IPSec Site2Site with VTI (Virtual Tunnel Interface)

Leave a comment

Kemaren kita bahas tentang salah satu varian Cisco VPN, yaitu DMVPN

Sekarang kita bahas tentang varian lainnya, yaitu VTI (Virtual Tunnel Interface)

Pre-requisite:

  • GRE (knowledge about DMVPN dan Secure DMVPN much preferred)

———————————————————————

Why VTI?

Kelemahan dari DMVPN adalah dalam pemakaian tunnel-nya, klo kita mau konek ke branch, kita pointing ke IP tunnel-nya (tul gak?!?), bikin IP baru lagi dong (taro di tunnel), dan yang pasti management IP lebih berat lagi dong, belum lagi ga terlalu “routable” itu IP di tunnel (fungsi IP tunnel-nya itu kan buat konekin tunnel satu ke yang lain…itu tok)

Nah, kelemahan ini yang VTI eliminasi, di interface tunnel ga perlu ada IP, pointing tunnel-nya ke IP “beneran” (biasa ke loopback)

Kok bisa? Lets take a look at the network diagram and configuration below

Take a look at “int tunnel 1” with no ip address and replaced by “ip unnumbered loopback 1” command alias R1 akan pointing IP Address tunnel-nya ke loopback

Untuk maksud “tunnel mode ipsec ipv4” dan “tunnel protection ipsec profile [nama]” sudah dijelaskan di Secure DMVPN (artinya lu harus setting sendiri profile-nya…liat aja caranya di link yang gw kasih)

Untuk routing bisa sendirilah…gw pake default route aja

Lets verify is VTI tunnel kita dapet IP apa engga

Take a look at IP address Tunnel1…IP-nya adalah 1.1.1.1, method TFTP…artinya VTI Tunnel kita dapet IP

Lets ping to the R3 tunnel (which is 3.3.3.3)

Done…

——————————————————-

Bonus…

Advantages of VTI

Karena kita pake interface “beneran” (yang IP-nya routable), berarti kita juga bisa taro QoS di VTI

Contohnya…klo ada traffic make IP loopback untuk koneksi normal kita kasi precedence 4 (semakin tinggi nilai semakin di prioritaskan), sedangkan klo ada traffic make IP looback buat VPN-an kita kasi precedence 2 (that’s great!!!)

Nyok kita liat…

Bikin Klasifikasi Traffic (Class-map) dulu …untuk misahin traffic biasa (FastEth-Class) dan traffic VTI (VTI-Class)

Trus bikin Policy untuk masing2 traffic (Policy-map), lalu taro de di interface tunnel dengan service policy output [nama policy-map] seperti yang kita lihat dibawah ini

Nah, klo trafficnya pake VTI Tunnel (buat ke branch misalkan), nanti akan di kasi prioritas rendah (precedence 2), sisanya normal

Untuk lebih jelas tentang Traffic Classification, Traffic Policing, dan Traffic Shaping bisa dilihat disini

Verifikasi:

———————————————

References:

VPN Differences @Ciscozine.com – http://www.ciscozine.com/ipsec-vpn-ezvpn-gre-dmvpn-vti-getvpn/

Comparing VPN @Firewall.cx – http://www.firewall.cx/cisco-technical-knowledgebase/cisco-services-tech/945-cisco-comparing-vpn-technologies.html

Advantages using VTI by Paul Stewart #26009 (Security) – http://www.packetu.com/2012/05/01/avantages-of-using-svti-based-vpns/

Advantages using VTI @Cisco Support Forum – https://supportforums.cisco.com/blog/149426/advantages-vti-configuration-ipsec-tunnels

IPSec WAN Design Review @Cisco whitepaper – http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008074f22f.pdf

Network Separation: Subnetwork or VLAN?

Leave a comment

Prerequisite for learning:

  • VLSM IP Addressing
  • Understand how Switch and VLAN works

————————————————

A lot of people ask me this question…

klo kita bisa misahin network dengan cara VLSM, trus buat apa pake VLAN?

Atau

kan udah ada VLAN, ngapain lagi mesti dipisah2 IP Network-nya?

Andddd…this inspire me to write the article….

————————————————-

The Analogy

Look…I’ll describe this problem with these simple way

A subnetwork (or we call it subnet) separation is different groups of people in the same floor

A VLAN Separation is different rooms in the same floor

——————————————————–

The Uses

Subnetwork itu klo lo pengen divisi sales dan divisi finance punya traffic terpisah, masing2 ga ganggu satu sama lain

Misalkan SALES pake IP 192.168.1.0/25 dan FINANCE pake IP 192.168.1.128/25, klo user yang ada di network SALES mau local broadcast (192.168.1.127, last IP for broadcast, remember?!?) dia punya file ke temen2nya yang satu divisi, dia ga akan ganggu user2 yang ada di divisi lain

Sedangkan VLAN itu gunanya untuk bikin 1 switch seakan2 jadi beberapa switch (1 physical switch jadi 2 atau lebih virtual switch, hence the name “V”-LAN), yang masing2 switch itu ga ada mekanisme (by default) untuk bisa ngomong satu sama lain, ini pun bisa berguna untuk misahin traffic

Trus, bedanya apa?

Nah VLAN itu berguna untuk misahin traffic broadcast (lagi), hanya saja bukan broadcast local (Layer 3-Network) seperti subnetwork, tapi broadcast frame (0xFFFFFFFFFFFF)

Contohnya? Buat nyari ARP (ARP Request anyone?!?) or in IPv6 is called NDP – Neighbor Discovery Protocol

Can you guess how it works? Yup…klo ga pake VLAN, semua orang2 itu (walaupun beda subnet)…tetep kena ARP

Another example: DHCP

In a simple sentence…Subnetwork itu L3 (Network Separation), VLAN itu L2 (Data-Link Separation)

———————————–

The Conclusion

Lu bisa artiin sendiri lah…

Older Entries