Start From Here...

“Ilmu pengetahuan semakin banyak melahirkan keajaiban. Dongengan leluhur sampai malu tersipu. Tak perlu lagi orang bertapa bertahun untuk dapat bicara dengan seseorang di seberang lautan. Orang Jerman telah memasang kawat laut dari Inggris sampai India! Dan kawat semacam itu membiak berjuluran ke seluruh permukaan bumi. Seluruh dunia kini dapat mengawasi tingkah-laku seseorang. Dan orang dapat mengawasi tingkah-laku seluruh dunia" (Pramoedya Ananta Toer: Bumi Manusia, hal. 316, 1980).

Minggu, 18 Desember 2011

Setting ASA

How to configure LDAP access for an ASA 5505
Assumptions:

ASDM is already installed
You know the password to the ASA
Launch ASDM and select Configuration from the top bar. On the left hand bard, select Remote Access VPN. You then should see a heading that says AAA/Local Users. After clicking the + sign, select AAA Server Groups. You should now see an add button on the right hand side of the screen. Click add and make up a name for the server group. This can be anything. Also set the settings below.

Reactivation Mode: Depletion
Dead Time: 10 Minutes (this was the default setting)
Max Failed Attempts: 3 (this was the default setting)

Click Ok. You should now see that in the AAA Server Group box at the top of the page. Highlight the newly created group and click add button beside the servers in the selected group box. This is what it should be set to:

Interface Name: Inside
Servername or IP Address: Your active directory server IP
Timeout: 10 seconds
Enable LDAP over SSL: Unchecked (this is up to your current setup)
Server Port: 389
Server Type: Microsoft
Base DN: dc=example,dc=com (see note below on how to find this and your user name)
Naming Attribute(s): sAMAccountName
Login DN: CN=John Doe,OU=Custom Users,DC=example,dc=com
Login Password: Type the password to the user
LDAP Attribute Map: None

Everything else was just left as default. Click ok, then click apply. Highlight the server IP in the box and click the test button. You will see a box pop up. You will want to choose the Authentication button and type your active directory username and password. If everything is configured correctly, you should get a message saying "Authentication test to host ip is successful."

***Note:*** Now I had some problems when configuring this. The first problem I felt deserved its own post. It's here.

The second problem was getting the right syntax for the LDAP part of it. You can refer to my post that talks about dsquery more in depth. It could help you. It is here. The two commands that will help you the most are:

dsquery user (This lists every single user. I only have maybe 20 users so if you have alot more then this, you can use some more specific switches to narrow it down).

dsquery computer (This will show you all the computers. Same possible problem with dsquery user. The big thing here is all you need is the dc part of the results).

Eight easy steps to Cisco ASA remote access setup
By Lori Hyde
March 19, 2009, 12:28 PM PDT
Takeaway: Lori Hyde shows you a simple eight-step process to setting up remote access for users with the Cisco ASA.

There are eight basic steps in setting up remote access for users with the Cisco ASA.

Step 1. Configure an Identity Certificate
Step 2. Upload the SSL VPN Client Image to the ASA
Step 3. Enable AnyConnect VPN Access
Step 4. Create a Group Policy
Step 5. Configure Access List Bypass
Step 6. Create a Connection Profile and Tunnel Group
Step 7. Configure NAT Exemption
Step 8. Configure User Accounts
So let’s get started!

Step 1. Configure an Identity Certificate

Here I am creating a general purpose, self-signed, identity certificate named sslvpnkey and applying that certificate to the “outside” interface. You can purchase a certificate through a vendor such as Verisign, if you choose.

corpasa(config)#crypto key generate rsa label sslvpnkey
corpasa(config)#crypto ca trustpoint localtrust
corpasa(config-ca-trustpoint)#enrollment self
corpasa(config-ca-trustpoint)#fqdn sslvpn. mycompany.com
corpasa(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com
corpasa(config-ca-trustpoint)#keypair sslvpnkey
corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm
corpasa(config)# ssl trust-point localtrust outside
Step 2. Upload the SSL VPN Client Image to the ASA

You can obtain the client image at Cisco.com. As you choose which image to download to your tftp server, remember that you will need a separate image for each OS that your users have. After you select and download your client software, you can tftp it to your ASA.

corpasa(config)#copy tftp://192.168.81.50/anyconnect-win-2.0.0343-k9.pkg flash
After the file has been uploaded to the ASA, configure this file to be used for webvpn sessions. Note that if you have more than one client, configure the most commonly used client to have the highest priority. In this case, we’re using only one client and giving it a priority of 1.

corpasa(config)#webvpn
corpasa(config-webvpn)#svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1
Step 3. Enable AnyConnect VPN Access

corpasa(config)#webvpn
corpasa(config-webvpn)#enable outside
corpasa(config-webvpn)#svc enable
Step 4. Create a Group Policy

Group Policies are used to specify the parameters that are applied to clients when they connect. In this case, we’ll create a group policy named SSLClient. The remote access clients will need to be assigned an IP address during login, so we’ll also set up a DHCP pool for them, but you could also use a DHCP server if you have one.

corpasa(config)#ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0
corpasa(config)#group-policy SSLCLient internal
corpasa(config)#group-policy SSLCLient attributes
corpasa(config-group-policy)#dns-server value 192.168.200.5
corpasa(config-group-policy)#vpn-tunnel-protocol svc
corpasa(config-group-policy)#default-domain value mysite.com
corpasa(config-group-policy)#address-pools value SSLClientPool
Step 5. Configure Access List ByPass

By using the sysopt connect command we tell the ASA to allow the SSL/IPsec clients to bypass the interface access lists.

corpasa(config)#sysopt connection permit-vpn
Step 6. Create a Connection Profile and Tunnel Group

As remote access clients connect to the ASA, they connect to a connection profile, which is also known as a tunnel group. We’ll use this tunnel group to define the specific connection parameters we want them to use. In our case, we’re configuring these remote access clients to use the Cisco AnyConnect SSL client, but you can also configure the tunnel groups to use IPsec, L2L, etc.

First, let’s create the tunnel group SSL Client:

corpasa(config)#tunnel-group SSLClient type remote-access
Next, we’ll assign the specific attributes:

corpasa(config)#tunnel-group SSLClient general-attributes
corpasa(config-tunnel-general)#default-group-policy SSLCLient
corpasa(config-tunnel-general)#tunnel-group SSLClient webvpn-attributes
corpasa(config-tunnel-webvpn)#group-alias MY_RA enable
corpasa(config-tunnel-webvpn)#webvpn
corpasa(config-webvpn)#tunnel-group-list enable
Note that the alias MY_RA is the group that your users will see when they are prompted for login authentication.

Step 7. Configure NAT Exemption

Now we need to tell the ASA not to NAT the traffic between the remote access clients and the internal network they will be accessing. First we’ll create an access list that defines the traffic, and then we’ll apply this list to the nat statement for our interface.

corpasa(config)#access-list no_nat extended permit
ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0
corpasa(config)#nat (inside) 0 access-list no_nat
Step 8. Configure User Accounts

Now we’re ready for some user accounts. Here we’ll create a user and assign this user to our remote access vpn.

corpasa(config)#username hyde password l3tm3in
corpasa(config)#username hyde attributes
corpasa(config-username)#service-type remote-access
Finishing up

Don’t forget to save your configuration to memory.

corpasa#write memory
Verify your configuration by establishing a remote access session and use the following show command to view session details.

corpasa #show vpn-sessiondb svc
This guide should help you to get your remote access users up and running in no time. If you run into any difficulties, use the debug webvpn commands to diagnose the problem.

Good luck and have fun out there!

Setting ASA

Kamis, 15 Desember 2011

To Be Expert Camp (Day 9)

Switching

Spanning Tree Protocol

Apa pengertian dari STP itu?,STP berfungsi sebagai protocol untuk pengaturan koneksi dengan menggunakan algoritma Spanning tree. Dengan kata lain Spanning Tree Protokol merupakan sebuah protokol yang berada di jaringan switch yang memungkinkan semua perangkat untuk berkomunikasi antara satu sama lain juga untuk redundant link dalam jaringan. Spanning Tree Protokol akan memaksa jalur data redundan ke standby state , sehingga jika salah satu segmen jaringan di STP tidak bisa diakses atau jika terjadi perubahan biaya STP algoritma spanning tree akan mengkonfigurasi ulang spanning tree topologi dan membangun kembali link dengan mengaktifkan standby path.

Switch adalah perangkat jaringan yang saluran data masuknya dari berbagai input port ke output port tertentu dari tujuan. Switching beroperasi pada lapisan data link dari model OSI.

Cara Kerja Spanning Tree :

STP menggunakan 3 kriteria untuk meletakkan port pada status forwarding :

• STP memilih root switch, dalam mode ini menempatkan semua port aktif pada root switch dalam status Forwarding.

• Semua switch non-root menentukan salah satu port-nya sebagai port yang memiliki ongkos (cost) paling kecil untuk mencapai root switch. Port tersebut yang kemudian disebut sebagai root port (RP) switch tersebut akan ditempatkan pada status forwarding oleh STP.

• Dalam satu segment Ethernet yang sama mungkin saja ter-attach lebih dari satu switch. Diantara switch-switch tersebut, switch dengan cost paling sedikit untuk mencapai root switch disebut designated bridge, port milik designated bridge yang terhubung dengan segment tadi dinamakan designated port (DP). Designated port juga berada dalam status forwarding.

Semua port/interface selain port/interface diatas berada dalam status Blocking.

STP Bridge ID dan Hello BPDU

STP bridge ID (BID) adalah angka 8-byte yang unik untuk setiap switch. Bridge ID terdiri dari 2-byte priority dan 6-byte berikutnya adalah system ID, dimana system ID berdasarkan pada MAC address bawaan tiap switch. Karena menggunakan MAC address bawaan ini dapat dipastikan tiap switch akan memiliki Bridge ID yang unik. STP mendefinisikan pesan yang disebut bridge protocol data units (BPDU), yang digunakan oleh switch untuk bertukar informasi satu sama lain. Pesan paling utama adalah Hello BPDU, berisi Bridge ID dari switch pengirim.

Pemilihan Root Switch

Switch-switch akan memilih root switch berdasarkan Bridge ID dalam BPDU. Root switch adalah switch dengan Bridge ID paling rendah. Kita ketahui bahwa 2-byte pertama dari switch digunakan untuk priority, karena itu switch dengan priority paling rendah akan terpilih menjadi root switch. Namun kadangkala, ada beberapa switch yang memiliki nilai priority yang sama, untuk hal ini maka pemilihan root switch akan ditentukan berdasarkan 6-byte System ID berikutnya yang berbasis pada MAC address, karena itu switch dengan bagian MAC address paling rendah akan terpilih sebagai root switch. Menentukan Root Port dari setiap switch Selanjutnya dalam proses STP adalah, setiap non-root switch akan menentukan salah satu port-nya sebagai satu-satunya root port miliknya. Root port dari sebuah switch adalah port dimana dengan melalui port tersebut switch bisa mencapai root switch dengan cost paling kecil.

Kelebihan STP

- Menghindari Trafic Bandwith yang tinggi dengan mesegmentasi jalur akses melalui switch

- Menyediakan Backup / standby path utk mencegah loop dan switch yang failed/gagal

- Mencegah looping yang tidak diinginkan pada jaringan yang memiliki beberapa jalur menuju ke satu tujuan dari satu host.

Loop terjadi bila ada route/jalur alternative diantara host-host. Untuk menyiapkan jalur back up, STP membuat status jalur back up menjadi stand by atau diblock. STP hanya membolehkan satu jalur yang active (fungsi pencegahan loop) diantara dua host namun menyiapkan jalur back up bila jalur utama terputus.

Bila “cost” STP berubah atau ada jalur yang terputus, algoritma spanning tree merubah topology spanning tree dan mengaktifkan jalur yang sebelumnya stand by.

Tanpa spanning tree pun sebenarnya memungkinkan koneksi antara dua host melewati beberapa jalur sekaligus namun dapat juga membuat looping yang tidak pernah akan selesai di dalam jaringan anda. Yang pasti akan menghabiskan kapasitas jalur yang ada hanya untuk melewatkan packet data yang sama secara berulang dan berlipat ganda.

Tanpa Spanning tree Protocol (STP), frame akan melakukan loop terus menerus dalam suatu jaringan dengan link fisik jaringan yang redundant. Untuk mencegah looping frames, STP memblok beberapa port agar tidak melakukan forwarding frame sehingga hanya ada satu jalur saja yang aktif diantara beberapa pasang jalur yang terhubung ke titik yang sama pada saat itu.

Kita lihat SW1 Trunk

Kita lihat SW2 Trunk

Kita Bisa lihat SW1 terpilih sebagai root

dan SW2 tidak menjadi root

Kita menginginkan SW2 menjadi root untuk vlan 1 kita cukup memasukkan perintah berikut :

SW1 sudah tidak menjadi root lagi

Terlihat SW2 Sudah menjadi ROOT

Etherchannel

EtherChannel bundles individual Ethernet links kedalam single logical link dan memberikan bandwidth sampai 1600 Mbps (Fast EtherChannel, full duplex) atau 16 Gbps (Gigabit EtherChannel) diantara 2 cisco catalyst switches. Semua interfaces didalam join EtherChannel harus sama speed and duplex, and kedua switch tersebut di dalam channel harus di konfigur sebagai Layer 2 atau Layer 3 interface.

Ada 2 protocol dalam link aggregation:

Cisco’s proprietary Port Aggregation Protocol (PAgP).
IEEE standard Link Aggregation Protocol (LACP)

dan Static mode on

Berikut table yang bisa kita pahami untuk penggunaan mode LACP dan PAGP :

ERHERCHANNEL LAYER 3

Jika sebelumnya ethercahnnel digunakan sebagai layer 2 Trunk, maka sekarang kita konfigurasi S1 dan SW2 link menggunakan port-channel Layer 3 dengan menggunakan ip address.

Berikut Confignya :

Interface di F0/0 dan F0/1 di SW1

Cek Etherchannel Summarynya

SW2 Port-Channel 1
sudah pakai ip (Etherchannel layer 3)

Sudah succes ping ke port channel 1 di SW1, nice!

SPANNING TREE PORTFAST

Spanning Tree portfast berguna untuk membypass state spanning tree pada port. Seperti yang diketahui statenya adalah sbb:

1. Disable (Administratively shut down by admin)
2. Blocking - Menerima BPDU tapi tidak memforwarding data
3. Listening - Menerima BPDU, menerima arp tapi belum store arp tersebut tapi belum dapat meneruskan data
4. Learning - Menerima BPDU, menerima arp dan menstore arp ke cam table masing - masing vlan namun belum juga meneruskan data
5.Forwarding - Sudah bisa meneruskan data

Spanning Tree harus distate di port yang mengarah ke user saja, jangan pernah menstate port ini ke switch lainya karena dapat dipastikan bisa menyebabkan looping di network nantinya.

SPANNING TREE BLOKPORT ELECTION

Kenapa bisa menjadi Block port?, pertama kita harus mengetahui dahulu election root dan urutannya:

1. Port yang memiliki Bid lebih rendah akan menjadi root
2. Port - port yang ada di root pasti dalam mode forwarding (Designated port)
3. Port - port yang directly langsung ke root disebut root port.
4. Port yang datang dari cost yang lebih kecil lebih dipilih (Fastethernet 10, gigabiteth 1 dsb)
5. Port yang telah datang dari switich dengan bid yang sama (pasti karena datang dari switch yg sama) dan port yang datang dari nilain port yang lebih rendah akan dipilih.

oleh karena itu bpdu yang datang dari port yang paling besar akan di blok. yaitu f0/2 di blk mode! nice ya? hehe

Selasa, 13 Desember 2011

To Be Expert Camp (Day 8)

Kali ini Saya membuat sendiri videonya untuk ipv6 karena saya pikir banyak sekali pertanyaan dari penggunaan ipv6 ini.

Menggunakan Video mungkin akan lebih dicerna, Karena besarnya video ini saya akan compress menjadi lebih kecil agar lebih mudah di upload.

Penjelasan disini mencakup penggunaan ipv6 mulai dari :

1.Auto Config IPv6
2.Static IP IPv6
3.Static Route IPv6
3.Dynamic Route :
- RIP-ng = ipv6 RIP
- OSPF = ipv6 ospf
- EIGRP = ipv6 EIGRP
4.Tunnel dalam IPv6
Tunnel ipv6ip
Tunnel ip6gre
Tunnel ipv6Auto Tunnel
Tunnel ipv6ISATAP

Berikut akan seya jelaskan dahulu tentang ipv6 :

Percayalah ipv6 itu akan banyak faktor transisi dari sisi user gateway maupun aplikasi anda nantinya, kenapa begitu?

Jenis-jenis IPv6 dalam jaringan :

Link-local: scopenya adalah local link (nodes didalam subnet yang sama, antar node).

Site-local: Scope dalam satu Private address layaknya seperti dalam satu kantor (private site addressing).

Global: scope dalam global (IPv6 Internet addresses).

ok, kita hanya membahas Site local dan lonk local, pertama anda harus menentukan dahulu scope ipv6 lokal yang akan kita terapkan.
site local adalah layaknya ip lokal dalam ipv4 seperti 192.168.1.0 class c dan subnet /24 layaknya lokal yang kita kenal.
berpakah scope site local di IPv6?

Site-local IPv6 dimulai dari 1111 1110 1100 = FEC0::/10

Kalau saya, agar tidak bingung saya hanya menerapkan FEC0::/64 dengan EUI-64.

kenapa? karena saya menyerahkan penggabungan FEC0 dengan Mac address convention Mac Address interface, ngapain bingun2.

misalnya dalam router cisco:

IPv6_1(config)# interface fastethernet0/0
IPv6_1(config-if)#ipv6 address FEC0::/64 eui-64

IPv6_1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::CE00:3BFF:FE85:0
FEC0::CE00:3BFF:FE85:0
FastEthernet0/1 [administratively down/down]

Lihat ada 2 ip langsung otomatis, tapi saya ingin mengguakan site local dengan ipv6 FEC0 dan perpaduan mac address dari interface.

akan begitu untuk semua interface.

Kita coba dari router ipv6 yang lain:

IPv6_2# ping ipv6 FEC0::CE00:3BFF:FE85:0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FEC0::CE00:3BFF:FE85:0, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

ok success kan? jadi jangan bingung lagi.

Hal kedua adalah :

Subnet berapa yah untuk network saya? ini jarang dijelaskan di buku2 atau tutorial lain lho karena penasaran saya jadi saya ingin menhitung sendiri :
baik kita ambil contoh nilai dari 12::1/126.

Apa maksud nialai ini ? 12::1/126?
Pertama ini berarti nilain ipv6 static dengan subnet 126.
kita hitung /126 berarti /126 = 128 - 126 = 4
berarti ip yang bisa kita pakai adalah
12::1
12::2
12::3
12::4

dari
1 = 001
2 = 010
3 = 011
4 = 100 ---> habisa mentok. subnet berikutnya.

5 = 101
6 = 110
7 = 111
8 = 1000 ---> habis metok. Subent berikutnya dan begitu seterusnya.

Jika ada nilai 2002::1320/64 bagaimana donk?

kita akan hitung : 2002::1320/64

Lho kog broadcast dan subnet dipakai juga? tidak ada nilai subnet dan nilai network dalan IPv6, ini perlu diingat, terus dengan apa dia mengetahui tetangganya? denga Multicast pastinya di IPV6.

----------------------------

NAT (Network Address Translation)

Nat dibutuhkan jika kita menginginkan segment atau ip local kita di public ke internet. Baik menggunakan ip public tambahan ataupun ip public static atau menggunakan ip public interface yang ada saja.

Ada 2 metode dan cara jika kita ingin mempublic server:
1. Static NAT
2. Dynamic NAT

Static NAT tentu saja sesuai namanya kita dapat mempublic server sesuai dengan ip public yang kita inginkan.
Langsung saja kita akan mempraktekkan cara men static NAT ip private ke public ip yang didapat dari ISP.

Topology di atas adalah topology selanjutnya untuk semua NAT yang akan kita coba :

NAT Overload

NAT Pool

NAT Static

------

EEM (Embeddeded Event Manager)

event manager applet Lo0
event syslog occurs 2 pattern "Interface Loopback0, changed state to down"
action 1.0 syslog msg "Wah ada yang matiin loopback gue nih - Naikin lagi yah"
action 1.1 syslog msg "Ok Boss aku router hebat bisa tau koq, Up Loopback"
action 1.2 cli command "enable"
action 1.3 cli command "configure ter"
action 1.4 cli command "int lo0"
action 1.5 cli command "no shut"
action 1.6 syslog msg "Ok done"

kita coba yah :
Masuk ke Interface Loopback0 dan kemudian di Shut untuk membuktikan :

EEm_Router(config-if)#shutdown
EEm_Router(config-if)#
*Mar 1 00:19:09.407: %LINK-5-CHANGED: Interface Loopback0, changed state to administratively down
*Mar 1 00:19:10.407: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to down
*Mar 1 00:19:10.439: %HA_EM-6-LOG: Lo0: Wah ada yang matiin loopback gue nih - Naikin lagi yah
*Mar 1 00:19:10.439: %HA_EM-6-LOG: Lo0: Ok Boss aku router hebat bisa tau koq, Up Loopback
*Mar 1 00:19:10.719: %HA_EM-6-LOG: Lo0: Ok done
*Mar 1 00:19:10.735: %SYS-5-CONFIG_I: Configured from console by vty0
*Mar 1 00:19:12.663: %LINK-3-UPDOWN: Interface Loopback0, changed state to up
*Mar 1 00:19:13.663: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

Hehe kita sudah bisa menyetting EEM di Router Cisco.

Jika tertarik banget ingin mendalamin EEM ini kita bisa mempelajari Script EEM nya di cisco Web Site

atau di
EEM Scrip Community

To Be Expert Camp (Day 7)

Animasi ini mungkin bisa sedkit membuka pikiran anda ketika berbicara MPLS, sebelumnya juga di blog ini saya sudah membahas MPLS karena memang ketertarikan saya akan yang MPLS ini, postingannya dapat dilihat pada Penjelasan MPLS "old posting"

Berikut penjelasan detilnya untuk MPLS :

MPLS Standar Pe to PE

Berikutnya akan saya menggambarkan konfigurasi termudah dan tersederhana dari MPLS. Ini penting guna untuk memahami apasih sebenarnaya yang terjadi antar router-router yang adda di MPLS tersebut.

Jika kita mengenal selama ini ada komponen CE PE P, maka kita akan memulai dari yang paling sederhana yaitu PE to PE saja.

Berikut Topology-nya :

Dari PE1 :

Terlebih dahulu buat VRF sesuai dengan RD dan Target Export / Import yang kita inginkan.

Kemudian sign kedalam interface dengan perintah ip vrf forwading [nama_vrf}, ingat untuk memasukkan perintah vrf nya terlebih dahulu sebelum ip karena akan terhapus otomatis jika kebalikannnya.

Set label protocol ldp di semua router nantinya, kita dapat menggunakan 2 metode label :
1. LDP (open standar)
2. cisco (Cisco Propetiary)

Setting OSPF atau ISIS antar router PE, ini penting karena memang BGP yang dibangun antar PE akan menggunakan IGP untuk mereach semua peer neighboornya.Harus menggunakan Link-state protocol.

Setting BGP untuk peer ke PE, dan active-kan MPBGP antar BGP.

Setting VRF yang sama dengan PE, RD hanya berlaku lokal sementara nilai Export nantinya akan berlaku di bagian vrf import PE2 dan juga sebaliknya.

Masukkan kedalam interface untuk vrf nya masing - masing.

Label BGP di set ke LDP

OSPF untuk IGP antar PE

BGP antar PE peer ke PE1 untuk memulai activasi MPBGP dan tentu saja memulai ldp proses untuk MPLS

Label LDP di PE2

MPLS + RIP

Di PE2 :

Lakukan redistribute mutual di kedua routing (bgp <=> MPLS)
di rip dengan metric transparent, dan bgp dengan redistribute rip biasa.
sh ip vrf BTN --> akan muncul loopback dari RIP customer begitu juga di cust.

contoh show di cust:
BTN-JAKARTA#SH IP Route

Gateway of last resort is not set

16.0.0.0/24 is subnetted, 1 subnets
C 16.16.16.0 is directly connected, FastEthernet0/0
24.0.0.0/24 is subnetted, 1 subnets
R 24.24.24.0 [120/1] via 16.16.16.1, 00:00:14, FastEthernet0/0 --> rip dari cust sebrangnya.

MPLS + BGP CE (AS Over-ride)

R3#sh ip bgp vpnv4 all
BGP table version is 15, local router ID is 3.3.3.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 100:1 (default for vrf XL)
*>i10.10.10.0/24 4.4.4.4 0 100 0 ?
*> 77.77.77.0/24 100.100.100.7 0 0 65501 i
*>i99.99.99.0/24 4.4.4.4 0 100 0 65501 i
* 100.100.100.0/24 100.100.100.7 0 0 65501 i
*> 0.0.0.0 0 32768 ?
Route Distinguisher: 200:1 (default for vrf ADIRA)
*>i20.20.20.0/24 4.4.4.4 0 100 0 ?
*> 200.200.200.0 0.0.0.0 0 32768 ?

nemukan prefix dari cust di CE sebrang? hehe :)
jadi AS Override ini digunakan karena BGP prevent looping kalau sebuah AS bertemu AS yang sama kembali. seperti contoh di atas:

AS65501(CE)---->AS234(P)----->AS65501(CE) AS yang sama bertemu dengan AS yg sama kembali (Loop)

MPLS + EIGRP CE PE

Berikut di PE1

PE2 :

Perhatikan konfigurasi dari PE diatas untuk ROUTER EIGRP,
EIGRP yang digunakan adalah EIGRP berbeda dari EIGRP cust: ????? :)
router eigrp 12
auto-summary
!
address-family ipv4 vrf NIAGA
redistribute bgp 12 metric 1 1 1 1 1
network 23.23.23.2 0.0.0.0
no auto-summary
autonomous-system 1 =============> Perintah autonomous-system digunakan untuk menandai EIGRP cust ke address family ipv4 vrf NIAGA!!
exit-address-family

Lainnya seperti biasa, mutual redistribute BGP<=>EIGRP.
Jangan gunakan AS yang sama dengan Cust!!!

MPLS + OSPF

Berikut konfigurasi jika ingin menggunakan OSPF disisi cust:
istilah SHAMLINK digunakan jika kita memiliki network ospf cros juga directly connected, maka ospf di CE akan prefer ke Intra-area daripada Inter-area (yg sebelumnya dapet dari MPLS):

Lihat gambar, R1 sebelumnya mendapatkan network 10.45.0.0/24 itu dari ospf MPLS, tetapi setelah di konfigure OSPF area yang sama antara R1 dan R5 maka R1 melihat network 10.45.0.0/24 tidak lagi melalui mpls tetapi melalui R5(ospf yang Intra-area).
Shamlink berfungsi untuk mengubah ini menjadi semula.

contoh tahap-tahap shamplink :

di show di CE sebelum pakai Shamlink:

Gateway of last resort is not set

16.0.0.0/24 is subnetted, 1 subnets
C 16.16.16.0 is directly connected, FastEthernet0/0
24.0.0.0/24 is subnetted, 1 subnets
O 24.24.24.0 [110/20] via 46.46.46.4, 00:06:16, FastEthernet0/1----> melalui intra-area, bukan MPLS
46.0.0.0/24 is subnetted, 1 subnets
C 46.46.46.0 is directly connected, FastEthernet0/1

Gateway of last resort is not set

16.0.0.0/24 is subnetted, 1 subnets
C 16.16.16.0 is directly connected, FastEthernet0/0
24.0.0.0/24 is subnetted, 1 subnets
O 24.24.24.0 [110/12] via 16.16.16.1, 00:13:59, FastEthernet0/0---> sudah melalui MPLS
11.0.0.0/32 is subnetted, 2 subnets
O E2 11.11.11.11 [110/1] via 16.16.16.1, 00:13:59, FastEthernet0/0
O E2 11.11.11.12 [110/1] via 16.16.16.1, 00:13:59, FastEthernet0/0
46.0.0.0/24 is subnetted, 1 subnets
C 46.46.46.0 is directly connected, FastEthernet0/1
BTN-JAKARTA#