1. Pendahuluan VPN (Virtual Private Network) adalah teknologi untuk menghubungkan dua atau lebih jaringan lokal yang berbeda lokasi melewati jaringan publik (internet) yang ternekripsi. Oleh karena itu banyak SP (Service Provider) menyediakan layanan VPN untuk memenuhi kebutuhan para pelanggannya, untuk menghubungkan jaringan lokal dari pusat dengan cabang-cabang yang ada di berbagai daerah selama berada dalam jangkauan SP yang tersebut, sehingga pelanggan tidak perlu membangun infrastruktur independen untuk menghubungkan jaringan pusat dengan cabang, cukup dengan berlangganan layanan VPN pada SP yang dipilih. Teknologi VPN terus berkembang untuk memberikan keuntungan bagi SP dan pelanggan. Teknologi yang sekarang banyak diterapkan oleh SP adalah MPLS VPN Layer 3, yaitu penyediaan layanan VPN yang melintasi jaringan MPLS milik SP. MPLS VPN Layer 3 memudahkan SP untuk mengembangkan jaringannya, karena jika pelanggan bertambah, konfigurasi dan pengaturan cukup dilakukan pada koneksi fisik antara pelanggan tersebut dengan perangkat jaringan SP yang ada di depannya dan tidak akan mempengaruhi pelanggan-pelanggan lain. Kemudian jika dilihat dari sudut pandang bisnis SP, teknologi MPLS VPN Layer 3 juga memberikan keuntungan karena SP dimungkinkan membuat tiap jalur pelanggannya berbeda secara virtual serta dapat melayani banyak pelanggan secara virtual di router PE (Provider Edge), sehingga tidak perlu membeli satu router PE untuk melayani satu pelanggan. Layanan virtual tersebut diciptakan oleh Cisco dengan nama Multi-VRF (Virtual Routing Forwarding) yaitu sebuah layanan atau fitur pada router Cisco untuk melakukan routing VPN dalam jaringan MPLS VPN Layer 3. Serta mampu melakukan overlap alamat IP yang memungkinkan dua VPN berbeda untuk saling berhubungan meskipun memiliki alamat IP yang sama persis sehingga tidak akan terjadi konflik alamat IP pada jaringan SP. Selain itu dapat dibuat routing table yang virtual pada router PE (Provider Edge). Dimana router milik SP yang berhubungan langsung dengan router milik pelanggan memiliki beberapa routing table yang berfungsi untuk mengarahkan VPN satu dengan VPN lainnya meskipun memiliki alamat IP yang sama pada sisi gateway milik client [1]. 2. Tinjauan Pustaka Penelitian terdahulu yang menggunakan teknologi MPLS VPN Layer 3 dilakukan oleh Gartner Research di California, Amerika Serikat. Gartner Research mengadakan analisis perbandingan Layer 2 VPN (Frame Relay dan ATM) dengan MPLS VPN dan mengapa perusahaan besar disarankan untuk melakukan migrasi jaringan VPN mereka ke MPLS VPN. MPLS VPN memberikan keuntungan dalam hal penghematan biaya implementasi, memberikan keamanan yang sebanding dengan Layer 2 VPN, serta MPLS VPN mampu memisahkan data dan jaringan perusahaan satu dengan lainnya secara virtual meskipun melintasi infrastruktur publik. Perbedaan yang mendasar antara MPLS VPN dengan L2VPN adalah kontrol MPLS VPN berada di Layer 3 OSI. MPLS VPN memisahkan jalur setiap pelanggannya, MPLS VPN mampu menyembunyikan struktur alamat Core Network dan VPN di dalamnya. Gartner Research menyatakan bahwa sangatlah tidak mungkin jaringan di luar Core Network melakukan penyusupan ke dalam Core Network dan VPN di dalamnya dengan cara merusak mekanisme MPLS [2]. Penelitian selanjutnya yang menggunakan teknologi Multi-VRF dilakukan 1
oleh PT. ASINDO (Anugrah Sentosa Informatika Indonesia) di Jakarta. PT ASINDO menangani proyek PT. Indosat Tbk. untuk melakukan upgrade jaringan WAN pada sisi Data Core Network (DCN) area Outer Java (OJ) dari teknologi X.25 menjadi MPLS. PT. ASINDO menerapkan jaringan MPLS pada sisi DCN dan memisahkan jalur-jalur Base Station Controller (BSC) setiap kota menggunakan VRF. VRF diaktifkan antara router-router BSC dengan router PE milik PT. Indosat untuk memudahkan maintenance dan monitoring jaringan PT. Indosat yang kompleks. Kesimpulan yang diambil dari penelitian ini adalah, VRF memudahkan maintenance dan monitoring jaringan PT. Indosat Tbk. yang kompleks. Karena jika terjadi gangguan pada salah satu VRF, maka VRF lainnya tidak akan terpengaruh dan tetap berjalan sebagaimana mestinya [3]. VPN (Virtual Private Network) ialah koneksi secara logical yang menghubungkan dua titik melalui jaringan pubik. Koneksi logical tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3 VPN. Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu menambahkan “delivery header” dalam paket data yang menuju ke alamat tujuan. Untuk Layer 2 VPN, delivery header berada di Layer 2. Sedangkan untuk Layer 3, delivery header berada di Layer 3. ATM dan Frame Relay adalah contoh dari Layer 2 VPN. GRE, L2TP, MPLS, dan IPSec adalah contoh dari Layer 3 VPN [4]. MPLS (Multi Protocol Label Switching) adalah teknologi penyampaian paket pada jaringan backbone berkecepatan tinggi yang menggabungkan beberapa kelebihan dari sistem komunikasi circuit-switched dan paket-switched sehingga menghasilkan performa yang lebih baik dibandingkan IP routing biasa. Protokol routing berada pada network layer dalam OSI Layer, sedangkan MPLS berada di antara layer kedua dan ketiga, sehingga MPLS sering juga disebut berada dalam Layer 2,5 karena MPLS menggabungkan teknik switching di layer dua dengan routing di layer tiga [5] MPLS VPN berfokus pada tautan antara Provider's Edge router (PE) dan Costomer's Edge router (CE). Router CE terhubung langsung ke router PE sedemikian rupa sehingga lalu lintas data dienkapsulasi untuk dikirim ke routerrouter CE yang lain. Router CE memberitahukan rute-rute VPN kepada semua perangkat yang ada dalam jaringan miliknya agar saling terhubung. MPLS VPN terdiri dari beberapa site yang saling berhubungan dengan MPLS provider core network. Pada setiap site terdapat satu atau beberapa router CE yang terhubung pada satu atau beberapa router PE. Router PE menggunakan Border Gateway ProtocolMultiprotocol (MP-BGP) untuk berkomunikasi secara dinamis antar router PE. Semua alamat IP yang digunakan dalam jaringan inti MPLS VPN harus eksklusif dan berbeda dengan alamat IP yang dimiliki oleh pelanggan VPN. Setiap router CE harus mampu untuk mengirim paket-paket data ke router PE yang berhadapan langsung. Alamat-alamat IP yang ada pada router-router PE tidak boleh ada yang sama dengan alamat IP milik pelanggan VPN [1]. Karakter MPLS VPN, diantaranya berfokus pada OSI Layer 3 dan berbasis peer model, sehingga memiliki skalabilitas yang tinggi, mudah untuk dibangun, dan mudah untuk dimanajemen dibanding VPN konvensional. MPLS VPN memisahkan lalu lintas jaringan dengan routing table yang unik, yang disebut Virtual Routing Forwarding Tables (VRFs) pada setiap jaringan VPN milik pelanggan. Sehingga setiap user pada sebuah VPN tidak akan bisa melihat lalu lintas jaringan diluar VPNnya. Pemisahan lalu lintas jaringan terjadi tanpa proses tunneling ataupun enkripsi, karena sudah dibangun langsung di dalam jaringan Service Provider [1]. 2
Virtual Routing and Forwarding (VRFs) adalah elemen utama dari teknologi MPLS VPN. VRF adalah routing table independen pada router PE. VRF berisi ruterute jaringan yang tersedia untuk mencapai site-site yang ada diseberang milik masing-masing pelanggan VPN. VRF menggunakan teknologi CEF (Cisco Express Forwarding), sehingga seluruh jaringan VPN harus mengaktifkan CEF. Setiap router PE dapat memiliki satu VRF atau lebih. Sehingga sejak awal MPLS VPN sudah diprogram untuk menentukan sebuah paket data yang memiliki sebuah alamat tujuan untuk dikirim ke VRF yang bersangkutan saja, tidak ke VRF yang lain. Oleh karena routing pada router PE harus independen atau terpisah antar pelanggan VPN, maka setiap VPN harus memiliki routing table masing-masing seperti pada Gambar 1. Satu interface pada router PE yang mengarah ke router CE hanya bisa menangani satu VRF saja supaya setiap paket data yang diterima di dalam VRF tidak ambigu, tetapi memang diarahkan oleh VRF tersebut. [6]
Gambar 1 Ilustrasi VRF di dalam router PE [6]
Gambar 1 menunjukkan fungsi utama dari Multi-VRF (Virtual Routing Forwarding), yaitu mengimplementasikan beberapa routing table yang independen di dalam sebuah router tanpa mengganggu kinerja MPLS VPN. Setiap VRF maupun global routing table memiliki arahan dan fungsinya masing-masing. Penerapan VRF pada jaringan enterprise, global routing table dapat digunakan untuk mendukung berfungsinya jalur jaringan reguler serta membuat jaringan VPN yang sifatnya menumpang untuk dijalankan secara bersamaan. [6] 3. Metode Penelitian Metode perlu diterapkan untuk memberikan gambaran secara umum tentang sistem yang dibangun dalam penelitian ini. Metode yang dipakai adalah metode Cisco PPDIOO, yaitu Prepare, Plan, Design, Implement, Operate, and Optimize seperti Gambar 2. Metode inti dikenal sebagai siklus hidup jaringan komputer (network life cycle) dan sudah diterapkan di perusahaan berskala kecil hingga besar.
3
Gambar 2 Metode PPDIOO
Sistem yang dibagun dalam penelitian ini adalah jaringan Service Provider MPLS VPN Layer 3 yang dibangun di laboratorium komputer milik FTI-UKSW, menggunakan perangkat router Cisco dan PC sesungguhnya untuk diteliti bagaimana kinerja VPN pada Cisco Multi-VRF yang diaktifkan di dalamnya. Metode PPDIOO diterapkan di dalam penelitian ini, karena mencakup semua hal yang perlu dilakukan dari persiapan sebelum sistem dibuat, hingga apa yang perlu dilakukan setelah sistem berhasil diterapkan. Penjelasan dirinci secara berurutan, dan teratur dengan tujuan menghasilkan sistem sesuai harapan. Tahapan yang pertama, Prepare adalah tahap untuk menentukan tujuan dari pembangunan sistem, yaitu membuktikan dan melakukan analisis bagaimana MultiVRF dapat melakukan overlap IP, menghubungkan VPN satu dengan lainnya melewati jaringan MPLS dengan cara membangun jaringan tiruan MPLS VPN Layer 3 di laboratorium komputer milik FTI-UKSW. Tahapan yang kedua, Plan dimana sistem direncanakan. Sesuai izin yang diberikan oleh FTI-UKSW, lama waktu membangun sistem dan penelitian menggunakan perangkat jaringan yang sesungguhnya di ruang laboratorium CTC-1 adalah tiga minggu (16 April - 7 Mei 2012) selama libur trimester. Perangkat jaringan yang digunakan sebagian besar adalah milik FTI-UKSW yang sudah diijinkan untuk dipakai, antara lain, lima router Cisco 2801 milik FTI-UKSW, dua router Cisco 1841 milik FTI-UKSW, tiga interface WIC-2T milik FTI-UKSW, dua kabel serial DCE/DTE milik FTI-UKSW, satu kabel console milik FTI-UKSW, delapan kabel Fast Ethernet milik FTI-UKSW, empat PC milik FTI-UKSW, dan satu Laptop. Tahapan yang ketiga, Design topologi jaringan. Desain dibuat cukup fleksibel bilamana ada perubahan atau penambahan perangkat baru, jangan sampai menggangu sistem secara keseluruhan. Gambar 6 adalah desain topologi jaringan yang dibangun.
4
Gambar 3 Desain Topologi MPLS VPN Layer 3
Gambar 3 adalah topologi dari jaringan yang diimplementasi. Topologi terbagi menjadi tiga jaringan yang berbeda, yaitu jaringan MPLS Cloud milik Service Provider, jaringan vpnDKV, dan jaringan vpnTI. MPLS Cloud terdiri dari tiga router Cisco 2801 (PE1, P, dan PE2) yang dihubungkan dengan kabel serial DCE/DTE. Ketiga router dikonfugrasi menggunakan MPLS sebagai jaringan backbone. Kemudian, jaringan vpnDKV dan vpnTI masing-masing memiliki dua site, yaitu A dan B. Masing-masing site memiliki sebuah router yang berfungsi sebagai CE yang akan berhubungan langsung dengan PE. Jalur vpnDKV dikonfigurasi untuk terpisah dengan vpnTI dengan mengaktifkan VRF pada PE1 dan PE2, sehingga vpnTI tidak akan bisa melihat apa yang terjadi di dalam vpnDKV. Meskipun ada kesamaan alamat IP di masing-masing site, tidak akan terjadi gangguan transmisi data karena routing table vpnTI dan vpnDKV sudah dibedakan dengan mengaktifkan VRF (Virtual Routing Forwarding). Tahapan yang keempat, Implementing dimana topologi jaringan pada Gambar 3 di implementasi secara keseluruhan di dalam lab. CTC1 milik FTI-UKSW. Seluruh router ditata secara rapih pada networking rack. Selanjutnya seluruh interface yang dibutuhkan diberi alamat IP sesuai dengan topologi yang ada pada Gambar 6. Setelah itu, Implementasi dibagi menjadi dua tahap. Tahap pertama adalah implementasi jaringan Service Provider dan tahap kedua adalah implementasi jaringan vpnDKV dan vpnTI. Jaringan Service Provider dikonfigurasi untuk berkomunikasi dengan protokol OSPF 1 di dalam area 0. Sehingga router PE1, P, dan PE2 dapat saling menegnali jaringannya masing-masing dan memasukkan rute jaringannya ke dalam global routing table masing-masing. Setelah PE1, P, dan PE2 terhubung dengan OSPF 1 area 0, protokol BGP diaktifkan. BGP (Border Gateway Protocol) perlu diaktifkan untuk koneksi MP-BGP (Multiprotocol BGP) antara PE1 dengan PE2 dalam bertukar vpnv4 prefix masing-masing VPN.
5
Kode Program 1 Hasil Konfigurasi BGP 100 pada PE1 router bgp 100 no synchronization neighbor 192.168.100.3 remote-as 100 neighbor 192.168.100.3 update-source Loopback0 no auto-summary
Kode Program 1 adalah hasil konfigurasi protokol BGP dengan autnonomous number 100 diaktifkan di PE1. BGP 100 pada PE1 diatur untuk berhubungan dengan Loopback0 PE2 dengan alamat 192.168.100.3/32. Setelah BGP antara PE1 dan PE2 berhasil dibangun (established) dalam hasil pemeriksaan #show ip bgp neighbor maka MPLS di dalam Service Provider diaktifkan. MPLS diaktifkan pada setiap interface yang menghubungkan PE1, P, dan PE2. Tujuan diaktifkan MPLS, agar setiap paket data yang melintasi jaringan SP diberi label (tag) untuk dikirimkan ke next hop berikutnya. Kode Program 2 menujukkan hasil dari konfigurasi mengaktifkan MPLS pada interface Se0/2/0 dan Se0/2/1 di router P. Kode Program 2 Hasil Konfigurasi MPLS pada Router P ip cef mpls label protocol ldp mpls ldp router-id Loopback0 force interface Serial0/2/0 description ***CONNECTION TO PE1*** bandwidth 100000 ip address 192.168.2.2 255.255.255.0 mpls ip interface Serial0/2/1 description ***CONNECTION TO PE2*** bandwidth 100000 ip address 192.168.3.1 255.255.255.0 mpls ip clock rate 128000
Berikutnya, VRF (Virtual Routing and Forwarding) dikonfigurasi pada router PE1 dan PE2. Pada penelitian ini dibuat dua VRF, VRF dengan nama vpnDKV untuk pelanggan VPN DKV dan VRF dengan nama vpnTI untuk pelanggan VPN TI. VRF diaktifkan dengan maksud untuk memisahkan routing table antara vpnTI dengan vpnDKV. VRF dikonfigurasi bersama dengan nilai Route Distinguisher (RD) dan Route Target (RT) yang digunakan untuk memberi tanda vpnv4 prefix masing-masing VRF. Jadi, VRF vpnDKV diberi nilai RD 100:1 dan VRF vpnTI diberi nilai RD 100:2 seperti pada hasil konfigurasi pada Kode Program 3. Kode Program 3 Hasil Konfigurasi VRF, RD, dan RT pada PE1 dan PE2 ip vrf vpnDKV rd 100:1 route-target route-target ! ip vrf vpnTI rd 100:2 route-target route-target
export 100:1 import 100:1
export 100:2 import 100:2
Setelah VRF dibuat pada PE1 dan PE2, maka masing-masing interface yang ada dalam PE1 dan PE2 dikonfigurasi untuk meneruskan paket data sesuai topologi. Fa0/1 pada PE1 dikonfigurasi meneruskan (forwarding) paket data untuk vpnDKV, Fa0/0 pada PE1 dikonfigurasi meneruskan paket data untuk vpnTI. Pada PE2, Fa0/0 dikonfigurasi untuk meneruskan paket data vpnDKV dan Fa0/1 untuk meneruskan paket data untuk vpnTI seperti Kode Program 4.
6
Kode Program 4 Hasil Konfigurasi VRF Forwarding pada PE2 interface FastEthernet0/0 description ***CONNECTION TO CE2_VPN-DKV-B*** bandwidth 100000 ip vrf forwarding vpnDKV ip address 192.168.4.1 255.255.255.0 speed 100 full-duplex ! interface FastEthernet0/1 description ***CONNECTION TO CE2_VPN-TI-B*** bandwidth 100000 ip vrf forwarding vpnTI ip address 192.168.5.1 255.255.255.0 speed 100 full-duplex
VRF tersebut belum mengenali jaringan pada sisi Client Edge (CE) masingmasing VPN, sehingga diperlukan Static Routing untuk menambahkan rute jaringan kedalam masing-masing VRF routing table. Rute jaringan yang perlu ditambahkan adalah sesuai Gambar 6. Pada Kode Program 5 ditunjukkan cara konfigurasi penambahan Static Routing masing-masing VPN yang terhubung dengan PE1. Setelah static routing masing-masing VRF pada PE1 dan PE2 dikonfigurasi, maka untuk memeriksa apakah routing table masing-masing VRF sudah terbentuk, digunakan perintah #show ip route vrf
. Kode Program 5 Konfigurasi Static Route vpnDKV dan vpnTI pada PE1 ip ip ip ip
route route route route
vrf vrf vrf vrf
vpnDKV 192.168.10.0 255.255.255.0 192.168.1.1 vpnDKV 202.147.192.1 255.255.255.255 192.168.1.1 vpnTI 192.168.10.0 255.255.255.0 192.168.6.1 vpnTI 202.147.192.1 255.255.255.255 192.168.6.1
MP-BGP (Multiprotocol BGP) juga perlu diaktifkan pada PE1 dan PE2. Fungsi dari MP-BGP adalah membuat sub-tunnel khusus untuk masing-masing VRF yang dipakau untuk membawa vpnv4 prefix milik vpnDKV dan vpnTI. Pada Kode Program 6 ditampilkan hasil konfigurasi MP-BGP pada PE1. BGP 100 pada PE1 bertukar address-family vpnv4 dengan BGP tetangganya (PE2) yang memiliki alamat 192.168.100.3. Kode Program 6 Konfigurasi MP-BGP pada PE1 router bgp 100 address-family vpnv4 neighbor 192.168.100.3 activate neighbor 192.168.100.3 send-community both exit-address-family
Setelah MP-BGP dikonfigurasi pada PE1 dan PE2, langkah berikutnya adalah menyuntikkan routing table VRF vpnDKV dan vpnTI yang static dan connected. Langkah konfigurasi adalah sama untuk VRF vpnDKV dan VRF vpnTI pada router PE1 dan PE2 seperti pada Kode Program 7. Kode Program 7 Konfigurasi redistribute MP-BGP vpnDKV pada PE1 PE1(config)#router bgp 100 PE1(config-router)#address-family ipv4 vrf vpnDKV PE1(config-router-a)# redistribute connected PE1(config-router-a)# redistribute static
Kode Program 7 adalah langkah konfigurasi redistribute routing protocol. Routing protocol milik VRF vpnDKV dari CE1_VPN_DKV-A di redistribute ke arah PE1 untuk diubah menjadi MP-BGP. Setelah MP-BGP pada PE1 dan PE2 selesai dikonfigurasi maka, jaringan Service Provider sudah selesai dikonfigurasi. Selanjutnya masing-masing CE diaktifkan dan dikonfigurasi untuk mengenali jaringan VPN yang ada di seberang dengan cara Static Routing, menambahkan alamat jaringan VPN yang ada di seberang via interface di ingress PE. 7
Kode Program 8 Static Route pada CE1_VPN_DKV-A ip route 192.168.4.0 255.255.255.0 192.168.1.2 ip route 192.168.11.0 255.255.255.0 192.168.1.2 ip route 202.147.192.2 255.255.255.255 192.168.1.2
Kode Program 8 adalah penambahan static route pada CE1_VPN_DKV-A. 192.168.4.0/24 adalah koneksi menuju VRF vpnDKV pada PE2 via 192.168.1.2. 192.168.11.0 adalah jaringan lokal CE2_VPN_DKV-B via 192.168.1.2. 202.147.192.2 adalah Loopback0 milik router CE2_VPN_DKV-B via 192.168.1.2 Kode Program 9 Static Route pada CE2_VPN_DKV-B ip route 0.0.0.0 0.0.0.0 192.168.4.1
Kode Program 9 adalah static route pada router CE2_VPN_DKV-B. ip route 0.0.0.0 0.0.0.0 192.168.4.1, memiliki arti router CE2_VPN_DKV-B mengirim semua alamat IP dalam semua subnet mask yang dimiliki ke next hop 192.168.4.1 (PE2). Sekarang, koneksi antara CE1_VPN_DKV-A dengan CE2_VPN_DKV-B sudah dibangun dan dapat diperiksa dengan perintah #ping . VPN Server dibangun mengguanakan Cisco Easy VPN Server Wizard melalui aplikasi manajemen jaringan Cisco Configuration Professional 2.5. VPN server vpnDKV ditemapatkan pada router CE2_VPN_DKV-B, sedangkan VPN server vpnTI ditempatkan pada router CE1_VPN_TI-A. Fungsi dari VPN server ini adalah melayani dial-up VPN, sehingga setiap paket data yang dikirimkan dari CE1 ke CE2 dan sebaliknya dienkripsi. Metode enkripsi yang dipakai adalah IPsec tunnel sebagai standar enkripsi VPN. Gambar 3 adalah tampilan status Cisco Easy VPN server pada router CE1_VPN_TI-A.
Gambar 3 Tampilan Status Easy VPN Server di Router CE1_VPN_TI-A
Cisco VPN Client 5.0 adalah aplikasi yang digunakan untuk dial-up VPN dari PC milik pelanggan VPN ke VPN server milik pelanggan tersebut, sehingga terbentuk jalur virtual atau tunneling IPsec/UDP dimana semua data yang dikirim dienkripsi menggunakan metode IPsec. Cisco VPN Client 5.0 akan ditanam pada PC 192.168.11.2/24 milik vpnDKV dan PC 192.168.10.2/24 milik vpnTI. Tampilan dari Cisco VPN Client 5.0 dapat dilihat pada Gambar 4.
8
Gambar 4 Tampilan Cisco VPN Client 5.0
Tahapan metode penelitian yang kelima adalah Operate, dimana uji coba sistem dilakukan secara realtime antara vpnDKV, vpnTI, dan SP. Monitoring juga dilakukan untuk mengetahui kinerja sistem, kelebihan, dan kekurangannya untuk dikumpulkan. Dalam tahap operate dilakukan analisis cara kerja Cisco Multi-VRF. Tahapan metode penelitian yang terakhir adalah Optimize. Pada tahapan ini, seluruh kekurangan yang sudah ditemukan dicarikan solusinya supaya sistem dapat bekerja lebih baik, kinerja sistem meningkat, dan mengurangi kesalahan yang mungkin terjadi. 4. Hasil dan Pembahasan Hasil implementasi jaringan Cisco MPLS VPN Layer 3 yang dibangun di lab. CTC-1 milik FTI-UKSW dibahas dengan memfokuskan pada kinerja jaringan MPLS VPN Layer 3 milik SP. Uji coba sistem dilakukan dengan cara download dari web server (HTTP) masing-masing VPN sehingga dapat diketahui kelebihan dan kekurangan sistem yang dibangun. Pembahasan yang pertama adalah cara kerja jaringan MPLS VPN Layer 3 yang telah diimplentasi. Pada IPv4 prefix dikirim oleh salah satu VPN dari CE1 menuju ke VPN di CE2, diperlukan Route Distinguisher dan Route Target untuk mengarahkan IPv4 prefix tersebut.
Gambar 5 Cara Kerja VRF, RD, dan RT
Prefix-prefix VPN yang melintasi jaringan MPLS VPN Core dihantarkan menggunakan Multiprotocol BGP (MP-BGP). Sewaktu MP-BGP menghantarkan prefix-prefix IPv4 di dalam jaringan Service Provider (SP) diperlukan konsep Route Distinguisher (RD) yang berfungsi untuk menandai setiap pelanggan dan membuat setiap prefix pelanggan menjadi unik dengan menambahkan nilai RD. Karena prefix 9
setiap pelanggan berbeda setelah diberi nilai RD, maka overlap alamat IP dapat dilakukan tanpa terjadi gangguan di dalam jaringan SP. Sebagai contoh hasil dari prefix milik vpnDKV 192.168.10.1/24 yang sudah disipi nilai RD 100:1 adalah 100:1:192.168.10.1/24. Prefix IPv4 yang sudah disisipi nilai RD disebut vpnv4 prefix. Bila vpnTI dan vpnDKV memiliki alamat IP yang sama dalam jaringan lokal mereka dan mengirimkan prefix IPv4 tersebut ke dalam jaringan SP tidak akan menjadi masalah. Sebab setelah prefix-prefix IPv4 tersebut memasuki PE1 disisipi nilai RD menjadi vpnv4 prefix sesuai topologi. Sebagai bukti, vpnv4 prefix milik vpnDKV adalah 100:1:192.168.10.1/24 dan vpnv4 prefix milik vpnTI adalah 100:2:192.168.10.1/24, sehingga meskipun memiliki alamat IP yang sama, jaringan inti SP tetap menganggapnya berbeda. Route Target (RT) berfungsi untuk mengendalikan komunikasi data antara site VPN yang satu dengan lainnya. RT adalah BGP extended community yang mengarahkan jalur mana yang harus dipakai untuk mengimpor (import) dan mengekspor (export) MP-BGP ke VRF yang seharusnya. Pada Gambar 5, vpnDKV dan vpnTI memiliki nilai RT Import dan RT Export yang berbeda di dalam router PE1. Melakukan operasi RT Export berarti menambahkan BGP extended community ke dalam rute vpnv4 yang dikirimkan dari VRF ke dalam MP-BGP. Melakukan operasi RT Import berarti VRF menerima rute vpnv4 dari MP-BGP kemudian dicocokan dengan nilai RT atau BGP extended community yang ada di dalam VRF untuk diterima. Jika nilai RT cocok, maka vpnv4 prefix diubah menjadi IPv4 prefix dan dimasukkan ke dalam routing table VRF tersebut, namun jika nilai RT tidak cocok dengan yang dimiliki VRF, maka vpnv4 prefix tersebut dibuang (dropped). Pada Gambar 6 ditunjukkan bahwa RT mengendalikan vpnv4 prefix masing-masing pelanggan dari PE1 menuju PE2 supaya jalurnya tetap terpisah secara virtual meskipun melewati media fisik yang sama. Route Propagation adalah alur IPv4 prefix dari CE1 menuju ke CE2 yang melewati protokol-protokol yang berbeda. Sebagai contoh jika CE1_VPN_TI-A mengirim IPv4 prefix menuju CE2_VPN_TI-B, maka Route Propagation yang terjadi digambarkan pada Gambar 6.
Gambar 6 Tahap-tahap Route Propagation
Pada Gambar 6, CE1_VPN_TI-A mengirim data ke PE1 menggunakan Static Route, PE1 menerima rute IPv4 kemudian rute IPv4 tersebut dimasukkan kedalam VRF routing table vpnTI. Selanjutnya rute IPv4 tersebut diberi nilai RD (Route 10
Distinguisher) 100:1 oleh PE1 menjadi rute vpnv4 yang kemudian di "redistribute" ke MP-BGP. Lalu, BGP (internal BGP) bertugas menangani rute vpnv4 tersebut untuk didistribusikan ke PE2 yang ada di dalam jaringan MPLS Service Provider. Kemudian PE2 melepas nilai RD 100:1 yang ada pada rute vpnv4 yang diterimanya, lalu diubah menjadi rute IPv4 untuk dimasukkan ke dalam VRF routing table vpnTI. Rute IPv4 inilah yang dikirimkan menuju CE2_VPN_TI-A menggunakan Static Route. Packet forwarding adalah cara dari paket IP diarahkan untuk melintasi jaringan MPLS VPN dengan diberi nilai-nilai label MPLS oleh router PE1, P, dan PE2. Sebagai contoh proses yang terjadi saat paket IP dari CE1_VPN_TI-A melintasi MPLS VPN menuju CE2_VPN_TI-B seperti pada Gambar 7.
Gambar 7 Proses paket IP melintasi MPLS VPN
Berdasarkan Gambar 7, Paket IP 202.147.192.1/32 dari CE1_VPN_TI-A dikirim ke VRF vpnTI yang ada di PE1. PE1 menerima IPv4 prefix kemudian melakukan redistribute ke MP-BGP, diberi nilai RD 100:2 dan label 20 sehingga berubah menjadi vpnv4 prefix 100:2:202.147.192.1/32. Nilai-nilai label dapat dilihat pada Kode Program 4.4 sampai dengan 4.6. Lalu BGP yang ada pada ingress PE, dalam hal ini PE1 mengirim vpnv4 prefix tersebut ke router P dengan memberi label 16. Kemudian router P meneruskan vpnv4 prefix tersebut ke PE2 dengan label 17. Setelah vpnv4 prefix diterima oleh PE2, PE2 menghapus nilai label dan RD sehinggan vpnv4 prefix diubah menjadi IPv4 prefix 202.147.192.1/32 untuk selanjutnya dimasukkan ke dalam VRF vpnTI routing table. Pembahasan yang kedua adalah hasil pengujian sistem, dimana komunikasi data yang sesungguhnya terjadi antara pelanggan VPN dan jaringan Service Provider untuk mengetahui keunggulan dan kekurangan dari sistem yang sudah diimplementasi. Pengujian dilakukan dengan cara melakukan ping dan trace route untuk mengetahui apakah jaringan sudah terhubung dan jalur mana saja yang dilewati, serta menguji download sebuah file yang ada pada web server masing-masing pelanggan VPN saat tidak memakai IPsec tunneling dan saat memakai IPsec tunneling. Pengujian pertama pada VPN TI tanpa mengaktifkan IPsec Tunneling. Untuk mengetahui apakah jaringan vpnTI sudah terhubung, maka dilakukan operasi ping dari PC 192.168.11.5/24 dengan tujuan PC 192.168.10.2/24 seperti pada Gambar 8.
11
Gambar 8 Hasil Ping 192.168.10.2
Berdasarkan Gambar 8, jaringan vpnTI sudah terhubung dengan RTT (round trip time) rata-rata 21ms yang berarti paket ICMP cukup cepat untuk mengalir dari PC 192.168.11.5/24 ke PC 192.168.10.2/24 dan sebaliknya. Berikutnya untuk mengetahui rute dan jumlah hop yang dilewati untuk mecapai tujuan PC 192.168.10.2/24 dari PC 192.168.11.5/24 digunakan perintah Tracert seperti pada Gambar 13
Gambar 9 Hasil Tracert vpnTI dari 192.168.11.5 ke 192.168.10.2
Berdasarkan gambar 9, paket data dari PC 192.168.11.5 melewati 6 hop untuk mencapai alamat tujuan yaitu 192.168.10.2. Namun alamat IP jaringan Service Provider belum tersembunyi, karena tidak diaktifkannya IPsec Tunneling. Untuk menguji kecepatan, PC 192.168.11.5/24 melakukan download sebuah file yang ada pada web server (WAMP) 192.168.10.2/24 tanpa mengaktifkan IPsec tunneling. Gambar 10 menunjukkan proses download menggunakan browser Firefox 3.5.
Gambar 10 Proses Download vpnTI tanpa IPsec Tunneling
Berdasarkan Gambar 10, kecepatan download yang diperoleh vpnTI adalah 14,2KBps. Kecepatan seperti ini tidak dapat diandalkan untuk melakukan download file dengan ukuran yang besar, karena membutuhkan waktu yang lama serta tidak dapat diandalkan oleh pelanggan vpnTI. Pengujian sistem berikutnya dilakukan pada vpnTI dengan mengaktifkan IPsec tunneling. Untuk melakukan IPsec tunneling, PC 192.168.11.5/24 melakukan dial-up VPN ke VPN server yang ada pada router CE1_VPN_TI-A dengan alamat 192.168.10.1/24 menggunakan aplikasi Cisco VPN Client 5.0 seperti pada Gambar 11.
Gambar 11 Autentikasi Cisco VPN Client utnuk Dial-up VPN
12
Kemudian untuk memeriksa apakah IPsec tunnel sudah aktif dalam jaringan vpnTI. Maka dijalankan perintah tracert dari PC 192.168.11.5/24 menuju PC 192.168.10.2/24 seperti pada Gambar 12.
Gambar 12 Hasil tracert dari 192.168.11.5 ke 192.168.10.2 dengan mengaktifkan IPsec tunnel
Pada Gambar 12, hasil tracert hanya menampilkan dua hop saja yaitu router CE1_VPN_TI-A 192.168.10.1 (VPN server) dan PC 192.168.10.2 (tujuan), berarti IPsec tunneling sudah aktif di dalam jaringan vpnTI. Alamat IP jaringan Service Provider juga telah disembunyikan oleh IPsec tunnel. Selanjutnya untuk uji kecepatan, PC 192.168.11.5/24 melakukan download sebuah file yang ada pada web server (WAMP) 192.168.10.2/24 dengan mengaktifkan IPsec tunneling. Gambar 13 menunjukkan proses download menggunakan browser Firefox 3.5.
Gambar 13 Proses Download vpnTI dengan IPsec Tunneling
Karena proses enkripsi dilakukan dalam IPsec tunneling, kecepatan download menurun dari 14,2KBps (tanpa IPsec tunneling) menjadi 13,5KBps. Menurunnya kecepatan pasti tidak akan memuaskan pelanggan VPN, karena dibutuhkan waktu yang lama untuk download file dari web server. Berikutnya pengujian sistem pada sisi vpnDKV tanpa mengaktifkan IPsec Tunelling. Untuk mengetahui apakah jaringan vpnDKV sudah terhubung, maka dilakukan operasi ping dari PC 192.168.10.2/24 ke PC 192.168.11.2/24 seperti pada Gambar 14.
Gambar 14 Hasil Ping 192.168.11.2
Berdasarkan Gambar 14, jaringan vpnDKV sudah terhubung. Hasil RTT (round trip time) rata-rata 21ms yang berarti paket ICMP cukup cepat untuk mengalir dari PC 192.168.10.2/24 ke PC 192.168.11.2/24 dan sebaliknya. Berikutnya untuk mengetahui rute dan jumlah hop yang dilewati untuk mecapai tujuan PC 192.168.11.2/24 dari PC 192.168.10.2/24 digunakan perintah Tracert seperti pada Gambar 15.
13
Gambar 15 Hasil Tracert vpnDKV dari 192.168.10.2 ke 192.168.11.2
Berdasarkan Gambar 15, paket data dari PC 192.168.10.2 melewati 6 hop untuk mencapai alamat tujuan yaitu 192.168.11.2. Namun alamat IP milik Service Provider masih muncul karena IPsec tunelling belum diaktifkan. Untuk menguji kecepatan pada vpnDKV, PC 192.168.10.2/24 melakukan download sebuah file yang ada pada web server (WAMP) 192.168.11.2/24 tanpa mengaktifkan IPsec tunneling. Gambar 16 menunjukkan proses download menggunakan browser FireFox 3.5.
Gambar 16 Proses Download vpnDKV
Berdasarkan Gambar 16, dapat dilihat kecepatan download vpnDKV tanpa mengaktifkan IPsec tunneling adalah 4,5Kbps. Hasil ini lebih lambat dari vpnTI dan tidak akan memuaskan pelanggan vpnDKV. Dengan kecepatan yang hanya 4,5KBps dibutuhkan waktu yang lama untuk download file yang berukuran besar. Pengujian sistem berikutnya dilakukan pada vpnDKV dengan mengaktifkan IPsec tunneling. PC 192.168.10.2/24 melakukan dial-up VPN ke VPN server yang ada pada router CE2_VPN_DKV-B dengan alamat 192.168.11.1/24 menggunakan aplikasi Cisco VPN Client 5.0. Tetapi berdasarkan usaha penelitian yang sudah dilakukan, vpnDKV gagal dalam melakukan dial-up VPN, muncul keterangan "The remote peer is not responding." seperti pada Gambar 17.
Gambar 17 Remote Peer is Not Responding (vpnDKV)
Gambar 17 menunjukkan terjadinya kegagalan vpnDKV dalam mengaktifkan IPsec tunnel. Kegaglan ini bukan berdasarkan kesalahan konfigurasi, namun adanya bottle neck di dalam jaringan Service Provider yang akan dijelaskan di bagian akhir. Untuk menilai kinerja VPN pada Cisco Multi-VRF dilakukan pengukuran dari beberapa parameter Network Peroformance Parameters (NPMs). Parameter yang dipakai antara lain reliability, jitter, packet loss, dan bandwidth [7]. Setelah semua data tentang parameter-paramater tersebut terkumpul, maka dapat ditentukan hasil penilaian kinerja jaringan yang telah diimplementasi. Pertama, analisis menggunakan parameter reliability. Reliability adalah nilai seberapa stabil jaringan 14
dapat diandalkan dalam menyediakan layanan kepada pelanggannya. Dalam penelitian ini, nilai reliability setiap interface pada setiap router dapat dilihat dengan perintah #show interface [FastEthernet {number} | Serial {number}] | include reliability. Nilai reliability penuh pada perangkat Cisco adalah 255/255. Perintah ini dijalankan pada setiap router untuk didata berapakah nilai reliability masing-masing interface [1]. Hostname CE1_VPN_DKV-A CE1_VPN_TI-A PE1 P PE2 CE1_VPN_DKV-B CE1_VPN_TI-B
Tabel 1 Nilai Reliability setiap Interface Fa0/0 Fa0/1 Se0/2/0 Se0/2/1 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 255/255 -
Se0/3/0 255/255 255/255 -
Berdasarkan Tabel 1 nilai reliability yang didapat pada semua interface adalah 255/255. Berarti semua interface berfungsi penuh dan tidak pernah down atau mati selama waktu pengambilan nilai reliability dilakukan. Parameter uji yang kedua adalah jitter. Jitter adalah variasi delay yang diakibatkan oleh panjang antrian paket-paket data dalam proses reassemble paketpaket data ketika tiba di tujuan akhir pengiriman. Pada dasarnya, jika nilai jitter semakin bertambah maka kecepatan jaringan akan terasa melambat. Jitter terbagi menjadi empat kategori berdasarkan nilainya, antara lain excellent dengan nilai jitter <75ms. Good dengan nilai jitter antara 75ms sampai 125ms. Average dengan nilai jitter antara 75ms sampai 125ms. Poor dengan nilai jitter antara 125ms sampai 225ms [8]. Dalam jaringan MPLS VPN yang telah diimplementasi, metode yang digunakan untuk mengukur nilai jitter masing-masing VPN adalah menggunakan "IP SLA ICMP Path Jitter" pada router CE masing-masing VPN. IP SLA ICMP Path Jitter adalah operasi dari Ciso IOS untuk mengukur nilai jitter setiap titik, mengukur packet loss, dan mengukur delay [8]. Langkah-langkah mengaktifkan IP SLA ICMP Path Jitter untuk mengukur nilai jitter dapat dilihat pada Kode Program 10. Kode Program 10 IP SLA Path Jitter pada CE2_VPN_TI-B ip sla monitor 1 type pathJitter dest-ipaddr 202.147.192.1 source-ipaddr 202.147.192.2 num-packets 20 request-data-size 32 timeout 1000 owner Mr. Jeffrey tag COBA vpnTI frequency 20 ip sla monitor schedule 1 life forever start-time now
Kode Program 10 adalah hasil konfigurasi IP SLA monitor 1 untuk memonitor Path Jitter dari 202.147.192.2 menuju ke 202.147.192.1 dengan jumlah paket sebanyak 20 paket. Ukuran setiap paket adalah 32 byte dengan aturan timeout 1.000ms. IP SLA yang dijalankan adalah milik Mr. Jeffrey serta diberi tanda (tag) COBA vpnTI. Pengiriman paket data dilakukan terus menerus dengan frekuensi setiap 20 detik. Hasil dari PathJitter dapat dilihat dengan perintah #show ip sla monitor statistic 1. Hasil dari monitor IP SLA akan muncul berupa statistik seperti pada Kode Program 11 Kode Program 11 Hasil Statistik dari IP SLA Monitor 1 pada CE2_VPN_TI-B CE2_VPN_TI-B#show ip sla moni stat
15
Round trip time (RTT) Index 1 Latest RTT: 80 ms Latest operation start time: *00:11:55.751 UTC Fri Mar 1 2002 Latest operation return code: OK ---- Path Jitter Statistics ---Hop IP 192.168.5.1: Round Trip Time milliseconds: Latest RTT: 18 ms Number of RTT: 20 RTT Min/Avg/Max: 7/18/39 ms Jitter time milliseconds: Number of jitter: 14 Jitter Min/Avg/Max: 3/14/32 ms Packet Values: Packet Loss (Timeouts): 0 Out of Sequence: 0 Discarded Samples: 0 Hop IP 192.168.6.1: Round Trip Time milliseconds: Latest RTT: 80 ms Number of RTT: 20 RTT Min/Avg/Max: 51/80/136 ms Jitter time milliseconds: Number of jitter: 19 Jitter Min/Avg/Max: 1/18/49 ms Packet Values: Packet Loss (Timeouts): 0 Out of Sequence: 0 Discarded Samples: 0 Operation time to live: Forever
Kode Program 10 adalah hasil dari Path Jitter dari CE2_VPN_TI-B menuju CE2_VPN_TI-A. Dapat dilihat, hanya dua hop yang muncul yaitu 192.168.5.1 dan 192.168.6.1 karena alamat IP yang berada di dalam Service Provider MPLS Cloud berada dalam Layer 3, sedangkan IP SLA ICMP Path Jitter berjalan di dalam Layer 2. Berdasarkan nilai jitter yang didapat, pada hop 1 nilai jitter adalah 14ms berarti masuk dalam kategori excellent. Pada hop 2 nilai jitter yang didapat adalah 19ms berarti masuk dalam kategori excellent. IP SLA ICMP Path Jitter akan diaktifkan di router CE1_VPN_DKV-A menuju CE1_VPN_DKV-B tanpa IPsec tunneling, CE1_VPN_TI-B menuju CE1_VPN_TI-A tanpa IPsec tunneling, dan CE1_VPN_TI-B menuju CE1_VPN_TIA dengan mengaktifkan IPsec tunneling. Hasil nilai-nilai jitter didata pada Tabel 2. Tabel 2 Hasil dari IP SLA ICMP Path Jitter. Hostname CE1_VPN_DKV-A CE1_VPN_TI-B CE1_VPN_DKV-A dengan IPsec CE1_VPN_TI-B dengan IPsec
Jitter di Hop 1 18ms 14ms -
Jitter di Hop 2 46ms 19ms -
Kategori Excellent Excellent -
(tidak diketahui/ terenkrispi)
221ms
Poor
Tabel 2 menujukkan nilai jitter dari masing-masing VPN. Saat IPsec tunneling tidak diaktifkan, kedua VPN memiliki jitter dalam kategori Excellent. Namun saat IPsec tunneling diaktifkan nilai jitter meningkat drastis hingga msuk dalam kategori Poor. Parameter uji yang ketiga adalah packet loss. Packet loss adalah paket data yang gagal dikirim. Semakin banyak jumlah packet loss, maka akan menimbulkan masalah dalam jaringan. Packet Loss dibagi menjadi empat kategori berdasarkan nilai prosentase paket yang gagal dikirim. Kategori pertama adalah Excellent dengan 16
prosentase 0% packet loss, kedua adalah Good dengan prosentase antara 0% sampai 3% packet loss, ketiga adalah Average dengan prosentase antara 3% sampai 15% packet loss, keempat adalah Poor dengan prosentase 15% sampai 25% packet loss [8]. Pada pengujian jitter, telah dilakukan mekanisme monitor IP SLA ICMP Path Jitter, dimana hasil statistik menunjukkan nilai jitter dan packet loss. Sehingga hasil monitor packet loss yang terjadi saat pengiriman data dari router CE1_VPN_DKV-A menuju CE1_VPN_DKV-B tanpa IPsec tunneling, CE1_VPN_TI-B menuju CE1_VPN_TI-A tanpa IPsec tunneling, dan CE1_VPN_TI-B menuju CE1_VPN_TIA dengan mengaktifkan IPsec tunneling. didata pada Tabel 3. Tabel 3 Hasil Monitoring Packet Loss Hostname Packet Loss CE1_VPN_DKV-A 0% CE1_VPN_TI-B 0% CE1_VPN_DKV-A dengan IPsec CE1_VPN_TI-B dengan IPsec 1%
Kategori Excellent Excellent Excellent
Tabel 3 menunjukkan prosentase packet loss dari masing-masing VPN. Pada waktu IPsec tidak diaktifkan, vpnTI dan vpnDKV tidak memiliki packet loss dan masuk dalam kategori Excellent. Saat IPsec diaktifkan, vpnTI mengalami 1% packet loss yaitu terdapat dua paket data yang gagal didekripsi, namun prosentase packet loss hanya sebesar 1% maka masuk di dalam kategori Excellent. Parameter uji yang keempat adalah latency. Latencey disebut juga One-Way Delay, adalah total waktu tunda (delay) yang dibutuhkan sebuah paket data yang diakibatkan oleh proses transmisi dari titik asal ke titik tujuan. Nilai Latency dibagi menjadi empat kategori, antara lain excellent yang memiliki delay lebih kecil dari 150ms. Good dengan nilai delay antara 150ms sampai 300ms. Poor dengan nilai delay antara 300ms sampai 400ms. Unaceptable dengan nilai delay diatas 450ms. Jadi, semakin kecil nilai latency,maka jaringan akan terasa semakin cepat [8] Oleh karena rute masing-masing VPN dalam jaringan yang telah diimplementasi (jalur saat mengirim paket dan menerima paket kembali) tidak akan berubah, maka nilai latency adalah separuh dari nilai Round Trip Time (RTT). Sehingga berikut adalah hasil rata-rata dari nilai latency masing-masing VPN yang didata pada Tabel 4. Tabel 4 Hasil Rata-rata Latency Masing-masing VPN Rata-rata Latency 2 Nama VPN Rata-rata RTT vpnTI 21ms 11ms vpnDKV 21ms 11ms vpnTI dengan IPsec 357ms 178,5ms vpnDKV dengan IPsec -
Kategori Excellent Excellent Good -
Berdasarkan Tabel 4, nilai rata-rata latency saat jaringan VPN berjalan normal tanpa enkripsi IPsec tunneling adalah dibawah 150 ms, sehingga termasuk dalam kategori excellent. Namun setelah IPsec tunneling diaktifkan, nilai latency menjadi bertambah drastis seperti yang terjadi pada vpnTI. Hal ini terjadi karena adanya proses enkripsi dan dekripsi dari setiap paket data yang dikirim dan diterima pada jaringan IPsec vpnTI. Meskipun latency pada jaringan vpnTI bertambah drastis, hasil perhitungan masih tergolong dalam kategori Good. Sedangkan nilai latency pada jaringan vpnDKV dengan IPsec tunneling tidak ada, karena terjadi kegagalan dalam mengaktifkan IPsec tunneling yang disebabkan kecepatan jaringan yang terlalu lambat. Hal ini besar kemungkinan terjadi karena adanya bottle neck pada jaringan Service Provider. 17
Bottle Neck pada jaringan Service Provider dicurigai terjadi karena lambanya kecepatan yang diterima oleh vpnTI dan vpnDKV. Kecurigaan ini perlu dibuktikan, salah satunya dimulai dari memeriksa media penghubung router PE1, P, dan PE2. Ketiga router milik Service Provider ini dihubungkan menggunakan kabel Serial DCE/DTE lalu ditancapkan pada modul WIC-2T. WIC-2T adalah dua port asynchronous/synchronous serial network module berkecepatan rendah, maksimal 128Kbps [9]. Sedangkan koneksi antara SP dengan setiap CE menggunakan Fast Ethernet yang berkecepatan maksimal 100Mbps. Sehingga bottle neck terjadi di dalam jaringan SP sepeti pada Gambar 18.
Gambar 18 Bottle Neck pada Jaringan Service Provider
Dari hasil pengujian download yang sudah dilakukan pada vpnTI dan vpnDKV pada Tabel 1, kecepatan download vpnTI dan vpnDKV tidak akan melebihi 128Kbps. Hal ini disebabkan modul WIC-2T yang dipakai oleh router PE1, P, dan PE2 di dalam jaringan Service Provider hanya mampu menangani transfer data dengan kecepatan maksimal 128Kbps. Tabel 5 Hasil pengujian download vpnTI dan vpnDKV Kecepatan download Kecepatan download Nama VPN (KBps) (bps) vpnTI 14,2 113.600 vpnDKV 4,5 36.000 vpnTI dengan 13,5 108.000 IPsec vpnDKV dengan IPsec
Berdasarkan Tabel 5, dapat diketahui kelemahan jaringan Service Provider yang telah diimplementasi. Kelemahannya adalah terjadinya bottle neck yang disebabkan rendahnya kecepatan yang mampu dihantarkan oleh media penghubung (WIC-2T) antara PE1, P, dan PE2. Kemudian, dari Tabel 1 dapat dihitung prosentase pemakaian bandwidth oleh vpnTI dan vpnDKV, sehingga dapat diketahui apakah jaringan yang sudah diimplementasi efektif atau tidak. Mengingat keterbatasan modul WIC-2T yang dipakai di dalam jaringan Service Provider hanya mampu melakukan transmisi data 128Kbps [9], maka untuk menentukan efektifitas kinerja jaringan ini dilakukan dengan perhitungan prosentase pemakaian bandwidth masing-masing VPN. Hasil dari prosentase pemakaian bandwidth tertera pada Tabel 6.
18
Tabel 6 Hasil prosentase pemakaian bandwidth vpnTI dan vpnDKV Kecepatan download Nama VPN Prosentase pemakaian bandwidth (bps) vpnTI 113.600 88,75% vpnDKV 36.000 28,12% vpnTI dengan 108.000 84,38% IPsec vpnDKV dengan IPsec
Berdasarkan Tabel 6, vpnTI mengkonsumsi 88,75% dari bandwidth yang tersedia di dalam Service Provider MPLS Cloud. Sedangkan vpnDKV mengkonsumsi 28,12% dari bandwidth yang tersedia. Sehingga vpnTI memngkonsumsi bandwidth jauh lebih banyak dari vpnDKV meskipun keduanya memiliki kecepatan yang lambat, namun vpnTI memiliki prosentase yang lebih besar dalam konsumsi bandwidth. 5. Simpulan Berdasarkan analisis kinerja VPN pada Cisco Multi-VRF yang telah dibangun di lab. CTC1 milik FTI-UKSW, maka dapat ditarik kesimpulan, diantaranya multiVRF dapat diterapkan dalam jaringan MPLS VPN Layer 3. Masing-masing VPN memiliki routing table yang independen, yaitu VRF vpnTI dan VRF vpnDKV. Overlap alamat IP dapat dilakukan dalam jaringan MPLS VPN Layer 3, sehingga vpnTI tidak akan bisa menyeberang ke vpnDKV dan sebaliknya. Berdasarkan hasil analisis reliability, jitter, latency, dan prosentase pemakaian bandwidth jaringan tidak melebihi batas toleransi NPMs (Network Performance Parameters), walaupun ditemukan bottle neck di dalam MPLS Cloud milik Service Provider yang menggunakan Serial Module WIC-2T dengan kecepatan maksimum 128Kbps. 6. Daftar Pustaka [1] Cisco Systems., 2007., Cisco VPN Solutions Center : MPLS Selection User Guide [2] Pultz, Richard., 2004., Analysis of MPLS-Based IP VPN Security: Comparison to Traditional L2VPNs such as ATM and Frame Relay, and Deployment Guidelines. [3] Seno, Rahardianto., 2010., Perancangan dan Penerapan Teknologi Multi Protocol Label Switching Pada Jaringan Telekomunikasi Indosat Oleh Pt. Anugrah Sentosa Informatika Indonesia., Iskandar, M. Yudhi, Mota, Miftah A. [4] Bollapragada, Vijay., 2005., IPsec VPN Design., Khalid, Mohhamed., Wainner, Scott. [5] Fitzgerald, Denis., 2012., Business Data Communications & Networking 11th Edition. [6] Ghein, Luc De., 2007., MPLS Fundamentals. [7] Lee , Hyo-Jin dkk., 2007., QoS Parameters to Network Performance Metrics Mapping for SLA Monitoring. [8] Cisco Systems., 2008., Cisco IOS IP SLA Configuration Guide Release 12.4 [9] Cisco Systems., 2011., Cisco Packet Tracer 5.3.3.0019.
19