Home

MPLS Configuration (Part 3 – Route Distinguisher, Route Target, and Route Leak)

October 27, 2013

Miftah Rahman Config Router , , , , , , , , Leave a comment

sebuah ISP punya 2 konsumen…A dan B, ISP menyediakan VPN (VRF A dan VRF B) untuk masing2 konsumen sehingga routing table/route mereka tidak campur aduk. ISP punya layanan Voice over IP (VoIP) tersendiri yang bisa disewakan (VRF Voice), kebetulan ingin digunakan oleh A dan B

The question is…how to do that?!? …emang bisa 1 VRF bisa nyampur dengan 1 VRF lain?!

Kita pengen routing table Voice masuk kedalam VRF A dan VRF B…TANPA harus route2 VRF A dan VRF B campur aduk (routing table-nya campur)

WOKEEH, dalam kasus ini berarti ada 3 VRF didalam ISP…VRF A, VRF B, dan VRF Voice

Solusinya adalah dengan men-define Route Distinguisher (RD) dan export/import itu RD dengan keyword Route-Target

RD formatnya <AS:nomor> ato <ip:nomor> …walaupun kebanyakan pakeknya AS (contoh 65000:10), tapi sistem penomorannya BEBAS (coba liat yang gw pake…1:1 2:2 dan 3:3)

Intinya kita bikin RD ini untuk nambahin IP address (32 bit) dengan 64 bit-nya RD supaya bedain IP VRF yang satu dengan yang lain (contoh: ISP ke A dan ISP ke B..ip nya sama kan)

Tapi antar dalam 1 router VRF-nya harus BEDA RD ya…ntar ga bisa ngebedain VRF lagi

================================

Initial Config

Step 1.
Biasa, create VRF dulu (trus define RD dan RT-nya)

Disini ada 2 catatan:

  • Untuk inisialisasi, kita bikin VRF ini bisa di-export dan di-import, dari sini ada pertanyaan…dipoint ke-2
  • Kenapa import dan export RD yang sama…di VRF sendiri?!? Jawabannya GA TAU…TAPI HARUS BEGITU…bingung kan?!? Sama gw juga
  • Ada yang bilang nge-bug, ada yang bilang harus import dan export ke diri dia sendiri dulu baru ke yang lain…di IOS XR ga perlu begini sih
  • Dan…Route-target both…itu biar ga repot2 ngetik import dan export (hasilnya sama aja kek ketikan di ip vrf A sub-config)

Step 2.
Pasang itu VRF dimasing2 interface

Step 3.
Setting routing protocolnya antara CE (A, B, dan Voice) dan PE (ISP), apa aja bole sih sebenernya, gw disini pake OSPF

Pasang router-id di masing2 OSPF (1 OSPF mungkin ga perlu kasi router-id, tapi klo 2 atau lebih harus dikasi…klo ga nanti ga jalan OSPF nya)

Hmm…redistribusi aja…beres itu import export route…

Yang bener?? we’ll see below

Tetep ga bisa, beda proses…bukan beda routing protocol (redistribution untuk ROUTING protocol BUKAN process VRF protocol)

solusinya gimana dong?!? Karena value RD ini bikin IP kita jadi 96 bit…kita perlu routing protocol yang bisa bawa IP versi baru ini

Btw…IP address yang jadi 96 bit ini disebut IP VPN atau VPNv4

Routing protocol apa yang bisa bawa VPNv4?!?…Yup, BGP

Karena BGP itu defaultnya “carry” IPv4 yang 32 bit…BGP yang bisa bawa protocol selain IPv4 disebut MP-BGP (Multi-Protocol BGP)

Step 4.
Configuring MP-BGP (and redistribute OSPF to BGP supaya routing table OSPF dikasi ke BGP)

Nah, sekarang masing2 VRF yang ada di OSPF bisa di “carry” oleh MP-BGP, but…

Cara MP-BGP ini ngasih ini routing table VRF yang satu ke yang lain gimana?! Redistribute BGP to OSPF balik…

Step 5. kasih VRF Voice ke VRF A dan B (export) dan terima itu VRF Voice di VRF A dan B (import)

Step 6.
Untuk bisa komunikasi antar VRF A dan B dengan VRF Voice, berarti VRF Voice juga harus import route dari VRF A dan B

Konfigurasi full nya seperti ini:

Jgn lupa cek ping dari A, B, dan Voice ke ISP

Step 7.
Check A, B, dan Voice routing table

See…A dan B dapet 10.1.1.3 (ip loopback voice) tapi A ga dapet ip loopback dari B dan sebaliknya

Tes ping

A menuju ke Voice Loopback bisa, ke B ga bisa…(cek aja ping dari B ke A)

================================

Question

Case 1.

Klo kek gambar diatas, si A mau join routing table dengan si B…bisa ga?!? Hmm..bisa iya bisa engga…

Inget, VRF gunanya untuk membedakan routing table di ISP…untuk masing2 konsumen

Nah, begitu DIGABUNG…ya konflik di konsumen A dan B (liat de…ip 10.1.1.1-nya sama)

Coba liat de gambar gw pertama…IP voice nya beda (A dan B pake 192.168.1.0, sedang Voice pake 192.168.2.0…dan ping-nya harus pake source karena IP A dan B dipake berdua, nge ping dari ISP aja kita harus pake command tambahan “ping vrf [nama] ip X.X.X.X“)

Tapi ini topologi bisa diterapkan…asal di NAT di masing CE-nya (dan BEDA IP NAT juga ya !!!…nanti NAT Overlapping lagi)

Case 2.

Klo gambar pertama gw pake 1 Router ISP…sekarang klo 2 router ISP gimana??

Ya kek configurasi MPLS part 2 gw…antar PE pake MP-BGP

================================

Route-Leak

eh…gw pengen ada 1 jalur Voice sendiri selain 10.1.1.3…ga pengen sharing ama company lain

Contoh: selain 10.1.1.3, A hanya mau 10.10.10.1-nya aja dan B hanya mau 10.10.10.2-nya aja

Klo kita hanya pure VRF export-import…ya begini jadinya:

Si A juga dapet 10.10.10.2 buat si B…trus gimana dong?? Kita pake route-leak

Alias bocorin route…dengan cara import map

Karena kita pengen A hanya dapet 10.10.10.1 dan B hanya dapet 10.10.10.2 berarti kita harus filter di ISP yang directly attached ke A dan B

Pertama2…kita create ACL untuk filter IP yang boleh masuk ke A dan B

Kedua, kita tambahkan keyword import map [nama route-map] ke VRF masing2

Route-map nya emang uda dibikin? Blum…yuk bikin dulu

Ketiga, create route-map (step kedua dan ketiga ini bisa dibalik, tergantung selera)

Nah…yuk cek…

Nah, A dapet rute 10.10.10.1 dan di ping juga bisa, ke 10.10.10.2 ga bisa…

B pun dapet rute 10.10.10.2 dan di ping juga bisa, ke 10.10.10.1 ga bisa…

Hmm…bisa kan pake filter di OSPF aja?? Ato filter prefix list aja??

Bisa…klo EIGRP dan RIP mungkin ga masalah…tapi klo OSPF jadi masalah, gini:

So…percuma nge-filter route dalam OSPF dalam 1 area…karena cuma router yang dipasang filter aja yang kena efek ilang route-nya

Yang dibelakang-nya ga kena efek filter (walaupun ujung2nya ga bisa di ping karena pas masuk ke router yang uda di filter akan di blok gara2 ga ada di routing table)

VRF (VPN Routing Forwarding) Configuration

October 7, 2013

Miftah Rahman Config Router , , , , 4 Comments

updated material in 2016-2017 for CCNP RS Route…VRF-Lite (mau buat artikelnya ternyata uda bikin sebelumnya) wkwkw

VRF itu kek teknologi VLAN di Switch…cuma ini di Router

Dog

and here is the article (the old ones in Oct 7, 2013…4 years ago)

———

Nah, kali ini gw akan membahas VRF (intro untuk Service Provider and MPLS), langsung aja…

Klo di CCNA kita belajar IGP (RIP, OSPF, EIGRP) seperti dibawah ini

Sekarang kita tambah difficulty nya…kek gini

Nah looo…mari kita tes

Kaga bisa mas bro, pasti Overlap…bayangin klo ini kejadian di ISP…

Masa iya ip 10.1.1.0 (ip private) hanya bole dipake PT. A aja?!? Bukannya ip private bole dipake di LAN mana saja kan?!?

Nah, untuk itulah kita butuh Virtual Routing Table untuk masing2 perusahaan

Cara kerja nya?!? ISP PE1 akan punya 2 routing table virtual…satu untuk interface fa0/0 yang ke arah PT. A dan satu lagi untuk interface fa1/0 yang kearah PT. B

Ini konfigurasi R2 dan R1 (look…sama2 10.1.1.2….IP-nya ISP PE1 10.1.1.1)

How we configure VRF?!?

Penjelasan:

  • Kita create VRF untuk masing2 perusahaan dengan command ip vrf [name]
  • (Optional, ga diketik jg gpp)RD = route distinguisher, ini nanti dipake klo lo mau import/export routing table VRF
  • RD bisa ditulis nomor AS:nomor RD atau nomor IP:nomor RD (yang gw tulis disini nomor IP:nomor RD)
  • Contoh klo pake nomor AS -> rd 65000:1 (biasanya buat BGP nih…kan pake nomor AS)
  • Value pake AS ato IP ga terlalu signifikan bedanya, cuma buat bedain VRF aja

Nah, sekarang kita implementasikan ke interface…INGAT…1 VRF = 1 INTERFACE (no more no less)

Beuuuh…

Tuh…bisa kan…ga overlap, coba kita tes ping ke ISP PE1 lewat R1

Beuuuh…

Sekarang coba lewat R2

Beuuuh…

Klo mo ping dari ISP gimana?!? Cara bedain 10.1.1.2-nya gimana?!?

Ketik aja ping vrf [nama VRF] 10.1.1.2

Beuuuh…. hahaha

Inilah yang dinamakan VRF-Lite alias VRF tanpa MPLS

Nah…sekarang tantangannya adalah begini…

*Eng ing eng….

How to make ISP deliver the route from PT. A/B to exact Branch…contoh pake OSPF deh

Penjelasan:

  • buat vrf buat masing2 perusahaan (pake yang td aja gpp)
  • Kita bikin router ospf process-id nomor 1 buat vrf PT.A dan ospf process-id nomor 2 buat vrf PT.B
  • Jangan lupa buat router-id, nanti ospf process nya ga jalan
  • Jangan lupa di create juga di ISP PE2 !!
  • fungsi process-id dalam OSPF sebenernya ya ini, buat VRF (yang sering dicuekin waktu belajar dasar2 OSPF)

trus kita bikin VRF di interface PE1 fa2/0 ke interface PE2 fa0/0, untuk PT.A dan PT.B (1 interface 2 VRF, 1 buat PT.A dan 1 lagi buat PT.B)…

but…how?? you said 1 VRF only for 1 interface??

*wah nyolot ni yang punya blog….hahahah

Yaks…kita bikin ini router jadi switch “dadakan” ada VLAN nya…hahaha

logicnya kek gini lah kira2

(subinterfacenya bikin dimasing2 router ISP yah, VLAN dan VRF nya harus sama serta ip address-nya harus 1 subnet)

Sekarang kita bikin ospf di R1 (dan R2) nyambung ga ama ISP….

Beuuuuh…*hahaha stresss*

Coba kita liat routing table di R1

Beuuuuuh…

Sekarang di routing table R2

Beuuuuh….

*maap2*

Lets see the routing table in ISP PE1

Wait…none of those routes exist !!! SETANNN…

Sekarang gw coba pake show ip route vrf PT.A

Nah…dapet tuh

Ato bisa pake show ip route vrf * untuk ngeliat semua VRF

Klo di IGP lain gimana nih VRF-nya?? Contoh EIGRP

Hmm…terlalu susah dibaca…gw coba ganti dengan show run barangkali bisa dibaca

Now that we see…EIGRP dalam menghandle VRF lebih flexibel dibandingkan OSPF

  • summarisasi bisa di EIGRP atau di VRF nya
  • dengan VRF, EIGRP AS yang sama bisa konek ke BGP AS yang beda2 (please confirm me if i’m wrong)

Eh…tapi bisa ga R1 sama R5 seakan2 satu LAN?? Itu kan masi beda LAN tuh..

Bisa…pake bridging (see frame-relay)

Trus klo gw punya VRF buat Guest, VRF buat Karyawan, nah..ada VRF buat Voice over IP, klo gw pengen “ngasih” rute voice over ip buat Karyawan tanpa harus kehilangan “partisi” VRF gimana dong??

Ada…pake Route-Export dan Route-Import…tapi yang bisa begini Cuma BGP….