undefined
VLSM (Variable Length Subnnet Mask) atau subnet di dalam subnet dan di dukung oleh routing protocol RIP V 2 , EIGRP, OSPF dan IS IS ok langsung aza to the point dalam tulisan ini saya akan bahas konfigurasi VLSM dengan routing protocol RIP version 2 dengan ilustrasi jaringan sebagai berikut :
maka configurasinya adalah sebagai berikut :
Konfigurasi Router A
Router>en
Router#config t
Router(config)#hostname RouterA
RouterA(config)#enable password vlsm
RouterA(config)#line vty 0 4
RouterA(config-line)#password vlsm
RouterA(config-line)#login
RouterA(config-line)#exit
RouterA(config)#line con 0
RouterA(config-line)#password vlsm
RouterA(config-line)#login
RouterA(config-line)#exit
RouterA(config)#int s1/0
RouterA(config-if)#ip add 192.168.1.17 255.255.255.252
RouterA(config-if)#clock rate 64000
RouterA(config-if)#description terhubung ke int s1/1 RouterB
RouterA(config-if)#no shutdown
RouterA(config-if)#int f0/0
RouterA(config-if)#ip add 192.168.1.1 255.255.255.240
RouterA(config-if)#description terhubung ke int f0/1 RouterA
RouterA(config-if)#no shutdown
RouterA(config-if)#exit
RouterA(config)#router rip
RouterA(config-router)#network 192.168.1.0
RouterA(config-router)#version 2
RouterA(config-router)#no auto-summary
RouterA(config-router)#distance 90
RouterA(config-router)#exit
RouterA(config)#end
Download konfigurasi Selengkapnya sampai konfigurasi di router B
untuk mempelajari tentang VLSM klik download VLSM chart di kolom sebelah di link free download
Semoga bermanfaat
VLSM dengan Routing Protocol RIP Version 2
Analisa Jaringan menggunakan Traceroute, Ping dan Looking Glass
Terkadang pengguna Internet mengalami kendala dalam mengakses situs-situs tertentu, sebenarnya untuk mengatasi permasalahan ini sudah tersedia aplikasi pembantu atau tools yang secara standar disediakan oleh sistem operasi misal aplikasi: traceroute dan ping.
Untuk melakukan traceroute ke www.yahoo.com menggunakan Ms. Windows
C:\Documents and Settings\Harijanto>tracert www.yahoo.com
Tracing route to www.yahoo-ht3.akadns.net [209.131.36.158]
over a maximum of 30 hops:
1 <1>dalam contoh diatas hasil traceroute bisa mencapai 209.131.36.158 yang merupakan salah satu ip server yahoo.com, dari hasil traceroute tersebut bisa dilihat kemana saja rute dari komputer saya ke www.yahoo.com jadi kalau setelah hop ke 4 ternyata rute bermasalah maka permasalahan bukan terjadi pada segment jaringan DatautamaNet tetapi pada upstream kami dan Support harus berkoordinasi dengan upstream tersebut.
Untuk melakukan traceroute ke www.ragnarok.co.id menggunakan Ms. Windows
C:\Documents and Settings\Harijanto>tracert www.ragnarok.co.id
Tracing route to www.ragnarok.co.id [202.43.161.117]
over a maximum of 30 hops:
1 <1>
Bisa dilihat dari komputer saya ke www.ragnarok.co.id melalui openixp dan berujung pada dtp.net.id, sehingga kalau ada permasalahan setelah hop ke 4 Support harus berkoordinasi dengan pihak dtp.net.id tetapi jika permasalahan pada dibawah hop ke 3 berarti terjadi permasalahan di jaringan internal DatautamaNet. setelah bisa di traceroute coba juga menggunakan aplikasi "PING" atau "PATHPING"
Untuk ping dan pathping ke www.ragnarok.co.id caranya
C:\Documents and Settings\Harijanto>ping www.ragnarok.co.id
Pinging www.ragnarok.co.id [202.43.161.117] with 32 bytes of data:
Reply from 202.43.161.117: bytes=32 time=34ms TTL=124
Reply from 202.43.161.117: bytes=32 time=9ms TTL=124
Reply from 202.43.161.117: bytes=32 time=6ms TTL=124
Reply from 202.43.161.117: bytes=32 time=12ms TTL=124
Ping statistics for 202.43.161.117:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 6ms, Maximum = 34ms, Average = 15ms
C:\Documents and Settings\Harijanto>pathping www.ragnarok.co.id
Tracing route to www.ragnarok.co.id [202.43.161.117]
over a maximum of 30 hops:
0 presario [192.168.2.10]
1 kantorjakarta.datautama.net.id [192.168.2.1]
2 ip-26-65.datautama.net.id [203.89.26.65]
3 ip-24-173.datautama.net.id [203.89.24.173]
4 dtp.openixp.net [218.100.27.174]
5 trunk-dtpnoc.dtp.net.id [202.78.192.157]
6 ip-161-117.dtp.net.id [202.43.161.117]
Computing statistics for 150 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 presario [192.168.2.10]
0/ 100 = 0% |
1 0ms 0/ 100 = 0% 0/ 100 = 0% kantorjakarta.datautama.net.id [19
2.168.2.1]
0/ 100 = 0% |
2 5ms 1/ 100 = 1% 1/ 100 = 1% ip-26-65.datautama.net.id [203.89.
26.65]
0/ 100 = 0% |
3 19ms 0/ 100 = 0% 0/ 100 = 0% ip-24-173.datautama.net.id [203.89
.24.173]
0/ 100 = 0% |
4 --- 100/ 100 =100% 100/ 100 =100% dtp.openixp.net [218.100.27.174]
0/ 100 = 0% |
5 9ms 0/ 100 = 0% 0/ 100 = 0% trunk-dtpnoc.dtp.net.id [202.78.19
2.157]
0/ 100 = 0% |
6 14ms 0/ 100 = 0% 0/ 100 = 0% ip-161-117.dtp.net.id [202.43.161.
117]
Trace complete.
Dari ping dan patping bisa didapat informasi percent packet loss dan latency dari masing-masing hop yang ada.
Contoh-contoh diatas adalah dari dalam ke luar bagaimana kalau dari luar ke dalam?
untuk itu caranya bisa menggunakan aplikasi Looking Glass yang tersedia, untuk Looking Glass lokal bisa mengunjungi URL berikut:
sedangkan untuk Looking Glass global bisa dilihat di:
pilih salah satu Route Server yang tersedia utk analisa traceroute dari global Internet ke IP Public yang kita gunakan , contohnya:
route-server.phx1>traceroute 203.89.24.34
Type escape sequence to abort.
Tracing the route to ns1.datautama.net.id (203.89.24.34)
1 ge4-1-0-226-1000M.ar4.PHX1.gblx.net (67.17.64.89) 0 msec 4 msec 0 msec
2 so4-0-0-2488M.ar1.CLK1.gblx.net (67.17.108.110) 176 msec 180 msec 176 msec
3 * * *
4 global.hgc.com.hk (218.189.8.167) [AS 9304] 188 msec 180 msec 176 msec
5 global.hgc.com.hk (218.189.8.181) [AS 9304] 180 msec 180 msec 180 msec
6 218.189.31.38 [AS 9304] 172 msec 172 msec 172 msec
7 202.93.46.118 [AS 4761] 240 msec 240 msec 240 msec
8 * * *
9 ge-1-1-0.gw-01.jkt.indosat.net.id (202.155.137.18) [AS 4795] 428 msec 452 ms
ec 240 msec
10 202.155.27.27 [AS 4795] 240 msec 240 msec 240 msec
11 219.83.41.250 [AS 4795] 244 msec 240 msec 244 msec
12 124.81.70.242 [AS 4795] 248 msec 244 msec 248 msec
13 ns1.datautama.net.id (203.89.24.34) [AS 24521] 296 msec 248 msec 256 msec
Demikian kiranya penjelasan analisa jaringan menggunakan Traceroute, Ping dan Looking Glass
VLAN di Fedora
802.1Q VLAN Prerequisites
802.1Q-Tagged VLANs require "smart" or managed Ethernet switches that support the IEEE 802.1Q standard, and the drivers for your Ethernet interfaces must also support it. You should be able to mix-and-match brand names, as long as they support 802.1Q. Beware of proprietary VLAN tagging that only works within a single brand. If it says 802.1Q you should be OK.
802.1Q has been supported by the Linux kernel for a long time, thanks to Ben Greear, maintainer of the 802.1Q VLAN implementation for Linux. You shouldn't have to patch your kernel or jump through any weirdo hoops. It's easy enough to check by searching your relevant kernel config file:
$ grep -i 8021Q /boot/config-2.6.22-14
CONFIG_VLAN_8021Q=m
Haha! See the clever gotcha? The kernel option is 8021Q, not 802.1Q. That one about drove me nuts until I figured it out. Of course you could search on vlan instead, which is probably what the smart kids do.
Creating VLAN Devices
Now we'll test an Ethernet interface to make sure we can create a virtual interface by assigning it a VLAN ID, and then temporarily assign an IP address for testing. You need the vconfig command, which should be available in your Linux distribution as part of the vlan package. You can use any random number for your VLAN ID, from 0-4095, since this is just a test:
# vconfig add eth1 55
That adds VLAN ID 55 to eth1. You might see this message:
WARNING: Could not open /proc/net/vlan/config. Maybe you need to load the 8021q module, or maybe you are not using PROCFS?? Added VLAN with VID == 55 to IF -:eth1:-
Nothing is wrong; it means that vconfig saw that the 8021q module was not loaded, and kindly loaded it for you. Which you can see with lsmod:
$ lsmod | grep 8021q
8021q 21768 0
Check your interface with ifconfig:
$ ifconfig -a
[...]
eth1.55 Link encap:Ethernet HWaddr 00:0B:6A:EF:7E:8D
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
The interface is not up, and it has not been assigned an address. Use the ifconfig command for this:
# ifconfig eth1.55 192.168.10.100 netmask 255.255.255.0 up
Remove a VLAN ID this way:
# ifconfig eth1.55 down
# vconfig rem eth1.55
Removed VLAN -:eth1.55:-
So you can see there is a little bit of command syntax trickiness- add adds a VLAN ID, and rem removes a VLAN device. You can capture useful information on your VLAN interfaces by reading their corresponding /proc files:
# cat /proc/net/vlan/eth1.55
Sumber:
Contoh Kasus Management Bandwidth dengan Mikrotik BGP Web Proxy
Sejak saya menulis artikel tentang memisahkan bandwidth Intenational dan IIX/NICE sangat banyak sekali pertanyaan baik melalui email maupun chatting.
Sebenarnya Pak Valens Riyadi @ www.mikrotik.co.id sudah membuat beberapa artikel yang sangat baik, tetapi saya coba untuk memberikan contoh kasus yang saya impelementasi di LAN kantor PT. Data Utama Dinamika Jakarta agar para pembaca dapat lebih jelas lagi bagaimana caranya memisahkan traffic International dengan IIX/NICE menggunakan Mikrotik yang menjalankan BGP dan Web-Proxy.
Adapun diagram jaringannya dapat dilihat pada gambar 1. dibawah ini.
Gambar 1. Diagram Jaringan Kantor PT. Data Utama Dinamika Jakarta
Kondisi jaringan adalah sbb:
- Router Kantor menggunakan 3 ethernet card dijalankan pada PC Pentium 4 2660Mhz, Memory 256MB, DOM 128MB.
- Klient menggunakan IP Private sehingga diperlukan mekanisme NAT / Masquerade
- Router kantor menerima prefix/routing table dari NICE/OpenIXP (NICE/OpenIXP adalah alternatif IIX yang dikelola PT. IDC) menggunakan mekanisme BGP Peering.
- Mikrotik RouterOS menggunakan Vesi 2.9.41 dan mengaktifkan paket routing-test, sesuai petunjuk dari Valens Riyadi @ www.mikrotik.co.id.
Gambar 2. Resources Mikrotik Router Kantor
Gambar 3. Packet List
Konfigurasi IP
Gambar 4. Konfigurasi IP Router Kantor
Konfigurasi NAT/Masqurade LAN 192.168.2.0/24
Gambar 5. Konfigurasi NAT General
Gambar 6. Konfigurasi NAT Action
Konfigurasi BGP Peer
Gambar 7. BGP Instance Mikrotik2BGP
Gambar 8. BGP Peer Mikrotik2BGP
Gambar 9. BGP Instance Mikrotik3BGP
Gambar 10. BGP Peer Mikrotik3BGP
AS Number 65003 dan 65004 adalah private AS Number hanya digunakan utk peering internal antar Mikrotik2BGP dengan Mikrotik3BGP
Konfigurasi Routing Filter
Konfigurasi routing filter ini bertujuan agar Mikrotik hanya menerima supernet dengan prefix-length=8-24 bit sehingga lebih menghemat memory penyimpanan prefix/routing table dari NICE/OpenIXP/IIX.
[datautama@router-02-jkt] > /routing filter print
Flags: X - disabled
0 chain=prefix-in prefix-length=0-7 invert-match=no action=discard
1 chain=prefix-in prefix-length=8-24 invert-match=no action=accept
set-nexthop=203.89.26.65
2 chain=prefix-in prefix-length=25-32 invert-match=no action=discard
3 chain=prefix-out prefix-length=0-32 invert-match=no action=discard
BGP Peer Status
Gambar 11. BGP Peer Status
Jika BGP Peering sudah terbentuk maka Mikrotik3BGP menerima prefix-count=2939, dimana jumlah prefix ini akan berubah-rubah secara dinamis tergantung perkembangan BGP advertise dari ISP/NAP atau pengelola jaringan lainnya.
Route List
Gambar 12. Route List
Pada Gambar 12, bisa dilihat routing table dari BGP yang ditandai dengan DAB, sedangkan routing statis ditandai dengan AS.
Dalam sistem routing memiliki aturan main: ”routing spesifik akan dibaca terlebih dahulu”. Dengan demikian maka table routing dari NICE/OpenIXP/IIX yang lebih spesifik akan dibaca dahulu dan jika network yang dicari tidak diketemukan maka paket akan melalui default route yang ditandai dengan ”destination=0.0.0.0/0 gateway=203.89.24.65” ini artinya paket data yang menuju International akan melalui gateway=203.89.24.65 dengan Interface=ether1-intl sedangkan traffic data yang menuju NICE/OpenIXP/IIX akan melalui gateway=203.89.2.6.65 dengan Interface=vlan-id-23-iix, dalam contoh kasus ini kebetulan menggunakan VLAN yang dijalankan pada interface ether2-iix. Sebenarnya tidak harus menggunakan vlan, ether2 juga cukup syaratnya adalah antara traffic NICE/OpenIXP/IIX dan traffic International harus melalui dua Interface yang berbeda karena ini ada hubungannya dengan proses mangle dan limitasi bandwidth antara traffic lokal dengan traffic international.
Hasil Traceroute
Gambar 13. Traceroute ke www.yahoo.com
Gambar 14. Traceroute ke www.plasa.com
Dari hasil traceroute antara Gambar 13 dan Gambar 14 bisa dilihat perbedaan hop1 dimana utk traffic international melalui 203.89.24.65 menggunakan interface ether1-intl dan traffic lokal melalui 203.89.26.65 menggunakan interface vlan-id-23-iix
Konfigurasi Tanpa BGP
Jika ternyata ISP Anda tidak dapat memberikan layanan BGP maka Anda dapat mendownload skrip berikut dari http://www.datautama.net.id/harijanto/mikrotik/datautama-nice-statik.php
Copy skrip diatas lalu lakukan koneksi ssh ke mikrotik menggunakan aplikasi putty.exe lalu paste kan skrip tersebut maka akan dihasilkan daftar rules pada /ip route rules.
Kemudian tambahkan statik routing berikut :
/ip route add dst-address=0.0.0.0/0 gateway=[ip gateway iix/nice] routing-mark=nice
Dalam contoh ini ip gateway/nice adalah = 203.89.26.65 sehingga statik routingnya adalah sbb:
/ip route add dst-address=0.0.0.0/0 gateway=203.89.26.65 routing-mark=nice
Dengan demikian maka routing dari dalam menuju ke alamat IP IIX/NICE akan diarahkan melalui gateway 203.89.26.65 hasilnya akan sama saja dengan menggunakan BGP, bedanya kalau menggunakan BGP routing dihasilkan secara dynamic sedangkan dengan cara ini bersifat statik. Tetapi ISP Anda harus memberikan dua ip point-to-point agar Anda memiliki dua gateway dan masing-masing ip tersebut tetap harus dipisahkan interface/ethernet-nya.
Pengaturan Bandwidth
Sesuai dengan petunjuk dari Valens Riyadi @ www.mikrotik.co.id karena network klien menggunakan IP Private, maka perlu melakukan connection tracking pada mangle.
Gambar 15. Connection Tracking
Selanjutnya untuk masing-masing trafik, lokal dan internasional dibuatkan rule mangle connection pada untuk masing-masing IP komputer yang akan di atur bandwidthnya.
Konfigurasi Mangle
Mangle adalah proses menandai paket data sesuai dengan kebijakan yang diinginkan, sebenarnya teknik mangle ini sudah biasa juga dilakukan di linux dengan mengunakan iptables, di mikrotik proses mangle lebih mudah dan menyenangkan. Untuk contoh kasus ini contoh skrip manglenya adalah sbb:
# may/16/2007 17:23:13 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall mangle
#1
add chain=forward out-interface=ether1-intl src-address=192.168.2.12 \
action=mark-connection \
new-connection-mark=harijanto-conn-intl passthrough=yes comment="" \
disabled=no
#2
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.12 \
action=mark-connection new-connection-mark=harijanto-conn-nice \
passthrough=yes comment="" disabled=no
#3
add chain=output dst-address=192.168.2.12 action=mark-packet \
new-packet-mark=harijanto-packet-intl passthrough=yes comment="" \
disabled=no
#4
add chain=forward connection-mark=harijanto-conn-intl action=mark-packet \
new-packet-mark=harijanto-packet-intl passthrough=yes comment="" \
disabled=no
#5
add chain=forward connection-mark=harijanto-conn-nice action=mark-packet \
new-packet-mark=harijanto-packet-nice passthrough=yes comment="" \
disabled=no
#6
add chain=forward out-interface=ether1-intl src-address=192.168.2.119 \
action=mark-connection new-connection-mark=christine-conn-intl \
passthrough=yes comment="" disabled=no
#7
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.119 \
action=mark-connection new-connection-mark=christine-conn-nice \
passthrough=yes comment="" disabled=no
#8
add chain=output dst-address=192.168.2.119 action=mark-packet \
new-packet-mark=christine-packet-intl passthrough=yes comment="" \
disabled=no
#9
add chain=forward connection-mark=christine-conn-intl action=mark-packet \
new-packet-mark=christine-packet-intl passthrough=yes comment="" \
disabled=no
#10
add chain=forward connection-mark=christine-conn-nice action=mark-packet \
new-packet-mark=christine-packet-nice passthrough=yes comment="" \
disabled=no
mangle dibuat satu persatu untuk semua komputer yang akan di manage bandwidthnya
Penjelasan mangle
Proses mangle biasanya diawali dengan new-connection-mark yang kemudian dilanjutkan dengan new-packet-mark, jadi di mark koneksinya dulu baru di mark paketnya, nah paket ini yang akan digunakan di queue-tree maupun di simple queue.
Mangle no #1,#3,dan #4 adalah proses mangle traffic international untuk komputer IP 192.168.2.12.
Mangle no #2 dan #5 adalah proses mangle traffic lokal untuk komputer IP 192.168.2.12
Pada mangle no #3 digunakan chain=output karena ini tujuannya untuk menandai paket dari Web-Proxy yang dijalankan di Mikrotik3BGP ke komputer IP 192.168.2.12, salah satu pertanyaan yang sering diutarakan adalah bagaimana melakukan limitasi bandwidth kalau pakai proxy karena biasanya jika menggunakan proxy limitasi per komputer jadi tidak efektif, nah hasil dari meditasi sampai jam 4 subuh adalah harus melakukan mangle pada chain=output karena klient mendapatkan isi website dari proxy yang di jalankan di Mikrotik itu sendiri, lebih jelasnya nanti akan dijabarkan pada bagian Web-Proxy.
Sedangkan No #6 sd #10 adalah identik dengan no #1 sd #5 bedanya adalah sumber IP komputer yang di mangle.
Hasil dari skrip diatas adalah seperti pada gambar 16 berikut
Gambar 16. Hasil Mangle
Salah satu kunci efektif tidaknya proses mangle adalah pemilihan “chain”, penjelasannya ada pada dokumentasi “Packet Flow” yang bisa dibaca dari situs http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php
Pengaturan Bandwidth menggunakan Queue Tree
Untuk melakukan limitas yang efektif dapat digunakan queue-tree, pada dokumen http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
Dijelaskan bahwa
The queuing is applied on packets leaving the router through a real interface (i.e., the queues are applied on the outgoing interface, regarding the traffic flow), or any of the 3 additional virtual interfaces (global-in, global-out, global-total).
Artinya proses queuing diaplikasikan pada saat paket keluar dari router melalui interface fisik atau interface virtual.
Oleh karena itu pada queue tree didefinisikan bahwa utk traffic download berarti traffic yang keluar dari ether3-client , artinya dari router menuju ke komputer klient sedangkan upload adalah traffic dari ether1-intl atau vlan-id-23-iix yang mana masing-masing interface dilewati oleh paket yang berbeda, ether1-intl untuk traffic international dan vlan-id-23-iix untuk traffic lokal, oleh karena itu harus memiliki interfacenya masing-masing.
Berikut adalah contoh skrip queue tree yang digunakan
# may/16/2007 19:31:00 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ queue tree
#1
add name="harijanto-intl-down" parent=ether3-client \
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8 \
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#2
add name="harijanto-intl-up" parent=ether1-intl \
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8 \
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#3
add name="harijanto-nice-up" parent=vlan-id-23-iix \
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#4
add name="harijanto-nice-down" parent=ether3-client \
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#5
add name="christine-intl-down" parent=ether3-client \
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8 \
max-limit=256000 burst-limit=512000 burst-threshold=128000 burst-time=20m \
disabled=no
#6
add name="christine-intl-up" parent=ether1-intl \
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8 \
max-limit=128000 burst-limit=256000 burst-threshold=96000 burst-time=20m \
disabled=no
#7
add name="christine-nice-down" parent=ether3-client \
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#8
add name="christine-nice-up" parent=vlan-id-23-iix \
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8 \
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Penjelasan
#1 adalah pengaturan traffic download internasional untuk IP komputer 192.168.2.12 dimana parent = ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-intl yang merupakan hasil mangle, untuk limit-at, max-limit, burst-limit penjelasannya dapat dibaca dari http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
#2 adalah pengaturan traffic upload international untuk IP komputer 192.168.2.12 dimana parent=ether1-intl, artinya traffic yang keluar dari router ke Internet
#3 adalah pengaturan traffic upload lokal untuk IP komputer 192.168.2.12 dimana parent=vlan-id-23-iix, artinya traffic yang keluar dari router ke lokal NICE/OpenIXP/IIX
#4 adalah pengaturan traffic downlaod lokal untuk IP komputer 192.168.2.12 dimana parent=ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-nice yang merupakan hasil mangle.
#5 sd #8 adalah identik dengan no #1 sd #4 bedanya IP komputer yang di limit adalah 192.168.2.119.
Hasilnya dapat dilihat pada gambar 17 berikut ini
Gambar 17. Queue Tree
Sampai pada langkah ini proses limitasi bandwidth per komputer sudah selesai tetapi jika diperlukan agar grafik pemakaian peruser dapat ditampilkan pada web mesin mikrotik maka perlu dibuat Simple Queues., contohnya seperti pada gambar 18 dan 19 berikut
Gambar 18. Contoh Simple Queue General
Gambar 19 Contoh Simple Queue Advanced
Di Simple Queue tidak perlu menentukan max limit karena yang membatasi adalah queue-tree tetapi kalau diperlukan boleh juga diisi max limitnya, yang penting adalah target address dan packet-mark nya. Jadi masing-masing user dibuatkan dua simple queue, satu untuk yang international satu untuk yang lokal.
Kalau sudah untuk mengaktifkan grafiknya dilakukan dengan mengaktifkan dari tool graphing seperti pada gambar 20 berikut
Gambar 20. Tools Graphing
Hasilnya dapat dilihat seperti pada gambar 21 berikut
Gambar 21. Contoh grafik MRTG per Simple Queue International
Gambar 21. grafik MRTG per Simple Queue Lokal
Ok selesai sudah proses limitasi bandwidth menggunakan BGP dan Queue-Tree
Selanjutnya bagaiman kalau mau pake Proxy? Seperti sudah diketahui bahwa proxy sangat bermanfaat dalam melakukan penghematan bandwidth setidaknya sampai dengan 30% traffic web yang ada.
Konfigurasi Web-Proxy
Mikrotik pada dasarnya adalah linux yang sangat powerfull, bahkan dengan mudahnya kita menggunakan squid yang dijalankan di mikrotik. Di mikrotik paket squid ini dikenal dengan nama Web-Proxy
Gambar 22. Web-Proxy Settings
Untuk mengaktifkan Web-Proxy caranya dari IP->Web Proxy kemudian klik enable agar Web-Proxy dijalankan, untuk menjadi Transparant Proxy dengan cara ceklist kotak disamping kiri tulisan ”Transparent Proxy” kemudian OK atau Apply. Untuk fungsi Transparent Proxy harus didukung juga dengan IP->Firewall->NAT, nanti akan saya jelaskan lebih detail.
Untuk Web-Proxy ini yang penting adalah pertama tambahkan Access List agar IP network LAN dapat di allow untuk mengambil web melalui proxy sedangkan selain IP LAN harus di deny, ini bertujuan agar Web-Proxy tersebut tidak open proxy yang berakibat habisnya bandwidth yang dimiliki karena di akses oleh user diluar LAN.
Jika memiliki proxy lainnya dapat pula dijadikan Parent Proxy, misalnya proxy ISP atau proxy yang dijalankan pada Linux Server yang berkapasitas besar. Tujuannya agar proses browsing dapat lebih cepat karena beberapa object telah di cache pada proxy tersebut.
Contoh skrip untuk web-proxy adalah sbb:
# may/16/2007 20:01:52 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname="proxy" \
transparent-proxy=yes parent-proxy=203.89.24.4:3128 \
cache-administrator="webmaster" max-object-size=4096KiB cache-drive=system \
max-cache-size=none max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" \
disabled=no
add src-address=192.168.2.0/24 action=allow comment="" disabled=no
add action=deny comment="" disabled=no
/ ip web-proxy cache
add url=":cgi-bin \\\?" action=deny comment="don't cache dynamic http pages" \
disabled=no
/ ip web-proxy direct
add dst-address=203.89.24.0/21 action=allow comment="" disabled=no
add action=deny comment="" disabled=no
Pada script diatas ditentukan 192.168.2.0/24 boleh akses web-proxy sedangkan selain itu di deny dan utk url yang mengandung cgi-bin atau “?” tidak di cache karena itu tandanya halaman dinamis dan untuk dst-address=203.89.24.0/21 boleh direct sedangkan yang lain tidak, ini tujuannya agar website www.datautama.net.id tidak usah di cache, tentunya nanti ini disesuaikan dengan konfigurasi yang akan digunakan.
Berikutnya adalah pengaturan agar setiap request port 80 diarahkan ke web-proxy, nah ini triknya.
Untuk traffic international saya arahkan ke web-proxy yang jalan di Mikrotik3BGP sedangkan untuk traffic lokal saya arahkan ke proxy 203.89.24.4 yang merupakan proxy server yang jalan di linux. Tujuannya adalah supaya walupun menggunakan proxy limiter tetap efektif, hanya saja berdasarkan pengetesan sistem ini masih ada kelemahan yaitu untuk test upload internasional tetap tidak dapat di limit secara efektif tetapi akan terlimit dari limiter lokalnya, hal ini tidak akan jadi masalah kalau antara bandwidth internasional dan lokal sama tetapi ada kecendrungan saat ini bandwidth lokal lebi besar dari pada bandwidth internasional.
Contoh skrip IP->Firewall-NAT untuk mengarahkan traffic http ke proxy adalah sebagai berikut:
# may/16/2007 20:09:14 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall nat
#1
add chain=srcnat src-address=192.168.2.0/24 action=masquerade comment="LAN \
Kantor" disabled=no
#2
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80 \
dst-address-list=!nice action=redirect to-ports=3128 comment="Transparent \
Proxy untuk traffic International" disabled=no
#3
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80 \
dst-address-list=nice action=dst-nat to-addresses=203.89.24.4 \
to-ports=3128 comment="Tranparent Proxy untuk traffic NICE/OpenIXP/IIX" \
disabled=no
Penjelasan
#1 berfungsi untuk melakukan NAT / Masquerade IP Private
#2 berfungsi mengarahkan traffic http yaitu protocol=tcp port=80 untuk dst-address-list=!nice ke port 3128 Web-Proxy internal di Mikrotik3BGP , arti dari dst-address-list=!nice adalah tujuan alamat yang bukan NICE/OpenIXP/IIX jadi untuk yang traffic Internasional, nah dapat dari mana address list tersebut nanti akan saya jelaskan.
#3 berfungsi mengarahkan traffic http lokal ke proxy 203.89.24.4 port 3128
Dengan skrip diatas maka kalau yang ditujua adalah www.yahoo.com maka proxy yang akan di gunakan adalah internal Web-Proxy sedangkan jika ke www.plasa.com proxy yang digunakan adalah 203.89.24.4:3128
Untuk address-list NICE dapat diambil dari:
- http://ixp.mikrotik.co.id/download/nice.rsc
- http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
Hasil test bandwidth dari sistem ini adalah sbb:
Gambar 23. Contoh Speedtest
Untuk melindungi router mikrotik jangan lupa baca juga
http://www.datautama.net.id/web3/index.php?option=com_content&task=view&id=27&Itemid=31
Bahan bacaan:
- http://www.mikrotik.co.id/artikel_lihat.php?id=21
- http://www.mikrotik.co.id/artikel_lihat.php?id=23
- http://www.mikrotik.co.id/artikel_lihat.php?id=20
- http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
- http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php
- http://www.squid-cache.org/
- http://www.linuxguruz.com/iptables/howto/
Pemisahan Traffic ke IP Akamai Indosat
IP Blok Akamai tersebut harus di pisahkan dari traffic IIX , kenapa?
- Karena traffic yang menuju ke IP Akamai tersebut akan dianggap traffic IIX sehingga terjadi ketidak efetifan dalam melimit traffic ke situs2 sbb: yahoo, microsoft, msn, symantech dll yang beberapa objectnya tersedia di Akamai tersebut dianggap sebagai traffic IIX.
- Dengan termarkingnya traffic menuju ke IP Akamai sebagai packet-iix maka queue terhadap packet-iix tersebut termasuk juga traffic menuju ke IP Akamai, yang jadi masalah Indosat mengadvertise IP Akamainya ke OpenIXP/NICE tetapi tidak mengizinkan object dari Akamai tersebut diambil (download) melalui OpenIXP/NICE , jadi outgoingnya saja (upload) melalui OpenIXP/NICE tapi incoming tetap lewat link International , nah ini yang jadi biang keroknya :(
- Berdasarkan penjelasan di point 2, artinya bandwidth International akan terutilize tidak sesuai dengan keinginan kita karena traffic dari IP Akamai tidak terlimit sesuai dengan queue Internationalnya tetapi sesuai dengan queue IIX karena paket2 tersebut termarking sebagai packet-iix.
Oleh karena itu caranya menurut saya adalah sbb:
1. Buat dulu address-list "akamai-indosat" , untuk akamai dari telkom atau upstream lainnya yang punya akamai silahkan cari sendiri :)
/ ip firewall address-list
add list=akamai-indosat address=219.83.124.0/23 comment="" disabled=no
add list=akamai-indosat address=124.195.0.0/17 comment="" disabled=no2. Kemudian rubah manglenya menjadi sbb:/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=con-iix \
passthrough=yes in-interface=!backhaul-to-cyber dst-address-list=nice \
comment="con-iix" disabled=no
add chain=prerouting action=mark-connection \
new-connection-mark=con-akamai-indosat passthrough=yes \
in-interface=!backhaul-to-cyber dst-address-list=akamai-indosat \
comment="con-akamai-indosat" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-iix \
passthrough=no connection-mark=con-iix comment="packet-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-intl \
passthrough=no comment="packet-intl" disabled=no
atau tambahkan saja rule tepat dibawah "con-iix" yang dapat dilihat pada screen shoot berikut:
Simple Queue IIX dan International dengan Satu Router
Pada blog ini saya mencoba memberikan contoh bagaimana mengatur bandwidth iix/nice menggunakan pc router mikrotik menggunakan teknik mangle yang sebenarnya sudah sering dibahas di forum-forum maupun di blog-blog. Tulisan ini hanya sebagai tambahan saja untuk melengkapi blog / artikel yang ada terdahulu. Jadi artikel ini "ASLI" saya buat sendiri bukan "Copy Paste" hehehe. Jujur saya juga akhirnya ikut-ikutan copy paste blog / artikel orang, soalnya blog ini saya jadikan kumpulan catatan juga, tujuannya kalau saya lupa sesuatu tinggal cari di blog sendiri hehehe. Jadi mohon maaf jika di blog saya juga ada beberapa artikel dari blog orang lain yang saya copy paste , tapi pasti saya tulis linknya dibawah atau diatasnya. Tapi emang lebih baik kalau orang yang mau baca artikel aslinya di hantarkan ke URL aslinya , atau artikelnya di terjemahkan dulu katanya bos baba, tapi emang gue tukang translate dari jalan pramuka heheheh :)
Tapi kalau teman-teman mau copy paste ya monggo sih asal ditulis asalnya dari mana gitu aja cukup kalau buat gue, tapi kalau buat orang bule gak cukup loh hehehe.
Mari kita bahas permasalahan yang sebenarnya
Skenario dari Simple Queue IIX dan International berikut ini adalah satu router dengan minimal dua Interface:
1. Backhaul -> yang mendapat IP Public dari ISP atau IP Point-to-Point biasanya sih /30 dari ISP
2. Distribution -> Interface yang menghadap ke pelanggan / user
Dalam contoh ini saya tidak melakukan NAT karena IP yang di routing semuanya IP Public karena kebetulan saya punya ISP sendiri , masa ISP pake IP Private , kalau ISP itu punya ASN dan IP Public sendiri hehehe peace (FYI: saya cuman Direktor Operasional bukan pemilikinya tapi what ever lah emang gue pikirin)
Gambaran Sederhananya:
[Internet IIX dan Intl]-[(Interface Backhaul) Mikrotik (Interface Distribution)]-[Router Kantor / Pelanggan]
Catatan:
Karena di interface distribution saya banyak vlan untuk memisah-misahkan link pelanggan (idealnya mah satu pelanggan satu vlan biar lebih aman), maka dalam contoh ini
in-interface=!backhaul-to-cbyer
artinya interface inputnya adalah semua interface selain selain "backhaul-to-cyber"
Skrip Manglenya
# nov/05/2008 19:39:55 by RouterOS 2.9.50
# software id = 9CS2-87N
#
/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=con-iix \
passthrough=yes in-interface=!backhaul-to-cyber dst-address-list=nice \
comment="con-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-iix \
passthrough=no connection-mark=con-iix comment="packet-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-intl \
passthrough=no comment="packet-intl" disabled=no
Skrip diatas adalah hasil export dari Mikrotik v 2.9.50, perhatikan tulisan yang saya bold
dari hasil percobaan yang paling bener itu adalah chain=prerouting karena kalau chain=forward nanti di queue-simplenya hanya Rx-Rate yang efektif sedangkan Tx-Rate nya tidak , tetapi kalau dengan chain "prerouting" Rx dan Tx Ratenya efektif, kalau mau lebih jelasnya baca aja referensi tentang iptables di link berikut misalnya:
http://rootbox.or.id/tips/iptables.html
baca sendiri ya udah bahasa Indonesia tuh, Thanks to:
Lukman HDP/s3trum (lukman_hdp@yahoo.com)
supaya gue gak di gugat lagi hehehe.
Kemudian untuk bagian action=mark-connection new-connection-mark=con-iix, passthrought=yes supaya setelah di marking new-connection-mark packetnya diteruskan ke rule dibawahnya lagi (ini sih menurut pengertian gue semoga aja bener)
baru rule berikutnya action=mark-packet new-packet-mark=packet-iix, passthrought=no supaya setelah di marking new-packet-mark=packet-iix paket-paket tersebut tidak diteruskan ke rule selanjutnya. Dengan demikian kalau udah jadi paket-iix tidak usah di di marking lagi di paket-intl , ya kalau dimarking lagi jadi paket-intl semuanya jadi paket-intl donk bos :)
jadi tujuannya passthrought=no itu menurut gue nih ya supaya paket2 itu gak usah di teruskan ke proses lebih lanjut dibawahnya semoga aja bener :)
referensinya baca aja sendiri di:
http://www.mikrotik.com/testdocs/ros/2.9/ip/mangle.php
Thaks to Mikrotik Developer :)
Setelah di mangle selanjutnya set di Queue Simplenya
# nov/05/2008 19:44:39 by RouterOS 2.9.50
# software id = 9CS2-87N
#
/ queue simple
add name="JKT-OFFICE" target-addresses=203.89.24.71/32 dst-address=0.0.0.0/0 \
interface=all parent=none direction=both priority=8 \
queue=default-small/default-small limit-at=2000000/2000000 \
max-limit=2000000/3000000 total-queue=default disabled=no
add name="JKT-OFFICE-IIX" target-addresses=203.89.24.71/32 \
dst-address=0.0.0.0/0 interface=all parent=JKT-OFFICE \
packet-marks=packet-iix direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no
add name="JKT-OFFICE-INTL" target-addresses=203.89.24.71/32 \
dst-address=0.0.0.0/0 interface=all parent=JKT-OFFICE \
packet-marks=packet-intl direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no
contoh skrip diatas juga adalah hasil export dari Mikrotik 2.9.50
Jadi JKT-OFFICE-IIX dan JKT-OFFICE-INTL parent ke JKT-OFFICE
JKT-OFFICE-IIX untuk memantau penggunaan IIX sedangkan JKT-OFFICE-INTL untuk memantau penggunaan International , kalau mau dilimit di child nya juga bisa kalau mau, hanya saja di contoh ini saya cuman mau mantau penggunaan antara IIX dan Internationalnya.
target-address=203.89.24.71 adalah IP WAN Router Kantor / IP WAN Router Pelanggan.
ini screen capturenya di winbox
Bisa dilihat bahwa JKT-OFFICE adalah gabungan antara traffic JKT-OFFICE-IIX dan JKT-OFFICE-INTL
Dah beres!
Tapi jangan lupa address-list=nice harus di import ya!
nah supaya address-list=nice setiap pagi di update cara yang saya lakukan adalah sbb:
(catatan ini beneran gue oprek sendiri gak nyontoh wong idenya dari buku ku sendiri kok:
http://inetshoot.blogspot.com/2008/08/buku-firewall-melindungi-jaringan-dari.html sekalian promosi buku ke tiga saya jadi jangan lupa sisihkan Rp. 19.500 untuk beli buku saya hehehe mayan buat ke SPA kalau dah kemeng sama Mikrotik)
Nah caranya gini ni:
Buat script "nice-address-list-downloader" yang isinya sbb:
#!/bin/sh
lynx -dump -nolist http://ixp.mikrotik.co.id/download/nice.rsc > /var/www/apf/nice.rsc
taro di mesin linux
misal di /var/www/apf/nice-address-list-downloader
jangan lupa di chmod 755 supaya bisa eksekusi, hasil dari script tersebut adalah file nice.rsc yang berisi daftar prefix yang ada di NICE/IIX , keterangan lebih lanjut baca di:
http://www.mikrotik.co.id/artikel_lihat.php?id=23
Thanks to Pak Valens Riadi dkk.
Buat lagi script "nice-address-list-update" yang isinya sbb:
#!/bin/sh
# Rubah http://localhost sesuai dengan URL server uploader Anda
#
lynx -dump http://localhost/apf/nice-ftp-uploader.php
Nah script nice-ftp-uploader.php nya sbb:
catatan misal:
$ftp_user_name="nice";
$ftp_user_pass="123456";
sesuaikan dengan username dan password di mikrotiknya tar dijelasin dibawah ya sabar.
nah file nice-ftp-uploader.php karena disitu ada informasi user dan password lebih baik dibuat chmod 640 , dan jangan lupa di buat chown root:www-data supaya user root dan group www-data (yang merupakan user apache) boleh baca tapi orang lain "NO ACCESS".
masukkan IP mesin mikrotik yang mau diupload file nice.rsc di file:
/var/www/apf/nice-target.list
yang isinya misal:
192.168.0.1
jadi isinya cuman daftar ip mesin2 mikrotik yang mau diupload file nice.rsc tersebut
Berikutnya buat user "nice" dengan password "123456" misalnya (jangan nekat pake password "123456" banyak brute force sekarang di IIX hehehe) di router mikrotiknya.
untuk user nice tersebut baiknya dibuat group "nice" juga di mikrotiknya contohnya bisa dilihat di screen capture berikut:
terus buat user "nice" screen capturenya bisa dilihat sbb:
nah baiknya dibatasi "allowed address" dari IP Linux yang akan mengambil nice.rsc dan menguploadnya ke mikrotik tersebut.
selanjutnya tinggal di jalankan saja script:
/var/www/apf/nice-address-list-downloader
/var/www/apf/nice-address-list-update
menggunakan crond, masukkan baris berikut ke /etc/crontab
00 6 * * * * root /var/www/apf/nice-address-list-downloader
15 6 * * * * root /var/www/apf/nice-address-list-update
lalu restart crond misal kalau pake debian
/etc/init.d/cron restart
kalau pake fedora
service crond restart
dengan demikian tiap jam 6.00 nice-address-list-downloader di jalankan menghasilnya nice.rsc
dan tiap jam 6.15 nice-address-list-update dieksekusi untuk mengupload nice.rsc ke mesin-mesin mikrotik yang ip-nya tertera di nice-target.list , gampang kan jadi dengan demikian bisa update ke beberapa mesin mikrotik sekaligus , tapi ingat buat user "nice" dulu di tiap router mikrotiknya.
ini daftar file-file yang harus ada di dalam satu directory, dan directory tersebut harus bisa diakses lewat http://localhost/apf/
/var/www/apf# ls -l nice*
-rwxr-xr-x 1 root root 97 2008-11-05 18:40 nice-address-list-downloader
-rwxr-xr-x 1 root root 131 2008-11-05 18:42 nice-address-list-update
-rw-r----- 1 root www-data 708 2008-11-05 19:21 nice-ftp-uploader.php
-rw-r--r-- 1 root root 24986 2008-11-05 19:19 nice.rsc
-rw-r--r-- 1 root root 37 2008-11-05 19:24 nice-target.list
directory apf itu hanya contoh aja jadi silahken di taro dimana aja suka-suka.
sudah selesai ? belum la yau
selanjutnya perlu buat script "nice" di mikrotik yang isinya "/import nice.rsc;" dengan cara klik system->scripts
ini contoh screen capturenya:
berikutnya script tersebut dieksekusi secara periodik dengan scheduler, buat scheduler dengan cara klik system->scheduler , isinya lihat aja di screen shoot nya berikut ini:
Jadi setiap jam 7.00 script "nice" yang menjalankan "/import nice.rsc;" dieksekusi per hari
dah beres , tapi jangan lupa coba di run dulu jalankan:
1. /var/www/apf/nice-address-list-downloader -> mesti menghasilkan file nice.rsc
2. /var/www/apf/nice-address-list-update -> mengupload file nice.rsc ke mikrotik
3. jalankan script "nice" dari menu System->scrips , pilih nice lalu klik "Run Script"
4. cek di /ip firewall address-list apakah "nice" sudah terimport dengan baik, contohnya bisa dilihat di screen capture berikut:
Done!
Semoga bermanfaat dan gak ada yang complaint :)
Memakai RSTP pada VLAN routing
I have 9 Layer 3 switches.
Sw1 port 1 connects to Sw2 port 2, Sw2 port 1connects to Sw3 port 2, Sw3 port 1 connects to Sw4 port 1, and so on until Sw9 port 1 connects back to Sw1 port 2.
Each switch is on a different subnet.
Sw1 is the switch allowing internet access.
I want to allow internet access to all the different subnets.
If a link say between Sw2 and Sw3 goes down, I want it to automatically go around the other direction.
Can you use inter VLAN routing and RSTP in this way?
Sw1 Subnet:
Fiber VLAN XXXX - 10.100.0.1
ip route 10.11.255.0 255.255.255.0 10.100.0.2
ip route 10.11.101.0 255.255.255.0 10.100.0.2
ip route 10.11.201.0 255.255.255.0 10.100.0.2
ip route 10.15.255.0 255.255.255.0 10.100.0.3
ip route 10.15.101.0 255.255.255.0 10.100.0.3
ip route 10.15.201.0 255.255.255.0 10.100.0.3
ip route 10.4.255.0 255.255.255.0 10.100.0.4
ip route 10.4.101.0 255.255.255.0 10.100.0.4
ip route 10.4.201.0 255.255.255.0 10.100.0.4
Sw2 Subnet:
Default VLAN 10.11.255.1
VLAN XXXX - 10.100.0.2
VLAN DATA 10.11.101.1
VLAN VOICE 10.11.201.1
ip route 0.0.0.0 0.0.0.0 10.100.0.1
Sw3
Default VLAN 10.11.255.1
VLAN XXXX - 10.100.0.3
VLAN DATA 10.15.101.1
VLAN VOICE 10.15.201.1
ip route 0.0.0.0 0.0.0.0 10.100.0.1
The rest of the switches omitted.
Is this the simplest way? Excuse my newbie-ness.
Memisahkan Routing dan Bandwidth Management dengan BGP Peer
Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan OpenIXP (NICE).
Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :
- Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional, gateway OpenIXP (NICE), dan ke network klien.
- Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.
- Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address translation)
- Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan mengaktifkan paket routing-test
PENGATURAN DASAR
Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti gambar berikut ini.
[admin@MikroTik] > /in pr |
Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE) menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.
Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1 difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.
Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur “allow remote request”.
[admin@MikroTik] > /ip fi nat pr |
PENGATURAN BGP-PEER
Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.
Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur internasional.
Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk mengaktifkan layanan BGP-Peer ini. Aktivasi bisa dilakukan di halaman ini. IP Address yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.
BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS Number 64666.
Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25 sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept, harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini, yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129. Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.
Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix yang dikirimkan, dan kita beri nama prefix-out.
Berikut ini adalah konfigurasi prefix list yang telah dibuat.
Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.
Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.
Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan Router Anda. Koneksi ini ditandai dengan status peer yang menjadi “established” dan akan dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.
Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada pada interface yang benar, dalam contoh ini adalah “ether2-iix”.
C:>tracert www.yahoo.com |
PENGATURAN BANDWIDTH MANAGEMENT
Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan menggunakan mangle dan queue tree.
Karena network klien menggunakan IP private, maka kita perlu melakukan connection tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada router Anda.
[admin@MikroTik] > /ip firewall mangle print |
Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang digunakan oleh klien.
[admin@MikroTik] > queue tree print |
Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli oleh klien.
