Sunday, August 7, 2011

VRRP di Router Juniper


IP adalah protokol jaringan yang digunakan untuk melakukan surfing di internet, download musik, atau game. PC akan memiliki IP address serta default gateway untuk mencapai setiap tujuan yang tidak berada pada subnet lokal. Default gateway dapat didefinisikan oleh pengguna baik secara static atau melalui proses Dynamic Host Configuration Protocol (DHCP). Apapun metode tersebut, default gateway akan digunakan sebagai hop berikutnya untuk rute default yang akan dibuat untuk mencapai tujuan.
Jika default gateway adalah single device dan device tersebut failed, maka PC tidak akan mampu mencapai tujuan di luar subnet lokal. Dalam jaringan fault-tolerant, akan sangat ideal untuk memiliki cadangan gateway device, tanpa harus memodifikasi konfigurasi pada PC, serta dapat di-share dengan beberapa PC di LAN.


VRRP (Virtual Router Redundancy Protocol) diciptakan untuk menghilangkan perilaku single poin yang melekat pada jaringan static routed default. VRRP membuat pengelompokan logical dari beberapa physical router menjadi sebuah router “virtual” yang akan digunakan sebagai default gateway untuk host. Hal ini memungkinkan PC untuk selalu menggunakan alamat gateway yang sama bahkan jika physical gateway telah berubah (lihat Gambar 1). Router yang merupakan bagian dari VRRP logical grup yang sama akan share “virtual” IP address dan juga “virtual” media access control (MAC) address. VRRP pada dasarnya menggambarkan sebuah pemilihan protokol untuk mengelola kepemilikan virtual IP (VIP) address dan MAC address. Satu router dalam VRRP grup akan menjadi master router, yang mengontrol VIP address kecuali terjadi kegagalan dan menyebabkan master router me-release kepemilikan tersebut. Kegagalan ini menyebabkan router lain mengajukan klaim kepemilikan dari VIP dengan mengeluarkan sebuah pesan VRRP dan Address Resolution Protocol (ARP) untuk mengklaim virtual MAC Address. Setelah router menjadi master, maka router tersebut secara berkala akan mengadvertise pesan VRRP untuk mengindikasikan master router dalam kondisi baik dan reachability.
Gambar 1
Ketika mengkonfigurasi VRRP pada router Juniper, konfigurasi akan berada dalam properti logical dan akan dikonfigurasi setelah family inet address. sebuah VRRP grup bernilai (1-255) yang dikonfigurasi pada setiap router yang akan menjadi bagian dari virtual router dan menentukan VIP address yang akan digunakan sebagai gateway address. Gateway address ini bisa merupakan address yang dimiliki oleh salah satu router dalam grup atau address yang diambil dari blok address yang dimiliki oleh LAN. Nilai priority dapat dikonfigurasi untuk mengubah nilai default dari 100, yang digunakan untuk memilih router master dari VRRP grup. Router dengan nilai priority tertinggi akan menjadi master untuk grup tersebut, jika prioritynya sama maka keputusan untuk menentukan master router diambil dari IP address tertinggi dari LAN lokal.
Konfigurasi router R1:
user@R1# set interfaces fxp0 unit 10 vlan-id 10
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24 vrrp-group 1 virtual-address 192.168.1.1
user@R1# set interfaces fxp0 unit 10 family inet address 192.168.1.2/24 vrrp-group 1 priority 200
user@R1# commit comment “Config VRRP”
Melihat konfigurasi interface fxp0 unit 10 di router R1:
user@R1# show interfaces fxp0 unit 10
vlan-id 10;
family inet {
——address 192.168.1.2/24 {
————vrrp-group 1 {
—————–virtual-address 192.168.1.1;
—————–priority 200;
————}
——}
}
Konfigurasi router R2:
user@R2# set interfaces fxp0 unit 10 vlan-id 10
user@R2# set interfaces fxp0 unit 10 family inet address 192.168.1.3/24
user@R2# set interfaces fxp0 unit 10 family inet address 192.168.1.3/24 vrrp-group 1 virtual-address 192.168.1.1
user@R2# commit comment “Config VRRP”
Melihat konfigurasi interface fxp0 unit 10 di router R2:
user@R2# show interfaces fxp0 unit 10
vlan-id 10;
family inet {
——address 192.168.1.3/24 {
————vrrp-group 1 {
—————–virtual-address 192.168.1.1;
————}
——}
}
Lakukan verifikasi VRRP di router R1 dan R2:
VRRP di router R1:
user@R1# run show vrrp summary
Interface     State       Group   VR state      Type   Address
fxp0.10        up                   1   master
——–lcl       192.168.1.2——————————————————————vip      192.168.1.1
VRRP di router R2:
user@R2# run show vrrp summary
Interface     State       Group   VR state      Type   Address
fxp0.10        up                   1   backup——-lcl       192.168.1.3
——————————————————————vip      192.168.1.1
Sebuah VRRP router tidak seharusnya meneruskan paket yang ditujukan kepada VIP Address yang menjadi Master jika bukan pemilik VIP address tersebut.  Itu berarti jika kita memiliki IP address yang tidak dimiliki oleh setiap router dan hanya alamat dari subnet yang digunakan sebagai VIP, masalah operasional dapat muncul. Masalah yang paling umum adalah tidak bisa ping ke virtual address. Dalam kasus ini, 192.168.1.1 adalah VIP address yang dipilih dari subnet 192.168.1.0/24, tetapi sebenarnya VIP address tidak dikonfigurasi di physical interface router R1 atau R2 melainkan dikonfigurasi secara logical di physical interface. Router Juniper memungkinkan untuk menghilangkan aturan ini dengan mengkonfigurasi perintah accept-data untuk memungkinkan master router merespons ke VIP address. Hal ini akan memungkinkan pengujian terjadi terhadap VIP address dan ada beberapa konsekuensi menggunakan statementaccept-data:
  • Statement accept-data tidak perlu disertakan untuk mengaktifkan fitur ini jika master router memiliki IP address virtual (dengan kata lain ip yang digunakan di physical interface dan virtual IP adalah sama).
  • Statement accept-data tidak perlu disertakan, jika master router memiliki IP address virtual karena master router akan menanggapi permintaan pesan ICMP saja.
  • Statement accept-data tidak perlu disertakan ketika priority master router di set ke 255.
  • Untuk membatasi incoming paket-paket IP hanya ke ICMP, harus mengkonfigur firewall filters untuk menerima hanya paket-paket ICMP.
  • Jika statement accept-data disertakan, konfigurasi router tidak akan sesuai dengan RFC 2338.
  • Jika statement accept-data disertakan, klien VRRP harus dapat mengatur proses ARP yang sembarangan.
  • Jika statement accept-data disertakan, klien VRRP tidak seharusnya menggunakan paket selain dari ARP replies untuk mengupdate ARP cache.
Demikian sedikit tulisan mengenai VRRP, semoga ini dapat bermanfaat…


http://rzbangka.wordpress.com/2010/06/14/konfigurasi-vrrp-di-juniper/