VRF – Rou(ng like VPN By: Novan Chris CITRAWEB NUSA INFOMEDIA www.mikro:k.co.id
Introduc:on • Novan Chris • Work for Citraweb / Citranet – Mikrotik Distributor & Training Partner, ISP
• Product Manager & Support Manager • Mikro:k Cer:fied Trainer • MTCNA, MTCTCE, MTCRE, MTCWE, MTCUME, MTCINE 2
Overview • Basic Network Implementa:on (Case Study) • Rou:ng Problem – Solu:ons
• VRF – Policy Rou:ng vs VRF
• Route Leaking & Route Consistency • Conclusion + Q&A 3
Basic Network Implementa:on INTERNET 1.1.1.1
1.1.1.100
LAN Client 1
172.16.0.1
172.16.0.0/24
1 ip public, 1 Router, 1 Jaringan Local Client 4
Basic Network Implementa:on • 1 ip public didapatkan dari ISP • Mengak:Tan NAT di Router Utama supaya jaringan client bisa ke internet • Router Utama sebagai Default Gateway dari jaringan local client
5
Basic Network Implementa:on INTERNET 1.1.1.1
1.1.1.100
LAN Client 1 172.16.0.0/24
172.16.0.1
192.168.0.1
LAN Client 2
192.168.0.0/24
1 ip public, 1 Router, 2 Jaringan Local Client 6
Basic Network Implementa:on INTERNET 1.1.1.1
LAN Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1 LAN Client 1 172.16.0.0/24
172.16.0.1
192.168.0.1
LAN Client 2
192.168.0.0/24
1 ip public, 1 Router, 3 Jaringan Local Client 7
Basic Network Implementa:on INTERNET 1.1.1.1
LAN Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1 LAN Client 1 172.16.0.0/24
172.16.0.1
?
192.168.0.1
LAN Client 2
192.168.0.0/24
1 ip public, 1 Router, 3 Jaringan Local Client ??? 8
Rou:ng Table
Router :dak bisa melakukan rou:ng dengan sempurna, kenapa ? 9
Rou:ng Decision • Untuk pemilihan rule routing, router akan memilih berdasarkan: – Rule routing yang paling spesifik tujuannya • Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24
– Distance • Router akan memilih yang distance nya paling kecil
– Round robin (random) 10
Solu:ons • Cerma( Kebutuhan Client
– Apakah client hanya ingin terkoneksi ke internet – Apakah client tersebut juga ingin interkoneksi ke client Anda yang lain
• Ubah “Segmen Network Local” di Client harus berbeda antara satu client dengan client yang lain
– Jika client berkenan/mau menggan: semua se:ng perangkat (PC/Laptop/ Printer/server/camera/AP … ) yang sudah ada dan sudah terlanjur berjalan normal – Memerlukan waktu untuk menggan: semua se:ng perangkat
• Memanfaatkan NAT di router client
– Jika ada budget untuk penambahan router di client – Tetap kesulitan Jika ingin memonitor sampai ke dalam jaringan local client (tetap membutuhkan rou:ng) 11
Rou:ng – Boundary Problem Selama ini kita hanya memanfaatkan Router/ Rou:ng hanya pada tabel “main”, dan akan mendapatkan masalah jika ada dst-‐network yang sama ke gateway / interface yang berbeda.
12
Another Solu:on -‐ VRF INTERNET 1.1.1.1
LAN Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1
LAN Client 1 172.16.0.0/24
172.16.0.1
VRF 1
192.168.0.1
LAN Client 2
192.168.0.0/24
13
VRF VRF – Virtual Rou(ng Forwarding adalah salah satu fitur Rou:ng di Mikro:k yang memungkinkan membuat “Tabel Rou:ng Baru” yang terpisah dari “Rou:ng Table Main”.
14
Policy Route vs VRF • Cara kerja VRF mirip dengan Policy Route • Perbedaannya : – Policy Route akan kembali ke Rou:ng Table Main jika :dak menemukan rule rou:ng / nexthoop lookup yang sesuai. – VRF :dak menggunakan Rou:ng Table Main untuk nexthoop lookup dan jika :dak ada rou:ng yang sesuai di dalam VRF tersebut maka akan diberikan pesan error "network unreachable"
• VRF adalah sebuah rou:ng table yang independen, tetapi masih bisa dimodifikasi jika membutuhkan interkoneksi ke rou:ng table yang lain 15
Policy Route vs VRF FIB
FIB
Rou(ng Table
Policy
Rou(ng Table
VRF
Main
User Def
Main
User Def
Sta:c
User Def
Sta:c
User Def
Sta:c
Catch All
Sta:c
Catch All
Connected
Unreach
16
VRF Implementa:on
VRF ditambahkan sekaligus memasukkan interface LAN Client ke dalam VRF 17
Rou:ng Table
Rou:ng Table yang menggunakan VRF 18
How to connect to the Internet • VRF :dak menggunakan table “main” untuk nexthoop lookup (:dak memiliki default gateway) • Supaya VRF bisa ke internet : – VRF bisa dihubungkan ke Table “Main” menuju ke gateway Internet -‐ “Route Leaking” – Menggunakan Gateway Internet yang berbeda
19
Route Leaking Implementa:on
20
VRF – Route Leaking INTERNET 1.1.1.1
Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1
Client 1 172.16.0.0/24
172.16.0.1
VRF 1
192.168.0.1
Client 2
192.168.0.0/24
21
Route Consistency • Route Leaking hanya membantu mengarahkan traffic request “upload” dari client ke Internet • Perlu adanya rou:ng yang konsisten untuk traffic response “download” • Menggunakan “Policy Route”
22
23
24
25
Rou:ng Consistency INTERNET 1.1.1.1
Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1
Client 1 172.16.0.0/24
172.16.0.1
VRF 1
192.168.0.1
Client 2
192.168.0.0/24
26
VRF -‐ Alterna:ve Gateway INTERNET
INTERNET
2.2.2.2
1.1.1.1
Client 3 192.168.0.0/24
1.1.1.100 192.168.0.1
Client 1 172.16.0.0/24
172.16.0.1
2.2.2.100 VRF 1
192.168.0.1
Client 2
192.168.0.0/24
27
VRF – Alterna:ve Gateway
Tambahkan interface gateway alterna:f ke dalam VRF
28
VRF – Default Route
Default route ditambahkan di tabel rou:ng VRF Tambahkan NAT untuk Gateway Alterna:f 29
CONCLUSION • Korelasi VRF dan VPN : – Keduanya menggunakan nama “Virtual” ☺ – Prinsip VPN adalah membuat virtual network yang terpisah dari real network, ternyata rou:ng juga memiliki kemampuan yang mirip yaitu virtual rou:ng table.
• Keuntungan VRF : – Mengatasi permasalahan rou:ng yang bingung ke:ka ada des:na:on network yang sama di dalam satu tabel rou:ng – Client lebih leluasa menggunakan segmen network local, :dak tergantung segmen network local di client yang lain 30
CONCLUSION 2 • VRF masih bisa dihubungkan ke Tabel Rou:ng Main atau VRF yang lain dengan Route-‐ Leaking • Salah satu Solusi jitu dan solusi hemat untuk provider VPN • Q & A
31
Thank You Mas Broo !! www.mikrotik.co.id
[email protected] @mikrotik_id – picture contest Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk kepentingan pengajaran, dan memberikan kredit dan link ke www.mikrotik.co.id 32
