Vous êtes sur la page 1sur 274

Advanced Mikrotik Training

Routing (MTCRE)
Certified Mikrotik Training - Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)

Jadwal Training
Sesi 1

Sesi 2

Hari 1

Hari 2

00-2

Sesi 4

Static Route

Tunnel

Load Balance

Hari 3

Hari 4

Sesi 3

OSPF

LAB

Mikrotik Indonesia http://www.mikrotik.co.id

TEST

31-Aug-15

New Training Scheme 2010

00-3

Basic/Essential Training
MikroTik Certified Network Associate (MTCNA)
Advanced Training
Certified Wireless Engineer (MTCWE)
Certified Routing Engineer (MTCRE)
Certified Traffic Control Engineer (MTCTCE)
Certified User Managing Engineer (MTCUME)
Certified Inter Networking Engineer (MTCINE)

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Certification Test

00-4

Diadakan oleh Mikrotik.com secara online


Dilakukan pada sessi terakhir
Jumlah soal : 25
Nilai minimal kelulusan : 60% Trainer: 75%
Yang mendapatkan nilai 50% hingga 59%
berkesempatan mengambil second chance
Yang lulus akan mendapatkan sertifikat yang
diakui secara internasional

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

License for training program materials and certification


test questions
All content of written materials, specifically questions, answers and diagrams
of the certification tests questions are the proprietary and confidential property
of Mikrotikls SIA. They may not be copied, reproduced, modified, published,
uploaded, posted, transmitted, or distributed in anyway without prior written
permission of Mikrotikls SIA.
You are expressly prohibited from disclosing, publishing, reproducing, or
transmitting any tests and any related information including, without limitation,
questions, answers, worksheets, computations, drawings, diagrams, length or
number of test segments or questions, or any communication, including oral
communication, regarding or related to the tests (known collectively as
Proprietary Information), in whole or in part, in any form or by any means,
oral or written, electronic or mechanical, for any purpose.
A disclosure of Proprietary Information by any means in violation of this license
undermines the integrity and security of the MikroTik training programs

Violation of Test Questions license may lead to a temporary or permanent


ban on future MikroTik certification tests and the cancellation of previously
earned MikroTik certifications.
00-5

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Trainers

Novan Chris

Pujo Dewobroto

00-6

MTCNA (2006), Certified Trainer (2008)


MTCWE (2008), MTCRE (2008)
MTCTCE (2011), MTCINE (2012) , MTCUME
(2012)
MTCNA (2009), MTCTCE (2009), MTCRE
(2011)
MTCWE (2010), MTCUME (2012)
Certified Trainer (2011)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Perkenalan

Perkenalkanlah :

00-7

Nama Anda :
Tempat Bekerja :
Kota / Domisili :
Apa yang Anda kerjakan sehari-hari dan
fitur-fitur apa yang ada di Mikrotik yang
sudah Anda gunakan.
Motivasi mengikuti training.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route & Policy Route


Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)

Outline

Basic Config
Routing Concepts
Routing Parameters
Routing Table
Point to Point Addressing
Check Gateway
SCOPE & Target SCOPE
SRC-Routing
Policy Routing

01-9

Route Rules
Route Firewall Route Mark
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Lakukanlah terlebih dahulu!

01-10

Ubahlah nama Router System Identity


menjadi :
XX-NAMA ANDA
Aktifkan neighbor interface pada WLAN1
Buatlah username baru untuk anda dan
berilah password (group full)
Proteksilah user admin (tanpa password)
hanya bisa diakses dari 10.10.10.30/31
(group full)
Buatlah user demo dengan group read
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] System Identity

01-11

Supaya tidak membingungkan, ubahlah nama


router Anda.
Format: xx-NamaAnda

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-2] Activate Neighbor Protocol


Aktifkan Discovery Interface agar router bisa
saling mendeteksi di layer 2 menggunakan
MNDP

01-12

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-3] User Configuration


Persiapkan User di
Router mikrotik supaya
siap di semua kegiatan
lab training.

01-13

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-4] Konfigurasi Dasar

WLAN1
10.10.10.1/24

WLAN1
10.10.10.X/24

ETHER1
192.168.1.1/24

ETHER1
192.168.2.1/24

ETHER1
192.168.X.1/24

ETHERNET PORT
192.168.1.2/24

ETHERNET PORT
192.168.2.2/24

ETHERNET PORT
192.168.X.2/24

MEJA 1
01-14

WLAN1
10.10.10.2/24

MEJA 2
Mikrotik Indonesia http://www.mikrotik.co.id

MEJA X
31-Aug-15

IP Configuration

01-15

Routerboard Setting
WAN IP : 10.10.10.x/24
Gateway : 10.10.10.100
LAN IP : 192.168.x.1/24
DNS : 10.100.100.1
Services: Src-NAT and DNS Server
Laptop Setting
IP Address : 192.168.x.2/24
Gateway : 192.168.x.1
DNS : 192.168.x.1
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Configuration

NTP Client = enable

01-16

NTP Server : id.pool.ntp.org/ ntp.nasa.gov

Sesuaikan System Clock menggunakan


TimeZone Asia-Jakarta
Wlan1 SSID : training (WPA=.)
Buatlah file backup! Dan simpan file tersebut ke
laptop

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing

01-17

Sebuah metode atau proses untuk meneruskan


paket data dari suatu jaringan ke jaringan lain
yang berbeda segmen (berbeda subnet).
Proses ini dilakukan pada OSI layer 3
(Network).
Pada Mikrotik, fungsi Routing ini sudah menjadi
fitur / fungsi standart dan sudah ada di paket
System.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Benefits

Memungkinkan kita melakukan pemantauan dan


pengelolaan jaringan yang lebih baik.

Lebih aman (firewall filtering lebih mudah dan lengkap)

01-18

Pemisahan jaringan menjadi beberapa subnet sesuai


kebutuhan.
Pengembangan jaringan menjadi lebih mudah.
Trafik broadcast hanya terkonsentrasi di subnet yang
sama.

Jika diimplementasikan pada jaringan wireless,


dibutuhkan perangkat wireless yang mampu
melakukan full routing, atau bisa juga menambahkan
router di wireless BTS.
Untuk network dengan skala besar, bisa
menggunakan protocol Dynamic Routing
(RIP/OSPF/BGP)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing
192.168.1.0/24
192.168.3.0/24

192.168.2.0/24

ROUTER
GATEWAY
WIRELESS

setiap segment jaringan memiliki


subnet IP address yang berbeda.

01-19

192.168.0.0/24

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Tipe Routing

MikroTik RouterOS tipe routing sbb:

dynamic routes
yang akan dibuat secara otomatis:

01-20

saat menambahkan IP Address pada interface


(Connected Routes)
informasi routing yang didapat dari protokol routing
dinamik seperti RIP, OSPF, dan BGP.

static routes
adalah informasi routing yang dibuat secara
manual oleh user untuk mengatur ke arah mana
sebuah koneksi akan dilewatkan. Default route
adalah salah satu contoh static routes.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Tipe Routing
A: Active
S: Static

A: Active
D: Dynamic
C: Connected

01-21

Setiap memasang IP disebuah interface, secara


otomatis akan dibuatkan routing DAC untuk
networknya dengan prefered source IP tersebut

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Connected Routes

01-22

Dibuat secara otomatis setiap kali kita


menambahkan sebuah IP Address pada
interface yang valid (interface yang aktif).
Jika terdapat dua buah IP Address yang satu
subnet pada satu interface yang sama, maka
hanya akan ada 1 connected route.
Jangan menempatkan dua ip address dari
subnet yang sama tetapi diletakkan pada dua
interface yang berbeda, karena akan
membingungkan tabel dan logika routing di
router.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Connected Routes

01-23

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route

Static Routing digunakan untuk melakukan


pengaturan arah paket data yang akan melalui
router, yaitu dengan menentukan gateway untuk
dst-address yang spesifik.
Dst-address=0.0.0.0/0 sering disebut sebagai
all destination address karena ip 0.0.0.0/0 bisa
menggantikan/mewakili semua ip address.
Gateway bisa berupa :

01-24

IP Address
Interface (khusus PPP interface)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Menambahkan Routing

01-25

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route

Contoh Implementasi Static Route,


yaitu pemasangan Default Gateway
atau Default Route.
01-26

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Parameter Dasar Routing

01-27

Destination
Host address 222.124.211.23
Network address 202.53.246.0/24
Semua Network / Semua Host 0.0.0.0/0
Gateway
IP Address gateway, harus merupakan IP Address yang satu subnet
dengan IP yang terpasang pada salah satu interface

Gateway Interface, digunakan apabila IP gateway tidak diketahui atau


bersifat dinamik (hanya bisa menggunakan interface ber-type PPP).
Pref Source
source IP address dari paket yang akan meninggalkan router,
Biasanya adalah ip address yang terpasang di interface yang menjadi
gateway (juga digunakan untuk proses NAT-Masquerade).
Distance
Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing
yang akan dijalankan router.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Konsep Dasar Routing


IP Address Gateway harus merupakan IP Address
yang subnetnya sama dengan salah satu IP Address
yang terpasang pada router (connect directly).

10.10.0.2/24

A
10.10.1.1/24

10.10.2.1/24

10.10.2.2/24

10.10.3.2/24

B
10.10.4.1/24

Pada interface yang menghubungkan router A


dan B, pada masing-masing router terdapat
lebih dari 1 buah IP Address.
Default gateway pada router B adalah router A
IP Address yang menjadi default gateway
router B adalah 10.10.2.1, karena IP Address
tersebut berada dalam subnet yang sama
dengan salah satu IP Address pada router B
(10.10.2.2/24)
Setting static route default :

10.10.4.2/24

01-28

Dst-address=0.0.0.0/0 gateway=10.10.2.1

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Implementasi Konsep Routing


10.10.0.1/24

(DAC) Dst-addr= 10.10.1.0/24


pref-source=10.10.1.2
(DAC) Dst-addr= 10.10.2.0/24
pref-source=10.10.2.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2

(DAC) Dst-addr= 10.10.2.0/24


pref-source=10.10.2.2
(DAC) Dst-addr= 10.10.3.0/24
pref-source=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1

10.10.0.2/24
10.10.2.2/24
10.10.1.1/24

10.10.1.2/24

10.10.2.1/24
10.10.3.1/24

(DAC) Dst-addr= 10.10.0.0/24


pref-source=10.10.0.2
(DAC) Dst-addr= 10.10.1.0/24
pref-source=10.10.1.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2

01-29

10.10.3.2/24
(DAC) Dst-addr= 10.10.3.0/24
pref-source=10.10.3.2
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Konsep Dasar Routing


Untuk pemilihan routing, router akan memilih
berdasarkan:

Rule routing yang paling spesifik dst-address


nya menyesuaikan dengan tujuan paket

Distance

01-30

Contoh: destination 192.168.0.128/26 lebih spesific


dari 192.168.0.0/24 jika tujuan paket menuju ke
host ip 192.168.0.130
Router akan memilih yang distance nya paling kecil

Round robin (random)

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh Pemilihan
Untuk koneksi dengan destination
192.168.0.1, manakah urutan prioritas rule
yang digunakan?
Destination

01-31

Gateway

Distance

Prioritas

192.168.0.0/27 192.168.1.1

192.168.0.0/29 192.168.2.1

192.168.0.0/24 192.168.3.1

192.168.0.0/24 192.168.4.1

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Distance
Merupakan salah satu parameter yang digunakan
untuk pemilihan (prioritas) rule routing, nilainya
(0-255) secara default tergantung protocol routing
yang digunakan:

01-32

Connected routes : 0

Static Routes

:1

eBGP

: 20

OSPF

: 110

RIP

: 120

MME

: 130

iBGP

: 200

Note:
Distance=255
berarti rejected

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Table

Routing Table dibuat oleh router untuk


memetakan jaringan yang ada di sekitar
perangkat router tersebut.
Routing Table terdiri dari 2 bagian :

01-33

RIB Routing Information Base


FIB Forwarding Information Base

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Information Base


Connected
Routes
Static
Routes

All
Routes

OSPF

BGP

OSPF

RIP

MME

Output
Filters

Protocols
Routes

Input
Filters

RIP

Actives
Routes

Instance 1

Route
Selection

MME

BGP
Instance 1

Discard

01-34

Instance 2

Instance 2

Instance n

Instance n

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Information Base


Berisi informasi routing yang lengkap, yang terdiri
dari:

01-35

Static routes dan Policy Routing Rules


Informasi routing dari Dynamic Routing Protocol
(RIP, OSPF, BGP, etc)
Informasi Connected Routes

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Information Base


Digunakan untuk:

01-36

Memfilter informasi routing


Mengkalkulasi best route untuk masing-masing
dst-address/prefix
Membuat dan mengupdate Forwarding
Information Base (FIB)
Mendistribusikan informasi routing ke routing
protokol lainnya

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Forwarding Information Base

FIB merupakan tabel yang digunakan untuk


menentukan forwarding packet.
Tabel ini berisi :
FIB

Active route
Policy Routing Rules

Routing Tables

Rules

Main
Connected
Routes

Implicit

Active
Routes
User
Defined
Catch
All

01-37

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Forwarding Information Base


FIB akan melihat melihat parameter berikut
untuk menentukan routing:

Source Address
Destination Address
Source Interface
Routing Mark
ToS

Kemungkinan decision routingnya meliputi :

01-38

Paket di tujukan untuk ke router


Paket di discard
Paket di tujukan ke sebuah alamat
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Forwarding Information Base


+

Cache

FIB

Hasil penentuan routing akan disimpan


kedalam route cache untuk mempercepat
proses forwarding paket-paket berikutnya
Jika paket yang memiliki parameter srcaddress, dst-address, src-interface, routing
mark dan tos sama, maka router cukup
melihat dari route cache
01-39

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Point to Point Addressing


Adalah sistem pengalamatan IP Address
untuk dua buah perangkat yang terkoneksi
langsung, menggunakan dua buah IP
Address /32
Router 1

01-40

Router 2

172.16.0.X1/32

IP Address

172.16.0.X2/32

172.16.0.X2

Network Address

172.16.0.X1

[kosongkan]

Broadcast Address

[kosongkan]

ether2

Interface

ether2

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-5] P2P Addressing

Hubungkanlah ether2 di router dengan ether2 router rekan


semeja menggunakan kabel ethernet.
Buatlah P2P Addressing dan lakukanlah static route untuk
network laptop
Test koneksi dengan ping antar router & test ping antar laptop

Router Meja X
172.16.0.X1/32

Ether2

Router Meja X
172.16.0.X2/32

Ether2

192.168.X.2

01-41

Mikrotik Indonesia http://www.mikrotik.co.id

192.168.X.2
31-Aug-15

Contoh: P2P Addressing


Router Meja 1

Router Meja 2

01-42

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Check Gateway

01-43

Adalah sebuah mekanisme pengecekan


gateway yang dilakukan oleh router mikrotik.
Dikirimkan setiap 10 detik, menggunakan ARP
request atau ICMP ping.
Dianggap Gateway time-out jika tidak
menerima respon dalam 10 detik dari mesin
Gateway.
Gateway dianggap unreachable jika terjadi 3
kali Gateway time-out berurutan.
Jika mengaktifkan fitur check gateway untuk
sebuah rule, maka akan berpengaruh juga untuk
semua rule lain dengan gateway yang sama.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Check Gateway Option

01-44

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-6] Static Route


192.168.X.2

192.168.X.2

R1

Ether2
172.16.Y.1/32

Ether3
172.16.Y.2/32

172.16.Y.3/32
Ether3

172.16.Y.5/32
Ether2

Ether2
172.16.Y.4/32

Ether3
172.16.Y.6/32

R3

172.16.Y.7/32
Ether3

172.16.Y.8/32
Ether2

192.168.X.2

01-45

R2

Mikrotik Indonesia http://www.mikrotik.co.id

R4

192.168.X.2
31-Aug-15

[LAB-6] Static Route 2

Pasang ip Point to Point untuk menghubungkan semua


Router dalam kelompok.
Buatlah static route untuk menjangkau setiap laptop teman
sekelompok menggunakan link Point to Point address.

Konfigurasi Distance untuk menentukan Prioritas link.

Link utama adalah melalui jalan terdekat

Jika ada kondisi jaraknya sama, maka link utama adalah


yang searah jarum jam.

Pantaulah link utama dengan menggunakan check-gateway

Buatlah static route juga untuk back-up link

01-46

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Quiz !
Terdapat kofigurasi
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101
distance=1
add dst-address=192.168.1.0/28 gateway=10.10.10.100 checkgateway=ping distance=2
add dst-address=192.168.2.0/28 gateway=10.10.10.101 checkgateway=ping distance=2

Untuk trafik yang menuju ke 192.168.2.20 akan melewati


gateway?
Untuk trafik yang menuju ke 192.168.1.14 akan melewati
gateway?
Apabila gateway 10.10.10.100 putus? Bagaimana yang
terjadi?
01-47

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-7] Static Route (Fail Over)


192.168.X.2

192.168.X.2

DROP LINK !!!!!!

R1

Ether2
172.16.Y.1/32

Ether3
172.16.Y.2/32

172.16.Y.3/32
Ether3

172.16.Y.5/32
Ether2

Ether2
172.16.Y.4/32

Ether3
172.16.Y.6/32

R3

172.16.Y.7/32
Ether3

172.16.Y.8/32
Ether2

192.168.X.2

01-48

R2

Mikrotik Indonesia http://www.mikrotik.co.id

R4

192.168.X.2
31-Aug-15

Evaluasi

01-49

Mekanisme Check gateway yang kita gunakan


hanya bisa mendeteksi problem koneksi pada
hoop (gateway) terdekat.
Jika problem terjadi setelah gateway terdekat
(next hoop), check gateway tidak bisa
mendeteksinya.
Untuk mendeteksi problem koneksi yang terjadi
setelah gateway terdekat, bisa digunakan teknik
scope/target scope.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Scope dan Target Scope

Digunakan untuk static route yang dibuat


recursive (tidak terkoneksi langsung).
Target Scope adalah nilai scope maksimum
dari rule lainnya yang reachable.
Kegunaan:

01-50

Bisa melakukan pemantauan check gateway


ping untuk gateway yang tidak terhubung
langsung
Dikombinasikan dengan iBGP bila nexthoop
tidak direct connected
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Scope dan Target Scope


Nilai default scope dan target scope:

01-51

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Scope dan Target Scope


Contoh: dst-address 0.0.0.0/0 dengan gateway
117.20.50.233, recursive via 10.10.10.100

10.10.10.100/24

10.10.10.1/24

01-52

117.20.50.233

Dst-Address

Gateway

Scope

Target Scope

0.0.0.0/0

117.20.50.233

30

30

117.20.50.233

10.10.10.100

30

10

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-8] Routing - Scope

01-53

Sesuai dengan diagram network pada LAB-7 sebelumnya,


perbaikilah sistem monitoring link sehingga bisa
mendeteksi adanya problem koneksi yang terjadi setelah
gateway terdekat.
Coba cabut salah satu koneksi kabel untuk
mensimulasikan terjadinya permasalahan di salah satu
link.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Modification
Dst-Address

Gateway

Check Gateway

Distance

Scoop

Target Scoop

0.0.0.0/0

10.10.10.100

no

30

10

172.16.Y.5

172.16.Y.2

no

30

10

172.16.Y.6

172.16.Y.2

no

30

10

172.16.Y.7

172.16.Y.4

no

30

10

172.16.Y.8

172.16.Y.4

no

30

10

192.168.2.0/24

172.16.Y.2

ping

30

10

192.168.2.0/24

172.16.Y.4

no

30

10

192.168.7.0/24

172.16.Y.4

ping

30

10

192.168.7.0/24

172.16.Y.2

no

30

10

192.168.8.0/24

172.16.Y.6

ping

30

30

192.168.8.0/24

172.16.Y.4

no

30

10

01-54

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route dgn Scope

01-55

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route dgn Scope


Pada saat terjadi link failure antara R2 dan R4

01-56

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Block using Routing

01-57

Kita bisa melakukan blok untuk dst-address tertentu


menggunakan static route :
Blackhole
Memblok dengan diam-diam
Prohibit
Memblok dan mengirimkan pesan error ICMP
administratively prohibited (type 3 code 13)
Unreachable
Memblok dan mengirimkan pesan error ICMP
host unreachable (type 3 code 1)
Ketiga tipe di atas tidak membutuhkan IP Address
gateway.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Pref-source

01-58

By default: null, kecuali untuk connected routes


Fungsi :
IP Address asal untuk paket data yang berasal dari
router
IP Address src-address-to untuk paket data yang
terkena action NAT masquerade
Jika tidak ditentukan, secara otomatis akan menggunakan
salah satu IP Address yang ada pada output interface
Jika isian pref-src adalah IP Address yang tidak terpasang
pada router, rule ini akan non-aktif.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Source Routing

01-59

Source Routing adalah sebuah teknik routing


yang memungkinkan Administrator jaringan
menentukan jalur routing balik / incoming
yang akan dilalui oleh paket data.
Perlu diingat bahwa parameter dst-address
pada paket header akan selalu diperiksa oleh
router yang dilewatinya untuk menentukan hop
selanjutnya.
Dengan memodifikasi Pref-Source Maka jalur
routing balik bisa dimanipulasi sesuai keinginan
administrator.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-9] Pref-Source

IP lokal ptp wireless :


10.10.10.x/24
IP Public dari provider :
172.16.x.0/24
Router bisa diakses dari internet
dengan IP publik 172.16.x.1/24
Untuk client menggunakan IP
publik 172.16.x.2/24

01-60

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route Setting

01-61

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Src-Nat Setting

01-62

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Policy Route

Secara default, router akan menggunakan


table routing main
Kita bisa membuat table routing tambahan
dan mengarahkan router menggunakan
table tersebut dengan menggunakan:

01-63

IP - Route Rules
IP - Firewall - Mangle Route-mark

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route Rules

01-64

Route rules hanya


dapat melakukan
decision berdasarkan
src-address, dstaddress, routingmark, dan interface.
Untuk parameter yang
lebih detail,
gunakanlah mangle.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-10] Route Mark

WLAN1: Untuk traffic dari 192.168.x.0/24


WLAN2: Untuk traffic dari 172.16.x.0/24

10.10.10.100/24

10.20.20.100/24

10.10.10.X/24
WLAN1
Ether1
192.168.X.0/24

01-65

10.20.20.X/24
WLAN2
Ether2
172.16.X.0/24

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route - Rules
Tambahkan Route
Rules untuk
menentukan klasifikasi
dari segmen network
yang akan
menggunakan gateway
yang berbeda.

01-66

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Routing Table - Rules


Tambahkan rule
routing untuk
mengarahkan segmen
network2 supaya
menggunakan gateway
lain.

01-67

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Mangle Route Mark

Untuk trafik yang melalui router:

Untuk trafik yang berasal dari router :

01-68

Mangle chain: prerouting


Mangle chain: output

Chain lainnya (input, forward, dan postrouting)


tidak dapat digunakan untuk melakukan routemark.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-11] Route Mark

WLAN1: All other traffic


WLAN2: http only
10.10.10.100/24

10.20.20.100/24

10.10.10.X/24
WLAN1

01-69

10.20.20.X/24
WLAN2

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route Mark (client)

01-70

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route Mark (local process / Proxy)

01-71

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route
Trafik Lainnya

01-72

Trafik TCP 80

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Quiz !

01-73

Bagaimana jika ingin mendeteksi jalur


gateway yang putus di >10 hoop di depan
router anda ?
Dengan menggunakan metode scope dan
target scope kita tidak lagi memerlukan ip
gateway dari isp. (Benar / Salah)
Kita bisa mengganti Pref-Source
menggunakan ip public dari Router lain
yang masih dalam satu jaringan yang
sama. (Benar/Salah)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Tunnel
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)

Tunnel

02-75

Tunnel adalah sebuah metode penyelubungan


(encapsulation) paket data di jaringan TCP/IP, yang biasanya
digunakan untuk mensimulasikan koneksi fisik antara dua
network melewati jaringan lain (WAN/Internet).
Paket data dari aktifitas transfer data di kedua network
mengalami sedikit pengubahan atau modifikasi. Yaitu
penambahan header dari tunnel di tiap paket data dari traffic
yang terjadi di kedua network tersebut. Walupun ada
pengubahan pada paket data informasi paket yang asli tetap
disertakan (RFC 2003 compliant ).
Ketika data sudah melewati tunnel dan sampai di tujuan
(ujung) tunnel, maka header dari paket data akan
dikembalikan seperti semula (header tunnel dihilangkan).
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Tunnel Network
WAN

Point 1

tunnel
1.1.1.1

Point 2
1.1.1.2

R1

R2

IP Address: 10.0.0.0/24

IP Address: 20.1.1.0/24

Point to point network encapsulation


02-76

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VPN Networks
Merupakan sebuah jaringan virtual yang dibangun diatas
jaringan yang sudah ada

Client 1

Server

Client 2
Mobile
Client 2

02-77

Mobile
Client 1

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Tunnel & VPN

Tunnel

VPN

02-78

IPIP IP Tunnel
EoIP Ethernet Over IP
VLAN Virtual Lan
Gre Tunnel
PPPoE Point To Point Protocol Over Ethernet
PPTP Point To Point Tunnel Protocol
L2TP Leyer 2 Tunnel Protocol
OpenVPN Open Virtual Private Network
IPSec IP Security
SSTP Secure Socket Tunnel Protocol
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

IPIP Tunnel

IPIP atau IP Tunnel adalah salah satu protocol tunnel


yang paling sederhana dan ringan yang mampu
menghubungkan dua router melewati jaringan TCP/IP.
IPIP Tunnel bisa dibuat di menu Interface dan dianggap
sebagai interface (fisik tetapi virtual) yang independen.
Sudah banyak type router support protocol ini seperti
CISCO dan Linux.
IPIP Tunnel bisa digunakan untuk :

02-79

Routing antar local network melewati jaringan internet


Digunakan untuk menggantikan Source Routing

Interface IPIP tunnel tidak bisa dimasukkan dalam


bridge network (bridge port).

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

IPIP Packet Header

02-80

Test packet sniffer dilakukan untuk mengetahui besar packet


header yang digunakan oleh protocol tunnel IPIP.
Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte pada tiap
packet headernya di setiap paket data yang lewat.
Paket header standardnya adalah 20byte.
(GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22
(Encap Header)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

IPIP Example

Salah satu pengaplikasiannya adalah pada


kondisi sebuah network hanya memiliki
koneksi VSAT DVB downlink only provider
dan uplink provider yang tidak mengijinkan ip
ISP lain yang melewati networknya.

Uplink ISP

DVB Provider
Sattelite

IPIP Tunnel

02-81

Maka kita bisa membuat sebuah IPIP tunnel


untuk mensimulasi koneksi kabel independen
ke DVB provider.
Sehingga traffic uplink melewati Uplink ISP
dan traffic downlink melewati DVB.

Mikrotik Indonesia http://www.mikrotik.co.id

Our Router

31-Aug-15

IPIP Configuration

02-82

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

IPIP Configuration

02-83

Parameter Local Address adalah parameter untuk ip


local router yang digunakan untuk membangun koneksi
IPIP tunnel.
Sedangkan Remote Address adalah parameter dari ip
address router lawan.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] IPIP Tunnels


IPIP1 Address :
192.168.200.1/30

10.10.10.30/24

02-84

IPIP1 Address :
192.168.200.2/30

10.10.10.100/24

10.10.10.31/24

IPIP Tunnel melewati jaringan WAN.


Tambahkan ip address untuk menghubungkan kedua
interface tunnel.
Tambahkan rule static routing untuk menghubungkan
kedua local network dari masing-masing router.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] IPIP Tunnels


ROUTER A

ROUTER B

02-85

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] IPIP Tunnels


IPIP1 Address :
192.168.200.1/30

10.10.10.30/24

IPIP1 Address :
192.168.200.2/30

10.10.10.100/24

/interface ipip add name=ipip1 localaddress=10.10.10.30 remoteaddress=10.10.10.31


/ip address add
address=192.168.200.1/30
interface=ipip1

02-86

10.10.10.31/24

/interface ipip add name=ipip1 localaddress=10.10.10.31 remoteaddress=10.10.10.30


/ip address add
address=192.168.200.2/30
interface=ipip1

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] Routing over Tunnel


IPIP1 Address :
192.168.200.1/30

IPIP1 Address :
192.168.200.2/30

Meja 1

192.168.1.1/24

02-87

Meja 2

10.10.10.100/24

192.168.2.1/24

Static route untuk menghubungkan kedua local network


menggunakan tunnel IPIP.
Routing di Router1 :
/ip route add dst-address=192.168.2.0/24
gateway=192.168.200.2
Routing di Router2 :
/ip route add dst-address=192.168.1.0/24
gateway=192.168.200.1
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

EoIP Tunnel

02-88

Adalah protocol pada Mikrotik RouterOS yang


membangun sebuah Network Tunnel antar mikrotik
router di atas sebuah koneksi TCP/IP.
Interface EoIP dianggap sebagai sebuah Interface
Ethernet.
Jika Bridge mode diberlakukan pada EoIP tunnel
maka semua protocol yang berbasis ethernet akan
dapat berjalan di Bridge tersebut (Dianggap seperti
hardware interface ethernet yang di bridge).
Hanya dapat dibuat di Mikrotik RouterOS.
Menggunakan Protocol GRE (RFC1701).

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

EoIP Tunnel (2)

EoIP biasa digunakan untuk :

02-89

Membuat jaringan bridge diatas jalur internet


Membuat jaringan bridge diatas tunnel yang
terenkripsi
Membuat jaringan bridge diatas jaringan
wireless

Dalam penggunaan EoIP tunnel akan terjadi


penambahan header sebesar 42byte (8 byte
GRE + 14 byte PPP + 20 byte IP)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

EoIP Example

City A

City B

10.0.0.1

10.10.10.2

EoIP
192.168.0.13
192.168.0.3
192.168.0.12

192.168.0.2

Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
02-90

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

EoIP Config

02-91

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-2] EoIP over Wireless


R1

R2
Tunnel-id=100

192.168.y.1/24

192.168.y.2/24

Tunnel-id=200

Tunnel-id=300

R3

R4

192.168.y.3/24

02-92

192.168.y.4/24

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Virtual LAN (VLAN) 1

02-93

VLAN adalah sebuah logical group


(pengelompokan) yang memungkinkan user untuk
berkomunikasi dengan user yang memiiki group
sama tetapi terisolasi dari user lain yang berbeda
group walaupun sebenarnya user-user ini masih
terhubung secara fisik.
Dengan menggunakan protocol Vlan Router dapat
meningkatkan security dan management yang
berbeda terhadap jaringan walaupun masih ada
sharing media fisik.
Bekerja di layer DataLink
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Virtual LAN (VLAN) 2

02-94

VLAN di Mikrotik RouterOS merupakan


implementasi dari standarisasi 802.1Q.
Dengan menggunakan metode VLAN ini Mikrotik
RouterOS memungkinkan membangun beberapa
Virtual LAN untuk memisahkan jaringan (group) di
sebuah interface ethernet atau interface
wireless.
Mikrotik RouterOS secara teoritis mampu
membangun 4095 Interface Vlan di sebuah
Interface ethernet, banyak router termasuk CISCO,
Linux dan Layer2 Switch yang sudah mendukung
protocol ini.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN Configuration

02-95

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN on Mikrotik

02-96

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Mikrotik Vlan on Manageable Switch

Vlan 1
TRUNK

ACCESS
Vlan 1

Vlan 2

Vlan pada Mikrotik bisa bekerja


sama dengan switch manageable
yang mampu mengimplementasikan
standarisasi 802.1q.
02-97

Mikrotik Indonesia http://www.mikrotik.co.id

Vlan 2

31-Aug-15

Manageable Switch

Mikrotik Vlan on Manageable Switch

Port 4 mode Access Vlan 3

Port 3 mode Access Vlan 2


Port 2 mode Access Vlan 1

Port 1
Mode Trunk

02-98

Mikrotik Indonesia http://www.mikrotik.co.id

Ether 2
Vlan 1
Vlan 2
Vlan 3
31-Aug-15

Vlan Implementation using RB250GS

Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36


02-99

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Mikrotik Vlan on CISCO Switch

02-100

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-3] Mikrotik Vlan Trunking


R2

VLAN over EoIP

R3

ether2

ether2
ether3

192.168.1.1/24

ether3

R1

R4

192.168.1.2/24

VLAN2
VLAN3
ether4

ether4

192.168.2.3/24

192.168.2.4/24

02-101

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-] Create VLAN Interface


R2 + R3

Membangun vlan interface memanfaatkan EoIP Tunnel


02-102

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-4] VLAN Bridge


R2 + R3

02-103

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-4]VLAN Distribution

R1 & R4

02-104

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN on Switch Chip

02-105

Di beberapa perangkat routerboard, ada yang memiliki


komponen switch chip.
Dengan menggunakan switch chip ini, kita bisa
memfungsikan port ethernet kita layaknya switch
manageable.
Selain itu processing paket data juga lebih cepat tanpa
perlu membebani CPU router kita.
Routerboard menggunakan beberapa seri Switch Chip
yang berbeda, kemampuannya pun bervariasi.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Switch Chip

Type Switch Chip di routerboard bisa langsung diidentifikasi di


menu Switch.

02-106

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Port Switching

02-107

Untuk mengaktifkan router kita berfungsi sebagai


switch, kita tinggal menentukan parameter masterport di interface ethernetnya.
Interface Ethernet yang sudah dimasukkan ke
dalam switch group disebut dengan Slave Port
tanda S di Interface.
Interface ethernet yang menjadi Slave Port seakanakan menjadi tidak aktif dan tidak ada traffic yang
melewatinya
Master port berfungsi menjembatani antara portport switch group dengan router
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Port Switching (2)

02-108

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Port Switching (3)

02-109

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Diagram Logic
Routerboard
firewall, bridging, qos, routing dsb
software level
Wire speed switching
Hardware Level

02-110

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Port Mirroring

02-111

Kita bisa mengcopy trafik yang berlangsung dari


satu port ke port lain, selama masih dalam satu
switch
Monitoring Purpose !!!
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN mode

02-112

Switch chip di routerboard juga bisa digunakan untuk implementasi


forwarding packet yang menggunakan vlan (802.1q)
Policy mode yang bisa kita gunakan untuk vlan switch
disabled - vlan table tidak dibaca, semua paket dengan vlan
dianggap tidak menggunakan vlan tag
fallback - Paket yang tagnya tidak ada di tabel tetap diproses seperti
paket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel,
tetapi port incoming tidak cocok di vlan table tidak didrop
check - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipun
port incomingnya tidak sesuai tidak akan didrop
secure - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Selain itu jika port incomingnya tidak cocok dengan yang di
table, juga akan didrop
Semua paket yang tidak menggunakan vlan-id, dianggap
menggunakan vlan-id 0

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN Header

Kita bisa memodifikasi header dari paket yang akan keluar


dari interface dengan pilihan :

02-113

Leave-as-is : header paket tidak dirubah


Add-if-missing : jika tidak ada vlan header , maka akan
ditambahkan vlan headernya
Always-strip : vlan header yang ada di paket akan dihilangkan
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

VLAN Tabel

Didalam tabel ini kita bisa menentukan port-port


interface yang akan menggunakan vlan
02-114

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-5] Vlan Switch


R2

VLAN over EoIP

R3

ether2

ether2
ether3

192.168.1.1/24

ether3

R1

R4

192.168.1.2/24

VLAN100
VLAN200
ether4

ether4

192.168.2.3/24

192.168.2.4/24

02-115

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-5] Interface Switch

02-116

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-5] VLAN Table

02-117

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-5] VLAN Port

Trunk Port
02-118

Mikrotik Indonesia http://www.mikrotik.co.id

Access Port
31-Aug-15

[LAB-6] VLAN over VLAN


R2

ether2

R3

VLAN over VLAN

ether3

VLAN1

ether3

ether3

192.168.1.1/24

ether2

ether3

R1

VLAN1

R4

192.168.1.2/24

VLAN100
VLAN200
ether4

ether4

192.168.2.3/24

192.168.2.4/24

02-119

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-6] VLAN Config

02-120

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-6] VLAN Config

02-121

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-6] VLAN Interface

02-122

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

L2TP (1)

02-123

Layer 2 Tunneling Protocol (L2TP)


pengembangan dari kerjasama Cisco
dengan Microsoft yang menggabungkan
fitur dari PPTP dan Layer 2 Forwarding
(L2F) protocol.
L2TP dapat diimplementasikan pada
jaringan non-TCP/IP clients, seperti
Contoh: Frame Relay dan ATM).
L2TP tidak memiliki mekanisme enkripsi,
biasanya menggunakan protocol enkripsi
lain yang lewat didalam tunnelnya
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

L2TP (2)

02-124

L2TP menggunakan UDP (port 1701)


sehingga pengiriman paketnya lebih cepat.
Sayangnya tidak reliable karena tidak ada
mekanisme pengiriman ulang paket yang
hilang/rusak.
L2TP lebih firewall friendly dibandingkan
PPTP suatu Keuntungan besar jika
menggunakan protocol ini, karena
kebanyakan Firewall tidak mensupport
GRE.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

L2TP Configuration - Client

Encription Option MPPE 128Bit


Akan menyesuaikan Server

02-125

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

L2TP Configuration - Server


Encription Option MPPE 128Bit

02-126

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-2] Routing over L2TP


City A

City B
L2TP

192.168.1.1

192.168.2.1

192.168.2.2
192.168.1.2

Communication over L2TP

Dari lab IPIP sebelumnya, silahkan rubah routingnya


menggunakan L2TP antar teman.

02-127

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

L2TP Security

02-128

L2TP secara default bisa menggunakan


MPPE 128Bit sama seperti yang digunakan
pada PPTP.
Karena MPPE dirasa kurang aman maka
L2TP dikembangkan untuk bisa
digabungkan dengan protocol security yang
lain yaitu IPSec.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Overview

Secure Socket Tunneling Protocol (SSTP) adalah


salah satu metode VPN yang membuat tunnel
PPP melalui SSL Channel pada protocol HTTPS.
Kelebihan membuat tunnel diatas protocol HTTPS
adalah bisa melewati hampir semua firewall dan
proxy server.
Selain itu SSL juga digunakan untuk security level
transport (layer4) dengan meningkatkan key
negotiation, enkripsi serta integrity checking.
SSTP baik client ataupun server bisa diterapkan
di Mikrotik.

02-129

Catatan : SSTP mulai ada di OS Windows vista sp1


Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Process
Open TCP Connection (TCP:443)
SSL Negotiation

SSTP over HTTPS


authentikasi PPP & IP Request
Communication data over SSTP

02-130

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Security

02-131

Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan


di SSTP.
Disisi client, server akan diverifikasi berdasarkan sertifikat
yang dimiliki server dan menentukan metode enkripsi yang
akan digunakan.
Client juga akan menggenerate SSL session key dan
mengenkripsinya dengan publik key dari server.
Server bisa mendecrypt session key tersebut menggunakan
private key yang dimilikinya.
Semua komunikasi client server akan dienkripsi berdasarkan
SSL session key tersebut.
Jika client dan server menggunakan Mikrotik, SSTP bisa
dibentuk tanpa menggunakan sertifikat.
Disisi server, authentikasi hanya dilakukan berdasarkan
username dan password di protocol PPP.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSL Certificate

02-132

SSL sertifikat bisa dibuat sendiri, dan untuk


verifikasinya bisa menggunakan layanan
berbayar (Signed Certificate) ataupun
diverifikasi sendiri (Self Signed Certificate).
Verifikasi ini menggunakan CA (Certificate
Authority).
Jika menggunakan Self Signed Certificate,
maka CA certificate harus diimport ke client.
Sertifikat bisa kita generate menggunakan
aplikasi openssl.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

CA Certificate Setup (1)

02-133

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

CA Certificate Setup (2)

02-134

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Server Certificate Setup (1)

02-135

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Server Certificate Setup (2)

02-136

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Server Certificate Setup (3)

02-137

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Client Certificate Setup (1)

02-138

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Client Certificate Setup (2)

02-139

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Client Certificate Setup (3)

02-140

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSL Certificate (2)


Server Side

Untuk keamanan, jangan mengupload CA private key

Client Side

02-141

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSL Certificate (3)

02-142

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Server Setup (1)

02-143

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Server Setup (2)

SSTP Server bisa diatur dengan beberapa


metode :

Certificate : None, apabila client juga sama-sama


MikrotikOS

Certificate : [Server Cert], apabila client


MikrotikOS dan Windows (more secure)

Untuk meningkatkan keamanan, aktifkan option


Verify-Client-Certificate :

02-144

(Unsecure, PPP security only)

CA harus diimport disisi server


Client harus menggunakan certificate
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Client Setup (1)

02-145

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Client Setup (2)

02-146

Jika sisi server diaktifkan Verify-ClientCertificate, maka sisi client juga harus
dipasang certificate yang masih dalam 1 chain.
Option Verify-Server-Certificate digunakan
untuk mengecek apakah sertifikat server masih
dalam 1 CA yang ada di client.
Option Verifiy-Server-Address digunakan
untuk mengecek apakah IP / domain dari server
valid/sesuai dengan isi dari sertifikat.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB 3] SSTP Network


Internet

mobile client

10.10.10.x

10.20.20.x
10.10.10.100
SSTP server
Local Remote Office
Local Main Office

02-147

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

SSTP Note

02-148

Untuk penggunaan sertifikat, pastikan clock


server dan client benar sync NTP.
Windows Client, import CA ke trusted
certificate.
Disable Verify-Client-Certificate jika clientnya
Windows.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Load Balancing
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)

Konsep Dasar

Load Balancing

Fail Over

05-150

Membagi trafik ke dua atau lebih jalur


sehingga setiap jalur yang ada bisa
digunakan secara optimal.
Sistem proteksi untuk menjaga apabila link
utama terganggu, secara otomatis akan
memfungsikan jalur cadangan.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Load Balancing

1+1=2
1+1=1+1
1+1=+++
1+1=+++++++
Semakin banyak user, semakin banyak koneksi, pembagian
Load balance akan semakin rata dan mudah.
05-151

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Konsep Load Balancing

05-152

Pembagian trafik dilakukan berdasarkan


probabilitas.
Kita harus mengetahui kapasitas masingmasing link dan membagi trafik ke setiap
interface sesuai dengan proporsinya.
Misalnya kita memiliki 2 buah gateway, A
dengan kapasitas 1 mbps, dan B dengan
kapasitas 2 mbps, maka kita akan membagi
trafik menjadi 3 = 2:1 = 1 ke A dan 2 ke B.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Penggunaan Fitur

Untuk bisa melakukan load balancing


dengan baik, kuasailah fitur-fitur berikut ini:

05-153

Static route dan policy route


Firewall Mangle
Firewall src-nat

Untuk yang lebih advanced, perlu juga


menguasai BGP

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Kunci Load Balancing

05-154

Pada jaringan yang sederhana, kita hanya


bisa mengatur jalur uplink.
Kita bisa mengatur koneksi akan lewat ke
jalur (ISP) yang mana, tetapi kita tidak bisa
mengatur jalur yang digunakan untuk
downlink, karena hal tersebut bergantung
pada routing internet secara keseluruhan.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Kunci Load Balancing

05-155

Untuk mengatur jalur downlink, kuncinya


pada penggunaan src-nat pada tiap
gateway, pada saat request dikirimkan ke
internet.
Data yang di NAT dengan IP yang ada
pada gateway A, akan kembali melalui
gateway A.
Jika kita hanya menggunakan masquerade
untuk tiap interface gateway, maka data
akan kembali pada interface yang sama
dengan interface uplink.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Skema Kerja Load Balanced


GATEWAY A

GATEWAY B

MASQ

MASQ
ALGORITMA
PEMBAGI
TRAFIK

05-156

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Metode Load Balanced

05-157

Static Route dengan Address List


ECMP (Equal Cost Multi Path)
NTH
PCC
BGP

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh dengan Static Route


Berdasarkan Tujuan

Gateway A untuk internasional


Gateway B untuk trafik lokal Indonesia

05-158

Menggunakan address-list NICE

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh dengan Static Route


Berdasarkan source address

IP Address client: 192.168.0.0/24

05-159

192.168.0.0-127 gateway A
192.168.0.128-255 gateway B

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

ECMP

05-160

Equal Cost Multi Path


Pada saat kita memiliki beberapa gateway
yang ingin di load balance, metode
termudah adalah menggunakan ECMP
ECMP akan memisahkan trafik per
gateway secara random

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh ECMP (1)


Ada 2 gateway yang sama besar Bandwithya

05-161

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh ECMP (2)

05-162

Ada 2 gateway, perbandingan kapasitas


bandwith 2 : 1 Mbps

Karena Kedua gateway berbeda kapasitas


maka perlu adanya penyesuaian sesuai
perbandingan.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Contoh ECMP (3)

05-163

Ada 3 gateway, gateway A dan B


menggunakan gateway IP Address, dan
gateway C menggunakan pppoe.

Memungkinkan penggunaan kombinasi


dengan gateway interface.
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-1] ECMP & Policy Route

IIX via WLAN1 dan PPPoE di WLAN2.

Kapasitas PPPoE 2 x kapasitas WLAN1

Internasional PPTP ke server 10.100.100.1

IIX

IIX

WLAN1

INTERNASIONAL

PPPoE
PPTP

05-164

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Address List
Download nice.rsc dari server mikrotik.co.id

05-165

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

PPTP dan PPPoE Username


Username dan password :

PPTP

: mikrotik-pptp
: training

PPPoE

05-166

Username
Password
Username
Password

: mikrotik-pppoe
: training

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route untuk PPTP

05-167

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

PPTP & PPPoE Setting

05-168

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Interface
Pastikan semua interface sudah bekerja
dengan baik

05-169

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

IP Address
Pastikan sudah mendapatkan IP Address
dinamik dari PPTP dan PPPoE

05-170

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Masquerade Setting
Buatlah masquerade untuk ketiga gateway

05-171

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route-mark Setting

Rule no 0 untuk trafik dari klien


Rule no 1 untuk trafik dari local process di router
Rule no 1 menggunakan parameter
out-interface=pptp-out1 karena secara default,
routing keluar melalui pptp-out1
05-172

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Route for IIX & Internasional

05-173

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Test dengan traceroute

05-174

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Kekurangan ECMP

Forwarding table di Linux Kernel secara


otomatis akan refresh setiap 10 menit
Hal ini menyebabkan ada kemungkinan
paket data untuk suatu traffic dari sebuah
aplikasi berganti koneksi sehingga
mendapatkan masq address yang berbeda.
Koneksi bisa terputus.

Info lebih lanjut mengenai hal ini:

05-175

Contoh: terjadi pada traffic game online


http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html
http://marc.info/?m=105217616607144
http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Metode NTH

05-176

NTH dilakukan dengan mengaktifkan counter


pada mangle, dan kemudian dinamai (route
mark) berdasarkan gateway nya.
Route mark kemudian digunakan sebagai
dasar untuk membuat policy route.

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Proses NTH pada Mangle


Misalkan kita mempunyai 2 buah gateway (A
dan B)

05-177

Koneksi pertama route mark conn-A


Koneksi kedua route mark conn-B
Koneksi ketiga route mark conn-A
Koneksi keempat route mark conn-B
Koneksi kelima route mark conn-A
Dst..

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Proses NTH pada Routing


Setelah ada route-mark, maka kita tinggal
mengarahkan route mark tersebut ke
gateway yang sesuai.

05-178

Route-mark conn-A ke gateway A


Route-mark conn-B ke gateway B

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Proses NTH pada Routing

05-179

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Kelemahan nth

05-180

Nth bekerja berdasarkan connection


tracking
Seperti halnya ECMP, nth juga ikut terrefresh setiap 10 menit
Tidak disarankan penggunaan nth untuk
melakukan load balanced
Untuk load balanced yang lebih stabil,
disarankan menggunakan PCC (Per
Connection Classifier)
Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Per Connection Classifier

Adalah parameter firewall yang memiliki


kemampuan untuk membedakan trafik
menjadi dua atau lebih stream berdasarkan
parameter tetap terjaga, meskipun
forwarding table pada kernel ter-refresh
Option yang bisa digunakan adalah: srcaddress, src-port, dst-address, dst-port
Informasi lebih lanjut:

05-181

http://wiki.mikrotik.com/wiki/PCC

Diperkenalkan mulai RouterOS 3.24


Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

[LAB-2] Load balanced PCC


Dengan konfigurasi network seperti lab
sebelumnya, gunakanlah wlan1, pppoe, dan
pptp untuk load balanced dengan PCC

WLAN1

PPPoE
PPTP

05-182

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Trafik ke Connected Network

05-183

Routing ke connected route hanya tersedia


di routing table main
Kita harus menjaga jangan sampai trafik ke
network ini berpindah routing table.
Kita membuat address-list untuk connected
network

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Trafik ke Connected Network

05-184

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Koneksi dari luar


Untuk menjamin bahwa router akan me-reply
setiap connection yang masuk dari luar
sesuai dengan jalur masuknya.

05-185

Contoh: koneksi winbox ke router

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Custom Route-mark Chain

Ada dua trafik yang harus di load balanced:

Trafik dari client

Trafik dari local process

05-186

Chain=prerouting
In-interface=local (ether1)
Connection-mark=no-mark
Chain=output
Connection-mark=no-mark

Kedua trafik ini akan di jump ke chain baru

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Jump to Custom Chain

05-187

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

PCC Rules

05-188

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Conn-mark Route Mark

05-189

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

All Mangle

05-190

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Static Route

05-191

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

Beberapa Problem Lainnya

Hati-hati untuk penggunaan DNS Server


jika kita menggunakan DNS Server ISP dan
menggunakan beberapa gateway dari ISP
yang berbeda.
Hal ini bisa diatasi dengan:

05-192

membuat static route untuk masing-masing


DNS dan meng-accept IP DNS sehingga
tidak ikut di PCC
Menggunakan dns public seperti google-dns

Mikrotik Indonesia http://www.mikrotik.co.id

31-Aug-15

OSPF
Certified Mikrotik Training Advanced Class (MTCRE)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner

Outline

About OSPF

Basic LAB OSPF


OSPF Neighbour

Cost & Matric

OSPF Area Type

LSP & Instance

OSPF Router Type


OSPF Routing Type

Autonomous System

Tipe LSA & Virtual Link

Routing Filter
31-Aug-15

Autonomous System
Area 1

Area 0

AS
Area 2

Area 3

Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan


yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan
network, yang semuanya dapat dikendalikan oleh network administrator.
31-Aug-15

Background 1

Karena sebuah Autonomous System (AS)


memiliki skala jaringan yang sangat besar
maka penggunaan routing menjadi sangat
penting dan kritis.
Informasi routing haruslah tepat dan
kesalahan melakukan distribusi informasi
routing harus diminimalisasi sedikit mungkin.
Sangatlah tidak nyaman jika harus
menuliskan rule routing untuk puluhan
bahkan ratusan router secara static.
31-Aug-15

Background 2

OSPF merupakan sebuah routing protokol


yang dapat mendistribusikan informasi
routing secara otomatis.
OSPF juga merupakan routing protokol yang
menggunakan konsep hirarki routing,
dengan kata lain OSPF juga mampu
membagi-bagi jaringan menjadi beberapa
tingkatan. Tingkatan-tingkatan ini
diwujudkan dengan menggunakan sistem
pengelompokan yaitu area.
31-Aug-15

OSPF ?

Open Shortest Path First (OSPF) adalah sebuah


protocol routing otomatis (Dynamic Routing) yang
mampu menjaga, mengatur dan mendistribusikan
informasi routing antar network mengikuti setiap
perubahan jaringan secara dinamis.
OSPF termasuk di dalam kategori IGP (Interior
Gateway Protocol) yang memiliki kemampuan
Link-state dan Algoritma Dijkstra yang jauh lebih
efisien dibandingkan protocol IGP yang lain.
Menggunakan protocol tersendiri yaitu protocol 89.
OSPF digunakan untuk management informasi dan
distribusi routing di dalam sebuah AS.
31-Aug-15

OSPF Feature
OSPF (IPv4 RFC 2838 )

Dynamic routing
Interior Gateway Protocol (IGP) didalam
sebuah routing domain (AS)
Proses convergence yang cepat
Link State / Shortest Path Technology
Route Authentication
Mendukung sistem pembagian Area
Mendukung Fail Over

31-Aug-15

[LAB-1] Konfigurasi OSPF


ASBR
Router Gateway
Backbone Area
10.10.10.1/24

10.10.10.x/24
10.10.10.2/24

192.168.1.1/24

MEJA 1
03-200

192.168.2.1/24

MEJA 2
Mikrotik Indonesia http://www.mikrotik.co.id

192.168.x.1/24

MEJA X
31-Aug-15

[LAB-1] OSPF Network

Tambahkan Network
yang ingin
dihubungkan ke area
Backbone untuk saling
ditukarkan dengan
router yang lain.
Amati tabel neighbor
router masing-masing
dan neighbor router.

31-Aug-15

[LAB-1] OSPF Neighbor

Tabel neighbor akan berisi informasi mengenai


router-router yang berada dalam 1 area OSPF
beserta kondisi/statusnya

31-Aug-15

OSPF Neighbor Discovery

OSPF mampu malakukan Pencarian neighbor router


secara otomatis
Yaitu Discovery Router yang juga mengaktifkan OSPF
dalam satu area
Menggunakan Hello Packet

Sebuah router bisa terdaftar didalam list neighbor


router yang lain apabila :

Interface router tersebut berada dalam area (Area-ID)


yang sama
Interface router tersebut harus dalam subnet dan
network mask yang sama , kecuali network typenya
diset point to point
Authentikasi, Hello dan Dead Interval HARUS SAMA

31-Aug-15

OSPF Discovery Process


LSAck
LSU
LSR

R1

R2

HelloDD
Packet
LSAck
LSR
LSU
Neighbor

State
DOWN

Neighbor

State
DOWN

1
2

R1

INIT

R2

2-WAY

4
6

R2
R2

ExStart
Exchange

5
7

R1
R1

ExStart
Exchange

R2

Loading

R1

Loading

10

R2

Full

10

R1

Full

31-Aug-15

OSPF-Neighbor State
Neighbor State
Down
Attempt
Init

2-Way

ExStart
Exchange

Description
Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan
Digunakan pada neighbor yang ditambahkan manual pada NBMA
Hello packet diterima dari router lain tetapi router-id penerima yang tertera
dalam hello packet belum ada didalam list neighbor
Hello packet yang diterima dari router lain dan ip router penerima ada
didalam list neighbor router lain. Dalam state ini komunikasi
bidirectional sudah terbentuk
DR dan BDR sudah terpilih, pertukaran link-state dimulai
Router mengirimkan Database Description packet ke neighbor

Loading

Router mengirimkan Link State Request packets untuk informasi routing


dari neighbor

Full

Informasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah


terhubung penuh
31-Aug-15

OSPF Packet Type

Hello Digunakan untuk membentuk komunikasi


dengan neighbor yang terhubung langsung
Database Descriptor (DD) Digunakan untuk
mengecek sinkronisasi database routing antar
router.
Link State Request (LSR) Digunakan untuk
meminta informasi routing terbaru
Link State Update (LSU) Digunakan untuk
mengirimkan informasi routing terbaru
Link State Acknowledgment (LSAck)
Digunakan untuk mengkonfirmasi informasi linkstate yang diterima
31-Aug-15

Link State Routing


Langkah-langkah atau cara kerja OSPF :

Setiap router membuat Link State packet (LSP).


Mendistribusikan LSP ke semua neighbor menggunakan Link
State Advertisement (LSA) type 1 dan menentukan DR dan
BDR dalam 1 area.
Masing-masing router menghitung jalur terpendek ke semua
neighbor berdasarkan cost routing.
Jika ada perbedaan atau perubahan tabel routing, router akan
mengirimkan LSP ke DR dan BDR melalui alamat multicast

224.0.0.6.
LSP akan dididistribusikan oleh DR ke router neighbor
lain dalam 1 area sehingga semua router neighbor akan
melakukan perhitungan ulang jalur terpendek.
31-Aug-15

[LAB-1] OSPF Instance

31-Aug-15

OSPF Instance Setting

Router-id Memberi pengenal pada router.


Berformat 32bit seperti IP, sifatnya unik artinya tiap router
tidak boleh memiliki ID yang sama dalam sebuah jaringan
Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP
terbesar yang ada pada router
Redistribute Default Route Mendistribusikan default route.
Redistribute Connected Routes Mendisitribusikan IP
network yang terpasang di interface
Redistribute Static Routes Mendistribusikan route static yang
ada pada table /ip route
Redistribute RIP Routes Mendistribusikan route hasil RIP
Redistribute BGP Routes Mendistribusikan route hasil BGP

31-Aug-15

[LAB-1] OSPF Route

Rule routing yang memiliki Flag DAO menunjukkan


ada rule routing yang didistribusikan menggunakan
protocol OSPF.
31-Aug-15

[LAB-1] OSPF Route Detail

31-Aug-15

[LAB-1] OSPF Interface

Setelah OSPF network


ditentukan maka secara
otomatis mendeteksi interface
yang menggunakan network
tersebut.
Untuk mengubah cost dan
priority interface harus
didefinisikan secara manual.
31-Aug-15

Area DR & BDR

Dalam setiap area, router akan memilih Designated Router (DR)


dan Backup Designated Router (BDR) secara otomatis.
DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam
satu area menggunakan alamat multicast 224.0.0.5, sehingga
mengurangi proses pertukaran LSA antar router
BDR, akan menggantikan DR jika terjadi error
Dalam permulaan pembentukan OSPF, DR merupakan router
pertama yang mengaktifkan OSPF dan BDR merupakan router
kedua yang mengaktifkan OSPF
Jika OSPF sudah berjalan, maka pemilihan DR dan BDR
selanjutnya ditentukan oleh priority dari interface masing-masing
router dalam 1 area

(0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR)


Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi
31-Aug-15

[LAB-2] OSPF - Fail Over


ASBR
Router Gateway
Backbone Area

IR
Meja 1

IR
Meja 2

IR
Meja 3

IR
Meja 4

Backup link

192.168.1.0/24

MEJA 1
03-214

Backup link

192.168.2.0/24

MEJA 2

192.168.3.0/24

MEJA 3

Mikrotik Indonesia http://www.mikrotik.co.id

192.168.4.0/24

MEJA 4
31-Aug-15

[LAB-2] OSPF - Fail Over detail


ASBR
Router Gateway
Backbone Area

IR
Meja 1

IR
Meja 2

Backup link
Ether2
10.100.Y.1/24

Ether2
10.100.Y.2/24

Hubungkan ether2 dari router anda ke ether2 router rekan anda


sebagai link backup.
Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut.

Y adalah nomor kelompok.

31-Aug-15

[LAB-2] Interface for Backup


10.100.y.0/24

Tambahkan network baru ke backbone area.


31-Aug-15

Redundant Detected

DR akan menerima perubahan informasi routing dari


masing-masing group dan menyebarkan informasi
tersebut ke router group yang lain
Network baru tersebut bisa dirouting menggunakan 2
jalur yang berbeda
31-Aug-15

[LAB-2] Fail Over Test


ASBR
Router Gateway
Backbone Area

IR
Meja 1

IR
Meja 2

Backup link
Ether2
10.10.1.1/24

Ether2
10.10.1.2/24

Coba matikan link utama dan test apakah fail over


bisa dilakukan otomatis.
Hidupkan kembali link utama untuk cek terhadap
proses failover.
31-Aug-15

Metric & Cost .?

Metric adalah salah satu parameter di routing yang


sebenarnya merupakan kumpulan nilai logic yang
digunakan oleh algoritma routing untuk menentukan
jalur routing yang akan dilewati
Nilai Metric ditentukan oleh network administrator
dengan pertimbangan berdasar :

Jumlah hop yang akan dilewati


Kondisi latency
Packet loss (router congestion/conditions)
Besar bandwidth
Cost

Pada OSPF, untuk menetukan nilai Metric internal


menggunakan parameter Cost pada interface.
31-Aug-15

OSPF Cost

Untuk menetukan jalur terpendek atau bisa juga


diartikan sebagai jalur prioritas, OSPF
menggunakan parameter Cost.
OSPF Cost akan dijumlahkan di setiap hopnya
pada proses Link State / Shortest Path
Technology.
Setelah semua jalur sudah dikalkulasi dan total
Cost semua jalur sudah dijumlahkan, maka akan
dipilih jumlah akumulasi cost yang terkecil

31-Aug-15

OSPF Cost
Jalur 1 total : 30
10

10

10

40

20

Jalur 2 total : 70

Terlihat ada dua jalur yang bisa menuju ke network tujuan.


Setelah dilakukan perhitungan total Cost, jalur 1 memiliki
total cost terkecil. Maka jalur tersebut yang akan digunakan
31-Aug-15

[LAB-3] OSPF - Cost

Bangun bagan network


berikut dengan kelompok
terdiri 4 router dan
terkoneksi menggunakan
ethernet.
Gunakan konfigurasi
OSPF (manual Interface)
sehingga traffic berjalan
searah jarum jam.
Traffic upload melewati
router bagian kiri dan
download melewati
router bagian kanan.

100

R1

10
100

10
R4

Backup

??

100

??

R2
10

100

10
R3

Gunakan koneksi wireless


(ether4) sebagai backup link.
Tentukan cost dari backup link
supaya traffic tetap searah jarum
jam.
31-Aug-15

[LAB-3] OSPF - Cost


X : Nomor Kursi
Y : Nomor Kelompok
Tentukan cost pad backup link
supaya traffic tetap berjalan searah jarum jam.
Test apakah yang terjadi
10.10.10.X
jika salah satu link mati ?
10.Y.4.2/24 ether3
100
10.Y.4.1/24 ether2
10
50
R4

ether2 - 10.Y.1.1/24
10
Ether3 - 10.Y.1.2/24
100

R1

Backup

ether4- 10.Y.5.1/24

??

10.Y.5.2/24 ether4

100
10.Y.3.2/24 ether3
10
10.Y.3.1/24 - Ether2

10.10.10.100

R2

10
Ether2 - 10.Y.2.1/24
R3

100
Ether3 - 10.Y.2.2/24

31-Aug-15

Cost Overwrite

Tambahkan interface untuk link backup dan ubah


cost supaya menjadi routing backup.
31-Aug-15

OSPF Router Type (1)


ASBR
ABR

IR

Area 0
Area 1

ABR

Area 2

IR

IR

ASBR Autonomous System Border Router


ABR Area Border Router
IR Internal Router
31-Aug-15

OSPF Router Type (2)

IR adalah router yang berada dalam sebuah area OSPF


dan tidak terhubung langsung dengan area yang lain.
ABR adalah router yang menjembatani area backbone
dengan dengan area yang lain.
ASBR adalah sebuah router yang biasanya terletak di
perbatasan sebuah AS (Router Terluar dari AS) dan
bertugas untuk menjembatani antara router yang ada di
dalam AS dengan Network lain (Berbeda AS).

ASBR juga bisa berarti sebuah router anggota OSPF


yang menjembatani routing OSPF dengan protocol
Routing yang lain (RIP,BGP dll).

31-Aug-15

OSPF Routing Type


Intra-Area routing

Menggambarkan route ke network tujuan yang masih


dalam satu area.

Area 1
Area 0

Area 2

31-Aug-15

OSPF Routing Type


Inter-Area routing

Menggambarkan route ke tujuan yang membutuhkan


melewati satu atau lebih area OSPF dan masih dalam
satu AS.

Area 1
Area 0

Area 2

31-Aug-15

OSPF Routing Type


External Area routing

Menggambarkan route untuk keluar jaringan OSPF


Dibedakan menjadi 2 tipe :

E1 E1 route cost merupakan jumlah dari internal cost dan


external ospf metric.
E2 E2 route cost merupakan nilai dari external OSPF metric
saja
RIP
BGP
Other OSPF
dsb

Area 0

31-Aug-15

OSPF - External Route Type


TYPE 1
Jalur 1 total : 50
10

10

10
192.168.1.0/24
40

20

192.168.1.0/24

Jalur 2 total : 90
Metric 20
Redistribute as type 1

31-Aug-15

OSPF Metric as type 1


IR 1

OSPF Routing Transaction


Ether2
10.10.Y.1/24

Metric

Ether2
10.10.Y.2/24
Route

Cost

Cost

IR 2

Metric

Route

Ketika OSPF pada IR 1 menggunakan as-type-1 maka


informasi metric akan diberikan dengan informasi routing ke
IR2.
Sehingga total Metric pada IR2 adalah pejumlahan metric
dari IR1 dengan Cost pada IR2.
31-Aug-15

OSPF - External Route Type


TYPE 2
Jalur 1 total : 30
10

10

10
192.168.1.0/24
40

20

192.168.1.0/24

Jalur 2 total : 70
Metric 20
Redistribute as type 2

31-Aug-15

OSPF Metric as type 2


IR 1

OSPF Routing Transaction


Ether2
10.10.Y.1/24

Ether2
10.10.Y.2/24

Route

Cost

Cost

IR 2

Route

Ketika OSPF pada IR1 menggunakan as-type-2 maka yang


dikirimkan ke IR2 hanyalah informasi routing saja
Sehingga total Metric pada IR2 hanya mengacu pada cost
IR2
31-Aug-15

Metric Overwrite

31-Aug-15

OSPF Network Type (1)

Point-to-Point

Adalah jenis jaringan yang paling sederhana, tersusun atas dua router
yang terhubung langsung dan tidak diperlukan DR dan BDR dalam
type ini

neighbor

neighbor

Broadcast

Type Default yang digunakan pada jaringan ethernet. Satu paket yang
dikirimkan sebuah router akan diterima oleh banyak router

neighbor
DR
31-Aug-15

OSPF Network Type (2)


NBMA Non-Broadcast-Multiple-Access

Mirip dengan broadcast, akan tetapi untuk neighbor harus


ditambahkan secara manual karena tidak semua jaringan
mendukung broadcast, salah satu contohnya adalah ATM dan
Frame-relay.

neighbor

DR

neighbor

neighbor

31-Aug-15

OSPF Network Type (3)


Point-to-Multipoint

Solusi lain untuk network yang tidak mendukung broadcast,


mengemulasi link point-to-point ke dalam beberapa node dan
mengirimkan paket Halo ke semua node. Biasanya type ini
digunakan untuk jaringan wireless

neighbor

neighbor

neighbor

neighbor

31-Aug-15

OSPF Area
ASBR
ABR

IR

Area 0
Area 1

ABR

IR

Area 2

IR

Area 3

IR

IR

Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu


area menyesuaikan skala dari jaringan yang dimiliki.
31-Aug-15

OSPF Area

Semakin banyak router dan jaringan didalamnya,


semakin besar ukuran Link State Database cpu load,
memory
Internal router akan mendapat LSA hanya dari router
lain yang masih dalam satu area
Area yang ingin mendapatkan informasi LSA secara
lengkap dan bisa terkoneksi dengan jaringan yang ada
di luar AS maka harus terhubung secara logic dengan
Backbone (Area 0).
Untuk area yang tidak secara langsung terhubung ke ke
area backbone bisa menggunakan Virtual Link
memanfaatkan area lain yang sudah terhubung ke
Backbone Area.
31-Aug-15

Area Type

Backbone Area 0 (Area ID 0.0.0.0)


Bertanggung jawab mendistribusikan informasi routing antara
non-Backbone area
Semua sub-Area HARUS terhubung dengan backbone secara
logikal
Standart / Default Area
Merupakan sub-Area dari Area 0. Area ini menerima LSA intraarea dan inter-area dari ABR yang terhubung dengan area 0
Stub Area
Area yang paling ujung. Area ini tidak menerima advertise
external route (digantikan default route)
Not So Stubby Area (NSSA)
Stub Area yang tidak menerima external route (digantikan
default route) dari area lain tetapi masih bisa mendapatkan
external route dari router yang masih dalam 1 area

31-Aug-15

OSPF Backbone Area

ASBR

Area 0

ABR

ABR
Area 1
Area 2

Area 0 atau sering juga


disebut sebagai Backbone
Area merupakan area dimana
Router-Router ABR berkumpul
untuk saling menukarkan
informasi routing dari areaarea yang lain.
Area Backbone juga
merupakan Area Transit
sebelum traffic keluar atau
masuk ke dalam sebuah AS.
Sebuah area yang tidak
terhubung langsung ke area
backbone bisa terhubung ke
backbone area menggunakan
Virtual Link.
31-Aug-15

[LAB-4] OSPF Area


R1

R2
AREA 0 BACKBONE AREA
STANDART AREA

R3

R4

AREA 1
NSSA AREA

R5

AREA 2
STUB AREA

R6

R7

R8

31-Aug-15

[LAB-4] OSPF Backbone


Wlan 2
10.y.1.1/24
R1

Wlan 2
10.y.1.2/24
R2

AREA 0 BACKBONE AREA


STANDART AREA

R3

Wlan 2
10.y.1.3/24

R4

Wlan 2
10.y.1.4/24

Koneksi antar router backbone gunakan interface WLAN2


Gunakan frekuensi 5GHz dengan SSID KelompokY
31-Aug-15

[LAB-4] OSPF Backbone

Atur Router-ID menggunakan 10.10.10.x pada instances


Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area
backbone

R1-R4

31-Aug-15

[LAB-4] OSPF NSSA Area


R3
Ether2
10.y.2.1/24

Ether3
10.y.3.1/24

AREA 1
Ether2
Ether3
NSSA AREA
10.y.2.2/24
10.y.3.2/24
R5

R6

31-Aug-15

[LAB-4] OSPF NSSA

Atur Router-ID menggunakan 10.10.10.x pada instances


Buat Area dengan type NSSA

R3 , R5, R6

31-Aug-15

[LAB-4] OSPF NSSA


Tambahkan network ke area1

Pada R3

31-Aug-15

[LAB-4] OSPF NSSA


Tambahkan network ke area1

R5

R6

31-Aug-15

[LAB-4] OSPF STUB Area


R4
Ether2
10.y.4.1/24

Ether3
10.y.5.1/24

AREA 2
Ether2
Ether3
STUB AREA
10.y.4.2/24
10.y.5.2/24
R7

R8

31-Aug-15

[LAB-4] OSPF STUB

Atur Router-ID menggunakan 10.10.10.x pada instances


Buat Area dengan type STUB

R4 , R7, R8

31-Aug-15

[LAB-4] OSPF STUB


Tambahkan network ke area1

Pada R4

31-Aug-15

[LAB-4] OSPF STUB


Tambahkan network ke area1

R7

R8

31-Aug-15

[LAB-4] OSPF AREA

Amati dan lihat perubahan tabel routing untuk


masing-masing IR di setiap AREA.
Apakah ada perbedaan tabel routing antara IR
pada NSSA dengan STUB area ?
Tambahkan static default gateway pada R1 ke
10.10.10.100 dan aktifkan redistribute-defaultroute, kemudian amati perubahan tabel routing di
masing-masing router.
Import route-nice.rsc ke R3 dan R4.
Aktifkan redistribute-static route di R3 dan R4
kemudian cek perubahan tabel routing di masingmasing router.
31-Aug-15

OSPF - Virtual Link

Virtual Link digunakan untuk mengatasi


koneksi router yang terpisah (secara fisik) dari
area backbone.
Juga dapat digunakan untuk menyabung area
backbone yang terpisah.
Virtual Link Tidak bisa berjalan sempurna jika
melewati stub area.

31-Aug-15

[LAB-6] OSPF Virtual Link


10.10.10.100

Ether2:
10.Y.1.1

Ether3:
10.Y.1.2

ABR

Area 1

Ether2:
10.Y.2.1
R2

10.10.10.X
R1
Y = Nomor Kelompok
X = Nomor Meja

Ether3:
10.Y.2.2

Virtual Link
Area Backbone

Karena Virtual Link tidak bisa melewati area yang


bertipe Stub maka ubah type area pada Area1
dan Area2 menjadi type standard (default).
Kemudian Aktifkan Virtual Link di R2 dan R3.

R3

ABR

Ether2:
10.Y.3.1
Ether2:
10.Y.3.2
Area 2

IR

R4
31-Aug-15

[LAB-6] R2 Configuration

Ubah Area1 menjadi Area Standard.

Buat Virtual Link melewati Area1


31-Aug-15

[LAB-6] R3 Configuration

31-Aug-15

[LAB-6] R3 Configuration
Aktifkan network
OSPF di kedua
area.

31-Aug-15

[LAB-6] R3 Configuration

Tambahkan Virtual Link


memanfaatkan Area1.
Pastikan NeighborID
sama dengan RouterID
yang ada di Area1.

31-Aug-15

[LAB-6] R4 Configuration

Tambahkan Area2 di R4.


Aktifkan Network untuk
Area2.

31-Aug-15

OSPF - Virtual Link


Saat ini Virtual link tidak bisa berjalan
sempurna di ROS v4/v5 !!
Solusi :
1. Gunakan EoIP antara R3 ke R1
2. Pasang IP di interface EoIP
3. Masukkan IP network EoIP tersebut kedalam
network backbone
31-Aug-15

LSA Type

Type 1 (Router link) : LSA yang diterima dari router lain dalam satu
area dan berisi informasi router-id neighbor
Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR
dalam satu area.
Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR
ke neighbor yang berisi ringkasan informasi network area lain dalam
satu AS
Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari
router ASBR yang mengadvertise LSA type 5
Type 5 (AS External Link) : LSA ini berisi informasi network external
AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub
Area dan NSSA Area)
Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF
(MOSPF), routing protocol yang jarang digunakan
Type 7 (Group Membership) : Membawa informasi network external
AS yang melewati NSSA
31-Aug-15

OSPF LSA Standart Area


AREA 0

STANDART AREA

TYPE 1 & 2

TYPE 1 & 2

TYPE 3
TYPE 5

TYPE 4

31-Aug-15

OSPF LSA STUB Area


AREA 0

STUB AREA

TYPE 1 & 2

TYPE 1 & 2

TYPE 3

0.0.0.0/0

31-Aug-15

OSPF LSA NSSA Area


AREA 0

NSSA AREA

TYPE 1 & 2

TYPE 1 & 2

TYPE 5

TYPE 7

0.0.0.0/0
TYPE 4

31-Aug-15

Routing Filter

Hampir sama dengan IP firewall, routing bisa


mengimplementasikan filtering terhadap informasi
routing yang didistribusikan di setiap protocolnya.
Mirip juga dengan IP firewall Urutan penempatan
rule sangat berpengaruh.
OSPF memiliki chain default yang digunakan untuk
meletakkan filter :

Chain built in atau chain default OSPF-IN adalah


chain untuk meletakkan filter informasi routing yang
masuk.
Chain built in atau chain default OSPF-OUT aladah
chain untuk meletakkan filter informasi routing yang
keluar.

Custom chain juga bisa dibuat sesuai kebutuhan


dengan menuliskan nama chain baru secara
manual.
31-Aug-15

OSPF-Filter

31-Aug-15

Routing Filter Chain

Beberapa parameter yang diperlukan untuk melakukan


routing filter :
Chain : Nama chain untuk meletakkan rule filter.

ospf-in Lokasi untuk melakukan filter informasi routing OSPF yang


diterima oleh router sebelum dipasangkan di tabel routing
ospf-out Lokasi untuk melakukan filter informasi routing yang akan
diadvertise keluar oleh router dalam OSPF
rip-in Lokasi untuk melakukan filter informasi routing RIP yang
diterima oleh router sebelum dipasangkan di tabel routing
rip-out Lokasi untuk melakukan filter informasi routing yang akan
diadvertise keluar oleh router dalam RIP
mme-in Lokasi untuk melakukan filter informasi routing MME yang
diterima oleh router sebelum dipasangkan di tabel routing
connected-in Letak chain default untuk menempatkan filter routing
Direct Connect (input).
dynamic-in Letak chain default untuk routing dynamic yang lain
(Selain routing protocol dan connect directly). Biasanya untuk routing
yang diinputkan dari ppp daemon.
31-Aug-15

Routing Filter Prefix & Prefix Lenght

Prefix adalah segmen network yang ingin difilter

Contoh :

0.0.0.0/0 untuk memfilter default route


192.168.0.0/24 jika tidak ada tambahan setting di preffixlength maka akan melakukan filter network tersebut secara
spesifik.
192.168.0.0 jika tidak ada prefix segmen maka dianggap
sebagai /32

Prefix-Length adalah filter terhadap prefix-mask


dari parameter Prefix. Contoh :

prefix=10.0.0.0/8 prefix-length=8-32

Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255

prefix=8.8.0.0/16 prefix-length=16-32

Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255


31-Aug-15

Routing Filter - Action

Accept Menerima prefix routing


Discard tidak memasukkan prefix routing ke proses
pengolahan routing di FIB.
Jump Melemparkan prefix routing ke chain filter routing
yang lain.

Jump Target Chain tujuan yang baru.

Log Memasukkan informasi routing ke pesan Log


System.
Passthrough Meneruskan informasi routing untuk di
periksa di rule dibawahnya dalam chain yang sama.
Reject jika digunakan di Incoming Filter, prefix yang
masuk akan disimpan di memory tetapi tidak akan diaktif.
Jika Outgoing Filter, prefix tidak akan diproses sama
sekali.
Return Mengembalikan prefix routing yang sebelumnya
sudah terkena filter jump.
31-Aug-15

[LAB-7] OSPF PPP Network


10.10.10.100

Ether2:
10.Y.1.1

Ether3:
10.Y.1.2

Ether2:
10.Y.2.1
R2

10.10.10.X

Ether3:
10.Y.2.2

R1
Y = Nomor Kelompok
X = Nomor Meja

Area 1
STD AREA

Area Backbone

Bangun network topologi seperti pada gambar


dan aktifkan PPPoE server di Ether3 R4.
Tambahkan Jaringan yang menggunakan
protocol PPP untuk kasus kali ini kita akan
mencoba menggunakan network PPPoE
Gunakan Notebook sebagai client

PPPoE
Network

R3

Ether3:
10.Y.3.1

Ether2:
10.Y.3.2
Ether3

R4
31-Aug-15

OSPF Filter PPP protocol

OSPF juga bisa melakukan distribusi routing untuk


network point-to-point /32 (VPN / point-to-point
addressing).
Karena sifatnya yang sangat dinamis perubahan struktur
jaringan VPN (PPP) akan semakin membebani kerja
protocol OSPF.
Direkomendasikan untuk melakukan filter terhadap
network jenis ini.
Untuk distribusi routing PPPoE di OSPF kita bisa
memasang IP Agregasi ke salah satu interface di router,
biasanya ip agregasi tersebut dipasang di interface
dimana service PPP dipasang.
Atau bisa juga memasang static route dari network
VPN (PPP) mengarah ke router itu sendiri.
31-Aug-15

[LAB-7] OSPF - PPP Filter


Client 3

Client 4
R3

Client 2

Area 1

Ether3:
10.Y.3.1

Client 1

Ether2:
10.Y.3.2
PPPoE / VPN
Network

Ether3

R4

Gunakan routing filter di OSPF untuk menghilangkan advertise


network /32 karena akan membebani proses update routing.

31-Aug-15

[LAB-7] OSPF-Filter

Filter ini dipasang di semua Router


yang terhubung ke OSPF Network

/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard

31-Aug-15