Saturday, November 5, 2016

Policy Based Routing On Cisco

Halo, baru posting lagi nih setelah beberapa lama ga ada inspirasi, wkwk. Kali ini bakal bahas Policy Based Routing di Cisco.

Secara harfiah, Policy artinya aturan, berarti PBR ini adalah teknik untuk meroute paket berdasarkan aturan tertentu. Normalnya, ketika ada paket datang si Router bakal liat destination address di IP header paket tersebut, terus liat routing table, dia punya atau enggak jalur ke destination tersebut.

Nah, dengan PBR ini, untuk menentukan route suatu paket bisa pake kriteria lain (Protokol, Port, Source-address). Misal punya dua koneksi ISP, kita mau forward paket TCP lewat ISP1, paket UDP lewat ISP2. Atau paket HTTP lewat ISP1, paket VOIP via ISP2, atau bisa juga kalo source addressnya dari IP A, kirim via ISP1, kalo dari IP B, kirim via ISP2.

Oke, langsung ke TKP. Berikut contoh topologinya:

Dari topologi di atas, misal mau supaya PC1 kalo ke INTERNET (8.8.8.8), bakal lewat ISP1 (100.0.0.1), sedangkan PC2 ke INTERNET lewat ISP2 (200.0.0.1).
 
Pertama tambahin default route lewat ISP1 dan ISP2, default route yang via ISP2 kita buat lebih tinggi AD-nya dari ISP1, supaya jadi backup, jadi defaultnya semua koneksi ke internet bakal lewat ISP1.
ip route 0.0.0.0 0.0.0.0 100.0.0.1
ip route 0.0.0.0 0.0.0.0 200.0.0.1 10
Lanjut kita buat ACL untuk match paket yang mau kita "kenain" PBR. Dalam kasus ini cukup pake standard ACL, karena cukup match berdasarkan source address. Misal mau lebih spesifik (protokol, port, echo-type, dll) ya pake extended ACL.
ip access-list standard PC2
permit 192.168.0.2 0.0.0.0
Next, kita buat route-map. DI dalem route-map ini isinya "match" dan "set". Untuk match yatu kriteria paket yang mau dikenain route-map ini, sedangkan "set" yaitu tindakan terhadap paket yang match tadi.
route-map PBR permit 10
match ip address PC2
set ip next-hop 200.0.0.1
ACL udah, route-map udah, tinggal pasang route-map tadi diinterface yang mau kita kenain PBR, dalam contoh ini e0/3 (Interface ke client).
int e0/3
ip policy route-map PBR permit
Konfigurasi selesai, sekarang saatnya testing. Tesnya pake traceroute, karena di sini kita mau liat jalur apa aja yang dilewatin si paket. Pertama coba trace dari dari PC1, harusnya dia lewat jalur default, yaitu 100.0.0.1 (ISP1).

Berhasil yak, lanjut trace dari PC2, kita tes apakah Policy yang dibuat tadi running apa enggak.



Keliatan dia lewat 200.0.0.1, berarti berhasil. Biar lebih yakin kita cek route-mapnya, apakah ada packet yang match?


Keliatan tuh ada 10 packet yang match, mission success. Sekian pembahasan kali ini, tunggu post selanjutnya, thanks for reading.

Sunday, June 19, 2016

Kenalan dengan IP SLA di Cisco

Service = Layanan
Level = Tingkatan/Kualitas
Agreement = Persetujuan

Sesuai dengan namanya, IP SLA ini gunanya ngecek apakah suatu "Service" itu "Levelnya"/kualitasnya (Berupa Reachability / Metric) sudah sesuai keinginan atau belum. Bisa dikombinasi sama Object Tracking, supaya ketika service yang kita cek tadi tidak sesuai dengan "Agreement" (latency berlebihan, atau malah unreachable) si Router bisa merespon dengan tindakan tertentu (Ubah routing table misalnya).

Misalnya punya dua Uplink, 1.1.1.1 (NAGA) dan 2.2.2.1 (LEBAH). Kita mau ketika  koneksi lewat NAGA down, default-route langsung keganti via LEBAH. Dan begitu koneksi lewat NAGA udah pulih, default route balik lagi lewat si NAGA.

"Lah, bukannya tinggal mainin Administrative Distance di Default Route? Ngapain ribet pake SLA segala?" Bener, tapi itu kalo link-nya down. Gimana kalo link up, tapi koneksi gak jalan? Nah, si IP SLA ini solusinya. (Kalo di Mikrotik, yang beginian bisa pake fitur Netwatch.)

IP SLA bisa dipake buat ngecek Reachability & Metric, dengan berbagai protokol. Bisa icmp, tcp, udp, dan lain-lain. Berikut contoh konfigurasi sederhananya berdasarkan case yang tadi.

Topologi:

[GAMBAR]
!Define apa yang mau kita cek!
#ip sla 1
#icmp-echo x.x.x.x source-interface e0/0
#timeout 1000 frequency 30
#ip sla schedule 1 life forever start-time now

!Kita track SLA yang udah kita define tadi!
#track 1 ip sla 1 reachbility

!Set default route!
#ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1
#ip route 0.0.0.0 0.0.0.0 2.2.2.2 10

Command tersebut untuk IOS 12.4T ke atas, untuk versi yang agak "jadul" berbeda sedikit commandnya:

#ip sla monitor 1 type echo protocol ipicmpecho x.x.x.x source-interface e0/0
#ip sla monitor schedule 1 life forever start-time now
#track 1 rtr 1 reachbility
#ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1
#ip route 0.0.0.0 0.0.0.0 2.2.2.2 10

Ini cuma konfigurasi sederhana, cek reachability si NAGA pake echo protocol icmp, yang source-nya bakal selalu dari interface e0/0. Static route yang lewat LEBAH kita buat AD-nya jadi 10, supaya yang aktif adalah default route lewat NAGA.

Cek default route dan status dari Object Tracking, coba juga traceroute ke INTERNET:


Nah, dari output di atas terlihat jelas status object yang kita track itu UP, dan jalur ke INTERNET melewati si NAGA.


Mari kita coba simulasiin misalnya link ke 1.1.1.1 up, tapi ga bisa konek. Kita buat ACL di Router NAGA yang deny packet dari PINGUIN:



Nah, sekarang kita cek status dari Object yang kita Track tadi, kita cek juga default route mana yang aktif sekarang:



Okeeee, default route langsung pindah lewat LEBAH (2.2.2.1) dan tes traceroute pun menunjukkan path yang dilewati adalah lewat LEBAH untuk menuju ke INTERNET.

Coba kita Recover lagi koneksi dari PINGUIN ke NAGA, kita lepas ACL yang tadi kita pasang di e0/0 punya si NAGA, terus kita cek lagi deh kondisi di PINGUIN:



Berhasil, status track kembali up, default route pun juga kembali lewat NAGA (1.1.1.1).
Sebenernya masih banyak lagi yang bisa dikembangkan dari fitur IP SLA dan Object Tracking, misalnya kita bisa tune-up timer supaya meminimalisir down-time, atau bisa kita ganti yang di track bukan cuma reachability, misal ada metric tertentu (delay/jitter) yang melebihi batas, jalurnya langsung pindah

Sekian, semoga bermanfaat.

Thursday, May 26, 2016

Pembahasan Soal BNSC 2015 - IT Network Systems Administration 5/5

Halo, sampai juga ke pembahasan soal ke 5 BNSC 2015 ini, level Hard. Disini disambut sama materi Link Aggregration, First Hop Redundancy, GRE tunnel, dan IPv6. Ini soal Troubleshooting, bakal lebih enak ngerjainnya kalo kita "paham" sama protokol yang ada di soal. Misalnya di soal suruh tshoot OSPF, kenapa ada 2 router yang ga jadi neighbor. Network udah bener di advertise, area juga udah sama. Ternyata hello time antar router beda. Nah, kalo misalnya pernah configure OSPF, running, tapi gak "paham", ya bakal susah tshoot. Oh iya, soal model begini kita bisa manfaatin fitur Simulation Mode (Shift+S), buat cari tau dimana letak problemnya. Maaf ya kalo pembukanya kepanjangan, go to the case..

1. PAGP [36%]
    Port Aggregration, gabungin beberapa port jadi satu supaya bisa bagi beban aka "Load Balance", kalo di server istilahnya NIC Teaming nih. Setup etherchannel antar 3 switch, pakai PAgP. Inget, kalo di soal dia initiate negotiation, berarti dia mode desirable. Sebaliknya, kalo enggak initiate, berarti auto. Di salah satu switch juga udah ada etherchannel yang configured pake LAcP. Ini diremove dulu (no channel-group), baru deh configure pake PAgP (channel-group 5). Btw, di topologi ada note kalo DSW1 itu root bridge, tapi malah DSW2 yang jadi root bridge. Bikin priority si DSW1 jadi lebih rendah supaya jadi Root Bridge. Emang sih, ini ga mempengaruhi persentase completion.

2. HSRP [44%]
    First Hop Redundancy, bikin virtual gateway dengan ip 123.231.225.5. Gampang ini, tinggal standby 1 ip 123.231.225. Di Router yang 1 di set preempt terus prioritynya jadi 110. Btw, setelah konfig ini, coba tes shutdown port g1/0 punya DCRTR1 (Main Router), terus tes ping dari MORPSRV1 di DC ke 8.8.8.8, pake "Simulation Mode". Dari MORPSRV1 ke 8.8.8.8 oke, HSRP jalan dan paket keluar lewat si DCRTR2. Balesan dari 8.8.8.8, ke ISP1, ISP1 liat tabel routing, ISP1 kirim ke DCRTR1, DCTR1 liat tabel routing, DCRTR1 kirim ke ISP1, ISP1 liat tabel routing, ISP1 kirim ke DCRTR1, gitu terus dah looping, wkwk.

3. DHCP,NAT,WIRELESS,VLAN,TRUNK [66%]
    Disini nih, banyak jebakan (namanya juga TSHOOT). Goal-nya supaya vlan 10, 20 ,sama 30 bisa internetan. Pertama, wireless dulu aja deh. Terus guest set DHCP Client semua, tapi.. belum dapet IP, kita telusurin masalahnya. Cek di Switch, interface yang ngarah ke AP Guest, belum di set jadi member vlan 30, langsung deh sw acc vl 30. Terus di f0/23, trunk-nya cuma allow vlan 20 yang lewat, negate command itu atau allow semua vlan juga bisa. Cek lagi di Guest udah dapet IP apa belum.
    Cek Router IDHQ, DHCP POOL buat STAFF subnetnya salah tuh, tinggal ganti jadi /24. Sub-interface f0/1.30 juga belum didefine nat inside-nya. Yang terakhir, benerin gateway si PC vlan 10. Tinggal buka facebook deh.

4. TUNNEL IDHQ [76%]
    Buat tunnel ke ID-Branch sama MYHQ. kalo yang ke ID-Branch kalian tinggal set IP addressnya aja, karena tunnelnya udah configured. Buat yang MYHQ set mode tunnel jadi IPv6 over IP, terus baru set IPv6-nya.

5. ID-BRANCH1 DHCP+Internet [78%]
    Set BRPC1 jadi DHCP Client, terus cek koneksi internetnya.

6. TUNNEL ID-BRANCH1 [86%]
    Di Router int tun, tun s g0/0, tun d 10.10.10.2, ip add 9.9.9.10/30. Easy, tinggal cocokin sama di IDHQ. Kalo tunnel udah run, harusnya OSPF yang udah preconfigured dari soal juga langsung jalan.

7. OSPF ROUTING PROBLEM [88%]
    Coba tes ping dari PC ID-Branch1, ke PC di IDHQ. Gagal kan? coba cek routing table di IDHQ-RTR, hmm.. ga ada route buat ke 192.168.11.0/24. Ternyata di ID-Branch OSPF-nya belum advertise network tadi, makanya si IDHQ ga ada di routing table si IDHQ. Tinggal advertise network-nya aja.

8. MYHQ TUNNEL+PC TSHOOT [100%]
    int tun 1, tun m ipv6ip, pasangin deh sama tun1 di IDHQ. Masih ada satu device IPv6 di MYHQ yang belum bisa konek ke IPv6 di IDHQ. Ini problemnya sama kaya PC MGR di IDHQ tadi, wkwk.

Ini dia, penampakan 100% dari case tshoot.
Finally, selesai deh pembahasan BNSC 2015 bidang IT Network System Administration. Makasih buat yang udah baca pembahasan ini, semoga ngebantu temen-temen yang stuck ga bisa dapet 100%. Mungkin selanjutnya bakalan bahas soal LKS Nasional 2015 bidang IT Network System Administration, terus mungkin (mungkin) soal World Skills Competition 2015. Btw, kalo ada yang kurang atau salah, tolong dikoreksi. See you next post.

Friday, May 13, 2016

Pembahasan Soal BNSC 2015 - IT Network Systems Administration 4/5

Masih pembahasan soal BNSC bidang IT Network System Administration, kali ini bahas modul yg ke-4. Di modul ini lumayan lah materinya, ada DHCP, Access-List, Port-security, VTP, Remote Access (SSH), dan tentunya Voice. Di modul ini ceritanya ada 2 branch, kita disuruh configure 2 branch itu dan menghubungkan antar branch supaya dari branch1 bisa call ke branch2. Let's start.

1. ROUTER IP ADDRESSING
    Biasa lah, di awal disuruh set IP address di router. Beberapa malah udah ada yg diconfigure. [21%]

2. VIRTUAL TRUNKING PROTOCOL
    Configure VTP Client di BN1S2, VTP Server di BN1S1. Gampang ini, vtp domain set jadi bn.id, vtp password set Skills39. Btw, pake VTP Model Client-Server itu bahaya, karena VTP Client yg revision numbernya lebih gede dari VTP Server (Bekas nge-lab/lainnya), bisa override Vlan database di VTP Server. Hii.. serem ya, but that's another story to tell. [30%]

3. VOICE
    Lanjut setup Cisco Call Manager Express (Telephony Service) di masing2 branch, port-nya set 2000, terus ip sourcenya set yang mengarah ke HQ network, supaya nanti bisa di dial-peer. Masuk ke telephony service, "ip source  10.10.10.2 port 2000" kalo BN1R1. Ini define si CME mau listen di IP dan port berapa. Lanjut auto assign 1 to 10. Udah deh, tinggal assign DN sesuai nomornya. Jangan lupa set maximum DN sebelum assign number ke DN, karena defaultnya max-dn itu 0, ya ga bakal bisa dong nambah DN kalo max-dn = 0. [56%]

4. DHCP-SERVER + EXCLUDING IP
    Kesel ga sih lagi enak2 config keluar log di console DHCPD4-Ping-Conflict? nah, task kali ini configure DHCP Server+Exclude IP. Exclude IP ini fungsinya supaya si DHCP server ga "minjemin" ip tertentu yang udah kita define. commandnya cuma ip dhcp exlucude [low ip] [high ip], simple kan? Jangan lupa juga saat config DHCP Server, define option 150. Option ini isinya tentang TFTP Server, jadi begitu IP Phone dapet IP, dia tau harus ngambil konfigurasi kemana. Sekalian juga langsung cek di client apakah udah dapet IP+Line number apa belum. Harusnya sampai sini udah bisa call dalam satu branch. [78%]

5. DIAL-PEER
    Coba sekarang call dari 1001 ke 2001 (Antar Branch), pasti bakal keluar "Unknown Number". Supaya bisa call antar branch, masing2 CME harus kita "kenalin" atau disini istilahnya dial-peer.
- Define dulu tag dial-peer
    #dial-peer voice 1 voip
- Define yang mau "dikenalin"
    #session target ipv4:20.20.20.2
-Tentuin destination-prefix. Jadi kalo ada yang nelpon ke nomer ini, si CME bakal ngehubungin "kenalan" dia yang udah kita define tadi. Dalam hal ini, kalo ada yang nelpon ke nomor 2xxx, si BN1R1 bakal ngehubungin si 20.20.20.2.
    #destination-prefix 2...
Tinggal config di BN2R2 deh, dan tes call antar branchnya. [85%]

6. REMOTE ACCCESS (SSH)
    Disini tinggal enable ssh (transport input ssh), bikin standard Access-List namanya REMOTE, yang isinya cuma permit 10.11.0.11. Terus taruh deh di access-class inbound line vty tadi. [91%]

7. PORT-SECURITY
    Port-security, task-nya supaya port f0/1 ini cuma si PC tersebut yang bisa pake. Kalau ada Device lain yang connect ke port f0/1, maka bakalan di "shutdown" sama si Switch. Masuk ke interface, switchport port-security mac hhhh.hhhh.hhhh, switchport port-security maximum 1. Fine lah ini mah. [96%]

8. ACCESS-LIST
    ACL Lagi, kali ini supaya si server (10.17.0.17) cuma bisa diakses dari network DATA1 di Branch1 (10.11.0.0/24).
    #ip access-list ACCESS_SERVER
    #permit 10.11.0.0 0.0.0.255 host 10.17.0.17
    #int f0/1.17
    #ip access-group ACCESS_SERVER out
Dan tadaaa.. [100%]
Problem 4 = Solved

Tunggu postingan selanjutnya ya, karena di Modul 5 ini TSHOOT CASE. Bakal ada jebakan di modul selanjutnya. Port Aggregation, GRE Tunnel, IPv6, First Hop Redundancy sudah siap menanti, haha.

Saturday, May 7, 2016

Pembahasan Soal BNSC 2015 - IT Network Systems Administration 3/5

    Halo, balik lagi kita bahas soal BNSC 2015, kali ini modul yang ke-3. Masih cukup mudah, disini bakalan lebih banyak config server dan client daripada config network devices. Di router cuma config authentication,telnet,logging, sama dhcp relay. Selebihnya cuma klik ini, klik itu, tiba-tiba 100%, wkwk. Langsung ke pembahasan, cekidot.

1. DNS SERVER
    Suruh nambahain DNS record, nano /etc/bind/.. eh, enggak deh becanda. Tinggal klik-services-dns, really easy.. [10%]

2. HTTP + MAIL SERVER
    Yang ini lebih parah, cuma klik ON buat service HTTP dan SMTP+POP3. Settingnya udah configured, super baik yang bikin soal, wkwk. [17%]

3. MAIL CLIENT
    Lanjut configure mail client. Mailnya user@bnsc.id, terus buat smtp dan pop servernya mail.bnsc.id, user dan password sesuain sama soal. Cek dengan teliti, semua harus sesuai sama soal, kalau perlu tes kirim email tambahan. [43%]

4. AAA (RADIUS SERVER) + Remote Access
    Enable AAA service di BN1SRV2, terus service ini dipake sama BN1RTR1 buat autentikasi, sama configure remote management pake telnet. Nih step-nya (tumben baik):
-Define dulu server radiusnya
    #radius-server host 10.10.10.20 key bnsc
-Set autentikasi supaya primarynya ke radius server, kalo gagal baru authenticate ke local user
    #aaa new-model
    #aaa authentication login default group radius local
-Configure telnet, dan autentikasinya pake profile default yang udah kita define tadi.
    #line vty 0 15
    #transport input telnet
    #login authentication default
Oke, beres! [61%]

5. HTTP SERVER
    Wkwkwk, ketawa aja deh [64%]

6. DHCP SERVER
    Bikin DHCP POOL BN2BPOOL di BN2SRV2 for BN2B network. Tinggal ikutin BN2APOOL, terus sesuain network sama default gatewaynya. [74%]

7. LOGGING
    Enable syslog di BN2SRV2, dan di BN2RTR1 suruh lempar log-nya ke BN2SRV2. logging host 10.20.29.10, selesai deh. [79%]

8. DHCP-RELAY
    Set semua PC yang ada jadi DHCP Client. Ehh, kok ga dapet IP ya? haha, harus set BN2RTR1 sama BN2RTR2 jadi DHCP Relay. Kenapa? ya karena antara DHCP-Server sama DHCP-Client beda broadcast domain, jadi harus di-relay. di interface pakai command ip helper blabla, selesai deh. [100%]
                                  
Penampakan 100% (Lagi)
Btw, ini soal paling cepet selesainya lho, wkwk. Di modul selanjutnya bakalan ketemu materi voice, so tunggu postingan selanjutnya ya!

Thursday, April 28, 2016

Pembahasan Soal BNSC 2015 - IT Network Systems Administration 2/5

Oke, ini postingan pertama di Blog ini. Kali ini ngebahas soal Bina Nusantara Skill Competition (BNSC) 2015 bidang Network System Administration. BNSC ini merupakan salah satu jalur buat ikut seleksi nasional Asean Skills Competition, selengkapnya bisa cari sendiri ya tentang BNSC atau ASC. Di BNSC tahap seleksi ada 5 soal, semuanya format pka. Nah kali ini bakal bahas modul 2. Kok modul 1 ga dibahas? Abisnya bahasnya subnetting doang, jadi kurang seru (sok jago, wkwk.)
Untuk soalnya bisa ambil di sini, di bagian problem set.

Let's begin!

1. WIRELESS
    Pertama disuruh benerin ap dan clientnya, easy lah cuma SSID sama set Authentication. [15%]

2. ROUTER IP ADDRESSING
    Suruh set IP address di router, tinggal set IP f0/1.11 sama f0/1.13, karena yg lain udah pre-configured. [34%]

3. VLAN
    Lanjut configure VLAN di BNSW. Set f0/16 jadi mode access vlan Guest, f0/21 jadi trunk. Oh iya, vlan 13 set name jadi GUEST. beres deh. [42%]

4. DHCP SERVER
    Configure DHCP server, tinggal buat yg GUEST, karena yang STAFF udah configured dari soal. Baik banget ya yang bikin soal, wkwk. Disini sekalian set device yang ada di GUEST sama STAFF jadi DHCP client, buat ngetes apakah config kalian udah bener. [80%]

5. NAT OVERLOAD
    Nah kali ini task-nya biar network GUEST sama STAFF bisa internetan. Disini pastiin nama access-listnya INTERNET_ACCESS (case sensitive), karena mempengaruhi marking juga. Jangan lupa juga set nat inside/outside di interface yang bersangkutan. [88%]

6. ACCESS-LIST
    Suruh buat Extended ACL INTERNAL_ACCESS, yang isinya permit server network ke internal network, sama permit staff ke 10.11.12.13, taruh deh di f0/1.11 pake ip access-group INTERNAL_ACCESS out. Sama disuruh juga taruh SERVER_ACCESS di outbound f0/0. [100%]

Penampakan 100%


Gampang ya? iya, disini cuma bahas VLAN, DHCP, NAT, sama ACL. Di websitenya pun ditulis [EASY]. Btw, kalau kalian cek, di BNRTR ada ACL GUEST_ACCESS. Buat apa ya? solve it yourself! hehe.