read me - files · 2021. 4. 21. · read me 2 ini adalah modul gratis, kamu boleh membagikan,...
TRANSCRIPT
Read Me
2
● Ini adalah modul gratis, kamu boleh membagikan, menggunakan, atau mengambil sebagian materi dari modul ini, tanpa menghapus credit footer dari webiptek.com.
● Isi bisa saja berubah tanpa pemberitahuan, baik dari segi struktur maupun materi.● Jika kamu menemukan kesalahan pada teori yang disampaikan, ingin menambahkan materi, atau
memperbaiki pemilihan kata, ayo berkontribusi! Baca slide berikutnya.● Buka link berikut untuk melihat modul terupdate: https://files.webiptek.com/Juniper/JNCIA-Junos
Penjelasan dalam bentuk video (Bahasa Indonesia), silakan cek di Youtube:https://www.youtube.com/playlist?list=PLnZp9Zjr0jNt84A7BFFUztsPILawYuIC0
Syarat mempelajari modul ini, kamu harus sudah paham:1. Network Fundamental2. Computer Architecture
Last Update: 10/04/2020
Contributor
3
Nama Kontak
Rizqi Aldi Prayugo [email protected] xdnroot
Ingin berkontribusi?Kamu bisa menambahkan materi dan/atau merevisi materi yang sudah ada.Hubungi saya (Rizqi) melalui sosial media atau email di atas.Cukup sampaikan materi yang ingin kamu tambahkan atau revisi dalam bentuk dokumen atau presentasi.
4
JNCIA-Junos: Introduction to Juniper Network OSOutline:1. Module 1: Junos OS Fundamental2. Building Juniper Lab Environment3. Module 2: Junos CLI 4. Lab 1: Basic Configuration5. Module 3: Routing Fundamental6. Lab 2: Static Route, Routing Table, Forwarding Table7. Lab 3: OSPF Overview and Basic Configuration8. Lab 4: IS-IS Overview and Basic Configuration9. Module 4: Routing Policy
10. Lab 5: RIP Overview and Basic Configuration11. Lab 6: Routing Policy Implementation12. Module 5: Firewall Filter13. Lab 7: Basic Firewall Filter14. Module 6: Monitoring & Maintenance
[ MODULE 1 ]Junos OS Fundamental
Apa itu Junos OS?
7
● Sistem operasi jaringan yang dikembangkan oleh Juniper Networks.
● Menyediakan infrastruktur yang aman (secure) dengan kinerja tinggi (high-performance), skalabilitas (scalability), yang dibangun di atas sistem operasi sumber terbuka (open source).
● Dimodifikasi dari Linux FreeBSD.
Junos OS
8
● Setiap fungsi di dalam Junos OS dikelompokan ke dalam beberapa proses (software processes) yang terpisah.
● Dan setiap proses mempunyai jatah memorinya masing-masing, dengan begitu suatu proses tidak mempengaruhi proses lainnya.
● Ketika satu proses mengalami kegagalan (error), proses lain masih bisa berjalan.
Junos OS: Single Operating System
9
● Saat ini semua platform Juniper Network mulai dari perangkat switch, router, dan security, semuanya menggunakan sistem operasi Junos OS.
● Karena menggunakan sistem operasi dan arsitektur yang sama, akan memudahkan pengguna dalam mengelola (manage), memonitoring, dan melakukan perawatan (maintain).
Junos OS: Single Operating System
10
● Semua produk Juniper Network baik perangkat switch, router, maupun security mampu menjalankan fitur-fitur dasar sistem operasi jaringan. Fitur-fitur tersebut misalnya meneruskan paket layer 2 (switching), menangani proses layer 3 (routing), firewall, dan sebagainya.
● Lalu apa fungsi pengelompokan jenis perangkat, kalau semua perangkat punya fitur dasar yang sama? Tentunya untuk membedakan mana perangkat yang dioptimasi untuk meneruskan paket layer 2, mana yang dioptimasi untuk menangani layer 3, dan mana perangkat yang dioptimasi untuk menjaga keamanan jaringan.
● Jadi, semua perangkat memang bisa menjalankan fitur-fitur dasar yang sama. Tetapi setiap perangkat punya fitur spesifik yang berbeda sesuai role atau fungsinya masing-masing.
Junos OS: Single Software Release
11
● Dalam mengembangkan Junos OS, Juniper tidak membuat ulang sistem Junos OS. Melainkan menggunakan metode penomoran versi di setiap updatenya.
● Penomoran rilis pada Junos OS mempunyai format sebagai berikut.m.n → Versionm → Main (major) Release.n → Revision (minor) Release.Z → Release Typeb → Build Number
Release Types:R : Kode standar untuk rilis pertama versi baru atau revisi (perbaikan bug) tanpa perubahan fitur.X : Rilis untuk platform yang membutuhkan fitur khusus dan siklus update yang lebih sering (biasanya untuk platform security).F : Kode rilis revisi (perbaikan bug) dan termasuk perubahan fitur.B : Uji coba (beta release).I : Rilis untuk keperluan internal atau eksperimen.S : Service Release.
Contoh: 18.3R14 → versi 18.3, release R (perbaikan bug tanpa fitur baru), build ke 14.
m.nZb
Junos OS: Single Software Release
12
“R” and “F” Release Type.Misalnya: Kode rilis pertama versi Junos OS adalah 15.1R1.Kemudian dari versi pertama tersebut, akan ada perbaikan bug dan penambahan fitur yang akan diupdate di rilis yang kedua.Kode untuk rilis kedua berisi perbaikan bug tanpa penambahan fitur baru adalah 15.1R2.Kode untuk rilis kedua berisu perbaikan bug dan penambahan fitur baru adalah 15.1F2.
Junos OS: Modular Architecture
13
Perangkat networking untuk jaringan “menengah ke atas” seperti perusahaan (enterprise), kampus, service provider dan data center. Biasanya hardwarenya memiliki arsitektur modular yang memungkinkan penggunauntuk menyesuaikan dengan kebutuhannya.
Bisa diibaratkan desain modular itu pemisahan bagian-bagian dari suatu perangkat.Jadi pengguna bisa menambahkan modul ke slot yang tersedia sesuai kebutuhan.Modul itu biasanya berupa slot interface.
Tapi yang unik di perangkat Juniper yaitu desain modular juga diterapkan pada control dan forwarding planes.
Junos OS: Modular ArchitectureSeparation of Control and Forwarding Planes
14
● Bagian yang mengontrol routing dan switching protocol (control plane) terpisah dengan bagian yang meneruskan paket dan frame (forwarding plane). Control plane berjalan pada Routing Engine (RE). Sedangkan forwarding plane dijalankan di Packet Forwarding Engine (PFE).
● Pemisahan RE dan PFE bukan SDN. Melainkan masih dalam satu perangkat, hanya saja bagian hardwarenya terpisah, memiliki alokasi cpu dan memori yang terpisah juga.
Junos OS
FTFrames/Packets IN Frames/Packets OUT
Packet Forwarding Engine (PFE)
FTRT
Routing Engine (RE)
Internal Link
Control Plane
Forwarding Plane
Junos OS: Modular ArchitectureRouting Engine
15
● Routing Engine (RE) bisa diibaratkan sebagai otak yang bertanggungjawab untuk mengangani protocol updates dan system management.
● Contoh protocol updates: pembaruan routing table, update forwarding table, dhcp, dll.
● System management: berkaitan dengan menangani konfigurasi dan monitoring (telnet, ssh, http, snmp, dsb).
● Pemisahan RE memungkinkan fitur high availability dapat dijalankan: Graceful Routing Engine Switchover (GRES), Non Stop Active Routing (NSR), dan Unified In-Service Software Upgrades (ISSUs).
Junos OS
FTFrames/Packets IN Frames/Packets OUT
Packet Forwarding Engine (PFE)
FTRT
Routing Engine (RE)
Internal Link
Control Plane
Forwarding Plane
Junos OS: Modular ArchitecturePacket Forwarding Engine
16
● PFE berjalan di hardware yang terpisah dengan RE, tetapi tetap satu perangkat.
● PFE berfungsi selayaknya otot di tubuh kita yaitu menjalankan perintah otak. Dalam kasus ini. PFE bertanggungjawab untuk meneruskan paket atau frame berdasarkan data pada forwarding table yang tersinkronisasi (up to date) dengan forwarding table di Routing Egine (RE).
● PFE juga menangani Policers, Stateless Firewall, Class of Services (CoS).
● PFE menggunakan ASIC’s untuk meningkatkan kinerja.
Junos OS
FTFrames/Packets IN Frames/Packets OUT
Packet Forwarding Engine (PFE)
FTRT
Routing Engine (RE)
Internal Link
Control Plane
Forwarding Plane
Junos OS: Modular ArchitectureAdvantages
17
● Peningkatan stabilitas dan performa control plane dan forwarding plane. Selain yang sudah dijelaskan sebelumnya, arsitektur modular Junos OS juga memungkinkan untuk perangkat melakukan reboot secara terpisah antara Routing Engine dan Packet Forwarding Engine.
● Forwarding plane tidak perlu berkomunikasi dengan control plane untuk meneruskan traffic.
● Memudahkan troubleshooting, terutama ketika terjadi kerusakan hardware.
● Ketika ada error di satu module atau process tidak mempengaruhi process lainnya.
Pemrosesan Traffic pada Junos OS
18
Trasnsit Traffic
Exception Traffic
Pemrosesan Traffic pada Junos OSTransit Traffic
19
● Transit traffic adalah semua traffic yang masuk melalui ingress port, kemudian diproses berdasarkan forwarding table untuk diteruskan ke tujuannya, keluar melalui egress port.
● Transit traffic hanya diproses oleh forwarding plane (PFE), tanpa control plane (RE).
● Traffic unicast diproses seperti normalnya trafic masuk dari ingress port dikeluarkan ke egress port. Sedangkan untuk traffic multicast/broadcast, packet/frame akan diduplikat untuk diteruskan ke beberapa egress port. Sesuai data di forwarding table.
Packet Forwarding Engine (PFE)
FT
Control Plane
Forwarding Plane
FT
Routing Engine (RE)
ingress egress
Pemrosesan Traffic pada Junos OSException Traffic
20
Exception Traffic adalah traffic yang memerlukan penangan khusus, contohnya:
● Paket yang tujuannya adalah perangkat tersebut, seperti routing protocol update, telnet/ssh session, pings, traceroutes, dan balasan untuk traffic yang berasal dari RE. Paket ini akan diteruskan oleh PFE ke RE untuk ditangani oleh RE.
● Paket yang terdapat field IP Options. Paket ini akan diproses oleh RE.● Traffic yang membutuhkan balasan ICMP messages ke pengirim. Hal ini terjadi karena permintaan pengirim, atau
ada error seperti tujuan tidak ada di forwarding table, TTL expired, dsb. Biasanya, PFE bisa menangani paket ini untuk membuat balasan ICMP messages.
Packet Forwarding Engine (PFE)
CPU
Control Plane
Forwarding Plane
?
Routing Engine (RE)
Internal Link
Packet/Frame IN
Packet/Frame OUT
Pemrosesan Traffic pada Junos OSProtocol and Management Traffic
21
Traffic Protocol dan Management sebenarnya termasuk bagian dari exception traffic. Yaitu seperti: routing protocol update; akses ke perangkat lewat telnet, ssh, maupun web; snmp; ntp; dhcp; dan sebagainya.
Yang mana traffic tersebut akan diproses oleh RE. Tetapi pembuatan ICMP message (jika ada) tetap dilakukan oleh PFE.
Packet Forwarding Engine (PFE)
CPU
Control Plane
Forwarding Plane
?
Routing Engine (RE)
Internal Link
Packet/Frame IN
Packet/Frame OUT
Pemrosesan Traffic pada Junos OS
22
● Junos OS membatasi exception traffic yang melintasi internal link untuk melindungi RE dari denial of service (DoS) attack.
● Di jam-jam padat (congestion), Junos OS memberi prioritas untuk traffic yang menuju ke RE baik itu dari local maupun traffic management dari luar.
● Hal-hal tersebut tidak bisa kita ganggu atau ubah (unconfigurable).
Packet Forwarding Engine (PFE)
Junos OS
FTFrames/Packets IN Frames/Packets OUT
Packet Forwarding Engine (PFE)
FTRT
Routing Engine (RE)
Internal Link
Control Plane
Forwarding Plane
Junos Switching Devices
23
EX Series QFX Series OCX Series
Junos Switching Devices
24
Selengkapnya mengenai produk switch Juniper:
https://www.juniper.net/us/en/products-services/switching
EX Series didesain untuk low-density hingga high-density jaringan enterprise dan data center. Kapasitas tertingginya mencapai 13.2 Tbps. Dengan mendukung port interface hingga 48 x 40GbE..
QFX Series adalah switch menyediakan kinerja tertinggi dan low latency untuk dipasang pada instalasi top-of-rack atau end-of-row. Bisa digunakan pada arsitektur Virtual Chassis, Virtual Chassis Fabric (VCF), Multi Chassis link aggregation group, (LAG) dan Junos Fusion. Spesifikasi tertingginya mampu meneydiakan 480 x 100GbE atau 48 Tbps.
OCX Series adalah project open networking switch yang menyediakan Junos OS yang sudah teroptimasi cloud, open source hardware yang dibangun pada komersial komponen.
Junos Routing Devices
25
MX Series PTX Series ACX Series
Junos Routing Devices
26
Selengkapnya mengenai produk router Juniper:
https://www.juniper.net/us/en/products-services/routing
MX Series merupakan router yang digunakan untuk jaringan yang memerlukan performa tinggi. Kapasitasnya mencapai 38.4 Tbps dan dioptimasi untuk menjalankan 100GbE ports.
PTX Series adalah router yang cocok digunakan untuk jaringan yang trafficnya besar seperti service provider, cloud data center, dll. Kemampuanya mencapai 115.2 Tbps dan mendukung port 100GbE dan 400GbE.
ACX Series adalah versi fleksibel produk routing Juniper. Kemampuan tertingginya mampu memproses traffic hingga 1 Tbps dengan 20 port 100GbE.
Junos Security Devices
27
SRX Series
SRX Series adalah produk security device yang menjalankan Junos OS yang menyediakan kemampuan 2 Tbps firewall throughput.
Keluarga SRX series didesain untuk memenuhi kebutuhan keamanan jaringan seperti: Next-Generation Firewall (NGFW), content security, intrusion prevention system (IPS), AppSecure, and unified threat management (UTM), dll.
Juniper Virtual Switch, Router, and Security
28
Di era cloud seperti sekarang ini, dukungan terhadap kecepatan pembangunan (rapid-deployment) serta skalabilitas (scalability) suatu jaringan sangat diperlukan. Karena itu, Juniper menyediakan juga produk virtual router, switch, dan security untuk dijalankan di virtualization engine seperti VMware ESXi, NSX, dan KVM/OpenStack.
● vMX adalah produk router virtual yang mempunyai fitur selayaknya perangkat MX series.
● vSRX adalah produk security virtual yang mempunyai fitur sama seperti perangkat SRX series.
● vQFX adalah produk virtual switch yang mempunyai fitur sama seperti perangkat QFX series.
Ada juga produk microservice yang bisa dijalankan di container yaitu cSRX, produk Juniper untuk menangani keamanan jaringan sebagaimana vSRX dan SRX.
NFX Series adalah paltform yang menyediakan layanan perangkat customer premises equipment (CPE) yang didesain untuk mempercepat pembuatan dan distribusi layanan jaringan WAN. Atau dalam kata lain produk ini digunakan untuk implementasi SD-WAN.
Juniper SDN Products
29
SRX SeriesSelengkapnya mengenai Produk SDN dari Juniper:https://www.juniper.net/us/en/products-services/management-operations-sdn
Contrail merupakan produk juniper berupa software yang menyediakan SDN, Network Fuction Virtualization (NFV), dan orkestrasi layanan pada cloud. Contrail memanfaatkan teknologi terbuka seperti OpenStack untuk mengontrol komputer, mesin, penyimpanan, dan sumber daya networking lainnya.
Northstar Controller menyediakan otomatisasi manajemen dan rekayasa traffic di jaringan WAN. Selain itu northstar controller juga memberikan visualisasi, optimasi dan pengamatan atau analisa jaringan menggunakan standard interfaces.
WANDL IP/MPLS View memberikan solusi manajemen lalu lintas multivendor, multiprotocol, dan sistem pendukung operasi (OSS) dan solusi rekayasa untuk jaringan IP dan/atau MPLS.
vMX Overview
30
vMX adalah produk juniper yang dijalankan di atas virtualisasi (hypervisor), seperti KVM, VMWare ESXi, dsb.Produk virtual juniper lainya: vSRX, vQFX, dan cSRX.vMX sama seperti MX series, fungsinya sebagai router (routing, traffic management, basic firewall, dll).
Kelebihan produk virtual juniper dibanding produk juniper yang fisik (software and hardware).● Quick deployment.● Customized hardware and easy to scale.
https://www.juniper.net/documentation/en_US/vmx/topics/concept/vmx-overview.html
vMX Architecture
31
vMX terdiri dari control plane (vCP) and forwarding plane (vFP) yang terpisah. internal bridge adalah interface yang menghubungkan antara vCP dan vFP.Sedangkan external bridge adalah interface untuk management.
vMX Requirements
32
Lite mode = untuk simulasi lab dengan traffic <100 Mbps.Performance mode = ini adalah mode default, biasanya untuk production dengan traffic >100Mbps.
*) vCPU bervariasi tergantung proses yang akan dijalankan dan jumlah interface.**) minimal memori (RAM) yang digunakan.**) rekomendasi memori (RAM) yang digunakan.
Selengkapnya: https://www.juniper.net/documentation/en_US/vmx/topics/reference/general/vmx-hw-sw-minimums.html
vCPU MemoryStorage
Lite Performance Lite Performance
vCP 1 1* 1 GB 1GB** or 4GB*** 40GB
vFP 3 8* 2 GB 4GB** or 12GB*** 4GB
[ PREPARATION ]Building a Juniper Lab Environment
Lab Preparation
34
Lab pada modul JNCIA-Junos: Introduction to Junos OS ini akan menggunakan emulator EVE-NG, alternatif lain teman-teman bisa menggunakan GNS3.
☑ Junos OS image
Untuk Junos OS, bisa menggunakan Junos Olive 12.1R1.
Download:
ova: https://drive.google.com/open?id=1iXJUUydqSBWhu3aSfh-c-w5zD4Vr8mQZ
qcow2: https://drive.google.com/open?id=1qlkZetLz_sKBQDmiqkZE7sn0RAUNgQA5
Add Junos Olive to EVE-NG
35
1. Download file junos-olive-12.1R1.9.zip yang qcow2 di :https://drive.google.com/open?id=1qlkZetLz_sKBQDmiqkZE7sn0RAUNgQA5
2. Kemudian extrack filenya sehingga ada file hda.qcow2.
3. Buat direktori /opt/unetlab/addons/qemu/olive-12.1R1.9 pada eve-ng.
4. Copy file hda.qcow2 ke /opt/unetlab/addons/qemu/olive-12.1R1.9/ menggunakan scp atau ftp.
5. Fix permission, jalankan command:/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
Add Junos Olive to GNS3 using Qemu
36
1. Download file junos-olive-12.1R1.9.qcow2 di https://drive.google.com/open?id=1qlkZetLz_sKBQDmiqkZE7sn0RAUNgQA5
2. Lalu extrack (ada file hda.qcow2).
3. Buka tab Edit > Preference > Qemu VMs. Tambah Qemu template baru (klik New).
4. Isi form nama VM-nya (contoh: junos-olive). Next.
5. Atur RAM-nya minimal 512MB. Next. Kemudian console type-nya telnet. Next.
6. Selanjutnya di bagian disk image pilih image hda.qcow2 tadi. Jika ada konfirmasi yg intinya apakah imagenya mau dicopy ke lokasi default. Pilih yes atau no, tidak masalah.
7. Finish. Icon, type interface, nama, bisa diatur kembali dengan klik tombol edit.
Add Junos Olive to GNS3 using VirtualBox/VMWare
37
1. Download Junos-Olive12.1R1.9.ova: https://drive.google.com/open?id=1iXJUUydqSBWhu3aSfh-c-w5zD4Vr8mQZ
2. Export file Junos-Olive12.1R1.9.ova ke VirtualBox, biarkan semua default.
3. Atur network interface VM-nya ke host-only.
4. Tambahkan ke GNS3:
a. Buka Edit > Preference > (VirtualBox/VM Ware) VMs.
b. Klik new, tambahkan VM Junos Olive yang di virtualbox tadi.
c. Finish, icon, console, dll bisa diatur menyesuaikan (klik edit).
Juniper Lab Solutions
38
1. Juniper Image for VMJuniper Image (vMX, vSRX, vQFX, dll) bisa didownload di: https://support.juniper.net/support/downloads/ dengan syarat:● Memiliki akun berlangganan dengan juniper (lisensi), atau:● Memiliki akun yang terdaftar di evaluation program (trial).
2. Juniper vLabsAlternatif lain bisa menggunakan Juniper vLabs (online) yang disediakan Juniper Networks di:https://jlabs.juniper.net/vlabs
3. Junos OliveAlternatif terakhir adalah junos olive, cukup untuk JNCIA-Junos dan praktik-praktik networking dasar.
Cara Membuat Akun JuniperDaftar di https://userregistration.juniper.net Lalu hubungi CS Juniper untuk aktivasi akun dan (jika perlu) minta akses ke evaluation program untuk download image.Telp. 001 803 442298 (Indonesia, bebas pulsa) selengkapnya cek: https://support.juniper.net/support/requesting-support
Juniper vLabs
39
Juniper vLabs adalah lab virtual yang disediakan resmi oleh juniper yang bisa diakses melalui https://jlabs.juniper.net/vlabs/
Baca user guides dan FAQ untuk lebih detail, jika ada yang kurang jelas bisa tanyakan ke email [email protected]
User dan Password perangkat di Juniper vLabs:jcluser / Juniper!1atauadmin / Juniper!1
Juniper Image Installation
40
https://www.juniper.net/documentation/product/en_US/vmxhttps://www.juniper.net/documentation/product/en_US/vsrx
Importing Juniper Virtual Image into GNS3https://docs.gns3.com/144QvvLxBT69_fv-pPHf4etc5xjdItiA_a8s8gVmSTDk
Importing Juniper Virtual Image into EVE-NGhttps://www.eve-ng.net/index.php/documentation/howtos/howto-add-juniper-vmx-16-x-17-x
[ MODULE 2 ]Junos CLI
User Interface Options
42
Saat ini, tersedia dua pilihan user interface (antar muka pengguna) untuk melakukan konfigurasi, monitoring, manajemen, dan troubleshooting perangkat yang menjalankan Junos OS:
Referensi:https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/concept/J-web-overview.html
Junos CLI J-Web
Junos CLI (Command Line Interface) adalah user interface berbasis teks, atau sering disebut command line, sesuai namanya. Junos CLI dapat diakses melalui serial console dan remote protocols seperti telnet dan ssh.
J-Web adalah user interface berbasis graphical user interface (GUI). J-Web dapat diakses melalui protocol HTTP atau HTTPS.
[ LAB 1 ]Basic Configuration
Default Login Access
44
● Login: root tanpa password.● Hostname “Amnesiac”.● Jika login sebagai root user, maka kita akan diarahkan terlebih dahulu ke mode UNIX Shell yang ditandai dengan
tanda %. Sedangkan jika login sebagai non-root user maka akan diarahkan langsung ke operation mode.● Ketik CLI pada UNIX Shell mode untuk masuk ke operation mode
Command Line Interface Mode
45
Configuration ModeDigunakan untuk melakukan semua konfigurasi Junos OS, termasuk interfaces, protocols, users, dan system hardware.
Operation ModeDigunakan untuk menjalankan perintah monitoring dan troubleshooting software, jaringan, dan hardware.
Commands Completion
46
“Space” key completion: autocomplete untuk commands.
“Tab” key completion: autocomplete untuk command dan variable.
Command Correction
47
Jika kita menuliskan command yang salah kemudian melakukan execute dengan “enter” atau melanjutkan command dengan “space”. Junos OS akan otomatis memberi tahu letak kesalahannya dengan karakter ^.
Editing Command Lines
48
← or Ctrl + B: geser pointer satu karakter ke kiri.
→ or Ctrl + F: geser pointer satu karakter ke kanan.
Ctrl + A: pindah pointer ke awal baris.
Ctrl + E: pindah pointer ke akhir baris.
Backspace: menghapus satu karakter di sebelah kiri pointer.
Ctrl + D: menghapus satu karakter di sebelah kanan pointer.
Ctrl + K: menghapus semua karakter di sebelah kanan pointer.
Ctrl + U: menghapus semua karakter.
Junos CLI: Configuration Mode
49
Active Configurationadalah konfigurasi yang
sedang beroperasi / berjalan pada sistem saat
ini. Dan konfigurasi ini dijalankan saat booting.
Candidate Configurationadalah konfigurasi sementara yang mungkin akan menjadi active configuration jika terjadi “commit”.
Lifecycle of a Configuration File
50
Candidate Configuration
1 2 ... 48 49
Active Configuration
(0)
Configure
Rollback n
Commit
{
Configuration Mode Hierarchy
51
edit: berfungsi untuk berpindah ke direktori/hirarki tertentu.up: mundur/kembali ke tingkat hirarki sebelumnya.top: kembali ke hirarki paling atas.
Initial Configuration
52
● Configure root password.● Set Identifier (hostname)● Set Time Parameters (timezone, NTP, current time).● Setup management access (web, ssh, telnet, ftp).
Factory Default Configuration
53
Saat Junos OS masih dalam keadaan factory default, agar bisa commit, kita perlu mengkonfigurasi password untuk user root.
[edit]root# set system root-authentication plain-text-password
Add, Remove, Enable, Disable, Modify the Configuration Statements
54
Gunakan command set untuk mengkonfigurasi parameter atau statement tertentu.
Gunakan command delete untuk menghapus parameter atau statement yang sebelumnya sudah dikonfigurasi.
Gunakan command deactivate untuk menonaktifkan konfigurasi (tanpa menghapus).
Gunakan command activate untuk mengaktifkan konfigurasi yang sebelumnya dinonaktifkan.
Gunakan command rename … to … untuk mengubah.
Gunakan command replace … with … untuk mengubah berdasarkan pattern tertentu.
Gunakan command copy … to … untuk menyalin konfigurasi dari suatu hirarki ke hirarki lain.
Configure Hostname, Timezone, NTP, and Date
55
[edit]root@router# set system host-name router
[edit]root@router# set system time-zone Asia/Jakarta
## configure ntp server[edit]root@router# set system ntp server 162.159.200.123
## set current time based on ntp serverroot@router> set date ntp 162.159.200.123
## configure current time manuallyroot@router> set date 202003021753.00*) date format: YYYYMMDDhhmm.ss
Cek waktu pada device:
root@router> show system uptime Current time: 2020-03-23 17:36:10 WITSystem booted: 2020-03-23 17:31:22 WIT (00:04:48 ago)Protocols started: 2020-03-23 17:32:06 WIT (00:04:04 ago)Last configured: 2020-03-23 17:36:01 WIT (00:00:09 ago) by root5:36PM up 5 mins, 1 user, load averages: 0.71, 0.73, 0.38
Configure Users Access
56
[edit system login]root@router# set user user class super-user
[edit system login]root@router# set user user authentication plain-text-password New password:Retype new password:
User Default Class <class> Login class operator permissions [ clear network reset trace view ] read-only permissions [ view ] super-user permissions [ all ] unauthorized permissions [ none ]
User Authentication
57
Junos OS mendukung 3 sumber untuk autentifikasi user:● Local Password● RADIUS● TACACS+
User Authentication
58
[edit]root@router# show system authentication-order [ radius tacplus password ]
User Authentication
59
[edit]root@router# show system authentication-order [ radius tacplus password ]
User Authentication
60
[edit]root@router# show system authentication-order [ radius tacplus ]
Interface Naming Convention
61
type-FPC/PIC/port
● type: jenis media, baik secara logical mapun physical, contoh:ge -- Gigabit Ethernet,so -- SONET/SDH interface.et -- 100Gb Ethernet (terkadang 10,40,100GbE)
● FPC: Line card slot number.● PIC: Interface card slot number.● port: port number.
*) semua penomoran dimulai dari 0.Referensi:https://www.juniper.net/documentation/en_US/junos/topics/concept/interfaces-interface-naming-overview.html
Interface Hierarchy
62
interfaces { interface-name {
physical-properties; [...]
unit logical-unit { logical-properties;
[...] } } } }
Logical unit = sub interface.Di vendor lain subinterface tidak wajib didefinisikan. Tetapi pada juniper setiap kita melakukan konfigurasi logical properties wajib menentukan logical unit.
Configure IP Addresses
63
[edit]root@router# set interfaces ge-0/0/0 unit 0 family inet address 192.168.0.1/24
[edit]root@router# set interfaces ge-0/0/0 unit 0 family inet6 address 2020::1/64
Logical unit = sub interface.Best pratice-nya: nomor logical-unit perlu disamakan dengan vlan-id pada traffic tagged vlan yang melewati interface tersebut.
Jadi misal jika kita mau memberi tagged vlan-id 100 pada suatu interface, maka nomor logical unit yang disarankan untuk digunakan adalah 100.
Jika untuk untagged vlan seperti kasus kita kali ini, best-practice nya adalah logical unit 0.
Configure Telnet, SSH, FTP
64
[edit]root@router# set system services telnet
[edit]root@router# set system services ssh
[edit]root@router# set system services ftp
[edit]root@router# set system services ssh port <port number>
Management Access Parameter
65
Remote access will be disconnect when idle 60 minutes.root@router> set cli idle-timeout 60
Disable idle-timeout.root@router> set cli idle-timeout 0
Set login banner.root@router# set system login message "Contact Rizqi Aldi to get access."
Enable J-Web
66
[edit]root@Router# set system services web-management http port 8080
*) Akan menjalankan j-web di port 8080.
Viewing and Commit the Candidate Configuration
67
Gunakan command show untuk melihat candidate configuration berdasarkan hirarki tertentu.
Gunakan command commit untuk mengubah candidate configuration menjadi active configuration.
commit ?
Gunakan tanda pipe | untuk memanipulasi command.
Compare Configurations
68
Gunakan command # show | compare untuk melihat perbedaan candidate configuration dengan active configuration.
Gunakan command # show | compare rollback number untuk melihat perbedaan candidate configuration dengan rollback configuration.
Gunakan command # show | compare filename untuk melihat perbedaan candidate configuration dengan konfigurasi pada file.
Gunakan command > show configuration | compare rollback number untuk membandingkan active configuration dengan rollback configuration.
Gunakan command > show configuration | compare filename untuk membandingkan active configuration dengan konfigurasi pada file.
*) Tanda # artinya command dijalankan di configuration mode. *) Tanda > artinya command dijalankan di operation mode.
Commands Manipulation using Pipe Character “|”
69
Kita bisa memanipulasi hasil dari sebuah command dengan karakter pipe “|” dengan dikombinasi dengan regex untuk mencari bagian-bagian tertentu dari hasil suatu command.
.
Custom User Class
70
[edit system login class newbie]root@router# set permissions [ configure interface interface-control view-configuration ]
Configure Private and Exclusive
71
Secara default, ketika ada beberapa user yang memasuki configuration mode dan melakukan konfigurasi secara bersamaan, semua user bisa melakukan konfigurasi dan konfigurasinya akan terakumulasi (tergabung). Dan ketika terjadi commit, maka semua konfigurasi akan dicommit meskipun dari user yang berbeda.
Configure Privatememungkinkan untuk beberapa user bisa melakukan konfigurasi secara bersamaan, tetapi saat commit hanya knfigurasi user terkait yang akan dicommit.
Configure ExclusiveHanya memungkinkan satu user yang melakukan konfigurasi. Saat ada user yang melakukan konfigurasi maka user lain tidak bisa memasuki configuration mode.
Backup and Restore Configuration
72
Gunakan command save untuk menyimpan konfigurasi menjadi sebuah file.
Gunakan command load untuk restore konfigurasi dari sebuah file.
Gunakan command load factory-default untuk reset ke konfigurasi default.
Default lokasi penyimpanan file backup,
untuk root user: berdasarkan directory yang aktif saat itu (UNIX Shell)
untuk non-root user: /var/home/<username>/
*) Command dijalankan di configuration mode.
[ MODULE 3]Routing Fundamental
Routing
74
● Routing merupakan proses penerusan traffic dari satu jaringan ke jaringan lain. Hal ini memungkinkan komputer yang berbeda jaringan bisa saling terhubung.
● Proses routing terjadi pada Layer 3 OSI (Network Layer).
● Proses routing pada Junos OS ditangani oleh Routing Engine (RE)
Routing on Junos OS
75
RoutingProtocol
RoutingTable
Forwarding Table
Junos OS
FTFrames/Packets IN Frames/Packets OUT
Packet Forwarding Engine (PFE)
FTRT
Routing Engine (RE)
Internal Link
Control Plane
Forwarding Plane
Routing on Junos OS
76
Berikut tabel perpindahan informasi routing terhadap routing table.
Proses masuknya informasi routing ke routing table disebut import.
Proses keluarnya informasi routing dari routing table disebut export
Routing TableRouting Protocol Routing Protocol
Forwarding Table
Neighbors Neighbors
Routing Table
77
inet.0: IPv4 unicast routes
inet.1: multicasst forwarding cache
inet.2: multicast BGP route to provide RPF checks
inet.3: MPLS path information
inet.4: Multicast Source Discovery Protocol (MSDP)
inet6.0: IPv6 unicast routes
mpls.0: MPLS next hops
Routing Table
● Junos OS mempunyai beberapa routing table untuk membentuk forwarding table. Primary routing table adalah inet.0. Sisa predefined sebagai berikut.
● Adminstrator bisa membuat custom routing table (disebut routing-instances).
Routing Protocols
78
Static vs Dynamic Route
79
Static Route:● Jalur routing ditentukan secara manual oleh administrator.● Biasanya digunakan pada jaringan kecil dan konfigurasi default gateway.● Jika terjadi perubahan topologi, administrator harus mengkonfigurasi ulang.
Dynamic Route:● Jalur routing ditentukan oleh routing protokol sesuai algoritma yang digunakan.● Biasanya digunakan untuk jaringan besar.● Memudahkan skalabilitas jaringan.● Jika ada perubahan topologi, protokol akan menentukan kembali jalur routingnya.
.
IGP vs EGP
80
Interior Gateway Protocol (IGP):● Digunakan untuk routing di dalam satu autonomous system (AS).● Algoritma routing protokol: link-state dan distance-vector.● Contoh protokol: OSPF, IS-IS, RIP, (cisco: EIGRP).
Exterior Gateway Protocol (EGP):● Digunakan untuk routing antar autonomous system (AS).● Algoritma routing protokol: path-vector.● Contoh protokol: BGP.
Route Preference (Administrative Distance)
81
● Digunakan untuk menentukan active route jika ada lebih dari satu routing table dengan destination network yang sama tetapi routing protocolnya berbeda.
● Angka yang lebih rendah akan lebih diutamakan.
Study Case 1
82
Jika ada routing table seperti berikut ini, mana next-hop yang akan dituju untuk paket dengan destination address 10.10.10.99 ?
10.10.10.0/24 [RIP/100] 01:03:04, metric 2, tag 0 > to 8.8.8.1 via em0.010.10.10.0/24 [OSPF/10] 05:03:04 > to 8.8.8.2 via em0.0
Jawaban: 8.8.8.2routing protocol dengan route preference yang lebih rendah akan diutamakan untuk menjadi active route.
Study Case 2
83
Jika ada routing table seperti berikut ini, mana next-hop yang akan dituju untuk paket dengan destination address 10.10.10.5 ?
10.10.10.0/24 [Static/5] 05:53:01, > to 8.8.8.1 via em0.010.10.10.0/28 [Static/5] 08:26:50, > to 1.1.1.1 via em0.010.10.10.0/30 [Static/5] 19:10:22, > to 8.8.8.254 via em0.0
Jawaban: 1.1.1.1destination address pada routing table yang lebih spesifik akan lebih diutamakan.
Juniper Routing Reference
84
https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/
[ LAB 2]IPv4 and IPv6 Static Routing
Static Route
86
● Jalur routing ditentukan secara manual oleh administrator.● Biasanya digunakan pada jaringan kecil dan konfigurasi default gateway.● Ketika terjadi perubahan topologi jaringan, administrator harus melakukan konfigurasi ulang.
Referensi:https://www.juniper.net/documentation/en_US/junos/topics/topic-map/policy-static-routing.html
Configure IP Addresses
87
## IPv4 Addressing[edit interfaces <interface_name> unit 0]root@router# set family inet address <ipv4_address>
## IPv6 Addressing[edit interfaces <interface_name> unit 0]root@router# set family inet6 address <ipv6_address>
## IPv4 Addressing EUI-64 [edit interfaces <interface_name> unit 0]root@router# set family inet6 address <ipv6_network_address> eui-64
Configure Static Route on R1
88
## IPv4 Static Route[edit routing-options]root@router# set static route <dest_address> next-hop <gateway>
## IPv6 Static Route[edit routing-options] root@router# set rib inet6.0 static route <dest_address> next-hop <gateway>
*) next-hop bisa diisi dengan interface yang mengarah ke gateway jika topologinya point to point, jika bukan maka harus diisi IP address gateway.
Configure Default Route on R3
89
## IPv4 Default Route[edit routing-options]root@router# set static route 0.0.0.0/0 next-hop <gateway>
## IPv6 Default Route[edit routing-options] root@router# set rib inet6.0 static route ::/0 next-hop <gateway>
Troubleshooting: Ping and Traceroute
90
root@router> ping <dest_address>root@router> traceroute <dest_address>
Troubleshooting: Show Route
91
root@router> show route
Referensi: https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-route.html
Troubleshooting: Show Route Forwarding Table
92
root@router> show route forwarding-table
Referensi: https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-route-forwarding-table.html
Why use Loopback Interface?
93
Always Online, loopback interface adalah interface logical yang selalu menyala (uptime).
Hal ini biasa dimanfaatkan ketika kita menginginkan access management, kita bisa remote perangkat dengan ip loopbacknya.Selain itu, beberapa dynamic routing (link-state) membutuhkan router identifier, penentuan router identifier salah satunya dari interface loopback. Interface loopback digunakan agar router identifier lebih konsisten tidak berubah ubah.
Why use Dynamic Routing?
94
1. Low Administrative, penentuan jalur routing dilakukan oleh sistem, administrator hanya perlu mengkonfigurasi neighbor networks.
2. High Scalability, ketika terjadi perluasan jaringan, kita hanya perlu mengkonfigurasi routing di router pada baru tersebut dan di router perantaranya.
3. High Availability, ketika ada 1 link yang gagal, otomatis beralih ke link lain.
Shortest-Path-First Algorithm Workflow
95
[ LAB 3 ]IPv4 Dynamic Routing(Basic OSPFv2 Routing)
Open Shortest Path First (OSPF)
97
● Merupakan routing protocol IGP (Interior Gateway Protocol).● Menggunakan informasi link-state dengan algoritma shortest-path-first (SPF) juga disebut algoritma Dijkstra untuk
menentukan keputusan routing.● Menggunakan sistem area untuk memisahkan routing database, setiap router harus terhubung ke backbone area
(area 0).● Menggunakan router ID untuk identitas router.● Menggunakan hello packet untuk mendeteksi neighbor.● Hello interval: 10 detik untuk multiple access networks, 30 detik untuk non-broadcast multiple access (NBMA)
network.● Dead interval: 40 detik untuk multiple access networks, 120 detik untuk NBMA network.● Multicast address 224.0.0.5 untuk semua router dan 224.0.0.6 untuk DR/BDR (Designated Router and Backup
Designated Router).● Protocol OSPF(86).
Referensi: https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/config-guide-ospf.html
Configure Router ID
98
● Router ID adalah angka yang digunakan pada protocol OSPF dan BGP untuk dijadikan sebagai identitas router.● Router ID tidak wajib dikonfigurasi, karena router akan otomatis menentukan router ID berdasarkan IP loopback● Jika tidak ada IP Loopback, maka dipilih IP Address pada interface yang pertama kali uptime (online).● Tetapi Juniper menyarankan untuk mengkonfigurasi router ID.
[edit]root@router# set routing-options router-id <identifier>
Configure OSPFv2
99
[edit protocols ospf]root@router# set area <area_id> interface <interface_name>
## konfigurasi passive interface supaya network tersebut masuk ke ospf advertise tanpa pembentukan adjacency.[edit protocols ospf]root@router# set area <area_id> interface <interface_name> passive
Configure OSPFv2 Parameter
100
[edit protocols ospf]root@router# set area <area_id> interface <interface_name> ?
Troubleshooting
101
root@router> show route protocol ospf
root@router> show ospf ? Possible completions: backup Show OSPF backup information context-identifier Show OSPF context identifier information database Show OSPF link-state database interface Show OSPF interface status information io-statistics Show OSPF I/O statistics log Show shortest-path-first calculations from OSPF log neighbor Show OSPF neighbor status information overview Show overview of OSPF information route Show OSPF routing table statistics Show OSPF statistics
[ LAB 4 ]IPv4 Dynamic Routing(Basic IS-IS Routing)
Intermediate System to Intermediate System (IS-IS)
103
● Merupakan routing protocol IGP (Interior Gateway Protocol)● Menggunakan informasi link-state dengan algoritma shortest-path-first (SPF) untuk menentukan keputusan
routing.● Menggunakan sistem area, tetapi tidak area khusus backbone, serta tidak ada virtual link.● Menggunakan ISO Network Addresses untuk identitas router yang disebut network service access point (NSAP).● Menggunakan hello packet (IIH) untuk mendeteksi neighbors.● hello-interval: 3 detik untuk router designated intermediate system (DIS), 9 detik untuk router non-DIS.● hold-interval: 9 detik untuk router DIS, 27 detik untuk router non-DIS.● Designated router adalah router dengan priority tertinggi (default priority = 64). Jika prioritynya sama, maka
ditentukan berdasarkan mac address tertinggi.● IS-IS bekerja pada Layer 2 dengan menggunakan multicast 01:80:C2:00:00:14 untuk IS-IS level 1 dan
01:80:C2:00:00:15 untuk IS-IS level 2.
Referensi: https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/config-guide-routing-is-is.html
ISO/NET Address
104
Contoh ISO Address (NET Address): 49.0001.1921.6800.1001.0049—Authority and format indicator (AFI)0001—Area ID1921.6800.1001— System identifier00—Selector
How to configure ISO address on Junos OS?
[edit interfaces <interface_name> unit <logical_unit>]
user@router# set family iso address <iso_address>
Enable IS-IS if your router is in secure context.
105
[edit security forwarding-options family iso]
user@router# set mode packet-based
Create and set loopback address and NET address
106
[edit interfaces lo0 unit 0]
user@router# set family inet address <ipv4_address>
user@router# set family iso address <iso/net_address>
## aktifkan family iso di interface yang mengarah ke neighbor
[edit interfaces <interface_name> unit <logical_unit>]
user@router# set family iso
Enable IS-IS on the interfaces
107
[edit protocols isis]
user@router# set interface <interface_name>
Troubleshooting
108
user@router> show route protocol isis
user@router> show isis ?
Possible completions: adjacency Show IS-IS adjacency database authentication Show IS-IS authentication information backup Show IS-IS backup information context-identifier Show IS-IS context-identifier information database Show IS-IS link-state database hostname Show IS-IS hostname database interface Show IS-IS interface information overview Show overview of IS-IS information route Show IS-IS routing table spf Show shortest-path-first calculations information statistics Show IS-IS performance statistics
[ MODULE 4]Routing Policy
Routing Policy
110
Routing Policy berfungsi untuk:
Mengatur dan/atau memodifikasi alur perpindahan informasi routing yang masuk ke dan keluar dari routing table.
Routing TableRouting Protocol Routing Protocol
Forwarding Table
Neighbors Neighbors
Import and Export Policy
111
Import policy mengatur alur informasi routing masuk ke routing table.
Export policy mengutur alur informasi routing yang keluar dari routing table.
Routing TableRouting Protocol Routing Protocol
Forwarding Table
Neighbors Neighbors
Default Routing Policy
112
Protocol Import Policy Export Policy
OSPF Semua informasi routing OSPF diterima dan diimport ke routing table.
Tolak semua proses export kecuali untuk protocol itu sendiri.
IS-IS Semua informasi routing IS-IS diterima dan diimport ke routing table.
Tolak semua proses export kecuali untuk protocol itu sendiri.
RIPSemua informasi RIP routing dari neighbors yang eksplisit diterima dan diimport ke routing table.
Tolak semua proses export.
BGP Semua informasi routing BGP diterima dan diimport ke routing table.
Izinkan export untuk semua BGP routing yang aktif.
Routing Policy Hierarchy
113
● Routing policy menggunakan prinsip mirip if else statement. Informasi routing akan dicocokan routing parameternya. Mulai dari term pertama, apakah ada kecocokan dengan kriteria yang didefinisikan di form, jika cocok maka akan diputuskan sebuah atau beberapa action yang telah didefinisikan pada then.
● Jika tidak cocok paket ada periksa dengan term berikutnya, jika tidak ada yang cocok maka paket akan diabaikan.
policy-name
1st term from thenmatch
not match
2nd term from thenmatch
not match
default term default-policy
Match From
114
● Prefix (route-filter or prefix-list).
● Protocol (Static, OSPF, BGP, dll).
● Routing protocol attributes: (OSPF Area ID, AS Path, dsb).
● Next hop.
Route Filter Parameter
115
from route-filter 192.168.0.0/16syarat match:1. menjadi bagian network tersebut2. prefixnya sesuai ketentuan (red = not-match, green = match)
exact:192.168.0.0/16, 192.168.0.0/19, 192.168.2.0/24, 192.169.0.0/16
orlonger:192.168.0.0/16, 192.168.0.0/25, 192.168.2.0/24, 192.169.0.0/16
longer:192.168.0.0/16, 192.168.2.0/24, 192.168.0.0/29 192.169.0.0/16
upto /26:192.168.0.0/16, 192.168.255.0/24, 192.168.0.0/29, 192.169.0.0/16
prefix-lenght-range /24-/27: 192.168.0.0/16, 192.168.0.0/24, 192.168.210.0/27, 192.169.0.0/16
Action
116
Terminating Actions:● accept ● reject
Flow control:● next term● next policy
Modifier:● community (add, delete, set)● preference
[ LAB 5 ]IPv4 Dynamic Routing(Basic RIP Routing)
Routing Information Protocol (RIP)
118
● Merupakan routing protocol IGP (Interior Gateway Protocol)● Menggunakan algoritma distance-vector (jumlah next-hop) untuk menentukan keputusan routing.● Tidak ada pembagian area.● Maksimal 15 next-hop.● Update interval: 30 detik.● Multicast address: 224.0.0.9 protocol UDP(17) port 560.
Referensi: https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/config-guide-routing-rip.html
Configure RIP
119
## konfigurasi protocol rip [edit]root@router# set protocols rip group <group_name> neighbor <interface_name>
## secara default Junos OS tidak meng-advertise routing table protocol rip.## sehingga kita harus membuat policy untuk meredistribute protocol rip[edit policy-options policy-statement <policy_name> term <term_name>]user@router# set from protocol [ direct rip ]user@router# set then accept
## apply policy tersebut ke protocol rip[edit]user@router# set protocols rip group <group_name> export <policy_name>
Troubleshooting
120
root@router> show route protocol rip
root@router> show rip ?
[ LAB 6 ]Routing Policy(Route Redistribution and Routing Policy Example)
Redistribute IS-IS to OSPF
122
## buat policy-statemet untuk redistribute protocol is-is ke ospf[edit policy-options policy-statement <policy_name> term <term_name>]user@router# set from protocol [ isis ]user@router# set then accept
## kemudian apply policy tersebut ke protocol ospf[edit]user@router# set protocols ospf export <policy_name>
Redistribute OSPF to IS-IS
123
## buat policy-statemet untuk redistribute protocol rip ke is-is[edit policy-options policy-statement <policy_name> term <term_name>]user@router# set from protocol [ ospf ]user@router# set then accept
## kemudian apply policy tersebut ke protocol is-is.[edit]user@router# set protocols is-is export <policy_name>
[ MODULE 5]Firewall Filters
What is Firewall Filters?
125
● Firewall filters merupakan fitur yang memungkinkan router untuk mengontrol traffic yang masuk dan/atau keluar.
● Firewall filters biasanya digunakan untuk melindungi perangkat dari serangan dengan cara membatasi akses layanan tertentu.
● Firewall filters bekerja pada layer 3 dan 4 model OSI. Dia akan membandingkan tcp dan ip header dengan rule firewall yang telah dikonfigurasikan, kemudian memberi tindakan jika paketnya cocok dengan rule firewall.
Stateless Firewall Filters
126
Pada dasarnya firewall filters bersifat stateless. Maksudnya firewall filter akan mengecek paket yang lewat satu per satu. Misalnya ketika kita mengirim file, paket kita dibagi menjadi 10 paket. Maka stateless firewall filter akan melakukan pengecekan di setiap paket artinya ada 10x.Pengecekan di sini artinya paket
Stateful Firewall Filters
127
Stateful firewall filter akan mengecek connection-state setiap paket sebelum memeriksanya.
Misalnya ketika kita mentransfer sebuah file, paket kita dibagi menjadi 10 paket. Stateful firewall filter hanya akan mengecek paket pertama (initial connection) atau paket yang connection-statenya new. Dan paket berikutnya yang statusnya established atau related, akan otomatis mengikuti action yang diberikan firewall filter ke paket pertama tadi.
Firewall Filters Hierarchy
128
● Firewall filter menggunakan prinsip mirip if else statement. Paket yang masuk akan dicocokan L3 dan L4 headernya dengan term pertama, apakah ada kecocokan dengan kriteria yang didefinisikan di form, jika cocok maka akan diputuskan sebuah atau beberapa action yang telah didefinisikan pada then.
● Jika tidak cocok paket ada periksa dengan term berikutnya, jika tidak ada yang cocok maka paket akan diabaikan.
filter-name
1st term from thenmatch
not match
2nd term from thenmatch
not match
default term discard
Firewall Filter Actions
129
Terminating ActionAction untuk mengakhiri proses pencocokan paket terhadap firewall.
Flow ControlAction untuk meneruskan paket ke term berikutnya setelah melakukan action.
Action ModifiersAction untuk kebutuhan monitoring. Dapat dikombinasikan dengan satu atau lebih terminating action atau flow control. Jika tidak ada terminating / flow control action, paket akan diterima (accepted).
Action: Terminating
130
accept: paket diterima.
discard: paket dibuang tanpa pemberitahuan ICMP message.
reject: paket ditolak dengan pemberitahuan dengan mengirimkan ICMP message kepada pengirim.
tcp-reset: sistem akan membalas dengan TCP reset, tetapi balasan itu tidak akan dikirim jika bukan paket TCP.
Action: Flow Control
131
next-term: meneruskan paket ke term berikutnya.
Action: Modifierscount, log, syslog: untuk merekam/menyimpan informasi tentang paket.
forwarding-class and loss-priority: untuk mendefinisikan class of service (CoS).
policers: paket akan ditangani traffic policer.
Firewall Filter Reference
132
https://www.juniper.net/documentation/en_US/junos/topics/concept/firewall-filter-stateless-overview.html
[ LAB 7 ]Basic Firewall Filters
Tasks
134
Aktifkan remote access ssh pada R1. Kemudian buat firewall filter pada R1 dengan ketentuan:
1. Reject akses ping ke R1 (1.1.1.1) dari network 23.23.23.0/242. Discard akses ssh ke R1 dari semua IP, kecuali network 23.23.23.0/24 dan 14.14.14.0/24.3. Masukan ke dalam log setiap ada percobaan akses ssh.
Basic Firewall Filters
135
1. Reject akses ping ke R1 dari network 23.23.23.0/24
## buat firewall filter [edit firewall filter ping-in term 1]root@R1# set from source-address 23.23.23.0/24 root@R1# set from destination-address 1.1.1.1 root@R1# set from protocol icmproot@R1# set then reject
[edit firewall filter ping-in term 2]root@R1# set then accept
## apply firewall filter ke interface em0 filter input[edit]root@R1# set interfaces lo0 unit 0 family inet filter input ping-in
Basic Firewall Filters
136
1. Reject akses ping ke R1 dari network 23.23.23.0/24
Pengujian
Prefix List
137
2. Discard akses ssh ke R1 dari semua IP, kecuali network 23.23.23.0/24 dan 14.14.14.0/24.
## buat prefix-list untuk trusted address yang nantinya akan diaccept.[edit]root@R1# set policy-options prefix-list trusted-ssh 23.23.23.0/24 root@R1# set policy-options prefix-list trusted-ssh 14.14.14.0/24
## buat firewall filter [edit firewall filter ssh-in term 1]root@R1# set from source-address 0.0.0.0/0root@R1# set from source-prefix-list trusted-ssh exceptroot@R1# set from destination-address 1.1.1.1/32 root@R1# set from protocol tcp port 22 root@R1# set then discard
[edit firewall filter ssh-in term 1]root@R1# set then accept
## apply firewall filter ke interface em0 filter input[edit]root@R1# set interfaces lo0 unit 0 family inet filter input ssh-in
Prefix List
138
2. Discard akses ssh ke R1 dari semua IP, kecuali network 23.23.23.0/24 dan 14.14.14.0/24.
Pengujian
Firewall Log
139
3. Masukan ke dalam log setiap ada percobaan akses ssh.
## edit filter ssh-in buat firewall filter [edit firewall filter ssh-in term 1]root@R1# set then log
[ MODULE 6]Monitoring and Maintenance
Monitor Interface
141
root@router> monitor interface <interface_name>Menampilkan jumlah paket dan ukuran paket yang melewati interface tersebut.
Monitor Interface
142
root@router> monitor interface trafficMenampilakan jumlah paket yang lewat di semua interface.
Monitor Traffic
143
● Menampilkan detail traffic baik yang berasal maupun yang menuju perangkat.● monitor traffic sama dengan tcpdump di linux (packet capturing).
root@router> monitor traffic <option>
Monitor Traffic
144
root@router> monitor traffic ? Possible completions: <[Enter]> Execute this command absolute-sequence Display absolute TCP sequence numbers brief Display brief output count Number of packets to receive (0..1000000 packets) detail Display detailed output extensive Display extensive output interface Name of interface layer2-headers Display link-level header on each dump line matching Expression for headers of receive packets to match no-domain-names Don't display domain portion of hostnames no-promiscuous Don't put interface into promiscuous mode no-resolve Don't attempt to print addresses symbolically no-timestamp Don't print timestamp on each dump line print-ascii Display packets in ASCII when displaying in hexadecimal format print-hex Display packets in hexadecimal format resolve-timeout Period of time to wait for each name resolution (seconds) size Amount of each packet to receive (bytes) | Pipe through a command
SNMP
145
SNMP merupakan protokol yang memberikan informasi terkait kondisi suatu perangkat, informasi ini digunakan untuk monitoring perangkat tersebut.Informasi tersebut bisa berupa data statistik resources hardware, statistik traffic, dsb.
Network Management System (NMS) Perangkat Jaringan
SNMP AgentSNMP Manager
SNMP Basic Configuration
146
[edit snmp]description "Junos Router";location "Room 5, Rack 10B";contact "[email protected]";community public { authorization read-only; clients { 192.168.1.0/24; 10.1.1.1/24; }}trap-group public-trap { version v2; categories { chassis; link; routing; } targets { 192.168.1.2; }}
1. Informasi kontak.
2. Mendefinisikan community (minimal configuration).
clients: adalah host (SNMP Manager) yang diizinkan untuk melakukan request snmp: get, getbulk, getnext.
3. Melakukan push informasi (notifications) kepada targets (SNMP Manager).
Archiving Configuration Files
147
Menyimpan file konfigurasi di perangkat lain
[edit system archival]configuration { transfer-on-commit; archive-sites { "ftp://[email protected]:/backup/config" password "$9$s.2JGjHqfQF"; ## SECRET-DATA "scp://[email protected]:/home/user/config" password "$9$0unzBhSlKMXNd"; ## SECRET-DATA }}
metode pengarsipan konfigurasi dilakukan:transfer-on-commit // archiving dilakukan ketika terjadi commit.transfer-interval // archiving dilakukan setiap interval waktu tertentu (15-2880 menit).
archive-sites target perangkat untuk menyimpan file backup (archive), archiving bisa dilakukan menggunakan ssh dan ftp..
Delete Temporary Files.
148
# menampilkan temporary files yang akan dihapus.root@vMX> request system storage cleanup dry-run
# menghapus temporary files.root@vMX> request system storage cleanup
System Clean-up
149
# menghapus semua konfigurasi, log files dan menghapus keys values yang tersimpan. root@router> request system zeroize
# menghapus semua konfigurasi dan menghapus keys values yang tersimpan, serta menghapus storage yang terhubung ke perangkat.root@router> request system zeroize media
Upgrade or Downgrade the Junos OS
150
Jika perlu, download file image untuk upgrade/downgrade ke perangkat junos kita:root@router> file copy <source-url-to-image> <destination-path># Contoh:# root@router> file copy scp://10.1.1.2:/img/junos-vmx-x86-64-17.2R1.13.tgz /tmp/.
Untuk proses upgradenya gunakan command.root@router> request system software add <path-to-image>
<path-to-image> bisa berupa path yang mengarah ke file image yang ada di local storage, bisa juga mengarah ke remote storage (ftp:// or scp://).# Contoh:# root@router> request system software add /tmp/junos-vmx-x86-64-17.2R1.13.tgz
Kemudian reboot.
Password Recovery
151
1. Reboot Junos OS.2. Saat booting, masuk ke router’s bootstrap loader mode dengan cara menekan tombol <space> pada saat muncul
line:Hit [Enter] to boot immediately, or space bar for command prompt.
https://www.juniper.net/documentation/en_US/junos/topics/topic-map/recovering-root-password.html
Password Recovery
152
3. Boot ke single-user mode, dengan menjalankan command boot -s
4. Masuk ke recovery mode.
Password Recovery
153
5. Setelah CLI muncul, masuk ke configuration mode seperti biasa lalu lakukan reset password dengan perintah yang sama seperti mensetting root password.
root> configure [edit]root# set system root-authentication plain-text-password New Password:Retype New Password:
root# commit
6. Reboot dengan cara exit.
[edit]root# exitExiting configuration mode
root> exitReboot the system? [y/n] y
Next Step to Go?
Learning Take Certification
155
Tips for Passing the Juniper Certification
1. Know: Study the materials.● Junos Genius e-Learning● The Documentation
2. Familiar: Practice many Labs.● Junos Olive or Virtual Image on GNS3/EVE-NG● Juniper vLabs
156
Junos Genius Open Learning: https://www.junosgenius.net
J-Net Community (Official): https://forums.juniper.net/
157
Referensi:https://www.juniper.net/documentationhttps://www.junosgenius.net