabel ini berisi :

Active route

Policy Routing Rules

01-37

FIB

Catch All

User Defined

Implicit

Main

Routing Tables Rules

Connected Routes

ActiveRoutes



• FIB akan melihat melihat parameter berikutuntuk menentukan routing:• Source Address• Destination Address• Source Interface• Routing Mark• ToS

• Kemungkinan decision routingnya meliputi :• Paket di tujukan untuk ke router • Paket di discard• Paket di tujukan ke sebuah alamat



Cache FIB

+-

01-39

• Hasil penentuan routing akan disimpan kedalam route cache untuk mempercepat proses forwarding paket-paket berikutnya

• Jika paket yang memiliki parameter src-address, dst-address, src-interface, routing mark dan tos sama, maka router cukup melihat dari route cache

Point to Point Addressing

Adalah sistem pengalamatan IP Address untuk dua buah perangkat yang terkoneksilangsung, menggunakan dua buah IP Address /32


Router 1 Router 2

172.16.0.X1/32 IP Address 172.16.0.X2/32

172.16.0.X2 Network Address 172.16.0.X1

[kosongkan] Broadcast Address [kosongkan]

ether2 Interface ether2

01-40


[LAB-5] P2P Addressing

192.168.X.2

172.16.0.X1/32 172.16.0.X2/32

192.168.X.2

Hubungkanlah ether2 di router dengan ether2 router rekan semeja menggunakan kabel ethernet.

Buatlah P2P Addressing dan lakukanlah static route untuk network laptop

Test koneksi dengan ping antar router & test ping antar laptop

Ether2 Ether2

Router Meja X Router Meja X

01-41

Contoh: P2P Addressing


Router Meja 1

Router Meja 2

01-42

Check Gateway Adalah sebuah mekanisme pengecekan

gateway yang dilakukan oleh router mikrotik. Dikirimkan setiap 10 detik, menggunakan ARP

request atau ICMP ping. Dianggap “Gateway time-out” jika tidak

menerima respon dalam 10 detik dari mesin Gateway.

Gateway dianggap “unreachable” jika terjadi 3kali Gateway time-out berurutan.

Jika mengaktifkan fitur check gateway untuk sebuah rule, maka akan berpengaruh juga untuk semua rule lain dengan gateway yang sama.


Check Gateway Option



[LAB-6] Static Route

172.16.Y.1/32

192.168.X.2

172.16.Y.2/32

172.16.Y.3/32

172.16.Y.4/32

172.16.Y.7/32

172.16.Y.6/32

172.16.Y.5/32

172.16.Y.8/32

192.168.X.2

192.168.X.2192.168.X.2

R1 R2

R4R3

Ether3 Ether2

Ether2 Ether3

Ether3

Ether2 Ether3

Ether2

01-45

[LAB-6] Static Route 2 Pasang ip Point to Point untuk menghubungkan semua

Router dalam kelompok.

Buatlah static route untuk menjangkau setiap laptop teman sekelompok menggunakan link Point to Point address.

Konfigurasi Distance untuk menentukan Prioritas link.

Link utama adalah melalui jalan terdekat

Jika ada kondisi jaraknya sama, maka link utama adalah yang searah jarum jam.

Pantaulah link utama dengan menggunakan check-gateway

Buatlah static route juga untuk back-up link


Quiz !Terdapat kofigurasi

/ip routeadd dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101 distance=1

add dst-address=192.168.1.0/28 gateway=10.10.10.100 check-gateway=ping distance=2

add dst-address=192.168.2.0/28 gateway=10.10.10.101 check-gateway=ping distance=2

Untuk trafik yang menuju ke 192.168.2.20 akan melewatigateway?

Untuk trafik yang menuju ke 192.168.1.14 akan melewatigateway?

Apabila gateway 10.10.10.100 putus? Bagaimana yang terjadi?



[LAB-7] Static Route (Fail Over)

172.16.Y.1/32

192.168.X.2

172.16.Y.2/32

172.16.Y.3/32

172.16.Y.4/32

172.16.Y.7/32

172.16.Y.6/32

172.16.Y.5/32

172.16.Y.8/32

192.168.X.2

192.168.X.2192.168.X.2

R1 R2

R4R3

Ether3 Ether2

Ether2 Ether3

Ether3

Ether2 Ether3

Ether2

XDROP LINK !!!!!!

01-48

Evaluasi Mekanisme Check gateway yang kita gunakan

hanya bisa mendeteksi problem koneksi padahoop (gateway) terdekat.

Jika problem terjadi setelah gateway terdekat(next hoop), check gateway tidak bisamendeteksinya.

Untuk mendeteksi problem koneksi yang terjadisetelah gateway terdekat, bisa digunakan teknikscope/target scope.


Scope dan Target Scope

Digunakan untuk static route yang dibuat recursive (tidak terkoneksi langsung).

Target Scope adalah nilai scope maksimum dari rule lainnya yang reachable.

Kegunaan:

Bisa melakukan pemantauan check gateway ping untuk gateway yang tidak terhubung langsung

Dikombinasikan dengan iBGP bila nexthoop tidak direct connected



Nilai default scope dan target scope:



Contoh: dst-address 0.0.0.0/0 dengan gateway 117.20.50.233, recursive via 10.10.10.100


Dst-Address Gateway Scope Target Scope

0.0.0.0/0 117.20.50.233 30 30

117.20.50.233 10.10.10.100 30 10

10.10.10.1/24

10.10.10.100/24

117.20.50.233

01-52

[LAB-8] Routing - Scope

Sesuai dengan diagram network pada LAB-7 sebelumnya, perbaikilah sistem monitoring link sehingga bisa mendeteksi adanya problem koneksi yang terjadi setelah gateway terdekat.

Coba cabut salah satu koneksi kabel untuk mensimulasikan terjadinya permasalahan di salah satu link.


Routing Modification


Dst-Address Gateway Check Gateway Distance Scoop Target Scoop

0.0.0.0/0 10.10.10.100 no 1 30 10

172.16.Y.5 172.16.Y.2 no 1 30 10

172.16.Y.6 172.16.Y.2 no 1 30 10

172.16.Y.7 172.16.Y.4 no 1 30 10

172.16.Y.8 172.16.Y.4 no 1 30 10

192.168.2.0/24 172.16.Y.2 ping 1 30 10

192.168.2.0/24 172.16.Y.4 no 2 30 10

192.168.7.0/24 172.16.Y.4 ping 1 30 10

192.168.7.0/24 172.16.Y.2 no 2 30 10

192.168.8.0/24 172.16.Y.6 ping 1 30 30

192.168.8.0/24 172.16.Y.4 no 2 30 10

01-54

Static Route dgn Scope


Static Route dgn Scope


Pada saat terjadi link failure antara R2 dan R4

01-56

Block using Routing

Kita bisa melakukan blok untuk dst-address tertentu menggunakan static route :

Blackhole

• Memblok dengan diam-diam

Prohibit

• Memblok dan mengirimkan pesan error ICMP “administratively prohibited” (type 3 code 13)

Unreachable

• Memblok dan mengirimkan pesan error ICMP “host unreachable” (type 3 code 1)

Ketiga tipe di atas tidak membutuhkan IP Address gateway.


Pref-source By default: null, kecuali untuk connected routes

Fungsi :

IP Address asal untuk paket data yang berasal dari router

IP Address src-address-to untuk paket data yang terkena action NAT – masquerade

Jika tidak ditentukan, secara otomatis akan menggunakan salah satu IP Address yang ada pada output interface

Jika isian pref-src adalah IP Address yang tidak terpasang pada router, rule ini akan non-aktif.


Source Routing

Source Routing adalah sebuah teknik routing yang memungkinkan Administrator jaringan menentukan jalur routing balik / incoming yang akan dilalui oleh paket data.

Perlu diingat bahwa parameter “dst-address”pada paket header akan selalu diperiksa oleh router yang dilewatinya untuk menentukan hop selanjutnya.

Dengan memodifikasi Pref-Source Maka jalur routing balik bisa dimanipulasi sesuai keinginan administrator.


[LAB-9] Pref-Source


• IP lokal ptp wireless : 10.10.10.x/24

• IP Public dari provider : 172.16.x.0/24

• Router bisa diakses dari internet dengan IP publik 172.16.x.1/24

• Untuk client menggunakan IP publik 172.16.x.2/24

Static Route Setting


Src-Nat Setting


Policy Route

Secara default, router akan menggunakan table routing “main”

Kita bisa membuat table routing tambahan dan mengarahkan router menggunakan table tersebut dengan menggunakan:

IP - Route – Rules

IP - Firewall - Mangle – Route-mark


Route Rules

Route rules hanya dapat melakukan decision berdasarkan src-address, dst-address, routing-mark, dan interface.

Untuk parameter yang lebih detail, gunakanlah mangle.


[LAB-10] Route Mark

WLAN1: Untuk traffic dari 192.168.x.0/24

WLAN2: Untuk traffic dari 172.16.x.0/24


10.10.10.100/24 10.20.20.100/24

WLAN1 WLAN210.10.10.X/24 10.20.20.X/24

192.168.X.0/24 172.16.X.0/24

Ether1 Ether2

01-65

Route - Rules


Tambahkan Route –Rules untuk menentukan klasifikasi dari segmen network yang akan menggunakan gateway yang berbeda.

01-66

Routing Table - Rules

Tambahkan rule routing untuk mengarahkan segmen network2 supaya menggunakan gateway lain.


Mangle Route Mark

Untuk trafik yang melalui router:

Mangle chain: prerouting

Untuk trafik yang berasal dari router :

Mangle chain: output

Chain lainnya (input, forward, dan postrouting) tidak dapat digunakan untuk melakukan route-mark.


[LAB-11] Route Mark

WLAN1: All other traffic

WLAN2: http only


10.10.10.100/24 10.20.20.100/24

WLAN1 WLAN210.10.10.X/24 10.20.20.X/24

01-69

Route Mark (client)


Route Mark (local process / Proxy)


Static Route


Trafik Lainnya Trafik TCP 80

01-72

Quiz !

Bagaimana jika ingin mendeteksi jalur gateway yang putus di >10 hoop di depan router anda ?

Dengan menggunakan metode scope dan target scope kita tidak lagi memerlukan ip gateway dari isp. (Benar / Salah)

Kita bisa mengganti Pref-Source menggunakan ip public dari Router lain yang masih dalam satu jaringan yang sama. (Benar/Salah)


Tunnel




Tunnel Tunnel adalah sebuah metode penyelubungan

(encapsulation) paket data di jaringan TCP/IP, yang biasanya digunakan untuk mensimulasikan koneksi fisik antara dua network melewati jaringan lain (WAN/Internet).

Paket data dari aktifitas transfer data di kedua network mengalami sedikit pengubahan atau modifikasi. Yaitu penambahan header dari tunnel di tiap paket data dari traffic yang terjadi di kedua network tersebut. Walupun ada pengubahan pada paket data informasi paket yang asli tetap disertakan (RFC 2003 compliant ).

Ketika data sudah melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula (header tunnel dihilangkan).

02-75 Mikrotik Indonesia http://www.mikrotik.co.id 31-Aug-15

Tunnel Network

Point to point network encapsulation

WAN

Point 1 Point 2tunnel

1.1.1.1 1.1.1.2

R1 R2

IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24


VPN Networks

Merupakan sebuah jaringan virtual yang dibangun diatasjaringan yang sudah ada

ServerClient 1

Client 2

Mobile Client 1

Mobile Client 2


Tunnel & VPN Tunnel

IPIP – IP Tunnel

EoIP – Ethernet Over IP

VLAN – Virtual Lan

Gre Tunnel

VPN

PPPoE – Point To Point Protocol Over Ethernet

PPTP – Point To Point Tunnel Protocol

L2TP – Leyer 2 Tunnel Protocol

OpenVPN – Open Virtual Private Network

IPSec – IP Security

SSTP – Secure Socket Tunnel Protocol


IPIP Tunnel

IPIP atau IP Tunnel adalah salah satu protocol tunnel yang paling sederhana dan ringan yang mampu menghubungkan dua router melewati jaringan TCP/IP.

IPIP Tunnel bisa dibuat di menu Interface dan dianggap sebagai interface (fisik tetapi virtual) yang independen.

Sudah banyak type router support protocol ini seperti CISCO dan Linux.

IPIP Tunnel bisa digunakan untuk : Routing antar local network melewati jaringan internet Digunakan untuk menggantikan Source Routing

Interface IPIP tunnel tidak bisa dimasukkan dalam bridge network (bridge port).


IPIP Packet Header

Test packet sniffer dilakukan untuk mengetahui besar packet header yang digunakan oleh protocol tunnel IPIP.

Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte pada tiap packet headernya di setiap paket data yang lewat.

Paket header standardnya adalah 20byte. (GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22

(Encap Header)


IPIP Example Salah satu pengaplikasiannya adalah pada

kondisi sebuah network hanya memiliki koneksi VSAT DVB downlink only provider dan uplink provider yang tidak mengijinkan ip ISP lain yang melewati networknya.

Maka kita bisa membuat sebuah IPIP tunnel untuk mensimulasi koneksi kabel independen ke DVB provider.

Sehingga traffic uplink melewati Uplink ISP dan traffic downlink melewati DVB.

Uplink ISP

Our Router

DVB Provider

Sattelite

IPIP Tunnel


IPIP Configuration


IPIP Configuration

Parameter Local Address adalah parameter untuk ip local router yang digunakan untuk membangun koneksi IPIP tunnel.

Sedangkan Remote Address adalah parameter dari ip address router lawan.


[LAB-1] IPIP Tunnels

10.10.10.30/24 10.10.10.31/2410.10.10.100/24

IPIP1 Address :192.168.200.1/30

IPIP1 Address :192.168.200.2/30

IPIP Tunnel melewati jaringan WAN.

Tambahkan ip address untuk menghubungkan kedua interface tunnel.

Tambahkan rule static routing untuk menghubungkan kedua local network dari masing-masing router.



ROUTER A

ROUTER B



/interface ipip add name=ipip1 local-address=10.10.10.30 remote-address=10.10.10.31

/ip address add address=192.168.200.1/30 interface=ipip1

/interface ipip add name=ipip1 local-address=10.10.10.31 remote-address=10.10.10.30

/ip address add address=192.168.200.2/30 interface=ipip1

10.10.10.30/24 10.10.10.31/2410.10.10.100/24

IPIP1 Address :192.168.200.1/30

IPIP1 Address :192.168.200.2/30


[LAB-1] Routing over Tunnel

Static route untuk menghubungkan kedua local network menggunakan tunnel IPIP.

Routing di Router1 :

/ip route add dst-address=192.168.2.0/24 gateway=192.168.200.2

Routing di Router2 :

/ip route add dst-address=192.168.1.0/24 gateway=192.168.200.1

192.168.1.1/24 192.168.2.1/2410.10.10.100/24

IPIP1 Address :192.168.200.1/30

IPIP1 Address :192.168.200.2/30

Meja 1 Meja 2


EoIP Tunnel

Mikrotik Indonesia http://www.mikrotik.co.id02-88

Adalah protocol pada Mikrotik RouterOS yang membangun sebuah Network Tunnel antar mikrotikrouter di atas sebuah koneksi TCP/IP.

Interface EoIP dianggap sebagai sebuah Interface Ethernet.

Jika Bridge mode diberlakukan pada EoIP tunnel maka semua protocol yang berbasis ethernet akandapat berjalan di Bridge tersebut (Dianggap sepertihardware interface ethernet yang di bridge).

Hanya dapat dibuat di Mikrotik RouterOS.

Menggunakan Protocol GRE (RFC1701).

31-Aug-15

EoIP Tunnel (2)

EoIP biasa digunakan untuk :

Membuat jaringan bridge diatas jalur internet

Membuat jaringan bridge diatas tunnel yang terenkripsi

Membuat jaringan bridge diatas jaringanwireless

Dalam penggunaan EoIP tunnel akan terjadipenambahan header sebesar 42byte (8 byte GRE + 14 byte PPP + 20 byte IP)

Mikrotik Indonesia http://www.mikrotik.co.id02-89 31-Aug-15


EoIP Example

City A

EoIP

192.168.0.12

192.168.0.3

192.168.0.13

10.0.0.1 10.10.10.2

192.168.0.2

Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.

City B

31-Aug-15

EoIP Config


[LAB-2] EoIP over Wireless


192.168.y.1/24

192.168.y.3/24

192.168.y.2/24

192.168.y.4/24

Tunnel-id=100

Tunnel-id=200 Tunnel-id=300

R1 R2

R3 R4

31-Aug-15

Virtual LAN (VLAN) 1 VLAN adalah sebuah logical group

(pengelompokan) yang memungkinkan user untuk berkomunikasi dengan user yang memiiki group sama tetapi terisolasi dari user lain yang berbeda group walaupun sebenarnya user-user ini masih terhubung secara fisik.

Dengan menggunakan protocol Vlan Router dapat meningkatkan security dan management yang berbeda terhadap jaringan walaupun masih ada sharing media fisik.

Bekerja di layer DataLink


Virtual LAN (VLAN) 2 VLAN di Mikrotik RouterOS merupakan

implementasi dari standarisasi 802.1Q. Dengan menggunakan metode VLAN ini Mikrotik

RouterOS memungkinkan membangun beberapa Virtual LAN untuk memisahkan jaringan (group) di sebuah interface ethernet atau interfacewireless.

Mikrotik RouterOS secara teoritis mampu membangun 4095 Interface Vlan di sebuah Interface ethernet, banyak router termasuk CISCO, Linux dan Layer2 Switch yang sudah mendukung protocol ini.


VLAN Configuration


VLAN on Mikrotik


Mikrotik Vlan on Manageable Switch

Vlan pada Mikrotik bisa bekerja sama dengan switch manageable yang mampu mengimplementasikan standarisasi 802.1q.

ACCESS

Vlan 2

Vlan 2

Vlan 1

Vlan 1TRUNK


Mikrotik Vlan on Manageable Switch

Ether 2Vlan 1Vlan 2Vlan 3

Port 1Mode Trunk

Port 2 – mode Access Vlan 1



Man

ag

eab

le S

wit

ch


Vlan Implementation using RB250GS

Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36


Mikrotik Vlan on CISCO Switch


[LAB-3] Mikrotik Vlan Trunking

02-101 Mikrotik Indonesia http://www.mikrotik.co.id

192.168.2.3/24

192.168.1.2/24

192.168.2.4/24

R2 R3

R1 R4

VLAN over EoIP

VLAN2

VLAN3

192.168.1.1/24

ether3ether3

ether4 ether4

ether2ether2

31-Aug-15

[LAB-] Create VLAN Interface

Membangun vlan interface memanfaatkan EoIP Tunnel


R2 + R3

31-Aug-15

[LAB-4] VLAN Bridge


R2 + R3

31-Aug-15

[LAB-4]VLAN Distribution


R1 & R4

31-Aug-15

VLAN on Switch Chip

Di beberapa perangkat routerboard, ada yang memilikikomponen switch chip.

Dengan menggunakan switch chip ini, kita bisamemfungsikan port ethernet kita layaknya switch manageable.

Selain itu processing paket data juga lebih cepat tanpaperlu membebani CPU router kita.

Routerboard menggunakan beberapa seri Switch Chipyang berbeda, kemampuannya pun bervariasi.


Switch Chip


Type Switch Chip di routerboard bisa langsung diidentifikasi di menu “Switch”.

31-Aug-15

Port Switching

Untuk mengaktifkan router kita berfungsi sebagai switch, kita tinggal menentukan parameter “master-port” di interface ethernetnya.

Interface Ethernet yang sudah dimasukkan ke dalam switch group disebut dengan “Slave Port”tanda “S” di Interface.

Interface ethernet yang menjadi Slave Port seakan-akan menjadi tidak aktif dan tidak ada traffic yang melewatinya

Master port berfungsi menjembatani antara port-port “switch group” dengan router


Port Switching (2)


Port Switching (3)


Diagram Logic


1 2 3 4 5

Routerboard

firewall, bridging, qos, routing dsb

software level

Wire speed switchingHardware Level

31-Aug-15

Port Mirroring

Kita bisa mengcopy trafik yang berlangsung dari satu port ke port lain, selama masih dalam satu switch

Monitoring Purpose !!!Mikrotik Indonesia http://www.mikrotik.co.id02-111 31-Aug-15

VLAN mode

Switch chip di routerboard juga bisa digunakan untuk implementasiforwarding packet yang menggunakan vlan (802.1q)

Policy mode yang bisa kita gunakan untuk vlan switch

disabled - vlan table tidak dibaca, semua paket dengan vlandianggap tidak menggunakan vlan tag

fallback - Paket yang tagnya tidak ada di tabel tetap diproses sepertipaket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel, tetapi port incoming tidak cocok di vlan table tidak didrop

check - drop paket vlan yang vlan tagnya tidak ada didalam tabelvlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipunport incomingnya tidak sesuai tidak akan didrop

secure - drop paket vlan yang vlan tagnya tidak ada didalam tabelvlan. Selain itu jika port incomingnya tidak cocok dengan yang ditable, juga akan didrop

Semua paket yang tidak menggunakan vlan-id, dianggapmenggunakan vlan-id 0


VLAN Header

Kita bisa memodifikasi header dari paket yang akan keluar dari interface dengan pilihan :

• Leave-as-is : header paket tidak dirubah

• Add-if-missing : jika tidak ada vlan header , maka akan ditambahkan vlan headernya

• Always-strip : vlan header yang ada di paket akan dihilangkan


VLAN Tabel


Didalam tabel ini kita bisa menentukan port-port interface yang akan menggunakan vlan

31-Aug-15


[LAB-5] Vlan Switch

192.168.2.3/24

192.168.1.2/24

192.168.2.4/24

R2 R3

R1 R4

VLAN over EoIP

VLAN100

VLAN200

192.168.1.1/24

ether3ether3

ether4 ether4

ether2ether2

31-Aug-15


[LAB-5] Interface Switch

31-Aug-15


[LAB-5] VLAN Table

31-Aug-15


[LAB-5] VLAN Port

Trunk Port Access Port

31-Aug-15


[LAB-6] VLAN over VLAN

192.168.2.3/24

192.168.1.2/24

192.168.2.4/24

R2 R3

R1 R4

VLAN over VLAN

VLAN100

VLAN200

192.168.1.1/24

ether3ether3

ether4 ether4

ether2 ether2VLAN1

VLAN1

ether3 ether3

31-Aug-15


[LAB-6] VLAN Config

31-Aug-15


[LAB-6] VLAN Interface

31-Aug-15

L2TP (1)


Layer 2 Tunneling Protocol (L2TP) pengembangan dari kerjasama Cisco dengan Microsoft yang menggabungkan fitur dari PPTP dan Layer 2 Forwarding (L2F) protocol.

L2TP dapat diimplementasikan pada jaringan non-TCP/IP clients, seperti Contoh: Frame Relay dan ATM).

L2TP tidak memiliki mekanisme enkripsi, biasanya menggunakan protocol enkripsi lain yang lewat didalam tunnelnya

31-Aug-15

L2TP (2)

L2TP menggunakan UDP (port 1701) sehingga pengiriman paketnya lebih cepat. Sayangnya tidak reliable karena tidak ada mekanisme pengiriman ulang paket yang hilang/rusak.

L2TP lebih “firewall friendly” dibandingkan PPTP — suatu Keuntungan besar jika menggunakan protocol ini, karena kebanyakan Firewall tidak mensupport GRE.


L2TP Configuration - Client


Encription Option – MPPE 128Bit

Akan menyesuaikan Server

31-Aug-15

L2TP Configuration - Server


Encription Option – MPPE 128Bit

31-Aug-15

[LAB-2] Routing over L2TP

Dari lab IPIP sebelumnya, silahkan rubah routingnya menggunakan L2TP antar teman.

City A

192.168.2.1

L2TP

192.168.1.2

192.168.1.1

192.168.2.2

Communication over L2TP

City B


L2TP Security

L2TP secara default bisa menggunakan MPPE 128Bit sama seperti yang digunakan pada PPTP.

Karena MPPE dirasa kurang aman maka L2TP dikembangkan untuk bisa digabungkan dengan protocol security yang lain yaitu IPSec.


SSTP Overview

Secure Socket Tunneling Protocol (SSTP) adalahsalah satu metode VPN yang membuat tunnel PPP melalui SSL Channel pada protocol HTTPS.

Kelebihan membuat tunnel diatas protocol HTTPS adalah bisa melewati hampir semua firewall danproxy server.

Selain itu SSL juga digunakan untuk security level transport (layer4) dengan meningkatkan key negotiation, enkripsi serta integrity checking.

SSTP baik client ataupun server bisa diterapkandi Mikrotik.

Catatan : SSTP mulai ada di OS Windows vista sp1


SSTP Process


Open TCP Connection (TCP:443)

SSL Negotiation

SSTP over HTTPS

authentikasi PPP & IP Request

Communication data over SSTP

31-Aug-15

SSTP Security Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan

di SSTP.

Disisi client, server akan diverifikasi berdasarkan sertifikatyang dimiliki server dan menentukan metode enkripsi yangakan digunakan.

Client juga akan menggenerate SSL session key dan mengenkripsinya dengan publik key dari server.

Server bisa mendecrypt session key tersebut menggunakanprivate key yang dimilikinya.

Semua komunikasi client server akan dienkripsi berdasarkanSSL session key tersebut.

Jika client dan server menggunakan Mikrotik, SSTP bisadibentuk tanpa menggunakan sertifikat.

Disisi server, authentikasi hanya dilakukan berdasarkanusername dan password di protocol PPP.


SSL Certificate

SSL sertifikat bisa dibuat sendiri, dan untuk verifikasinya bisa menggunakan layanan berbayar (Signed Certificate) ataupun diverifikasi sendiri (Self Signed Certificate).

Verifikasi ini menggunakan CA (Certificate Authority).

Jika menggunakan Self Signed Certificate, maka CA certificate harus diimport ke client.

Sertifikat bisa kita generate menggunakan aplikasi “openssl”.


CA Certificate Setup (1)


CA Certificate Setup (2)


Server Certificate Setup (1)


Client Certificate Setup (1)


SSL Certificate (2)


Server Side

Client Side

Untuk keamanan, jangan mengupload CA private key

31-Aug-15

SSL Certificate (3)


SSTP Server Setup (1)


SSTP Server Setup (2)

SSTP Server bisa diatur dengan beberapa metode :

Certificate : None, apabila client juga sama-sama MikrotikOS

• (Unsecure, PPP security only)

Certificate : [Server Cert], apabila client MikrotikOS dan Windows (more secure)

Untuk meningkatkan keamanan, aktifkan option “Verify-Client-Certificate” :

CA harus diimport disisi server

Client harus menggunakan certificate


SSTP Client Setup (1)


SSTP Client Setup (2)

Jika sisi server diaktifkan “Verify-Client-Certificate”, maka sisi client juga harus dipasang certificate yang masih dalam 1 chain.

Option “Verify-Server-Certificate” digunakan untuk mengecek apakah sertifikat server masih dalam 1 CA yang ada di client.

Option “Verifiy-Server-Address” digunakan untuk mengecek apakah IP / domain dari server valid/sesuai dengan isi dari sertifikat.


[LAB 3] SSTP Network


mobile client

SSTP server

Internet

Local Main Office

Local Remote Office

10.10.10.100

10.20.20.x

10.10.10.x

31-Aug-15

SSTP Note

Untuk penggunaan sertifikat, pastikan clock server dan client benar sync NTP.

Windows Client, import CA ke trusted certificate.

Disable “Verify-Client-Certificate” jika clientnya Windows.


Load Balancing




Konsep Dasar

Load Balancing

Membagi trafik ke dua atau lebih jalur sehingga setiap jalur yang ada bisa digunakan secara optimal.

Fail Over

Sistem proteksi untuk menjaga apabila link utama terganggu, secara otomatis akan memfungsikan jalur cadangan.


Load Balancing

1 + 1 = 2

1 + 1 = 1 + 11 + 1 = ½ + ½ + ½ + ½

1 + 1 = ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼ + ¼

Semakin banyak user, semakin banyak koneksi, pembagian Load balance akan semakin rata dan mudah.


Konsep Load Balancing

Pembagian trafik dilakukan berdasarkan probabilitas.

Kita harus mengetahui kapasitas masing-masing link dan membagi trafik ke setiap interface sesuai dengan proporsinya.

Misalnya kita memiliki 2 buah gateway, A dengan kapasitas 1 mbps, dan B dengan kapasitas 2 mbps, maka kita akan membagi trafik menjadi 3 = 2:1 = 1 ke A dan 2 ke B.


Penggunaan Fitur

Untuk bisa melakukan load balancing dengan baik, kuasailah fitur-fitur berikut ini:

Static route dan policy route

Firewall Mangle

Firewall src-nat

Untuk yang lebih advanced, perlu juga menguasai BGP


Kunci Load Balancing

Pada jaringan yang sederhana, kita hanya bisa mengatur jalur uplink.

Kita bisa mengatur koneksi akan lewat ke jalur (ISP) yang mana, tetapi kita tidak bisa mengatur jalur yang digunakan untuk downlink, karena hal tersebut bergantung pada routing internet secara keseluruhan.


Kunci Load Balancing

Untuk “mengatur” jalur downlink, kuncinya pada penggunaan src-nat pada tiap gateway, pada saat request dikirimkan ke internet.

Data yang di NAT dengan IP yang ada pada gateway A, akan kembali melalui gateway A.

Jika kita hanya menggunakan masquerade untuk tiap interface gateway, maka data akan kembali pada interface yang sama dengan interface uplink.


Skema Kerja Load Balanced

MASQMASQ

ALGORITMAPEMBAGITRAFIK


GATEWAY A GATEWAY B

05-156 31-Aug-15

Metode Load Balanced

Static Route dengan Address List

ECMP (Equal Cost Multi Path)

NTH

PCC

BGP


Contoh dengan Static Route

Berdasarkan Tujuan

Gateway A untuk internasional

Gateway B untuk trafik lokal Indonesia

• Menggunakan address-list NICE


Contoh dengan Static Route

Berdasarkan source address

IP Address client: 192.168.0.0/24

• 192.168.0.0-127 gateway A

• 192.168.0.128-255 gateway B


ECMP

Equal Cost Multi Path

Pada saat kita memiliki beberapa gateway yang ingin di load balance, metode termudah adalah menggunakan ECMP

ECMP akan memisahkan trafik per gateway secara random


Contoh ECMP (1)

Ada 2 gateway yang sama besar Bandwithya


Contoh ECMP (2)

Ada 2 gateway, perbandingan kapasitasbandwith 2 : 1 Mbps

Karena Kedua gateway berbeda kapasitasmaka perlu adanya penyesuaian sesuaiperbandingan.


Ada 3 gateway, gateway A dan B menggunakan gateway IP Address, dan gateway C menggunakan pppoe.

Memungkinkan penggunaan kombinasi dengan gateway interface.

Contoh ECMP (3)


[LAB-1] ECMP & Policy Route

IIX via WLAN1 dan PPPoE di WLAN2. Kapasitas PPPoE 2 x kapasitas WLAN1

Internasional PPTP ke server 10.100.100.1

PPTP

PPPoEWLAN1


IIX IIX INTERNASIONAL

05-164 31-Aug-15

Address List

Download nice.rsc dari server mikrotik.co.id


PPTP dan PPPoE Username

Username dan password :

PPTP

• Username : mikrotik-pptp

• Password : training

PPPoE

• Username : mikrotik-pppoe

• Password : training


Static Route untuk PPTP


PPTP & PPPoE Setting


Interface

Pastikan semua interface sudah bekerja dengan baik


IP Address

Pastikan sudah mendapatkan IP Address dinamik dari PPTP dan PPPoE


Masquerade Setting

Buatlah masquerade untuk ketiga gateway


Route-mark Setting

Rule no 0 untuk trafik dari klienRule no 1 untuk trafik dari local process di router

Rule no 1 menggunakan parameter out-interface=pptp-out1 karena secara default, routing keluar melalui pptp-out1


Route for IIX & Internasional


Test dengan traceroute


Kekurangan ECMP Forwarding table di Linux Kernel secara

otomatis akan refresh setiap 10 menit

Hal ini menyebabkan ada kemungkinanpaket data untuk suatu traffic dari sebuahaplikasi berganti koneksi sehinggamendapatkan masq address yang berbeda. Koneksi bisa terputus.

Contoh: terjadi pada traffic game online

Info lebih lanjut mengenai hal ini:– http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html

– http://marc.info/?m=105217616607144

– http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19


Metode NTH

NTH dilakukan dengan mengaktifkan counter pada mangle, dan kemudian dinamai (route mark) berdasarkan gateway nya.

Route mark kemudian digunakan sebagai dasar untuk membuat policy route.


Proses NTH pada Mangle

Misalkan kita mempunyai 2 buah gateway (A dan B)

Koneksi pertama route mark “conn-A”

Koneksi kedua route mark “conn-B”

Koneksi ketiga route mark “conn-A”

Koneksi keempat route mark “conn-B”

Koneksi kelima route mark “conn-A”

Dst…..


Proses NTH pada Routing

Setelah ada route-mark, maka kita tinggal mengarahkan route mark tersebut ke gateway yang sesuai.

Route-mark “conn-A” ke gateway A

Route-mark “conn-B” ke gateway B


Proses NTH pada Routing


Kelemahan nth

Nth bekerja berdasarkan “connection tracking”

Seperti halnya ECMP, nth juga ikut “ter-refresh” setiap 10 menit

Tidak disarankan penggunaan nth untuk melakukan load balanced

Untuk “load balanced” yang lebih stabil, disarankan menggunakan PCC (Per Connection Classifier)


Per Connection Classifier

Adalah parameter firewall yang memiliki kemampuan untuk membedakan trafik menjadi dua atau lebih stream berdasarkan parameter tetap terjaga, meskipun forwarding table pada kernel ter-refresh

Option yang bisa digunakan adalah: src-address, src-port, dst-address, dst-port

Informasi lebih lanjut:

http://wiki.mikrotik.com/wiki/PCC

Diperkenalkan mulai RouterOS 3.24


[LAB-2] Load balanced PCC

Dengan konfigurasi network seperti lab sebelumnya, gunakanlah wlan1, pppoe, dan pptp untuk load balanced dengan PCC

PPTP

PPPoEWLAN1


Trafik ke Connected Network

Routing ke connected route hanya tersedia di routing table “main”

Kita harus menjaga jangan sampai trafik ke network ini berpindah routing table.

Kita membuat address-list untuk connected network


Trafik ke Connected Network


Koneksi dari luar

Untuk menjamin bahwa router akan me-reply setiap connection yang masuk dari luar sesuai dengan jalur masuknya.

Contoh: koneksi winbox ke router


Custom Route-mark Chain

Ada dua trafik yang harus di load balanced:

Trafik dari client

• Chain=prerouting

• In-interface=local (ether1)

• Connection-mark=no-mark

Trafik dari local process

• Chain=output

• Connection-mark=no-mark

Kedua trafik ini akan di jump ke chain baru


Jump to Custom Chain


PCC Rules


Conn-mark Route Mark


All Mangle


Static Route


Beberapa Problem Lainnya

Hati-hati untuk penggunaan DNS Server jika kita menggunakan DNS Server ISP dan menggunakan beberapa gateway dari ISP yang berbeda.

Hal ini bisa diatasi dengan:

membuat static route untuk masing-masing DNS dan meng-accept IP DNS sehingga tidak ikut di PCC

Menggunakan dns public seperti google-dns


OSPF



(Mikrotik Certified Training Partner

Outline

About OSPF Autonomous System

Basic LAB OSPF OSPF Neighbour

LSP & Instance

OSPF Router Type OSPF Routing Type

Cost & Matric

OSPF Area Type Tipe LSA & Virtual Link

Routing Filter

31-Aug-15

Autonomous System

AS

Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan network, yang semuanya dapat dikendalikan oleh network administrator.

Area 0 Area 1

Area 2 Area 3

31-Aug-15

Background 1 Karena sebuah Autonomous System (AS)

memiliki skala jaringan yang sangat besar maka penggunaan routing menjadi sangat penting dan kritis.

Informasi routing haruslah tepat dan kesalahan melakukan distribusi informasi routing harus diminimalisasi sedikit mungkin.

Sangatlah tidak nyaman jika harus menuliskan rule routing untuk puluhan bahkan ratusan router secara static.

31-Aug-15

Background 2

OSPF merupakan sebuah routing protokol yang dapat mendistribusikan informasi routing secara otomatis.

OSPF juga merupakan routing protokol yang menggunakan konsep hirarki routing, dengan kata lain OSPF juga mampu membagi-bagi jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan dengan menggunakan sistem pengelompokan yaitu area.

31-Aug-15

OSPF ? Open Shortest Path First (OSPF) adalah sebuah

protocol routing otomatis (Dynamic Routing) yang mampu menjaga, mengatur dan mendistribusikan informasi routing antar network mengikuti setiap perubahan jaringan secara dinamis.

OSPF termasuk di dalam kategori IGP (Interior Gateway Protocol) yang memiliki kemampuan Link-state dan Algoritma Dijkstra yang jauh lebih efisien dibandingkan protocol IGP yang lain.

Menggunakan protocol tersendiri yaitu protocol 89.

OSPF digunakan untuk management informasi dan distribusi routing di dalam sebuah AS.

31-Aug-15

OSPF Feature

OSPF (IPv4 RFC 2838 )

Dynamic routing

Interior Gateway Protocol (IGP) didalam sebuah routing domain (AS)

Proses convergence yang cepat

Link State / Shortest Path Technology

Route Authentication

Mendukung sistem pembagian Area

Mendukung Fail Over

31-Aug-15


[LAB-1] Konfigurasi OSPF

192.168.1.1/24 192.168.2.1/24

MEJA 1 MEJA 2

Backbone Area

ASBRRouter Gateway

192.168.x.1/24

MEJA X

10.10.10.1/24

10.10.10.2/2410.10.10.x/24

31-Aug-15

[LAB-1] OSPF Network

Tambahkan Network yang ingin dihubungkan ke area Backbone untuk saling ditukarkan dengan router yang lain.

Amati tabel neighbor router masing-masing dan neighbor router.

31-Aug-15

[LAB-1] OSPF Neighbor

Tabel neighbor akan berisi informasi mengenai router-router yang berada dalam 1 area OSPF beserta kondisi/statusnya

31-Aug-15

OSPF – Neighbor Discovery

OSPF mampu malakukan Pencarian neighbor router secara otomatis

Yaitu Discovery Router yang juga mengaktifkan OSPFdalam satu area

Menggunakan Hello Packet

Sebuah router bisa terdaftar didalam list neighbor router yang lain apabila :

Interface router tersebut berada dalam area (Area-ID) yang sama

Interface router tersebut harus dalam subnet dan network mask yang sama , kecuali network typenya diset point to point

Authentikasi, Hello dan Dead Interval HARUS SAMA

31-Aug-15

OSPF – Discovery Process

R1 R2

Hello Packet

Neighbor State Neighbor State

DOWN DOWN

INITR1

Hello Packet

R2 2-WAY

R2 ExStart

DD

ExStartR1

DD

R2 Exchange

DD

ExchangeR1

DD

R2 Loading

DD

LoadingR1

LSR

LSRLSU

LSU

R2 Full FullR1

LSAck

LSAck

1 1

2

3

4 5

6 7

8 9

10 10

31-Aug-15

OSPF-Neighbor StateNeighbor State Description

Down Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan

Attempt Digunakan pada neighbor yang ditambahkan manual pada NBMA

InitHello packet diterima dari router lain tetapi router-id penerima yang tertera

dalam hello packet belum ada didalam list neighbor

2-WayHello packet yang diterima dari router lain dan ip router penerima ada

didalam list neighbor router lain. Dalam state ini komunikasi bidirectional sudah terbentuk

ExStart DR dan BDR sudah terpilih, pertukaran link-state dimulai

Exchange Router mengirimkan Database Description packet ke neighbor

LoadingRouter mengirimkan Link State Request packets untuk informasi routing

dari neighbor

FullInformasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah

terhubung penuh

31-Aug-15

OSPF Packet Type

Hello – Digunakan untuk membentuk komunikasi dengan neighbor yang terhubung langsung

Database Descriptor (DD) – Digunakan untuk mengecek sinkronisasi database routing antar router.

Link State Request (LSR) – Digunakan untuk meminta informasi routing terbaru

Link State Update (LSU) – Digunakan untuk mengirimkan informasi routing terbaru

Link State Acknowledgment (LSAck) –Digunakan untuk mengkonfirmasi informasi link-state yang diterima

31-Aug-15

Link State RoutingLangkah-langkah atau cara kerja OSPF :

Setiap router membuat Link State packet (LSP).

Mendistribusikan LSP ke semua neighbor menggunakan Link State Advertisement (LSA) type 1 dan menentukan DR dan BDR dalam 1 area.

Masing-masing router menghitung jalur terpendek ke semua neighbor berdasarkan cost routing.

Jika ada perbedaan atau perubahan tabel routing, router akan mengirimkan LSP ke DR dan BDR melalui alamat multicast 224.0.0.6.

LSP akan dididistribusikan oleh DR ke router neighbor lain dalam 1 area sehingga semua router neighbor akan melakukan perhitungan ulang jalur terpendek.

31-Aug-15

[LAB-1] OSPF Instance

31-Aug-15

OSPF Instance Setting

Router-id Memberi pengenal pada router.

Berformat 32bit seperti IP, sifatnya unik artinya tiap router tidak boleh memiliki ID yang sama dalam sebuah jaringan

Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP terbesar yang ada pada router

Redistribute Default Route Mendistribusikan default route.

Redistribute Connected Routes Mendisitribusikan IP network yang terpasang di interface

Redistribute Static Routes Mendistribusikan route static yang ada pada table /ip route

Redistribute RIP Routes Mendistribusikan route hasil RIP

Redistribute BGP Routes Mendistribusikan route hasil BGP

31-Aug-15

[LAB-1] OSPF Route

Rule routing yang memiliki Flag DAO menunjukkan ada rule routing yang didistribusikan menggunakan protocol OSPF.

31-Aug-15

[LAB-1] OSPF Route Detail

31-Aug-15

[LAB-1] OSPF Interface

Setelah OSPF network ditentukan maka secara otomatis mendeteksi interface yang menggunakan network tersebut.

Untuk mengubah cost dan priority interface harus didefinisikan secara manual.

31-Aug-15

Area DR & BDR

Dalam setiap area, router akan memilih Designated Router (DR) dan Backup Designated Router (BDR) secara otomatis.

DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam satu area menggunakan alamat multicast 224.0.0.5, sehingga mengurangi proses pertukaran LSA antar router

BDR, akan menggantikan DR jika terjadi error

Dalam permulaan pembentukan OSPF, DR merupakan router pertama yang mengaktifkan OSPF dan BDR merupakan router kedua yang mengaktifkan OSPF

Jika OSPF sudah berjalan, maka pemilihan DR dan BDR selanjutnya ditentukan oleh priority dari interface masing-masing router dalam 1 area

(0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR)

Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi

31-Aug-15


[LAB-2] OSPF - Fail Over

192.168.1.0/24

IRMeja 1

192.168.2.0/24

IRMeja 2

192.168.3.0/24

IRMeja 3

MEJA 1 MEJA 2 MEJA 3

Backbone Area

ASBRRouter Gateway

192.168.4.0/24

IRMeja 4

MEJA 4

Backup link Backup link

31-Aug-15

[LAB-2] OSPF - Fail Over detail

IRMeja 1

Backbone Area

ASBRRouter Gateway

IRMeja 2

Backup link

Ether210.100.Y.1/24

Ether210.100.Y.2/24

Hubungkan ether2 dari router anda ke ether2 router rekan anda sebagai link backup.

Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut.

Y adalah nomor kelompok.

31-Aug-15

[LAB-2] Interface for Backup

Tambahkan network baru ke backbone area.

10.100.y.0/24

31-Aug-15

Redundant Detected

DR akan menerima perubahan informasi routing dari masing-masing group dan menyebarkan informasi tersebut ke router group yang lain

Network baru tersebut bisa dirouting menggunakan 2 jalur yang berbeda

31-Aug-15

[LAB-2] Fail Over Test

Coba matikan link utama dan test apakah fail over bisa dilakukan otomatis.

Hidupkan kembali link utama untuk cek terhadap proses failover.

IRMeja 1

Backbone Area

ASBRRouter Gateway

IRMeja 2

Backup link

Ether210.10.1.1/24

Ether210.10.1.2/24

x

31-Aug-15

Metric & Cost ….? Metric adalah salah satu parameter di routing yang

sebenarnya merupakan kumpulan nilai logic yang digunakan oleh algoritma routing untuk menentukanjalur routing yang akan dilewati

Nilai Metric ditentukan oleh network administrator dengan pertimbangan berdasar : Jumlah hop yang akan dilewati Kondisi latency Packet loss (router congestion/conditions) Besar bandwidth Cost

Pada OSPF, untuk menetukan nilai Metric internal menggunakan parameter Cost pada interface.

31-Aug-15

OSPF Cost

Untuk menetukan jalur terpendek atau bisa juga diartikan sebagai jalur prioritas, OSPF menggunakan parameter “Cost”.

OSPF “Cost” akan dijumlahkan di setiap hopnya pada proses Link State / Shortest Path Technology.

Setelah semua jalur sudah dikalkulasi dan total Cost semua jalur sudah dijumlahkan, maka akan dipilih jumlah akumulasi cost yang terkecil

31-Aug-15

OSPF Cost

Terlihat ada dua jalur yang bisa menuju ke network tujuan.

Setelah dilakukan perhitungan total Cost, jalur 1 memiliki total cost terkecil. Maka jalur tersebut yang akan digunakan

40 20

10

10 10

Jalur 1 total : 30

Jalur 2 total : 70

31-Aug-15

[LAB-3] OSPF - Cost

Bangun bagan network berikut dengan kelompok terdiri 4 router dan terkoneksi menggunakan ethernet.

Gunakan konfigurasi OSPF (manual Interface) sehingga traffic berjalan searah jarum jam.

Traffic upload melewati router bagian kiri dan download melewati router bagian kanan.

10

10

10

10

100

100

100

100

?? ??Backup

Gunakan koneksi wireless (ether4) sebagai backup link.

Tentukan cost dari backup link supaya traffic tetap searah jarum jam.

R1

R2

R3

R4

31-Aug-15

[LAB-3] OSPF - Cost

10

10

10

10

100

100

100

100

50 ??Backup

ether2 - 10.Y.1.1/24

Ether3 - 10.Y.1.2/24

Ether2 - 10.Y.2.1/24

Ether3 - 10.Y.2.2/2410.Y.3.1/24 - Ether2

10.Y.3.2/24 – ether3

10.Y.4.1/24 – ether2

10.Y.4.2/24 – ether3

ether4- 10.Y.5.1/24 10.Y.5.2/24 – ether4

10.10.10.X

10.10.10.100

X : Nomor KursiY : Nomor Kelompok

Tentukan cost pad backup link supaya traffic tetap berjalan searah jarum jam.Test apakah yang terjadi jika salah satu link mati ?

R1

R2

R3

R4

31-Aug-15

Cost Overwrite

Tambahkan interface untuk link backup dan ubah “cost” supaya menjadi routing backup.

31-Aug-15

OSPF – Router Type (1)

Area 0Area 1

Area 2

ASBR

ASBR – Autonomous System Border Router

ABR – Area Border Router

IR – Internal Router

ABR

ABR

IRIR

IR

31-Aug-15

OSPF – Router Type (2) IR adalah router yang berada dalam sebuah area OSPF

dan tidak terhubung langsung dengan area yang lain.

ABR adalah router yang menjembatani area backbone dengan dengan area yang lain.

ASBR adalah sebuah router yang biasanya terletak di perbatasan sebuah AS (Router Terluar dari AS) dan bertugas untuk menjembatani antara router yang ada di dalam AS dengan Network lain (Berbeda AS).

ASBR juga bisa berarti sebuah router anggota OSPF yang menjembatani routing OSPF dengan protocol Routing yang lain (RIP,BGP dll).

31-Aug-15

OSPF Routing TypeIntra-Area routing

Menggambarkan route ke network tujuan yang masih dalam satu area.

Area 0

Area 1

Area 2

31-Aug-15

OSPF Routing TypeInter-Area routing

Menggambarkan route ke tujuan yang membutuhkan melewati satu atau lebih area OSPF dan masih dalam satu AS.

Area 0

Area 1

Area 2

31-Aug-15

RIPBGP

Other OSPFdsb

OSPF Routing TypeExternal Area routing

Menggambarkan route untuk keluar jaringan OSPF

Dibedakan menjadi 2 tipe :• E1 E1 route cost merupakan jumlah dari internal cost dan

external ospf metric.

• E2 E2 route cost merupakan nilai dari external OSPF metric saja

Area 0

31-Aug-15

192.168.1.0/24

192.168.1.0/24

OSPF - External Route Type

40 20

10

10 10

Jalur 1 total : 50

Jalur 2 total : 90

TYPE 1

Metric 20Redistribute as type 1

31-Aug-15

OSPF Metric – as type 1

Ketika OSPF pada IR 1 menggunakan “as-type-1” maka informasi metric akan diberikan dengan informasi routing ke IR2.

Sehingga total Metric pada IR2 adalah pejumlahan metric dari IR1 dengan Cost pada IR2.

IR 1 IR 2OSPF Routing Transaction

Ether210.10.Y.1/24

Ether210.10.Y.2/24

RouteMetric Cost

RouteMetricCost

31-Aug-15

192.168.1.0/24

192.168.1.0/24

OSPF - External Route Type

40 20

10

10 10

Jalur 1 total : 30

Jalur 2 total : 70

TYPE 2

Metric 20Redistribute as type 2

31-Aug-15

OSPF Metric – as type 2

Ketika OSPF pada IR1 menggunakan “as-type-2” maka yang dikirimkan ke IR2 hanyalah informasi routing saja

Sehingga total Metric pada IR2 hanya mengacu pada cost IR2

IR 1 IR 2OSPF Routing Transaction

Ether210.10.Y.1/24

Ether210.10.Y.2/24

Route Cost

RouteCost

31-Aug-15

Metric Overwrite

31-Aug-15

OSPF Network Type (1) Point-to-Point

Adalah jenis jaringan yang paling sederhana, tersusun atas dua routeryang terhubung langsung dan tidak diperlukan DR dan BDR dalam type ini

Broadcast Type Default yang digunakan pada jaringan ethernet. Satu paket yang

dikirimkan sebuah router akan diterima oleh banyak router

neighbor neighbor

neighbor

DR

31-Aug-15

NBMA – Non-Broadcast-Multiple-Access Mirip dengan broadcast, akan tetapi untuk neighbor harus

ditambahkan secara manual karena tidak semua jaringan mendukung broadcast, salah satu contohnya adalah ATM dan Frame-relay.

OSPF Network Type (2)

DR

neighbor

neighbor

neighbor

31-Aug-15

Point-to-Multipoint Solusi lain untuk network yang tidak mendukung broadcast,

mengemulasi link point-to-point ke dalam beberapa node danmengirimkan paket Halo ke semua node. Biasanya type ini digunakan untuk jaringan wireless

OSPF Network Type (3)

neighbor

neighbor

neighbor

neighbor

31-Aug-15

OSPF Area

Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu area menyesuaikan skala dari jaringan yang dimiliki.

Area 0Area 1

Area 2

ASBR

ABR

ABR

IR

IR

Area 3

IR IR

IR

31-Aug-15

OSPF Area Semakin banyak router dan jaringan didalamnya,

semakin besar ukuran Link State Database cpu load, memory

Internal router akan mendapat LSA hanya dari router lain yang masih dalam satu area

Area yang ingin mendapatkan informasi LSA secara lengkap dan bisa terkoneksi dengan jaringan yang ada di luar AS maka harus terhubung secara logic dengan Backbone (Area 0).

Untuk area yang tidak secara langsung terhubung ke ke area backbone bisa menggunakan Virtual Linkmemanfaatkan area lain yang sudah terhubung ke Backbone Area.

31-Aug-15

Area Type Backbone – Area 0 (Area ID 0.0.0.0)

Bertanggung jawab mendistribusikan informasi routing antara non-Backbone area

Semua sub-Area HARUS terhubung dengan backbone secara logikal

Standart / Default Area

Merupakan sub-Area dari Area 0. Area ini menerima LSA intra-area dan inter-area dari ABR yang terhubung dengan area 0

Stub Area

Area yang paling “ujung”. Area ini tidak menerima advertise external route (digantikan default route)

Not So Stubby Area (NSSA)

Stub Area yang tidak menerima external route (digantikan default route) dari area lain tetapi masih bisa mendapatkan external route dari router yang masih dalam 1 area

31-Aug-15

OSPF – Backbone Area

Area 0

Area 1

Area 2

ASBR

ABR

ABR

Area 0 atau sering juga disebut sebagai Backbone Area merupakan area dimana Router-Router ABR berkumpul untuk saling menukarkan informasi routing dari area-area yang lain.

Area Backbone juga merupakan Area Transitsebelum traffic keluar atau masuk ke dalam sebuah AS.

Sebuah area yang tidak terhubung langsung ke area backbone bisa terhubung ke backbone area menggunakan Virtual Link.

31-Aug-15

[LAB-4] OSPF – Area

R1

R3

R5 R6

R2

R4

R7 R8

AREA 0 – BACKBONE AREA STANDART AREA

AREA 1 NSSA AREA

AREA 2STUB AREA

31-Aug-15

[LAB-4] OSPF – Backbone

R1

R3

R2

R4

AREA 0 – BACKBONE AREA STANDART AREA

Wlan 210.y.1.1/24

Wlan 210.y.1.2/24

Wlan 210.y.1.3/24

Wlan 210.y.1.4/24

Koneksi antar router backbone gunakan interface WLAN2

Gunakan frekuensi 5GHz dengan SSID – “KelompokY”

31-Aug-15

[LAB-4] OSPF – Backbone Atur Router-ID menggunakan 10.10.10.x pada instances

Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area backbone

R1-R4

31-Aug-15

[LAB-4] OSPF – NSSA Area

R3

R5R6

AREA 1 NSSA AREA

Ether210.y.2.1/24

Ether310.y.3.1/24

Ether210.y.2.2/24

Ether310.y.3.2/24

31-Aug-15

[LAB-4] OSPF – NSSA

R3 , R5, R6

Atur Router-ID menggunakan 10.10.10.x pada instances

Buat Area dengan type NSSA

31-Aug-15


Pada R3

Tambahkan network ke area1

31-Aug-15


R5


R6

31-Aug-15

[LAB-4] OSPF – STUB Area

R4

R7R8

AREA 2 STUB AREA

Ether210.y.4.1/24

Ether310.y.5.1/24

Ether210.y.4.2/24

Ether310.y.5.2/24

31-Aug-15

[LAB-4] OSPF – STUB

R4 , R7, R8

Atur Router-ID menggunakan 10.10.10.x pada instances

Buat Area dengan type STUB

31-Aug-15


Pada R4


31-Aug-15


R7


R8

31-Aug-15

[LAB-4] OSPF – AREA

Amati dan lihat perubahan tabel routing untuk masing-masing IR di setiap AREA.

Apakah ada perbedaan tabel routing antara IR pada NSSA dengan STUB area ?

Tambahkan static default gateway pada R1 ke 10.10.10.100 dan aktifkan redistribute-default-route, kemudian amati perubahan tabel routing di masing-masing router.

Import route-nice.rsc ke R3 dan R4.

Aktifkan redistribute-static route di R3 dan R4 kemudian cek perubahan tabel routing di masing-masing router.

31-Aug-15

OSPF - Virtual Link

Virtual Link digunakan untuk mengatasi koneksi router yang terpisah (secara fisik) dari area backbone.

Juga dapat digunakan untuk menyabung area backbone yang terpisah.

Virtual Link Tidak bisa berjalan sempurna jika melewati stub area.

31-Aug-15

[LAB-6] OSPF – Virtual Link

Karena Virtual Link tidak bisa melewati area yang bertipe Stub maka ubah type area pada Area1 dan Area2 menjadi type standard (default).

Kemudian Aktifkan Virtual Link di R2 dan R3.

Area Backbone

Area 1

10.10.10.X

10.10.10.100Ether2:10.Y.1.1

Ether3:10.Y.1.2

Ether2:10.Y.2.1

Ether3:10.Y.2.2

Ether2:10.Y.3.1

Ether2:10.Y.3.2

Virtual Link

Y = Nomor KelompokX = Nomor Meja

Area 2

R1

ABR

ABR

IR

R2

R3

R4

31-Aug-15

[LAB-6] R2 Configuration

Ubah Area1 menjadi Area Standard.

Buat Virtual Link melewati Area1

31-Aug-15


31-Aug-15

[LAB-6] R3 Configuration Aktifkan network OSPF di kedua area.

31-Aug-15


Tambahkan Virtual Link memanfaatkan Area1.

Pastikan NeighborIDsama dengan RouterIDyang ada di Area1.

31-Aug-15


Tambahkan Area2 di R4.

Aktifkan Network untuk Area2.

31-Aug-15

OSPF - Virtual Link

Saat ini Virtual link tidak bisa berjalan sempurna di ROS v4/v5 !!

Solusi : 1. Gunakan EoIP antara R3 ke R12. Pasang IP di interface EoIP3. Masukkan IP network EoIP tersebut kedalam

network backbone

31-Aug-15

LSA Type Type 1 (Router link) : LSA yang diterima dari router lain dalam satu

area dan berisi informasi router-id neighbor

Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR dalam satu area.

Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR ke neighbor yang berisi ringkasan informasi network area lain dalam satu AS

Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari router ASBR yang mengadvertise LSA type 5

Type 5 (AS External Link) : LSA ini berisi informasi network external AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub Area dan NSSA Area)

Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF (MOSPF), routing protocol yang jarang digunakan

Type 7 (Group Membership) : Membawa informasi network external AS yang melewati NSSA

31-Aug-15

STANDART AREAAREA 0

OSPF – LSA Standart Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 3

TYPE 5

TYPE 4

31-Aug-15

STUB AREAAREA 0

OSPF – LSA STUB Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 3

0.0.0.0/0

31-Aug-15

NSSA AREAAREA 0

OSPF – LSA NSSA Area

TYPE 1 & 2 TYPE 1 & 2

TYPE 5 TYPE 7

TYPE 4

0.0.0.0/0

31-Aug-15

Routing Filter Hampir sama dengan IP firewall, routing bisa

mengimplementasikan filtering terhadap informasi routing yang didistribusikan di setiap protocolnya.

Mirip juga dengan IP firewall Urutan penempatan rule sangat berpengaruh.

OSPF memiliki chain default yang digunakan untuk meletakkan filter : Chain built in atau chain default “OSPF-IN” adalah

chain untuk meletakkan filter informasi routing yang masuk.

Chain built in atau chain default “OSPF-OUT” aladah chain untuk meletakkan filter informasi routing yang keluar.

Custom chain juga bisa dibuat sesuai kebutuhan dengan menuliskan nama chain baru secara manual.

31-Aug-15

OSPF-Filter

31-Aug-15

Routing Filter Chain Beberapa parameter yang diperlukan untuk melakukan

routing filter :

Chain : Nama chain untuk meletakkan rule filter. ospf-in – Lokasi untuk melakukan filter informasi routing OSPF yang

diterima oleh router sebelum dipasangkan di tabel routing

ospf-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam OSPF

rip-in – Lokasi untuk melakukan filter informasi routing RIP yang diterima oleh router sebelum dipasangkan di tabel routing

rip-out – Lokasi untuk melakukan filter informasi routing yang akan diadvertise keluar oleh router dalam RIP

mme-in – Lokasi untuk melakukan filter informasi routing MME yang diterima oleh router sebelum dipasangkan di tabel routing

connected-in – Letak chain default untuk menempatkan filter routing Direct Connect (input).

dynamic-in – Letak chain default untuk routing dynamic yang lain (Selain routing protocol dan connect directly). Biasanya untuk routing yang diinputkan dari ppp daemon.

31-Aug-15

Routing Filter Prefix & Prefix Lenght

Prefix adalah segmen network yang ingin difilter Contoh :

• 0.0.0.0/0 – untuk memfilter default route

• 192.168.0.0/24 – jika tidak ada tambahan setting di preffix-length maka akan melakukan filter network tersebut secara spesifik.

• 192.168.0.0 – jika tidak ada prefix segmen maka dianggap sebagai /32

Prefix-Length adalah filter terhadap prefix-mask dari parameter Prefix. Contoh : prefix=10.0.0.0/8 prefix-length=8-32

• Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255

prefix=8.8.0.0/16 prefix-length=16-32• Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255

31-Aug-15

Routing Filter - Action Accept – Menerima prefix routing

Discard – tidak memasukkan prefix routing ke proses pengolahan routing di FIB.

Jump – Melemparkan prefix routing ke chain filter routing yang lain. Jump Target – Chain tujuan yang baru.

Log – Memasukkan informasi routing ke pesan Log System.

Passthrough – Meneruskan informasi routing untuk di periksa di rule dibawahnya dalam chain yang sama.

Reject – jika digunakan di Incoming Filter, prefix yang masuk akan disimpan di memory tetapi tidak akan diaktif. Jika Outgoing Filter, prefix tidak akan diproses sama sekali.

Return – Mengembalikan prefix routing yang sebelumnya sudah terkena filter jump.

31-Aug-15

[LAB-7] OSPF – PPP Network

Area Backbone

Area 1STD AREA

10.10.10.X

10.10.10.100

Ether2:10.Y.1.1

Ether3:10.Y.1.2

Ether2:10.Y.2.1

Ether3:10.Y.2.2

Ether3:10.Y.3.1

Ether2:10.Y.3.2

Y = Nomor KelompokX = Nomor Meja

PPPoENetwork

Bangun network topologi seperti pada gambar dan aktifkan PPPoE server di Ether3 R4.

Tambahkan Jaringan yang menggunakan protocol PPP untuk kasus kali ini kita akan mencoba menggunakan network PPPoE

Gunakan Notebook sebagai client

Ether3

R1

R2

R3

R4

31-Aug-15

OSPF – Filter PPP protocol OSPF juga bisa melakukan distribusi routing untuk

network point-to-point /32 (VPN / point-to-point addressing).

Karena sifatnya yang sangat dinamis perubahan struktur jaringan VPN (PPP) akan semakin membebani kerja protocol OSPF.

Direkomendasikan untuk melakukan filter terhadap network jenis ini.

Untuk distribusi routing PPPoE di OSPF kita bisa memasang IP Agregasi ke salah satu interface di router, biasanya ip agregasi tersebut dipasang di interface dimana service PPP dipasang.

Atau bisa juga memasang static route dari network VPN (PPP) mengarah ke router itu sendiri.

31-Aug-15

[LAB-7] OSPF - PPP Filter

Gunakan routing filter di OSPF untuk menghilangkan advertise network /32 karena akan membebani proses update routing.

Ether3:10.Y.3.1

Ether2:10.Y.3.2

Area 1

PPPoE / VPNNetwork Ether3

Client 1

Client 2

Client 4Client 3

R3

R4

31-Aug-15

[LAB-7] OSPF-Filter

/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard

Filter ini dipasang di semua Router yang terhubung ke OSPF Network

31-Aug-15

mtcre

Documents

mikrotik indonesia http

mikrotik training programs31

mikrotik certifications

certified trainer

training program materials

engineer mtcume

motivasi mengikuti training

certification tests