DYNAMIC MAPPING WITH IPSEC ( PHASE 1 ) - DMVPN #4 ( CCNP )

-

 DMVPN #4 : 

DYNAMIC MAPPING WITH IPSEC ( PHASE 1 )

Required :

  • Laptop
  • VMware
  • EVE NG 

    Lab ini sama dengan Lab sebelumnya tetapi bedanya kita hanya perlu mengonfig IP Security setelah Dynamic Mapping Phase 1 telah di konfigurasi. Apa itu IPSecIP Protocol Security atau IPsec ( RFC 2406 ) adalah Protocol yang digunakan untuk memberikan privasi, integritas, dan keaslian informasi yang ditransfer melalui jaringan IP. IPsec mengamankan Packet dengan melakukan Proses Encapsulation menggunakan Network Layer. IPSec menggunakan Protocol Keamanan yang bernama ISAKMP atau Internet Security Association and Key Management Protocol untuk menetapkan Asosiasi keamanan dan kunci kriptografik di lingkungan Internet. dan IPSec ini termasuk Complex dan sulit untuk dijelaskan, karena Complex jadi IPSec terjamin aman atau Secure

Berikut cara DYNMAIC MAPPING WITH IPSEC :

Nyalakan VMWarenya dan Masuk ke Eve NG lalu Buatlah Topologi seperti ini:
 
 
Seperti Biasa, tambahkan IP Address pada Router sesuai dengan topologi kalian
 
R1 : 
 
Router(config)#int e0/0
Router(config-if)#ip address 10.10.10.1 255.255.255.0
Router(config-if)#no sh
 
R2 :

Router(config)#int e0/0
Router(config-if)#ip address 10.10.10.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int e0/1
Router(config-if)#ip address 20.20.20.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int e0/2
Router(config-if)#ip address 30.30.30.1 255.255.255.0
Router(config-if)#no sh

R3 : 

Router(config)#int e0/0
Router(config-if)#ip address 20.20.20.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#

R4 :

Router(config)#int e0/0
Router(config-if)#ip address 30.30.30.2 255.255.255.0
Router(config-if)#no sh

    Setelah menambahkan IP Address, saatnya menambahkan Default Route untuk Connectivity pada HUB,Spoke 1 dan 2

R1 : 

Router(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.2 

R3 : 

Router(config-if)#ip route 0.0.0.0 0.0.0.0 20.20.20.1

R4 :

Router(config-if)#ip route 0.0.0.0 0.0.0.0 30.30.30.1

Setelah menambahkan Default Route, saatnya membuat Dynamic Mapping menggunakan NHRP :

 R1 :

Router(config)#int tun0
Router(config-if)#ip address 192.168.50.1 255.255.255.0
Router(config-if)#tunnel source 10.10.10.1
Router(config-if)#tunnel mode gre multipoint
Router(config-if)#ip nhrp network-id 1
Router(config-if)#ip nhrp authentication IDN

R3 : 

Router(config)#int tun0
Router(config-if)#ip address 192.168.50.2 255.255.255.0
Router(config-if)#tunnel source 20.20.20.2
Router(config-if)#tunnel destination 10.10.10.1
Router(config-if)#ip nhrp network-id 1
Router(config-if)#ip nhrp authentication IDN
Router(config-if)#ip nhrp map 192.168.50.1 10.10.10.1
Router(config-if)#ip nhrp nhs 192.168.50.1
Router(config-if)#exit 

R4 :

 Router(config)#int tun0
Router(config-if)#ip address 192.168.50.3 255.255.255.0
Router(config-if)#tunnel source 30.30.30.2
Router(config-if)#tunnel destination 10.10.10.1
Router(config-if)#ip nhrp network-id 1
Router(config-if)#ip nhrp authentication IDN
Router(config-if)#ip nhrp map 192.168.50.1 10.10.10.1
Router(config-if)#ip nhrp nhs 192.168.50.1

Setelah mengonfig Dynamic Mapping, Lansung saja mengonfig IPSec menggunakan ISAKMP :

R1 :

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes 128
Router(config-isakmp)#group 5
Router(config-isakmp)#hash sha 

R3  :

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes 128
Router(config-isakmp)#group 5
Router(config-isakmp)#hash sha 

R4 : 

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#encryption aes 128
Router(config-isakmp)#group 5
Router(config-isakmp)#hash sha 

Setelah itu kita akan peering Authentication menggunakan ISAKMP key : 

R1 :

Router(config)#crypto isakmp key BUTO_IJO address 20.20.20.2= PEER ke Spoke 1
Router(config)#crypto isakmp key BUTO_IJO address 30.30.30.2= Peer ke spoke 2 

R3 :

Router(config)#crypto isakmp key BUTO_IJO address 10.10.10.1= PEER ke Hub

R4 : 

Router(config)#crypto isakmp key BUTO_IJO address 10.10.10.= PEER KE HUB

 Setelah itu kita menambahkan Mode transport untuk keamanan yang lebih untuk traffic :

R1 :

Router(config)#crypto ipsec transform-set MANUSIA_IKAN esp-aes esp-sha-hmac
Router(cfg-crypto-trans)#mode transport= nyalakan mode transport untuk lebih secure

R3 :

Router(config)#crypto ipsec transform-set MANUSIA_IKAN esp-aes esp-sha-hmac
Router(cfg-crypto-trans)#mode transport

R4 :

Router(config)#crypto ipsec transform-set MANUSIA_IKAN esp-aes esp-sha-hmac
Router(cfg-crypto-trans)#mode transport 

Setelah itu kita menambahkan IPsec Profile untuk menentukan parameter IPsec yang akan digunakan untuk enkripsi IPsec antara dua perangkat IPsec :

R1 :

Router(config)#crypto ipsec profile BUTO_MERAH= Tambahkan IPsec Profile dengan "crypto ipsec profile ( Profile-name )"
Router(ipsec-profile)#set transform-set MANUSIA_IKAN= Tentukan Ipsec transform yang kalian buat dengan "set transform-set ( Nama IPsec Transform )"

 Lakukan Hal yang sama kepada Spoke 1 dan 2:

R3 :

Router(config)#crypto ipsec profile BUTO_MERAH
Router(ipsec-profile)#set transform-set MANUSIA_IKAN

R4 :

Router(config)#crypto ipsec profile BUTO_MERAH
Router(ipsec-profile)#set transform-set MANUSIA_IKAN 

Lalu kita hubung kan / Integrasikan IPsec profile ke Interface tunnel

R1 :

Router(ipsec-profile)#int tun0= Masuk ke interface Tunnel
Router(config-if)#tunnel protection ipsec profile BUTO_MERAH= Lalu Assosiasikan IPSec dengan Interface Tunnel dengan "tunnel protection ipsec profile ( Nama IPsec Profile )"

 Lakukan Hal yang sama kepada Spoke 1 dan 2

R3 : 

Router(ipsec-profile)#int tun0
Router(config-if)#tunnel protection ipsec profile BUTO_MERAH 

R4 : 

Router(ipsec-profile)#int tun0
Router(config-if)#tunnel protection ipsec profile BUTO_MERAH

jika sudah mengonfig semua itu silahkan check IPsecnya :

R1 :

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
20.20.20.2      10.10.10.1      QM_IDLE           1002 ACTIVE
10.10.10.1      30.30.30.2      QM_IDLE           1003 ACTIVE
10.10.10.1      20.20.20.2      QM_IDLE           1001 ACTIVE

IPv6 Crypto ISAKMP SA

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
20.20.20.2      10.10.10.1      QM_IDLE           1002 ACTIVE
10.10.10.1      30.30.30.2      QM_IDLE           1003 ACTIVE
10.10.10.1      20.20.20.2      QM_IDLE           1001 ACTIVE= maka Connectionya ada


Komentar

Posting Komentar

Postingan populer dari blog ini

PORT SECURITY ( DEFAULT VIOLATION ) - SWITCHING TECHNOLOGIES #16 ( CCNP )

-
Gambar
  SWITCHING TECHNOLOGIES #16 : PORT SECURITY ( DEFAULT VIOLATION )      Cek nilai mac address F0/0 Router R1 R1 Router(config)#do show int f0/0 | i address Hardware is Gt96k FE, address is 0021.d831.1bda (bia 0021.d831.1bda) Konfigurasikan port-security SW-1 Switch(config)#interface FastEthernet1/0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address 0021.d831.1bda   Verifikasi SW-1 Switch#show port-security interface f1/0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute Secure Static Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0021.d831.1bda:1 Security Violation Count : 0 Coba rubah mac address pada R1   R1 Router(config)#int F0/0 Router(config-if)#mac-address aaaa.bbbb.cccc Router(config-if)#exit Cek disisi Switch SW-1
Baca selengkapnya

BGP BASIC CONFIGURATION - BGP #2 ( CCNP )

-
Gambar
      BGP #2  :  BGP BASIC CONFIGURATION  Required : Laptop VMware EVE NG       BGP ( Border Gate way Protocol )  adalah  Protocol Core  atau  Inti  dari internet yang digunakan untuk melakukan pertukaran informasi antar jaringan.  Disini kita akan menghubungkan antara 2 ISP dengan AS  Number 1 dan 2.. dan  Protocol  ini termasuk  Protocol  yang sulit dan rumit serta  Complex  jadi di Konfigurasi ini harus lebih teliti.      Disini kita akan menggunakan 5 Router , Router 1 -  4 itu termasuk AS 2 dan Router 5 itu termasuk AS 1 dan tugas kita adalah menghubungkan mereka semua dan Pastikan Router 5 mendapatkan semua IP Router :  Berikut cara  BGP Basic Configuration  : Nyalakan  VMWare nya dan Masuk ke  Eve NG  lalu Buatlah Topologi seperti ini : Pertama, seperti Biasa Tambahkan IP Address sesuai Topology yang kalian buat :  R1 :  Router(config)#int e0/0 Router(config-if)#ip address 12.12.12.1 255.255.255.0 Router(config-if)#no sh Router(config-if)#int e0/1 Router(config-if)#ip add
Baca selengkapnya

BGP ATTRIBUTE ( COMMUNITY-LIST ) - BGP #9 ( CCNP )

-
Gambar
     BGP #9 :  BGP ATTRIBUTE ( COMMUNITY-LIST ) Required : Laptop VMware EVE NG      Community-List digunakan untuk membuat Group dari Community-Community / AS BGP . lalu di Group tersebut kita bisa memanage route mana yang di block,allow,advertise , distribut, dll. kita juga bisa memfilter Group community tersebut. Kita bisa menambahkan, mengubah, dan modifikasi Community Tersebut : Perlu diketahui Community-list dibagi menjadi 2 :  Standard Community-list = digunakan untuk menentukan Community dan Angka/Nomor Community. Konfigurasi : "ip community-list ( 1-99 ) ( permit | deny ) ( community-number )" Expanded Community-list = digunakan untuk memfilter Community menggunakan Regexp ( Regular expression ) dan Regular expression digunakan untuk digunakan untuk menentukan pola untuk dengan Community Attribute. Konfigurasi : " ip community-list ( 100-199 )  ( permit | deny ) ( Regexp )" Jadi disini kita akan menggunakan Community List Standard ( Berkola
Baca selengkapnya