Home

MPLS Configuration (Part 4 – Backup Route)

October 27, 2013

Miftah Rahman Config Router , , , , , , , Leave a comment

Masalah yang terjadi ketika kita konek ke provider adalah klo HQ di A mo konek ke BR dengan OSPF/EIGRP/IS-IS

Inget ga klo kita mau pake OSPF…semua area selain area 0 harus terhubung ke area 0 (backbone area)

Sedangkan area 0 harus contiguous (ga bole dipecah routing protocol lain atau area lain)

Tapi klo kita konek ke ISP yang pake BGP antar PE itu artinya ga contiguous (CEHQ – PE1 dan CEBR – PE2 pake OSPF Area 0, tapi antar PE pake BGP, jadi kek “kepotong ditengah2” gitu area 0 nya)

Apa yang terjadi dengan CE yang terhubung dengan PE melalui OSPF area 0 yang disebut backbone itu ketika melewati MPLS MP-BGP-nya ISP?!?

Yuk kita liat di dari kacamata ISP PE (ada di part 3) dengan show ip ospf 100

OSPF 100 vrf A connect ke Superbackbone (look at Connected to MPLS VPN Superbackbone)

Inilah yang dinamakan OSPF Superbackbone, nganterin paket dari HQ via OSPF-BGP…

=================================================

Nah, sekarang gw bikin ada link-backup deh…kek gini

Itu router-router “P” kita kasi OSPF (kaga pake “BGP-BGP”an) untuk link backup (buat jaga2 klo MPLS-nya mati)

Lah, bukannya malah jadi lebih prefer link backup?? kan INTRA area (sama2 OSPF)?? klo pake BGP kan jadi INTER area…??

Yup…makanya kita “kadalin” itu konsumen2 ISP supaya ga “backdoor”…pake OSPF SHAM-LINKS
(sham = palsu, biar link utama yang dipake, bukan link backup -_-; )

Contoh kita punya gambar simple kek gini:

Anggeplah itu HQ ke BR lewat MPLS (lewat PE), tapi ada link backup (kek semacam backdoor lah) langsung ke BR

Step 1.
Create MPLS Backbone

  • PE-CE using OSPF with VRF on PE
  • PE1-PE2 using static for reaching each BGP loopback source and using i-BGP with loopback for BGP peering
  • Don’t forget to redistribute OSPF into BGP and vice versa
  • Last, create MPLS
  • Verify Route and trace

Wokeh, everything’s perfect…

Step 2.
Create Backup Link (using OSPF) and verify

Noh…malah lewat bawah (192.168.10.0) bukan lewat MPLS Backbone

Step 3.
Create OSPF Sham-Link di masing2 PE

  • Harus ada 1 loopback interface dengan prefix /32 (buat nandain source & destination sham-link)
  • Pasang VRF di loopback tersebut (untuk ngasi tau VRF mana yang “kena” sham-link)
  • Advertise itu sham-link ke BGP (keyword network) supaya “dikenalin” oleh BGP yang lain
  • And then, create area [nomor] sham-link

    [destination ip]

Nanti ada tulisan kek gini

OSPF-5-ADJCHG: Process1, Nbr 10.10.10.2 on OSPF_SL1 from LOADING to FULL

Mirip kek virtual-link ya?? Emang…

Artinya kita uda sukses buat sham-link, yuk coba kita trace

Loh kok masih lewat bawah…?!?

Oh iya…sham-link ini bikin MPLS Backbone kita dianggep INTRA_AREA juga, tapi karena jalan ke 22.22.22.22 (CE-BR) lebih deket lewat 192.168.10.0 (langsung ke CE-BR) daripada lewat 192.168.11.0 (PE1)…ya otomatis dia milih yang paling deket (remember routing protocol metric!!!)

So di apain ini!??! Ya rubah OSPF Cost nya duuunk (dimasing2 interface router CE yang jadi backdoor)

Sip…

Untuk nge-liat OSPF Sham-Link ini jalan apa kaga, kita bisa pake command show ip ospf sham-link

Yup…Sham Link OSPF_SL1 is UP….

Eh gw ada pertanyaan, harusnya itu IP Loopback di advertise ke OSPF aja, kan nanti di redistribusi ke BGP, ngapain di advertise langsung ke BGP?!? betul sih, tapi nanti keyword area 0 sham-link nya ga ada effect

Klo ini IP loopback di-advertise ke OSPF langsung…nanti dianggep ini route OSPF biasa

Kita pengen bikin “link OSPF palsu” yang bilang bahwa ini ip loopback 10.10.10.1 sampe ke 10.10.10.2 itu satu area loh ama link backup (keyword sham-link)

Supaya ini ip loopback ga dideteksi “pemalsuan/kepalsuan”nya…ya jgn di advertise lewat OSPF…pake BGP solusinya

=====================================

Eh…ini CE ke PE kan pake OSPF…klo gw pake EIGRP gimana?? Ada mekanisme backup link nya ga?!?

Ada…namanya EIGRP SoO (Site of Origin)

Konsepnya adalah…EIGRP akan nge-cek ini rute berasal dari mana, dengan SoO kita bisa bikin EIGRP lebih prefer lewat MPLS Backbone daripada Backdoor (same old story with OSPF)

Kalo OSPF itu Link-State (masing2 router tahu persis topology kek apa), makanya kita perlu sedikit “pemalsuan” (sham = palsu)

Sedangkan EIGRP kita perlu pengecekan asal rute (remember…this protocol is still distance vector)

Step 1. Create EIGRP with VRF in both PE (shut down that link backdoor first)

Step 2. Redistribute EIGRP to BGP and vice versa

Check the routing table and trace it…

Works fine….now activate CE-HQ fa1/0 (link backdoor)

Old problem rise again…

Step 3. Include that IP Loopback (the one we use for OSPF Sham-Link) into EIGRP VRF

Step 4. Create route-map for BGP to check EIGRP Source of Origin/Site of Origin

Step 5. Implement the route-map into interface facing the costumer

Lets check the routing table and trace it

The problem is still same…EIGRP sees 22.22.22.22 route is shorter if it take direct route (to CE-BR)

Lets see the EIGRP topology

See…EIGRP still prefer using backup link because of lower metric…solution?!? Lets change the MATRIX *ahem* I mean the metric

Done…

MPLS Configuration (part 2 – VPN)

October 27, 2013

Miftah Rahman Config Router , , , , , , , 1 Comment

Last time we configure initial MPLS configuration for Backbone ISP

Now we configure “the customers” and their VRF…

We configure…MPLS VPN

=========================================

Gw anggep ip addressing untuk masing2 konsumen uda selesai semua ya…

Sekarang configure static default route aja dari masing2 PT

(di router2 non-ISP lain juga ya)

Sekarang kita masuk ke PE…configure VRF

VRF ini untuk bedain mana routing table yang akan gw kasi ke PT A dan mana ke PT B (liat aja IP nya overlapping gitu…192.168.1.1)

Tes ping (dari PT.A HQ)

(jgn lupa setting VRF juga di PE Kanan dan masing2 Branch)

Nah, karena kita mo konek masing2 PT HQ dengan BR-nya masing2…berarti kita harus export dan import VRF dari masing2 HQ ke BR (dan sebaliknya)

Disinilah gunanya RD dan RT

(PE_Kanan juga di konfigurasi sama)

Penjelasan:

  • VRF itu locally significant alias nama sama antara router ga masalah (ngaru-nya di local router itu sendiri), tapi klo uda di export/import = globally significant
  • RD = route distinguisher, untuk bedain vrf yang satu dengan yang lain dengan nambahin 64bit (32 bit IPv4 + 64bit = 96bit)
  • Route-target import [rd], kita allow ini RD (baca: VRF) di import ke VRF yang lain
  • Route-target export [rd], kita export ini RD ke VRF
  • Route-target both, untuk configure export dan import RD yang sama
  • Route-target ini akan di carry oleh BGP Community, tau dari mana?! Look at this information below…

Nah, kita perlu routing protocol untuk “carry” ini informasi dari router PE yang satu untuk di advertise ke PE lain…tapi apa?? EIGRP kah?? OSPF kah?? Ato BGP kah??

Klo pake IGP (OSPF dan EIGRP) ga mungkin…mereka ga bisa bikin P router yang ditengah2 untuk tidak terbebani oleh routing process (inget…kita pengen P router itu jadi switching kan?!?)

Ya satu2nya yang bisa adalah BGP, tapi…karena RD ini nambahin 64 bit ke IP yang 32 bit, berarti IPv4 nya uda ga “murni” lagi…alias ga bisa dibaca lagi…(emang siapa yang bisa baca 96 bit?!? Ga ada)

Untuk itulah kita perlu protocol baru untuk BGP…namanya MP-BGP (Multi-Protocol BGP)

Untuk mengaktifkan MP-BGP kita harus ketik address-family vpnv4 di BGP subkonfig, tapi ketika gw cek show run…kok ga ada address-family??

Pas kita aktifkan MP-BGP, kita juga harus aktifkan NEIGHBOR MANA yang akan kita kirim MP-BGP packet yang 96 bit itu dengan keyword neighbor [ip neighbor] activate

Dibawah ini konfig plus show run-nya

Tuh kan…jadi banyak tulisannya @_@

Tadi kan gw bilang…value rd dan rt ini akan di carry oleh BGP Community dengan cara mengaktifkan MP-BGP dengan keyword address-family vpnv4

Kenapa bisa begitu?!…ketika kita activate neighbor (agar BGP sending 96 bit address ke neighbor ini), maka otomatis BGP juga akan create community untuk ngirim value RD RT (take a look at send-community extended that automatically created)

Masi ga percaya??…sniff packet-nya via wireshark (ga gw tampilkan disini…males)

Untuk verifikasi VRF kita bisa pake show ip vrf [interface, optional]

VRF udah, MP-BGP udah, static route dari PT.A dan PT.B ke ISP udah…yang belum static route adalah si ISP ke masing2 PT (static route kan harus 2 arah)

Static route-nya ISP juga pake VRF ya…

Cek ping ke 10.1.1.1 loopback-nya PT.A

(jgn lupa pasang juga di branch dan PE kanan ya)

Tinggal redistribusi static ke BGP…jalan dah itu traffic dari HQ ke BR

Bisa ga kita pasang IGP untuk masing2 PT ke ISP??…bisa dong…pake VRF juga pastinya

Yuk…kita pasang (contoh: OSPF) untuk masing2 PT dan ISP

Penjelasan:

  • Hapus dulu static route
  • Untuk PE dan CE (PTA & PTB), kita pake ospf dengan vrf

Nah, ip loopback PTA dan PTB ini uda ada di routing table si PE…kita mau carry ini ke masing2 Branch…pake apa??? BGP

Dan supaya BGP advertise ke PT yang benar…kita pake address-family ipv4 vrf
dan redistribute OSPF ke BGP
dan sebaliknya

BGP:


OSPF:

(jgn lupa di configure dimasing2 PE)

Sekarang cek di masing2 PT (HQ dan BR)

PT.A HQ:

Yup…10.1.2.1 punya BR-nya PT.A dapet, yuk di ping

(jangan lupa konekin juga PT.B HQ ke BR-nya)

Route Distinguisher, Route Target, dan Route Leak akan kita bahas di sesi berikutnya (part 3)