Cisco “nyebut” Campus bukan buat “akademisi”, “kuliahan”, ato “sekolahan” ya…
Kata Campus oleh Cisco digunakan untuk mendefinisikan Inside Network Design dari suatu perusahaan
Prerequisites for learning this article:
Network Engineer with Associate Level of Design Knowledge (ex. CCNA)
because what we’ll talk about is NSF, SSO, VSS, VDC, and those 3 hiearchical layer
============================
Kabarnya gambar dengan 3 layer diatas ini Cisco yang bikin
But Why? What? Who? Where? When? And How?
WHAT? Hierarchical Network Model is developed to make a good Network
WHO? The Design developed by Cisco in order to achieve maximum network potential of Their Clients (especially in Cisco Network Devices)
WHY? Why Cisco make Network Design based on that picture above…
1st: To avoid complexity
Without Design
With Design
Gambar diatas “niat”nya mau FULL REDUDANCY, but in the end…too much links dan bikin komplek, yang bikin cost bengkak (nambah kabel = cost), dengan proper planning lo bisa “separate” area mana yang HARUS di-redudan, mana yang ga perlu
Remember This…KISS (Keep It Simple and Stupid)
Lu ga mau kan bilang bisa ini bisa itu, begitu ada masalah dan semua orang nunjuk lo, lo sendiri yang pusing sangking kompleknya lo nge-rancang network (entah karena blagu lo ngomong bisa ini bisa itu ato karena diteken sales harus bisa ini bisa itu, klo ga, ga akan tembus proyeknya…hahah)
When Trouble comes…You’ll be Shot First, hence came the name “Troubleshot” 😛
Nah, untuk tau area2 mana saja….Cisco bikin Hierarchical Network model yang menekankan Modular Approach
2nd: Modular Approach
“wokeh…pertama kita harus tau, area2 mana saja yang ada end user-nya?, devices yang bisa diakses dari luar jaringan kita akan kita tempatin diarea mana?, perlu ga kita bikin area khusus untuk kita tempatin alat2 khusus jaringan kek Nexus 7000?”
“nah, ini printer2 plus PC2 punya end-user kita tempatin disuatu area yang beda dari server, klo ada hacker di network user kan ga bisa langsung akses server” (DMZ Area)
“Server2 ini harus kita pasang Firewall untuk ngehadang hacker dari luar, dan pasang juga Firewall yang ngadep ke end-user supaya hacker ga bisa jebol server dari dalem” (Firewall Sandwich)
“kita punya jaringan VoIP, berarti harus dibikin gimana caranya Voice traffic ga nge-drop”
Dll…
Nah, salah satu gunanya modular approach ini adalah troubleshooting yang gampang
3rd: Easier Troubleshooting and Problem Isolation
Klo kita tau, PC-PC ada diarea mana, settingan Route Filtering-QoS-EtherChannel, etc. ada dimana, Firewall dan Server ada dimana, ini akan memudahkan kita untuk isolasi problem
Ada ga yang mau klo satu server rusak, trus impact-nya keseluruh network?!? Ga kan…
“woi…windows server-nya rusak nih…(pas dilihat ternyata switchnya mati)…oke…gw ganti switch-nya ya”
Dan ternyata itu switch kehubung ke PC-PC end user….mampus ente dimaki2 gara2 jaringan putus:D
Nah, dengan konsep Hierarchical Network ini kita bisa tshoot suatu area tanpa mempengaruhi area yang lain (klo di Routing&Switching, ini konsep kek OSPF dengan Area-nya)
Dengan mudahnya kita troubleshooting dan isolasi problem, artinya memudahkan kita dalam mengatur jaringan
4th: Network Management
“woi…gw ga bisa konek ke internet nih (END USER)”
“oh…gw tau itu ada dimana”
“woi, Server SAP ga bisa diakses”
“ok….gw cek Core Switch”
Lo tau harus ngapain, lo tau jumlah devices nya ada berapa, lo tau network health and status, dan semua itu lo lakukan disebuah PC netMon (Network Monitoring), tinggal remote desktop, pake Laptop, IPad, bahkan Smartphone
========================================
WHERE? Cisco membagi Model ini menjadi 3 layer: Access, Distribution, dan Core
3 Layer Hierarchical Models Fundamentals
Access Layer: Area2 dimana End-Devices terhubung
Access layer biasanya mempunyai karakteristik sebagi berikut:
- End Point Security (Switchport Security, 802.1X authentication, DAI, etc.), karena ini “Front-Line” dari Security trust area…klo Access layer Jebol, artinya hacker bisa berpura2 jadi authorized end-user untuk akses network resources
- PoE (Power over Ethernet), biasanya perusahaan beli untuk 4-5 tahun kedepan atau lebih, yang tadinya disupport PSTN (ex. Telkom), to reduce cost…mereka kedepannya mau upgrade dan move ke VoIP, PoE ini bisa provide power buat IP Phone dan Access Point (AP) untuk wireless
- Virtual LAN (VLAN), perusahaan biasanya pengen separate traffic dari department yang satu ke yang lain (termasuk broadcast traffic) tanpa harus membeli another switch
Distribution Layer: Area yang menghubungkan Access Layer ke Access Layer Lainnya
Karena Distribution itu perannya sebagai “bridge” antar LAN, Area, atau Gedung, karakteristiknya sebagai berikut:
- QoS (Quality of Service), disini tempatnya settingan QoS untuk handle traffic keluar masuk
- Redundan, jelas…karena ini layer penting, artinya ga bole mati, dan biasanya default gateway adanya disini, itu berarti device di layer ini harus ada yang backup, baik itu Active/Standby mode…ataupun Active/Active mode. Contoh redundancy untuk default gateway adalah FHRP (HSRP, GLBP, VRRP)
- Summarisasi, summarisasi biasanya dilakukan agar menghemat kinerja proses dari routing table
Core Layer: Extend Distribution
Tapi bayangin klo network kita uda makin gede, dari yang 1 gedung dengan 2 Distribution Layer Switch dan 4 Access layer Switch…jadi 4 gedung dengan jumlah alat yang sama
RIbet kan klo diliat jadinya.nah, klo ada Core…jadi lebih “neat, seperti gambar dibawah ini
Karakteristik dari Core Layer adalah sebagai berikut:
- High Speed Switching, karena tujuan awalnya adalah sebagai “perpanjangan tangan” dari Distribution Switch, jadi kita ga pengen ganggu dengan hal2 lain yang ganggu prosess CPU-nya
- No Packet/Frame Policing, karena? Alasannya adalah Point pertama…
- EtherChannel, to maximize their potential of HIGH SPEED…
- Fast Convergence and Redudancy, klo yang satu fail…harus ada yang backup…IN SPLIT SECOND
Eh itu digambar atas kok WAN Router koneknya ke Access Layer Switch? Emang termasuk Access Layer?
Termasuk Access layer, inget…Hierarchical Model ini didevelop untuk maximize the network within the company (Core Layer-nya aja menghubungkan jaringan perusahaan yang sama)
Hierarchical Network Model ini sering disebut Enterprise Campus Network Design
oleh Cisco (klo untuk WAN ada strategi design-nya lagi, sebutannya juga beda lagi hahaha…nanti gw bahas)
=================================
In Split Second? But HOW did they do that?
In order to Achieve <200ms failover convergence, selain dari Routing Protocol Convergence, Cisco punya namanya SSO (Stateful Switchover), apaan inih?
Bayangin klo lo punya “otak” cadangan…begitu otak primary lo mati *hahah* kocak juga…”otak primary mati”, ada otak lain yang bisa backup
Nah, Otak di Switch-nya Cisco disebut Supervisor (dia yang ngatur L2 dan L3 forwarding, ACL, sampe QoS), dalam Supervisor juga terdapat Route Processor (RP) yang ngatur Routing (makanya dia bisa ngatur L3 Forwarding)
Jadi begitu itu Supervisor kenapa2 (anggeplah HANG kebanyak mikir routing wkwkw) ada supervisor 1 lagi yang siap backup
Tapi kan saat pindah supervisor perlu waktu walaupun sepersekian detik, gimana cara biar “keep forwarding” sambil switch ke backup supervisor?
Cisco punya fitur yang namanya NSF (Non-Stop Forwarding), standby supervisor akan ngebackup L2 Forwarding/Data Plane (including CEF dan LFIB) dari active supervisor, jadi begitu supervisor active mati, data transfer masi bisa di lakukan sambil nunggu supervisor selesai switchover
Kesimpulannya…NSF pasti bareng sama SSO, makanya terms NSF SSO pasti disebut bareng
Dan tenang…EIGRP, OSPF, IS-IS, dan BGP support NSF SSO (no RIP? Yup)
softwarenya itu para routing protocol uda disetting untuk detect ini device lagi failover ato engga, status nya klo di routing table jadi STALE, alias router akan nganggep ini rute uda ga “fresh” lagi…dan dia akan update L2 dan L3 forwarding table yang dia punya klo ada update-an yang fresh masuk ke dia
Klo di BGP, kita bisa liat pake “show ip bgp” untuk liat mana aja rute yang STALE (lagi di switchover network-nya)
*note: klo pake NSF SSO, timer itu routing protocol jgn disetting terlalu cepat, karena NSF bergantung ama CEF…begitu CEF-nya ganti gara2 timer convergensi routing protocolnya terlalu cepet, NSF-nya jadi fail
OKE…jadi supervisor2 itu di 1 Switch kan? Yup
klo SWITCH ITU SENDIRI-nya mati…ga ada gunanya kan 2 supervisor itu?!?That’s when VSS (Virtual Switching System) comes into play
========================================================
VSS (Virtual Switching System)
Pernah nonton dragon ball?!? Liat Goku ama Vegeta fusion ga?!?
Mereka jadi 1 tubuh…tapi masing2 punya pikiran sendiri…lawan Goku sendirian aja uda mabok…ini di Fusion ama Vegeta wkwkwk, prinsip yang sama juga dipake di VSS
Ambil 2 Catalyst 6500…gw bisa bikin mereka FUSION juga hahaha, Konsep VSS juga sama…2 device fisik digabung jadi 1 device virtual
Jadi klo switch yang 1 mati, masi bisa ke yang lain, VSS terbentuk dengan cara konekin 2 link Cat6500 ke Cat6500 yang lain (I don’t know about another switch), link ini disebut VSL (Virtual Switch Link)
Kok 2 sih link nya? Ya itu…klo 1 link mati…masi ada link lain…jadi ENSURE DRAGON BALL FUSION-nya ga PECAH *hahaha* maksudnya VSS-nya
Lagian klo di production network, itu VSS tiba2 ga jalan…yang tadinya 2 switch itu share routing table, tiba2 kepisah…akhirnya masing2 switch akan berdiri sendiri…yang artinya…DUPLICATE anything (contoh: duplicate OSPF router-id)
Lets take a look at picture below
nah… sebuah EtherChannel versi VSS akan terbentuk otomatis begitu itu 2 switch FUSION *gw lebih suka ngomong ini wkwkwk
Gambar A. traditional design, redudancy minded, Access Switch punya 1 link ke Switch X (main uplink) dan 1 link lagi ke switch Y (standby uplink)…ada STP (look at blocked port)
Gambar B. desain fisik VSS, secara fisik konek ke 2 Switch, tapi di mata Access Switch (Access Layer logical view), 2 uplink-nya konek ke 1 device (VSS)
Gambar C. karena itu 2 uplink-nya jadi 1 gara2 VSS…itu Switch2 di VSS otomatis akan perform MEC (MEC – Multichassis EtherChannel) alias EtherChannel-nya VSS and no STP
Look at that!!!….bagi gw ini OVERKILL banget…tapi dengan design seperti ini…ini network RESILIENT ABIS, uda kek jagoan superhero…susah mati
2 switch yang sama2 aktif (bukan failover, remember FUSION), yang masing2 punya 2 supervisor, jantung yang satu kena…masi ada satu lagi…jantungnya mati 2-2nya…masi ada jagoan laen yang masi aktif dengan 2 jantung pula…IMAGINE THAT!!!
1 switch aja uda resilient abis (ada NSF SSO), ini digabung dengan switch lain dengan fungsi sama…bener2 TOUGH BASTARD MU’FUKA hahaha
Biasanya klo topologi STAR yang rentan kan tengah2nya…but its not gonna happen in VSS, klo perlu masing2 core switch-nya lo pasang VSS juga…AJIIEEEB DAH
Nah, klo VSL nya ga jalan gimana? There’s 3 way to detect and overcome this
- E-PAgP (Enhanced PAgP), default: itu VSL pake konsep PAgP, tapi khusus di design buat VSL-nya VSS
- BFD (Bi-directional Forwarding Detection): lo harus buat 1 link dedicated buat tuker2an “keepalive”
- Fast Hellos: versi upgrade-nya BFD (rekomendasi pake ini klo E-PAgP ga bisa, tapi harus IOS 12.2(33)SXI keatas)
Berarti ini VSS bisa dijadiin default gateway dong? Bisa, bisa dipakein FHRP kek HSRP,GLBP, dan VRRP dong?? Ngapain!!
FHRP kan sifatnya failover (ada aktif ada standby)…lah VSS kan sama2 aktif…jadi ga perlu pake FHRP, pasang aja default gateway-nya di VSS…selese
Mau pake FHRP juga?? Ini lebih OVERKILL…VSS A dan VSS B digabung, VSS A jadi Active dan VSS B jadi Standby…klo perlu pake GLBP (yang bisa sama2 aktif)….BEEEEUHHHH
Lebih MUKE GILE nih topologi kek diatas @_@ (4 Cat6500 Switch, perform 2 VSS in pairs, with each pair partner have 2 supervisor)
Dibawah ini adalah gambar supervisor module dari Cisco Switch Catalyst 6500 Series
Note:
- MSFC: Supervisor Engine that capable of multilayer switching and routing intelligence (L3)
- PFC: Supervisor Engine for data plane/ASIC (L2)
Hmm…design boleh keren…tapi dengan VSS ini artinya kita NAMBAH DEVICE lagi kan?!? Another goddamn Cat6500 switch?!?! the price bro….i think its not gonna happen…
Hahaha…iya, but don’t worry (be happy)…ada satu teknologi di Cisco yang disebut VDC (Virtual Device Context) untuk handle tentang masalah device yang terlalu banyak
============================================
VDC (Virtual Device Context)
Singkat kata…lo pengen ga mau ngeluarin duit banyak2 untuk beli alat yang spesialis di Core Layer/Distribution layer?
Dengan VDC, kita bisa bikin Core Layer dan Distribution Layer function…di Switch yang SAMA
Gimana caranya?? Tau VMWare kan…nah, VDC itu ngikutin konsep VMWare…1 physical device separated into more than 2 logical devices, yang masing2 logical devices itu berdiri sendiri (1 VDC buat Core, 1 VDC buat distribution)
Bahkan dalam 1 logical VDC bisa perform VSS pula…gelo nih fitur…
Currently…up to 8 VDC can be build, tentu ga bisa pake supervisor biasa…mesti pake Enhanced Supervisor (the new one is SUP2E Supervisor Module)
Keuntungan dari VDC
- Rack Saving, klo bisa 1 device ngerjain kerjaan 2 device sekaligus…kenapa harus 2 ngerjain 1-1?!?
- HVAC Saving (Heat, Ventilation, and Air Conditioning), ruangan server/network pasti panas karena kebanyakan alat, we can save that in term of devices (soal AC kurang dingin jgn nanya ama gw…)
- Power Saving, yup…electrical savings
- Cost Saving…YEAH…FINALLY hahaha
Eh tapi kok gambar2nya semua pake Nexus 7000 ya?? Well…VDC baru ada di Nexus 7000 hehehe
Wkwkwk, Klo diliat2 memang target pasarnya adalah Data Center…Track Cisco Data Center (CCNA sampe CCIE Data Center) maenannya ke Nexus semua
=========================================
Reference:
ARCH – Designing Cisco Network Service Architecture (642-874) Student Guide
Cisco Network Supervisor from networkpcworld.com
Catalyst 6500 SSO Configuration Guide
Aug 31, 2015 @ 10:43:49
keren gan sharean ilmunya,
untuk vdc sebenarnya dijuniper udah ada dari juniper router junos 9, nama barunya logical system(nama lamanya lupa) tapi butuh license lagi, yang lain feeeling saya ada. Kalau gak mau license bisa pake virtual router dijunos atau vrf dicisco.
thx
Aug 20, 2016 @ 08:04:06
Pake software design jaringan apa gan di setiap topologi jaringan nya ?
Aug 20, 2016 @ 21:59:40
pake visio juga bisa
Jul 04, 2017 @ 14:23:01
thanks banget gan, sharing ilmunya, dijelaskan dengan lugas dengan bahasa yang nyantai, dan anjaaay.. hahaaa..
Aug 03, 2017 @ 13:54:10
Kalau Desain Jaringan Untuk Disaster Recovery Plan dengan 2 gedung berbeda jarak 500 meter ,gimana gambarnya
Sep 05, 2017 @ 11:31:26
ada 2
mau pake tower (radio)
atau tanem fiber single mode
Mar 08, 2020 @ 08:48:01
gan nanya!!!! please make it simple apa bedanya vss, vpc, ehterchannel/portchannel ?? dari yg gua tangkep ke 3 itu fungsinya sama.. atau mungkin beda? butuh pencerahan
Mar 11, 2020 @ 10:10:13
Port Channel = Port Aggregation, 2 link dijadikan 1
VSS = Device Aggregation, 2 Switch dijadikan 1, sharing resource
VPC = sama kek VSS, 2 switch dijadikan 1, tapi bisa separate resource
Mar 11, 2020 @ 10:34:02
Okeh! Terimakasih! tapi sebelumnya satu lagi buat make sure, berarti saya bisa bilang VSS VPC untuk switch L2, L3… dan FHRP -> HSRP, VRRP, GLBP untuk router?