MTCRE CitraWeb

Advanced Mikrotik Training
Routing (MTCRE)
Certified Mikrotik Training - Advanced Class (MTCRE)

Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Jadwal Training
Sesi 1 Sesi 2 Sesi 3 Sesi 4
Hari 1 Static Route
Hari 2 Tunnel OSPF (1)
Hari 3 OSPF (2) TEST
00-2 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

New Training Scheme 2016
¢  Basic/Essential Training
l  MikroTik Certified Network Associate (MTCNA)
¢  Advanced Training
l  Certified Wireless Engineer (MTCWE)
l  Certified Routing Engineer (MTCRE)
l  Certified Traffic Control Engineer (MTCTCE)
l  Certified User Managing Engineer (MTCUME)
l  Certified Inter Networking Engineer (MTCINE)
l  Certified IPv6 Engineer (MTCIPv6E)

Certification Test
¢  Diadakan oleh Mikrotik.com secara online
¢  Dilakukan pada sessi terakhir
¢  Jumlah soal : 25
¢  Nilai minimal kelulusan : 60% Trainer: 75%
¢  Yang mendapatkan nilai 50% hingga 59%
berkesempatan mengambil “second chance”
¢  Yang lulus akan mendapatkan sertifikat yang
diakui secara internasional

License for training program materials and certification
test questions
All content of written materials, specifically questions, answers and diagrams of

the certification tests questions are the proprietary and confidential property of
Mikrotikls SIA. They may not be copied, reproduced, modified, published,
uploaded, posted, transmitted, or distributed in anyway without prior written
permission of Mikrotikls SIA.
You are expressly prohibited from disclosing, publishing, reproducing, or
transmitting any tests and any related information including, without limitation,
questions, answers, worksheets, computations, drawings, diagrams, length or
number of test segments or questions, or any communication, including oral
communication, regarding or related to the tests (known collectively as
“Proprietary Information”), in whole or in part, in any form or by any means, oral
or written, electronic or mechanical, for any purpose.
A disclosure of Proprietary Information by any means in violation of this license
undermines the integrity and security of the MikroTik training programs
Violation of Test Questions license may lead to a temporary or permanent

ban on future MikroTik certification tests and the cancellation of previously
earned MikroTik certifications.

Perkenalan
¢  Perkenalkanlah :
l  Nama Anda :
l  Tempat Bekerja :
l  Kota / Domisili :
l  Apa yang Anda kerjakan sehari-hari dan
fitur-fitur apa yang ada di Mikrotik yang
sudah Anda gunakan.
l  Motivasi mengikuti training.

Static Route & Policy Route
Certified Mikrotik Training Advanced Class (MTCRE)

Outline
¢  Basic Config
¢  Routing Concepts
¢  Routing Parameters
¢  Routing Table
¢  Point to Point Addressing
¢  Check Gateway
¢  SCOPE & Target SCOPE
¢  SRC-Routing
¢  Policy Routing
l  Route – Rules
l  Route – Firewall – Route Mark
Lakukanlah terlebih dahulu!
¢  Ubahlah nama Router System Identity
menjadi :
“XX-NAMA ANDA”
¢  Aktifkan neighbor interface pada WLAN1
¢  Buatlah username baru untuk anda dan
berilah password (group full)
¢  Proteksilah user admin (tanpa password)
hanya bisa diakses dari 10.10.10.30/31
(group full)
¢  Buatlah user “demo” dengan group read

[LAB-1] Identitas Router
¢  Supaya tidak membingungkan, ubahlah nama
router Anda.
¢  Format: xx-NamaAnda

[LAB-2]Neighbor Protocol
Aktifkan Discovery Interface agar router bisa
saling mendeteksi di layer 2 menggunakan
MNDP

[LAB-3] User Configuration
Persiapkan User di
Router mikrotik supaya
siap di semua kegiatan
lab training.

[LAB-4] Konfigurasi Dasar
Internet
WLAN1 WLAN1
WLAN1
10.10.10.1/24 10.10.10.X/24
10.10.10.2/24
ETHER1 ETHER1 ETHER1

192.168.1.1/24 192.168.2.1/24 192.168.X.1/24
ETHERNET PORT ETHERNET PORT ETHERNET PORT

192.168.1.2/24 192.168.2.2/24 192.168.X.2/24
MEJA 1 MEJA 2 MEJA X

IP Configuration
¢  Routerboard Setting
l  WAN IP : 10.10.10.x/24
l  Gateway : 10.10.10.100
l  LAN IP : 192.168.x.1/24
l  DNS : 10.100.100.1
l  Services: Src-NAT and DNS Server
¢  Laptop Setting
l  IP Address : 192.168.x.2/24
l  Gateway : 192.168.x.1
l  DNS : 192.168.x.1

Configuration
¢  Wlan1 SSID : training (WPA=…………….)
¢  Buatlah file backup! Dan simpan file tersebut ke
laptop

Routing
¢  Sebuah metode atau proses untuk meneruskan
paket data dari suatu jaringan ke jaringan lain
yang berbeda segmen (berbeda subnet).
¢  Proses ini dilakukan pada OSI layer 3
(Network).
¢  Pada Mikrotik, fungsi Static Routing sudah
menjadi fitur / fungsi standart dan sudah ada di
paket “System”.

Routing Benefits
¢  Memungkinkan kita melakukan pemantauan dan
pengelolaan jaringan yang lebih baik.
l  Pemisahan jaringan menjadi beberapa subnet sesuai
kebutuhan.
l  Pengembangan jaringan menjadi lebih mudah.
¢  Lebih aman (firewall filtering lebih mudah dan lengkap)
l  Trafik broadcast hanya terkonsentrasi di subnet yang
sama.
¢  Jika diimplementasikan pada jaringan wireless,
dibutuhkan perangkat wireless yang mampu
melakukan full routing, atau bisa juga menambahkan
router di wireless BTS.
¢  Untuk network dengan skala besar, bisa
menggunakan protocol Dynamic Routing (RIP/OSPF/
BGP)
Routing
192.168.1.0/24
192.168.3.0/24
192.168.2.0/24
ROUTER
GATEWAY
WIRELESS
setiap segment jaringan memiliki 192.168.0.0/24

subnet IP address yang berbeda.

Tipe Routing
¢  MikroTik RouterOS tipe routing sbb:
l  dynamic routes
yang akan dibuat secara otomatis:
•  saat menambahkan IP Address pada interface
(Connected Routes)
•  informasi routing yang didapat dari protokol routing
dinamik seperti RIP, OSPF, dan BGP.
l  static routes
adalah informasi routing yang dibuat secara
manual oleh user untuk mengatur ke arah mana
sebuah koneksi akan dilewatkan. Statik default
route adalah salah satu contoh static routes.

Tipe Routing
A: Active
S: Static
A: Active
D: Dynamic
C: Connected Setiap memasang IP disebuah interface, secara
otomatis akan dibuatkan routing DAC untuk
networknya dengan preferred source IP tersebut

Connected Routes
¢  Dibuat secara otomatis setiap kali kita
menambahkan sebuah IP Address pada
interface yang valid (interface yang aktif).
¢  Jika terdapat dua buah IP Address yang satu
subnet pada satu interface yang sama, maka
hanya akan ada 1 connected route.
¢  Jangan menempatkan dua ip address dari
subnet yang sama tetapi diletakkan pada dua
interface yang berbeda, karena akan
membingungkan tabel dan logika routing di
router.
Connected Routes

Static Route
¢  Static Routing digunakan untuk melakukan
pengaturan arah paket data yang akan melalui
router, yaitu dengan menentukan gateway untuk
dst-address yang spesifik.
¢  Dst-address=0.0.0.0/0 sering disebut sebagai
“all destination address” karena ip 0.0.0.0/0 bisa
menggantikan/mewakili semua ip address.
¢  Gateway bisa berupa :
l  IP Address
l  Interface (Interface tertentu seperti : PPTP,
L2TP, PPPoE, SSTP, PPP )

Menambahkan Routing

Static Route
Contoh Implementasi Static Route,

yaitu pemasangan Default Gateway
atau Default Route.

Parameter Dasar Routing
¢  Destination
l  Host address – 222.124.211.23
l  Network address – 202.53.246.0/24
l  Semua Network / Semua Host – 0.0.0.0/0
¢  Gateway
l  IP Address gateway, harus merupakan IP Address yang satu subnet
dengan IP yang terpasang pada salah satu interface

l  Gateway Interface, digunakan apabila IP gateway tidak diketahui atau
bersifat dinamik (hanya bisa menggunakan interface ber-type PPP).

¢  Pref Source
l  source IP address dari paket yang akan meninggalkan router,
Biasanya adalah ip address yang terpasang di interface yang menjadi

gateway (juga digunakan untuk proses NAT-Masquerade).
¢  Distance
l  Parameter Beban untuk mengkalkulasi prioritas pemilihan rule routing
yang akan dijalankan router.

Konsep Dasar Routing
IP Address Gateway harus merupakan IP Address
yang subnetnya sama dengan salah satu IP Address
yang terpasang pada router (connect directly).
¢  Pada interface yang menghubungkan router A
Internet dan B, pada masing-masing router terdapat
lebih dari 1 buah IP Address.
10.10.0.2/24
¢  Default gateway pada router B adalah router A
A ¢  IP Address yang menjadi default gateway
10.10.1.1/24 10.10.2.1/24
router B adalah 10.10.2.1, karena IP Address
10.10.2.2/24 10.10.3.2/24 tersebut berada dalam subnet yang sama
B dengan salah satu IP Address pada router B
10.10.4.1/24
(10.10.2.2/24)
¢  Setting static route default :
10.10.4.2/24
l  Dst-address=0.0.0.0/0 gateway=10.10.2.1
Implementasi Konsep Routing
(DAC) Dst-addr= 10.10.1.0/24 (DAC) Dst-addr= 10.10.2.0/24
pref-source=10.10.1.2 pref-source=10.10.2.2
(DAC) Dst-addr= 10.10.2.0/24 (DAC) Dst-addr= 10.10.3.0/24
Internet pref-source=10.10.2.1 pref-source=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1
10.10.0.1/24 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2
10.10.0.2/24
10.10.2.2/24
10.10.1.1/24 10.10.1.2/24 10.10.2.1/24
10.10.3.1/24
(DAC) Dst-addr= 10.10.0.0/24

pref-source=10.10.0.2
(DAC) Dst-addr= 10.10.1.0/24 10.10.3.2/24
pref-source=10.10.1.1 (DAC) Dst-addr= 10.10.3.0/24
pref-source=10.10.3.2
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2

Konsep Dasar Routing
Untuk pemilihan routing, router akan memilih
berdasarkan:
l  Rule routing yang paling spesifik dst-address
nya menyesuaikan dengan tujuan paket
•  Contoh: destination 192.168.0.128/26 lebih spesific
dari 192.168.0.0/24 jika tujuan paket menuju ke
host ip 192.168.0.130
l  Distance
•  Router akan memilih yang distance nya paling kecil
l  Round robin (random)

Distance
Merupakan salah satu parameter yang digunakan
untuk pemilihan (prioritas) rule routing, nilainya
(0-255) secara default tergantung protocol routing
yang digunakan:
l  Connected routes : 0
l  Static Routes :1
l  eBGP : 20
l  OSPF : 110
l  RIP : 120 Note:
MME : 130
l 
Distance=255
iBGP : 200
l 
berarti “rejected”
Contoh Pemilihan
Untuk koneksi dengan destination 192.168.0.9,
manakah urutan prioritas rule yang digunakan ?
DESTINATION DISTANCE GATEWAY
192.168.0.0/24 1 10.10.1.1 2
192.168.0.0/27 2 10.10.2.1 1
192.168.0.0/29 4 10.10.3.1
192.168.0.0/24 5 10.10.4.1 3
0.0.0.0/0 1 10.10.10.100 4

Routing Table
¢  Routing Table dibuat oleh router untuk
memetakan jaringan yang ada di sekitar
perangkat router tersebut.
¢  Routing Table terdiri dari 2 bagian :
l  RIB – Routing Information Base
l  FIB – Forwarding Information Base

Routing Information Base
Connected
Routes
Static
Routes
All Output
OSPF Routes Filters OSPF
RIP
+ RIP
Protocol’s Input Actives Route

MME Routes Filters Routes Selection MME
BGP - BGP
Instance 1 Instance 1
Discard
Instance 2 Instance 2
Instance n Instance n

Berisi informasi routing yang lengkap, yang terdiri
dari:
l  Static routes dan Policy Routing Rules
l  Informasi routing dari Dynamic Routing Protocol
(RIP, OSPF, BGP, etc)
l  Informasi Connected Routes

Digunakan untuk:
l  Memfilter informasi routing
l  Mengkalkulasi best route untuk masing-masing
dst-address/prefix
l  Membuat dan mengupdate Forwarding
Information Base (FIB)
l  Mendistribusikan informasi routing ke routing
protokol lainnya

Forwarding Information Base
¢  FIB merupakan tabel yang digunakan untuk
menentukan forwarding packet.
¢  Tabel ini berisi : FIB
l  Active route Routing Tables Rules
Main
l  Policy Routing Rules Connected
Routes
Implicit
Active
Routes
User
Defined
Catch All

•  FIB akan melihat melihat parameter berikut untuk
menentukan routing:
•  Source Address
•  Destination Address
•  Source Interface
•  Routing Mark
•  ToS
•  Kemungkinan decision routingnya meliputi :

•  Paket di tujukan untuk ke router / local delivery
•  Paket di discard
•  Paket di tujukan ke sebuah alamat melalui
•  IP address gateway + interface
•  PPP interface
•  Paket di blok dengan metode
•  ICMP prohibited
•  ICMP host unreachable
•  ICMP network unreachable
+
-
Cache FIB
•  Hasil penentuan routing akan disimpan

kedalam route cache untuk mempercepat
proses forwarding paket-paket berikutnya
•  Jika paket yang memiliki parameter src-
address, dst-address, src-interface, routing
mark dan tos sama, maka router cukup
melihat dari route cache
Point to Point Addressing
Adalah sistem pengalamatan IP Address
untuk dua buah perangkat yang terkoneksi
langsung, menggunakan dua buah IP
Address /32
Router 1 Router 2
172.16.0.X1/32 IP Address 172.16.0.X2/32
172.16.0.X2 Network Address 172.16.0.X1
[kosongkan] Broadcast Address [kosongkan]
ether2 Interface ether2

[LAB-5] P2P Addressing
¢  Hubungkanlah ether2 di router dengan ether2 router rekan
semeja menggunakan kabel ethernet.
¢  Buatlah P2P Addressing dan lakukanlah static route untuk
kedua network laptop melalui ether
¢  Test koneksi dengan ping antar router & test ping antar laptop
Internet
Router Meja X Router Meja X
172.16.0.X1/32 172.16.0.X2/32
Ether2 Ether2
192.168.X.2 192.168.X.2

Contoh: P2P Addressing
Router Meja 1
Router Meja 2

[LAB-5] P2P Addressing
Router Meja 1 Router Meja 2

Check Gateway
¢  Adalah sebuah mekanisme pengecekan
gateway yang dilakukan oleh router mikrotik.
¢  Dikirimkan setiap 10 detik, menggunakan ARP
request atau ICMP ping.
¢  Dianggap “Gateway time-out” jika tidak
menerima respon dalam 10 detik dari mesin
Gateway.
¢  Gateway dianggap “unreachable” jika terjadi 2
kali Gateway timeout berurutan dan tidak akan
digunakan didalam pemilihan jalur routing
¢  Jika mengaktifkan fitur check gateway untuk
sebuah rule, maka akan berpengaruh juga untuk
semua rule lain dengan gateway yang sama.
Check Gateway Option

Backup Gateway
¢  Didalam impelementasi, memungkinkan
untuk menuju ke sebuah network melalui 2
gateway atau lebih yang berbeda.
¢  Dengan bantuan parameter distance dan
check-gateway di routing, kita bisa
menentukan gateway yang akan digunakan
sebagai link Utama ataupun Backup

[LAB-6] Backup Gateway
¢  Tambahkan routing link backup untuk ke
network laptop teman sebelah melalui
wireless
¢  Atur distance link backup lebih besar
¢  Aktifkan check gateway di link utama
(ether2)
¢  Test dengan traceroute apabila IP ether2 di
salah satu router di disable

[LAB-6] Backup Gateway
Router Meja 2
Router Meja 1

Quiz !
Terdapat kofigurasi
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.100,10.10.10.101
distance=1
add dst-address=192.168.1.0/28 gateway=10.10.10.100 check-
gateway=ping distance=2
add dst-address=192.168.2.0/28 gateway=10.10.10.101 check-
gateway=ping distance=2
Untuk trafik yang menuju ke 192.168.2.20 akan melewati

gateway?
Untuk trafik yang menuju ke 192.168.1.14 akan melewati
gateway?
Apabila gateway 10.10.10.100 putus? Bagaimana yang
terjadi?

Block using Routing
¢  Kita bisa melakukan blok untuk dst-address tertentu
menggunakan static route :
l  Blackhole
•  Memblok dengan diam-diam
l  Prohibit
•  Memblok dan mengirimkan pesan error ICMP
“administratively prohibited” (type 3 code 13)

l  Unreachable
•  Memblok dan mengirimkan pesan error ICMP
“host unreachable” (type 3 code 1)

¢  Ketiga tipe di atas tidak membutuhkan IP Address
gateway.

Gateway Interface
¢  Nilai parameter "gateway" selain diisi dengan
IP Address dari router depannya (nexthop)
bisa juga diisikan dengan interface
¢  Interface yang bisa digunakan adalah PPP
interface :
l  pptp
l  l2tp
l  sstp
l  ppp
l  openvpn

[LAB-7] Gateway Interface
10.10.10.99 Internet
PPTP backup
10.10.10.100
Internet

[LAB-7] Gateway Interface
¢  Aktifkan PPTP Client ke server, dengan parameter
l  PPTP
•  username : pptp-x
•  password : x
•  server address : 10.10.10.99
¢  Aktfikan NAT Masquerade untuk interface PPTP
¢  Main gateway melalui 10.10.10.100, backup
gateway melalui PPTP
¢  Coba lakukan traceroute
¢  Ketika ada link yang putus dari router utama ke
internet, apa yang terjadi?

[LAB-7] Gateway Interfaces

Check Gateway note!!
¢  Mekanisme Check gateway yang kita gunakan
hanya bisa mendeteksi problem koneksi pada
nexthop (gateway) terdekat.
¢  Jika problem terjadi setelah gateway terdekat

(nexthop), check gateway tidak bisa
mendeteksinya.
¢  Untuk mendeteksi problem koneksi yang

terjadi setelah gateway terdekat, bisa
digunakan teknik scope/target scope.

Scope dan Target Scope
¢  Digunakan untuk menentukan gateway / nexthop
yang dibuat recursive (tidak terkoneksi langsung).
¢  Target Scope adalah nilai scope maksimum dari
rule lainnya yang reachable.
¢  Kegunaan:
l  Bisa melakukan pemantauan check gateway ping
untuk gateway yang tidak terhubung langsung
l  Dikombinasikan dengan dynamic routing (misalnya :
iBGP) bila nexthop tidak direct connected
¢  Proses nexthop lookup ini dilakukan hanya di tabel
Main Routing dan untuk gateway yang tipenya
interface akan diabaikan.

Nilai default scope dan target scope:

Contoh: dst-address 0.0.0.0/0 dengan gateway
117.20.50.233, recursive via 10.10.10.100
Internet
10.10.10.100/24
10.10.10.1/24 117.20.50.233
Dst-Address Gateway Scope Target Scope

0.0.0.0/0 117.20.50.233 30 30
117.20.50.233 10.10.10.100 30 10

[LAB-8]Recursive Gateway
¢  Atur agar router bisa mendeteksi jika link ke
mikrotik.co.id terputus, maka trafik dialihkan
via pptp
¢  Evaluasi kembali link utamanya

[LAB-8] Recursive Gateway
1 2
Target scope lebih besar atau sama dengan scope

Load Balance
¢  Metode yang digunakan untuk menyebar
trafik ke beberapa jalur / gateway supaya
penggunaan kapasitas link lebih baik
Metode Per Connection Per Packet
ECMP YES NO
NTH YES** YES
PCC YES NO
Policy Based Route YES NO
BONDING NO YES
RIP , OSPF, BGP YES NO

ECMP
¢  Equal Cost Multi Path, merupakan mekanisme router paling
sederhana pada router untuk meneruskan paket ke banyak
gateway secara adil dalam sebuah tujuan yang sama
¢  Per Connection Based, artinya, untuk koneksi yang memiliki
kombinasi src & dst address yang sama, akan tetap
menggunakan gateway sama, ketika ada kombinasi src & dst
address berbeda, maka koneksi baru tersebut dilewatkan ke
gateway lain
¢  Bisa dibuat dengan cara :
l  Menambahkan static route dengan banyak gateway dalam
sebuah rule
l  Dynamic route : OSPF dan RIP
¢  Apabila bandwidth asimetrik, jumlah gateway bisa

ditambahkan sesuai proporsionalnya
¢  Apabila ada salah satu gateway yang unreachable, maka
trafik akan dialihkan ke gateway lain yang masih reachable

[LAB-9] ECMP
10.10.10.99
PPTP
Internet
10.10.10.100
SSTP
10.100.100.1

[LAB-9] ECMP
¢  Dari [LAB-7], aktifkan sstp-client dengan
parameter :
l  user : sstp-x
l  password : x
l  server address : 10.100.100.1
l  Aktifkan masquerade untuk interface sstp
¢  rubah default route menggunakan metode
ECMP
¢  Lakukan traceroute ke dua atau lebih host
di internet dan amati hasil traceroutenya

[LAB-9] ECMP

Policy Based Route
¢  Secara default, router akan menggunakan
table routing “main”
¢  Kita bisa membuat table routing tambahan
dan mengarahkan router menggunakan
table tersebut dengan menggunakan:
l  IP - Route – Rules
l  IP - Firewall - Mangle – Route-mark

Policy Route Rules
¢  Route rule digunakan
untuk menspesifikan
trafik yang akan kita atur
routingnya
¢  Route rules hanya dapat
melakukan decision
berdasarkan src-
address, dst-address,
routing-mark, dan
interface.
¢  Untuk parameter yang
lebih detail, gunakanlah
mangle.

Policy Route Rules
¢  Route rule akan dibaca sebelum membaca table main
¢  Apabila ada trafik dengan parameter yang sesuai, maka action
pada route rules akan diterapkan
¢  Jika tidak ada parameter yang sesuai pada route rules, maka
router akan membaca table main
¢  Urutan route rules akan berpengaruh
¢  Action pada route rules :

l  drop & unreachable : di blok
l  lookup : mencari gateway di tabel khusus yang ditentukan,
jika tidak ada, maka router akan membaca table main

l  lookup only in table : hanya mencari gateway di tabel khusus
yang ditentukan, tidak akan membaca table main

Policy Route Rules
Rule ini berarti semua trafik yang tujuannya ke 202.65.113.16, router

akan mencari gatewaynya di tabel "jalur-khusus"

Routing Table
table main
tabel "jalur-khusus"
Trafik yang menuju 202.65.113.16 terkena rule lookup di "jalur khusus", maka
diteruskan melalui sstp-out1 (0.0.0.0/0 sstp-out1), bukan melalui pptp-out1
pada table main

[LAB-10] Route Rules
10.10.10.99
PPTP
Internet
10.10.10.100
SSTP
10.100.100.1

¢  Arahkan default gateway kembali ke
10.10.10.100
¢  Buat route rules, untuk perangkat yang
menggunakan IP 192.168.x.10, ke internet
melalui PPTP
¢  Buat route rules, untuk perangkat yang
menggunakan IP 192.168.x.20, ke internet
melalui SSTP
¢  Rubah laptop menggunakan IP 192.168.x.10
dan 192.168.x.20, lakukan traceroute ke
internet



Mangle Route Mark
¢  Jika didalam route rules, parameter dirasa kurang
memenuhi kebutuhan kita, kita bisa membuat custom
rule menggunakan bantuan fitur Firewall Mangle
¢  Yang perlu diset adalah :
l  chain :
•  prerouting : untuk trafik dari luar atau dari client)
•  output : untuk trafik dari router yang akan keluar
l  action : mark routing
•  mark-routing berfungsi sama dengan action=lookup pada route
rules
l  new-routing-mark : nama table yang digunakan untuk
lookup
¢  Didalam sebuah paket data, hanya bisa memiliki 1
mark-packet
Route Mark

[LAB-11] Route Mark
10.10.10.99
PPTP
Internet
10.10.10.100
SSTP
10.100.100.1
PPTP : Browsing, HTTPS, dan DNS
SSTP : Traceroute dan Ping (iCMP)

[LAB-10] Route Mark

[LAB-10] Route Mark (2)

[LAB-11] Route Mark (3)

Pref-source
¢  By default: null, kecuali untuk connected routes
¢  Fungsi :
l  IP Address asal untuk paket data yang berasal dari
router
l  IP Address src-address-to untuk paket data yang
terkena action NAT – masquerade
¢  Jika tidak ditentukan, secara otomatis akan menggunakan
salah satu IP Address yang ada pada output interface
¢  Jika isian pref-src adalah IP Address yang tidak terpasang
pada router, rule ini akan non-aktif.

Source Routing
¢  Source Routing adalah sebuah teknik routing
yang memungkinkan Administrator jaringan
menentukan jalur routing balik / incoming
yang akan dilalui oleh paket data.
¢  Perlu diingat bahwa parameter “dst-address”
pada paket header akan selalu diperiksa oleh
router yang dilewatinya untuk menentukan hop
selanjutnya.
¢  Dengan memodifikasi Pref-Source Maka jalur
routing balik bisa dimanipulasi sesuai keinginan
administrator.

[LAB-12] Pref-Source
Uplink : 1Mbps
10.10.10.99
Downlink : 1Mbps
PPTP
Internet
10.10.10.100
SSTP
Uplink : 512kbps
Downlink : 10Mbps
10.100.100.1

IP dari interface downlink

Pengaturan NAT untuk trafik client

Static Route Setting

Quiz !
¢  Bagaimana jika ingin mendeteksi jalur
gateway yang putus di >10 hop di depan
router anda ?
¢  Dengan menggunakan metode scope dan
target scope kita tidak lagi memerlukan ip
gateway dari isp. (Benar / Salah)
¢  Kita bisa mengganti Pref-Source
menggunakan ip public dari Router lain
yang masih dalam satu jaringan yang
sama. (Benar/Salah)
Tunnel

Tunnel
¢  Tunnel adalah sebuah metode penyelubungan
(encapsulation) paket data di jaringan TCP/IP, yang biasanya
digunakan untuk mensimulasikan koneksi fisik antara dua
network melewati jaringan lain (WAN/Internet).
¢  Paket data dari aktifitas transfer data di kedua network

mengalami sedikit pengubahan atau modifikasi. Yaitu
penambahan header dari tunnel di tiap paket data dari traffic
yang terjadi di kedua network tersebut. Walupun ada
pengubahan pada paket data informasi paket yang asli tetap
disertakan (RFC 2003 compliant ).
¢  Ketika data sudah melewati tunnel dan sampai di tujuan

(ujung) tunnel, maka header dari paket data akan
dikembalikan seperti semula (header tunnel dihilangkan).

Tunnel Network
WAN
Point 1 tunnel Point 2
1.1.1.1 1.1.1.2
R1 R2
IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24
Point to point network encapsulation

VPN Networks
Merupakan sebuah jaringan virtual yang dibangun diatas
jaringan yang sudah ada
File Server Aplication Server Aplication Server File Server
Client 1
Server
Office 1 Router Router
Office 2
PC PC WAN PC PC
VPN Networks
File Server
Client 2 Router
Office 3
Mobile Mobile
Client 2 Client 1 PC PC PC PC

Tunnel & VPN
¢  Tunnel
l  IPIP – IP Tunnel
l  EoIP – Ethernet Over IP
l  VLAN – Virtual Lan
l  Gre Tunnel
¢  VPN
l  PPPoE – Point To Point Protocol Over Ethernet
l  PPTP – Point To Point Tunnel Protocol
l  L2TP – Leyer 2 Tunnel Protocol
l  OpenVPN – Open Virtual Private Network
l  IPSec – IP Security
l  SSTP – Secure Socket Tunnel Protocol
IPIP Tunnel
¢  IPIP atau IP Tunnel adalah salah satu protocol tunnel
yang paling sederhana dan ringan yang mampu
menghubungkan dua router melewati jaringan TCP/IP.
¢  IPIP Tunnel bisa dibuat di menu Interface dan dianggap
sebagai interface (fisik tetapi virtual) yang independen.
¢  Sudah banyak type router support protocol ini seperti
CISCO dan Linux.
¢  IPIP Tunnel bisa digunakan untuk :
l  Routing antar local network melewati jaringan internet
l  Digunakan untuk menggantikan Source Routing
¢  Interface IPIP tunnel tidak bisa dimasukkan dalam
bridge network (bridge port).

IPIP Packet Header
¢  Test packet sniffer dilakukan untuk mengetahui besar packet

header yang digunakan oleh protocol tunnel IPIP.
¢  Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte pada tiap
packet headernya di setiap paket data yang lewat.
¢  Paket header standardnya adalah 20byte.
¢  (GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22
(Encap Header)
IPIP Example Internet
¢  Salah satu pengaplikasiannya adalah pada

kondisi sebuah network hanya memiliki Uplink ISP
koneksi VSAT DVB downlink only provider
dan uplink provider yang tidak mengijinkan ip
ISP lain yang melewati networknya.
DVB Provider
Sattelite
IPIP Tunnel
¢  Maka kita bisa membuat sebuah IPIP tunnel

untuk mensimulasi koneksi kabel independen
ke DVB provider.
Our Router
¢  Sehingga traffic uplink melewati Uplink ISP
dan traffic downlink melewati DVB.

IPIP Configuration

IPIP Configuration
¢  Parameter Local Address adalah parameter untuk ip

local router yang digunakan untuk membangun koneksi
IPIP tunnel.
¢  Sedangkan Remote Address adalah parameter dari ip
address router lawan.
[LAB-1] IPIP Tunnels
IPIP1 Address : IPIP1 Address :
192.168.200.1/30 192.168.200.2/30
10.10.10.30/24 10.10.10.100/24 10.10.10.31/24
¢  IPIP Tunnel melewati jaringan WAN.

¢  Tambahkan ip address untuk menghubungkan kedua
interface tunnel.
¢  Tambahkan rule static routing untuk menghubungkan
kedua local network dari masing-masing router.

ROUTER A
ROUTER B

192.168.200.1/30 192.168.200.2/30
10.10.10.30/24 10.10.10.100/24 10.10.10.31/24
¢  /interface ipip add name=ipip1 local- ¢  /interface ipip add name=ipip1 local-
address=10.10.10.30 remote- address=10.10.10.31 remote-
address=10.10.10.31 address=10.10.10.30
¢  /ip address add ¢  /ip address add
address=192.168.200.1/30 address=192.168.200.2/30
interface=ipip1 interface=ipip1

[LAB-1] Routing over Tunnel
192.168.200.1/30 192.168.200.2/30
Meja 1 Meja 2
192.168.1.1/24 10.10.10.100/24 192.168.2.1/24
¢  Static route untuk menghubungkan kedua local network

menggunakan tunnel IPIP.
¢  Routing di Router1 :
l  /ip route add dst-address=192.168.2.0/24
gateway=192.168.200.2
¢  Routing di Router2 :
l  /ip route add dst-address=192.168.1.0/24
gateway=192.168.200.1
EoIP Tunnel
¢  Adalah protocol pada Mikrotik RouterOS yang
membangun sebuah Network Tunnel antar mikrotik
router di atas sebuah koneksi TCP/IP.
¢  Interface EoIP dianggap sebagai sebuah Interface
Ethernet.
¢  Jika Bridge mode diberlakukan pada EoIP tunnel
maka semua protocol yang berbasis ethernet akan
dapat berjalan di Bridge tersebut (Dianggap seperti
hardware interface ethernet yang di bridge).
¢  Hanya dapat dibuat di Mikrotik RouterOS.
¢  Menggunakan Protocol GRE (RFC1701).

EoIP Tunnel (2)
¢  EoIP biasa digunakan untuk :
l  Membuat jaringan bridge diatas jalur internet
l  Membuat jaringan bridge diatas tunnel yang
terenkripsi
l  Membuat jaringan bridge diatas jaringan
wireless
¢  Dalam penggunaan EoIP tunnel akan terjadi

penambahan header sebesar 42byte (8 byte
GRE + 14 byte PPP + 20 byte IP)

EoIP Example
Internet
City A City B
10.0.0.1 10.10.10.2
EoIP
192.168.0.13
192.168.0.3
192.168.0.12 192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
EoIP Config

[LAB-2] EoIP over Wireless
R1 R2
Tunnel-id=100
192.168.y.1/24 192.168.y.2/24
Internet
Tunnel-id=200 Tunnel-id=300
R3 R4
192.168.y.3/24 192.168.y.4/24

Virtual LAN (VLAN) 1
¢  VLAN adalah sebuah logical group
(pengelompokan) yang memungkinkan user untuk
berkomunikasi dengan user yang memiiki group
sama tetapi terisolasi dari user lain yang berbeda
group walaupun sebenarnya user-user ini masih
terhubung secara fisik.
¢  Dengan menggunakan protocol Vlan Router dapat

meningkatkan security dan management yang
berbeda terhadap jaringan walaupun masih ada
sharing media fisik.
¢  Bekerja di layer DataLink

Virtual LAN (VLAN) 2
¢  VLAN di Mikrotik RouterOS merupakan
implementasi dari standarisasi 802.1Q.
¢  Dengan menggunakan metode VLAN ini Mikrotik
RouterOS memungkinkan membangun beberapa
Virtual LAN untuk memisahkan jaringan (group) di
sebuah interface ethernet atau interface
wireless.
¢  Mikrotik RouterOS secara teoritis mampu
membangun 4095 Interface Vlan di sebuah
Interface ethernet, banyak router termasuk CISCO,
Linux dan Layer2 Switch yang sudah mendukung
protocol ini.

VLAN Configuration

VLAN on Mikrotik

Mikrotik Vlan on Manageable Switch
Vlan 1
TRUNK ACCESS
Vlan 2 Vlan 1
Vlan pada Mikrotik bisa bekerja

sama dengan switch manageable
Vlan 2
yang mampu mengimplementasikan
standarisasi 802.1q.

Mikrotik Vlan on Manageable Switch
Port 4 – mode Access Vlan 3

Manageable Switch

Ether 2
Port 1 Vlan 1
Mode Trunk Vlan 2
Vlan 3
Vlan Implementation using RB250GS
Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36

Mikrotik Vlan on CISCO Switch

[LAB-3] Mikrotik Vlan Trunking
R2 VLAN over EoIP R3
Internet ether2
ether2
ether1
ether1
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN100
VLAN200
ether3 ether3
192.168.2.3/24 192.168.2.4/24

[LAB-] Create VLAN Interface
R2 + R3
Membangun vlan interface memanfaatkan EoIP Tunnel

[LAB-4] VLAN Bridge
R2 + R3

[LAB-4]VLAN Distribution
R1 & R4

VLAN on Switch Chip
¢  Di beberapa perangkat routerboard, ada yang memiliki
komponen switch chip.
¢  Dengan menggunakan switch chip ini, kita bisa
memfungsikan port ethernet kita layaknya switch
manageable.
¢  Selain itu processing paket data juga lebih cepat tanpa
perlu membebani CPU router kita.
¢  Routerboard menggunakan beberapa seri Switch Chip
yang berbeda, kemampuannya pun bervariasi.

Switch Chip
Type Switch Chip di routerboard bisa langsung diidentifikasi di

menu “Switch”.

Port Switching
¢  Untuk mengaktifkan router kita berfungsi sebagai
switch, kita tinggal menentukan parameter “master-
port” di interface ethernetnya.
¢  Interface Ethernet yang sudah dimasukkan ke
dalam switch group disebut dengan “Slave Port”
tanda “S” di Interface.
¢  Interface ethernet yang menjadi Slave Port seakan-
akan menjadi tidak aktif dan tidak ada traffic yang
melewatinya
¢  Master port berfungsi menjembatani antara port-
port “switch group” dengan router

Port Switching (2)

Port Switching (3)

Diagram Logic
Routerboard
firewall, bridging, qos, routing dsb

software level
Wire speed switching

Hardware Level
1 2 3 4 5

Port Mirroring
¢  Kita bisa mengcopy trafik yang berlangsung dari

satu port ke port lain, selama masih dalam satu
switch
¢  Monitoring Purpose !!!
VLAN mode
¢  Switch chip di routerboard juga bisa digunakan untuk implementasi
forwarding packet yang menggunakan vlan (802.1q)
¢  Policy mode yang bisa kita gunakan untuk vlan switch
l  disabled - vlan table tidak dibaca, semua paket dengan vlan
dianggap tidak menggunakan vlan tag

l  fallback - Paket yang tagnya tidak ada di tabel tetap diproses seperti
paket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel,
tetapi port incoming tidak cocok di vlan table tidak didrop
l  check - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipun
port incomingnya tidak sesuai tidak akan didrop
l  secure - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Selain itu jika port incomingnya tidak cocok dengan yang di
table, juga akan didrop
¢  Semua paket yang tidak menggunakan vlan-id, dianggap
menggunakan vlan-id 0

VLAN Header
Kita bisa memodifikasi header dari paket yang akan keluar

dari interface dengan pilihan :
•  Leave-as-is : header paket tidak dirubah
•  Add-if-missing : jika tidak ada vlan header , maka akan
ditambahkan vlan headernya
•  Always-strip : vlan header yang ada di paket akan dihilangkan
VLAN Tabel
Didalam tabel ini kita bisa menentukan port-port

interface yang akan menggunakan vlan

[LAB-5] Vlan Switch
R2 VLAN over EoIP R3
Internet ether2
ether2
ether1
ether1
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN100
VLAN200
ether3 ether3
192.168.2.3/24 192.168.2.4/24

[LAB-5] Interface Switch
R1 + R4

[LAB-5] VLAN Table

[LAB-5] VLAN Port
Trunk Port Access Port

[LAB-6] VLAN over VLAN
R2 VLAN over VLAN R3
ether3 VLAN1 ether3

ether2 ether2
ether1
ether1
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN1
VLAN100
VLAN200
ether3 ether3
192.168.2.3/24 192.168.2.4/24

[LAB-6] VLAN Config
R2 + R3

[LAB-6] VLAN Config

[LAB-6] VLAN Interface

L2TP (1)
¢  Layer 2 Tunneling Protocol (L2TP)
pengembangan dari kerjasama Cisco
dengan Microsoft yang menggabungkan
fitur dari PPTP dan Layer 2 Forwarding
(L2F) protocol.
¢  L2TP dapat diimplementasikan pada
jaringan non-TCP/IP clients, seperti
Contoh: Frame Relay dan ATM).
¢  L2TP tidak memiliki mekanisme enkripsi,
biasanya menggunakan protocol enkripsi
lain yang lewat didalam tunnelnya

L2TP (2)
¢  L2TP menggunakan UDP (port 1701)
sehingga pengiriman paketnya lebih cepat.
Sayangnya tidak reliable karena tidak ada
mekanisme pengiriman ulang paket yang
hilang/rusak.
¢  L2TP lebih “firewall friendly” dibandingkan
PPTP — suatu Keuntungan besar jika
menggunakan protocol ini, karena
kebanyakan Firewall tidak mensupport
GRE.
L2TP Configuration - Client
Encription Option – MPPE 128Bit
Akan menyesuaikan Server

L2TP Configuration - Server
Encription Option – MPPE 128Bit

[LAB-2] Routing over L2TP
Internet
City A City B
L2TP
192.168.1.1 192.168.2.1
192.168.2.2
192.168.1.2 Communication over L2TP
Dari lab IPIP sebelumnya, silahkan rubah routingnya

menggunakan L2TP antar teman.

L2TP Security
¢  L2TP secara default bisa menggunakan
MPPE 128Bit sama seperti yang digunakan
pada PPTP.
¢  Karena MPPE dirasa kurang aman maka
L2TP dikembangkan untuk bisa
digabungkan dengan protocol security yang
lain yaitu IPSec.

SSTP Overview
¢  Secure Socket Tunneling Protocol (SSTP) adalah
salah satu metode VPN yang membuat tunnel
PPP melalui SSL Channel pada protocol HTTPS.
¢  Kelebihan membuat tunnel diatas protocol HTTPS
adalah bisa melewati hampir semua firewall dan
proxy server.
¢  Selain itu SSL juga digunakan untuk security level
transport (layer4) dengan meningkatkan key
negotiation, enkripsi serta integrity checking.
¢  SSTP baik client ataupun server bisa diterapkan di
Mikrotik.
l  Catatan : SSTP mulai ada di OS Windows vista sp1

SSTP Process
Open TCP Connection (TCP:443)
SSL Negotiation
SSTP over HTTPS
authentikasi PPP & IP Request
Communication data over SSTP

SSTP Security
¢  Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan
di SSTP.
¢  Disisi client, server akan diverifikasi berdasarkan sertifikat
yang dimiliki server dan menentukan metode enkripsi yang
akan digunakan.
¢  Client juga akan menggenerate SSL session key dan
mengenkripsinya dengan publik key dari server.
¢  Server bisa mendecrypt session key tersebut menggunakan
private key yang dimilikinya.
¢  Semua komunikasi client server akan dienkripsi berdasarkan
SSL session key tersebut.
¢  Jika client dan server menggunakan Mikrotik, SSTP bisa
dibentuk tanpa menggunakan sertifikat.
¢  Disisi server, authentikasi hanya dilakukan berdasarkan
username dan password di protocol PPP.

SSL Certificate
¢  SSL sertifikat bisa dibuat sendiri, dan untuk
verifikasinya bisa menggunakan layanan
berbayar (Signed Certificate) ataupun
diverifikasi sendiri (Self Signed Certificate).
¢  Verifikasi ini menggunakan CA (Certificate
Authority).
¢  Jika menggunakan Self Signed Certificate,
maka CA certificate harus diimport ke client.
¢  Sertifikat bisa kita generate menggunakan
aplikasi “openssl”.

CA Certificate Setup (1)

CA Certificate Setup (2)

Server Certificate Setup (1)



Client Certificate Setup (1)



SSL Certificate (2)
Server Side
Untuk keamanan, jangan mengupload CA private key
Client Side

SSL Certificate (3)

SSTP Server Setup (1)

SSTP Server Setup (2)
¢  SSTP Server bisa diatur dengan beberapa
metode :
l  Certificate : None, apabila client juga sama-sama
MikrotikOS
•  (Unsecure, PPP security only)
l  Certificate : [Server Cert], apabila client
MikrotikOS dan Windows (more secure)
¢  Untuk meningkatkan keamanan, aktifkan option
“Verify-Client-Certificate” :
l  CA harus diimport disisi server
l  Client harus menggunakan certificate

SSTP Client Setup (1)

SSTP Client Setup (2)
¢  Jika sisi server diaktifkan “Verify-Client-
Certificate”, maka sisi client juga harus
dipasang certificate yang masih dalam 1 chain.
¢  Option “Verify-Server-Certificate” digunakan
untuk mengecek apakah sertifikat server masih
dalam 1 CA yang ada di client.
¢  Option “Verifiy-Server-Address” digunakan
untuk mengecek apakah IP / domain dari server
valid/sesuai dengan isi dari sertifikat.

[LAB 3] SSTP Network
Internet
mobile client 10.10.10.x

10.20.20.x
10.10.10.100
SSTP server
Local Remote Office
Local Main Office

SSTP Note
¢  Untuk penggunaan sertifikat, pastikan clock
server dan client benar à sync NTP.
¢  Windows Client, import CA ke trusted
certificate.
¢  Disable “Verify-Client-Certificate” jika clientnya
Windows.

OSPF
(Mikrotik Certified Training Partner
Outline
¢  About OSPF
l  Autonomous System
¢  Basic LAB OSPF
¢  OSPF Neighbour
l  LSP & Instance
¢  OSPF Router Type
¢  OSPF Routing Type
l  Cost & Matric
¢  OSPF Area Type
l  Tipe LSA & Virtual Link
¢  Routing Filter
19-Jul-17
Autonomous System
Area 0 Area 1
AS
Area 2 Area 3
Autonomous System (AS) adalah sebuah gabungan dari beberapa jaringan

yang sifatnya routing dan memiliki kesamaan metode serta policy pengaturan
network, yang semuanya dapat dikendalikan oleh network administrator.
19-Jul-17
Background 1
¢  Karena sebuah Autonomous System (AS)
memiliki skala jaringan yang sangat besar
maka penggunaan routing menjadi sangat
penting dan kritis.
¢  Informasi routing haruslah tepat dan
kesalahan melakukan distribusi informasi

routing harus diminimalisasi sedikit mungkin.
¢  Sangatlah tidak nyaman jika harus
menuliskan rule routing untuk puluhan

bahkan ratusan router secara static.
19-Jul-17
Background 2
¢  OSPF merupakan sebuah routing protokol
yang dapat mendistribusikan informasi
routing secara otomatis.
¢  OSPF juga merupakan routing protokol yang
menggunakan konsep hirarki routing,

dengan kata lain OSPF juga mampu
membagi-bagi jaringan menjadi beberapa
tingkatan. Tingkatan-tingkatan ini
diwujudkan dengan menggunakan sistem
pengelompokan yaitu area.
19-Jul-17
OSPF ?
¢  Open Shortest Path First (OSPF) adalah sebuah
protocol routing otomatis (Dynamic Routing) yang
mampu menjaga, mengatur dan mendistribusikan
informasi routing antar network mengikuti setiap
perubahan jaringan secara dinamis.
¢  OSPF termasuk di dalam kategori IGP (Interior
Gateway Protocol) yang memiliki kemampuan
Link-state dan Algoritma Dijkstra yang jauh lebih
efisien dibandingkan protocol IGP yang lain.
¢  Menggunakan protocol tersendiri yaitu protocol 89.
¢  OSPF digunakan untuk management informasi dan
distribusi routing di dalam sebuah AS.
19-Jul-17
OSPF Feature
OSPF (IPv4 RFC 2838 )
l  Dynamic routing
l  Interior Gateway Protocol (IGP) didalam
sebuah routing domain (AS)
l  Proses convergence yang cepat
l  Link State / Shortest Path Technology
l  Route Authentication
l  Mendukung sistem pembagian Area
l  Mendukung Fail Over
19-Jul-17
[LAB-1] Konfigurasi OSPF
ASBR Internet
Router Gateway
Backbone Area
10.10.10.1/24 10.10.10.x/24
10.10.10.2/24
192.168.1.1/24 192.168.2.1/24 192.168.x.1/24
MEJA 1 MEJA 2 MEJA X

[LAB-1] OSPF Network
¢  Tambahkan Network
yang ingin
dihubungkan ke area
Backbone untuk saling
ditukarkan dengan
router yang lain.
¢  Amati tabel neighbor

router masing-masing
dan neighbor router.
19-Jul-17
[LAB-1] OSPF Neighbor
Tabel neighbor akan berisi informasi mengenai

router-router yang berada dalam 1 area OSPF
beserta kondisi/statusnya
19-Jul-17
OSPF – Neighbor Discovery
¢  OSPF mampu malakukan Pencarian neighbor router
secara otomatis
l  Yaitu Discovery Router yang juga mengaktifkan OSPF
dalam satu area

l  Menggunakan Hello Packet
¢  Sebuah router bisa terdaftar didalam list neighbor

router yang lain apabila :
l  Interface router tersebut berada dalam area (Area-ID)
yang sama
l  Interface router tersebut harus dalam subnet dan
network mask yang sama , kecuali network typenya
diset point to point
l  Authentikasi, Hello dan Dead Interval HARUS SAMA
19-Jul-17
OSPF – Discovery Process
R1 LSAck
LSU
LSR R2
HelloDD
Packet
LSAck
LSR
LSU
Neighbor State Neighbor State

1 DOWN 1 DOWN
2 R1 INIT
3 R2 2-WAY
4 R2 ExStart 5 R1 ExStart
6 R2 Exchange 7 R1 Exchange
8 R2 Loading 9 R1 Loading
10 R2 Full 10 R1 Full
19-Jul-17
OSPF-Neighbor State
Neighbor State Description
Down Hello Packet tidak diterima dari neighbor. Biasanya diawal OSPF berjalan
Attempt Digunakan pada neighbor yang ditambahkan manual pada NBMA
Hello packet diterima dari router lain tetapi router-id penerima yang tertera
Init
dalam hello packet belum ada didalam list neighbor
Hello packet yang diterima dari router lain dan ip router penerima ada
2-Way didalam list neighbor router lain. Dalam state ini komunikasi
bidirectional sudah terbentuk
ExStart DR dan BDR sudah terpilih, pertukaran link-state dimulai
Exchange Router mengirimkan Database Description packet ke neighbor

Router mengirimkan Link State Request packets untuk informasi routing
Loading
dari neighbor
Informasi routing dari neighbor sudah tersinkronisasi dan 2 router sudah
Full
terhubung penuh
19-Jul-17
OSPF Packet Type
¢  Hello – Digunakan untuk membentuk komunikasi
dengan neighbor yang terhubung langsung
¢  Database Descriptor (DD) – Digunakan untuk
mengecek sinkronisasi database routing antar
router.
¢  Link State Request (LSR) – Digunakan untuk
meminta informasi routing terbaru
¢  Link State Update (LSU) – Digunakan untuk
mengirimkan informasi routing terbaru
¢  Link State Acknowledgment (LSAck) –
Digunakan untuk mengkonfirmasi informasi link-
state yang diterima
19-Jul-17
Link State Routing
Langkah-langkah atau cara kerja OSPF :
l  Setiap router membuat Link State packet (LSP).

l  Mendistribusikan LSP ke semua neighbor menggunakan Link
State Advertisement (LSA) type 1 dan menentukan DR dan
BDR dalam 1 area.
l  Masing-masing router menghitung jalur terpendek ke semua
neighbor berdasarkan cost routing.
l  Jika ada perbedaan atau perubahan tabel routing, router akan
mengirimkan LSP ke DR dan BDR melalui alamat multicast
224.0.0.6.
l  LSP akan dididistribusikan oleh DR ke router neighbor
lain dalam 1 area sehingga semua router neighbor akan
melakukan perhitungan ulang jalur terpendek.
19-Jul-17
[LAB-1] OSPF Instance
19-Jul-17
OSPF Instance Setting
¢  Router-id à Memberi pengenal pada router.
l  Berformat 32bit seperti IP, sifatnya unik artinya tiap router
tidak boleh memiliki ID yang sama dalam sebuah jaringan

l  Jika diisi 0.0.0.0 maka router akan otomatis menggunakan IP
terbesar yang ada pada router

¢  Redistribute Default Route à Mendistribusikan default route.
¢  Redistribute Connected Routes à Mendisitribusikan IP network
yang terpasang di interface
¢  Redistribute Static Routes à Mendistribusikan route static yang
ada pada table /ip route
¢  Redistribute RIP Routes à Mendistribusikan route hasil RIP
¢  Redistribute BGP Routes à Mendistribusikan route hasil BGP
19-Jul-17
[LAB-1] OSPF Route
Rule routing yang memiliki Flag DAO menunjukkan

ada rule routing yang didistribusikan menggunakan
protocol OSPF.
19-Jul-17
[LAB-1] OSPF Route Detail
19-Jul-17
[LAB-1] OSPF Interface
¢  Setelah OSPF network

ditentukan maka secara
otomatis mendeteksi interface
yang menggunakan network
tersebut.
¢  Untuk mengubah cost dan
priority interface harus
didefinisikan secara manual.
19-Jul-17
Area DR & BDR
¢  Dalam setiap area, router akan memilih Designated Router (DR)
dan Backup Designated Router (BDR) secara otomatis.
¢  DR berfungsi untuk mengumpulkan dan menyebarkan LSA dalam
satu area menggunakan alamat multicast 224.0.0.5, sehingga
mengurangi proses pertukaran LSA antar router
¢  BDR, akan menggantikan DR jika terjadi error
¢  Dalam permulaan pembentukan OSPF, DR merupakan router
pertama yang mengaktifkan OSPF dan BDR merupakan router
kedua yang mengaktifkan OSPF
¢  Jika OSPF sudah berjalan, maka pemilihan DR dan BDR
selanjutnya ditentukan oleh priority dari interface masing-masing
router dalam 1 area
l  (0 = tidak akan menjadi BR/BDR, 255 = selalu menjadi BR/BDR)
l  Jika priority sama, akan dipilih yang memiliki router-ID paling tinggi
19-Jul-17
[LAB-2] OSPF - Fail Over
ASBR Internet
Router Gateway
Backbone Area
IR IR IR IR
Meja 1 Meja 2 Meja 3 Meja 4
Backup link Backup link
192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24
MEJA 1 MEJA 2 MEJA 3 MEJA 4

[LAB-2] OSPF - Fail Over detail
ASBR Internet
Router Gateway
Backbone Area
IR IR
Meja 1 Meja 2
Backup link
Ether2 Ether2
10.100.Y.1/24 10.100.Y.2/24
¢  Hubungkan ether2 dari router anda ke ether2 router rekan anda
sebagai link backup.
¢  Pasang ip satu segmen 10.100.Y.0/24 pada link backup tersebut.
¢  Y adalah nomor kelompok.
19-Jul-17
[LAB-2] Interface for Backup
10.100.y.0/24
Tambahkan network baru ke backbone area.

19-Jul-17
Redundant Detected
¢  DR akan menerima perubahan informasi routing dari

masing-masing group dan menyebarkan informasi
tersebut ke router group yang lain
¢  Network baru tersebut bisa dirouting menggunakan 2
jalur yang berbeda
19-Jul-17
[LAB-2] Fail Over Test
ASBR Internet
Router Gateway
Backbone Area
IR
Meja 1
x IR
Meja 2
Backup link
Ether2 Ether2
10.10.1.1/24 10.10.1.2/24
¢  Coba matikan link utama dan test apakah fail over

bisa dilakukan otomatis.
¢  Hidupkan kembali link utama untuk cek terhadap
proses failover.
19-Jul-17
Metric & Cost ….?
¢  Metric adalah salah satu parameter di routing yang
sebenarnya merupakan kumpulan nilai logic yang
digunakan oleh algoritma routing untuk menentukan
jalur routing yang akan dilewati
¢  Nilai Metric ditentukan oleh network administrator
dengan pertimbangan berdasar :
l  Jumlah hop yang akan dilewati
l  Kondisi latency
l  Packet loss (router congestion/conditions)
l  Besar bandwidth
l  Cost
¢  Pada OSPF, untuk menetukan nilai Metric internal
menggunakan parameter Cost pada interface.
19-Jul-17
OSPF Cost
¢  Untuk menetukan jalur terpendek atau bisa juga
diartikan sebagai jalur prioritas, OSPF
menggunakan parameter “Cost”.
¢  OSPF “Cost” akan dijumlahkan di setiap hopnya
pada proses Link State / Shortest Path
Technology.
¢  Setelah semua jalur sudah dikalkulasi dan total
Cost semua jalur sudah dijumlahkan, maka akan
dipilih jumlah akumulasi cost yang terkecil
19-Jul-17
OSPF Cost
Jalur 1 total : 30
10 10
10
40 20
Jalur 2 total : 70
¢  Terlihat ada dua jalur yang bisa menuju ke network tujuan.

¢  Setelah dilakukan perhitungan total Cost, jalur 1 memiliki
total cost terkecil. Maka jalur tersebut yang akan digunakan
19-Jul-17
[LAB-3] OSPF - Cost Internet
¢  Bangun bagan network

berikut dengan kelompok 100
R1 10
terdiri 4 router dan
100
terkoneksi menggunakan 10
ethernet. ?? Backup ??
R4 R2
¢  Gunakan konfigurasi
100
OSPF (manual Interface) 10
sehingga traffic berjalan 10 100
searah jarum jam. R3
¢  Traffic upload melewati

Gunakan koneksi wireless
router bagian kiri dan
¢ 
(ether4) sebagai backup link.
download melewati ¢  Tentukan cost dari backup link
router bagian kanan. supaya traffic tetap searah jarum
jam.
19-Jul-17
[LAB-3] OSPF - Cost
X : Nomor Kursi
Y : Nomor Kelompok
Internet
Tentukan cost pad backup link
supaya traffic tetap berjalan searah jarum jam. 10.10.10.100
Test apakah yang terjadi 10.10.10.X
jika salah satu link mati ?
10.Y.4.2/24 – ether3 ether2 - 10.Y.1.1/24
100 R1 10
10.Y.4.1/24 – ether2 Ether3 - 10.Y.1.2/24
10 100
50 Backup ??
R4 ether4- 10.Y.5.1/24 10.Y.5.2/24 – ether4 R2
100 10
10.Y.3.2/24 – ether3 Ether2 - 10.Y.2.1/24
10 100
10.Y.3.1/24 - Ether2 Ether3 - 10.Y.2.2/24
R3
19-Jul-17
Cost Overwrite
Tambahkan interface untuk link backup dan ubah

“cost” supaya menjadi routing backup.
19-Jul-17
OSPF – Router Type (1)
ASBR
ABR IR
Area 0
Area 1
ABR
Area 2
IR
IR
¢  ASBR – Autonomous System Border Router

¢  ABR – Area Border Router
¢  IR – Internal Router
19-Jul-17
OSPF – Router Type (2)
¢  IR adalah router yang berada dalam sebuah area OSPF
dan tidak terhubung langsung dengan area yang lain.
¢  ABR adalah router yang menjembatani area backbone
dengan dengan area yang lain.
¢  ASBR adalah sebuah router yang biasanya terletak di
perbatasan sebuah AS (Router Terluar dari AS) dan
bertugas untuk menjembatani antara router yang ada di
dalam AS dengan Network lain (Berbeda AS).
l  ASBR juga bisa berarti sebuah router anggota OSPF
yang menjembatani routing OSPF dengan protocol
Routing yang lain (RIP,BGP dll).
19-Jul-17
OSPF Routing Type
Intra-Area routing
l  Menggambarkan route ke network tujuan yang masih
dalam satu area.
Area 1
Area 0
Area 2
19-Jul-17
OSPF Routing Type
Inter-Area routing
l  Menggambarkan route ke tujuan yang membutuhkan
melewati satu atau lebih area OSPF dan masih dalam
satu AS.
Area 1
Area 0
Area 2
19-Jul-17
OSPF Routing Type
External Area routing
l  Menggambarkan route untuk keluar jaringan OSPF
l  Dibedakan menjadi 2 tipe :
•  E1 à E1 route cost merupakan jumlah dari internal cost dan
external ospf metric.
•  E2 à E2 route cost merupakan nilai dari external OSPF metric
saja
RIP
BGP
Other OSPF
dsb Area 0
19-Jul-17
OSPF - External Route Type
TYPE 1
Jalur 1 total : 50
10 10
10
192.168.1.0/24
40 20 192.168.1.0/24
Jalur 2 total : 90
Metric 20
Redistribute as type 1
19-Jul-17
OSPF Metric – as type 1
IR 1 IR 2
OSPF Routing Transaction
Ether2 Ether2
10.10.Y.1/24 10.10.Y.2/24
Metric Route Cost
Cost Metric Route
¢  Ketika OSPF pada IR 1 menggunakan “as-type-1” maka

informasi metric akan diberikan dengan informasi routing ke
IR2.
¢  Sehingga total Metric pada IR2 adalah pejumlahan metric
dari IR1 dengan Cost pada IR2.
19-Jul-17
OSPF - External Route Type
TYPE 2
Jalur 1 total : 30
10 10
10
192.168.1.0/24
40 20 192.168.1.0/24
Jalur 2 total : 70
Metric 20
Redistribute as type 2
19-Jul-17
OSPF Metric – as type 2
IR 1 IR 2
OSPF Routing Transaction
Ether2 Ether2
10.10.Y.1/24 10.10.Y.2/24
Route Cost
Cost Route
¢  Ketika OSPF pada IR1 menggunakan “as-type-2” maka yang

dikirimkan ke IR2 hanyalah informasi routing saja
¢  Sehingga total Metric pada IR2 hanya mengacu pada cost
IR2
19-Jul-17
Metric Overwrite
19-Jul-17
OSPF Network Type (1)
¢  Point-to-Point
l  Adalah jenis jaringan yang paling sederhana, tersusun atas dua router
yang terhubung langsung dan tidak diperlukan DR dan BDR dalam
type ini
neighbor neighbor
¢  Broadcast
l  Type Default yang digunakan pada jaringan ethernet. Satu paket yang
dikirimkan sebuah router akan diterima oleh banyak router
neighbor
DR
19-Jul-17
NBMA – Non-Broadcast-Multiple-Access
l  Mirip dengan broadcast, akan tetapi untuk neighbor harus
ditambahkan secara manual karena tidak semua jaringan
mendukung broadcast, salah satu contohnya adalah ATM dan
Frame-relay.
neighbor
DR neighbor
neighbor
19-Jul-17
Point-to-Multipoint
l  Solusi lain untuk network yang tidak mendukung broadcast,
mengemulasi link point-to-point ke dalam beberapa node dan
mengirimkan paket Halo ke semua node. Biasanya type ini
digunakan untuk jaringan wireless
neighbor
neighbor neighbor
neighbor
19-Jul-17
OSPF Area
ASBR
ABR IR
Area 0
Area 1
ABR
IR
Area 2 Area 3
IR IR IR
Sangat memungkinkan jika pada sebuah AS memiliki lebih dari satu

area menyesuaikan skala dari jaringan yang dimiliki.
19-Jul-17
OSPF Area
¢  Semakin banyak router dan jaringan didalamnya,
semakin besar ukuran Link State Databaseà cpu load,
memory
¢  Internal router akan mendapat LSA hanya dari router
lain yang masih dalam satu area
¢  Area yang ingin mendapatkan informasi LSA secara
lengkap dan bisa terkoneksi dengan jaringan yang ada
di luar AS maka harus terhubung secara logic dengan
Backbone (Area 0).
¢  Untuk area yang tidak secara langsung terhubung ke ke
area backbone bisa menggunakan Virtual Link
memanfaatkan area lain yang sudah terhubung ke
Backbone Area.
19-Jul-17
Area Type
¢  Backbone – Area 0 (Area ID 0.0.0.0)
l  Bertanggung jawab mendistribusikan informasi routing antara
non-Backbone area
l  Semua sub-Area HARUS terhubung dengan backbone secara
logikal
¢  Standart / Default Area
l  Merupakan sub-Area dari Area 0. Area ini menerima LSA intra-
area dan inter-area dari ABR yang terhubung dengan area 0
¢  Stub Area
l  Area yang paling “ujung”. Area ini tidak menerima advertise
external route (digantikan default route)
¢  Not So Stubby Area (NSSA)
l  Stub Area yang tidak menerima external route (digantikan
default route) dari area lain tetapi masih bisa mendapatkan

external route dari router yang masih dalam 1 area
19-Jul-17
OSPF – Backbone Area
¢  Area 0 atau sering juga
ASBR disebut sebagai Backbone
Area merupakan area dimana
Router-Router ABR berkumpul
untuk saling menukarkan
informasi routing dari area-
Area 0 ABR
area yang lain.
Area Backbone juga
ABR
¢ 
merupakan Area Transit

sebelum traffic keluar atau
Area 1 masuk ke dalam sebuah AS.
Area 2 ¢  Sebuah area yang tidak
terhubung langsung ke area
backbone bisa terhubung ke
backbone area menggunakan
Virtual Link.
19-Jul-17
[LAB-4] OSPF – Area
Internet
R1 R2
AREA 0 – BACKBONE AREA

STANDART AREA
R3 R4
AREA 1 AREA 2
NSSA AREA STUB AREA
R5 R6 R7 R8
19-Jul-17
[LAB-4] OSPF – Backbone
Internet
Wlan 2 Wlan 2
10.y.1.1/24 10.y.1.2/24
R1 R2
AREA 0 – BACKBONE AREA

STANDART AREA
Wlan 2 Wlan 2
10.y.1.3/24 10.y.1.4/24
R3 R4
¢  Koneksi antar router backbone gunakan interface WLAN1

¢  Gunakan frekuensi 2.4GHz dengan SSID – “KelompokY”
19-Jul-17
[LAB-4] OSPF – Backbone
¢  Atur Router-ID menggunakan 10.10.10.x pada instances
¢  Tambahkan network 10.y.1.0/24 dan 192.168.x.0/24 ke area
backbone
R1-R4
19-Jul-17
[LAB-4] OSPF – NSSA Area
R3
Ether2 Ether3
10.y.2.1/24 10.y.3.1/24
AREA 1
Ether2 NSSA AREA Ether3
10.y.2.2/24 10.y.3.2/24
R5
R6
19-Jul-17
[LAB-4] OSPF – NSSA
¢  Buat Area dengan type NSSA
R3 , R5, R6
19-Jul-17
Tambahkan network ke area1
Pada R3
19-Jul-17
R5 R6
19-Jul-17
[LAB-4] OSPF – STUB Area
R4
Ether2 Ether3
10.y.4.1/24 10.y.5.1/24
AREA 2
Ether2 STUB AREA Ether3
10.y.4.2/24 10.y.5.2/24
R7
R8
19-Jul-17
[LAB-4] OSPF – STUB
¢  Buat Area dengan type STUB
R4 , R7, R8
19-Jul-17
Pada R4
19-Jul-17
R7 R8
19-Jul-17
[LAB-4] OSPF – AREA
¢  Amati dan lihat perubahan tabel routing untuk
masing-masing IR di setiap AREA.
¢  Apakah ada perbedaan tabel routing antara IR
pada NSSA dengan STUB area ?
¢  Tambahkan static default gateway pada R1 ke
10.10.10.100 dan aktifkan redistribute-default-
route, kemudian amati perubahan tabel routing di
masing-masing router.
¢  Import route-nice.rsc ke R5 dan R7.
¢  Aktifkan redistribute-static route di R5 dan R7
kemudian cek perubahan tabel routing di masing-
masing router.
19-Jul-17
OSPF - Virtual Link
¢  Virtual Link à digunakan untuk mengatasi
koneksi router yang terpisah (secara fisik) dari
area backbone.
¢  Juga dapat digunakan untuk menyabung area
backbone yang terpisah.
¢  Virtual Link Tidak bisa berjalan sempurna jika
melewati stub area.
19-Jul-17
[LAB-6] OSPF – Virtual Link
ABR
Internet Ether3: Area 1
Ether2:
Ether2: 10.Y.1.2 10.Y.2.1
10.10.10.100 10.Y.1.1 R2
10.10.10.X
R1 Virtual Link Ether3:
10.Y.2.2
Area Backbone
Y = Nomor Kelompok ABR
X = Nomor Meja R3
Ether2:
¢  Karena Virtual Link tidak bisa melewati area yang 10.Y.3.1
bertipe Stub maka ubah type area pada Area1
dan Area2 menjadi type standard (default). Ether2:
IR
¢  Kemudian Aktifkan Virtual Link di R2 dan R3. 10.Y.3.2
Area 2 R4
19-Jul-17
[LAB-6] R2 Configuration
¢  Ubah Area1 menjadi Area

Standard.
¢  Buat Virtual Link melewati Area1
19-Jul-17
19-Jul-17
Aktifkan network OSPF di kedua

area.
19-Jul-17
¢  Tambahkan Virtual Link
memanfaatkan Area1.
¢  Pastikan NeighborID
sama dengan RouterID
yang ada di Area1.
19-Jul-17
¢  Tambahkan Area2 di R4.
¢  Aktifkan Network untuk
Area2.
19-Jul-17
OSPF - Virtual Link
Saat ini Virtual link tidak bisa berjalan

sempurna di ROS v4/v5 !!
Solusi :
1.  Gunakan EoIP antara R3 ke R1
2.  Pasang IP di interface EoIP
3.  Masukkan IP network EoIP tersebut kedalam
network backbone
19-Jul-17
LSA Type
¢  Type 1 (Router link) : LSA yang diterima dari router lain dalam satu
area dan berisi informasi router-id neighbor
¢  Type 2 (Network Link) : LSA yang diterima dan berisi IP dari DR
dalam satu area.
¢  Type 3 (Summary Network Link) : LSA yang dikirimkan oleh ABR
ke neighbor yang berisi ringkasan informasi network area lain dalam
satu AS
¢  Type 4 (Summary ASBR Link) : Menunjukkan link-state ID dari
router ASBR yang mengadvertise LSA type 5
¢  Type 5 (AS External Link) : LSA ini berisi informasi network external
AS yang diimpor ke OSPF diadvertise ke semua area (kecuali Stub
Area dan NSSA Area)
¢  Type 6 (Group Membership) : didefinisikan untuk Multicast OSPF
(MOSPF), routing protocol yang jarang digunakan
¢  Type 7 (Group Membership) : Membawa informasi network external
AS yang melewati NSSA
19-Jul-17
OSPF – LSA Standart Area
AREA 0 STANDART AREA
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
TYPE 5
TYPE 4
19-Jul-17
OSPF – LSA STUB Area
AREA 0 STUB AREA
TYPE 1 & 2 TYPE 1 & 2
TYPE 3
0.0.0.0/0
19-Jul-17
OSPF – LSA NSSA Area
AREA 0 NSSA AREA
TYPE 1 & 2 TYPE 1 & 2
TYPE 5 TYPE 7
0.0.0.0/0
TYPE 4
19-Jul-17
Routing Filter
¢  Hampir sama dengan IP firewall, routing bisa
mengimplementasikan filtering terhadap informasi
routing yang didistribusikan di setiap protocolnya.
¢  Mirip juga dengan IP firewall Urutan penempatan
rule sangat berpengaruh.
¢  OSPF memiliki chain default yang digunakan untuk
meletakkan filter :
l  Chain built in atau chain default “OSPF-IN” adalah
chain untuk meletakkan filter informasi routing yang
masuk.
l  Chain built in atau chain default “OSPF-OUT” aladah
chain untuk meletakkan filter informasi routing yang
keluar.
¢  Custom chain juga bisa dibuat sesuai kebutuhan
dengan menuliskan nama chain baru secara
manual.
19-Jul-17
OSPF-Filter
19-Jul-17
Routing Filter Chain
¢  Beberapa parameter yang diperlukan untuk melakukan
routing filter :
¢  Chain : Nama chain untuk meletakkan rule filter.
l  ospf-in – Lokasi untuk melakukan filter informasi routing OSPF yang
diterima oleh router sebelum dipasangkan di tabel routing
l  ospf-out – Lokasi untuk melakukan filter informasi routing yang akan
diadvertise keluar oleh router dalam OSPF
l  rip-in – Lokasi untuk melakukan filter informasi routing RIP yang
l  rip-out – Lokasi untuk melakukan filter informasi routing yang akan
diadvertise keluar oleh router dalam RIP
l  mme-in – Lokasi untuk melakukan filter informasi routing MME yang
l  connected-in – Letak chain default untuk menempatkan filter routing
Direct Connect (input).
l  dynamic-in – Letak chain default untuk routing dynamic yang lain
(Selain routing protocol dan connect directly). Biasanya untuk routing
yang diinputkan dari ppp daemon.
19-Jul-17
Routing Filter Prefix & Prefix Lenght
¢  Prefix adalah segmen network yang ingin difilter
l  Contoh :
•  0.0.0.0/0 – untuk memfilter default route
•  192.168.0.0/24 – jika tidak ada tambahan setting di preffix-
length maka akan melakukan filter network tersebut secara
spesifik.
•  192.168.0.0 – jika tidak ada prefix segmen maka dianggap
sebagai /32
¢  Prefix-Length adalah filter terhadap prefix-mask
dari parameter Prefix. Contoh :
l  prefix=10.0.0.0/8 prefix-length=8-32
•  Dari rule diatas cocok dengan 10.0.0.0-10.255.255.255
l  prefix=8.8.0.0/16 prefix-length=16-32
•  Dari rule diatas cocok dengan 8.8.0.0-8.8.255.255
19-Jul-17
Routing Filter - Action
¢  Accept – Menerima prefix routing
¢  Discard – tidak memasukkan prefix routing ke proses
pengolahan routing di FIB.
¢  Jump – Melemparkan prefix routing ke chain filter routing
yang lain.
l  Jump Target – Chain tujuan yang baru.
¢  Log – Memasukkan informasi routing ke pesan Log
System.
¢  Passthrough – Meneruskan informasi routing untuk di
periksa di rule dibawahnya dalam chain yang sama.
¢  Reject – jika digunakan di Incoming Filter, prefix yang
masuk akan disimpan di memory tetapi tidak akan diaktif.
Jika Outgoing Filter, prefix tidak akan diproses sama
sekali.
¢  Return – Mengembalikan prefix routing yang sebelumnya
sudah terkena filter jump.
19-Jul-17
[LAB-7] OSPF – PPP Network
Internet Ether3: Area 1
Ether2: Ether2:
10.Y.1.2 STD AREA
10.Y.1.1 10.Y.2.1
10.10.10.100
R2
10.10.10.X
Ether3:
R1 10.Y.2.2
Y = Nomor Kelompok
X = Nomor Meja Area Backbone Ether3:
R3 10.Y.3.1
¢  Bangun network topologi seperti pada gambar
dan aktifkan PPPoE server di Ether3 R4.
¢  Tambahkan Jaringan yang menggunakan
protocol PPP untuk kasus kali ini kita akan
Ether2:
mencoba menggunakan network PPPoE 10.Y.3.2
¢  Gunakan Notebook sebagai client
PPPoE
Network Ether3 R4
19-Jul-17
OSPF – Filter PPP protocol
¢  OSPF juga bisa melakukan distribusi routing untuk
network point-to-point /32 (VPN / point-to-point
addressing).
¢  Karena sifatnya yang sangat dinamis perubahan struktur
jaringan VPN (PPP) akan semakin membebani kerja
protocol OSPF.
¢  Direkomendasikan untuk melakukan filter terhadap
network jenis ini.
¢  Untuk distribusi routing PPPoE di OSPF kita bisa
memasang IP Agregasi ke salah satu interface di router,
biasanya ip agregasi tersebut dipasang di interface
dimana service PPP dipasang.
¢  Atau bisa juga memasang static route dari network
VPN (PPP) mengarah ke router itu sendiri.
19-Jul-17
[LAB-7] OSPF - PPP Filter
Client 3 Client 4
R3
Client 2 Area 1
Ether3:
10.Y.3.1
Client 1
Ether2:
10.Y.3.2
PPPoE / VPN R4
Network Ether3
Gunakan routing filter di OSPF untuk menghilangkan advertise

network /32 karena akan membebani proses update routing.
19-Jul-17
[LAB-7] OSPF-Filter
Filter ini dipasang di semua Router

yang terhubung ke OSPF Network
/routing filter add Chain=ospf-in prefix-leght=32-32 action=discard
19-Jul-17
Load Balancing

Konsep Dasar
¢  Load Balancing
l  Membagi trafik ke dua atau lebih jalur
sehingga setiap jalur yang ada bisa
digunakan secara optimal.
¢  Fail Over
l  Sistem proteksi untuk menjaga apabila link
utama terganggu, secara otomatis akan
memfungsikan jalur cadangan.

Load Balancing
1+1=2
1+1=1+1
1+1=½+½+½+½
1+1=¼+¼+¼+¼+¼+¼+¼+¼
Semakin banyak user, semakin banyak koneksi, pembagian
Load balance akan semakin rata dan mudah.

Konsep Load Balancing
¢  Pembagian trafik dilakukan berdasarkan
probabilitas.
¢  Kita harus mengetahui kapasitas masing-
masing link dan membagi trafik ke setiap
interface sesuai dengan proporsinya.
¢  Misalnya kita memiliki 2 buah gateway, A
dengan kapasitas 1 mbps, dan B dengan
kapasitas 2 mbps, maka kita akan membagi
trafik menjadi 3 = 2:1 = 1 ke A dan 2 ke B.

Penggunaan Fitur
¢  Untuk bisa melakukan load balancing
dengan baik, kuasailah fitur-fitur berikut ini:
l  Static route dan policy route
l  Firewall Mangle
l  Firewall src-nat
¢  Untuk yang lebih advanced, perlu juga
menguasai BGP

Kunci Load Balancing
¢  Pada jaringan yang sederhana, kita hanya
bisa mengatur jalur uplink.
¢  Kita bisa mengatur koneksi akan lewat ke

jalur (ISP) yang mana, tetapi kita tidak bisa
mengatur jalur yang digunakan untuk
downlink, karena hal tersebut bergantung
pada routing internet secara keseluruhan.

Kunci Load Balancing
¢  Untuk “mengatur” jalur downlink, kuncinya
pada penggunaan src-nat pada tiap
gateway, pada saat request dikirimkan ke
internet.
¢  Data yang di NAT dengan IP yang ada
pada gateway A, akan kembali melalui
gateway A.
¢  Jika kita hanya menggunakan masquerade
untuk tiap interface gateway, maka data
akan kembali pada interface yang sama
dengan interface uplink.
Skema Kerja Load Balanced
GATEWAY A GATEWAY B
MASQ
MASQ
ALGORITMA
PEMBAGI
TRAFIK

Metode Load Balanced
¢  Static Route dengan Address List
¢  ECMP (Equal Cost Multi Path)
¢  NTH
¢  PCC
¢  BGP

Contoh dengan Static Route
Berdasarkan Tujuan
l  Gateway A untuk internasional
l  Gateway B untuk trafik lokal Indonesia
•  Menggunakan address-list NICE

Contoh dengan Static Route
Berdasarkan source address
l  IP Address client: 192.168.0.0/24
•  192.168.0.0-127 à gateway A
•  192.168.0.128-255 à gateway B

ECMP
¢  Equal Cost Multi Path
¢  Pada saat kita memiliki beberapa gateway
yang ingin di load balance, metode
termudah adalah menggunakan ECMP
¢  ECMP akan memisahkan trafik per
gateway secara random

Contoh ECMP (1)
Ada 2 gateway yang sama besar Bandwithya

Contoh ECMP (2)
¢  Ada 2 gateway, perbandingan kapasitas
bandwith 2 : 1 Mbps
¢  Karena Kedua gateway berbeda kapasitas

maka perlu adanya penyesuaian sesuai
perbandingan.

Contoh ECMP (3)
¢  Ada 3 gateway, gateway A dan B
menggunakan gateway IP Address, dan
gateway C menggunakan pppoe.
¢  Memungkinkan penggunaan kombinasi

dengan gateway interface.

[LAB-1] ECMP & Policy Route
¢  IIX à via WLAN1 dan PPPoE di WLAN2.
l  Kapasitas PPPoE 2 x kapasitas WLAN1
¢  Internasional à PPTP ke server 10.100.100.1
IIX IIX INTERNASIONAL
WLAN1 PPPoE
PPTP

Address List
Download nice.rsc dari server mikrotik.co.id

PPTP dan PPPoE Username
Username dan password :
l  PPTP
•  Username : mikrotik-pptp
•  Password : training
l  PPPoE
•  Username : mikrotik-pppoe
•  Password : training

Static Route untuk PPTP

PPTP & PPPoE Setting

Interface
Pastikan semua interface sudah bekerja
dengan baik

IP Address
Pastikan sudah mendapatkan IP Address
dinamik dari PPTP dan PPPoE

Masquerade Setting
Buatlah masquerade untuk ketiga gateway

Route-mark Setting
Rule no 0 untuk trafik dari klien

Rule no 1 untuk trafik dari local process di router
Rule no 1 menggunakan parameter

out-interface=pptp-out1 karena secara default,
routing keluar melalui pptp-out1
Route for IIX & Internasional

Test dengan traceroute

Kekurangan ECMP
¢  Forwarding table di Linux Kernel secara
otomatis akan refresh setiap 10 menit
¢  Hal ini menyebabkan ada kemungkinan
paket data untuk suatu traffic dari sebuah
aplikasi berganti koneksi sehingga
mendapatkan masq address yang berbeda.
Koneksi bisa terputus.
l  Contoh: terjadi pada traffic game online
¢  Info lebih lanjut mengenai hal ini:
–  http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html
–  http://marc.info/?m=105217616607144
–  http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19

Metode NTH
¢  NTH dilakukan dengan mengaktifkan counter
pada mangle, dan kemudian dinamai (route
mark) berdasarkan gateway nya.
¢  Route mark kemudian digunakan sebagai
dasar untuk membuat policy route.

Proses NTH pada Mangle
Misalkan kita mempunyai 2 buah gateway (A
dan B)
l  Koneksi pertama à route mark “conn-A”
l  Koneksi kedua à route mark “conn-B”
l  Koneksi ketiga à route mark “conn-A”
l  Koneksi keempat à route mark “conn-B”
l  Koneksi kelima à route mark “conn-A”
l  Dst…..

Proses NTH pada Routing
Setelah ada route-mark, maka kita tinggal
mengarahkan route mark tersebut ke
gateway yang sesuai.
l  Route-mark “conn-A” ke gateway A
l  Route-mark “conn-B” ke gateway B

Proses NTH pada Routing

Kelemahan nth
¢  Nth bekerja berdasarkan “connection
tracking”
¢  Seperti halnya ECMP, nth juga ikut “ter-
refresh” setiap 10 menit
¢  Tidak disarankan penggunaan nth untuk
melakukan load balanced
¢  Untuk “load balanced” yang lebih stabil,
disarankan menggunakan PCC (Per
Connection Classifier)

Per Connection Classifier
¢  Adalah parameter firewall yang memiliki
kemampuan untuk membedakan trafik
menjadi dua atau lebih stream berdasarkan
parameter tetap terjaga, meskipun
forwarding table pada kernel ter-refresh
¢  Option yang bisa digunakan adalah: src-
address, src-port, dst-address, dst-port
¢  Informasi lebih lanjut:
l  http://wiki.mikrotik.com/wiki/PCC
¢  Diperkenalkan mulai RouterOS 3.24
[LAB-2] Load balanced PCC
Dengan konfigurasi network seperti lab
sebelumnya, gunakanlah wlan1, pppoe, dan
pptp untuk load balanced dengan PCC
WLAN1 PPPoE
PPTP

Trafik ke Connected Network
¢  Routing ke connected route hanya tersedia
di routing table “main”
¢  Kita harus menjaga jangan sampai trafik ke
network ini berpindah routing table.
¢  Kita membuat address-list untuk connected
network

Trafik ke Connected Network

Koneksi dari luar
Untuk menjamin bahwa router akan me-reply
setiap connection yang masuk dari luar
sesuai dengan jalur masuknya.
l  Contoh: koneksi winbox ke router

Custom Route-mark Chain
¢  Ada dua trafik yang harus di load balanced:
l  Trafik dari client
•  Chain=prerouting
•  In-interface=local (ether1)
•  Connection-mark=no-mark
l  Trafik dari local process
•  Chain=output
•  Connection-mark=no-mark
¢  Kedua trafik ini akan di jump ke chain baru

Jump to Custom Chain

PCC Rules

Conn-mark à Route Mark

All Mangle

Static Route

Beberapa Problem Lainnya
¢  Hati-hati untuk penggunaan DNS Server
jika kita menggunakan DNS Server ISP dan
menggunakan beberapa gateway dari ISP
yang berbeda.
¢  Hal ini bisa diatasi dengan:
l  membuat static route untuk masing-masing
DNS dan meng-accept IP DNS sehingga
tidak ikut di PCC
l  Menggunakan dns public seperti google-dns

MTCRE CitraWeb

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

MTCRE CitraWeb

Загружено:

Авторское право:

Доступные форматы

Advanced Mikrotik Training

Certified Mikrotik Training - Advanced Class (MTCRE)

Hari 1 Static Route

Hari 2 Tunnel OSPF (1)

Hari 3 OSPF (2) TEST

00-2 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

l Certified Routing Engineer (MTCRE)

l Certified Traffic Control Engineer (MTCTCE)

l Certified User Managing Engineer (MTCUME)

l Certified Inter Networking Engineer (MTCINE)

l Certified IPv6 Engineer (MTCIPv6E)

00-3 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

00-4 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

All content of written materials, specifically questions, answers and diagrams of

Violation of Test Questions license may lead to a temporary or permanent

00-5 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

00-6 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

Certified Mikrotik Training Advanced Class (MTCRE)

01-9 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-10 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-11 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-12 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

ETHER1 ETHER1 ETHER1

ETHERNET PORT ETHERNET PORT ETHERNET PORT

MEJA 1 MEJA 2 MEJA X

l Services: Src-NAT and DNS Server

01-14 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-15 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-16 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

setiap segment jaringan memiliki 192.168.0.0/24

01-18 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-19 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-20 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-22 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-23 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-24 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

Contoh Implementasi Static Route,

01-25 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

l Network address – 202.53.246.0/24

l Semua Network / Semua Host – 0.0.0.0/0

dengan IP yang terpasang pada salah satu interface

bersifat dinamik (hanya bisa menggunakan interface ber-type PPP).

Biasanya adalah ip address yang terpasang di interface yang menjadi

yang akan dijalankan router.

01-26 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

(DAC) Dst-addr= 10.10.0.0/24

01-28 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-29 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

DESTINATION DISTANCE GATEWAY

01-31 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-32 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

Protocol’s Input Actives Route

01-33 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-34 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-35 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-36 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

• Kemungkinan decision routingnya meliputi :

• Hasil penentuan routing akan disimpan

01-39 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

Router Meja X Router Meja X

01-40 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

01-41 Mikrotik Indonesia http://www.mikrotik.co.id 19-Jul-17

Router Meja 1 Router Meja 2

l  Certified Routing Engineer (MTCRE)

l  Certified Traffic Control Engineer (MTCTCE)

l  Certified User Managing Engineer (MTCUME)

l  Certified Inter Networking Engineer (MTCINE)

l  Certified IPv6 Engineer (MTCIPv6E)

l  Services: Src-NAT and DNS Server

l  Network address – 202.53.246.0/24

l  Semua Network / Semua Host – 0.0.0.0/0

•  Kemungkinan decision routingnya meliputi :

•  Hasil penentuan routing akan disimpan

•  Memblok dengan diam-diam

•  Memblok dan mengirimkan pesan error ICMP

•  Memblok dan mengirimkan pesan error ICMP

¢  Jika problem terjadi setelah gateway terdekat

¢  Untuk mendeteksi problem koneksi yang

¢  Apabila bandwidth asimetrik, jumlah gateway bisa

¢  Action pada route rules :

l  lookup : mencari gateway di tabel khusus yang ditentukan,

¢  Paket data dari aktifitas transfer data di kedua network

¢  Ketika data sudah melewati tunnel dan sampai di tujuan

¢  Test packet sniffer dilakukan untuk mengetahui besar packet