VRRP di Router Juniper

IP adalah protokol jaringan yang digunakan untuk melakukan surfing di internet, download musik, atau game. PC akan memiliki IP address serta default gateway untuk mencapai setiap tujuan yang tidak berada pada subnet lokal. Default gateway dapat didefinisikan oleh pengguna baik secara static atau melalui proses Dynamic Host Configuration Protocol (DHCP). Apapun metode tersebut, default gateway akan digunakan sebagai hop berikutnya untuk rute default yang akan dibuat untuk mencapai tujuan.

Jika default gateway adalah single device dan device tersebut failed, maka PC tidak akan mampu mencapai tujuan di luar subnet lokal. Dalam jaringan fault-tolerant, akan sangat ideal untuk memiliki cadangan gateway device, tanpa harus memodifikasi konfigurasi pada PC, serta dapat di-share dengan beberapa PC di LAN.

VRRP (Virtual Router Redundancy Protocol) diciptakan untuk menghilangkan perilaku single poin yang melekat pada jaringan static routed default. VRRP membuat pengelompokan logical dari beberapa physical router menjadi sebuah router “virtual” yang akan digunakan sebagai default gateway untuk host. Hal ini memungkinkan PC untuk selalu menggunakan alamat gateway yang sama bahkan jika physical gateway telah berubah (lihat Gambar 1). Router yang merupakan bagian dari VRRP logical grup yang sama akan share “virtual” IP address dan juga “virtual” media access control (MAC) address. VRRP pada dasarnya menggambarkan sebuah pemilihan protokol untuk mengelola kepemilikan virtual IP (VIP) address dan MAC address. Satu router dalam VRRP grup akan menjadi master router, yang mengontrol VIP address kecuali terjadi kegagalan dan menyebabkan master router me-release kepemilikan tersebut. Kegagalan ini menyebabkan router lain mengajukan klaim kepemilikan dari VIP dengan mengeluarkan sebuah pesan VRRP dan Address Resolution Protocol (ARP) untuk mengklaim virtual MAC Address. Setelah router menjadi master, maka router tersebut secara berkala akan mengadvertise pesan VRRP untuk mengindikasikan master router dalam kondisi baik dan reachability.

Gambar 1

Ketika mengkonfigurasi VRRP pada router Juniper, konfigurasi akan berada dalam properti logical dan akan dikonfigurasi setelah family inet address. sebuah VRRP grup bernilai (1-255) yang dikonfigurasi pada setiap router yang akan menjadi bagian dari virtual router dan menentukan VIP address yang akan digunakan sebagai gateway address. Gateway address ini bisa merupakan address yang dimiliki oleh salah satu router dalam grup atau address yang diambil dari blok address yang dimiliki oleh LAN. Nilai priority dapat dikonfigurasi untuk mengubah nilai default dari 100, yang digunakan untuk memilih router master dari VRRP grup. Router dengan nilai priority tertinggi akan menjadi master untuk grup tersebut, jika prioritynya sama maka keputusan untuk menentukan master router diambil dari IP address tertinggi dari LAN lokal.

Konfigurasi router R1:

user@R1# set interfaces fxp0 unit 10 vlan-id 10
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24 vrrp-group 1 virtual-address 192.168.1.1
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24 vrrp-group 1 priority 200
user@R1# commit comment “Config VRRP”

Melihat konfigurasi interface fxp0 unit 10 di router R1:

user@R1# show interfaces fxp0 unit 10
vlan-id 10;
family inet {
——address 192.168.1.2/24 {
————vrrp-group 1 {
—————–virtual-address 192.168.1.1;
—————–priority 200;
————}
——}
}

Konfigurasi router R2:

user@R2# set interfaces fxp0 unit 10 vlan-id 10
user@R2# set interfaces fxp0 unit 10 family inet address 192.168.1.3/24
user@R2# set interfaces fxp0 unit 10 family inet address 192.168.1.3/24 vrrp-group 1 virtual-address 192.168.1.1
user@R2# commit comment “Config VRRP”

Melihat konfigurasi interface fxp0 unit 10 di router R2:

user@R2# show interfaces fxp0 unit 10
vlan-id 10;
family inet {
——address 192.168.1.3/24 {
————vrrp-group 1 {
—————–virtual-address 192.168.1.1;
————}
——}
}

Lakukan verifikasi VRRP di router R1 dan R2:

VRRP di router R1:

user@R1# run show vrrp summary
Interface     State       Group   VR state      Type   Address
fxp0.10        up                   1   master——–lcl       192.168.1.2
——————————————————————vip      192.168.1.1

VRRP di router R2:

user@R2# run show vrrp summary
Interface     State       Group   VR state      Type   Address
fxp0.10        up                   1   backup——-lcl       192.168.1.3
——————————————————————vip      192.168.1.1

Sebuah VRRP router tidak seharusnya meneruskan paket yang ditujukan kepada VIP Address yang menjadi Master jika bukan pemilik VIP address tersebut.  Itu berarti jika kita memiliki IP address yang tidak dimiliki oleh setiap router dan hanya alamat dari subnet yang digunakan sebagai VIP, masalah operasional dapat muncul. Masalah yang paling umum adalah tidak bisa ping ke virtual address. Dalam kasus ini, 192.168.1.1 adalah VIP address yang dipilih dari subnet 192.168.1.0/24, tetapi sebenarnya VIP address tidak dikonfigurasi di physical interface router R1 atau R2 melainkan dikonfigurasi secara logical di physical interface. Router Juniper memungkinkan untuk menghilangkan aturan ini dengan mengkonfigurasi perintah accept-data untuk memungkinkan master router merespons ke VIP address. Hal ini akan memungkinkan pengujian terjadi terhadap VIP address dan ada beberapa konsekuensi menggunakan statement accept-data:

• Statement accept-data tidak perlu disertakan untuk mengaktifkan fitur ini jika master router memiliki IP address virtual (dengan kata lain ip yang digunakan di physical interface dan virtual IP adalah sama).

• Statement accept-data tidak perlu disertakan, jika master router memiliki IP address virtual karena master router akan menanggapi permintaan pesan ICMP saja.

• Statement accept-data tidak perlu disertakan ketika priority master router di set ke 255.

• Untuk membatasi incoming paket-paket IP hanya ke ICMP, harus mengkonfigur firewall filters untuk menerima hanya paket-paket ICMP.

• Jika statement accept-data disertakan, konfigurasi router tidak akan sesuai dengan RFC 2338.

• Jika statement accept-data disertakan, klien VRRP harus dapat mengatur proses ARP yang sembarangan.

• Jika statement accept-data disertakan, klien VRRP tidak seharusnya menggunakan paket selain dari ARP replies untuk mengupdate ARP cache.

Demikian sedikit tulisan mengenai VRRP, semoga ini dapat bermanfaat…

Troubleshooting BGP Prefix Limit di JunOS

BGP prefix limt biasanya digunakan untuk peering session or private peering. Dengan BGP prefix limit user bisa membatasi seberapa banyak prefix yang diterima dari peering session dan pesan log rate-limited ketika banyaknya prefix telah melebihi dari yang dibatasi.

Untuk melakukan konfigurasi untuk membatasi banyaknya prefix yang bisa diterima dalam BGP session, masukkan statement prefix-limit dalam konfigurasi BGP:

prefix-limit {

maximum <number>;

teardown <percentage> <idle-timeout (forever | minutes)>;

}

Contoh:

prefix-limit {

maximum 500;

teardown 90 idle-timeout forever;

}

Untuk nilai batas maksimum dapat ditentukan dari range 1 sampai 4,294,967,295. Ketika batas maksimum prefix yang ditentukan telah melewati batas, pesan log sistem akan dikirimkan.

Jika dalam konfigurasi dimasukkan statement teardown, session akan diganti ketika jumlah maksimum prefix telah melewati batas. Apabila user menentukan persentase, pesan akan di-log ketika jumlah prefix melebihi persentase dari batas maksimum yang telah ditentukan. Setelah session diganti, session akan direestablished dalam waktu yang singkat (kecuali user memasukkan statement idle-timeout). Kemudian session dapat bertahan untuk waktu yang telah ditentukan atau untuk selamanya. Jika user menentukan forever, session akan direestablished hanya setelah BGP session direset atau manjalankan perintah clear bgp neighbor.

Berikut pesan log apabila BGP session gagal karena adanya prefix limit (dalam contoh ini prefix-limit dibatasi maksimum 500 dan teardown 90% dengan idle-timeout forever):

——————————————————–Cut—————————————————————

RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer x.x.x.x (External AS xxxx) changed state from Established to Idle (event HoldTime)
bgp_hold_timeout:xxxx: NOTIFICATION sent to x.x.x.x (External AS xxxx): code 4 (Hold Timer Expired Error), Reason: holdtime expired for x.x.x.x (External AS xxxx), socket buffer sndcc: 57 rcvcc: 0 TCP state: 4, snd_una: xxxxxxxxx snd_nxt: xxxxxxxxxx snd_wnd: xxxxx rcv_nxt: xxxxxxxxxx rcv_adv: xxxxxxxxxx, hold timer 0
RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer x.x.x.x (External AS xxxx) changed state from OpenConfirm to Established (event RecvKeepAlive)
x.x.x.x (External AS xxxx): Configured maximum prefix-limit threshold(450) exceeded for inet-unicast nlri: 451
x.x.x.x (External AS xxxx): Shutting down peer due to exceeding configured maximum prefix-limit(500) for inet-unicast nlri: 501
bgp_rt_maxprefixes_check_common:xxxx: NOTIFICATION sent to x.x.x.x (External AS xxxx): code 6 (Cease) subcode 1 (Maximum Number of Prefixes Reached) AFI: 1 SAFI: 1 prefix limit 500
x.x.x.x (External AS xxxx) Received BAD update for family inet-unicast(1), prefix x.x.x.x/x
RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer x.x.x.x (External AS xxxx) changed state from Established to Idle (event RecvUpdate)
bgp_pp_recv:xxxx: NOTIFICATION sent to x.x.x.x+xxxxx (proto): code 2 (Open Message Error) subcode 5 (authentication failure), Reason: no group for x.x.x.x+xxxxx (proto) from AS xxxx found (peer idled due to prefix-limit violation), dropping him

——————————————————–Cut—————————————————————

Pada log tersebut, prefix yang diterima telah melebihi batas dari maksimum prefix yang telah dibatasi. Hal ini terjadi karena sebelumnya koneksi BGP session down (atau dapat dikatakan adanya problem di sisi peer), ketika peer dalam posisi up prefix yang diterima dari peer yang bersangkutan telah melebihi batas maksimum sehingga  BGP session otomatis shutdown. Untuk mengatasi kondisi seperti ini, cek berapa jumlah prefix yang diterima dari peer tersebut, apabila memang prefix telah melebih batas maksimum lakukan reset BGP session terhadap peer yang bersangkutan agar koneksi  dapat up dan kembali normal.

Berikut perintah untuk melihat jumlah prefix yang diterima beserta informasi lainnya:

> show bgp neighbor <peer ip address>

dan salah satu perintah yang dapat digunakan untuk mereset BGP session:

> clear bgp neighbor <peer ip address>

Semoga artikel ini dapat bermanfaat…

Pesan Log pada Switch Huawei Quidway S3928P-EI

Apabila pada switch Huawei Quidway S3928P-EI terdapat pesan log seperti di bawah ini:

——————————————————–Cut—————————————————————

PTVL/5/WARNING:- 1 -The link partner of Ethernetx/x/x may be bad,sending lots of error packets !

PTVL/5/WARNING:- 1 -The link partner of Ethernetx/x/x may be bad,sending lots of error packets !

PTVL/5/WARNING:- 1 -The link partner of Ethernetx/x/x may be bad,sending lots of error packets !

——————————————————–Cut—————————————————————

Secara umum log seperti di atas, kemungkinan besar berhubungan dengan layer physical. Dampak yang terjadi dengan adanya log tersebut, maka kualitas koneksi akan menurun (misalnya: banyak terdapat paket loss). Untuk menyelesaikan masalah dengan log seperti itu, langkah yang dapat diambil yaitu dengan memeriksa crimping-an pada kabel yang berhubungan dengan device (switch) tersebut karena hal tersebut biasanya disebabkan karena crimping-an yang jelek atau secara umum memeriksa hal2 yang berhubungan dengan layer physical.

Semoga artikel ini dapat bermanfaat…

Proxy Autentikasi dengan Program mysql_auth pada FreeBSD 6.0

Pada pembahasan ini, hak akses internet untuk setiap pengguna akan diatur sesuai dengan nama user (username) dan password yang terdaftar di komputer server dan menggunakan program mysql_auth sebagai program autentikasi. Untuk lebih lengkap dapat mendownload artikel berikut menggunakan link di bawah ini:

Proxy Autentikasi dengan Program mysql_auth pada FreeBSD 6.0

Semoga artikel ini dapat bermanfaat…

Konfigurasi VLAN pada FreeBSD 6.0 dan Cisco Catalyst 2950

VLAN (Virtual LAN) adalah sebuah logical group dari stasiun jaringan, service, dan tidak tergantung serta terbatas pada lokasi device (physical). Artikel berikut berisikan tentang cara konfigurasi VLAN pada FreeBSD 6.0 dan switch Cisco Catalyst 2950. Artikel dapat di download pada link di bawah ini:

Konfigurasi VLAN pada FreeBSD 6.0 dan Cisco Catalyst 2950

Semoga artikel ini dapat bermanfaat…

Konfigurasi Rule Firewall IPFW pada FreeBSD 6.0

IPFW adalah salah satu aplikasi yang digunakan sebagai firewall di sistem operasi FreeBSD. Artikel berikut berisikan tentang konfigurasi firewall menggunakan IPFW pada FreeBSD 6.0. Download pada link di bawah ini:

Konfigurasi Rule Firewall IPFW pada FreeBSD 6.0

Semoga artikel ini dapat bermanfaat…

Konfigurasi NAT dengan Port Redirection pada FreeBSD 6.0

NAT adalah suatu mekanisme yang dapat menghemat IP address. artikel berikut berisi tentang konfigurasi NAT dengan port redirection pada FreeBSD 6.0. Download artikel pada link di bawah ini:

Konfigurasi NAT dengan Port Redirection pada FreeBSD 6.0

Semoga artikel ini dapat bermanfaat…

Instalasi Linux Wireless Intel PRO-Wireless 3945ABG di Debian Etch

Artikel ini berisi tentang instalasi driver wireless card Intel PRO-Wireless 3945ABG di Debian Etch. Download artikel pada link berikut:

Instalasi Linux Wireless Intel PRO-Wireless 3945ABG di Debian Etch

Semoga artikel ini dapat bermanfaat…

Instalasi Kernel dan Konfigurasi PC Router menggunakan FreeBSD 6.0

Artikel berikut berisi tentang instalasi dan konfigurasi PC Router menggunakan FreeBSD 6.0. Download artikel pada link di bawah ini:

Instalasi Kernel dan Konfigurasi PC Router menggunakan FreeBSD 6.0

Semoga artikel ini dapat bermanfaat…

Instalasi GRUB Bootsplash di Debian Etch

Artikel berikut berisi tentang instalasi dan konfigurasi bootsplash pada Debian Etch. Download artikel pada link di bawah ini:

Instalasi GRUB Bootsplash di Debian Etch

Semoga artikel ini dapat bermanfaat…