Nah setelah kita mbahas Dynamic routing macam OSPF, RIP, dan IS-IS sekarang anebakal mbahas tentang routing policy dan firewall filter. Yah bahasa gampangnya itu masalah security lah sob. Di Juniper ini sebenere gampang kok masalah mengkonfigurasi masalah ginian.
Sebelumnya kita perlu make topologi dan konfigurasi dari praktek kita yang sebelumnya yang masalah dinamic routing IS-IS. Tapi delete terlebih dahulu protocol IS-IS loopback nya terlebih dahulu.
[edit]
root@R1# delete protocols isis interface lo0.0
Kemudian bakal ane jelasin lebih dalem.
Ente udah paham kan kalo R3 memiliki routing tabel 1.1.1.1/32 hasil dari readvertise oleh R2
Kalo gambarnya seperti dibawah ini sob
Kita buat perumpamaan seperti di bawah ini sebagai contoh
Dengan routing table yang lengkap di semua router untuk semua prefix, buat supaya R1 hanya bisa ping ke loopback interface R1 dan R2. Interface fisik R2 dan R3 tidak bisa di ping dari R1
Atau singkatnya, R1 hanya bisa ping loopback R2 dan R3 tanpa bisa ping interface fisiknya dengan routing tabel ang lengkap
Langkah pertama
Pastikan routing table R2 dan R3 tidak memiliki 1.1.1.1/32. Supaya 1.1.1.1/32 masuk routing table R2, gunakan static route
root@R2# set routing-options static route 1.1.1.1/32 next-hop 10.10.10.1
root@R2# run show route protocol static
inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
1.1.1.1/32 *[Static/5] 00:34:15
> to 10.10.10.1 via em1.0
__juniper_private2__.inet.0: 1 destinations, 1 routes (0 active, 0 holddown, 1 hidden)
iso.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
Nah diatas sudah bisa kita lihat kalau prefix 1.1.1.1/32 sudah ada pada R2 sebagai satatic route, sedangkan R3 tidak memiliki prefix 1.1.1.1/32 di routing table nya. Supaya R3 bisa memperoleh 1.1.1.1/32 tanpa advertise langsung dari R1 kita bisa gunakan routing policy di R2 untuk melakukan advertise dari static route ke IS-IS
Konfigurasinya untuk membuat policy di R2 adalah seperti dibawah ini
[edit]
[edit]
root@R2# set policy-options policy-statement static isis term 1 from protocol static
[edit]
root@R2#set policy-options policy-statement static isis term 1 from route-filter 1.1.1.1/32 exact
[edit]
root@R2#set policy-options policy-statement static-isis term 1 then accept
Kemudian kita ekspor policy ke protocol IS-IS
[edit]
root@R2# set protocols isis export static-isis
Setelah ekspor dilakukan, pastikan R3 bisa ping le loopback interface R1
[edit]
root@R3# run ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=63 time=1.888 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=63 time=0.946 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=63 time=1.225 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=63 time=1.158 ms
^C
--- 1.1.1.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.946/1.304/1.888/0.352 ms
Untuk lab objective yang kedua kita akan menggunakan firewall filter, yang mirip seperti access-list di CISCO. Buat firewall filter yang memperbolehkan akses ping ke 2.2.2.2/32 dan 3.3.3.3/32 dengan mebuat frefix-list di R2 terlebih dahulu
[edit]
root@R2# set policy-options prefix-list allow-ping 2.2.2.2/32
[edit]
root@R2# set policy-options prefix-list allow-ping 3.3.3.3/32
Disini prefix-list bernama ' allow-ping' membuat prefix 2.2.2.2/32 dan 3.3.3.3/32 yang akan diperbolehkan akses ping dari R1. Dibawah ini adalah bagaimna untuk membuat firewall rule nya
[edit]
root@R2#set firewall filter limit-ping term 1 from destination-prefix-list allow-ping
[edit]
root@R2# set firewall filter limit-ping term 1 from protocol icmp
[edit]
root@R2# set firewall filter limit-ping term 1 then accept
[edit]
root@R2# set firewall filter limit-ping term 2 from protocol icmp
[edit]
root@R2# set firewall filter limit-ping term 2 then reject
[edit]
root@R2# set firewall filter limit-ping term 3 then accept
Lalu terapkan di interface em1.0
Kenapa harus ini yang diterapkan firewall filternya?
Karena interface ini yang langsung berhadapan dengan R1
Kenapa harus ini yang diterapkan firewall filternya?
Karena interface ini yang langsung berhadapan dengan R1
[edit]
root@R2# set interfaces em1.0 family inet filter input limit-ping
Kemudian kita akan mencoba ping loopback R2 dan R3 dari R1
R2
R2
[edit]
root@R1# run ping 2.2.2.2
PING 2.2.2.2 (2.2.2.2): 56 data bytes
64 bytes from 2.2.2.2: icmp_seq=0 ttl=64 time=0.841 ms
64 bytes from 2.2.2.2: icmp_seq=1 ttl=64 time=0.485 ms
^C
--- 2.2.2.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.485/0.663/0.841/0.178 ms
R3
[edit]
root@R1# run ping 3.3.3.3
PING 3.3.3.3 (3.3.3.3): 56 data bytes
64 bytes from 3.3.3.3: icmp_seq=0 ttl=63 time=1.142 ms
64 bytes from 3.3.3.3: icmp_seq=1 ttl=63 time=5.220 ms
^C
--- 3.3.3.3 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.142/3.181/5.220/2.039 ms
Kemudian kita akan mengecek apa yang terjadi bila yang kita ping adalah IP interface fisik nya macam em1.0
R2
[edit]
root@R1# run ping 10.10.10.2
PING 10.10.10.2 (10.10.10.2): 56 data bytes
36 bytes from 10.10.10.2: Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 9281 0 0000 40 01 c011 10.10.10.1 10.10.10.2
36 bytes from 10.10.10.2: Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 9282 0 0000 40 01 c010 10.10.10.1 10.10.10.2
^C
--- 10.10.10.2 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
R3
[edit]
root@R1# run ping 20.20.20.2
PING 20.20.20.2 (20.20.20.2): 56 data bytes
36 bytes from 20.20.20.2: Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 9285 0 0000 40 01 ac03 10.10.10.1 20.20.20.2
36 bytes from 20.20.20.2: Communication prohibited by filter
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 9286 0 0000 40 01 ac02 10.10.10.1 20.20.20.2
^C
--- 20.20.20.2 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
Diatas bisa kita lihat kalau tidak bisa replay karena sudah diblock olh R2
Dan tambahan sob, R3 sama sekali tidak bisa ping ke R1 baik physical maupun loopback dikarenakan tentunya ente tau kalo ping membutuhkan balasan
root@R3# run ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
^C
--- 1.1.1.1 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss
[edit]
root@R3#
[edit]
root@R3# run ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1): 56 data bytes
^C
--- 10.10.10.1 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
Bila ente - ente pingin lebih paham mending diulang - ulang dan coba untuk membuat kondisi yang sesuai keinginan ente -ente
Terus semangat belajar networking sob
:D
0 komentar:
Posting Komentar