bisa agan lihat pada gambar diatas ketika komputer komputer diatas akan berkomunikasi router akan mengkalkulasi jalur mana yang akan dipakai

untuk mencari jalur terbaik router dapat dipengaruhi antara lain dengan :

2.Administrative Distance : router akan memilih jalur tempuh untuk mencapai destinasi berdasarkan AD(Administrative Distance) terkecil.

3.Attribute Berlaku pada BGP berbeda dengan routing protocol IGP seperti EIGRP,RIP,OSPF pada BGP tidak ada metric yang ada adalah attribute dimana suatu router akan memilih jalur tempuh berdasarkan attribute,pemilihan attribute bisa di pengaruhi oleh parameter aturan aturan yang telah ada kita buat.

Contoh penggunaan dalam metric misal kita compare protocol routing RIP dengan OSPF

Kalau dilihat pada gambar diatas jika Network A ingin berkomunikasi dengan Network B bila metric menggunakan RIP maka jalur bawah yang akan dipilih oleh RIP karena mempunyai HOP yang pendek jika metricnya menggunakan  OSPF cost yang terpendek adalah Jalur atas meskipun hopnya banyak.

Contoh Penggunaan dalam AD(Administrative Distance)

Jika kita lihat diatas ketika network ingin menggunakan parameter acuan AD(Administrative Distance) yakni compare antara Static Route dan OSPF jika Jalur atas mengguanakn Static dengan AD=10 dan OSPF AD=110,maka best path yang akan dipilih adalah jalur atas yaitu dengan static routing coz mempunyai AD=10

Compare yuk masing-masing AD dengan tabel dibawah ini

3.Directley ConnectedKetika Fortigate di konfigurasikan ip pada suatu interface maka secara otomatis ip tersebut akan masuk ke dalam tabel routingnya sendiri sebagai directly connected

umum eaa seperti router umumnya pemilihan jalur fortigate berdasarkan :

1.spesifik route
2.lowest distance
3.metric(dynamic routing)
4.lowest priority(static route)
5.ECMP

Flow pada fortigate dalam memforward packet adalah sebagai berikut

Pada dasarnya Fortigate ini untuk memforward packet hanya melihat pada route cache

Bila pada route cache IP Tesebut ada maka akan diforward,bila tidak fortigate akan melihat lagi ke routing table

FORTIGATE # diagnose ip rtcache list | grep 8.8.8.8
8.8.8.8@19(VLAN-3501)->118.221.212.2@13(root) gwy=0.0.0.0 prefsrc=118.221.212.2
0.0.0.0@0->8.8.8.8@19(VLAN-3501) gwy=118.221.212.1 prefsrc=118.221.212.2

bila tidak pada route cache  maka akan mencari dan mencocokkan pada routing-table

FORTIGATE # get router info routing-table all

Routing table for VRF=0
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default

S* 0.0.0.0/0 [10/0] via 118.221.212.1, VLAN-3501
[10/0] via 180.221.212.1, VLAN-3502
C 118.221.212.0/29 is directly connected, VLAN-3501
C 180.221.212.0/29 is directly connected, VLAN-3502
C 192.168.137.0/24 is directly connected, VLAN-99

And Forwarding information base

FORTIGATE # get router info kernel
tab=255 vf=0 scope=253 type=3 proto=2 prio=0 0.0.0.0/0.0.0.0/0->192.168.137.255/32 pref=192.168.137.200 gwy=0.0.0.0 dev=15(VLAN-99)
tab=254 vf=0 scope=0 type=1 proto=11 prio=0 0.0.0.0/0.0.0.0/0->0.0.0.0/0 pref=0.0.0.0
gwy=118.221.212.1 flag=04 hops=0 oif=19(VLAN-3501)
gwy=180.221.212.1 flag=04 hops=0 oif=20(VLAN-3502)

kalau dilihat gambar diatas PBR merupakan hierarchy yang akan dilihat awal oleh fortigate sebelum melihat ke routing table,jadi hati-hati kalau agan ingin membuat rule PBR karena bila cocok fortigate akan memforward dan tidak akan melihat route cache ato routing table kembali

untuk melihat policy pada PBR

FORTIGATE # diagnose firewall proute list

list route policy info(vf=root):

id=1 dscp_tag=0xff 0xff flags=0x0 tos=0x00 tos_mask=0x00 protocol=0 sport=0:0 iif=11 dport=0-65535 oif=12 gwy=118.221.212.1
source(1): 10.10.20.3-10.10.20.5

destination fqdn(1):

youtube.com ID(47) REF(5) ADDR(142.250.4.190)

LAB.Static Route

Untuk labnya disini kita akan membuat protocol static routing untuk keseluruhannya pada device Jupiter,Pluto kita menggunakan fortigate untuk labnya wk..wk..wk..jadi disitu ada 3 fortigate ya gan..

Tahap 1 Koneksikan Fortigate Ke Internet dahulu disitu kita lihat mempunyai 2 gateway ISP

ISP-Primary IP=118.221.212.0/29
ISP-Secondary IP=180.221.212.0/29

untuk labnya kita akan menggunakan Failover saja bukan Loadbalance(load balance nanti dibahas karena ada beberapa load balance dalam fortigate,spillover,weight,dll)

oke kita lanjut asumsi agan sudah membuat interface ISP1 dan ISP2 lanjut kita membuat routingannya yaitu

interfacenya

Default-Route dan Administrative Distance  :

untuk dapat terkoneksi ke internet Biasa default route di konfigurasikan dengan 0.0.0.0/0 ini menandakan bahwa semua network yang berasal dari  0.0.0.1-255.255.255.254(Liat Ip Calculator wk..wk.) yang dapat kita tuju banyak banget ya?? ini biasa dipakai kalau kita mau terkoneksi ke internet,kalau agan ingin merouting semua ip yang ada pada internet ya silahkan asal kuat wk..wk..wk..makanya cukup dengan default route saja 0.0.0.0/0

Kita bisa lihat diatas Distance atau Administrative Distance adalah nilai sebuah parameter yang akan mempengaruhi route path yang akan dituju menuju destinasi

misal kalau kita melihat tabel routing diatas kalau packet akan menuju 8.8.8.8 maka fortigate akan melihat distance terkecil yaitu 118.221.212.1 karena memiliki distance yaitu 10 sudah pasti 8.8.8.8 akan dilewati melalui gateway 118.221.212.1 ,kalau priority bagaimana?? ya sama saja fortigate akan melihat priority yang kecil..

bisa agan lihat dibawah ini tanda (*) merupakan best path yang akan di forward melalui jalur tersebut yaitu 118.221.212.1 (Interface VLAN-3501)

FORTIGATE # get router info routing-table details 8.8.8.8

Routing table for VRF=0
Routing entry for 0.0.0.0/0
Known via “static”, distance 20, metric 0
180.221.212.1, via VLAN-3502

Routing entry for 0.0.0.0/0
Known via “static”, distance 10, metric 0, best
* 118.221.212.1, via VLAN-3501

untuk natnya kita hanya memasukkan network bekasi dan venus
(10.10.20.0/25 dan 10.10.20.128/25),result untuk nat-sebagai berikut

Sekarang saatnya kita untuk lakukan routing ke network OFFICE bekasi dan venus lanjooottt

yang sekarang kita butuhkan sekarang adalah Pada Fortigate Jupiter dan Pluto hanya layer 3 saja wk..wk..wk..karena fungsi firewall hanya ada pada router FORTIGATE DC saja,caranya adalah dengan membuat zone yang sama(Masih inget dong cara membuat zone pada artikel saya sebelumnya)

Oke kita buat zone pada fortigate Jupiter dan pluto

Interface pada Jupiter

Interface Pluto

Saya tarik kembali untuk topologynya pada bagian DC

Pada Segment DC kita mempunyai segment 172.16.21.1 dan destinasi ke internet(0.0.0.0/0 atau default route) yang telebih dahulu kita akan lakukan adalah routing hmmmm kita lihat dari topologi diatas enaknya kita mulai dari Fortigate jupiter terlebih dahulu

Gambar 2.1

Berikut Penjelasannya

Sebuah Device ROuter/Firewall akan memforward sebuah packet ini berdasarkan dari next-hop,jika kita lihat diatas ip 10.10.10.8/30,10.10.10.12/30,10.10.20.0/25 dan 10.10.20.128/25 merupakan sekumpulan IP yang berada dibelakang Fortigate Pluto agar dapat berkomunikasi jupiter dengan ip-ip tersebut maka pada device jupiter harus memasukkan routing tersebut dengan destinasi IP yang berada dibelakang device PLUTO jadi mau kemana dan kemana wk..wk..wk..gak sekalian sedang apa?? semalam bobo dengan siapa wakakakak

kalau masih kurang paham

kita liat diatas antara router jupiter dan pluto mempunyai ip point 2 point Jupiter 10.10.10.5(device Jupiter) dan 10.10.10.6 (device Pluto) kalau si jupiter ingin berkomunikasi dengan ip 10.10.20.0/25 maka wajib memasukkan destination (ip yang akan dituju yakni 10.10.20.0/25) dengan next hop 10.10.10.6 (IP point 2 point Pluto dan jupiter) jadi hasilnya seperti ini

untuk hasil full routingnya lihat gambar 2.1

oke lanjut agan kerjakan juga dengan pluto inget lagi prinsipnya destinationnya mau kemana and lewat mana..

Result Pluto

biasa router yang ujung itu enak buat di masukkan default route wk..wk..wk..

lihat yang dikotak merah semua device pada bagian itu kalau flownya menuju ke DC adalah ujung jadi cukup default route tapi tidak dengan device pluto ke arah bekasi,device pluto tersebut border antara router bekasi dan venus maka wajib bagi pluto memasukkan destination network bekasi dan venus

untuk router bekasi dan pluto cukup masukkan default route saja

BEKASI#sh run | s route
ip source-route
ip route 0.0.0.0 0.0.0.0 10.10.10.9

Begitupun dengan Router venus

VENUS#sh run | s route
ip source-route
ip route 0.0.0.0 0.0.0.0 10.10.10.13

Summary Route

sekarang mari kita konfigurasi routing pada Device Fortigate-DC
stepnya adalah kita mesti memasukkan ip dan segment yang berada dibelakang device jupiter wah banyak ya,inget kembali diatas,device yang paling ujung itu enak karena antara 2 bisa masukkan summary route atau default route wk..wk..wk..

apa itu summary route?? summary route adalah tehnik routing merangkum segment segment nework menjadi satu blog subnet contoh kita punya 192.168.100.0-192.168.103.0 bisa kita rangkum routingannya sehingga menjadi 192.168.100.0/22

untuk summary route(Suppernetting) hitungannya coba agan baca DISINI
Karena pada segment OFFICE diatas mempunya segment Class ip yang sama maka kita masukkan summary routenya menjadi 10.10.0.0/19 kenapa gak default route aja,pan default routenya dah dipake buat internet he..he..he..jadi pake summary route

Result Tabel Routing keseluruhan pada Device Fortigate-DC

untuk policynya

and sekarang kita cek yuk dari Segment Network Bekasi kita

IP Address Bekasi

Ping to Server

Telnet To Server

Browsing Internet

Karena kita sudah melakukan pengisian parameter AD(Administrative Distance) yang fungsinya sebagai active backup

FORTIGATE # get router info routing-table database

Routing table for VRF=0
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
> – selected route, * – FIB route, p – stale info

S 0.0.0.0/0 [20/0] via 180.221.212.1, VLAN-3502
S *> 0.0.0.0/0 [10/0] via 118.221.212.1, VLAN-3501
S *> 10.10.0.0/19 [10/0] via 10.10.10.2, port2
C *> 10.10.10.0/30 is directly connected, port2
C *> 118.221.212.0/29 is directly connected, VLAN-3501
C *> 172.16.21.0/24 is directly connected, port3
C *> 180.221.212.0/29 is directly connected, VLAN-3502
C *> 192.168.137.0/24 is directly connected, VLAN-99

bila kita lihat tabel routing diatas yang mempunyai parameter best path yang menjadi primary link(link utama )adalah 118.221.212.1 -VLAN-3501 dan liat tanda (*>) diatas menadakan routing tersebut mempunyai best path,sekarang kita lihat hasilnya masuk menu fortiview > All session

dapat dilihat pada gambar diatas forwarding packet ke internet hanya dilakukan pada primary link saja tidak dengan secondary link(secondary linknya lagi tidur..wk..wk.)

sekarang kita coba putus koneksi yuk..dengan shutdown interface ke arah primary link

FORTIGATE # get router info routing-table database

Routing table for VRF=0
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
> – selected route, * – FIB route, p – stale info

S *> 0.0.0.0/0 [20/0] via 180.221.212.1, VLAN-3502
S 0.0.0.0/0 [10/0] via 118.221.212.1, VLAN-3501 inactive
S *> 10.10.0.0/19 [10/0] via 10.10.10.2, port2
C *> 10.10.10.0/30 is directly connected, port2
C *> 172.16.21.0/24 is directly connected, port3
C *> 180.221.212.0/29 is directly connected, VLAN-3502
C *> 192.168.137.0/24 is directly connected, VLAN-99

sekarang bestpathnya adalah 180.221.212.1 VLAN-3502 melalui backup link

Monitor-Link

Kelamahan untuk failover tersebut jika tidak ada monitor link diatasnya maka failover tidak berpindah ke routing table backup bisa kita coba,nyalakan kembali untuk interface Primarylinknya lalu kita cabut RTR-ISP01 dengan GLOBAL

cabut remove/unplug

bisa kita coba hasilnya

Routing Tablenya tidak mau pindah ke backup link

FORTIGATE # get router info routing-table database

Routing table for VRF=0
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
> – selected route, * – FIB route, p – stale info

S *> 0.0.0.0/0 [10/0] via 118.221.212.1, VLAN-3501
S 0.0.0.0/0 [20/0] via 180.221.212.1, VLAN-3502
S *> 10.10.0.0/19 [10/0] via 10.10.10.2, port2
C *> 10.10.10.0/30 is directly connected, port2
C *> 118.221.212.0/29 is directly connected, VLAN-3501
C *> 172.16.21.0/24 is directly connected, port3
C *> 180.221.212.0/29 is directly connected, VLAN-3502
C *> 192.168.137.0/24 is directly connected, VLAN-99

bisa dilihat diatas routing table menuju ke internet bestpathnya adalah 118.221.212.1 VLAN-3501,tadi kita cabut kan ?? harusnya pindah dwongg..

S *> 0.0.0.0/0 [10/0] via 118.221.212.1, VLAN-3501
S 0.0.0.0/0 [20/0] via 180.221.212.1, VLAN-3502

balikin dulu yuk colok kembali ISP Primary nya kita tambahkan berikut :

FORTIGATE # show system link-monitor
config system link-monitor
edit “PRIMARY”
set srcintf “VLAN-3501”
set server “8.8.8.8”
set gateway-ip 118.221.212.1
next
edit “SECONDARY”
set srcintf “VLAN-3502”
set server “8.8.8.8”
set gateway-ip 180.221.212.1
next
end

bisa dilihat status pada Primary Link masih alive kita akan coba lagi dengan mencabut kabel pada Primary Link

hasilnya link Secondary sudah digunakan menjadi backup link ke internet btw agan bisa rubah jeda time out diatas

kita lihat hasilnya (die) mokad bahasa bekasinya..

Oke gan next sambung ya tangan dah capek ngetik ..

Semoga Bermanfaat