“Ilmu pengetahuan semakin banyak melahirkan keajaiban. Dongengan leluhur sampai malu tersipu. Tak perlu lagi orang bertapa bertahun untuk dapat bicara dengan seseorang di seberang lautan. Orang Jerman telah memasang kawat laut dari Inggris sampai India! Dan kawat semacam itu membiak berjuluran ke seluruh permukaan bumi. Seluruh dunia kini dapat mengawasi tingkah-laku seseorang. Dan orang dapat mengawasi tingkah-laku seluruh dunia" (Pramoedya Ananta Toer: Bumi Manusia, hal. 316, 1980).
Kamis, 02 Desember 2010
Bagaimana membentuk IRB antar 3 router
[ Backgroud ]
PC1 is connected to Fa0/0(no IP address, bridge) of Router = IP 10.10.10.1/24
PC2 is connected to Fa0/1(no IP address, bridge) of Router = IP 10.10.10.2/24
PC3 is connected to Fa1/0(IP 20.20.20.1) of Router = IP 20.20.20.2/24
BVI is configured on Router = IP 10.10.10.3/24. (Gateway IP for PC1 and PC2)
Router#config t
Router(config)# bridge irb
Router(config)# bridge 100 protocol ieee
Router(config)# bridge 100 bridge ip
Router(config)# bridge 100 route ip
Router(config)# interface bvi
Router(config-if)# ip address 10.10.10.3 255.255.255.0
Router(config)# interface fa0/0
Router(config-if)# bridge group 100
Router(config)# interface fa0/1
Router(config-if)# bridge group 100
Router# sh int irb
FastEthernet0/0
Routed protocols on FastEthernet0/0:
ip
Bridged protocols on FastEthernet0/0:
appletalk clns decnet ip
Software MAC address filter on FastEthernet0/0
Hash Len Address Matches Act Type
0x00: 0 ffff.ffff.ffff 1 RCV Physical broadcast
0x2A: 0 0900.2b01.0001 0 RCV DEC spanning tree
0x6D: 0 cc09.6dcf.0000 4 RCV Interface MAC address
0x6D: 1 cc09.6dcf.0000 0 RCV Bridge-group Virtual Interface
0xC0: 0 0100.0ccc.cccc 29 RCV CDP
0xC2: 0 0180.c200.0000 0 RCV IEEE spanning tree
0xC2: 1 0180.c200.0000 0 RCV IBM spanning tree
0xC2: 2 0100.0ccd.cdce 0 RCV VLAN Bridge STP
FastEthernet0/1
Routed protocols on FastEthernet0/1:
ip
Bridged protocols on FastEthernet0/1:
appletalk clns decnet ip
Software MAC address filter on FastEthernet0/1
Hash Len Address Matches Act Type
0x00: 0 ffff.ffff.ffff 12 RCV Physical broadcast
0x2A: 0 0900.2b01.0001 0 RCV DEC spanning tree
0x6C: 0 cc09.6dcf.0001 0 RCV Interface MAC address
0x6D: 0 cc09.6dcf.0000 14 RCV Bridge-group Virtual Interface
0xC0: 0 0100.0ccc.cccc 29 RCV CDP
0xC2: 0 0180.c200.0000 0 RCV IEEE spanning tree
0xC2: 1 0180.c200.0000 0 RCV IBM spanning tree
0xC2: 2 0100.0ccd.cdce 0 RCV VLAN Bridge STP
FastEthernet1/0
Routed protocols on FastEthernet1/0:
ip
BVI100
Routed protocols on BVI100:
ip
Router#
Router# sh int bvi 100
BVI100 is up, line protocol is up
Hardware is BVI, address is cc09.6dcf.0000 (bia cc09.6dcf.0000)
Internet address is 10.10.10.3/24
MTU 1500 bytes, BW 100000 Kbit, DLY 5000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
7 packets input, 690 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
28 packets output, 3084 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
Router#
Router# sh bridge
Total of 300 station blocks, 298 free
Codes: P - permanent, S - self
Bridge Group 100:
Address Action Interface Age RX count TX count
cc0a.6dcf.0000 forward FastEthernet0/1 0 5 5
cc05.6dcf.0000 forward FastEthernet0/0 0 5 5
Router#
Transport mode? cari tau
Tunnel Mode
With tunnel mode, the entire original IP packet is protected (encrypted, authenticated, or both) and is encapsulated by the IPSec headers and trailers (an Encapsulation Security Protocol header and trailer, an Authentication Header, or both). Then a new IP header is prefixed to the packet, specifying the IPSec endpoints as the source and destination.
Tunnel mode can be used with any IP traffic. Tunnel mode must be used if IPSec is protecting traffic from hosts behind the IPSec peers. For example, tunnel mode is used with Virtual Private Networks (VPNs) where hosts on one protected network send packets to hosts on a different protected network via a pair of IPSec peers. With VPNs, the IPSec peers "tunnel" the protected traffic between the peers while the hosts on their protected networks are the session endpoints.
Transport Mode
With transport mode, only the payload (data) of the original IP packet is protected (encrypted, authenticated, or both). The payload is encapsulated by the IPSec headers and trailers (an ESP header and trailer, an AH header, or both). The original IP headers remain intact and are not protected by IPSec.
Use transport mode only when the IP traffic to be protected has IPSec peers as both the source and destination. For example, you could use transport mode to protect router management traffic. Specifying transport mode allows the router to negotiate with the remote peer whether to use transport or tunnel mode.
Examples
The following example defines a transform set and changes the mode to transport mode. The mode value only applies to IP traffic with the source and destination addresses at the local and remote IPSec peers.
crypto ipsec transform-set newer esp-des esp-sha-hmac
mode transport
exit
Rabu, 01 Desember 2010
[Cisco] How to limit rate on interface ?
postdateiconTuesday, 05 May 2009 21:10 | postauthoriconWritten by ip Balance | Print | E-mail
The command 'rate-limit' is interface configuration command. It is used to setup a committed access rate (CAR) and distributed CAR (DCAR) policies. To remove the rate limit from the configuration, as you know, use the no form of this command.
rate-limit {input | output} [dscp dscp-value] [access-group [rate-limit] acl-index]
bps burst-normal burst-max conform-action conform-action exceed-action
exceed-action
no rate-limit {input | output} [dscp dscp-value] [access-group [rate-limit]
acl-index] bps burst-normal burst-max conform-action conform-action exceed-action
exceed-action
input Applies this CAR traffic policy to packets received on this input interface.
output Applies this CAR traffic policy to packets sent on this output interface .
dscp (Optional) Allows the rate limit to be applied to any packet matching a specified differentiated services code point (DSCP).
access-group (Optional) Applies this CAR traffic policy to the specified access list.
rate-limit (Optional) The access list is a rate-limit access list.
bps Average rate, in bits per second (bps). The value must be in increments of 8 kbps.
burst-normal Normal burst size, in bytes. The minimum value is bps divided by 2000.
burst-max Excess burst size, in bytes.
conform-action Action to take on packets that conform to the specified rate limit. Specify one of the following keywords .
exceed-action Action to take on packets that exceed the specified rate limit. Specify one of the following keywords .
o CAR and DCAR can only be used with IP traffic. Non-IP traffic is not rate limited.
o CAR and DCAR can be configured on an interface or subinterface. However, CAR and DCAR are not supported on the Fast EtherChannel, tunnel, or PRI interfaces, nor on any interface that does not support Cisco Express Forwarding (CEF).
o CEF must be enabled on the interface before you configure CAR or DCAR.
Policing Traffic with CAR
CAR embodies a rate-limiting feature for policing traffic. When policing traffic with CAR, Cisco recommends the following values for the normal and extended burst parameters:
Burst-normal = configured rate * 1/8 * 1.5 seconds (1/8 for convert bit to byte)
Burst-max = Burst-normal * 2
Examples 1.
FTP traffic is sent with an MPLS experimental field of 5 if it conforms to the second rate policy. If the FTP traffic exceeds the rate policy, it is dropped. See the following commands in the example:
rate-limit imput access-group 122 10000000 1875000 3750000 confirm-action
mpls-exp 5 exceed-action drop
access-list 122 permit tcp any any eq ftp
Examples 2.
Below example is shown two access lists are created to classify the web and FTP traffic so that they can be handled separately by the CAR feature:
interface Serial 0/1
Description T3 to MR
rate-limit imput access-group 111 10000000 1875000 3750000 conform-action drop
rate-limit imput access-group 122 8000000 1500000 3000000 conform-action drop
rate-limit imput access-group 133 20000000 3750000 7500000 conform-action drop
access-list 111 permit tcp any any eq www
access-list 122 permit tcp and any eq ftp
Metrik EIGRP
BW=10^7/lowest bandwidth in kbps sepanjang path ke network tsbt
delay=jumlah delay sepanjang path ke network tsbt/10.
contoh:
A---10mb--B--100mb--C--10.0.0.0/8
dari A mau ke 10.0.0.0/8.
Lowest bandwidth: 10mb
jumlah delay: 100usec(A-B)+100usec(B-C)+100usec(C-10.0.0.0/8)
jadi metricnya: 256*(10^7/10000 + 300/10) = 263680
ASA EasyVPN
Building configuration…
!
hostname RT-Jakarta
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
!
ip name-server 202.47.78.8
ip name-server 202.47.78.9
!
username fery privilege 15 secret 5 $1$m4eM$WC4j4KekWukubo4Oia2OG.
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group fery-g
key fery123
dns 202.47.78.8 202.47.78.9
pool SDM_POOL_1
acl 101
include-local-lan
max-users 10
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group fery-g
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_2
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set fery-transform-set esp-aes esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set fery-transform-set
set isakmp-profile sdm-ike-profile-1
!
interface FastEthernet1/0
description *** WAN ***
ip address 202.47.77.24x 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
description *** LAN ***$ETH-LAN$
ip address 192.168.100.1 255.255.255.0
duplex auto
speed auto
!
ip local pool SDM_POOL_1 192.168.10.1 192.168.10.100
ip classless
ip route 0.0.0.0 0.0.0.0 202.47.77.241
ip http server
no ip http secure-server
!
logging alarm informational
access-list 100 remark SDM_ACL Category=4
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 100 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 remark SDM_ACL Category=4
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
!
Selasa, 23 November 2010
Penjelasan Sederhana..
A. Pengertian
Kita mengenal ada dua jenis protokol routing, yaitu distance vector dan link state. Distance vector adalah proses routing berdasarkan arah dan jarak. Sementara link state adalah proses routing yang membangun topologi databasenya sendiri. Konsep dasar dari link state routing adalah setiap router menerima peta (map) dari router tetangga. Link state bekerja dengan cara yang berbeda dari distance vector. Walaupun proses pengumpulan informasi routingnya lebih rumit dan berat dari distance vector, namun link state lebih realible, lebih skalabel dalam melayani jaringan besar, lebih terstruktur dan juga lebih menghemat bandwith.
Pada link state akan melakukan tracking atau penyelidikan terhadap semua koneksi yang ada dalam jaringan. Status dari koneksi-koneksi tersebut, jenis dan tipe koneksi, bahkan kecepatan dari koneksi tersebut semuanya dikumpulkan menjadi sebuah informasi. Hal ini sangat berbeda dengan distance vector. Algoritma distance vector memiliki informasi yang tidak spesifik tentang jaringan tujuan dan tidak mengetahui jarak router. Sedangkan algoritma link state memperbaiki pengetahuan dari jarak router dan bagaimana mereka (router) terkoneksi.
B. Fitur-fitur link state
Pada protokol routing link state, router akan memilih sendiri jalur untuk menuju ketujuannya. Router tersebut akan mendapatkan informasi tentang jalur terbaik (best pathway) melalui router tetangganya. Dari router tetangganya itulah router mempelajari routing dan mencari jalur terbaik melalui router tetangganya itu.
Protokol routing link state memiliki beberapa fungsi, yaitu:
a. Akan cepat merespon jika dijaringan mengalami perubahan
b. Mengirimkan triggered update hanya pada saat jaringan itu mengalami perubahan
c. Mengirimkan update secara priodik yang dikenal dengan link state refreshes
d. Menggunakan “hello packet” untuk mencari router tetangga
Hello packet terkirim hanya pada router tetangga. Hello packet berisi informasi tentang jaringan yang terhubung.
Fitur-fitur dari protokol routing link state:
a. Link State Advertisements (LSA)
b. Topologi database
c. Algoritma Shortest Path First (SPF)
d. SPF tree
e. Penentuan jalur terbaik pada routing table, baik jalurnya maupun portnya.
Mari kita bahas satu persatu setiap fitur dari link state ini.
a. Link State Advertisements
Adalah paket kecil dari informasi routing yang dikirim antar router. LSA akan dikirim antar router. LSA akan dikirim ke router yang terhubung langsung. Saat terjadi perubahan jaringan. Sebagai contoh jika ada router yang mati, maka router yang terhubung langsung akan meng-update LSAnya. Masing-masing router membangun database topologi yang berisi informasi LSA.
Link state protokol akan melakukan flood atau pembanjiran dengan menggunakan alamat multicast. Kemudia router yang mendapatkan informasi perubahan itu akan mengirimkan lagi updatenya ke router tetangga yang terhunbung langsung. Namun informasi LSA ini tidak akan terkirim lagi ke si pengirim pertama.
b. Topologi database
Adalah kumpulan informasi yang dari LSA-LSA yang telah terkumpul. Disini informasi yang bias didapatkan adalah semua informasi tentang interface yang terhubung langsung. Bisa berupa IP Address dari interface itu, subnetmask, jenis dari jaringan yang terhubung, bagaimana router itu terkonek ke jaringan dan lain-lain. Kumpulan database ini kadang disebut dengan topologi database. Dari database ini bias digunakan untuk menghitung jalur terbaik pada jaringan.
c. Algorithma SPF (Shortest Path First)
Adalah hasil perhitungan pada database sebagai hasil dari SPF tree. Dari algorithma SPF dan database tadilah, maka akan dibuat tree (pohon) dengan routeritu sendiri sebagai root. Router kemudian akan menggunakan SPF untuk mengetahui jalur mana yang paling pendek untuk mencapai tujuan. SPF juga bias disebut dengan algorithma Dijkstra.
d. SPF tree
Telah dijelaskan diatas, bagaimana algorithma SPF akan membentuk sebuah percabangan. Ini akan membantu router untuk mennetukan jalur terbaiknya. Dari percabangan itu juga router akan mengetahui jalaur mana yang pendek dan yang terbaik.
e. Menentukan routing table
Routing table adalah daftar rute dan interface. Saat terjadi perubahan jaringan (network) maka routing table pun akan berubah. Di table link state inilah sebuah raute mempelajari router tetangganya, beserta router yang ada di jaringan.
Dari pembahasan diatas bias disimpulkan proses dari link state adalah sebagai berikut. Awalnya router akan mengirimkan hello packet secara priodik. Dari hello paket inilah akan tercipta LSA. LSA akan mengetahui jaringanmana yang mati atau hidup. Saat sebuah router mati, maka LSA dari router yang terhubung langsung dengan router yang mati itu,a kan segera meng-update LSAnya. Dari LSA ini, informasi yang didapatkan akan dibuatkan databasenya dan akan dilanjutkan ke router tetangga. Agar router tetangga mengetahui tentang perubahan jaringan.
C. Routing information
Tidak seperti protokol distance vector, protokol link state membangun dan mempelajari jaringan setiap router yang etrhubung denagn sangat baik. Hal ini dilakukan pada saat pengiriman LSA. Setiap router akan mempelajari sebuah router tetangganya dari database LSA. Setelah LSA terupdate, maka SPF algorithma akan mempelajarinya dan menghitung jumlah metric yang dibutuhkan untuk mencapai tujuan. Nah, informasi ini akan digunakan untuk mengupdate routing table. Table routing akan berubah manakala ada router yang mati.
Dalam link state juga menggunakan triggered update. Dimana tidak perlu menunggu waktu tertentu untuk mengupdate table routing. Jadi, saat jaringan mengalami perubahan, maka link state akan langsung mengupdate table routingnya. Hal ini akan mempercepat adanya penyatuan jaringan tanpa harus menunggu sejumlah waktu tertentu.
D. Algoritma routing link state
Di dalam algoritma routing link state memiliki karakteristik sebagai berikut:
a. Link state akan bersatu dalam Shortest Path First (SPF) protokol.
b. Link state akan mempelajari database yang sangat rumit dari topologi jaringan
c. Link state dibuat berdasarkan algorithma Dijkstra
Router akan mempelajari database dari topologi jaringan yang terdapat dari LSA. Kemudian dari LSA itu akan dibuat SPF algorithma. Algorithma SPF akan menghitung jaringan yang dapat dicapai. Router membangun logical topologi sebagai pohon (tree), dengan router sebagai root. Topologi ini berisi semua rute-rute yang mungkin untuk mencapai jaringan dalam protokol link state internetwork. Router kemudian menggunakan SPF untuk memperpendek rute. Daftar rute-rute terbaik dan interface yang digunakan telah di data dalam table routing.
E. Kelebihan dan kekurangan link state
a. Kelebihan link state
1. Link state protokol menggunakan cost metric untuk memilih jalurnya di dalam jaringan
2. Link state protokol menggunakan triggered, yang memastikan bahwa jaringan akan menyatu pada akhirnya tanpa harus menunggu waktu tertentu
3. Masing-masing router sudah meiliki gambaran sendiri tentang jaringan yang akan digunakan
4. Router selalu menggunakan informasi yang paling akhir, karena LSA selalu mengupdate informasinya saat terjadi perubahan jaringan
5. Ukuran database link state dapat di perkecil dengan memperhatikan bentuk jaringan. Disini, link state mampu mengambil keputusan untuk menentukan jalur yang paling pendek dan yang terbaik
6. Semua router memiliki kemampuan untuk meng-copy peta (mapping) selama masih dalam satu jaringan
7. Didukung oleh Classless Interdomain Routing (CIDR) dan Variable-lenght Subnetmasking (VLSM)
b. Kerugian dari link state protokol
1. Membutuhkan banyak memory dan processor
2. Membutuhkan bentuk jaringan yang pasti
3. Membutuhkan seorang administrator yang paham akan routing link state
4. Saat terjadi perubahan jaringan, maka LSA akan membanjiri jaringan. Hal ini bisa mengganggu proses pengiriman data
F. Perbandingan dengan distance vector
Pada distance vector protokol akan mempelajari router yang tersambung langsung dengan dirinya. Sangat berbeda dengan link state protokol, dimana link state mengirimkan LSAnya kepada semua router yang terhubung dalam jaringan. Hal ini membuat link state bias berhubungan denagn router yang bukan tetangganya. Dalam link state tidak perlu adanya perubahan routing, sampai ada router yang mati. Jika ada router yang mati, maka router lain akan melakukan update. Dalam link state, kita tidak perlu waktu 30 detik untuk meng-update. Karena saat terjadi perubahan saat itu pula table routing di update.
Keunggulan link state dari pada distance vector adalah link state akan cepat sekali penyatuan jaringannya daripada distance vector. Selain itu juga pada link state mendukung adanya VLSA dan CIDR. Hal ini akan sangat membantu untuk membuat jaringan yang lebih kompleks. Sementara distance vector sangat unggul dalam penggunaan memory dan processor ketimbang link state. Link state membutuhkan banyak memory dan processor.
Route Poisoning, Split Horizon, Holddown Timers
a. Split Horizon, Yaitu Metode DImana Router B Menerima Update Informasi Mengenai Downnya Jaringan A Melalui Interfacenya Yang Terhubung Dengan Router A, Maka Router B Akan Segera Mengirimkan Update Atau Informasi Tersebut Ke Router Tetangganya Dalam KAsus Ini Router C , Tapi Router B Tidak Akan Mengirimkan Informasi Atau Update Tersebut Melalui Interfacenya Yang Terhubung Ke Router A (Dimana ROuter A Adalah Pengirim Pertama Update Tersebut Jadi Router A Tidak Akan menerima Update Dari Router B), Inilah Yang Dinamakan Split Horizon.
b. Route Poisoning, Yaitu Metode Dimana Dalam KAsus Ini Router C Mengetahui Bahwa Untuk Menghubungi JAringan A Dapat Dijangkau Dengan 2 Hop, Maka Untuk Mencegah Looping Terjadi Router B Yang Tadinya Telah Menerima Info Bahwa JAringan A Down Dari Router A Dia (Router B) Akan Segera Mengubah Informasi Tersebut Dengan Menjadikan Hop Yang tadinya 2 Menjadi 16 Hop, Maka dengan Informasi Ini ROuter C Akan Mengetahui Bahwa JAringan A Sudah Tidak Dapat Dijangkau Lagi Dikarenakan Hop Countya Berubah Menjadi 16 (Maksimal Hop Countnya Sekitar 15 JAdi Kalau Udah 16 Maka Network Unreachable)..........
c. Holddown Timers, Metode Ini Akan Mengguankan Timers DImana Router B Akan Menjalankan Holddown Timersnya Ketika Dia Menegtahui Dari Router A Bahwa Jaringan A Sedang Down, Tetapi Jika Ada Update Dengan Metric Yang Lebih Baik Maka Holddown Timer Tadi Akan Dimatikan, Akan Tetapi Jika Tidak Ada Update Atau Metric Yang Lebih Baik Untuk Menghubungi Jaringan A MAka Holddown Timers Akan Terus Berjalan Sampai JAringan Tadi Kembali Converging...............
Selasa, 11 Mei 2010
Penjelasan MPLS
Pengertian MPLS
Multiprotocol label switching (MPLS) adalah teknologi
penyampaian paket pada jaringan backbone berkecepatan tinggi.
MPLS mrpkan solusi fleksibel untuk menangani permasalahan
network dewasa ini seperti speed, scalability, quality-of-service (QoS)
management, dan traffic engineering.
Fungsi MPLS
n Menspesifikasi mekanisme untuk
mengatur aliran traffic seperti aliran traffic antar hardware sampai antar
aplikasi.
n Tetap independen pada Layer-2 dan
Layer-3 protocol
n Menyediakan metode untuk mapping IP
address menjadi label-label fix yang digunakan oleh berbagai teknologi
packet-forwarding dan packet-switching yang berbeda
n Sebagai interface bagi routing
protocol yang sudah exist spt resource reservation protocol (RSVP) dan open
shortest path first (OSPF)
n Mendukung IP, ATM, dan frame-relay
Layer-2 protocol
Label Switching Router (LSR)
n LSR adalah sebuah high-speed router
device pada inti dari sebuah network MPLS yang berpartisipasi dalam pembuatan
LSP menggunakan label signaling protocol yang cocok dan switching data traffic
secara cepat berdasarkan path yang telah dibuat.
Label Edge Router (LER)
n LER adalah sebuah device yang
berjalan dibatas dari access network dan MPLS network.
n LER mendukung multiple ports yang
terhubung ke network yang berbeda (spt frame relay, ATM, dan Ethernet) dan forward
traffic ini ke MPLS network setelah membuat LSP, menggunakan label signaling
protocol pada ingress dan mendistribusikan traffic kembali ke access networks
pada egress.
n Peran LER adalah assignment and
removal label, ketika traffic masuk dan keluar dari MPLS network.
Forward Equivalence Class (FEC)
n forward equivalence class (FEC)
adalah sebuah representasi dari sekumpulan paket yang menggunakan requirement
bersama-sama untuk transport.
n Semua paket pada grup tersebut
mendapat perlakuan yang sama untuk menuju destination.
n Pada MPLS assignment paket untuk FEC
dilakukan hanya sekali ketika paket masuk kedalam network.
n Setiap LSR membangun tabel untuk
menentukan bagaimana paket harus diforward.
MPLS generic label format
n Penentuan label dapat ditentukan oleh
forwarding criteria seperti dibawah ini:
• destination
unicast routing
• traffic
engineering
• multicast
• virtual
private network (VPN)
• QoS
Label Creation
n Terdapat tiga metode label creation :
•topology-based
method—menggunakan proses normal dari routing protocol (seperti OSPF dan
BGP)
•request-based method—prosesnya
menggunakan request-based control traffic (contohnya RSVP)
•traffic-based
method—menggunakan penerimaan paket sebagai trigger untuk assignment dan
distribusi label
Label distribution
n Berbagai metode label distribution /
exchange pada MPLS network :
• LDP—mapping
unicast IP destination menjadi label
• RSVP,
CR-LDP—digunakan untuk traffic engineering dan resource reservation
• protocol-independent
multicast (PIM)—digunakan untuk mapping label multicast states
•
BGP—external label (VPN)
Label Switched Paths (LSP)
Adalah sebuah kumpulan dari device-device MPLS-enabled yang
merepresentasikan sebuah MPLS domain. Dalam sebuah MPLS domain, sebuah path
dibuat untuk paket tertentu dapat berjalan pada sebuah FEC(unidirectional). LSP
dibuat sebelum transmisi data. Terdapat dua opsi untuk menset-up LSP
hop-by-hop routing—setiap LSR scr independen memilih next hop. LSR menggunakan
routing protocol yang tersedia seperti OSPF dan lain-lain.
• explicit
routing—ingress LSR (LSR dimana data pertama kali berjalan kedalam network)
mengidentifikasi list node dimana LSP berjalan. Disepanjang jalan, resource dpt
direserve utk memastikan QoS dari data traffic.
Label space
n label yang digunakan oleh LSR untuk
binding FEC-label dikategorikan sebagai berikut :
• per
platform—nilai label unik untuk semua LSR. Label-label dialokasikan dari
pool yang sama.
• per
interface—cakupan label dihubungkan dengan interfaces. Terdapat Multiple
label pool untuk interfaces, dan label yang diberikan pada interface didapat
dari pool-pool yang berbeda. Label pada interface yang berbeda dapat memiliki
nilai yang sama.
Label retention
n conservative—pada mode ini, binding antara sebuah
label dan sebuah FEC yang diterima dari LSRs yg bukan mrpkan next hop akan
didiscard. Mode ini direkomendasikan untuk ATM-LSRs.
n liberal—pada mode ini, bindings antara sebuah
label dan sebuah FEC yang diterima dari LSRs yg bukan mrpkan next hop akan
disimpan. Mode ini memudahkan utk adaptasi cepat thd perubahan topology
Signalling mechanism
n label request—sebuah LSR me-request label dari downstream
neighbor sehingga label tsb dpt dibinding dengan FEC yg telah ditentukan.
Mekanisme ini dpt dilakukan dari bawah rantai LSR sampai egress LER.
n label mapping—untuk merespon label request, sebuah
downstream LSR akan mengirim label kepada upstream initiator menggunakan label
mapping mechanism.
Label Distribution Protocol (LDP)
n LDP adalah sebuah protocol baru untuk
distribusi informasi label binding kepada LSR dalam sebuah MPLS network.
Terdapat 3 message yang dipertukarkan :
• discovery
messages—mengumumkan dan menjaga kehadiran LSR dalam sebuah network
• session
messages—establish, maintain, dan terminate sessions diantara LDP peers
•
advertisement messages—create, change, dan delete label mapping untuk FEC
•
notification messages—menyediakan informasi tambahan dan signal error.
Traffic Engineering
n Traffic engineering adalah sebuah
proses yang meningkatkan secara keseluruhan dari network utilization dengan
berusaha untuk menciptakan bentuk distribusi traffic tunggal atau berbeda-beda
didalam network. Dampak menguntungkan dari proses ini adalah congestion
avoidance pada path-path dalam MPLS network.
Constraint-Based Routing
n Constraint-based routing (CR) adalah
parameter-parameter yang dihitung, seperti karakteristik link (bandwidth,
delay, dll.), hop count, dan QoS. LSP yang dibuat dapat berupa CR-LSP, dimana
constraintnya dapat berupa explicit hops atau QoS requirement. Explicit hops
mendikte path mana yang akan digunakan. QoS requirements mendikte link mana dan
mekanisme scheduling atau antrian apa yang digunakan untuk traffic agar
berjalan.
MPLS Operation
n Tahap-tahap berikut ini harus
dilakukan agar paket data dapat berjalan pada MPLS domain.
1. label
creation and distribution
2. table
creation at each router
3.
label-switched path creation
4. label
insertion/table lookup
5. packet
forwarding
n Tahap 1 : label creation and label
distribution
n Tahap 2 : table creation
n Tahap 3 : LSP creation
n Tahap 4 : label insertion / table
lookup
n Tahap 5 : packet forwarding
MPLS Application
n MPLS menangani secara efektif
requirement untuk backbone yang dibutuhkan pada jaringan saat ini dengan
menyediakan solusi berbasis standar yang dapat memberikan keuntungan sbb :
n Meningkatkan performa
packet-forwarding dalam network :
• MPLS
meningkatkan dan menyederhanakan packet forwarding melalui routers menggunakan
paradigma Layer-2 switching.
• MPLS
simple, mudah mengimplementasikan.
• MPLS
meningkatkan performa network
n Mendukung QoS and CoS untuk service
differentiation
• MPLS menggunakan
traffic-engineered path dan membantun mencapai jaminan layanan.
• MPLS
mengharuskan untuk menggabungkan constraint-based dan explicit path setup.
n Mendukung network scalability
• MPLS dapat
digunakan untuk menghindari permasalahan dengan jaringan IP-ATM meshed
n mengintegrasikan IP dan ATM didalam
network
• MPLS
menyediakan sebuah bridge (jembatan) diantara access IP dan core ATM.
• MPLS dapat
digunakan ulang (reuse) router/ATM hardware yang sudah ada, dan secara efektif
menggabungkan dua network yang berbeda.
n Membangun interoperable networks
• MPLS adalah
sebuah solusi berbasis standar yang mensinergikan antara IP dan ATM network.
• MPLS
menfasilitasi integrasi IP-over-synchronous optical network (SONET) integration
dalam optical switching.
• MPLS membantu
membangun scalable VPN dengan kemampuan traffic-engineering.
Tunneling in MPLS
n Salah satu fitur unik dari MPLS
adalah MPLS dapat melakukan kontrol thd seluruh path pada sebuah paket tanpa
menspesifikasikan intermediate router yang digunakan. MPLS membuat tunnels
melalui intermediary routers yang meliputi berbagai segmen. Konsep ini
digunakan untuk VPN berbasis MPLS
n
Contoh command MPLS
n
Contoh command MPLS untuk support tunnels
1. Router(config)#
ip cef Enable standard CEF operation. For information about CEF
configuration and command syntax, see the
2. Router(config)#
mpls traffic-eng tunnels Enables the MPLS traffic engineering
tunnel feature on a device.
n
Contoh command MPLS untuk traffic engineering tunnels
1. Router(config)# interface
tunnel1 Configure an interface type and enter interface
configuration mode.
2. Router(config-if)#
tunnel destination A.B.C.D Specify the destination for a tunnel.
3. Router(config-if)#
tunnel mode mpls traffic-eng Set encapsulation mode of the
tunnel to MPLS traffic engineering.
4. Router(config-if)#
tunnel mpls traffic-eng bandwidth bandwidth Configure bandwidth
for the MPLS traffic engineering tunnel.
5. Router(config-if)#
tunnel mpls traffic-eng path-option 1 explicit name boston Configure a named IP
explicit path.
6. Router(config-if)#
tunnel mpls traffic-eng path-option 2 dynamic Configure a backup
path to be dynamically calculated from the traffic engineering topology
database.
thx indo-cisco
ipsec dengan nat? gak bersahabat? tunggu dulu..
setting site-to site ipsec tidak bisa nat untuk ip lokal?
sedikit sharing:
router#config t
router(config)#
router(config)#ip access-list extended NAT
router(config-ext-acl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
router(config-ext-acl)#permit ip any any
router(config-ext-acl)#
router(config-ext-acl)#exit
router(config)#
router(config)#route-map POLICY-NAT 10
router(config-route-map)#match ip address NAT
router(config-route-map)#
router(config-route-map)#exit
router(config)#
router(config)#ip nat source route-map POLICY-NAT interface s0/0 overload
router(config)#
router(config)#ip nat inside source static tcp 192.168.1.10 25 12.34.56.2 25 route-map POLICY-NAT extendable
router(config)#
router(config)#interface f1/0
router(config-if)#ip nat inside
router(config-if)#
router(config-if)#interface s0/0
router(config-if)#ip nat outside
router(config-if)#
router(config-if)#end
router#
router# copy run start
Selasa, 27 April 2010
ASA netflow monitoring bandwidth dan source
tidak ada nya fitur untuk melihat siapa pengguna traffic terbesar di asdm memicu saya untuk menggunakan cara lain.
sebenarnya ini menjadi semacam kekurangan dari firewall ini, kenapa cisco begitu pelit untuk memasukkan fitur monitoring di dalam firewall mereka menjadi lebih spesific.karena dari beberapa firewall yang saya pernah gunakan fitur monitoring adalah salah satu fitur yang harusnya mengawali aktifitas monitoring jaringan dari tangan-tangan usil dari luar.
Configure our routers to do a few things:
1. Install Software that analyze NetFlow
2. Enable NetFlow on the router
3. Configure the router to send the logs to a netflow analyzer server (needs to be configure before)
Once you got the server or PC up and running with a netflow software (there are a lot of free application, I used Manage Engine NetFlow Analyzer 6 which allows you to monitor 2 router for free) , We need to tell the router to send the NetFlow logs to the server, To do that here is the commands we need to type:
Router(config)# ip flow-export destination {hostname|ip_address} 9996
Router(config)# ip flow-export source {interface} {interface_number}
Router(config)#ip flow-export version 5
Router(config)# ip flow-export version 5
Router(config)# ip flow-cache timeout inactive 15
Router(config)# snmp-server ifindex persist
To monitor and Check that we configured the Router to send the logs type:
Router# show ip flow export
Router# show ip cache flow
Router# show ip cache verbose flow
Configuration Sample:
router#configure terminal
router(config)#interface FastEthernet 0/1
router(config-if)#ip route-cache flow
router(config-if)#exit
router(config)#ip flow-export destination 10.60.1.254 9996
router(config)#ip flow-export source FastEthernet 0/1
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#ip flow-cache timeout inactive 15
router(config)#snmp-server ifindex persist
router(config)#^Z
router# copy run start
router#show ip flow export
router#show ip cache flow
To Cancel NetFlow:
no ip flow-export destination {hostname|ip_address} {port_number}
no ip route-cache flow
Kamis, 18 Maret 2010
Etherchannel/port-channel
On different Cisco switches it is possible to create logical connections that
are made-up off different fysical interface. It is needed that these interface
do have the same speed.
Most Cisco switches support max 64 etherchannels. These interfaces do not have to be contiguous.
or even on the same module. Each channel must be made up of min 2, max 8 interfaces.
The best is to use 2 ,4 or 8 interfaces. This will give the perfect load-balancing.
The load-balancing can be bases on layer 2/3 or 4 information.
It is not possible to have different load-balancing methods for different Etherchannels
on one switch. If the load-balancing method is change, it is applicable for all.
The load-balancing method can be:
- src-mac
- dst-mac
- src-dst-mac
- src-ip
- dst-ip
- src-dst-ip
- src-port
- dst-port
- src-dst-port
By using
If a single header is used to load-balance the low-order bits is used to dictate to
witch interface the frame is send. If two headers are used a XOR function is used on
the low-order bits.
It is possible to change what path with-in the etherchannel a frame takes by used the following command:
to assign a physical interface towards a port-channel use the following command:
channel-group [#] mode on
There are two type of dynamic protocols to negotiate an etherchannels: PAgP and LACP 8021.AD
PAgP is Cisco proprietary
When these protocols start to communicate there is an exchange of information before the port-channel can be formed. The following items must match before a port-channel can form:
- same speed/duplex
- Access VLAN (if not trunked)
- Same trunking type, allowed VLAN and native VLAN (if trunked)
- Each port must have the same STP cost per VLAN with-in the portchannel
- No SPAN ports
channel-group [#] mode on (disables PAgP en LACP)
channel-group [#] mode off (disables PAgP en LACP and prevent the ports to form a port-channel)
channel-group [#] mode auto (use PAgP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode passive (use LACP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode desirable (use PAgP in an active mode, it will start to send PAgP packets)
channel-group [#] mode active (use LACP in an active mode, it will start to send LACP packets)
3750(config)#interface range gigabitethernet 1/0/2 - 4
3750(config-if-range)#channel-group 1 mode on
3750(config-if-range)#switchport
3750(config-if-range)#switchport trunk encapsulation dot1q
3750(config-if-range)#switchport mode trunk
First type the channel-group command. After that all interface commands will be automatically duplicated on all the interfaces group in the channel-group.
With LACP it is possible to create a port-channel on a stack (3560/3750 switches).
This is based on IOS version 12.2(25)SEE
Show command’s
· show interfaces port-channel [channel-group-number]
· show etherchannel [channel-group-number] summary
Verify command’s
* test etherchannel load-balance interface port-channel [#] ip [src] [dst
Senin, 22 Februari 2010
Port Cisco Penting
* BGP : Runs on TCP/179 between the neighbors
access-list 101 permit tcp any host 192.168.0.1 eq 179
* EIGRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.10
access-list 101 permit eigrp any host 224.0.0.10
* OSPF : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.5; also talks to 224.0.0.6 for DR/BDR routers
access-list 101 permit ospf any host 224.0.0.5
access-list 101 permit ospf any host 224.0.0.6
* HSRP : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.2. I’ve seen in the past that it runs on UDP/1985, but I didn’t find any evidence of that in a quick Google for it. Can someone verify?
access-list 101 permit udp any host 224.0.0.2 eq 1985
* HSRP version 2 : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.102.
access-list 101 permit udp any host 224.0.0.2 eq 1985
* RIP : Runs on UDP/520 from the source interface IP to the multicast address of 224.0.0.9
access-list 101 permit udp any host 224.0.0.9 eq 520
* VRRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.18
access-list 101 permit 112 any host 224.0.0.18
* VRRP-E : This is a Foundary thing according to readers, and runs on UDP/8888 from the source interface IP to the multicast address of 224.0.0.2
access-list 101 permit 112 any host 224.0.0.2 eq 8888
* GLBP : Runs on UDP from the source interface IP to the multicast address of 224.0.0.102
access-list 101 permit udp any host 224.0.0.102
* DHCPD (or bootps) : Runs on UDP/67 from 0.0.0.0 (since the client doesn’t have an address yet) to 255.255.255.255 (the broadcast).
access-list 101 permit udp any host 255.255.255.255 eq 67
If anyone else has one to add, do so in the comments.
Mengemulasi cisco ASA
http://superlubis.blogspot.com/
Cisco ASA adalah produk cisco biasanya digunakan untuk masalah security seperti firewall dan VPN dalam tulisan ini saya akan mencoba memamaparkan cara mengemulasi CISCO ASA dengan cara yang mudah dimengerti. Terimakasih sebesar2 kepada thumpercisco dan teman di hacki forum. Secara garis besar cara untuk mengemulasi cisco asa bisa dibagi menjadi
1. Download software-software yang dibutuhkan
2. Buat Microsoft Loopback Interface dan setting ip.
3. Liat nilai NIO _gen dari masing loopback interface, ini akan digunakan untuk mengedit file ASA-nolina_WIN.bat dan ASA-nolina.bat.
4. Edit file ASA-nolina_WIN.bat dan ASA-nolina.bat, sesuaikan nilai NIO_gen dengan yang ada pada masing2 komputer , karena biasanya selalu berbeda.
5. Jalankan file ASA-nolina_WIN.bat , ketik beberapa perintah, sampai pada tahap ini kita sudah bisa masuk ASA console. Untuk bisa menggunakan ASDM ada beberapa Step lagi.
6. Setting ip ethernet interface ASA.
7. Transfer file asdm dari TFTP Server ke Cisco ASA
8. Config ASA agar bisa diakses lewat web
9. Jalankan fiddler dan edit konfigurasinya.
10. Buka browser dan ketik address CISCO ASA, insya allah Jalan. Oke kita akan langsung kedetailnya mudah2 gak terlalu panjang dan mudah dimengerti.
1. Download Software2 yang dibutuhkan
* Fiddler 2 -> http://www.fiddler2.com/Fiddler2/version.asp
* GNS 3 -> http://www.gns3.net/download
* http://www.4shared.com/file/40629410/1a33eae5/qemu.html
* OpenTFTP Server -> http://sourceforge.net/projects/tftp-server/
* asdm-602.BIN bisa didapatkan disite cisco.com dengan account cco.
2. Buat Microsoft loopback
Loopback digunakan untuk membinding interface ASA kekomputer kita, dalam CISCO ASA ada 6 interface yaitu ethernet 0/0 - 0/5 , jika kita ingin menggunakan semua interface maka kita harus buat 6 loopback, dalam tulisan ini saya hanya buat 3 loopback yaitu untuk 3 interface ethernet 0/0 - 0/2. Caranya Cukup mudah,
* Start -> Control Panel -> Add Hardware
Pilih option "Yes, I Already Connected The Hardware" -> Next
Scrool sampai bawah pilih "Add New Hardware Device" -> Next
Pilih Option "Install Hardware That I Manualy Select From The List(Advance)" -> Next
Pilih List "Network Adapter" -> Next
Pilih List Manufacture " Microsoft " dan Network Adapter "Microsoft Loopback Adapter"
Next
And Thats all untuk membuat loopback , bisa dilihat di Start -> Control Panel -> Network Connection Sudah ada adapter baru. Kalo saya, saya rubah namanya menjadi yang lebih mudah dimengerti seperti lo0. Dan saya mengulangi langkah ini 2 kali lagi karena saya membutuhkan 3 interface loopback. Dan saya sekaligus mengassign IP untuk tip loopback, lo0 192.168.1.1/24 , lo1 192.168.2.1/24, dan l02 192.168.3.1/24
3. Instalasi GNS, instalasiinya cukup mudah, pilih semua paket yang diinstall lalu tinggal click next next and next.
4. Jalankan Program -> GNS3 -> Network Device List Catat or salin ke notepad nilai NIO_gen_eth dari masing loopback yang kita buat
disini kita bisa liat nilainya
Lo0 : NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
Lo1 : NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
Lo2 : NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
4. Setting QEMU
Download file http://www.4shared.com/file/40629410/1a33eae5/qemu.html , ekstrasi Terserah dimana asal inget. Contoh saya ekstrasi di C:\qemu, browse kedalam cari file ASA-nolina_WIN.bat dan ASA-nolina.bat, kuncinya di kedua file ini. Kita edit kedua file.
4.1 Edit File ASA-nolina.bat
Aslinya
Yang perlu diedit adalah tulisan yang dibold sesuaikan dengan nilai NIO_gen_eth yang telah kita catat diatas.
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85EE-3EDE-444C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-11C5-2DB6859A0F6C}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
Penjelasan :
set nic1=-net nic,vlan=0 -> ini adalah lo0 atau ethernet 0/0, binding dari lo0 kita ke e0/0
set nic2=-net nic,vlan=1 -> ini adalah lo1 atau ethernet 0/1, binding dari lo1 kita ke e0/1
set nic3=-net nic,vlan=2 -> ini adalah lo2 atau ethernet 0/2, binding dari lo2 kita ke e0/2
Setelah Diedit
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
4.2 Edit File ASA-nolina_WIN.bat
File ini juga isinya tidak jauh berbeda, dan yang perlu diedit pun sama yaitu nilai NPF yang sudah saya bold, disesuaikan dengan nilai yang didapat dikomputer.
Aslinya
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF312}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F61}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-CC5D-E4233973E122}
-serial telnet::1234,server,nowait
Setelah diedit
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
-serial telnet::1234,server,nowait
5. Jalankan ASA-nolinna_WIN.bat
Sampai tahap ini kita tinggal menjalankan file ASA-nolina_WIN.bat. lalu akan tampil window seperti dibawah ini.
lalu jalankan command prompt dan telnet ke 127.0.0.1 port 1234.
C:\telnet 127.0.0.1 1234
Lalu jalankan perintah dibawah ini dan insya allah akhirnya akan tampil ASA prompt
#modprobe e100
#ifconfig eth0 up
#ifconfig eth1 up
#ifconfig eth2 up
#cd /mnt/disk0
#./lina_monitor
6. Setting interface Cisco ASA
Saatnya kita config sedikit, sekalian dites apakah bisa ping ke lo0,lo1, dan lo2. Eth0/0 terhubung(binding) ke lo0, Eth0/1 terhubung(binding) ke lo1, Eth0/2 terhubung(binding) ke lo2. berikut confignya
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.252 255.255.255.0
no shutdown
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.252 255.255.255.0
no shutdown
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.3.252 255.255.255.0
no shutdown
Kita coba ping dari command prompt ke ip address asa diatas.
C:\Documents and Settings\DELL>ping 192.168.1.252
Pinging 192.168.1.252 with 32 bytes of data:
Reply from 192.168.1.252: bytes=32 time=2ms TTL=255
Ping statistics for 192.168.1.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
C:\Documents and Settings\DELL>ping 192.168.2.252
Pinging 192.168.2.252 with 32 bytes of data:
Reply from 192.168.2.252: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.2.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 3ms, Average = 3ms
C:\Documents and Settings\DELL>ping 192.168.3.252
Pinging 192.168.3.252 with 32 bytes of data:
Reply from 192.168.3.252: bytes=32 time=11ms TTL=255
Ping statistics for 192.168.3.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 11ms, Average = 11ms
And sukses....Kita Coba dari Cisco ASA ke komputer kita.
ciscoasa# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
ciscoasa# ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa# ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa#
7. Transfer asdm-602.BIN ke Cisco ASA.
Untuk mentrasfer image asdm ke cisco ASA bisa menggunakan beberapa cara dalam tulisan ini saya menggunakan tftp server. Download program tftp server yang linknya sudah dikasih diatas , install program, lalu taruh image asdm di tempat kamu menginstall tftp server. Lalu copy file dengan perintah :
ciscoasa# copy tftp://192.168.1.1/asdm-602.BIN disk0:/asdm-602.BIN
8. Config ASA agar bisa diakses lewat web.
ciscoasa# config terminal
ciscoasa(config)# hostname ASA1
ASA1(config)# http server enable
ASA1(config)# http 192.168.1.0 255.255.255.0 inside <---- ini adalah network yang diijinkan akses lewat web
ASA1(config)# username superlubis password superlubis privilige 15
9. Config Fiddler2
- Download dan instalasi fiddler2, cara instalasi sangat mudah tinggal next next next dan next .......
- Jalankan fiddler2 -> Tools -> Fiddler Option -> Pilih tab HTTPS -> Check box Decrypt HTTP Traffic -> OK
- Set java client agar menggunakan localhost:8888 untuk proxy semua protokol, caranya (control panel -> java -> network settings -> use proxy server localhost:8888 -> advanced -> use same proxy for all protocols
- Lalu Edit rules caranya , Rules -> Costumize Rules
* Cari function static function OnBeforeResponse(oSession: Session) , dan tambah kan if(kondisi) dibawah ini
if (oSession.url.EndsWith("/admin/exec/show+version/show+curpriv/perfmon+interval+10/show+asdm+sessions/show+firewall/show+mode/changeto+system/show+admin-context")){
oSession.utilDecodeResponse();
oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5520,');
}
if (oSession.url.EndsWith("/admin/exec/show+version")){ oSession.utilDecodeResponse(); oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5510,'); }
* Cari function static function OnBeforeRequest(oSession: Session)
if ((oSession.url.EndsWith("/admin/asdm_handler")) || (oSession.url.EndsWith("/admin/pdm.sgz")))
{ oSession.bBufferResponse = false; }
10. Jalankan ASDM
Sebelumnya jalankan dulu fiddler2 lalu buka browser, ketik alamat https://192.168.1.252 , ignore dan accept masalah certificate , lalu akan tampil seperti dibawah ini. Lalu pilih " Run ASDM ", masukan username dan password yang sudah kita buat. Insyallah bisa jalan seperti saya...
Syslog Server (Generator)
di linux ada ns-syslogser, di windows ada kiwi syslogserver atau anda dapat menggunakan syslog watcher di ambil di sini:
http://rs778tl3.rapidshare.com/files/125901912/8121668/Syslog.Watcher.Pro.v2.5.0.370.Cracked-iNViSiBLE.rar
untuk cisco device dapat menggunakan perintah ini untuk syncron :
service timestamps log datetime localtime
no logging console
no logging monitor
logging 192.168.1.100
ini untuk asa / pix :
logging on
logging standby
logging timestamp
logging trap notifications
logging facility 19
logging host inside 192.168.1.100
ok!!
Rabu, 17 Februari 2010
Cisco PIX vs. Checkpoint Firewall
Introduction
Firewall technology ranges from packet filtering to application-layer proxies, to Stateful inspection; each technique gleaning the benefits from its predecessor.
Stateful inspection works at the network layer and does not require a separate proxy for each application. This technology does not suffer from the same degradation in performance as application-level technology (proxies), which involves the extra overhead of transporting data up to the application layer. And on the contrary of packet filters it has the ability to maintain session state and therefore increase the security level of a network transaction.
Checkpoint Firewall-1
Checkpoint FW-1 has been the firewall market leader since shortly after its introduction in 1994/95. Its well-designed GUI interface was, and still is, the best visual interface to any firewall product. This intuitive interface makes FW-1 easy to work with even for those new to firewalls.
FireWall-1 is based upon Stateful Inspection technology, the de facto standard for firewalls. Invented by Check Point, Stateful Inspection provides the highest level of security. FireWall-1’s scalable, modular architecture enables an organization to define and implement a single, centrally managed Security Policy. The enterprise Security Policy is defined on a central management server trough a GUI and downloaded to multiple enforcement points (Inspection Modules) throughout the network.
The FireWall-1 Inspection Module is located in the operating system (NT or UNIX operating systems) kernel at the lowest software level. The Inspection Module analyzes all packets before they reach the gateway operating systems. Packets are not processed by any of the higher protocol layers unless FireWall-1 verifies that they comply with the Inspection Module security policy (it examines communications from any IP protocol or application, including stateless protocols, such as UDP and RPC)
PIX Firewall
Originally designed to be a network address translator, Cisco introduced the Private Internet Exchange (PIX) Firewall series in 1994. The PIX Firewall is a high-performance firewall that uses Stateful packet filtering. The PIX Firewall is essentially a firewall appliance"--it has its own integrated hardware/software solution (Intel hardware / proprietary OS). The PIX Firewall is not Unix or NT-based, but is based on a secure, real-time embedded system, known as the Adaptive Security Algorithm (ASA), which offers Stateful inspection technology. ASA tracks the source and destination address, TCP sequence numbers, port numbers, and additional TCP flags. All inbound and outbound traffic is controlled by applying the security policy to connection table entries, which house the information. Access is permitted through the PIX Firewall only if a connection has been validated or if it has been explicitly configured.
Comparison
PIX and checkpoint FW-1 are using similar technologies in that both use smart packet filtering technologies (Stateful technology).
There are several key differences: one is that FW1 uses a general-purpose operating system while Cisco's PIX uses an embedded operating system. Another is that the PIX is essentially a "diode": you define a security level for an interface, and anything from a higher (internal=100) to a lower (external=0) is allowed while lower (external) to higher (internal) is blocked (with coding for exception); with FW1 there are no native directions, and everything must be coded. (For this reason, FW1 can be found much more flexible)
The license structure on the PIX is per-connection; the license structure on FW1 is per protected host. All other things being equal, maintenance is much easier on the PIX, and performance is higher on the PIX. Cisco has recently released a host-to-LAN encryption solution; FW1 has such a solution for a long time now (SecuRemote for windows boxes). FW1 has extra features such as bandwidth management (floodgate) or content vectoring servers and others (see OPSEC products).
Note that FW1 is developed in a Unix environment. The Unix implementation is more efficient, more mature, and more stable. It is wrong to go with NT unless the client swears he can support NT and is afraid of Unix. Also, comparing FW1 on a switch or on a NOKIA box versus the PIX could be kind of an interesting comparison.
PIX Pros:
1) Minimal configuration if you have few or zero internal devices that needs to be accessed directly from the Internet (i.e. web servers on a protected DMZ) and want to allow everything outbound.
2) Complete hardware/software solution, no additional OS vulnerabilities or boot-time errors to worry about.
3) Cisco support, which is generally very good.
4) Performance, probably the best in the business.
5) No special client side software other than telnet, tftp or serial port terminal software.
6) Lots of detailed documentation.
7) Free upgrades
PIX Cons:
1) Difficult to manage if you have many servers on a protected DMZ (lots and lots of conduit statements) or many firewalls to manage.
2) Routing limitation in complex network architectures (Need to add a router for EACH segment).
3) Command line (IOS style) based. Cisco GUI manager (PIX Firewall Manager) is currently in its early releases and not as functional as FW-1's.
4) No ability to off-load layer 7 services like: virus scanning, URL filtering, etc. You can filter on outgoing traffic, but the process is not dynamic.
5) Requires a separate syslog server for logging.
6) No source port filtering.
8) No clear documentation (Cisco's documentation is often conflicting, fails to explain which version of the PIX OS a certain configuration will or will not work under, and seems to be constantly changing).
FW-1 Pros:
1) Very functional GUI interface.
2) Based on Stateful inspection like PIX, but can off-load layer 7 inspection to other servers if required.
3) Lots of features for complex environments like: large protected DMZ, Windows VPN support, firewall synchronization, bi-directional NAT, etc.
4) Can be used to control bi-directional traffic.
5) Complex logging provided on management station.
FW-1 Cons:
1) Must account for OS vulnerabilities as well as FW-1 vulnerabilities.
2) Performance on NT not as good as on Unix or the PIX.
3) Support is only through re-sellers, very expensive (Contracts start at 50% of the price of the original software per year) and needed for products upgrades.
4) OS boot-time errors possibilities.
NB: PIX can filter java but no ActiveX or JavaScript filtering yet. (Although FW-1 can)
Conclusion
In the simplest terms, FW-1 can be considered much more functional than the PIX, while the PIX has better performance and support. If your particular environment requires a lot of functionality, the best choice is the FW-1 solution, although you might want to consider running it on a Unix platform rather than a NT platform. If your environment is pretty simple, PIX is a solid solution with very good performance.
site to site VPN ASA
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 1
lifetime 28800
access-list REMOTE_SITE ex permit ip 192.168.15.0 255.255.255.0 192.168.16.0 255.255.255.0
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto map OUTSIDE_MAP 20 match address REMOTE_SITE
crypto map OUTSIDE_MAP 20 set pfs group1
crypto map OUTSIDE_MAP 20 set peer 11.11.11.11
crypto map OUTSIDE_MAP 20 set transform-set ESP-AES-128-SHA
crypto map OUTSIDE_MAP 20 set security-association lifetime seconds 28800
crypto map OUTSIDE_MAP interface outside
nat (inside) 0 access-list REMOTE_SITE
tunnel-group 11.11.11.11 type ipsec-l2l
tunnel-group 11.11.11.11 ipsec-attributes
pre-shared-key ***
Kamis, 11 Februari 2010
Routing BGP single default route(default-originate)
Routing BGP single default route
Posted in BGP by giat on September 12, 2008
Konfigurasi BGP dengan single default route merupakan settingan routing untuk mengenal routing network yang berada diluar routing tabel yang ada. Misalnya terdapat suatu interkoneksi dengan ISP(internet service provider) dengan router tetangga/neighbor hal ini akan membuat routing pada ISP tidak akan sampai ke router yang kita miliki(konfigurasi). Untuk ini kita membutuhkan konfigurasi router BGP yakni Default-originate, settingan tersebut akan membuat routing pada ISP dapat sampai ke router kita.Sebagai contoh di bawah ini
akan menjelaskan konfigurasi router BGP dengan Default-originate.
Penjelasan pada gambar dimana pada kedua router saling terhubung dengan memakai nomor AS sama AS-1. Router A terkoneksi ke Router B dengan network 10.1.1.0 kedua router tersebut dapat saling berkomunikasi tanpa ada halangan. Router B terkoneksi dengan ISP atau Internet dengan network address 10.1.2.0/30 hal ini akan membuat router A tidak bisa mengenal network tersebut karena berada diluar routing tabel router A, untuk itu diperlukan konfigurasi default-route agar network luar dapat dikenal. Berbeda settingan default-router untuk router BGP, kali ini BGP akan memakai settingan sendiri yakni default-originate.
Default-originate akan menerangkan network diluar tabel routing yang kita miliki. Sama halnya dengan settigan routing default-route dipakai untuk routing internal.
Router A
router bgp 1
neighbor 10.1.1.2 remote-as 1
no sync
Router B
router bgp 1
neighbor 10.1.1.1 remote-as 1
neighbor 10.1.1.1 default-originate route-map exists
!
access-list 1 permit 10.1.2.0 0.0.0.3
!
route-map exists permit 10
match ip address 1
Konfigurasi diatas merupakan settingan pada router BGP untuk mendapatkan tabel routing ISP yang akan diperkenalkan pada Router A. Konfigurasi router B akan mengenal network internet kedalam tabel routing BGP router B sehingga router A dapat mengenal network tersebut. Setelah konfigurasi dilakukan coba periksa hasilnya pada tabel routing masing – masing router baik router A dan B dengan command show ip route untuk routing tabel dan show ip route bgp untuk tabel routing bgp. Apabila pada tabel routing tiap–tiap router menunjukan network address ISP/Internet tersebut berarti konfigurasi yang dilakukan berhasil kalo tidak coba lakukan verifikasi ulang terhadap konfigurasi masing - masing router.
routerA#show ip bgp
BGP table version is 3, local router ID is 172.17.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i – internal
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
*>i0.0.0.0 10.1.1.2 100 0 i
*>i10.1.2.0/30 10.1.1.2 0 100 0 i
routerA#show ip route
Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * – candidate default
U – per-user static route, o – ODR, P – periodic downloaded static route
T – traffic engineered route
Gateway of last resort is 10.1.1.2 to network 0.0.0.0
10.0.0.0/30 is subnetted, 2 subnets
B 10.1.2.0 [200/0] via 10.1.1.2
C 10.1.1.0 is directly connected, Serial0
B* 0.0.0.0/0 [200/0] via 10.1.1.2
Terlihat tabel routing router A network – network yang telah diperkenalkan oleh router B. Terdapat network 10.1.2.0 merupakan network ISP/Internet yang telah default-originate kan router B. Network 10.1.1.0 network terkoneksi langsung oleh kedua router. Apabila ada masalah jangan disimpan dalam hati, tanyakan sama orang yang lebih mengerti
Port forwarding NAT
Interface WAN :
interface GigabitEthernet0/1
ip address 222.222.222.4 255.255.255.248
ip nat outside
no cdp enable
!
Interface Lokal :
interface GigabitEthernet0/2
ip address 192.168.3.250 255.255.255.0
ip nat inside
no cdp enable
Untuk Nat nya :
access-list 1 permit 192.168.3.0 0.0.0.255
ip nat inside source list 1 interface GigabitEthernet0/1 overload
Pasang Gateway nya :
ip route 0.0.0.0 0.0.0.0 222.222.222.1
Untuk forwarding port nya (forward port 1933 ke port 5900 internal ) :
ip nat inside source static tcp 192.168.3.30 5900 interface GigabitEthernet0/1 1933
BGP Menggunakan route-maps dan MED Attribute
Penjelasan gambar jaringan :
- Router A , B , dan C dalam 1 AS NUMBER ( AS 65001 )
- Router A mengadvertise prefixs ke router X sbb :
1. 192.168.24.0/24 MED 200
2. 192.168.25.0/24 MED 100
3. 192.168.26.0/24 MED 100
- Router B mengadvertise prefix ke router Y sbb :
1. 192.168.24.0/24 MED 100
2. 192.168.25.0/24 MED 200
3. 192.168.26.0/24 MED 200
- Router A , B dan C iBGP
- Router X,Y dan Z dalam 1 AS NUMBER ( AS 65004 )
- Router X , y dan Z iBGP
- Router X jalan keluar dari Router A ( eBGP dengan router A )
- Router Y jalan keluar dari Router B ( eBGP dengan router B )
Multiple Exit Discriminator (MED)
Atribut ini berfungsi untuk menginformasikan router yang berada di luar AS untuk mengambil jalan tertentu untuk mencapai si pengirimnya. Atribut ini dikenal sebagai metrik eksternal dari sebuah rute. Meskipun dikirimkan ke AS lain, atribut ini tidak dikirimkan lagi ke AS ketiga oleh AS lain tersebut.
Maksud digunakan MED dalam kasus ini adalah :
- Mengatur inbound dari prefix yang di advertise dari router A dan router B ke router X dan Y.
- Secara Fisik ada 4 ( Router A dan B, Router X dan Y ) router yang melakukan ebgp tetapi secara AS number hanya 2 router yg melakukan ebgp yaitu AS 65001 dan AS 65004 susah untuk melakukan prepend karena hanya ada 1 AS number dr Upstream.
Berikut ini Konfigurasinya :
Konfigurasi di Router A:
router bgp 65001
neighbor 2.2.2.2 remote-as 65001
neighbor 3.3.3.3 remote-as 65001
neighbor 2.2.2.2 update-source loopback0
neighbor 3.3.3.3 update-source loopback0
// konfigurasi ibgp dengan router B dan C
neighbor 192.168.28.1 remote-as 65004
neighbor 192.168.28.1 route-map med_65004 out
// Konfigurasi eBGP dengan AS65004 ( router X )
!
access-list 66 permit 192.168.25.0.0 0.0.0.255
access-list 66 permit 192.168.26.0.0 0.0.0.255
// Access list prefix yang akan di ubah metric nya
!
route-map med_65004 permit 10
match ip address 66
set metric 100
// berikut ini atribute metric yang mengubah prefix access list 66 menjadi 100
!
route-map med_65004 permit 100
set metric 200
// Berikut ini setingan metric selain prefix access list 66 di ubah menjadi 200
Konfigurasi di Router B:
router bgp 65001
neighbor 1.1.1.1 remote-as 65001
neighbor 3.3.3.3 remote-as 65001
neighbor 1.1.1.1 update-source loopback0
neighbor 3.3.3.3 update-source loopback0
// ibgp router A dan C
neighbor 172.20.50.1 remote-as 65004
neighbor 172.20.50.1 route-map med_65004 out
// eBGP router B dengan Y ( AS 65004 )
!
access-list 66 permit 192.168.24.0.0 0.0.0.255
// access list prefix yang akan di ubah metricnya
!
route-map med_65004 permit 10
match ip address 66
set metric 100
// berikut ini atribute metric yang mengubah prefix access list 66 menjadi 100
!
route-map med_65004 permit 100
set metric 200
// Berikut ini setingan metric selain prefix access list 66 di ubah menjadi 200
Hasilnya ( dilihat dari route Z ) :
RouterZ# show ip bgp
BGP table version is 7, local router ID is 122.30.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.168.24.0 172.20.50.2 100 100 0 65001 i
* i 192.168.28.2 200 100 0 65001 i
* i192.168.25.0 172.20.50.2 200 100 0 65001 i
*>i 192.168.28.2 100 100 0 65001 i
* i192.168.26.0 172.20.50.2 200 100 0 65001 i
*>i 192.168.28.2 100 100 0 65001 i
Penjelasan :
- Metric yang paling kecil adalah jalur yang paling best path
- Inbound prefix 192.168.24.0/24 via 172.20.50.2 (Router B) dengan metric 100
- Inbound prefix 192.168.25.0/24 via 192.168.28.2 (Router A) dengan metric 100
- Inbound prefix 192.168.26.0/24 via 192.168.28.2 (Router A ) dengan metric 100
Rabu, 03 Februari 2010
Diffserv menggunakan nilai DiffServ Code Point (DSCP) untik misahkan trafik kedalam kelas-kelas. DiffServ mengenal dua macam nilai DSCP berikut:
· Expedited Forwarding (EF) – merupakan satu nilai DSCP tunggal (101110) yang memberikan tanda prioritas tertinggi suatu paket dalam jaringan. EF biasanya lebih tepat untuk aplikasi VoIP.
· Assured Forwarding (AF) – Meyediakan 4 kelas, dengan masing-masing memiliki 3 level drop precedence.
DiffServ adalah salah satu pendekatan dalam mengembangkan end-to-end pada intenet secara modular, incrementally deployable dan scalable. DiffServ bertujuan untuk memberikan pembedaan (diskriminasi) layanan terhadap aliran paket data tanpa memerlukan pensinyalan antar node (per-hop signalling). DiffServ mengijinkan ISP untuk menawarkan layanan yang berbeda-beda kepada customer dalam hal forwarding paket data/aliran tertentu. Differentiated Services (Diffserv) menyediakan diferensiasi layanan, dengan membagi trafik atas kelaskelas, dan memperlakukan setiap kelas secara berbeda. Tujuan utama dari arsitektur Diffserv ini adalah untuk menyediakan frame yang scalable untuk mendukung tersedianya QoS tanpa perlu mempunyai per flow state. Hal ini terutama didapat melalui pengumpulan sejumlah flow dan memberinya perlakuan yang mirip (hampir sama). Identifikasi kelas dilakukan dengan memasang semacam kode Diffserv, disebut Diffserv Code Point (DSCP) ke dalam paket IP. Ini dilakukan dengan tidak menambah header baru, tetapi dengan menggantikan field TOS (Type of Service) di header IP dengan DS field. Dengan cara ini, klasifikasi paket melekat pada paket dan bisa diakses tanpa perlu protokol pensinyalan tambahan.
Berdasarkan kesepakatan bersama router yang lainnya dalam domain tersebut, yang menerima paket hanya melihat nilai DiffServ codepoint (DSCP) yang memberi perlakuan istimewa pada paket tersebut. Perlakuan istimewa ini disebut Per-Hop Behavior (PHB). Dasar pemikiran pada arsitektur DiffServ adalah router pada suatu domain jaringan mempunyai kemampuan untuk meneruskan dan melakukan conditioning aliran trafik dimana aliran trafik menerima perlakuan yang berbeda-beda sesuai dengan per hop behavior (PHB). Arsitektur DiffServ tidak memakai suatu pensinyalan antar masing-masing router tetapi semua forwarding behavior didefinisikan berdasarkan DSCP.
Keuntungan Diffserv
1. Scalability
Scalability sangat penting menyangkut sebagai sebuah jaringan inti dapat mempunyai jumlah flow yang sangat besar dan beberapa protokol yang memerlukannya untuk mengurus per flow state atau perhitungan kompleksitas yang tidak diskalakan dengan baik. Diffserv mengumpulkan banyak flow, oleh karena itu dapat menangani jumlah flow yang besar. Bahkan sejak PHB secara esensial menjadi sederhana, Diffserv meminjamkannya dengan baik untuk digunakan pada kecepatan yang tinggi yang membuatnya scalable dengan kecepatan.
2. Easy of administering
Dalam DS framework, domain Diffserv yang berbeda dapat menerapkan PHB, apabila cocok, sejauh terdapat persetujuan terlebih dahulu dengan domain lainnya yang ditemui. Hal ini memberi service provider sebuah kebebasan untuk memilih penerapannya sebagai konsekuensi mereka dapat menyediakan Diffserv dengan perubahan yang minimal pada infrastruktur tersebut.
3. Simplicity
Penerapan Diffserv tidak meyimpang/berbeda banyak dari dasar IP. Maka Diffserv membentuk kesederhanaan dan kemudahan penerapan di dalamnya.
4. Measureable
Semenjak masing-masing hop berada dalam sebuah domain Diffserv, traffic conditioner dan shapers secara konstan melakukan pengukuran kecepatan kedatangan dan link schedulers melakukan monitoring paket yang dikirim, tidak banyak usaha yang diperlukan untuk mendapatkan informasi penting dari tingkah laku jaringan . Service providers dapat menggunakan informasi untuk alokasi bandwidth yang terbaik dan membuat SLA dengan pengguna.
Arsitektur Diffserv
Arsitektur Diffserv memiliki tiga komponen, yaitu:
1. Policy dan resource manager
Membuat kebijakan-kebijakan dan mendistribusikannya kepada Diffserv router. Sebuah kebijakan menentukan tingkatan layanan mana yang diberikan untuk suatu paket dalam jaringan. Penugasa ini akan bergantung pada kelakuan dari flow sumber tersebut (average rate-nya dan burstness-nya)
2. Edge routers
Bertanggung jawab untuk menandai paket dengan sebuah code point sesuai dengan kebijakan yang telah dispesifikasikan sebelumnya oleh administrator jaringan yang mereflesikan level layanan yang diinginkan. Untuk melakukannya edge router mengukur parameter input trafik dari setiap flow
3. Core routers
Core routers bertugas memeriksa paket datang yang sebelumnya telah ditandai dengan code point oleh edge router. Core router meneruskan paket dating sesuai dengan tanda yang telah diberikan (menyediakan reaksi atas tanda yang diberikan edge router pada paket).
Arsitektur DiffServ.JPG
Diffserv Filed
DiffServ menyediakan diferensiasi layanan dengan membagi trafik berdasar kelas-kelas pada edge router dengan menggunakan DSCP field atau IP precedence field untuk mengidentifikasi kelas-kelas layanan. Pada DiffServ, trafik dibagi kedalam beberapa kelas dan masing-masing ditangani secara berbeda khususnya ketika jumlah resource jaringan terbatas. Header IPv4 mengandung byte ToS dan aplikasi dapat men-set 3 bit di sebelah kiri (IP Precedence) untuk menunjukkan kelas layanan. Kemudian DiffServ menamai ulang byte ToS menjadi Differentiated Services field (DS field), seperti yang ditunjukkan pada Gambar berikut ini.
Hubungan struktur header IP dan DS field.JPG
Arsitektur DiffServ menyediakan QoS dengan membagi trafik menjadi beberapa kategori, Menandai tiap paket dengan sebuah kode poin (code point) yang mengindikasikan kategorinya, dan menjadwal paket sesuai dengan code point tersebut. DiffServ dapat mendukung empat kelas trafik, setiap trafiknya memiliki tiga dropping precedences (hak di-drop terlebih dahulu) membolehkan perlakuan yang berbeda dari trafik dalam satu kelas. Paket dalam satu kelas trafik diantrikan ke satu antrian fisik RED yang berhubungan, dimana berisi tiga antrian virtual (satu untuk tiap drop precedence).
Traffic Conditioning
Merupakan mekanisme fungsi control yang mengatur suatu trafik pada saat memasuki domain Diffserv.
Komponen dari Traffic Conditioner.JPG
Ketika suatu paket tiba di edge router, paket akan diperiksa oleh komponen classifier untuk menentukan milik kumpulan mana paket tersebut. Komponen meter akan meng-update semua variable yang tersedia kemudian marker akan menentukan code point yang sesuai dengan Policy, kemudian paket diantrikan. Shaper/Dropper memberi keputusan akan men-delay atau men-drop paket sesuai dengan profil yang telah ditentukan sebelumnya. Terdapat 6 model policy:
1. Time Sliding Window with 2 Color Marking (TSW2CMPolicer):
Menggunakan sebuah CIR dan 2 drop precedences. Precedence yang lebih rendah digunakan secara probabilistik ketika CIR telah dilampaui.
2. Time Sliding Window with 3 Color Marking (TSW3CMPolicer):
Menggunakan sebuah CIR, PIR dan 3 drop precedences. Drop precedence yang medium digunakan secara probabilistik ketika CIR dilampaui dan precedence terendah digunakan secara probabilistik ketika PIR dilampaui.
3. Token Bucket (tokenBucketPolicer) :
Menggunakan sebuah CIR dan sebuah CBS serta 2 drop precedences. Paket yang datang ditandai dengan precedence yang lebih rendah jika dan hanya jika paket itu lebih besar dari token bucket.
4. Single Rate Three Color Marker (srTCMPolicer) :
Menggunakan sebuah CIR, CBS, dan sebuah EBS untuk dipilih dari 3 drop precedences.
5. Two Rate Three Color Marker (trTCMPolicer) :
Menggunakan sebuah CIR, CBS, PIR, dan sebuah PBS untuk dipilih dari 3 drop precedences.
6. NullPolicer :
Tidak men-downgrade paket apapun.
Per-Hop Behaviors (PHB)
PHB didefinisikan sebagai suatu mekanisme forwarding paket yang dilakukan tiap node DiffServ. Sebuah node mengalokasikan resources dengan Behaviour Aggregates (BA) yang berbeda dengan node yang lainnya. Mekanisme alokasi resource hop-by-hop ini merupakan dasar dari prinsip DiffServ. PHB digunakan untuk mengidentifikasi perlakuan yang akan diberikan pada sebuah flow khusus (atau kumpulan jika router adalah core router). Pada PHB terdapat proses pengaturan antrian (queuing) dan mekanisme dropping paket yang dilakukan di setiap hop dalam jaringan.
Assured Forwarding (AF) PHB
Assured Forwarding (AF) PHB merupakan suatu metode dari domain DiffServ untuk menawarkan jaminan dari level forwarding yang berbeda untuk tiap paket IP yang diterima. Objektivitasnya adalah untuk mengirimkan paket sampai di tujuannya, maka dari itu delay dan jitter tidak sepenting packet loss. Spesifikasi AF yang ada sekarang ini menyediakan pengantaran paket-paket dalam 4 kelas yang masing-masing terdiri dari 3 drop precedence. Paket-paket yang berada dalam satu kelas harus di-forward terpisah dari paket-paket yang terdapat pada kelas AF yang lainnya. Dalam tiap kelas AF, paket IP ditandai dengan satu dari tiga kemungkinan nilai Drop Precedence yang menentukan pentingnya paket tersebut dalam suatu kelas. Dalam kasus kongesti, paket dengan drop precedence yang lebih rendah terlindungi dari kehilangan (packet lost) dengan lebih memilih membuang paket dengan drop precedence yang lebih tinggi. Level drop precedence ini ditunjukkan pada tabel di bawah ini
Tabel 2.1. DSCP Assured Forwarding PHB.JPG
Minggu, 31 Januari 2010
Dynamic Routing
Begitu terjadi perubahan / topology changes, dynamic routing protocol akan segera meberikan informasi update kepada router-router lain yang menggunakan routing protocol yang sama. Namun, satu hal yang perlu diperhatikan adalah best path yang dihasilkan oleh dynamic routing protocol mungkin berbeda dengan kalkulasi atau kehendak admin. Maka, dynamic routing protocol dikombinasikan dengan attic routing protocol untuk menjamin availability
Routing protocol yang bersifat dynamic antara lain:
1. Routing Information Protocol (RIP)
2. Interior Gateway Routing Protocol (IGRP)
3. Enhanced IGRP (EIGRP)
4. Open Shortesa Path First (OSPF)
5. Intermediate System – Intermediate System (IS-IS)
6. Berder Gateway Protocol (BGP)
Klasifikasi dynamic routing protocol :
1. Classful Routing Protocol is Classless Routing Protocol
2. Interior Gateway Protocol is Exterior Gateway protocol (IGP vs EGP)
3. Distance Vector Routing Protocol (DV) vs Link-State Routing Protocol (LS)
IGP merujuk pada dynamic routing protocol yang mengatur jaringan dalam lingkup / domain 1 Autonomous System(AS). Sementara, EGPadalah istilah untuk routing protocol yang meungkinkan komunikasi antar AS.
1-5 => IGP, 6=>EGP
Autonomous System merujuk pada scope / batasan administrative yang menunjukkan network-network dalam batasan tersebut dikelola oleh suatu routing algotithm dan oleh satu entitas / perusahaan / ISP.
Distance vector merupakan dynamic routing protocol yang mengkalkulasi best path berdasarkan jarak(distance) dan arah (vector). DV memanfaatkan system “routing by rumors” untuk mengupdate seluruh isi dari routing table kepada neighbor router yang menjalankan routing protocol yang sama secara periodic. Jadi, router hanya mendasarkan info-info yang diterimanya dari tetangga untuk menentukan route-route yang ada. DV memiliki convergence time jauh lebih lambat dari Link-State. DV menggunakan algoritma Bellmen Ford. Eg 1, 2, 3, 6
Link state Routing Protocol merupakan dynamic routing protocol yang memiliki converge time yang lebih cepat, punya info independen mengenai bentuk jaringan / topology yang seungguhnya (dalam bentuk tree), isi paket-paket update yang dikirim adalah hanya rute-rute yang berubah saja dan bukan keseluruhan isi dari routing table dan menggunakan resource CPU router secara intensif. Link state menggunakan algoritma Djikstra. Eg 4 & 5
Classful routing protocol adalah routing protocol yang tidak menyertakan info subnet Mask dalam paket updatenya. Akibatnya, sebuah jaringan tidak dapat memiliki variasii subnet mask atau tidak mendukung VLSM. Jika dipaksakan, maka akan timbul ‘discontigous network’. Classless routing protocol merupakan kebalikannya. Classless routing protocol menyediakan sebuah field untuk subnet Mask sehingga mendukung VLSM, CIDR, Summary route dan tidak lagi berbasiskan kelas subnet.
Convergence adalah kondisi tiap router yang menjalankan routing protocol memiliki info jaringan yang akurat dan benar.bila ada paket data yang dikirim pada saat router belum convergence, maka ada kemungkinan paket data tersebut akan menumpuk rute yang tidak optimal.
Metric adalah nilai yang digunakan oleh routing protocol untuk menentukan apakah sebuah jalur merupakan best path atau bukan. Nilai metric semakin kecil berarti rute / jalur tersebut makin baik.
Beberapa parameter yang digunakan dalam kalkulasi metric:
* Hop counts
* Bandwith
* Delay
* Reliability
* Load
* Cost
Tiap routing protocol punya ketentuan atau perhitungan metric yang berbeda-beda. Karena itu, maka diperlukan satu perameter untuk menentukan atau mamilih satu routing protocol jika kita menjalankan bebrapa routing protocol. Parameter tersebut kita sebut Distance / AD. Semakin kecil nilai AD, maka ia akan semaikn dipilih.
Daftar nilai AD yang perlu dihafalkan:
* Directly Connected = 0
* Static Route = 1
* Summary route EIGRP = 5
* EIGRP internal = 90
* IGRP = 100
* OSPF = 110
* RIP = 120
* EIGRP eksternal = 170
Redistribute Routing Protokol
Sunday, January 17th, 2010
Redistribute pada EIGRP
Config-router# redistribute ‘routing protocol’ metric ‘bandwidth’ ‘delays’ ‘reliability’ ‘load’ ‘mtu’
exmple :
* redistribute rip metric 1024 100 255 1 1500
* redistribute ospf 1 metric 1024 100 255 1 1500
Redistribute pada OSPF
Config-router# redistribute ‘routing protocol’ ‘EIGRP’s AS# (if using EIGRP)’ metric metric-value metric-type [1|2] subnets
example :
* redistribute eigrp 90 metric 1024 metric-type 2 subnets
* redistribute rip metric 1024 metric-type 2 subnets
Redistribute pada RIP
Config-router# redistribute ‘routing protocol’ ‘[EIGRP AS#|OSPF ProcessID]’ metric hop-counts
example :
* redistribute eigrp 90 metric 1
* redistribute ospf 1 metric 1