Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan OpenIXP (NICE).Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :
- Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional, gateway OpenIXP (NICE), dan ke network klien.
- Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.
- Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address translation)
- Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan mengaktifkan paket routing-test
Jika Anda menghadapi kondisi yang tidak sesuai dengan parameter di atas, harus dilakukan penyesuaian.
PENGATURAN DASAR
Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti gambar berikut ini.
Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.
[admin@MikroTik] > /in pr
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1-intl ether 0 0 1500
1 R ether2-iix ether 0 0 1500
2 R ether3-client ether 0 0 1500
|
Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE) menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.
Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1 difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.
Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur “allow remote request”.
Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat untuk kedua jalur gateway.
[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=ether1-intl action=masquerade
1 chain=srcnat out-interface=ether2-iix action=masquerade
|
CEK: Pastikan semua konfigurasi telah berfungsi baik. Buatlah default route pada router secara bergantian ke IP gateway OpenIXP (NICE) dan internasional. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.
PENGATURAN BGP-PEER
Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.
Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur internasional.
Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk mengaktifkan layanan BGP-Peer ini. Aktivasi bisa dilakukan di halaman ini. IP Address yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.
BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS Number 64666.
Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25 sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept, harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini, yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129. Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.
Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix yang dikirimkan, dan kita beri nama prefix-out.
Berikut ini adalah konfigurasi prefix list yang telah dibuat.
Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.
Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.
Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan Router Anda. Koneksi ini ditandai dengan status peer yang menjadi “established” dan akan dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.
Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada pada interface yang benar, dalam contoh ini adalah “ether2-iix”.
Jika semua sudah berjalan, pastikan bahwa penggunaan 2 buah gateway ini sudah sukses dengan cara melakukan tracerute dari router ataupun dari laptop ke beberapa IP Address baik yang berada di internasional maupun yang berada di jaringan OpenIXP (NICE).
C:>tracert www.yahoo.com
Tracing route to www.yahoo-ht2.akadns.net
[209.131.36.158]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1
2 1 ms <1 ms <1 ms 69.1.1.1
3 222 ms 223 ms 223 ms 157.130.195.13
4 222 ms 289 ms 222 ms 152.63.54.118
5 226 ms 242 ms ^C
C:>tracert www.cbn.net.id
Tracing route to web.cbn.net.id [210.210.145.202]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1
2 1 ms <1 ms 1 ms 202.65.113.129
3 11 ms 12 ms 127 ms 218.100.27.218
4 21 ms 41 ms 21 ms 218.100.27.165
5 22 ms 24 ms ^C
|
PENGATURAN BANDWIDTH MANAGEMENT
Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan menggunakan mangle dan queue tree.
Karena network klien menggunakan IP private, maka kita perlu melakukan connection tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada router Anda.
Untuk masing-masing trafik, lokal dan internasional, kita membuat sebuah rule mangle connection. Dari connection mark tersebut kemudian kita membuat packet-mark untuk masing-masing trafik.
[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward out-interface=ether1-intl
src-address=192.168.1.2 action=mark-connection
new-connection-mark=conn-intl
passthrough=yes
1 chain=forward out-interface=ether2-iix
src-address=192.168.1.2 action=mark-connection
new-connection-mark=conn-nice
passthrough=yes
2 chain=forward connection-mark=conn-intl
action=mark-packet
new-packet-mark=packet-intl passthrough=yes
3 chain=forward connection-mark=conn-nice
action=mark-packet new-packet-mark=packet-nice
passthrough=yes
|
Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang digunakan oleh klien.
Langkah berikutnya adalah membuat queue tree rule. Kita akan membutuhkan 4 buah rule, untuk membedakan upstream / downstream untuk koneksi internasional dan lokal.
[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0 name="intl-down" parent=ether3-client
packet-mark=packet-intl limit-at=0
queue=default priority=8 max-limit=128000
burst-limit=0 burst-threshold=0 burst-time=0s
1 name="intl-up" parent=ether1-intl
packet-mark=packet-intl limit-at=0
queue=default priority=8 max-limit=32000
burst-limit=0 burst-threshold=0 burst-time=0s
2 name="nice-up" parent=ether2-iix
packet-mark=packet-nice limit-at=0
queue=default priority=8 max-limit=256000
burst-limit=0 burst-threshold=0 burst-time=0s
3 name="nice-down" parent=ether3-client
packet-mark=packet-nice limit-at=0
queue=default priority=8 max-limit=1024000
burst-limit=0 burst-threshold=0 burst-time=0s
|
Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli oleh klien.
sumber: http://praban.wordpress.com/
29 August 2008
praban Network juniper olive, mikrotik routeros Leave a comment
Jaringan pada gambar di atas terdiri atas 4 buah router sebagai berikut :
- Palembang : MikroTik RouterOS 3.13
- Prabumulih : Juniper Olive 8.5R1
- Muaraenim : MikroTik RouterOS 3.13
- Baturaja : MikroTik RouterOS 3.13
Router Palembang
Pertama kita lakukan konfigurasi pada router Palembang. Mulai dengan mengganti hostname,
> /system identity set name=Palembang
Lalu set alamat IP,
> /ip address add interface=ether1 address=192.168.100.1/30
> /ip address add interface=ether2 address=192.168.100.13/30
> /ip address add interface=ether3 address=10.10.0.1/16
Set router AS number router ID,
> /routing bgp instance set default as=64501 router-id=10.10.0.1
Dan terakhir set network yang routing-nya akan di-advertise oleh BGP dan dua buah peering dengan router Prabumulih (AS 64502) dan Baturaja (AS 64504),
> /routing bgp network add network=10.10.0.0/16
> /routing bgp peer add name=as_64502 remote-address=192.168.100.2 remote-as=64502
> /routing bgp peer add name=as_64504 remote-address=192.168.100.14 remote-as=64504
Router Prabumulih
Setting dilakukan pada configuration-mode, pertama ubah hostname
[edit]
# set system host-name Prabumulih
Lalu set alamat IP,
[edit]
# set interfaces em0 unit 0 family inet address 192.168.100.2/30
# set interfaces em1 unit 0 family inet address 192.168.100.5/30
# set interfaces em2 unit 0 family inet address 10.20.0.1/16
Set router AS number router ID,
[edit]
# set routing-options autonomous-system 64502
# set routing-options router-id 10.20.0.1
Set peering dengan router Palembang (AS 64501) dan Muaraenim (AS 64503)
[edit]
# set protocol bgp group as_64501 type external
# set protocol bgp group as_64501 neighbor 192.168.100.1
# set protocol bgp group as_64501 peer-as 64501
# set protocol bgp group as_64503 type external
# set protocol bgp group as_64503 neighbor 192.168.100.6
# set protocol bgp group as_64503 peer-as 64503
Buat export policy,
[edit policy-options]
# set policy-statement as_all_export term 1 from protocol direct
# set policy-statement as_all_export term 1 from route-filter 10.20.0.0/16 exact
# set policy-statement as_all_export term 1 then accept
Terapkan policy pada semua BGP group,
[edit]
# set protocol bgp group as_64501 export as_all_export
# set protocol bgp group as_64503 export as_all_export
Dan lakukan commit,
[edit]
# commit
Router Muaraenim
Konfigurasi untuk router Muaraenim sebagai berikut:
/system identity set name=Muaraenim
/ip address add interface=ether1 address=192.168.100.6/30
/ip address add interface=ether2 address=192.168.100.10/30
/ip address add interface=ether3 address=10.30.0.1/16
/routing bgp instance set default as=64503 router-id=10.30.0.1
/routing bgp network add network=10.30.0.0/16
/routing bgp peer add name=as_64502 remote-address=192.168.100.5 remote-as=64502
/routing bgp peer add name=as_64504 remote-address=192.168.100.9 remote-as=64504
Router Baturaja
Konfigurasi untuk router Baturaja sebagai berikut:
/system identity set name=Baturaja
/ip address add interface=ether1 address=192.168.100.9/30
/ip address add interface=ether2 address=192.168.100.14/30
/ip address add interface=ether3 address=10.40.0.1/16
/routing bgp instance set default as=64504 router-id=10.40.0.1
/routing bgp network add network=10.40.0.0/16
/routing bgp peer add name=as_64501 remote-address=192.168.100.1 remote-as=64501
/routing bgp peer add name=as_64503 remote-address=192.168.100.10 remote-as=64503
Check & recheck
Pada MikroTik RouterOS, cek status BGP peering,
> /routing bgp peering status
lalu cek routing table,
> /ip route print
lakukan ping,
[praban@Palembang] > /ping 10.20.0.1 src-address=10.10.0.1
dan traceroute,
[praban@Palembang] > /traceroute 10.20.0.1 src-address=10.10.0.1
Untuk Juniper Olive, cek status BGP peering,
> show bgp neighbor
cek routing table,
> show route
lakukan ping,
praban@Prabumulih> ping 10.10.0.1 source 10.20.0.1
dan traceroute,
praban@Prabumulih> traceroute 10.10.0.1 source 10.20.0.1
sumber: bhima-augusta.com
Management Bandwidth dengan Mikrotik BGP Web-Proxy
bagaimana caranya memisahkan traffic International dengan IIX/NICE menggunakan Mikrotik yang menjalankan BGP dan Web-Proxy.
Adapun diagram jaringannya dapat dilihat pada gambar 1. dibawah ini.
Gambar 1. Diagram Jaringan Kantor PT. Data Utama Dinamika Jakarta
Kondisi jaringan adalah sbb:
- Router Kantor menggunakan 3 ethernet card dijalankan pada PC Pentium 4 2660Mhz, Memory 256MB, DOM 128MB.
- Klient menggunakan IP Private sehingga diperlukan mekanisme NAT / Masquerade
- Router kantor menerima prefix/routing table dari NICE/OpenIXP (NICE/OpenIXP adalah alternatif IIX yang dikelola PT. IDC) menggunakan mekanisme BGP Peering.
- Mikrotik RouterOS menggunakan Vesi 2.9.41 dan mengaktifkan paket routing-test, sesuai petunjuk dari Valens Riyadi @ www.mikrotik.co.id.
Gambar 2. Resources Mikrotik Router Kantor
Gambar 3. Packet List
Konfigurasi IP
Gambar 4. Konfigurasi IP Router Kantor
Konfigurasi NAT/Masqurade LAN 192.168.2.0/24
Gambar 5. Konfigurasi NAT General
Gambar 6. Konfigurasi NAT Action
Konfigurasi BGP Peer
Gambar 7. BGP Instance Mikrotik2BGP
Gambar 8. BGP Peer Mikrotik2BGP
Gambar 9. BGP Instance Mikrotik3BGP
Gambar 10. BGP Peer Mikrotik3BGP
AS Number 65003 dan 65004 adalah private AS Number hanya digunakan utk peering internal antar Mikrotik2BGP dengan Mikrotik3BGP
Konfigurasi Routing Filter
Konfigurasi routing filter ini bertujuan agar Mikrotik hanya menerima supernet dengan prefix-length=8-24 bit sehingga lebih menghemat memory penyimpanan prefix/routing table dari NICE/OpenIXP/IIX.
[datautama@router-02-jkt] > /routing filter print
Flags: X – disabled
0 chain=prefix-in prefix-length=0-7 invert-match=no action=discard
1 chain=prefix-in prefix-length=8-24 invert-match=no action=accept
set-nexthop=203.89.26.65
2 chain=prefix-in prefix-length=25-32 invert-match=no action=discard
3 chain=prefix-out prefix-length=0-32 invert-match=no action=discard
BGP Peer Status
Gambar 11. BGP Peer Status
Jika BGP Peering sudah terbentuk maka Mikrotik3BGP menerima prefix-count=2939, dimana jumlah prefix ini akan berubah-rubah secara dinamis tergantung perkembangan BGP advertise dari ISP/NAP atau pengelola jaringan lainnya.
Route List
Gambar 12. Route List
Pada Gambar 12, bisa dilihat routing table dari BGP yang ditandai dengan DAB, sedangkan routing statis ditandai dengan AS.
Dalam sistem routing memiliki aturan main: “routing spesifik akan dibaca terlebih dahulu”. Dengan demikian maka table routing dari NICE/OpenIXP/IIX yang lebih spesifik akan dibaca dahulu dan jika network yang dicari tidak diketemukan maka paket akan melalui default route yang ditandai dengan “destination=0.0.0.0/0 gateway=203.89.24.65″ ini artinya paket data yang menuju International akan melalui gateway=203.89.24.65 dengan Interface=ether1-intl sedangkan traffic data yang menuju NICE/OpenIXP/IIX akan melalui gateway=203.89.2.6.65 dengan Interface=vlan-id-23-iix, dalam contoh kasus ini kebetulan menggunakan VLAN yang dijalankan pada interface ether2-iix. Sebenarnya tidak harus menggunakan vlan, ether2 juga cukup syaratnya adalah antara traffic NICE/OpenIXP/IIX dan traffic International harus melalui dua Interface yang berbeda karena ini ada hubungannya dengan proses mangle dan limitasi bandwidth antara traffic lokal dengan traffic international.
Hasil Traceroute
Gambar 13. Traceroute ke www.yahoo.com
Gambar 14. Traceroute ke www.plasa.com
Dari hasil traceroute antara Gambar 13 dan Gambar 14 bisa dilihat perbedaan hop1 dimana utk traffic international melalui 203.89.24.65 menggunakan interface ether1-intl dan traffic lokal melalui 203.89.26.65 menggunakan interface vlan-id-23-iix
Pengaturan Bandwidth
Sesuai dengan petunjuk dari Valens Riyadi @ www.mikrotik.co.id karena network klien menggunakan IP Private, maka perlu melakukan connection tracking pada mangle.
Gambar 15. Connection Tracking
Selanjutnya untuk masing-masing trafik, lokal dan internasional dibuatkan rule mangle connection pada untuk masing-masing IP komputer yang akan di atur bandwidthnya.
Konfigurasi Mangle
Mangle adalah proses menandai paket data sesuai dengan kebijakan yang diinginkan, sebenarnya teknik mangle ini sudah biasa juga dilakukan di linux dengan mengunakan iptables, di mikrotik proses mangle lebih mudah dan menyenangkan. Untuk contoh kasus ini contoh skrip manglenya adalah sbb:
# may/16/2007 17:23:13 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall mangle
#1
add chain=forward out-interface=ether1-intl src-address=192.168.2.12
action=mark-connection
new-connection-mark=harijanto-conn-intl passthrough=yes comment=””
disabled=no
#2
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.12
action=mark-connection new-connection-mark=harijanto-conn-nice
passthrough=yes comment=”” disabled=no
#3
add chain=output dst-address=192.168.2.12 action=mark-packet
new-packet-mark=harijanto-packet-intl passthrough=yes comment=””
disabled=no
#4
add chain=forward connection-mark=harijanto-conn-intl action=mark-packet
new-packet-mark=harijanto-packet-intl passthrough=yes comment=””
disabled=no
#5
add chain=forward connection-mark=harijanto-conn-nice action=mark-packet
new-packet-mark=harijanto-packet-nice passthrough=yes comment=””
disabled=no
#6
add chain=forward out-interface=ether1-intl src-address=192.168.2.119
action=mark-connection new-connection-mark=christine-conn-intl
passthrough=yes comment=”” disabled=no
#7
add chain=forward out-interface=vlan-id-23-iix src-address=192.168.2.119
action=mark-connection new-connection-mark=christine-conn-nice
passthrough=yes comment=”” disabled=no
#8
add chain=output dst-address=192.168.2.119 action=mark-packet
new-packet-mark=christine-packet-intl passthrough=yes comment=””
disabled=no
#9
add chain=forward connection-mark=christine-conn-intl action=mark-packet
new-packet-mark=christine-packet-intl passthrough=yes comment=””
disabled=no
#10
add chain=forward connection-mark=christine-conn-nice action=mark-packet
new-packet-mark=christine-packet-nice passthrough=yes comment=””
disabled=no
mangle dibuat satu persatu untuk semua komputer yang akan di manage bandwidthnya
Penjelasan mangle
Proses mangle biasanya diawali dengan new-connection-mark yang kemudian dilanjutkan dengan new-packet-mark, jadi di mark koneksinya dulu baru di mark paketnya, nah paket ini yang akan digunakan di queue-tree maupun di simple queue.
Mangle no #1,#3,dan #4 adalah proses mangle traffic international untuk komputer IP 192.168.2.12.
Mangle no #2 dan #5 adalah proses mangle traffic lokal untuk komputer IP 192.168.2.12
Pada mangle no #3 digunakan chain=output karena ini tujuannya untuk menandai paket dari Web-Proxy yang dijalankan di Mikrotik3BGP ke komputer IP 192.168.2.12, salah satu pertanyaan yang sering diutarakan adalah bagaimana melakukan limitasi bandwidth kalau pakai proxy karena biasanya jika menggunakan proxy limitasi per komputer jadi tidak efektif, nah hasil dari meditasi sampai jam 4 subuh adalah harus melakukan mangle pada chain=output karena klient mendapatkan isi website dari proxy yang di jalankan di Mikrotik itu sendiri, lebih jelasnya nanti akan dijabarkan pada bagian Web-Proxy.
Sedangkan No #6 sd #10 adalah identik dengan no #1 sd #5 bedanya adalah sumber IP komputer yang di mangle.
Hasil dari skrip diatas adalah seperti pada gambar 16 berikut
Gambar 16. Hasil Mangle
Salah satu kunci efektif tidaknya proses mangle adalah pemilihan “chain”, penjelasannya ada pada dokumentasi “Packet Flow” yang bisa dibaca dari situs http://www.mikrotik.com/testdocs/ros/2.9/ip/flow.php
Pengaturan Bandwidth menggunakan Queue Tree
Untuk melakukan limitas yang efektif dapat digunakan queue-tree, pada dokumen http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
Dijelaskan bahwa
The queuing is applied on packets leaving the router through a real interface (i.e., the queues are applied on the outgoing interface, regarding the traffic flow), or any of the 3 additional virtual interfaces (global-in, global-out, global-total).
Artinya proses queuing diaplikasikan pada saat paket keluar dari router melalui interface fisik atau interface virtual.
Oleh karena itu pada queue tree didefinisikan bahwa utk traffic download berarti traffic yang keluar dari ether3-client , artinya dari router menuju ke komputer klient sedangkan upload adalah traffic dari ether1-intl atau vlan-id-23-iix yang mana masing-masing interface dilewati oleh paket yang berbeda, ether1-intl untuk traffic international dan vlan-id-23-iix untuk traffic lokal, oleh karena itu harus memiliki interfacenya masing-masing.
Berikut adalah contoh skrip queue tree yang digunakan
# may/16/2007 19:31:00 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ queue tree
#1
add name=”harijanto-intl-down” parent=ether3-client
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#2
add name=”harijanto-intl-up” parent=ether1-intl
packet-mark=harijanto-packet-intl limit-at=0 queue=default priority=8
max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#3
add name=”harijanto-nice-up” parent=vlan-id-23-iix
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#4
add name=”harijanto-nice-down” parent=ether3-client
packet-mark=harijanto-packet-nice limit-at=0 queue=default priority=8
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#5
add name=”christine-intl-down” parent=ether3-client
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8
max-limit=256000 burst-limit=512000 burst-threshold=128000 burst-time=20m
disabled=no
#6
add name=”christine-intl-up” parent=ether1-intl
packet-mark=christine-packet-intl limit-at=64000 queue=default priority=8
max-limit=128000 burst-limit=256000 burst-threshold=96000 burst-time=20m
disabled=no
#7
add name=”christine-nice-down” parent=ether3-client
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
#8
add name=”christine-nice-up” parent=vlan-id-23-iix
packet-mark=christine-packet-nice limit-at=0 queue=default priority=8
max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Penjelasan
#1 adalah pengaturan traffic download internasional untuk IP komputer 192.168.2.12 dimana parent = ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-intl yang merupakan hasil mangle, untuk limit-at, max-limit, burst-limit penjelasannya dapat dibaca dari http://www.mikrotik.com/testdocs/ros/2.9/root/queue.php
#2 adalah pengaturan traffic upload international untuk IP komputer 192.168.2.12 dimana parent=ether1-intl, artinya traffic yang keluar dari router ke Internet
#3 adalah pengaturan traffic upload lokal untuk IP komputer 192.168.2.12 dimana parent=vlan-id-23-iix, artinya traffic yang keluar dari router ke lokal NICE/OpenIXP/IIX
#4 adalah pengaturan traffic downlaod lokal untuk IP komputer 192.168.2.12 dimana parent=ether3-client, artinya traffic yang keluar dari router ke komputer 192.168.2.12 berdasarkan packet-mark=harijanto-packet-nice yang merupakan hasil mangle.
#5 sd #8 adalah identik dengan no #1 sd #4 bedanya IP komputer yang di limit adalah 192.168.2.119.
Hasilnya dapat dilihat pada gambar 17 berikut ini
Gambar 17. Queue Tree
Sampai pada langkah ini proses limitasi bandwidth per komputer sudah selesai tetapi jika diperlukan agar grafik pemakaian peruser dapat ditampilkan pada web mesin mikrotik maka perlu dibuat Simple Queues., contohnya seperti pada gambar 18 dan 19 berikut
Gambar 18. Contoh Simple Queue General
Gambar 19 Contoh Simple Queue Advanced
Di Simple Queue tidak perlu menentukan max limit karena yang membatasi adalah queue-tree tetapi kalau diperlukan boleh juga diisi max limitnya, yang penting adalah target address dan packet-mark nya. Jadi masing-masing user dibuatkan dua simple queue, satu untuk yang international satu untuk yang lokal.
Kalau sudah untuk mengaktifkan grafiknya dilakukan dengan mengaktifkan dari tool graphing seperti pada gambar 20 berikut
Gambar 20. Tools Graphing
Hasilnya dapat dilihat seperti pada gambar 21 berikut
Gambar 21. Contoh grafik MRTG per Simple Queue International
Gambar 21. grafik MRTG per Simple Queue Lokal
Ok selesai sudah proses limitasi bandwidth menggunakan BGP dan Queue-Tree
Selanjutnya bagaiman kalau mau pake Proxy? Seperti sudah diketahui bahwa proxy sangat bermanfaat dalam melakukan penghematan bandwidth setidaknya sampai dengan 30% traffic web yang ada.
Konfigurasi Web-Proxy
Mikrotik pada dasarnya adalah linux yang sangat powerfull, bahkan dengan mudahnya kita menggunakan squid yang dijalankan di mikrotik. Di mikrotik paket squid ini dikenal dengan nama Web-Proxy
Gambar 22. Web-Proxy Settings
Untuk mengaktifkan Web-Proxy caranya dari IP->Web Proxy kemudian klik enable agar Web-Proxy dijalankan, untuk menjadi Transparant Proxy dengan cara ceklist kotak disamping kiri tulisan “Transparent Proxy” kemudian OK atau Apply. Untuk fungsi Transparent Proxy harus didukung juga dengan IP->Firewall->NAT, nanti akan saya jelaskan lebih detail.
Untuk Web-Proxy ini yang penting adalah pertama tambahkan Access List agar IP network LAN dapat di allow untuk mengambil web melalui proxy sedangkan selain IP LAN harus di deny, ini bertujuan agar Web-Proxy tersebut tidak open proxy yang berakibat habisnya bandwidth yang dimiliki karena di akses oleh user diluar LAN.
Jika memiliki proxy lainnya dapat pula dijadikan Parent Proxy, misalnya proxy ISP atau proxy yang dijalankan pada Linux Server yang berkapasitas besar. Tujuannya agar proses browsing dapat lebih cepat karena beberapa object telah di cache pada proxy tersebut.
Contoh skrip untuk web-proxy adalah sbb:
# may/16/2007 20:01:52 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname=”proxy”
transparent-proxy=yes parent-proxy=203.89.24.4:3128
cache-administrator=”webmaster” max-object-size=4096KiB cache-drive=system
max-cache-size=none max-ram-cache-size=unlimited
/ ip web-proxy access
add dst-port=23-25 action=deny comment=”block telnet & spam e-mail relaying”
disabled=no
add src-address=192.168.2.0/24 action=allow comment=”” disabled=no
add action=deny comment=”” disabled=no
/ ip web-proxy cache
add url=”:cgi-bin \?” action=deny comment=”don’t cache dynamic http pages”
disabled=no
/ ip web-proxy direct
add dst-address=203.89.24.0/21 action=allow comment=”” disabled=no
add action=deny comment=”” disabled=no
Pada script diatas ditentukan 192.168.2.0/24 boleh akses web-proxy sedangkan selain itu di deny dan utk url yang mengandung cgi-bin atau “?” tidak di cache karena itu tandanya halaman dinamis dan untuk dst-address=203.89.24.0/21 boleh direct sedangkan yang lain tidak, ini tujuannya agar website www.datautama.net.id tidak usah di cache, tentunya nanti ini disesuaikan dengan konfigurasi yang akan digunakan.
Berikutnya adalah pengaturan agar setiap request port 80 diarahkan ke web-proxy, nah ini triknya.
Untuk traffic international saya arahkan ke web-proxy yang jalan di Mikrotik3BGP sedangkan untuk traffic lokal saya arahkan ke proxy 203.89.24.4 yang merupakan proxy server yang jalan di linux. Tujuannya adalah supaya walupun menggunakan proxy limiter tetap efektif, hanya saja berdasarkan pengetesan sistem ini masih ada kelemahan yaitu untuk test upload internasional tetap tidak dapat di limit secara efektif tetapi akan terlimit dari limiter lokalnya, hal ini tidak akan jadi masalah kalau antara bandwidth internasional dan lokal sama tetapi ada kecendrungan saat ini bandwidth lokal lebi besar dari pada bandwidth internasional.
Contoh skrip IP->Firewall-NAT untuk mengarahkan traffic http ke proxy adalah sebagai berikut:
# may/16/2007 20:09:14 by RouterOS 2.9.41
# software id = BS8K-GDT
#
/ ip firewall nat
#1
add chain=srcnat src-address=192.168.2.0/24 action=masquerade comment=”LAN
Kantor” disabled=no
#2
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80
dst-address-list=!nice action=redirect to-ports=3128 comment=”Transparent
Proxy untuk traffic International” disabled=no
#3
add chain=dstnat src-address=192.168.2.0/24 protocol=tcp dst-port=80
dst-address-list=nice action=dst-nat to-addresses=203.89.24.4
to-ports=3128 comment=”Tranparent Proxy untuk traffic NICE/OpenIXP/IIX”
disabled=no
Penjelasan
#1 berfungsi untuk melakukan NAT / Masquerade IP Private
#2 berfungsi mengarahkan traffic http yaitu protocol=tcp port=80 untuk dst-address-list=!nice ke port 3128 Web-Proxy internal di Mikrotik3BGP , arti dari dst-address-list=!nice adalah tujuan alamat yang bukan NICE/OpenIXP/IIX jadi untuk yang traffic Internasional, nah dapat dari mana address list tersebut nanti akan saya jelaskan.
#3 berfungsi mengarahkan traffic http lokal ke proxy 203.89.24.4 port 3128
Dengan skrip diatas maka kalau yang ditujua adalah www.yahoo.com maka proxy yang akan di gunakan adalah internal Web-Proxy sedangkan jika ke www.plasa.com proxy yang digunakan adalah 203.89.24.4:3128
Untuk address-list NICE dapat diambil dari:
- http://ixp.mikrotik.co.id/download/nice.rsc
- http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
Hasil test bandwidth dari sistem ini adalah sbb:
Gambar 23. Contoh Speedtest
http://www.datautama.net.id/web3/index.php?option=com_content&task=view&id=27&Itemid=31
sumber; http://blog.uad.ac.id/imam_riadi/2008/11/13/bgp-on-mikrotik/
Para dedemit maya serta netters yang masih ndak bosan mampir di blog ini, kali ini saya mau menshare tentang dolanan BGP ning Mikrotik, lain kali tak critakee dolanan BGP nek BSD/Linux. Sabar aja menunggu dan menanti, sampai kapan saya sempet nulis tulisan tentang BGP di OS lain.
Sak benere kie kesel kalau setiap hari, ditengah kecapekan dan kemumetan iseh nyempetke ya ngetak-ngetik pengalaman, sehingga tergores di keyboard Notebook sek selalu menemani, di tambah ocehan anak-anak, semprotan mesra dari mamakne anak-anak, dan tidak ketinggalan bapak-bapak tukang sek menemani saya digubug untuk menggoreskan isi ne pikirian walaupun cuma sedikit-dikit.
Sedikit demi sedikit lama-lama menjadi bukit, sehari kui 24 jam, untuk ini itu, kerja, sosial nek masyarakat, entek, sinaune yo sak sempete, sek penting ora lali ngibadahe, buat spirit and balancing in my life.
Singkat Crito BGP itu adalah Border gateway protokol sek artine inter-autonomous system routing protokol. BGP utama digunakan untuk merubah informasi network dengan BGP system yang lain. Mikrotik menerapkan BGP versi 4 ( RFC 1771 ).
Berikut ini konfigurasi peer dalam BGP di Mikrotik.
Spesifikasi BGP peer dengan siapa kita akan merubah informasi routing, dimana Peer 1 untuk ASBR 1. Peer 2 untuk ASBR 2.
BGP akan merubah informasi routing hanya jika telah terjadi koneksi sebagai koneksi TCP untuk peernya.
Tcp port 179 harus dibuka di firewall. Kita dapat menambahkan banyak peer.
Multihop = yes , jika peer tidak sama dengan network.
Route reflect = yes , jika kedua peer ke AS dan kita akan meredistribute route untuk mempelajari darinya
Prefix list in dan Out untuk mengontrol route redistribusi.
Digunakan oleh RIP dan BGP untuk mengontrol route advertise untuk router yang lain dan menfilter route dari nya. Prefiks list mempunyai nama dan default aksi untuk list
Default action digunakan untuk router jangan samakan rule dari list.
Prefiks list=kelas Rute
Prefiks Length=panjang Rute dalam bits. 203.12.1.2/24 berbeda network dengan 203.12.1.2/20
Prefix adlah network prefix yang disamakan
Prefix lenght adalah panjang dari prefix dalam satuan bits
Contoh prefix list
0.0.0.0/0 prefix lenght=0 contoh alamat tujuan = 0.0.0.0 ( default destination )
0.0.0.0/0 prefix lenght=0-32 > any destination
10.0.0.0/8 prefix lenght=17-32 > 10.0.4.0/17;10.5.0.0/24
Property Description BGP
as ( integer : 0 ..65535 ) – BGP autonomous system number
name ( name ; default: “” ) – BGP instance name
out-filter ( name ; default: “” ) – output routing filter used by this BGP instance
redistribute-connected ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all connected routes, i.e., routes to the networks that can be directly reached.
redistribute-ospf ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all routes learned by the OSPF protocol
redistribute-other-bgp ( yes | no ; default: no ) – specifies whether this BGP instance should redistribute to its peers routes learned by other BGP instances
redistribute-rip ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all routes learned by RIP protocol.
redistribute-static ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all static routes added to its routing database, i.e., routes that have been created using the /ip route add command on the router
router-id ( IP address ; default: 0.0.0.0 ) – the router identification string in form of an IP address. If no router-id is specified, it will be selected automatically based on the routing information.
Peers BGP
Iki lho contone, nek arep latihan dolanan BGP
sumber: http://candra.unsri.ac.id/?p=412
Permodelan routing BGP sederhana menggunakan Vyatta dan Mikrotik dengan Private AS pada Jaringan Intranet
BGP atau Border Gateway Protocol routing Protocol yang menghubungkan antar AS (autonomous System) yang sama IBGP (Interior Border Gateway Protocol) atau antar AS yang berbeda EBGP (Exterior Border Gateway Protocol). BGP telah terbukti scalable, stabil dan menyediakan mekanisme yang diperlukan untuk mendukung routing yang kompleks. Pada permodelan kali ini kita akan menggunakan BGP dengan redistribute OSPF dan untuk Autonomous System Number yang dipergunakan maka kita akan menggunakan Private AS 64512 sampai 65534 yang dapat digunakan untuk tujuan pribadi seperti halnya Private IP address.
TOPOLOGI
SKEMA PENGALAMATAN
Router
|
AS
|
Router-id
|
Interface
|
Eth0
|
Eth1
|
Eth2
|
Eth3
|
R1 |
64512 |
192.168.2.1 |
192.168.1.254/24 |
vif 2 172.16.0.1/30vif 3 172.16.0.5/30 |
–
|
–
|
R2 |
64513 |
192.168.2.2 |
vlan 2 172.16.0.1/30 |
172.16.0.9/30 |
172.16.0.13/30 |
172.16.0.17/30 |
R3 |
64514 |
192.168.2.3 |
vlan 3 172.16.0.5/30 |
172.16.0.10/30 |
172.16.0.21/30 |
172.16.0.25/30 |
R4 |
–
|
192.168.2.4 |
172.16.0.14/30 |
172.16.1.1/24 |
–
|
–
|
R5 |
–
|
192.168.2.5 |
172.16.0.18/30 |
172.16.2.1/24 |
–
|
–
|
R6 |
–
|
192.168.2.6 |
172.16.0.22/30 |
172.16.3.1/24 |
–
|
–
|
R7 |
–
|
192.168.2.7 |
172.16.0.26/30 |
172.16.4.1/24 |
|
|
KONFIGURASI
R1 Vyatta
Pada R1 Vyatta, masuk ke console, set interface, NAT, BGP, redistribute connected dan redistribute static.
vyatta@vyatta:~$ configure
[edit]
vyatta@vyatta# set interfaces ethernet eth0 address 192.168.1.254/24
[edit]
vyatta@vyatta# set interfaces ethernet eth1 vif 2 address 172.16.0.1/30
[edit]
vyatta@vyatta# set interfaces ethernet eth1 vif 3 address 172.16.0.5/30
[edit]
vyatta@vyatta# set interfaces loopback lo address 192.168.2.1/32
[edit]
vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 192.168.1.1
[edit]
vyatta@vyatta# set service nat rule 1 outbound-interface eth0
[edit]
vyatta@vyatta# set service nat rule 1 type masquerade
[edit]
vyatta@vyatta# set protocols bgp 64512 parameters router-id 192.168.2.1
[edit]
vyatta@vyatta# set protocols bgp 64512 network 172.16.0.0/30
[edit]
vyatta@vyatta# set protocols bgp 64512 network 172.16.0.4/30
[edit]
vyatta@vyatta# set protocols bgp 64512 neighbor 172.16.0.2 remote-as 64513
[edit]
vyatta@vyatta# set protocols bgp 64512 neighbor 172.16.0.6 remote-as 64514
[edit]
vyatta@vyatta# set protocols bgp 64512 redistribute connected
[edit]
vyatta@vyatta# set protocols bgp 64512 redistribute static
[edit]
vyatta@vyatta# commit
[edit]
vyatta@vyatta# save
Saving configuration to ‘/opt/vyatta/etc/config/config.boot’…
Done
[edit]
vyatta@vyatta#
R2 Mikrotik
Masuk melalui Winbox atau SSH, untuk memudahkan saya sarankan menggunakan winbox. Buat Interface VLAN
Untuk nama anda bisa menggunakan sembarang nama yang anda sukai, tetapi untuk VLAN ID kita beri No. 2 karena kita akan membuat interface ini bisa terhubung dengan vif 2 pada Vyatta, ini ada kaitannya dengan dengan masalah encapsulation dot1q atau tagging frame vlan.
Langkah berikutnya berikan IP address sesuai dengan skema pengalamatan pada tabel diatas.
Perhatikan IP Address tersebut kita berikan pada interface apa.
Ulangi langkah sebelumnya untuk ether2 dan ether3
Set routing BGP
Berikan AS, router-id dan tandai redistribute seperti gambar dibawah
Buat BGP peer sesuai dengan IP address dan AS pada router neighbor.
Buat Alamat Network yang menggunakan BGP
Set routing OSPF untuk interface berikutnya
Berikan router-id dan tandai redistribute seperti pada gambar dibawah.
Set Alamat Network yang akan menggunakan OSPF.
Untuk OSPF area kita bisa menggunakan area default yaitu dengan nama backbone dan Area ID 0.0.0.0, kecuali anda ingin membuat area baru, mungkin nanti bisa anda lakukan sebagai pengembangan atau routing OSPF dengan area yang berbeda.
R3 Mikrotik
Langkah ini sama persis dengan R2, tinggal meyesuaikan No Vlan, IP address, BGP
R4 Mikrotik
Setting IP address pada masing-masing interface.
Pilih routing OSPF pada menu, set router-id dan redistribute seperti gambar dibawah.
Set alamat network yang akan menggunakan OSPF.
Unutk OSPF area gunakan default.
Set DNS yang nanti akan dipergunakan oleh client yang menggunakan DHCP
Set DHCP
R2 Mikrotik
Pilih IP route, maka akan terlihat routing tabel yang terbentuk baik melalui BGP maupun OSPF
R4 Mikrotik
Pilih IP route, maka akan terlihat routing tabel yang terbentuk oleh OSPF termasuk yang di-redistribute oleh BGP
Client
Pada client, set interface untuk mendapatkan IP dari DHCP server pada R4 Mikrotik, lakukan tracert untuk melihat route yang ditempuh oleh packet dalam mencapai destination, misal: tracert http://www.unsri.ac.id.
Buka web browser dan akses ke salah satu web, misalnya http://www.unsri.ac.id
Untuk router yang lain bisa anda lakukan sendiri dengan cara yang sama.
Para dedemit maya serta netters yang masih ndak bosan mampir di blog ini, kali ini saya mau menshare tentang dolanan BGP ning Mikrotik, lain kali tak critakee dolanan BGP nek BSD/Linux. Sabar aja menunggu dan menanti, sampai kapan saya sempet nulis tulisan tentang BGP di OS lain.
Sak benere kie kesel kalau setiap hari, ditengah kecapekan dan kemumetan iseh nyempetke ya ngetak-ngetik pengalaman, sehingga tergores di keyboard Notebook sek selalu menemani, di tambah ocehan anak-anak, semprotan mesra dari mamakne anak-anak, dan tidak ketinggalan bapak-bapak tukang sek menemani saya digubug untuk menggoreskan isi ne pikirian walaupun cuma sedikit-dikit.
Sedikit demi sedikit lama-lama menjadi bukit, sehari kui 24 jam, untuk ini itu, kerja, sosial nek masyarakat, entek, sinaune yo sak sempete, sek penting ora lali ngibadahe, buat spirit and balancing in my life.
Singkat Crito BGP itu adalah Border gateway protokol sek artine inter-autonomous system routing protokol. BGP utama digunakan untuk merubah informasi network dengan BGP system yang lain. Mikrotik menerapkan BGP versi 4 ( RFC 1771 ).
Berikut ini konfigurasi peer dalam BGP di Mikrotik.
Spesifikasi BGP peer dengan siapa kita akan merubah informasi routing, dimana Peer 1 untuk ASBR 1. Peer 2 untuk ASBR 2.
BGP akan merubah informasi routing hanya jika telah terjadi koneksi sebagai koneksi TCP untuk peernya.
Tcp port 179 harus dibuka di firewall. Kita dapat menambahkan banyak peer.
Multihop = yes , jika peer tidak sama dengan network.
Route reflect = yes , jika kedua peer ke AS dan kita akan meredistribute route untuk mempelajari darinya
Prefix list in dan Out untuk mengontrol route redistribusi.
Digunakan oleh RIP dan BGP untuk mengontrol route advertise untuk router yang lain dan menfilter route dari nya. Prefiks list mempunyai nama dan default aksi untuk list
Default action digunakan untuk router jangan samakan rule dari list.
Prefiks list=kelas Rute
Prefiks Length=panjang Rute dalam bits. 203.12.1.2/24 berbeda network dengan 203.12.1.2/20
Prefix adlah network prefix yang disamakan
Prefix lenght adalah panjang dari prefix dalam satuan bits
Contoh prefix list
0.0.0.0/0 prefix lenght=0 contoh alamat tujuan = 0.0.0.0 ( default destination )
0.0.0.0/0 prefix lenght=0-32 > any destination
10.0.0.0/8 prefix lenght=17-32 > 10.0.4.0/17;10.5.0.0/24
Property Description BGP
as ( integer : 0 ..65535 ) – BGP autonomous system number
name ( name ; default: “” ) – BGP instance name
out-filter ( name ; default: “” ) – output routing filter used by this BGP instance
redistribute-connected ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all connected routes, i.e., routes to the networks that can be directly reached.
redistribute-ospf ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all routes learned by the OSPF protocol
redistribute-other-bgp ( yes | no ; default: no ) – specifies whether this BGP instance should redistribute to its peers routes learned by other BGP instances
redistribute-rip ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all routes learned by RIP protocol.
redistribute-static ( yes | no ; default: no ) – if enabled, the router will redistribute the information about all static routes added to its routing database, i.e., routes that have been created using the /ip route add command on the router
router-id ( IP address ; default: 0.0.0.0 ) – the router identification string in form of an IP address. If no router-id is specified, it will be selected automatically based on the routing information.
Peers BGP
Iki lho contone, nek arep latihan dolanan BGP