Part 2: Cara Konfigurasi BGP Routing Policy (Import & Export) di Juniper

byAdmin - 0





Part 2: Cara Konfigurasi BGP Routing Policy (Import & Export) di Juniper

Selamat datang di Part 2! Setelah sebelumnya kita berhasil membuat sesi BGP menjadi Established, langkah krusial selanjutnya bagi seorang Network Engineer adalah menerapkan filter. Tanpa filter, router kita bisa tidak sengaja mengiklankan rute internal ke internet bebas (Route Leak), atau menerima rute sampah yang membuat memori router penuh.

Di Juniper, filter BGP dikendalikan menggunakan Policy-Options. Ada dua arah kebijakan utama:

  • Export Policy: Aturan tentang IP apa saja milik kita yang boleh disebarkan (diiklankan) ke router lawan.
  • Import Policy: Aturan tentang IP apa saja dari lawan yang boleh masuk ke dalam tabel routing kita.
Konsep Import & Export BGP
graph LR A["Router Kita (Lokal)"] -->|"Export Policy
(Mengirim Rute)"| B(("Router Upstream")) B -->|"Import Policy
(Menerima Rute)"| A style A fill:#2d2d2d,stroke:#a6e22e,stroke-width:2px,color:#fff style B fill:#2d2d2d,stroke:#66d9ef,stroke-width:2px,color:#fff

Langkah 1: Membuat Export Policy (Mengiklankan Prefix Sendiri)

Praktik terbaik saat melakukan peering ke ISP/Upstream adalah hanya mengiklankan blok IP (prefix) yang benar-benar kita miliki. Mari kita buat policy bernama UPSTREAM-OUT.

Kita asumsikan blok IP publik yang kita miliki adalah 192.168.100.0/24.

Juniper CLI - Export Policy 
set policy-options policy-statement UPSTREAM-OUT term MY-PREFIX from route-filter 192.168.100.0/24 exact
set policy-options policy-statement UPSTREAM-OUT term MY-PREFIX then accept
set policy-options policy-statement UPSTREAM-OUT term DENY-ALL then reject

Penjelasan: term MY-PREFIX akan mengizinkan IP kita keluar. Aturan yang tidak kalah penting adalah term DENY-ALL di bagian akhir yang berfungsi untuk memblokir sisa rute lain agar tidak bocor.

Langkah 2: Membuat Import Policy (Memfilter Rute Masuk)

Untuk keamanan, kita tidak boleh menerima sembarang IP dari luar. Contoh yang paling umum adalah menolak IP lokal (RFC 1918) agar tidak masuk dari internet.

Juniper CLI - Import Policy 
set policy-options policy-statement UPSTREAM-IN term REJECT-BOGON from route-filter 10.0.0.0/8 orlonger
set policy-options policy-statement UPSTREAM-IN term REJECT-BOGON from route-filter 172.16.0.0/12 orlonger
set policy-options policy-statement UPSTREAM-IN term REJECT-BOGON from route-filter 192.168.0.0/16 orlonger
set policy-options policy-statement UPSTREAM-IN term REJECT-BOGON then reject
set policy-options policy-statement UPSTREAM-IN term ACCEPT-ALL then accept

Langkah 3: Memasang Policy ke BGP Group

Setelah aturan (Policy) selesai dibuat, langkah terakhir adalah "menempelkannya" ke grup BGP yang sudah kita buat di Part 1.

Juniper CLI - Apply Policy 
set protocols bgp group PEER-UPSTREAM import UPSTREAM-IN
set protocols bgp group PEER-UPSTREAM export UPSTREAM-OUT
commit check
commit

Langkah 4: Verifikasi Hasil Policy

Untuk memastikan bahwa policy yang kita buat sudah berjalan dengan benar, kita bisa melihat rute apa saja yang kita iklankan ke lawan, dan rute apa saja yang kita terima.

1. Mengecek Export Policy (Rute yang diiklankan ke Upstream)
Gunakan perintah show route advertising-protocol bgp diikuti IP lawan.

Router Output 
show route advertising-protocol bgp 10.10.20.1

inet.0: 89456 destinations, 89456 routes (89456 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 192.168.100.0/24        Self                                    I

Dari output di atas, terlihat jelas bahwa kita HANYA mengiklankan IP 192.168.100.0/24 sesuai dengan rule UPSTREAM-OUT yang sudah kita buat. Rute lain otomatis terblokir.

2. Mengecek Import Policy (Rute yang diterima dari Upstream)
Gunakan perintah show route receive-protocol bgp diikuti IP lawan.

Router Output 
show route receive-protocol bgp 10.10.20.1

inet.0: 89456 destinations, 89456 routes (89456 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 10.50.60.0/24           10.10.20.1                              65002 I
* 10.50.70.0/24           10.10.20.1                              65002 I
* 203.0.113.0/24          10.10.20.1                              65002 I
... (output ditruncate)

Jika tidak ada IP lokal (bogon) seperti awalan 10.x.x.x atau 192.168.x.x di dalam tabel tabel full-route lawan, berarti rule UPSTREAM-IN sudah bekerja dengan sempurna untuk menolak rute-rute sampah tersebut.

Kini interkoneksi BGP Anda sudah aman. Anda hanya menyebarkan IP milik Anda sendiri, dan menolak IP sampah dari internet.

إرسال تعليق

Post a Comment (0)

أحدث أقدم