Part 4: Mengenal dan Mengonfigurasi BGP Communities di Juniper
Selamat datang di Part 4 seri tutorial BGP! Jika Anda bekerja di ISP atau jaringan berskala besar, tabel routing BGP bisa berisi ratusan ribu hingga jutaan rute (Full Route). Bagaimana cara kita mengelompokkan rute mana yang berasal dari Pelanggan (Client), mana dari jalur lokal (IX), dan mana dari Upstream internasional?
Jawabannya adalah dengan menggunakan BGP Communities. Sederhananya, Community adalah fitur untuk memberikan "label", "tag", atau "hashtag" pada suatu rute IP.
(AS: 65111)")) -->|"Mengirim IP:
10.50.60.0/24"| B["Router Kita (AS: 65001)
Import Policy:
Tempelkan Tag 65001:1000"] B -->|"Export Policy:
Hanya kirim IP yang
punya Tag 65001:1000"| C(("Upstream Internet")) style A fill:#2d2d2d,stroke:#ff9800,stroke-width:2px,color:#fff style B fill:#2d2d2d,stroke:#a6e22e,stroke-width:2px,color:#fff style C fill:#2d2d2d,stroke:#66d9ef,stroke-width:2px,color:#fff
Format penulisan BGP Community standar biasanya berupa angka ASN:NILAI (misalnya: 65001:1000). Ada juga Standard Community bawaan dari BGP yang diakui secara global, contohnya no-export (rute tidak akan disebarkan ke ASN lain).
Langkah 1: Mendefinisikan Nama Community
Langkah pertama di Juniper adalah membuat pemetaan nama agar mudah diingat. Kita akan membuat dua label: satu untuk klien kita, dan satu lagi menggunakan standar no-export.
set policy-options community COMM-CLIENT members 65001:1000 set policy-options community COMM-NO-EXPORT members no-export
Langkah 2: Menempelkan Label ke Rute yang Masuk (Import)
Katakanlah kita memiliki Pelanggan (Client A) dengan IP 10.50.60.0/24. Saat router kita menerima rute tersebut dari klien, kita akan langsung menempelkan label COMM-CLIENT kepadanya.
set policy-options policy-statement IN-CLIENT-A term ACCEPT-IP from route-filter 10.50.60.0/24 exact set policy-options policy-statement IN-CLIENT-A term ACCEPT-IP then community add COMM-CLIENT set policy-options policy-statement IN-CLIENT-A term ACCEPT-IP then accept set policy-options policy-statement IN-CLIENT-A term DENY-ALL then reject
Perhatikan penulisan community add. Ini berfungsi menyematkan label tanpa menghapus label lain yang mungkin sudah ada sebelumnya.
Langkah 3: Memfilter Rute Keluar Berdasarkan Label (Export)
Sekarang, bayangkan Anda harus mengiklankan rute milik 100 klien Anda ke Upstream Internet. Tanpa community, Anda harus menulis IP klien tersebut satu per satu di Export Policy (sangat merepotkan!).
Dengan community, Anda cukup menyuruh router: "Iklankan semua rute yang memiliki label COMM-CLIENT".
set policy-options policy-statement OUT-UPSTREAM term EXPORT-CLIENT from community COMM-CLIENT set policy-options policy-statement OUT-UPSTREAM term EXPORT-CLIENT then accept set policy-options policy-statement OUT-UPSTREAM term DENY-ALL then reject
Sangat singkat dan bersih, bukan? Semua penambahan IP klien baru ke depannya tidak akan mengganggu policy upstream ini sama sekali.
Langkah 4: Verifikasi Hasil Community
Untuk melihat apakah label benar-benar sudah tertempel pada rute IP tersebut di tabel routing kita, gunakan perintah show route detail.
show route 10.50.60.0/24 detail
inet.0: 89456 destinations, 178912 routes (89456 active, 0 holddown, 0 hidden)
10.50.60.0/24 (1 entry, 1 announced)
*BGP Preference: 170/-101
Next hop type: Router, Next hop index: 611
Address: 0x90b5030
Next-hop reference count: 52
Source: 10.10.50.2
Next hop: 10.10.50.2 via xe-0/0/2.0, selected
State:
Peer AS: 65111
Age: 1w2d 15:20:11
Validation State: unverified
Task: BGP_65111.10.10.50.2
AS path: 65111 I
Communities: 65001:1000
Accepted
Localpref: 100
Router ID: 10.10.50.2
Lihat pada bagian yang ditebalkan. Terdapat keterangan Communities: 65001:1000 yang membuktikan bahwa rute dari klien tersebut sudah berhasil dilabeli dan siap dikirim secara masif ke arah Upstream.
Dengan teknik ini, manajemen jaringan berskala besar menjadi jauh lebih terstruktur dan meminimalisir human error. Di artikel selanjutnya, kita akan membahas pengamanan tingkat lanjut (Security) di BGP.
Post a Comment