VRF  –  Rou(ng  like  VPN  

By:  Novan  Chris  CITRAWEB  NUSA  INFOMEDIA  

www.mikro:k.co.id  

Introduc:on  

•  Novan  Chris  •  Work for Citraweb / Citranet

– Mikrotik Distributor & Training Partner, ISP

•  Product  Manager  &  Support  Manager  

•  Mikro:k  Cer:fied  Trainer  •  MTCNA,  MTCTCE,  MTCRE,  MTCWE,  MTCUME,  MTCINE    

 

2  

Overview  

•  Basic  Network  Implementa:on  (Case  Study)  •  Rou:ng  Problem  

– Solu:ons  •  VRF  

– Policy  Rou:ng  vs  VRF  •  Route  Leaking  &  Route  Consistency  •  Conclusion  +  Q&A  

3  

Basic  Network  Implementa:on  

1  ip  public,  1  Router,  1  Jaringan  Local  Client  

4  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24  

LAN  Client  1  

Basic  Network  Implementa:on  

•  1  ip  public  didapatkan  dari  ISP  •  Mengak:Tan  NAT  di  Router  Utama  supaya  jaringan  client  bisa  ke  internet  

•  Router  Utama  sebagai  Default  Gateway  dari  jaringan  local  client  

5  

Basic  Network  Implementa:on  

6  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

LAN  Client  1   LAN  Client  2  192.168.0.1  

1  ip  public,  1  Router,  2  Jaringan  Local  Client  

Basic  Network  Implementa:on  

7  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

LAN  Client  1   LAN  Client  2  

192.168.0.0/24  

LAN  Client  3  

192.168.0.1  

1  ip  public,  1  Router,  3  Jaringan  Local  Client  

192.168.0.1  

Basic  Network  Implementa:on  

8  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

LAN  Client  1   LAN  Client  2  

192.168.0.0/24  

LAN  Client  3  

192.168.0.1  ?  1  ip  public,  1  Router,  3  Jaringan  Local  Client  ???  

192.168.0.1  

Rou:ng  Table  

Router  :dak  bisa  melakukan  rou:ng  dengan  sempurna,  kenapa  ?  

9  

Rou:ng  Decision  

•  Untuk pemilihan rule routing, router akan memilih berdasarkan: – Rule routing yang paling spesifik tujuannya

•  Contoh: destination 192.168.0.128/26 lebih spesific dari 192.168.0.0/24

– Distance •  Router akan memilih yang distance nya paling

kecil – Round robin (random)

10  

Solu:ons  •  Cerma(  Kebutuhan  Client  

–  Apakah  client  hanya  ingin  terkoneksi  ke  internet  –  Apakah  client  tersebut  juga  ingin  interkoneksi  ke  client  Anda  yang  lain  

•  Ubah  “Segmen  Network  Local”  di  Client  harus  berbeda  antara  satu  client  dengan  client  yang  lain  –  Jika  client  berkenan/mau  menggan:  semua  se:ng  perangkat  (PC/Laptop/

Printer/server/camera/AP  …  )  yang  sudah  ada  dan  sudah  terlanjur  berjalan  normal  

–  Memerlukan  waktu  untuk  menggan:  semua  se:ng  perangkat  

•  Memanfaatkan  NAT  di  router  client  –  Jika  ada  budget  untuk  penambahan  router  di  client  –  Tetap  kesulitan  Jika  ingin  memonitor  sampai  ke  dalam  jaringan  local  client  

(tetap  membutuhkan  rou:ng)  

11  

Rou:ng  –  Boundary  Problem  

Selama  ini  kita  hanya  memanfaatkan  Router/Rou:ng  hanya  pada  tabel  “main”,  dan  akan  mendapatkan  masalah  jika  ada  dst-­‐network  yang  sama  ke  gateway  /  interface  yang  berbeda.  

12  

Another  Solu:on  -­‐  VRF  

13  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

LAN  Client  1   LAN  Client  2  

192.168.0.0/24  

LAN  Client  3  

192.168.0.1  

192.168.0.1   VRF  1  

VRF  

VRF  –  Virtual  Rou(ng  Forwarding  adalah  salah  satu  fitur  Rou:ng  di  Mikro:k  yang  memungkinkan  membuat  “Tabel  Rou:ng  Baru”  yang  terpisah  dari  “Rou:ng  Table  Main”.    

14  

Policy  Route  vs  VRF  

•  Cara  kerja  VRF  mirip  dengan  Policy  Route    •  Perbedaannya  :    

–  Policy  Route  akan  kembali  ke  Rou:ng  Table  Main  jika  :dak  menemukan  rule  rou:ng  /  nexthoop  lookup  yang  sesuai.  

–  VRF  :dak  menggunakan  Rou:ng  Table  Main  untuk  nexthoop  lookup  dan  jika  :dak  ada  rou:ng  yang  sesuai  di  dalam  VRF  tersebut  maka  akan  diberikan  pesan  error  "network  unreachable"  

•  VRF  adalah  sebuah  rou:ng  table  yang    independen,  tetapi  masih  bisa  dimodifikasi  jika  membutuhkan  interkoneksi  ke  rou:ng  table  yang  lain      

15  

Policy  Route  vs  VRF  

16  

Main  

Sta:c  

User  Def  

User  Def  

Catch  All  

Main  

Sta:c  

Sta:c  

User  Def  

User  Def  

Catch  All  

Policy   VRF  

Unreach  

Rou(ng  Table   Rou(ng  Table  

FIB   FIB  

Connected  

Sta:c  

VRF  Implementa:on  

VRF  ditambahkan  sekaligus  memasukkan  interface  LAN  Client  ke  dalam  VRF  

17  

Rou:ng  Table  

Rou:ng  Table  yang  menggunakan  VRF    

18  

How  to  connect  to  the  Internet  •  VRF  :dak  menggunakan  table  “main”  untuk  nexthoop  lookup  (:dak  memiliki  default  gateway)  

•  Supaya  VRF  bisa  ke  internet  :  –  VRF  bisa  dihubungkan  ke  Table  “Main”  menuju  ke  gateway  Internet  -­‐  “Route  Leaking”  

– Menggunakan  Gateway  Internet  yang  berbeda  

19  

Route  Leaking  Implementa:on  

20  

VRF  –  Route  Leaking  

21  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

Client  1   Client  2  

192.168.0.0/24  

Client  3  

192.168.0.1  

192.168.0.1   VRF  1  

Route  Consistency  

•  Route  Leaking  hanya  membantu  mengarahkan  traffic  request  “upload”  dari  client  ke  Internet  

•  Perlu  adanya  rou:ng  yang  konsisten  untuk  traffic  response  “download”  

•  Menggunakan  “Policy  Route”  

22  

23  

24  

25  

Rou:ng  Consistency  

26  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

Client  1   Client  2  

192.168.0.0/24  

Client  3  

192.168.0.1  

192.168.0.1   VRF  1  

VRF  -­‐  Alterna:ve  Gateway  

27  

172.16.0.1  

1.1.1.100  

1.1.1.1  

INTERNET  

172.16.0.0/24   192.168.0.0/24  

Client  1   Client  2  

192.168.0.0/24  

Client  3  

192.168.0.1  

192.168.0.1   VRF  1  

INTERNET  2.2.2.2  

2.2.2.100  

VRF  –  Alterna:ve  Gateway  

Tambahkan  interface  gateway  alterna:f  ke  dalam  VRF  

28  

VRF  –  Default  Route  

29  

Default  route  ditambahkan  di  tabel  rou:ng  VRF    Tambahkan  NAT  untuk  Gateway  Alterna:f  

CONCLUSION  

•  Korelasi  VRF  dan  VPN  :  –  Keduanya  menggunakan  nama  “Virtual”  ☺  –  Prinsip  VPN  adalah  membuat  virtual  network  yang  terpisah  dari  real  network,  ternyata  rou:ng  juga  memiliki  kemampuan  yang  mirip  yaitu  virtual  rou:ng  table.  

•  Keuntungan  VRF  :  – Mengatasi  permasalahan  rou:ng  yang  bingung  ke:ka  ada  des:na:on  network  yang  sama  di  dalam  satu  tabel  rou:ng  

–  Client  lebih  leluasa  menggunakan  segmen  network  local,  :dak  tergantung  segmen  network  local  di  client  yang  lain  

30  

CONCLUSION    2  

•  VRF  masih  bisa  dihubungkan  ke  Tabel  Rou:ng  Main  atau  VRF  yang  lain  dengan  Route-­‐Leaking    

•  Salah  satu  Solusi  jitu  dan  solusi  hemat  untuk  provider  VPN    

•  Q  &  A  

31  

Thank  You  Mas  Broo  !!  

32  

Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk

kepentingan pengajaran, dan memberikan kredit dan link ke www.mikrotik.co.id

www.mikrotik.co.id info@mikrotik.co.id

@mikrotik_id – picture contest