ROuting Protocol Concept 2

27 – ROuting Protocol Concept

===============================

RIP
– Ford Pinto
– it’s not gonna be fast or smooth or quick but work well from point a to point b no care the car looks like
– A default Advertise 30 sec <–Hello time (advertimese timer )
– 90 sec sebelum router menentukan sebelahnya mati, (hold) memberikan waktu to recovery but COST
– metric = is how to routing protocol to figure out the best to REACH destination
(HOP Count) next Router
don’t care the BANDWitdh IT’s CRAZY
Support everywhere
cisco think RIP is terrible Protocol, we can do better

==================================================================================

Improve RIP with IGRP

IGRP improve metric, hop, delay and speed
Hello 90 sec
Delay 270
IGRP is DEAD
=================================================================================

OSPF most Popular protocol in the world

Corvete
– Default Hello Timer 10 sec
– beauty of ospf
– metric = COST = BANDWITDH

====================================================================================

IS – IS

compatator to OSPF
TCP/R
OSI BETA
is – is was routing protocol OSI better than OSPF (because politik and mafia)

=============================================================================
EIGRP
A Ferrari
CISCO to CISCO ( Priopetary )
Good Speed
Really easy to configure
equal load balancing
GREAT Metric = BW + Delay + Realible + Load + MTU ( K-formula)

Routing Technology :
EIGRP

Eigrp Overview

Eigrp = Enhanced Interior Gateway Routing Protocol
* Sussessor dari IGRP

* CIsco Proprietary “Hybrid” Protocol Hybrid = gabungan dari DV & LS
* Both DV & Link state behaviour
* Really “Advance Distance vector”

Classless Protocol
* Membawa Subnet mask dan Support VLSM and Summarization

knp harus menggunakan EIGRP ?? kalau kita meng-design network

Eigrp memilih bedasarkan jalur ?
Eigrp = BW = bandwitdh terbesar
Delay = by defalut Router 100ms
Load
Reliability

Fast Convergence:
lebih cepat
Active Backup-Route = dimana kalau ada link putus jalur akan di belokan tanpa harus re-kalkulasi ulang

Eigrp = mengunakan multicast dengan menggunakan 224.0.0.10

====================================================================================================

BGP = Border Gateway Protocol
Router protocol for INTERNET dimana banyak Handle thousand router
BGP = > ISP / Enterprise

=====================================================================================================

dapatkan router menjalankan multiple routing protocol pada saat bersamaan ? YES

Administrive Distance adalah above the matric how believable is run protocol

LOWER NUMBER (Administatviv Distance ) is BETTER maksudnya bila ada multiple routing protocol,
semua kan cara penghitungannya berbeda2 dimana Eigrp menting dengan cost, bw+delay+mtu
dan rip menghitung dengan Hop count

jadi untuk menjalankanya dan mana yang di pilih adalah diliat dari Administattive distancenya

==============================

Eigrp     – 90
OSPF     – 110
IGRP     – 100
BGP     – 20
Static  – 1
IS – IS – 115
================================
Static = cost = 0 is directly connected interface

Membuat Cisco Router Menjadi Sebagai Switch Frame Relay

Mungkin ada teman-teman sekalian yang belum mengetahui kalau Router Cisco dapat dikonfigurasi agar berfungsi sebagai Switch Frame Relay khusus yang bertindak sebagai DCE. Pada Router Cisco yang dikonfigurasi sebagai Switch Frame Relay, frame dari Frame Relay PVC masuk pada sebuah interface incoming dan di-Switch-kan/switching ke interface outgoing dari Switch Frame Relay PVC. Selama proses ini, DLCI yang dimasukkan ke dalam frame akan diteruskan dan digantikan oleh DLCI keluaran.

Proses pen-swithcingan Frame Relay dilakukan sepenuhnya di Layer 2, Jalur/koneksi yang terbentuk yang akan dilalui oleh paket frame diaktifkan berdasarkan Tabel Rute Frame Relay rute yang dibangun (hampir sama halnya dengan Routing Tabel). Disini saya menggunakan contoh sederhana yang digambarkan pada Gambar 1, dimana 3 router terhubung ke Router (RO_FR) yang berfungsi sebagai Switch Frame Relay. Pada percobaan ini saya menggunakan GNS3 0.8.1 VirtualBox Edition untuk melakukan simulasi dengan detail sebagai berikut ini :

1. 1 unit EtherSwitch Router ((RO_FR), (IOS nya menggunakan IOS Cisco Router C3745-ADVENTERPRISEK9-M), Version 12.4(25), yang akan kita fungsikan sebagai Frame Relay Switch.
2. 3 unit Router C2691 (R1,R2 dan R3) (Cisco IOS Software, 2600 Software (C2691-ADVENTERPRISEK9-M), Version 12.4(25c)), yang berfungsi sebagai router di sisi pelanggan/user.

Gambar 1. Router Sebagai Switch Frame Relay

Disini saya akan menjelaskan cara mengkonfigurasi Router yang difungsikan sebagai Switch Frame Relay saja, untuk router yang disisi pelanggan/user tidak akan saya jelaskan disini.

Untuk mengkonfigurasi router Cisco sebagai switch Frame Relay, ikuti langkah-langkah konfigurasi yang tercantum di bawah ini:

Langkah 1

Aktifkan Frame Relay switching pada router menggunakan perintah frame-relay switching dalam mode konfigurasi global.

Contoh :

 RO-FR(config)#frame-relay switching

Langkah 2

Masuk ke mode konfigurasi interface pada Interface Serial yang mau dijadikan sebagai Interface Switch Frame Relay. Konfigurasi Interface Serial tersebut sebagai DCE dengan memberi clockrate dan dilanjutkan dengan command frame-relay intf-type dce dan membuat encapsulasi frame relay.

Contoh :

 RO-FR(config-if)#clockrate 64000
 RO-FR(config-if)#frame-relay intf-type dce
 RO-FR(config-if)#encapsulation frame-relay

Langkah 3

Konfigurasi Frame Relay switching pada pada interface serial menggunakan command “frame-relay route” “nomor dlci sumber yang terhubung ke router pelanggan” “Interface Serial yang terhubung ke pelanggan” “nomor dlci tujuan yang terhubung ke router pelanggan“.

Contoh :

 RO-FR(config-if)#frame-relay route 102 interface serial 0/1 201
 RO-FR(config-if)#frame-relay route 103 interface serial 0/2 301

Perhatikan dan ingat bahwa switch frame Relay hanya dapat dikonfigurasi pada interface fisik serial.

Untuk List Configurasinya secara lengakap dapat kita lihat sebagai berikut :

Konfigurasi Pada Interface Serial 0/0 :

 RO-FR(config)#frame-relay switching
 RO-FR(config)#interface s 0/0
 RO-FR(config-if)#clockrate 64000
 RO-FR(config-if)#encapsulation frame-relay
 RO-FR(config-if)#frame-relay intf-type dce
 RO-FR(config-if)#frame-relay route 102 interface serial 0/1 201
 RO-FR(config-if)#frame-relay route 103 interface serial 0/2 301
 RO-FR(config-if)#no shutdown

Konfigurasi Pada Interface Serial 0/1 :

 RO-FR(config-if)#interface serial 0/1
 RO-FR(config-if)#clockrate 64000
 RO-FR(config-if)#encapsulation frame-relay
 RO-FR(config-if)#frame-relay intf-type dce
 RO-FR(config-if)#frame-relay route 201 interface serial 0/0 102
 RO-FR(config-if)#frame-relay route 203 interface serial 0/2 302
 RO-FR(config-if)#no shutdown

Konfigurasi Pada Interface Serial 0/2 :

 RO-FR(config-if)#interface serial 0/2
 RO-FR(config-if)#clockrate 64000
 RO-FR(config-if)#encapsulation frame-relay
 RO-FR(config-if)#frame-relay intf-type dce
 RO-FR(config-if)#frame-relay route 301 interface serial 0/0 103
 RO-FR(config-if)#frame-relay route 302 interface serial 0/1 203
 RO-FR(config-if)#no shutdown

Selanjutnya kita lakukan verifikasi hasil konfigurasi kita dengan cara sebagai berikut :

 RO-FR#show frame-relay route
  Input Intf     Input Dlci     Output Intf     Output Dlci     Status
  Serial0/0       102         Serial0/1       201         active
  Serial0/0       103         Serial0/2       301         active
  Serial0/1       201         Serial0/0       102         active
  Serial0/1       203         Serial0/2       302         active
  Serial0/2       301         Serial0/0       103         active
  Serial0/2       302         Serial0/1       203         active

Demikianlah sekilas penjelasan dari saya, semoga bermanfaat bagi kita semua, jika ada yang kurang mengerti dengan penjelasan diatas, silahkan ditanya dan kami akan berusaha menjawabnya dengan semampunya.

 

source http://teknonesia.com/2011/12/membuat-cisco-router-menjadi-sebagai-switch-frame-relay/

Routing Protocol

Image

Switch

Image

cara kerja nat

Image

31 – Routing Configuring and Applying Extended Access control list :

 

================================================================================
#Permit / Deny [ PORT ] [SOURCE] [Destionation]#
R1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.128 0.0.0.127
R1(config)#access-list 100 permit ip any any
================================================================================
ICMP, TCP, UDP, IP

IP is EVERYTHING all protocol
=================================================================================
CONFIG

R1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.128 0.0.0.127
R1(config)#access-list 100 permit ip any any
R1(config)#do show ip access-list

#acesssl-list 100 permit ip any (source) any (destination)#
=======================================
APPLY

R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
R1(config)#show ip access-list

=============
Best Practice
=============

R1(config)#ip access-list extended 100
R1(config)#?
R1(config-ext-nacl)#11 deny tcp 192.168.1.50 0.0.0.0 192.168.2.50 0.0.0.0 eq 80
R1(config-ext-nacl)#12 deny tcp 192.168.1.50 0.0.0.0 192.168.2.50 0.0.0.0 eq 443
R1(config)#show ip access-list

========================================

PROTOCOL | source | destination
tcp 192.168.1.50 0.0.0.0 192.168.2.50 0.0.0.0
========================================

tcp =
21 – ftp
22 – ssh
23 – telnet
25 – smtp
53 – dns server
80 – http
110 – pop3 (email cliet)
143 – imap4 (email cliet)
443 – https

UDP =
53 – dns client
69 – tftp

icmp – echo
       echo-reply (echo + echo reply = PING)

IP = all ip

================================================================
CONFIG

R2(config)#ip access-list extended R3_TELNET_SSH
R2(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.127 host 10.1.1.1 eq 22
R2(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.127 host 10.1.1.1 eq 23
cara lain
R2(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.127 host 10.1.1.1 range 22 23
R1(config)#show ip access-list

R2(config-ext-nacl)#DENY ip 192.168.2.0 0.0.0.127 host 10.1.1.1
R2(config-ext-nacl)#do sh ip access
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#do sh ip access

========================================
APPLY

R2(config)#int f0/0
R2(config-if)#ip access-group R3_TELNET_SSH in

==============================

R1#show run | section interface
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
duplex auto
speed auto
interface Serial0/0
ip address 10.1.1.6 255.255.255.252
clock rate 2000000
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
R1#show run | section interface
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
duplex auto
speed auto
interface Serial0/0
ip address 10.1.1.6 255.255.255.252
clock rate 2000000
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto

R1(config-if)#no ip access-group 100 in

R1(config)#ip access-list extended NO_WAN_FOR_YOU
R1(config-ext-nacl)#deny ?
<0-255>  An IP protocol number
ahp      Authentication Header Protocol
eigrp    Cisco’s EIGRP routing protocol
esp      Encapsulation Security Payload
gre      Cisco’s GRE tunneling
icmp     Internet Control Message Protocol
igmp     Internet Gateway Message Protocol
ip       Any Internet Protocol
ipinip   IP in IP tunneling
nos      KA9Q NOS compatible IP over IP tunneling
ospf     OSPF routing protocol
pcp      Payload Compression Protocol
pim      Protocol Independent Multicast
tcp      Transmission Control Protocol
udp      User Datagram Protocol

R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.3
R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 10.1.1.4 0.0.0.3
R1(config-ext-nacl)#do sh ip access
Extended IP access list 100
10 deny ip 192.168.1.0 0.0.0.255 192.168.2.128 0.0.0.127 (519 matches)
11 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
12 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
20 permit ip any any (5 matches)
Extended IP access list NO_WAN_FOR_YOU
10 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.3
20 deny ip 192.168.1.0 0.0.0.255 10.1.1.4 0.0.0.3
R1(config-ext-nacl)#

R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#do sh ip access  
Extended IP access list 100
10 deny ip 192.168.1.0 0.0.0.255 192.168.2.128 0.0.0.127 (519 matches)
11 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
12 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
20 permit ip any any (5 matches)
Extended IP access list NO_WAN_FOR_YOU
10 deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.3
20 deny ip 192.168.1.0 0.0.0.255 10.1.1.4 0.0.0.3
30 permit ip any any
==

R1(config)#int f0/0
R1(config-if)#ip access-group NO_WAN_FOR_YOU in

Switching Understanding VLANs and Trunks

Switching

Understanding VLANs and Trunks :

=====================================

* Multiple Collision Domains
* One Broadcast Domain
* One IP NETWORK (subnet)
* One Failure Domain
* Limited Security

======================================

VLAN Foundation :

Logically Group Users
Segment Broadcast Domain
Subnet Correlation
Access Control
QoS
======================================

Trunks ( cisco ) = do carries all vlan
other vendor ( Tagged ) = do carries all vlan

[PING][VLAN][MAC]
=====================================

Switching – Managing Port Security

Switching – Managing Port Security

=============================
Trunks = are not valid for port security
Trunks = allow information vlan

Access Port = adalah normal port dimana stuff seperti pc, printer, server
Access artinya 1 vlan yang expected that 1 device will be attached

mode dynamic = i will change between access port or trunk port depending what pluggin in

untuk enable membuat jadi port-security kita harus make sure to setup a ACCESS port

sticky port = adalah allows you to take what is currently mac-address then make it them permanently on mac-address switch

=====

default command = if i turn on port security by default it’s only allow 1 mac address, by default the violation mode is shutdown
default command don’t showing up on run config

=======================================================
switchport mode access
switchport port-security ?
switchport port-security maximum 1 <– mengizinkan 1 mac address yang telah tercolok pd saat itu

CBTSwitch(config)#int e0/1
CBTSwitch(config-if)#switchport mode access
CBTSwitch(config-if)#switchport port-security maximum 1
CBTSwitch(config-if)#switchport port-security violation shutdown   (violation) adalah apa yg akan di lakukan bila dia liat lebih dari maximum 1 (policy)
CBTSwitch(config-if)#switchport port-security mac-address
CBTSwitch(config-if)#switchport port-security mac-address sticky
CBTSwitch(config-if)#switchport port-security mac-address 8bb8.123A.234A <- contoh

=======================
show mac address-table
======================= untuk melihat semua data mac address didalam switch

CBTSwitch(config-if)#do sh run int e0/1
CBTSwitch(config-if)#switchport port-security (enter) sekarang kita enable to learning mac address
CBTSwitch(config-if)#do sh run int e0/1

===============================================================================
cacatan bila kita bikin sticky saat itu berjalan di running-config oleh karea itu kita harus save
CBTSwitch#copy run start
===========================================================================

cara verifikasi

CBTSwitch#show port-security

Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
(Count)       (Count)          (Count)
—————————————————————————
Et0/1              1            1                  0         Shutdown
—————————————————————————
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 4096

============================================================================

CBTSwitch#show port-security address

Secure Mac Address Table
—————————————————————————–
Vlan    Mac Address       Type                          Ports   Remaining Age
(mins)
—-    ———–       —-                          —–   ————-
1    0050.7966.6801    SecureSticky                  Et0/1        –
—————————————————————————–
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 4096

=============================================================================

CBTSwitch#show port-security interface ethernet 0/1

Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0050.7966.6801:1
Security Violation Count   : 0
=============================================================================

shutdown = untuk clear <err-disable> dimana sebelumnya telah tercolok yang bukan mac-address sebelumnya

dan menyalakan kembali port security

OSPF Concept Review & Neigh communication

OSPF Concept Review & Neigh communication

ABR = Area Border Router =adalah istilah diamna R1 yang terhubung ke router /area lainnya
ABR melakukan 2 hal :

1. Route Summarization = making routing table small
allows to take all bunches of network and kecil advertisement

2. fault containent = jika ada router yang mati di lanjutkan ke area 0 intface lainnya
untuk memisahkan kalau ada router di area 1 atau x disitu
hal itu sangat bagus, karena kalau ada router yg mati diarea salah satu, tida
tidak di adevertise ke area lainnya.

Autonomouse System Boundary Router (ASBR) ospf = adalah menghubungkan network ke luar dari area ospf
contoh : eigrp, RIP, Internet

2.ABR & ASBR = hanya router berdua yang bisa summarize

beberapa rules akan rusak akan bengkok = metric

router-id sangat penting sekali, karena kalau ada area yang mau join tp ngk ke area 0, jadi
nyambung ke area 2 atau x mereka bisa pake VPN tunnel atau VL,  jadi R3 ke R2 supaya bisa dibaca
abr-nya di area0 kalau R3 tidak pke router-id berarti pake highest Ip yang tebesar,
lalu bila ada kejadiaan router3 di tambah IP yang lebih tinggi dari sebelumnya makan (R1 area 0)
coba manggil HELLO tp ip-nya tidak sesuai maka akan di putus VPN tunnellnya.

UNDERSTAND OSPF nei Relationship

1. tentukan ROuter-ID
1. router Id adalah nama /identitas
2. IP yg terbesar akan jadi router-id kalau tidak ada router-id
loopback ( logical) beat physical interface kalau ip address physical mai
loopback lebih stabil karena ngk mati
2. tambah interface ke link-state database
(dedicated by network command)

3. Send hello message on chosen inteface
1. setiap 10 sec on Broadcast/ p -2-p network
2. setiap 30 sec on NMBA = non border multi area network
SETIAP NGIRIM HELLO PAKET ini yang dibawa : (best troubelshoot)
1. Router ID
2. Hello and DEAD TIMERS*
3. Network MASK*
4. AREA ID*
5. Neigbors
6. Router Priority
7. DR/BDR ip address (DR inti cuma FULL NEIBORELATHINSHIP) BDR backup. kalau ada yang putus
pasti akan di kirim ke DR, dari DR akan di advertise ke laiinya
8. Authentication Password*
ynag tanda * adalah dimana nanti membuat kecocokan di ospf tetangga.
4. RECEIVE HELLO
1. cek hello / dead interval
2. cek netmask
3. cek area id
4. cek authentication

5. SEND REPLY HELLO.
apakah saya ada didalam list tetangga di dalam paket HELLO ?
1. jika ya, reset dead timer
2. jika tidak, add as new neihgboor.

6. MASTER – slave relationship determined
1.ditentukan dengan “PRIOPITY” router-id break t
2. master kirim DATABASE DESCRIPTION (DBD) paket
isi DBD = cliff notes of link-STATE DATABASE
3. Slave send it DBD paket.

7. DBD adalah ACKNOWLEDGE and REVIEWED
slave request detail ( LINK-STATE REQUEST – LSR)
MASTER send update ( link state UPDATE LSU)
MASTER request DETAIL ( LSR)
SLAVE sends UPDATE (LSU)
maksudnya adalaah diaman R1 atau R2 dalam List nei ada yang kurang network-nya
jadi tolong kirim lagi detail.
* saling kirim balik supaya detailnya lengkap
istilahnya gw nggk punya nih network ini, tolo kirimin lagi
begitupun sebalikanya

8. NEIGHBORS are SYNCHRONIZED
**** FULL STATE ***

CARA TROUBLESHOOTing OSPF

1 DOWN STATE = nothing is working
INIT = inizilating (rebbot) dimana dia nerima pesan, lalu cari yang compatble jika iya dia akan
lakukan ini
2. 2 way = not move on dimana ada 2 interface yang 1 ke DR central, yng 1 lagi blm compatible
jadi pada 2 way yang artinya not move on
jila milih move on
3. EXstart
Echange
Loading
update
request
update
request

==========

waktunya untuk ke DijKSTRA SPF Algorithem

kenapa harus DEBUG, karena pasti ada yang salah atau broken makanya harus di debug untuk melihat proses

What is Trunking ?

What is Trunking ?

what trunking does ? is tagged each packet that sent accross wire/link with special 4 BYTE TAG

| 3 bit     | VLAN |
|Priority|    |
\        /
\           /
\           /
| D | S | 4   |—————–| FCS |
|MAC|MAC| BYTE|  EThernet Frame    |     |
|—|—| TAG |—————–|—–|

Priority = Class Of Services

Vlan = 1 – 4096

802.1Q = Standart of Industry
ISL    = Made by Cisco

Native VLAN = Untagged / Management / not tagged

CDP, Telnet, SSH is consider Untagged (native vlan)

if trunk received data, that’s not have tag on it it will automaticaly part of NATIVE VLAN

==============================================================================================

IP Phone mengerti trunk / tagged ( 802.1Q )

komputer nggak ngerti vlan atau tagged

pastikan native vlan harus sama kalau di configure antara 2 device tersebut kalau tidak bakal native vlan mismatch

=================================================================================================

VTP

VLAN Trunking Protocol

VLAN Pruning