Sunda Ngoprek

Kenalan dengan DMVPN

Bismillah...

Pada kesempatan ini kita akan belajar mengenai DMVPN ? apakah itu ? yuk akhh kita pelajari dari web sebelah yah Blognya Mas Randy

Berikut ulasan dari web sebelah :

INTRODUCTION TO CISCO DYNAMIC MULTIPOINT VPN – DMVPN

“Dynamic Multipoint VPN (DMVPN) is Cisco’s answer to the increasing demands of enterprise companies to be able to connect branch offices with head offices and between each other while keeping costs low, minimising configuration complexity and increasing flexibility.” artine yo ngunu.

Dengan DMVPN, dengan sebuah router yang biasanya ditempatkan di head office, yang berfungsi sebagai Hub sedangkan router lain atau branch router berfungsi sebagai Spokes yang dihubungkan ke Hub router jadi masing2 branch office bisa mengakses informasi perusahaan lewat head office. Mudeng? ora mase -_-

Jadi gini di DMVPN nanti kita akan mengenal ada yang namanya Hub sama Spokes, Hub bertugas sebagai central pusat komunikasi dan Spoke sebagai clientnya. Wes mudeng kan? Sedangkan DMVPN sendiri dalam implementasinya terbagi jadi 2 menurut design :

DMVPN Hub & Spoke, perform headquarters-to-branch interconnections

DMVPN Spoke-to-Spoke, perform branch-to-branch interconnections

Dalam kedua kasus diatas router yang menjadi Hub haruslah memiliki ip publik static sedangkan untuk branch router (spoke) bisa menggunakan static atau dynamic ip public

DMVPN menggabungkan multiple GRE (mGRE) Tunnels, IPSec encryption dan NHRP (Next Hop Resolution Protocol) dalam implementasinya.

NHRP merupakan layer 2 resolution protocol dan cache, seperti halnya Address Resolution Protocol (ARP) atau Reverse ARP (Frame Relay)

Hub router sebagai server dan spoke router sebagai client. Hub router berfungsi sebagai NHRP database yang berisi Public ip address dari masing2 spokes.

Setiap spoke mendaftarkan masing2 alamat ip publicnya ke hub dan meminta NHRP database untuk alamat ip publik spoke tujuan dan ini membutuhkan sebuah VPN tunnel.

mGRE Tunnel interface digunakan untuk biar single GRE interface bisa dipake buat multiple IPSec tunnel.

Kemudian untuk membuat GRE interface dibutuhkan

IP address

Tunnel Source

Tunnel Destination

Optional tunnel key

Contoh Perintah

interface Tunnel 0

ip address 10.0.0.1 255.0.0.0

tunnel source Dialer1

tunnel destination 172.16.0.2

tunnel key 1

Contoh Perintah

Untuk mGRE interface dibutuhkan

IP address

Tunnel Source

Tunnel Key

Contoh Perintah :

interface Tunnel 0

ip address 10.0.0.1 255.0.0.0

tunnel source Dialer 1

tunnel mode gre multipoint

tunnel key 1

mGRE interface tidak membutuhkan tunnel destination. Karena mGRE tunnel tidak membutuhkan tunnel destination dalam konfigurasinya. NHRP akan mengisinya dengan memberitahukan mGRE akan kemana packet dikirim.

DMVPN BENEFITS

Beberapa benefit yang ada didalam DMVPN yang membuat DMVPN sangat popular dan sangat direkomendasikan.

Konfigurasi Hub Router Yang Simple. Tidak perlu membuat multiple interface untuk masing-masing branch (Spoke) VPN. Sebuah interface mGRE, IPSec profile tanpa perlu crypto accesslist, bisa untuk handle semua Spoke Router. Tak peduli banyaknya Spoke router yang terhubung ke Hub, hub konfigurasinya ya itu itu saja tak perlu perubahan yang signifikan.

Mendukung Dynamic IP Pada Sisi Client. Konsepnya mirip seperti PPTP, hanya dibutuhkan 1 public ip yang berada di Hub dan kemudian sisi client bisa menggunakan dynamic ip.

Bisa Bikin Tunnel Antar Branch. Jadi Spoke router bisa bikin VPN tunnel ke spoke yang lain.

Optional IPSec Untuk Tingkat Keamanan Yang Bagus. Dalam konfigurasi DMVPN kita juga bisa menggabungkan IPSec kedalamnya agar traffic tunnel terenkripsi dan lebih terjamin tingkat keamananya.

WITHOUT DMVPN vs USING DMVPN

Dibawah ini nanti kakak chang bakalan coba jelaskan perbedaan tanpa menggunakan DMVPN hanya menggunakan GRE Tunnel biasa dan setelah menggunakan DMVPN. Kakak mencoba ambil kesimpulan dari beberapa referensi yang kakak baca, dan wejangan dari guru syeh Google. Jadi kakak akumulasikan untuk semisal client ada 30 Remote Office yang berarti ada 30 Spoke.

WITHOUT DMVPN (Standard GRE Tunnel)

1 buah GRE Interface untuk setiap Spoke

Semua tunnel interface pada masing-masing spoke perlu dikonfigurasikan

Static tunnel destination

Pada spoke membutuhkan static address

Mendukung dynamic routing protocols

Perlu banyak konfigurasi pada Hub (HQ Router)

1 interface/spoke -> 30 spokes = 30 tunnel interface

7 baris per spoke -> 30 spokes = 210 configuration baris

4 IP address per spoke -> 30 spokes = 120 address

Kalopun ada penambahan di sisi spoke juga perlu konfigurasi lagi di sisi hub

Spoke-to-Spoke traffic kudu lewat Hub dulu

Berikut kakak sudah bikin contoh gampar topologi kalo kita tanpa menggunakan DMVPN. Semua spoke terhubung ke hub menggunakan tunnel interface. Pada router hub dikonfigurasikan 3 tunnel interface yang berbeda, 1 buah untuk masing-masing spoke.

Masing-masing GRE tunnel antar hub-spoke router dikonfigurasikan menggunakan network address yang berbeda. Sebagai contoh, GRE tunnel antara HUB dan Remote Office 1 menggunakan network 10.0.0.0/30, sedangkan GRE Tunnel antara HUB dan Remote Office 2 menggunakan 10.0.1.0/30 dan sebagainya.

Sesuai gambar diatas Hub router punya 3 GRE tunnel, untuk masing-masing spoke, membuat konfigurasi jadi lebih rumit bayangkan kalau itu ada 30 spoke bisa kebayang sendiri gimana rumitnya konfigurasi. Traffic antar spoke adalah point-to-point GRE VPN network harus melewati hub dulu.

USING DMVPN + IPSEC ENCRYPTION

Bedanya dengan GRE tunnel biasa, untuk DMVPN ketika sebuah mGRE interface dikonfigurasikan bisa digunakan secara bersama untuk masing-masing spoke, jadi kita tidak perlu bikin beberapa mGRE interace. Meski cukup butuh 1 mGRE saja, kita juga tetep bisa bikin multiple mGRE interface.

Dynamic Tunnel Destination bisa digunakan untuk sisi clien yang menggunakan dynamic ip address dengan cara menggunakan NHRP dan Dynamic Routing Protocol

Hanya perlu sedikit konfigurasi di Hub (HQ Router)

1 interface digunakan untuk 30 spokes = 1 tunnel interface

Konfigurasi termasuk NHRP untuk 30 spokes = 15 baris

7 baris per spoke -> 30 spokes = 210 baris konfigurasi

Semua spoke dalam subnet yang sama -> 30 spokes = 30 address

Tidak perlu konfigurasi lagi di hub jikalau ada penambahan spoke baru

Spoke-to-Spoke traffic lewat hub atau bisa langsung.

Dengan mGRE, semua spoke dikonfigurasikan dengan hanya 1 buah interface saja pada sisi Hub, tidak perduli sebanyak apapun spoke masih tetep bisa connect. Semua tunnel interface dalam network yang sama seperti gambar berikut menggunakan network 10.0.0.0/29

Selanjutnya, spoke-to-spoke traffic tidak perlu lagi harus lewat hub router namun akan langsung dikirim menuju spoke router tujuan.

Sumber :

https://randymukti.wordpress.com/2014/07/21/indahnya-berkenalan-dengan-dmvpn-mgre-nhrp-tapi-lebih-indah-lagi-saat-berkenalan-denganmu/

Salam Ngoprek

MPLS & L3VPN FILTER KOMPLEK

Pada lab ini kita akan mempelajari lab MPLS dan L3VPN FILTER KOMPLEK
topologinya masih sama dengan topologi sebelumnya, baik itu konfigurasi
ip address ataupun CORE MPLSnya, konfigurasi yang berbeda yaitu pada
R2-PE dan R4-PE yang menuju R1-CAR2, R5-CAR4 dan R6-CBR6.

Konfigurasi VPN
R2-PE dan R1-CAR2 Menggunakan OSPF 100
R4-PE dan R5-CAR4 Mengunakan EIGRP 100
R4-PE dan R6-CBR6 Menggunakan eBGP AS 6

Berikut ini konfigurasi CORE MPLS pada R2-PE

interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 23.23.23.2 255.255.255.0
mpls ip
!

mpls label protocol ldp
mpls ldp router-id Loopback0 force
!

router ospf 1
router-id 2.2.2.2
network 2.2.2.2 0.0.0.0 area 0
network 23.23.23.2 0.0.0.0 area 0
!

router bgp 234
bgp log-neighbor-changes
neighbor 4.4.4.4 remote-as 234
neighbor 4.4.4.4 update-source Loopback0
!
address-family vpnv4
neighbor 4.4.4.4 activate
neighbor 4.4.4.4 send-community extended
exit-address-family
!

Selanjutnya Konfigurasi VPN di R2-PE yang menuju R1-CAR2, pada hal ini
membuat vrf RD dan Route Target mengekspor network R1-CAR2 agar terhubung
dengan R5-CAR2 dan R6-CBR6

ip vrf car2
rd 1:10
route-target export 1:105
route-target import 1:105
route-target import 1:600
!

Bikin IP Address untuk menuju R1-CAR2 menggunakan VPN

interface Ethernet0/1
ip vrf forwarding car2
ip address 12.12.12.2 255.255.255.0
!

Kemudian Advertise ke OSPF 100 dan Redistribute MP-BGP ke OSPF mengguanakan VPN

router ospf 100 vrf car2
redistribute bgp 234 subnets
network 12.12.12.2 0.0.0.0 area 0
!

Kemudian Redistribute OSPF ke MP-BGP 234 menggunakan VPN

router bgp 234
address-family ipv4 vrf car2
redistribute ospf 100
exit-address-family
!

Konfigurasi di R1-CAR2 yang terhubng ke R2-PE

interface Loopback0
ip address 1.1.1.1 255.255.255.255
!

interface Ethernet0/0
ip address 12.12.12.1 255.255.255.0
!

Advertise ke OSPF 100

router ospf 100
network 1.1.1.1 0.0.0.0 area 0
network 12.12.12.1 0.0.0.0 area 0
!

Berikut ini Konfigurasi Core MPLS pada R3-P

interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Ethernet0/0
ip address 23.23.23.3 255.255.255.0
mpls ip
!
interface Ethernet0/1
ip address 34.34.34.3 255.255.255.0
mpls ip

mpls label protocol ldp
mpls ldp router-id Loopback0 force
!

router ospf 1
router-id 3.3.3.3
network 3.3.3.3 0.0.0.0 area 0
network 23.23.23.3 0.0.0.0 area 0
network 34.34.34.3 0.0.0.0 area 0
!

Berkut ini Konfigurasi Core MPLS pada R4-PE

interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
interface Ethernet0/0
ip address 34.34.34.4 255.255.255.0
mpls ip
!

mpls label protocol ldp
mpls ldp router-id Loopback0 force
!

router ospf 1
router-id 4.4.4.4
network 4.4.4.4 0.0.0.0 area 0
network 34.34.34.4 0.0.0.0 area 0
!

router bgp 234
bgp log-neighbor-changes
neighbor 2.2.2.2 remote-as 234
neighbor 2.2.2.2 update-source Loopback0
!
address-family vpnv4
neighbor 2.2.2.2 activate
neighbor 2.2.2.2 send-community extended
exit-address-family
!

Kemudian Konfigurasi

Selanjutnya Konfigurasi VPN di R4-PE yang menuju R5-CAR4 dan R6-CBR6, pada hal
ini membuat vrf RD dan Route Target, mengekspor network R5-CAR4 agar terhubung
dengan R1-CAR2 dan R6-CBR6 terhubung dengan R1-CAR2 dan R5-CAR4.

ip vrf car4
rd 1:20
route-target export 1:105
route-target import 1:105
route-target import 1:600
!
ip vrf cbr6
rd 1:60
route-target export 1:600
route-target import 1:600
route-target import 1:105
!

Kemudian Bikin IP Address yang menuju R5-CAR4 dan R6-CBR6 menggunakan VPN

interface Ethernet0/1
ip vrf forwarding car4
ip address 45.45.45.4 255.255.255.0
!
interface Ethernet0/2
ip vrf forwarding cbr6
ip address 46.46.46.4 255.255.255.0
!

Kemudian IP Address yang menuju R5-CAR4 advertise ke EIGRP 100 menggunkan VPN
serta redistribute MP-BGP 234 ke EIGRP 100 menggunkana VPN

router eigrp 100
address-family ipv4 vrf car4 autonomous-system 100
network 45.45.45.4 0.0.0.0
exit-address-family
!
address-family ipv4 vrf cbr6 autonomous-system 100
redistribute bgp 234 metric 1 1 1 1 1
exit-address-family
!

selanjutnya Redistribute EIGRP ke MP-BGP Mengunakan VPN

router bgp 234
address-family ipv4 vrf car4
redistribute eigrp 100
exit-address-family
!

setelah EIGRP selesai di konfigurasi selanjutnya EBGP di R4-PE dengan AS 234
menuju R6-CBR dengan AS 6

router bgp 234
address-family ipv4 vrf cbr6
neighbor 46.46.46.6 remote-as 6
neighbor 46.46.46.6 activate
exit-address-family
!

Selanjutnya konfigurasi Di R5-CAR4

interface Loopback0
ip address 5.5.5.5 255.255.255.255
!
interface Ethernet0/0
ip address 45.45.45.5 255.255.255.0
!

Advertise ke EIGRP 100
router eigrp 100
network 5.5.5.5 0.0.0.0
network 45.45.45.5 0.0.0.0
!

Kemdian Konfigurasi Di R6-CBR6

interface Loopback0
ip address 6.6.6.6 255.255.255.255
!

interface Ethernet0/0
ip address 46.46.46.6 255.255.255.0
!

Advertise ke BGP 6
router bgp 6
bgp log-neighbor-changes
network 6.6.6.6 mask 255.255.255.255
neighbor 46.46.46.4 remote-as 234
!

Selanjutnya Verifikasi di R1-CAR2

R1-CAR2#sh ip route ospf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

5.0.0.0/32 is subnetted, 1 subnets
O E2 5.5.5.5 [110/1] via 12.12.12.2, 00:01:40, Ethernet0/0
6.0.0.0/32 is subnetted, 1 subnets
O E2 6.6.6.6 [110/1] via 12.12.12.2, 00:01:40, Ethernet0/0
45.0.0.0/24 is subnetted, 1 subnets
O E2 45.45.45.0 [110/1] via 12.12.12.2, 00:01:40, Ethernet0/0

Terlihat pada routing table ospf di R1-CAR2 terbaca dengan R5-CAR4 dan R6-CBR

Verifikasi di R5-CAR4

R5-CAR4#sh ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
D EX 1.1.1.1 [170/2560025856] via 45.45.45.4, 00:00:35, Ethernet0/0
6.0.0.0/32 is subnetted, 1 subnets
D EX 6.6.6.6 [170/2560025856] via 45.45.45.4, 00:00:35, Ethernet0/0
12.0.0.0/24 is subnetted, 1 subnets
D EX 12.12.12.0 [170/2560025856] via 45.45.45.4, 00:00:35, Ethernet0/0

Terlihat Pada routing tabel EIGRP di R5-CAR4 bahwa R5-CAR4 terhubng ke R1-CAR2
dan R6-CBR6

Verifikasi di R6-CBR6

R6#sh ip bgp
BGP table version is 6, local router ID is 6.6.6.6
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 46.46.46.4 0 234 ?
*> 5.5.5.5/32 46.46.46.4 0 234 ?
*> 6.6.6.6/32 0.0.0.0 0 32768 i
*> 12.12.12.0/24 46.46.46.4 0 234 ?
*> 45.45.45.0/24 46.46.46.4 0 234 ?
R6#

Terlihat Pada routing tabel BGP di R6-CBR bahwa R6-CBR terhbung ke R1-CAR2
dan R5-CAR4

Sampai sini Konfigurasi VPN
R2-PE dan R1-CAR2 Menggunakan OSPF 100
R4-PE dan R5-CAR4 Mengunakan EIGRP 100
R4-PE dan R6-CBR6 Menggunakan eBGP AS 6

Telah sukses selanjutnya kita yaitu filtering, pada lab ini filtering komplek
artinya kita akan memfilter berdasarkan route-target pada vrf dan route map
pada vrf, sehingga benar benar komplek.

sebelumnya hapus dulu route target import 1:600 di vrf car2 pada R2-PE
hapus dulu route target import 1:600 di vrf car4 pada R4-PE
hapus dulu route target import 1:600 di vrf cbr6 pada R4-PE

hal ini karena
R4-PE dan R2-PE agar saling tukar informasi menggunakan route-target
export dan import 1:105, sehingga R4-PE yang terhubng ke R5-CAR4 masih bisa
membaca R1-CAR2 dan sebaliknya, namun R6-CBR6 tidak bisa tukar informasi
dengan R1-CAR2 dan R5-CAR4

berikut hasil verifikasi di R1-CAR2 R5-CAR4 dan R6-CBR6

R1-CAR2#sh ip route ospf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

5.0.0.0/32 is subnetted, 1 subnets
O E2 5.5.5.5 [110/1] via 12.12.12.2, 03:43:30, Ethernet0/0
45.0.0.0/24 is subnetted, 1 subnets
O E2 45.45.45.0 [110/1] via 12.12.12.2, 03:43:30, Ethernet0/0
55.0.0.0/32 is subnetted, 1 subnets
O E2 55.55.55.55 [110/1] via 12.12.12.2, 00:17:40, Ethernet0/0
R1-CAR2#

R5-CAR4#sh ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
D EX 1.1.1.1 [170/2560025856] via 45.45.45.4, 00:00:16, Ethernet0/0
11.0.0.0/32 is subnetted, 1 subnets
D EX 11.11.11.11 [170/2560025856] via 45.45.45.4, 00:00:16, Ethernet0/0
12.0.0.0/24 is subnetted, 1 subnets
D EX 12.12.12.0 [170/2560025856] via 45.45.45.4, 00:00:16, Ethernet0/0
R5-CAR4#

R6(config)#do sh ip bgp
BGP table version is 17, local router ID is 6.6.6.6
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 6.6.6.6/32 0.0.0.0 0 32768 i
*> 66.66.66.66/32 0.0.0.0 0 32768 i
R6(config)#

Kemudian langkah selanjutnya adalah konfigurasikan R6-CBR6 dan R5-CAR4 agar
bisa saling tukar informasi routing.

Bikin route-target yang baru yaitu 1:506 antara R5-CAR4 dan R6-CBR6

R4-PE(config)#ip vrf car4
R4-PE(config-vrf)#route-target both 1:506
R4-PE(config-vrf)#exit
R4-PE(config)#ip vrf cbr6
R4-PE(config-vrf)#route-target both 1:506
R4-PE(config-vrf)#exit

Berikut Verfikasi di R5-CAR4 dan R6-CBR6

R5-CAR4#sh ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
D EX 1.1.1.1 [170/2560025856] via 45.45.45.4, 00:10:11, Ethernet0/0
6.0.0.0/32 is subnetted, 1 subnets
D EX 6.6.6.6 [170/2560025856] via 45.45.45.4, 00:00:55, Ethernet0/0
11.0.0.0/32 is subnetted, 1 subnets
D EX 11.11.11.11 [170/2560025856] via 45.45.45.4, 00:10:11, Ethernet0/0
12.0.0.0/24 is subnetted, 1 subnets
D EX 12.12.12.0 [170/2560025856] via 45.45.45.4, 00:10:11, Ethernet0/0
66.0.0.0/32 is subnetted, 1 subnets
D EX 66.66.66.66 [170/2560025856] via 45.45.45.4, 00:00:55, Ethernet0/0
R5-CAR4#

R6(config)#do sh ip bgp
BGP table version is 20, local router ID is 6.6.6.6
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 5.5.5.5/32 46.46.46.4 0 234 ?
*> 6.6.6.6/32 0.0.0.0 0 32768 i
*> 45.45.45.0/24 46.46.46.4 0 234 ?
*> 55.55.55.55/32 46.46.46.4 0 234 ?
*> 66.66.66.66/32 0.0.0.0 0 32768 i
R6(config)#

Terlihat pada masing masing tabel routing R6-CBR6 dapat tukar informasi dengan
R5-CAR4, dan R5-CAR4 dapat tukar infomarsi dengan R1-CAR2 dan R6-CBR6

R4-PE#sh ip bgp vpnv4 vrf car4 5.5.5.5 | i RT
Extended Community: RT:1:105 RT:1:506 Cost:pre-bestpath:128:409600

Terlihat bahwa car4 menggunakan 2 route target yaitu 1:105 dan 1:506

selanjutnya Filtering Menggunakan Route Map

pada lab ini, kita akan konfigurasikan R1-CAR2 boleh memanage R6-CBR6 dan
R5-CAR4, namun R5-CAR4 dan R6-CBR6 tidak boleh melihat ip loopback yang baru
dari masing masing router lain.

Bikin IP Address Loopback yang di R1-CAR2, R5-CAR4 dan R6-CBR6

di R1-CAR2
interface Loopback1
ip address 11.11.11.11 255.255.255.255
!

Advertise ke OSPF 100
router ospf 100
network 1.1.1.1 0.0.0.0 area 0
network 11.11.11.11 0.0.0.0 area 0
network 12.12.12.1 0.0.0.0 area 0
!

di R5-CAR4
interface Loopback1
ip address 55.55.55.55 255.255.255.255
!

Advertise ke EIGRP 100

router eigrp 100
network 5.5.5.5 0.0.0.0
network 45.45.45.5 0.0.0.0
network 55.55.55.55 0.0.0.0
!

di R6-CBR6
interface Loopback1
ip address 66.66.66.66 255.255.255.255
!

Advertise ke BGP

router bgp 6
bgp log-neighbor-changes
network 6.6.6.6 mask 255.255.255.255
network 66.66.66.66 mask 255.255.255.255
neighbor 46.46.46.4 remote-as 234
!

Kemudian Bikin IP Prefix List untuk mengijinkan hanya IP Loopback R5-CAR4
dan R6-CBR6 yang boleh masuk pada R4-PE dan pasang route mapnya pada vrf
car4 dan cbr6

ip prefix-list TEST seq 5 permit 55.55.55.55/32
ip prefix-list TEST seq 10 permit 66.66.66.66/32
!
route-map MON permit 10
match ip address prefix-list TEST
set extcommunity rt 1:156
!

hapus route target export dan import 1:506 di vrf car4 dan cbr6 pada R4-PE

kemudian pasang route-target export 1:156 di vrf car4 an cbr6

R4-PE(config-vrf)#ip vrf car4
R4-PE(config-vrf)#route-target export 1:156
R4-PE(config-vrf)#ip vrf cbr6
R4-PE(config-vrf)#route-target export 1:156

kemudian pasang route-target import 1:156 di R1-CAR2

R2-PE(config)#ip vrf car2
R2-PE(config-vrf)#route-target import 1:156
R2-PE(config-vrf)#exit

Kedua konfigurasi di atas bermaksud untuk memberitahukan network di R4-PE
khususnya vrf car4 dan vrf cbr6 kepada R1-CAR2, kemudian R1-CAR2 memasukan
informasi yang berasal dari vrf car4 dan cbr6

berikut verifikasi di R1-CAR2

R1-CAR2#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
5.0.0.0/32 is subnetted, 1 subnets
O E2 5.5.5.5 [110/1] via 12.12.12.2, 00:49:30, Ethernet0/0
6.0.0.0/32 is subnetted, 1 subnets
O E2 6.6.6.6 [110/1] via 12.12.12.2, 00:08:31, Ethernet0/0
11.0.0.0/32 is subnetted, 1 subnets
C 11.11.11.11 is directly connected, Loopback1
12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 12.12.12.0/24 is directly connected, Ethernet0/0
L 12.12.12.1/32 is directly connected, Ethernet0/0
45.0.0.0/24 is subnetted, 1 subnets
O E2 45.45.45.0 [110/1] via 12.12.12.2, 00:49:30, Ethernet0/0
55.0.0.0/32 is subnetted, 1 subnets
O E2 55.55.55.55 [110/1] via 12.12.12.2, 00:49:30, Ethernet0/0
66.0.0.0/32 is subnetted, 1 subnets
O E2 66.66.66.66 [110/1] via 12.12.12.2, 00:08:31, Ethernet0/0

Terlihat pada tabel routing di R1-CAR2 terhubung ke R5-CAR4 dan R6-CBR6

hapus dulu route-target import 1:105 agar R5-CAR4 tidak mengetahui R1-CAR2

R4-PE(config)#ip vrf car4
R4-PE(config-vrf)#no route-target import 1:105

verifikasi di R5-CAR4

R5-CAR4#sh ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

R5-CAR4#

Terlihat pada routing tabel eigrp di R5-CAR4 tidak adanya network R1-CAR2
ataupun R6-CBR6

Verifikasi di R6-CBR6

6#sh ip bgp
BGP table version is 9, local router ID is 66.66.66.66
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*> 6.6.6.6/32 0.0.0.0 0 32768 i
*> 66.66.66.66/32 0.0.0.0 0 32768 i
R6#

Terlihat pada tabel routing bgp di R6-CBR6 tidak adanya network dari router
lain, hanya menampilkan network yang ada di routernya sendiri.

Alhamdulillah sampai sini, lab MPLS & VPN Filter Komplek telah berhasil
di konfigurasi, Mantabbb mas brooo...

Salam Ngoprek

MPLS VPN menggunakan Routing BGP

Lab 9. MPLS VPN menggunakan Routing BGP

Pada lab ini, topologi nya berbeda dari lab sebelumnya, yaitu tidak adanya
router 6 yang terhbung ke R4-PE, kemudian antara Router PE dan CE menggunakan
Routing IBGP 15 di bawah vrf car2 dan vrf car4, kemudian R2-PE R3-P dan R4-PE
menggunakan Routing eBGP yaitu BGP 234, BGP 234 berada pada jalur MPLS,

Konfigurasi VRF car2 di R2-PE
ip vrf car2
rd 1:10
route-target export 1:105
route-target import 1:105
!

Konfigurasi VRF car4 di R4-PE
ip vrf car4
rd 1:20
route-target export 1:105
route-target import 1:105
!

Konfigurasi IBGP di Router CAR2 menggunakan IP Interface ke R2-PE

CAR2(config)#router bgp 15
CAR2(config-router)#neighbor 12.12.12.2 remote-as 234
CAR2(config-router)#net 1.1.1.1 mask 255.255.255.255
CAR2(config-router)#exit

Konfigurasi IBGP di Router CAR4 menggunakan IP Interface R4-PE
CAR4(config)#router bgp 15
CAR4(config-router)#neighbor 45.45.45.4 remote-as 234
CAR4(config-router)#net 5.5.5.5 mask 255.255.255.255
CAR4(config-router)#exit

Sebelum Konfigurasi EBGP, harus pastikan dulu BGP 234 sudah tercreate di PE
dan sudah mengaktifkan Vpnv4 serta VRF

Konfigurasikan EBGP di R2-PE
R2-PE(config)#router bgp 234
R2-PE(config-router)#address-family ipv4 vrf car2
R2-PE(config-router-af)#neighbor 12.12.12.1 remote-as 15

Konfigurasikan EBGP di R4-PE
R4-PE(config)#router bgp 234
R4-PE(config-router)#address-family ipv4 vrf car4
R4-PE(config-router-af)#neighbor 45.45.45.5 remote-as 15

Selanjutnya kita verifikasi di Router CE

CAR2(config)#do sh ip bgp sum | b Nei
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
12.12.12.2 4 234 9 8 2 0 0 00:03:19 0

CAR2(config)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 0.0.0.0 0 32768 i

CAR4(config)#do sh ip bgp sum | b Nei
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
45.45.45.4 4 234 6 6 2 0 0 00:01:30 0

CAR4(config)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 5.5.5.5/32 0.0.0.0 0 32768 i

Pada BGP Net dan Neig terlihat bahwa router CE tidak bisa mempelajari Routingan
dari rute lain selain rute lokal, sehingga pada tabel routing BGP tidak ada
next hoopnya, hal ini disebabkan oleh BGP Looping antara eBGP dan iBGP, ada
dua cara untuk mengatasi hal ini yaitu

cara pertama router CE di konfigurasikan allowas-in, hal ini berfungsi untuk
membolehkan local router menerima rute walaupun router lokal melihat ada AS
Numbernya di atribut as-path.

konfigurasi di router car2 yang terhbung ke R2-PE

CAR2(config)#router bgp 15
CAR2(config-router)#nei 12.12.12.2 allowas-in
CAR2(config-router)#exi
CAR2(config)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 0.0.0.0 0 32768 i
*> 5.5.5.5/32 12.12.12.2 0 234 15 i

CAR4(config)#router bgp 15
CAR4(config-router)#nei 45.45.45.4 allowas-in
CAR4(config-router)#exit
CAR4(config)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 45.45.45.4 0 234 15 i
*> 5.5.5.5/32 0.0.0.0 0 32768 i

Alhamdulillah mas bro, sekrang router CE car2 yang terhbung ke R2-PE dapat
membaca rute lain selain dirinya sendiri.

Selain cara pertama menggunakan as allowas-in

cara kedua menggunakan as-override, pada dasarnya fungsinya sama namun
as-override dikonfigurasikan di Router PE, yaitu R2-PE dan R4-PE,
dengan cara kedua ini, provider akan mengganti AS Customer dengan AS milik
provider. Dari sisi customer, seakan akan prefix itu berasal dari provider.

hapus dulu konfigurasi as allowas-in di router customer car2 dan car4

CAR2(config)#router bgp 15
CAR2(config-router)#no nei 12.12.12.2 allowas-in

CAR4(config)#router bgp 15
CAR4(config-router)#no nei 45.45.45.4 allowas-in

Selanjutnya konfigurasikan di R2-PE dan R4-PE

R2-PE(config)#router bgp 234
R2-PE(config-router)#address-family ipv4 vrf car2
R2-PE(config-router-af)#nei 12.12.12.1 as-override

R4-PE(config)#router bgp 234
R4-PE(config-router)#address-family ipv4 vrf car4
R4-PE(config-router-af)#nei 45.45.45.5 as-override

Verifikasi di router customer car2 dan car4

CAR2(config-router)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 0.0.0.0 0 32768 i
*> 5.5.5.5/32 12.12.12.2 0 234 234 i
CAR2(config-router)#do sh ip bgp sum | b Nei
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
12.12.12.2 4 234 33 30 5 0 0 00:20:26 1

CAR4(config-router)#do sh ip bgp | b Net
Network Next Hop Metric LocPrf Weight Path
*> 1.1.1.1/32 45.45.45.4 0 234 234 i
*> 5.5.5.5/32 0.0.0.0 0 32768 i
CAR4(config-router)#do sh ip bgp sum | b Nei
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
45.45.45.4 4 234 76 72 5 0 0 00:59:23 1
CAR4(config-router)#

Alhamdulillah router customer dapat membaca rute lain selain dirinya sendiri,
dengan menggunakan 2 teknik pencegahan looping, sampai disini selesai.

Salam Ngoprek

MPLS VPN MENGGUNAKAN EIGRP

LAB 8 MPLS VPN MENGGUNAKAN EIGRP

Topologi, IP address, serta MPLS & LDP sudah di aktifkan serta masih sama
dengan lab sebelumnya, hanya saja routing OSPF di CE ke PE ataupun sebaliknya
di hapus, diganti dengan routing EIGRP,

Ingat pada R2-PE, R3-P dan R4-PE menggunakan routing OSPF serta BGP AS 234

di Router 2-PE

Konfigurasi EIGRP
router eigrp 100
!
address-family ipv4 vrf car2 autonomous-system 100
redistribute bgp 234 metric 1 1 1 1 1
network 12.12.12.2 0.0.0.0
exit-address-family
!

Konfigurasi BGP

router bgp 234
bgp log-neighbor-changes
neighbor 4.4.4.4 remote-as 234
neighbor 4.4.4.4 update-source Loopback0
!
address-family vpnv4
neighbor 4.4.4.4 activate
neighbor 4.4.4.4 send-community extended
exit-address-family
!
address-family ipv4 vrf car2
redistribute eigrp 100
exit-address-family
!

Konfigurasi di VRF untuk car2

ip vrf car2
rd 1:10
route-target export 1:105
route-target import 1:105
!

R4-PE

Konfigurasi EIGRP

router eigrp 100
!
address-family ipv4 vrf car4 autonomous-system 100
redistribute bgp 234 metric 1 1 1 1 1
network 45.45.45.4 0.0.0.0
exit-address-family
!

Konfigurasi RIPv2

router rip
version 2
!
address-family ipv4 vrf cbr6
network 46.0.0.0
no auto-summary
version 2
exit-address-family
!

Konfigurasi BGP

router bgp 234
bgp log-neighbor-changes
neighbor 2.2.2.2 remote-as 234
neighbor 2.2.2.2 update-source Loopback0
!
address-family vpnv4
neighbor 2.2.2.2 activate
neighbor 2.2.2.2 send-community extended
exit-address-family
!
address-family ipv4 vrf car4
redistribute eigrp 100
exit-address-family
!
address-family ipv4 vrf cbr6
exit-address-family
!

Verifikasi IP route bgp di R2-PE dan R4-PE

R2-PE#sh ip bgp vpnv4 vrf car2 | b Net
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:10 (default for vrf car2)
*> 1.1.1.1/32 12.12.12.1 409600 32768 ?
*>i 5.5.5.5/32 4.4.4.4 409600 100 0 ?
*> 12.12.12.0/24 0.0.0.0 0 32768 ?
*>i 45.45.45.0/24 4.4.4.4 0 100 0 ?
R2-PE#

R4-PE#sh ip bgp vpnv4 vrf car4 | b Net
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 1:20 (default for vrf car4)
*>i 1.1.1.1/32 2.2.2.2 409600 100 0 ?
*> 5.5.5.5/32 45.45.45.5 409600 32768 ?
*>i 12.12.12.0/24 2.2.2.2 0 100 0 ?
*> 45.45.45.0/24 0.0.0.0 0 32768 ?
R4-PE#

Test Ping dari car2 ke car 4 dan sebaliknya juga

CAR2#ping 5.5.5.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/6/8 ms
CAR2#

CAR4#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms
CAR4#

Mantab Mas bro, network yang berada car2 dapat terhubung dengan baik melalui
network MPLS untuk menuju car4 menggunakan EIGRP, sampai sini selesei.

Salam Ngoprek

Sunda Ngoprek

About Me

Tukang Ngoprek

Label

Arsip Blog

Kenalan dengan DMVPN

MPLS & L3VPN FILTER KOMPLEK

MPLS VPN menggunakan Routing BGP

MPLS VPN MENGGUNAKAN EIGRP