Sunday, October 22, 2017

Manipulasi BGP Routing Menggunakan Community List di Cisco Router

Untuk melakukan filtering di BGP ada banyak cara bisa menggunakan Prefix-List, AS-Path List dengan kombinasi regular expression, dan Community List. Community list dalam BGP biasanya digunakan untuk mengidentifikasi dan memfilter route bedasarkan community tag mereka, konsepnya sama dengan Route Tag. Hampir sama pula dengan access list, community list memiliki format dan range, ada standard format (1 - 99) dan ada extended format (100 - 199), ada juga bedasarkan name dan ini unlimited. Format konfigurasi paling umum ialah seperti dibawah ini.
  • Standard numbered list:
         ip community-list list-number {permit | deny} community-number
  • Expanded numbered list:
         ip community-list list-number {permit | deny} regular-expression
  • Standard named list:
        
    ip community-list standard list-name {permit | denycommunity-number
  • Expanded named list:
       
    ip community-list expanded list-name {permit | denyregular-expression
Di dalam Cisco Router by default community number value itu 32-bit yaitu 1 - 4294967295, sedangkan format yang paling sering digunakan ialah new format number dengan format aa:nn (the new format), format baru ini adalah format yang paling sering digunakan, namun harus mengenable dulu di global config menggunakan command ip bgp-community new-format

Sekarang mari ke contoh penggunaan beserta contoh konfigurasinya, dalam lab ini topologi yang digunakan ialah topologi sederhana seperti dibawah ini agar mudah dipahami.


Pada skenario ini ceritanya pada kondisi default apabila trafik dari R1 ingin ke segmen yang ada di R2 maka akan melewati 10.10.10.2.














Nah tujuan utama dari lab kali ini ialah memanipulasi trafik dari R1 apabila ingin menuju ke segmen 2.2.2.2/32 di R2 maka best path nya harus melalui 10.10.10.6, sedangkan yang lainnya menuju ke 22.22.22.22/32 tetap melewati 10.10.10.2. Manipulasi yang dilakukan ialah menggunakan community-list, dibawah ini ialah langkah-langkahnya.

1) Langkah Pertama Mentagging Segmen 2.2.2.2/32 dengan Community List 2:200 di R2
R2(config)# ip bgp-community new-format
R2(config)# access-list 1 permit 2.2.2.2
R2(config)# route-map R1peer permit 10
R2(config-route-map)# match ip address 1
R2(config-route-map)# set community 2:200
R2(config-route-map)# exit 
R2(config)# route-map R1peer permit 20
R2(config-route-map)# exit 
R2(config)# router bgp 2
R2(config-router)# neighbor 10.10.10.1 send-community
R2(config-router)# neighbor 10.10.10.5 send-community
R2(config-router)# neighbor 10.10.10.5 route-map R1peer out

Notes
  • Command send-community dibutuhkan agar R1 dapat menerima informasi community yang telah dibuat di R2.
  • Command neighbor 10.10.10.5 route-map R1peer out dibuat agar R2 mengirim informasi community tag 2:200 melalui link point-to-point 10.10.10.4/30.

2) Verifikasi Apakah Segmen 2.2.2.2/32 di R1 Sudah ada Tag Community nya?


















Perhatikan dari informasi diatas bahwa kita menerima informasi bahwa network segmen 2.2.2.2/32 dari R2 dari 10.10.10.6 merupakan community 2:200. Secara logik maka sekarang apabila digambarkan jadi seperti dibawah ini.









3) Membuat Policy di R1 Agar Menuju 2.2.2.2/32 Melalui 10.10.10.6
R1(config)# ip bgp-community new-format
R1(config)# ip community-list 1 permit 2:200
R1(config)# route-map R2peer permit 10
R1(config-route-map)# match community 1

R1(config-route-map)# set local-preference 120
R1(config-route-map)# exit
R1(config)# route-map R2peer permit 20
R1(config-route-map)# exit
R1(config)# router bgp 1
R1(config-router)# neighbor 10.10.10.6 route-map R2peer in

Notes
  • Dalam Route-Map R2peer dibutuhkan command set local-preference 120, agar BGP atribut dapat berubah dari defaultnya 100 menjadi 120, sehingga ketika dipasang di BGP nya maka jalur itu yang akan dipilih karna value local preferencenya lebih tinggi.
  • Route-Map R2peer dipasang di neighbor yang 10.10.10.6.

4) Verifikasi Apakah Menuju Segmen 2.2.2.2/32 di R1 Sudah Melalui 10.10.10.6?
































Apabila kita lihat hasil verifikasi diatas menggunakan command show ip route dan show ip bgp x.x.x.x maka sudah terlihat bahwa apabila R1 ingin menuju ke segmen 2.2.2.2/32 di R2 maka akan melalui 10.10.10.6, sedangkan apabila ingin menuju 22.22.22.22/32 di R2 tetap melalui 10.10.10.2.

Berhasil kan? Perlu di notes sih penggunaan community di dunia real ini sangat sering terutama ketika network sudah growing begitu besar, seperti manipulasi routing ke cabang, atau manipulasi routing antara data center dan masih banyak lagi contoh use cases lainnya.

Untuk full konfigurasi dari simulasi diatas seperti dibawah ini yah.

R1
R1#show run
Building configuration...

Current configuration : 1531 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.5 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 network 1.1.1.1 mask 255.255.255.255
 neighbor 10.10.10.2 remote-as 2
 neighbor 10.10.10.6 remote-as 2
 neighbor 10.10.10.6 route-map R2peer in
 no auto-summary
!
ip forward-protocol nd
!
ip bgp-community new-format
ip community-list 1 permit 2:200
!
no ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
!
!
route-map R2peer permit 10
 match community 1
 set local-preference 120
!
route-map R2peer permit 20
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end

R2
R2#show run
Building configuration...

Current configuration : 1700 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
interface Loopback1
 ip address 22.22.22.22 255.255.255.255
!
interface FastEthernet0/0
 ip address 10.10.10.2 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.6 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 2
 no synchronization
 bgp log-neighbor-changes
 network 2.2.2.2 mask 255.255.255.255
 network 22.22.22.22 mask 255.255.255.255
 neighbor 10.10.10.1 remote-as 1
 neighbor 10.10.10.1 send-community
 neighbor 10.10.10.5 remote-as 1
 neighbor 10.10.10.5 send-community
 neighbor 10.10.10.5 route-map R1peer out
 no auto-summary
!
ip forward-protocol nd
!
ip bgp-community new-format
!
no ip http server
no ip http secure-server
!
access-list 1 permit 2.2.2.2
no cdp log mismatch duplex
!
!
!
route-map R1peer permit 10
 match ip address 1
 set community 2:200
!
route-map R1peer permit 20
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!

end


Semoga bermanfaat...

Saturday, October 21, 2017

Manipulasi BGP Routing Menggunakan AS-PATH Prepend di Cisco Router

BGP merupakan routing protocol unik dan cara kerjanya sangat berbeda dengan protokol IGP lainnya, karna BGP akan melihat berbagai macam atributnya terlebih dahulu sebelum menentukan best path. Di catetan kali ini kita gak akan membahas cara kerja BGP ataupun atributenya, tapi akan langsung membahas manipulasi routingnya menggunakan salah satu atribut BGP yaitu AS-PATH.

Topologi yang digunakan seperti dibawah ini.


  • Point to Point Branch to Provider 1 : 10.10.10.8/30 
  • Point to Point Branch to Provider 2 : 10.10.10.12/30 

Dari skenario diatas apabila dari perspektif Branch apabila network 192.168.4.0/24 ingin menuju ke network destination 192.168.1.0/24, 192.168.10.0/24, ataupun 192.168.100.0/24 di HQ maka secara bestpath yang dipilih akan melalui Provider-1 via 10.10.10.9














Kenapa melalui 10.10.10.9? Singkatnya behaviour E-BGP ketika memilih best-path ialah akan melihat AS-Path terpendek, namun apabila jumlah AS-Path nya sama maka ia akan melihat router-id terendah. Di topologi diatas Provider-1 memiliki IP Address terendah yg kemudian menjadi router-id router Provider-1 sehingga bestpath yang dipilih ialah melalui Provider-1.

Bagaimana apabila kita ingin memanipulasi segmen diatas agar best-path nya melalui 10.10.10.13? Ya kita bisa memanipulasi total AS-Path atau melakukan prepend AS-Path dari router HQ. Kenapa dari router HQ? Cara ini biasanya dilakukan untuk organisasi yang memiliki branch yang banyak sehingga melakukan manipulasi routing dari HQ adalah cara paling mudah.

Gunakan command dibawah ini dibawah ini di Router-HQ dan Router-Branch (agar trafik simetrik) dengan contoh sintaks sbb.

1. Buat Route Map dengan Sintaks Dibawah ini.
route-map <route-map-name> permit 10
 set as-path prepend <local-as-path> <local-as-path> <local-as-path> <local-as-path>
route-map <route-map-name>  permit 20

2. Masukan Route Map kedalam BGP Neighbor yang ingin di Prepend AS-PATH nya.
router bgp <our-as-path>
neighbor x.x.x.x route-map <route-map-name> out

Apabila dicermati lagi langkah yang kita lakukan diatas ialah memberi tahu Provider-1 dari HQ bahwa AS-PATH melalui link Provider-1 itu lebih jauh daripada melalui Provider-2. Logikanya ialah dengan melakukan prepend AS-Path

Sekarang coba verifikasi dengan command sh ip route dan sh ip bgp.






































Dari hasil verifikasi diatas bisa dilihat apabila dari branch ingin menuju ke prefix 192.168.1.0/24. 192.168.10.0/24 dan 192.168.100.0/24 di HQ maka best pathnya melalui provider-2 (10.10.10.13 kotak merah), dan jika dilihat dikotak hijau apabila dari cabang ingin menuju prefix 192.168.1.0/24. 192.168.10.0/24 dan 192.168.100.0/24 di HQ apabila melalui provider-1 akan lebih jauh karna AS-PATHnya lebih banyak (65512 65511 65511 65511 65511 65511).

Untuk konfigurasi lebih lengkapnya seperti dibawah ini yah.

HQ-Router
HQ#show run
Building configuration...

Current configuration : 1936 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HQ
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Loopback1
 ip address 192.168.10.1 255.255.255.0
!
interface Loopback2
 ip address 192.168.100.1 255.255.255.0
!
interface FastEthernet0/0
 description to-R2
 ip address 10.10.10.1 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description to-R3
 ip address 10.10.10.5 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 description to-R5
 ip address 10.10.10.17 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 65511
 no synchronization
 bgp log-neighbor-changes
 network 192.168.1.0
 network 192.168.10.0
 network 192.168.100.0
 neighbor 10.10.10.2 remote-as 65512
 neighbor 10.10.10.2 soft-reconfiguration inbound
 neighbor 10.10.10.2 route-map ADVERTISE-TO-BRANCH out
 neighbor 10.10.10.6 remote-as 65513
 neighbor 10.10.10.6 soft-reconfiguration inbound
 neighbor 10.10.10.18 remote-as 65515
 neighbor 10.10.10.18 soft-reconfiguration inbound
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
!
!
route-map ADVERTISE-TO-BRANCH permit 10
 set as-path prepend 65511 65511 65511 65511
!
route-map ADVERTISE-TO-BRANCH permit 20
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end


Provider-1
Provider-1#show run
Building configuration...

Current configuration : 1471 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Provider-1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 192.168.2.1 255.255.255.0
!
interface FastEthernet0/0
 description to-R1
 ip address 10.10.10.2 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description to-R4
 ip address 10.10.10.9 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 65512
 no synchronization
 bgp log-neighbor-changes
 network 192.168.2.0
 neighbor 10.10.10.1 remote-as 65511
 neighbor 10.10.10.1 soft-reconfiguration inbound
 neighbor 10.10.10.10 remote-as 65514
 neighbor 10.10.10.10 soft-reconfiguration inbound
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end

Provider-2
Provider-2#show run
Building configuration...

Current configuration : 1472 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Provider-2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/0
 description to-R1
 ip address 10.10.10.6 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description to-R4
 ip address 10.10.10.13 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 65513
 no synchronization
 bgp log-neighbor-changes
 network 192.168.3.0
 neighbor 10.10.10.5 remote-as 65511
 neighbor 10.10.10.5 soft-reconfiguration inbound
 neighbor 10.10.10.14 remote-as 65514
 neighbor 10.10.10.14 soft-reconfiguration inbound
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end



Branch Router
Branch#show run
Building configuration...

Current configuration : 1469 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Branch
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface Loopback0
 ip address 192.168.4.1 255.255.255.0
!
interface FastEthernet0/0
 description to-R2
 ip address 10.10.10.10 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description to-R3
 ip address 10.10.10.14 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router bgp 65514
 no synchronization
 bgp log-neighbor-changes
 network 192.168.4.0
 neighbor 10.10.10.9 remote-as 65512
 neighbor 10.10.10.9 soft-reconfiguration inbound
 neighbor 10.10.10.9 route-map ADVERTISE-TO-HQ out
 neighbor 10.10.10.13 remote-as 65513
 neighbor 10.10.10.13 soft-reconfiguration inbound
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
no cdp log mismatch duplex
!
!
!
route-map ADVERTISE-TO-HQ permit 10
 set as-path prepend 65514 65514 65514 65514
!
route-map ADVERTISE-TO-HQ permit 20
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end


Bagaimana apabila hanya segmen tertentu saja yang ingin dibelokan? Misal dari topologi diatas segment 192.168.1.0/24 lewat provider 1, sedangkat segmen 192.168.10.0/24 & 192.168.100.0/24 lewat provider 2? Ya jawabannya kita masih tetap bisa memanipulasi traffiknya menggunakan AS-Path prepend hanya saja di filter menggunakan Prefix-List

Contohnya dengan tambahan command seperti dibawah ini.

1. Buat route-map baru dengan tambahan prefix-list segmen di router HQ
ip prefix-list VIA-PROVIDER1 seq 1 permit 192.168.1.0/24
route-map VIA-PE-1 permit 30
 match ip address prefix-list VIA-PROVIDER1
 set as-path prepend 65511 65511 65511 65511
route-map VIA-PE-1 permit 40

2. Lalu hapus route-map yang ke arah 10.10.10.2, ganti dengan ke arah 10.10.10.6
no neighbor 10.10.10.2 route-map ADVERTISE-TO-BRANCH out
neighbor 10.10.10.6 route-map VIA-PROVIDER1 out

3. Jangan lupa hapus juga route-map di cabang
no neighbor 10.10.10.9 route-map ADVERTISE-TO-HQ out

4. Jangan lupa verifikasi
Gunakan command show ip bgp summary, show ip bgp x.x.x.x, dsb

NOTES

  • Langkah diatas akan sangat efektif apabila dilakukan di network dengan desain E-BGP karna sifat-sifatnya tersebut yang melihat AS-Path sebagai best path
  • Apabila di I-BGP biasanya manipulasi akan dilakukan dengan memanipulasi metrik IGP nya atau bisa juga dengan menggunakan atribut BGP lainnya seperti MED, dsb.
  • Sebenarnya langkah prepend AS-Path bisa dilakukan di HQ saja tapi kenapa ditambahkan di Branch ialah agar traffiknya simetrik. Pergi lewat Provider-2 pulang pun lewat Provider-2.
  • Dalam case terakhir, apabila kita ingin membelokan traffik dari prefix tertentu maka biasanya akan terjadi simetrik routing, solusinya biasa bisa menggunakan Source NAT pada interface yang keluar melalui link tersebut sehingga trafik bisa menjadi simetrik.

Sekian catatan kali ini, apabila ada yang salah menurut pembaca yang lebih paham mungkin bisa dikoreksi. Semoga bermanfaat...

Friday, October 20, 2017

Konfigurasi Cisco GETVPN, DMVPN dan GETVPN Over DMVPN

Di catetan kali ini ane mau nulis sedikit tentang simulasi yang ane lakukan utk teknologi DMVPN, GETVPN dan GETVPN over DMVPN. Tujuannya yang jelas biar gak lupa kalo mau ada demo lagi hahaha. Ane gak akan bahas konsep dari semua teknologi tersebut karna kalian bisa dapat dokumentasi yang lengkap tentang hal-hal tersebut dari berbagai sumber.

GETVPN

DMVPN

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-mt/sec-conn-dmvpn-15-mt-book.pdf

Sekarang kita langsung ke contoh topologinya yah, jadi idenya ialah.
  • 1 Link menggunakan GETVPN.
  • 1 Link menggunakan GETVPN over DMVPN.

Topologi logicalnya kira-kira seperti dibawah ini.












Topologi di GNS3 kira-kira seperti dibawah ini.









Konfigurasinya kira-kira seperti dibawah ini

Key-Server

Key-Server#sh run
Building configuration...

Current configuration : 2663 bytes
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Key-Server
boot-start-marker
boot-end-marker
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
no ip domain lookup
multilink bundle-name authenticated
archive
 log config
  hidekeys
crypto isakmp policy 100
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac 
crypto ipsec profile IPSEC
 set transform-set TRANS 
crypto gdoi group GDOI
 identity number 1234
 server local
  rekey algorithm aes 256
  rekey lifetime seconds 3600
  rekey retransmit 10 number 2
  rekey authentication mypubkey rsa VPNKEYS
  rekey transport unicast
  sa ipsec 10
   profile IPSEC
   match address ipv4 GETVPN-ACL
   replay counter window-size 64
  address ipv4 10.10.20.2
crypto map CRYPTO 10 gdoi 
 set group GDOI
ip tcp synwait-time 5
interface Loopback0
 description KEY-SERVER-ADDRESS
 ip address 10.10.19.28 255.255.255.255
 ip ospf network point-to-point
 ip ospf 1 area 0
interface FastEthernet0/0
 description TO-HQ-ROUTER
 ip address 10.10.20.2 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 duplex auto
 speed auto
 crypto map CRYPTO
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
router ospf 1
 router-id 10.10.20.2
 log-adjacency-changes
ip forward-protocol nd
no ip http server
no ip http secure-server
ip access-list extended GETVPN-ACL
 deny   esp any any
 deny   tcp any any eq bgp
 deny   tcp any eq bgp any
 deny   ospf any any
 deny   eigrp any any
 deny   tcp any any eq 22
 deny   tcp any eq 22 any
 deny   udp any any eq 848
 deny   udp any eq 848 any eq 848
 deny   udp any eq isakmp any eq isakmp
 deny   gre any any
 deny   tcp any eq 992 any
 deny   tcp any any eq 992
 deny   tcp any eq 990 any
 deny   tcp any any eq 990
 deny   udp any eq 9996 any
 deny   udp any any eq 9996
 deny   udp any any eq 1645
 deny   udp any any eq 1646
 deny   udp any any eq 1813
 deny   tcp any eq 443 any
 deny   tcp any any eq 443
 permit ip any any
no cdp log mismatch duplex
control-plane
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
end

HQ-Router
HQ-Router#sh run
Building configuration...

Current configuration : 3352 bytes
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname HQ-Router
boot-start-marker
boot-end-marker
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
no ip domain lookup
multilink bundle-name authenticated
archive
 log config
  hidekeys
crypto isakmp policy 100
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key cisco address 10.10.20.2
crypto gdoi group GDOI
 identity number 1234
 server address ipv4 10.10.20.2
crypto map CRYPTO 10 gdoi 
 set group GDOI
ip tcp synwait-time 5
interface Loopback0
 description CORE-BANKING
 ip address 172.16.16.1 255.255.255.255
interface Loopback1
 description ATM-SEGMENT
 ip address 172.16.16.2 255.255.255.255
interface Loopback2
 description WEB-KMS
 ip address 172.16.16.3 255.255.255.255
interface Loopback3
 description MAIL-SERVER
 ip address 172.16.16.4 255.255.255.255
interface Tunnel100
 ip address 192.168.100.1 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 100
 tunnel source FastEthernet0/1
 tunnel mode gre multipoint
 tunnel key 100
 crypto map CRYPTO
interface FastEthernet0/0
 description TO-BRANCH-VIA-MPLS
 ip address 10.10.12.1 255.255.255.252
 duplex auto
 speed auto
 crypto map CRYPTO
interface FastEthernet0/1
 description TO-BRANCH-VIA-INTERNET
 ip address 10.10.12.5 255.255.255.252
 duplex auto
 speed auto
interface FastEthernet1/0
 description TO-KEY-SERVER
 ip address 10.10.20.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 0
 duplex auto
 speed auto
 crypto map CRYPTO
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
router ospf 1
 router-id 10.10.20.1
 log-adjacency-changes
 redistribute bgp 65511 subnets
router bgp 65511
 no synchronization
 bgp log-neighbor-changes
 network 10.10.12.0 mask 255.255.255.252
 network 10.10.12.4 mask 255.255.255.252
 network 172.16.16.1 mask 255.255.255.255
 network 172.16.16.2 mask 255.255.255.255
 network 172.16.16.3 mask 255.255.255.255
 network 172.16.16.4 mask 255.255.255.255
 redistribute ospf 1 metric 100
 neighbor 10.10.12.2 remote-as 65512
 neighbor 10.10.12.2 description TO-BRANCH-MPLS-PEERING
 neighbor 10.10.12.2 soft-reconfiguration inbound
 neighbor 10.10.12.2 route-map ADVERTISE-TO-BRANCH out
 neighbor 192.168.100.2 remote-as 65512
 neighbor 192.168.100.2 description TO-BRANCH-VIA-INTERNET
 neighbor 192.168.100.2 soft-reconfiguration inbound
 no auto-summary
ip forward-protocol nd
no ip http server
no ip http secure-server
ip prefix-list CORE-ATM seq 1 permit 172.16.16.1/32
ip prefix-list CORE-ATM seq 2 permit 172.16.16.2/32
ip prefix-list WEB-MAIL seq 1 permit 172.16.16.3/32
ip prefix-list WEB-MAIL seq 2 permit 172.16.16.4/32
no cdp log mismatch duplex
route-map ADVERTISE-TO-BRANCH permit 10
 match ip address prefix-list WEB-MAIL
 set as-path prepend 65511 65511 65511 65511
route-map ADVERTISE-TO-BRANCH permit 20
control-plane
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 password cisco
 login local
 transport input telnet
end

Branch-Router
Branch-Router#sh run
Building configuration...

Current configuration : 2649 bytes
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Branch-Router
boot-start-marker
boot-end-marker
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
no ip domain lookup
multilink bundle-name authenticated
archive
 log config
  hidekeys
crypto isakmp policy 100
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key cisco address 10.10.20.2
crypto gdoi group GDOI
 identity number 1234
 server address ipv4 10.10.20.2
crypto map CRYPTO 10 gdoi 
 set group GDOI
ip tcp synwait-time 5
interface Loopback0
 description SEGMENT-BRANCH
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
interface Tunnel100
 ip address 192.168.100.2 255.255.255.0
 no ip redirects
 ip nat outside
 ip nhrp map 192.168.100.1 10.10.12.5
 ip nhrp map multicast 10.10.12.5
 ip nhrp network-id 100
 ip nhrp nhs 192.168.100.1
 ip virtual-reassembly
 tunnel source FastEthernet0/1
 tunnel mode gre multipoint
 tunnel key 100
 crypto map CRYPTO
interface FastEthernet0/0
 description TO-HQ-VIA-MPLS
 ip address 10.10.12.2 255.255.255.252
 duplex auto
 speed auto
 crypto map CRYPTO
interface FastEthernet0/1
 description TO-HQ-VIA-INTERNET
 ip address 10.10.12.6 255.255.255.252
 duplex auto
 speed auto
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
router bgp 65512
 no synchronization
 bgp log-neighbor-changes
 network 192.168.1.0
 neighbor 10.10.12.1 remote-as 65511
 neighbor 10.10.12.1 description TO-HQ-MPLS-PEERING
 neighbor 10.10.12.1 soft-reconfiguration inbound
 neighbor 192.168.100.1 remote-as 65511
 neighbor 192.168.100.1 description TO-HQ-VIA-INTERNET
 neighbor 192.168.100.1 soft-reconfiguration inbound
 no auto-summary
ip forward-protocol nd
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Tunnel100 overload
ip prefix-list WEB-MAIL seq 1 permit 172.16.16.3/32
ip prefix-list WEB-MAIL seq 2 permit 172.16.16.4/32
access-list 1 permit 192.168.1.0 0.0.0.255
no cdp log mismatch duplex
route-map RM_ADD_AS_PATH permit 10
 match ip address prefix-list WEB-MAIL
 set as-path prepend 65512 65512 65512 65512
route-map RM_ADD_AS_PATH permit 20
control-plane
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
end


Semoga bermanfaat.....

Friday, October 13, 2017

Enable SSH Version 2 di Cisco Devices

Dalam beberapa organisasi yang ada standarisasinya SSH version 2 untuk setiap perangkat diwajibkan maka kita harus mengaktifkan SSH version 2 di seluruh perangkat yang kita manages.

Dibawah ini command yang digunakan untuk mengaktifkan SSH version 2 di Cisco Devices.

Jangan selalu setting IP Management & Default Route agar device tsb reachable.

Utk switch contohnya seperti dibawah ini
(config)# ip default-gateway 192.168.1.1
(config)# interface vlan 1
(config-if)# ip address 192.168.1.2 255.255.255.0

Sedangkan utk router contohnya seperti dibawah ini
(config)# int fa0/0
(config-if)# ip address 192.168.1.2 255.255.255.0

Pastikan kita menset hostname & domain name
(config)# hostname xyz
(config)# ip domain-name xyz.com

Utk SSH Version 2 minimum modulus yang digunakan ialah 768, maka generate RSA Keys modulus 768.
(config)# crypto key generate rsa modulus 768

Setup Line VTY
(config)# line vty 0 4
(config-line)# transport input ssh
(config-line)# login local
(config-line)# exit

Create username & password utk local devices
(config)# username cisco password cisco

Jangan lupa enable password/secret
(config)# enable password cisco

Apabila ingin segala macam yang berbau password di ubah ketika di show run gunakan command ini
(config)# service password-encryption

Verifikasi
# sh ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

Lalu testing
# ssh -l <username> <ipaddress>


Done semoga bermanfaat.