apnic training routing bgp
Post on 11-Apr-2016
140 Views
Preview:
DESCRIPTION
TRANSCRIPT
LAB BGP-1 - Peering
¢ Lakukan konfigurasi dasar sesuai skema ¢ Tidak perlu default route dan src-nat,
informasi routing dijalankan via BGP Peer ¢ Buat instance dan lakukan peer ke router
depan
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-306
Konfigurasi dasar
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1 10.10.10.1/24
WLAN1 10.10.10.2/24
WLAN1 10.10.10.X/24
10.10.10.100/24
ETHER1 192.168.1.1/24
ETHER 192.168.1.2/24
ETHER1 192.168.2.1/24
ETHER 192.168.2.2/24
ETHER1 192.168.X.1/24
ETHER 192.168.X.2/24
AS100
AS1101 AS1102 AS1YXX
MEJA 1 KELOMPOK 1
MEJA 2 KELOMPOK 1
MEJA X KELOMPOK Y
citraweb2014
05-308
Konfigurasi dasar ¢ Pada laptop:
l Ether : 192.168.X.2/24 l Gateway : 192.168.X.1 l DNS : 192.168.X.1
¢ Pada router : l System identity : Y-XX Nama Peserta l WLAN : 10.10.10.X/24 (terkoneksi ke depan) l ETHER1 : 192.168.X.1/24 l DNS : 10.10.10.100 (allow remote request) l tidak perlu default route l tidak perlu src-nat
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-309
CLI Basic Config (Meja 1)
/system identityset name="1-01 Dian Sastro" /interface wireless
set mode=station wlan1 band=2ghz-onlyg disabled=no frequency-mode=superchannel scan-list=2502 ssid=MTCINE
/ip address add address=10.10.10.1/24 interface=wlan1 add address=192.168.1.1/24 interface=ether1
/ip dns set allow-remote-requests=yes servers=10.10.10.100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-310
BGP Instance (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-311
BGP Peer (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-312
CLI Configuration
¢ /routing bgp instance set default as=1101 redistribute-connected=yes redistribute-static=yes
¢ /routing bgp peer add name=peer100 remote-address=10.10.10.100 remote-as=100 default-originate=never
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-313
BGP Status & IP Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-314
BGP Peer Status (Trainer)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-315
BGP Instance
¢ Jika router-id tidak ditentukan secara manual, secara otomatis akan menggunakan IP address terakhir pada router
¢ Di dalam satu router, bisa terdapat dua buah BGP Instance.
¢ Untuk “menghubungkan” instance yang satu dengan yang lain, aktifkan “redistribute-other-bgp”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-317
BGP dapat mengadvertise routing yang didapatkan dari protokol routing lainnya : connected route, static route, OSPF, RIP, dan BGP instance lainnya di router tersebut.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-318
BGP Instance
¢ ignore-as-path-len l Jika diaktifkan, maka algoritma BGP di
router tersebut tidak memperhitungkan panjangnya AS Path
¢ out-filter l Chain filter yang secara default akan
digunakan untuk seluruh peer di instance tersebut
¢ routing-table l Table routing yang akan digunakan oleh
instance ini
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-319
BGP Peer
¢ Instance pada suatu BGP Router, akan terkoneksi ke router lainnya (peer).
¢ Konfigurasi minimum BGP Peer: IP Address, AS.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-320
BGP Peer
¢ Banyak parameter yang bisa dipilih saat membuat sebuah peer.
¢ Detail lengkap mengenai parameter peer dan penjelasannya bisa dilihat di : http://wiki.mikrotik.com/wiki/Manual:Routing/BGP#Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-321
LAB 2: BGP Network
¢ Kirimkan prefix : l 172.20.X.0/24 l 10.1XX.0.0/16
¢ Pastikan prefix bisa diterima dari semua router lainnya
¢ Pastikan juga menerima prefix dari router-router lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-322
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-323
BGP Network
¢ Menginformasikan prefix-prefix yang akan diadvertise dan berasal (originate) dari router tersebut
¢ Berguna jika BGP hanya mengadvertise prefix di BGP Network, tetapi tidak mengadvertise connected route.
¢ Secara bawaan, prefix akan diadvertise jika prefix tersebut aktif di router
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-324
BGP Network - Sync
¢ Synchronize=yes : prefix akan diadvertise apabila prefix tersebut ada di dalam routing table router tersebut.
¢ Synchronization dapat dimatikan jika : l AS tidak memberikan layanan transit l Semua router transit menjalankan BGP
¢ Menonaktifkan synchronization dapat mempercepat kerja BGP
¢ Berbahaya jika jaringan sering hidup-mati
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-325
BGP Network – Sync = yes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Prefix 10.101.0.0/16 ada di router, maka diadvertise
PREFIX YG DITERIMA DI ROUTER LAIN
citraweb2014
05-326
BGP Network – Sync = yes
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Prefix 10.101.0.0/16 tidak ada di router, maka tidak diadvertise
PREFIX YG DITERIMA DI ROUTER LAIN
citraweb2014
05-327
BGP Origin
¢ Informasi route origin: l IGP – interior atau originating AS route. l EGP – routing didapat dari Exterior
Gateway Protocol l Incomplete – tidak diketahui asalnya, terjadi
jika route berasal dari routing lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-328
Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-329
BGP Filter
¢ Untuk mengamankan BGP, kita bisa melakukan filter.
¢ Untuk mengatur data yang masuk (inbound traffic), digunakan out-filter
¢ Untuk mengatur data yang keluar (outbound traffic), digunakan in-filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-330
BGP & ConnTrack
¢ Connection Tracking di RouterOS tidak dapat menjaga koneksi tetap valid untuk multihomed BGP.
¢ Paket yang terkait dengan sebuah koneksi dapat berjalan melalui jalur yang berbeda
¢ Jangan melakukan drop untuk invalid connection pada firewall
¢ Connection Tracking sebaiknya dimatikan untuk mendapatkan performance yang lebih baik.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-331
LAB 3 : BGP in-filter
¢ Router Guru akan mengirimkan prefix : l /6, /16, /23, /27
¢ Pastikan prefix yang diterima hanya /8-/24
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-332
Prefix Belum Difilter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-333
Buat Routing Filter (accept)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-334
Buat Routing Filter (discard)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-335
Pilih In-Filter di BGP Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-336
Routing Table Setelah Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-337
Discard / Reject?
¢ discard – router akan benar-benar mengabaikan prefix tersebut dalam proses berikutnya. Jika di pososi in-filter, prefix ini benar-benar diabaikan/dilupakan.
¢ reject – prefix tersebut diabaikan. l Untuk in-filter, prefix tersebut tetap disimpan
di memory, tetapi ditandai non-aktif. l Untuk out-filter, efeknya sama dengan
discard
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-338
BGP Soft Reconfiguration
¢ Jika menggunakan discard, routes tidak akan diupdate jika filter ada yang diubah. l Gunakanlah action=reject supaya prefix
masih tersimpan di memory l Atau, jika peer memiliki kemampuan
refresh, lakukan refresh route secara manual.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-339
BGP Community
¢ Adalah atribut yang melekat pada suatu prefix, router peer bisa melakukan action tertentu (filter) pada group prefix ini
¢ Default groups: l No-export – tidak diadvertise ke eBGP l No-advertise – tidak diadvertise ke
manapun l Internet – di advertise ke Internet
community l Local-as – tidak diadvertise ke AS yang lain
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-341
LAB 4: BGP Community
¢ Buatlah sebuah filter dengan atribut community, untuk mencegah router AS100 melakukan advertise prefix apapun yang didapat dari router siswa
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-342
LAB BGP Community
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-343
BGP Community
¢ Bisa juga menggunakan format 32 bit “xx:yy” ¢ Memberikan lebih banyak kemungkinan
melakukan kontrol ¢ Dapat digunakan oleh ISP untuk:
l parameter penambahan AS Path l restriksi geografis l Blackhole
¢ Informasi community dapat juga dimasukkan ke Internet Routing Registry (IRR)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-344
Contoh Community
¢ AS100 membuat 2 community: l 100:500 : advertise ke semua peer l 100:501 : advertise hanya ke AS400
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS300
ISP AS100
AS400
AS500 10.1.1.0/24 community 100:500 10.2.2.0/24 community 100:501
citraweb2014
05-345
Contoh #AS300 router config /routing bgp peer set toAS100 out-filter=bgp-out-as100 /routing filter add prefix=10.1.1.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:500 add prefix=10.2.2.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:501 # AS100 router config /routing bgp peer set toAS500 out-filter=bgp-out-as500 /routing filter add bgp-communities=100:501 action=discard\
chain=bgp-out-as500
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-346
IRR
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-347
Lab 5: Community Blackhole
¢ Buat network dan advertise IP Laptop /32 ¢ Buatlah community 100:444 untuk network
tersebut ¢ Router guru akan melakukan blackhole
untuk semua prefix dengan community 100:444
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-348
Konfigurasi Meja 1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-349
Konfigurasi Meja Guru
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-350
Advertisement yang diterima
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-351
¢ Untuk alasan keamanan: l Tidak semua peer dapat menggunakan
sistem blackhole seperti ini l Biasanya backbone akan melimit prefix
hanya /25-/32, supaya tidak tercampur dengan advertisement yang valid
l Saat melakukan advertisement, pastikan tidak mengirimkan IP Privat, lakukan filtering dengan ketat.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-352
Extended Community
¢ Digunakan untuk menambahkan beberapa parameter pada L2VPN dan VPNv4
¢ Parameter yang bisa ditambahkan: l Route Targets l Site of Origin l Control flags l MTU Encapsulation flags
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-353
BGP Multi Gateway
¢ Pertukaran informasi routing yang dilakukan antar router, juga dapat dimanfaatkan untuk melakukan failover pada beberapa gateway yang tersedia.
¢ Penentuan prioritas gateway (inbound dan outbound) dilakukan dengan Route Filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-354
LAB 6: BGP Multi Gateway
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
AS1YXX
AS1YXX
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
AS1YXX
AS1YXX
citraweb2014
05-355
Konfigurasi Kelompok 1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.1.1.1/30
ETHER3 10.1.1.2/30
AS100
AS1101
AS1102
MEJA 1 KELOMPOK 1
MEJA 3 KELOMPOK 1
ETHER2 10.1.2.1/30
ETHER3 10.1.2.2/30
ETHER3 10.1.3.2/30
ETHER2 10.1.3.1/30
WLAN1
MEJA 2 KELOMPOK 2
MEJA 4 KELOMPOK 1
AS1103
AS1104
citraweb2014
05-356
BGP Multi Gateway
¢ Non-aktifkan WLAN di R2 dan R3 pada tiap kelompok
¢ Hubungkan R1-R2, R2-R3, R3-R4 sesuai dengan topologi
¢ Buat BGP Peer baru R1-R2, R2-R3, R3-R4 ¢ Amati tabel routing yang terbentuk ¢ Lakukan test fail over dan amati perubahan
pada tabel routing
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-357
Konfigurasi
Meja Guru (kondisi normal)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-358
Default Originate
¢ Never – tidak akan pernah mengirimkan default route. Biasanya digunakan jika terkoneksi ke backbone, private peer, atau internet exchange.
¢ Always – selalu akan mengirimkan default route ke peer
¢ If Installed – akan mengirimkan default route, hanya jika router tersebut memiliki default route aktif.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-359
Implementasi Def Originate
¢ AS100 ke peer lain : always/if-installed ¢ R1, R2, R3, R4 ke AS100 : never ¢ R1 ke R2 : if-installed ¢ R2 ke R1, R2 ke R3 : if-installed ¢ R3 ke R2, R3 ke R4 ; if-installed ¢ R4 ke R3 : if-installed
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-360
Jika ada perubahan link
Jika wlan di R1 terputus
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-361
¢ Pastikan semua konfigurasi telah terpasang dengan baik.
¢ Back up konfigurasi ¢ Beri nama “eBGP-multi-gateway”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-362
Algoritma Keputusan BGP
¢ BGP hanya menggunakan satu jalur terbaik ke tujuan tertentu
¢ BGP selalu menginformasikan best path nya ke neighbor
¢ Beberapa atribut digunakan untuk menentukan best path: weight, next-hop, as-path, local- pref dll.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-363
Urutan Prioritas ¢ Next-hop validation ¢ Highest WEIGHT (default 0) ¢ Highest LOCAL-PREF (default 100) ¢ AS-PATH yang lebih pendek ¢ Locally originated path (aggregate, BGP network) ¢ Lowest origin type (IGP,EGP,Incomplete) ¢ Lowest MED (default 0) ¢ Prefer eBGP over iBGP ¢ Prefer the route with lowest router ID or
ORIGINATOR_ID ¢ Shortest route reflection cluster (default 0) ¢ Prefer the path that comes from the lowest neighbor
address
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-364
AS Path
¢ Urutan AS yang dilewati sebuah paket ¢ AS Path dapat dimanipulasi untuk
pengarahan trafik (prioritas) -> prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS400
AS300
AS100
AS200
AS-Path: 100 AS-Path: 200,100
AS-Path: 300,200,100
10.0.0.0/16
citraweb2014
05-365
AS Path Prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100 AS200
AS300
172.16.0.0/24 AS-Path: 100,300,300
172.16.0.0/24 AS-Path: 200,300
Prepend: 2
172.16.0.0/24
citraweb2014
05-366
LAB 7: AS Path Prepend
Buatlah AS Path Prepend untuk mengatur semua arah trafik searah jarum jam.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
citraweb2014
05-367
Konfigurasi
¢ Lihat di router, second route memiliki AS Path dengan panjang 4
¢ Contoh, di R1, untuk mencapai R2 melalui jalur secondary, akan melewati 3 AS lain (AS100, R4, R3), sehingga total menjadi 4.
¢ Peer ke router searah jarum jam perlu dilakukan prepend sebanyak 4, sehingga nantinya menjadi 5.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-368
Trafik Dari R2 ke R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
AS2
AS2
AS3, AS2
AS4, AS3, AS2 AS100,AS4, AS3, AS2
citraweb2014
05-369
Trafik Dari R2 ke R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
R4
R3 R2
R1
AS2,AS2,AS2,AS2,AS2
AS2
AS3, AS2
AS4, AS3, AS2 AS100,AS4, AS3, AS2
BGP Prepend 4 citraweb2014
05-370
Buat filter prepend
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-371
¢ Pasang filter prepend untuk peer di arah berlawanan jarum jam l R1 memasang prepend di peer ke R100 l R2 memasang prepend di peer ke R1 l R3 memasang prepend di peer ke R2 l R4 memasang prepend di peer ke R3
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-372
Route List
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Router 1
Router 2
Router 3
Router 4
Router Depan
05-373
LAB 8: Weight/AS Filtering
¢ Router depan tidak melakukan prepend apapun. Akibatnya ?
¢ Trafic dari R4 ke R100 tetap langsung ke 10.10.10.100, tidak melalui R3, R2, R1.
¢ Cara mengatasinya??
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R4 citraweb2014
05-374
Weight
¢ Atribut yang hanya dapat digunakan dalam 1 router ¢ Yang nilainya lebih tinggi menang (default 0) ¢ Weight ditambahkan pada prefix menggunakan filter
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS300
AS200
172.16.0.0/24 Weight=100
172.16.0.0/24 Weight=50
citraweb2014
05-375
Weight
Di R4, kita bisa menambahkan weight untuk prefix yang diterima dari R3 (dengan origin R100)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-376
AS Path Filtering
¢ Dapat digunakan untuk memilih prefix berdasarkan AS Path
¢ Dapat menggunakan regular expression l “.” - any single character l “^” - start of the as-path l “$” - end of the as-path l “_” - matches comma, space, start and end
of as-path
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-377
Contoh AS Path Filtering
AS Path : 400,100,1000,200,350,50
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Yang berasal dari AS50 _,50$ Yang melalui AS100 _,100,_ AS terakhir adalah 400 ^400,_
05-378
Route List R4
Setelah diberi atribut weight, dari R4 menuju ke R100 akan melalui R3, R2, R1, karena routing tersebut memiliki weight lebih besar dari pada jalur R4 langsung ke R100.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-379
BGP: Aggregation
¢ Untuk mengagregasi trafik, tidak semua prefix diteruskan.
¢ Prefix yang diagregasi harus berasal dari satu BGP instance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200
AS300 AS400
192.168.1.0/24
192.168.2.0/24
192.168.0.0/16
05-380
Konfigurasi
¢ Konfigurasi ini bisa dicoba pada R1 dan R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-381
BGP: Stub Network
¢ Single homed l Menggunakan private AS (>64511) l ISP hanya memberi default route l Tidak benar-benar memerlukan BGP l ISP yang akan mengadvertise network l Policy jaringan sama dengan ISP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-382
BGP: Stub Network
¢ Multihomed (ke satu AS) l sama dengan kondisi single homed l BGP dapat digunakan untuk failover/load
balance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-383
Private AS Removal
Jika kita menggunakan private AS di network kita, pastikan kita tidak meneruskan AS Path yang mengandung private AS tersebut.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS65000
AS65001
AS300 AS400
192.168.1.0/24
192.168.2.0/24
192.168.0.0/16 AS Path: 300
citraweb2014
05-384
Private AS Removal
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-385
BGP: Non-Stub Network
¢ Network berdiri sendiri (memiliki policy tersendiri)
¢ Membutuhkan IP Address dan ASN yang didapat dari RIR atau NIR
¢ Dapat digunakan untuk failover/ load balance/dll
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-386
Pengamanan BGP Peer
¢ Gunakan MD5 Auth ¢ Terima hanya IP blok yang dimiliki oleh
peer. Contoh, ISP A memiliki IP Address 172.16.16.0/21. Filter:172.16.16.0/21 prefix: 21-24 accept, lainnya discard
¢ Discard semua IP Bogon ¢ Discard default route ¢ Untuk IX, hanya terima prefix 24-8.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-387
Kuis
¢ Dalam sebuah router MikroTik, bisakah membuat dua buah BGP instances dengan AS number yang sama?
¢ Bagaimana cara BGP menghindari looping routing?
¢ Atribut manakah yang dikirimkan antar router BGP? Pilih: weight, as-path, next-hop, community
¢ Jelaskan mekanisme Path Vector!
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-388
¢ Mungkinkah menghubungkan 2 BGP berbeda AS, dengan multihop=no dan TTL=255 jika IP address kedua router tersebut berbeda subnet?
¢ Bagaimana cara membatasi jumlah prefix yang dapat di advertise sebuah peer?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-389
Interior BGP (iBGP)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
MTCINE Training Class 2014
05-390
Internal BGP (iBGP)
¢ Peering antar router dengan ASN yang sama
¢ Semua router dalam AS yang sama harus saling “peering”, meskipun secara fisik tidak harus saling terkoneksi (full mesh peering).
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-391
iBGP Peering
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
citraweb2014
iBGP membutuhkan full mesh peering.
05-392
Karakteristik iBGP
¢ Prefix diterima via iBGP tanpa AS Path ¢ Prefix yang diterima via iBGP tidak
diteruskan ke peering iBGP lainnya
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R2 R4 AS200 R3
Mengadvertise 0/0
0/0 AS-Path: -- Next-hop: R2
tidak menerima 0/0
iBGP iBGP
citraweb2014
05-393
Karakteristik eBGP & iBGP
¢ Prefix dari R1 akan diteruskan oleh R2 ke R3: l tidak menambahkan AS Path l next-hop nya adalah R1, perlu diubah dengan
default-originate=force-self 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R1 R2 R4
AS200
AS100
R3 0/0
0/0 AS-Path: 100 Next-hop: R1
0/0 AS-Path: 100 Next-hop: R1
tidak menerima 0/0
eBGP
iBGP iBGP
citraweb2014
05-394
LAB 9: iBGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
ASY000
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
citraweb2014
05-395
IP Address untuk Peering
¢ Peering dengan menggunakan IP Address yang ada di interface, menyebabkan ketergantungan terhadap 1 link fisik. l Jika link tersebut putus, sulit untuk fail over
melalui link yang lain. l IP dan prefix tersebut juga akan invalid
¢ Untuk peering antar router iBGP, sangat disarankan untuk menggunakan IP Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-396
IP Loopback
¢ IP yang dipasang pada router dan tidak tergantung pada salah satu interface fisik l di RouterOS bisa dilakukan dengan
memasang IP pada interface bridge yang independen
¢ IP Loopback dibutuhkan apabila kita hendak menggunakan iBGP ataupun multihop BGP. l Peering tetap dapat terhubung meskipun
salah satu interface down
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-397
IP Loopback
¢ Melakukan peering eBGP menggunakan Loopback address dapat mengurangi resiko BGP terkena DOS attacks
¢ Setting peer to loopback address can force BGP to install ECMP route (for load balancing)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-398
IP Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ETHER1 192.168.0.1/24
ETHER2 192.168.2.1/24
ETHER3 192.168.4.1/24
BRIDGE1 172.16.0.1
05-399
Alokasi IP Loopback /32
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Kelompok 1 Meja 01 172.16.1.1 Meja 02 172.16.1.2 Meja 03 172.16.1.3 Meja 04 172.16.1.4
Kelompok 2 Meja 05 172.16.2.1 Meja 06 172.16.2.2 Meja 07 172.16.2.3 Meja 08 172.16.2.4
Kelompok 3 Meja 09 172.16.3.1 Meja 10 172.16.3.2 Meja 11 172.16.3.3 Meja 12 172.16.3.4
Kelompok 4 Meja 13 172.16.4.1 Meja 14 172.16.4.2 Meja 15 172.16.4.3 Meja 16 172.16.4.4
Kelompok 5 Meja 17 172.16.5.1 Meja 18 172.16.5.2 Meja 19 172.16.5.3 Meja 20 172.16.5.4
Kelompok 6 Meja 21 172.16.6.1 Meja 22 172.16.6.2 Meja 23 172.16.6.3 Meja 24 172.16.6.4
IP Loopback dipasang di interface “bridge-LO”
05-400
OSPF dan iBGP
¢ Untuk mendistribusikan IP Loopback supaya bisa dikenali semua router, gunakanlah OSPF l Lakukanlah OSPF :
R1 – R2, R2 – R3, R3 – R4 ¢ Lakukan OSPF Filter untuk memastikan
prefix yang terkirim hanya IP Loopback ¢ Lalu lakukan iBGP Peering :
R1 – R2, R2 – R3, R3 – R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-401
Buat IP Loopback
¢ Buat interface “bridge-LO”
¢ Tambahkan IP Loopback di “bridge-LO”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-402
OSPF Network (Kelompok 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
R1 R2
R3 R4
05-403
OSPF Filter
Filter OSPF digunakan untuk memastikan hanya IP Loopback yang terdistribusi via OSPF
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-404
Route List R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-405
BGP Peer: Update Source
¢ Secara default source IP Address yang digunakan BGP untuk peering menggunakan IP yang ada di out-interface.
¢ Karena BGP Peer akan dilakukan menggunakan IP Loopback, source address diubah menggunakan IP di interface Loopback
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-406
BGP Instance : Router ID
¢ Jika kita menggunakan IP Loopback untuk BGP, biasanya kita juga akan menggunakan IP Loopback ini sebagai Router ID
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-407
BGP Peer Configuration R1
/routing bgp peer add hold-time=10s name=peer100 remote-address=10.10.10.100 remote-as=100
add name=peer-to-R2 default-originate=if-installed remote-address=172.16.1.2 remote-as=1000 update-source=bridge-LO
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-408
Route List R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-409
Periksa di R2 dan R3
¢ R2 dan R3 mendapatkan default route yang invalid, karena “gateway unreachable”
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-410
Periksa di R2 dan R3
¢ Untuk mengatasinya: l di R1, pada peer ke R2 l di R4, pada peer ke R3 l dibuat Nexthop-Choice = force self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-411
¢ Pastikan R2 dan R3 sudah memiliki default route yang aktif
¢ Lakukanlah back-up konfigurasi (tulis nama file backup “iBGP-non-mesh”)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-412
Periksa prefix yg diterima
l R1 tidak mendapatkan prefix R3 dan R4 l R2 tidak mendapatkan prefix R4 l R3 tidak mendapatkan prefix R1 l R4 tidak mendapatkan prefix R1 dan R2
¢ Periksalah juga, AS Path yang melekat pada prefix yang diterima dari iBGP
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Ingat! Semua router dalam iBGP harus saling melakukan peer secara mesh, karena iBGP
tidak melakukan re-advertise prefix yang juga diterima dari iBGP.
05-413
iBGP : Mesh!
¢ Secara teoritis, semua router iBGP harus saling melakukan peer, supaya semua prefix bisa diterima oleh semua router
¢ Untuk mempermudah proses routing, lakukan force-self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-414
LAB 10: Mesh iBGP Peer
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
10.10.10.100/24
ETHER2 10.Y.1.1/30
ETHER3 10.Y.1.2/30
AS100
ASY000
MEJA 1 KELOMPOK Y
MEJA 3 KELOMPOK Y
ETHER2 10.Y.2.1/30
ETHER3 10.Y.2.2/30
ETHER3 10.Y.3.2/30
ETHER2 10.Y.3.1/30
WLAN1
MEJA 2 KELOMPOK Y
MEJA 4 KELOMPOK Y
citraweb2014
05-415
BGP Peer R1 & R2
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTER 1
ROUTER 2
05-416
BGP Peer R3 & R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTER 3
ROUTER 4 05-417
iBGP vs eBGP
Dari R1 dan R4 ke R100 akan melalui wlan, karena prefix 0/0 diperoleh via eBGP (distance 20), sedangkan alternate route 0/0 via iBGP (distance 200)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-418
Local Preferences
¢ Digunakan sebagai atribut untuk router dengan AS yang sama untuk mengontrol seleksi BGP Path, menentukan best path untuk traffic outbound
¢ Tidak dapat dikirimkan ke AS lainnya ¢ Default local preferences: 100 ¢ Path yang memiliki nilai lebih besar
menang
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-419
LAB 11: Local Preferences
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4 citraweb2014
0/0 Local-Pref = 200
0/0 Local-Pref = 100
Buatlah agar trafik dari R1, R2, R3 ke R100 melalui R4 (wlan)
05-420
Konfigurasi R4
¢ Membuat in-filter di R4 untuk peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-421
Konfigurasi R4
Memasang in-filter di R4 pada
peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-422
Route List di R1
Sebelum ada local-pref Sesudah ada local-pref Hal yang sama akan juga mempengaruhi R2 dan R3 3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-423
Atribut BGP-MED
¢ Multi Exit Discriminator atau Metric – petunjuk yang diberikan ke external neighbor mengenai jalur inbound yang diprioritaskan
¢ Metric yang lebih kecil adalah prioritas (Default: 0)
¢ Pertukaran data MED antar 2 AS tidak diteruskan ke AS lainnya
¢ Akan diabaikan jika MED diterima dari AS yang berbeda
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-424
Contoh Implementasi MED
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200
AS300
R1
R2 R3
R4
med=100
med=50
med=10
R1, R2, dan R3 mengadvertise network yang sama (originate dari AS200) ke R4 dengan nilai MED yang berbeda. Untuk memilih jalur dari R4 ke network tersebut, R4 akan membandingkan nilai MED yang didapat dari R2 dan R3. MED dari R4 akan diabaikan karena berasal dari AS yang berbeda.
citraweb2014
05-425
LAB 12: BGP - MED
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4 citraweb2014
Buatlah agar trafik dari R100 ke R1, R2, R3, R4 melalui R4 (wlan)
Default MED = 0 MED = 50
05-426
Konfigurasi di R1 ¢ Membuat out-filter di R1 untuk peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-427
Konfigurasi di R1
Memasang out-filter di R1 pada peer ke R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-428
Route List di R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Sebelum ada MED (default MED=0) Setelah ada MED=50 dari R1
Dengan menggunakan MED, kita bisa menginformasikan prioritas yang diinginkan untuk inbound traffic dari AS tertentu (jika tersedia dua jalur ke AS tersebut tanpa melalui AS lainnya)
citraweb2014
05-429
Ribet dengan Full Mesh?
¢ Secara default, kita harus melakukan full mesh untuk network iBGP.
¢ Namun, jika jumlah router banyak, sulit untuk melakukan full mesh.
¢ Beberapa hal yang bisa dilakukan supaya kita tidak perlu melakukan full mesh: l Route Reflect l Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-430
Route Reflect
¢ Digunakan untuk membagi network iBGP menjadi beberapa cluster dan tidak perlu melakukan full mesh ke semua router.
¢ Mengurangi trafik komunikasi BGP, karena jumlah peer berkurang
¢ Mengurangi jumlah data per message, karena hanya best path yang disampaikan
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-431
BGP Instance untuk RR
¢ Konfigurasi “client-to-client-reflection” pada Router reflector harus aktif.
¢ Cluster-id bisa digunakan untuk menulis identitas router, terutama kalau ada 2 reflector di dalam satu cluster, untuk menghindari routing loop. Namun sangat jarang digunakan dan biasanya diisi dengan router-id.
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-432
Topologi Route Reflect
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
ROUTE REFLECTOR
ROUTE REFLECTOR
RR CLIENT
RR CLIENT RR CLIENT
RR CLIENT
RR CLIENT
RR CLIENT
citraweb2014
05-433
Mekanisme RR
¢ Reflector menerima prefix/path dari client dan non-client
¢ Melakukan pemilihan best path ¢ Jika best path dari client, path tersebut
akan direfleksi ke client lainnya dan non-client
¢ Jika best path dari non-client, maka path tersebut hanya akan direfleksikan ke client
¢ Client dapat berbentuk mesh ataupun tidak
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-434
Topologi RR
¢ Network dibagi menjadi beberapa cluster ¢ Harus ada paling tidak 1 reflector setiap
cluster ¢ Reflector haruslah full mesh ¢ 1 client bisa tergabung dalam lebih dari 1
cluster
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-435
LAB 13: Route Reflect
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4
citraweb2014
05-436
LAB RR
¢ Tidak melakukan full mesh: l R1 hanya peer ke R100 dan R2 l R2 hanya peer ke R1 dan R3 l R3 hanya peer ke R2 dan R4 l R4 hanya peer ke R3 dan R100
¢ R2 dan R3 menjadi Reflector l Aktifkan Client-toclient Reflection di BGP
Instance l Aktifkan Route-Reflect pada peer:
• Dari R2 ke R1 • Dari R3 ke R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-437
BGP Instance
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Aktifkan Client To Client Reflection
05-438
BGP Peer
Hanya pada peer di: ¢ R2 ke R1 ¢ R3 ke R4
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Pastikan R2 dan R3 mendapatkan default route Pastikan R1 bisa terkoneksi ke R4
Aktifkan Route Reflect
citraweb2014
05-439
BGP: Confederation
¢ Digunakan untuk membagi sebuah AS menjadi beberapa AS (melakukan eBGP di jaringan iBGP).
¢ Dari luar AS, tetap terlihat sebagai 1 AS ¢ AS Path di dalam confederation ditulis
dengan tanda kurung : (1001,1002,1003) ¢ Propagasi prefix seperti iBGP, next-hop
eBGP dipertahankan. Perlu melakukan Nexthop-Choice : force-self
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-440
BGP Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
AS100
AS200 AS300
AS400 AS500
AS101
AS102
AS103
AS-Path: 300,100
AS-Path: (102,103)
R1
R2
R3 R4
R5
R6
R9
R8
R9
R10
citraweb2014
05-441
LAB 14: BGP Confederation
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
WLAN1
AS100
ASY000
MEJA 1
MEJA 3
WLAN1
MEJA 2
MEJA 4
citraweb2014
ASY001
ASY002 ASY003
ASY004
05-442
LAB : BGP Confederation
¢ Tidak melakukan full mesh: l R1 hanya peer ke R100 dan R2 l R2 hanya peer ke R1 dan R3 l R3 hanya peer ke R2 dan R4 l R4 hanya peer ke R3 dan R100
¢ Untuk peering antar sub AS (confederation), aktifkan multihop=yes, karena peering dilakukan dengan IP Loopback
¢ Pastikan dari R1 bisa ke R4, dan dari R2 dan R3 bisa ke internet
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-443
BGP Instance (Meja 1)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Masukkan sub AS
Masukkan AS
Masukkan sub AS yang akan peer
citraweb2014
05-444
BGP Peer (R1 ke R2)
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
Masukkan sub AS
Gunakan force-self
Gunakan Multihop = yes
citraweb2014
05-445
Prefix dari R4 di R1
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-446
Prefix dari R3 di R100
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id
citraweb2014
05-447
Kuis
¢ Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?
¢ Pada iBGP, atribut apakah yang bisa memprioritaskan jalur untuk inbound traffic?
¢ AS100 memiliki 2 jalur ke AS300. Satu jalur terkoneksi langsung, dan satu jalur melalui AS200. Bisakah kita menggunakan atribut MED?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-448
Kuis
¢ Pada jaringan iBGP, setiap prefix melewati sebuah router, maka router tersebut akan menambahkan AS pada AS-Path. (Benar/Salah)
¢ Apa yang bisa dilakukan supaya jaringan iBGP tidak perlu full mesh?
¢ Apa saja perbedaan perilaku iBGP dan eBGP?
3-Sep-15 Mikrotik Indonesia http://www.mikrotik.co.id 05-449
top related