Advertisements
Home

Route Filtering and Prefix-List in JunOS

Leave a comment

Now we discuss about prefix-list and route-filtering di Juniper, topologinya kek gini:

Dan interface loopback di junipernya seperti ini:

Ceritanya kita mo filter ini network2 yang ada di juniper supaya ga di advertise ke Cisco, initial routing table-nya kek gini

(pake RIP, liat aja di previous config yang gw kasi)

=============================

Filtering using Prefix-List

Contoh, dari route rip yang di advertise Juniper, kita hanya pengen network yang depannya 2.1.X.X untuk di kasi ke Cisco

Penjelasan:

  • Kita create prefix-list untuk network yang kita mau filter dengan namanya “ONLY” (nama bebas sebenernya)
  • Trus kita bikin statement bahwa prefix2 tersebut di-accept (diterima) dengan nama “ACCEPT” (again…nama bebas)
    • Keyword “orlonger” kita bahas dibawah nanti
  • Statement yang kita buat tadi lalu kita masukkan ke policy punya RIP dengan keyword “term EXPORT policy ACCEPT

Nah, kita masukin ini policy RIP ke konfigurasi RIP itu sendiri

We’ll see…in Cisco

===========================================

Filtering using Route-Filter

Note: untuk filtering pake prefix-list ato route-filter sebenernya bisa langsung sih, ga usa pake policy segala (tapi lebih rapih klo pake policy)

Contoh, kita bisa bikin langsung kek gini:

Set policy-options policy-statement EXPORT-RIP term EXPORT from route-filter 2.3.0.0/16 (langsung ke EXPORT-RIP-nya, tanpa harus di pasang ke policy route-filter tersendiri yaitu ke DO-NOT-ADVERTISE)

Nyok kita liat di Cisco

==============================

FILTERING TERMS

Ini yang tadi mau gw bahas…apa itu longer, orlonger, dll

Jadi dalam Juniper Filtering ada optional condition yang kita bisa pilih untuk filtering route

Apa aja itu:

  • Exact: filtering exact prefix (“from route-filter 10.1.1.1/24 exact“, yang di filter ya network itu aja)
  • Orlonger: filtering network itu dan yang lebih besar mask-nya (“from route-filter 10.1.1.1/24 orlonger“, yang di filter ya 10.1.1.1/24../25../26 dst)
  • Longer: filtering network yang lebih besar dari network yang sudah disebutkan (jadi /24-nya mah kaga ke filter)
  • Upto: ini kek range prefix (“from route-filter 10.1.1.1/24 upto /27“)
  • Prefix-length-range: lebih spesifik daripada upto (“from route-filter 10.1.1.1/24 prefix-length-range /27-/29“)
  • Through: gabungan orlonger dan upto (“from route-filter 10.1.1.1/24 through 10.2.2.0/25“)

That’s it folks…

Advertisements

Firewall Filter in JunOS

2 Comments

Firewall Filter di Juniper = Access-list di Cisco

Dan sama kek ACL, can be implemented for the greater good than firewall/limiting traffic itself

Di Juniper hanya mengenal EXTENDED ACL (if you want to say it that way)

Contoh: Cisco mo nge-ping/telnet loopback IP 2.5.5.1 di Juniper, hanya IP 1.1.1.1 yang boleh, yang IP 1.1.1.2 ga boleh

Sistemnya mirip kek Cisco, klo di Cisco kita kenal ada “implicit deny“, di Juniper pun ada…istilahnya disebut “silent discard

Dan menurut gw…command-nya lebih “manusiawi” daripada Cisco ACL hahaha

Sistemnya pake “if-then” criteria

If pinged from this/that source address…then reject/discard/accept

If dalam Juniper disebut term

Kita liat show firewall configuration-nya

Sama seperti Cisco, ini Firewall Filter harus kita pasang di Interface

Nyok..kita test ping

Dari 1.1.1.1 bisa, dari 1.1.1.2 hasilnya adalah:

Yup…di block, itu gw pake kriteria “reject“…klo gw pake “discard” gimana (then discard)

Coba tes ping lagi dari 1.1.1.2

Okeh…keliatankan bedanya, term reject akan ngasih ICMP notification (destination unreachable) sedangkan discard engga (drop packet langsung)

=================================

Restricting Other Access

Banyak variasi config yang bisa dilakukan, gw Cuma ngasi contoh untuk limit hanya 1.1.1.1 yang boleh telnet ke Juniper

Initially, Cisco can telnet Juniper

Don’t forget setting “set system services telnet” (“line vty 0 4”-nya Juniper) dulu di Juniper-nya yah

Nah, sekarang (pake firewall filter yang tadi aja de) kita setting supaya ga bisa accept telnet, tapi masi bisa ping

Yuk, kita ping…

Coba kita test telnet

Yup…sekian dan terima kasih