username
password
daftar | lupa password  
Keranjang Belanja | Detail
barang, Rp ,-
Di luar PPN, diskon %
 
Cari produk:
 
Halaman Muka
Produk
Voucher MUM
Lisensi (dgn DOM)
Lisensi (tanpa DOM)
Upgrade Lisensi
Cloud Router Switch
Interface
Switch
MikroBits Switch
RouterBoard (only)
Router Indoor
Wireless Indoor NEW
Router Outdoor
RouterBoard 2011
RouterBoard 3011
MikroBits Aneto
MikroBits Ainos
MikroBits Celoica
MikroBits Dinara NEW
Cloud Core Router
Wireless Indoor 800
Wireless Outdoor 800
Wireless Indoor 493
Wireless Indoor 433
Wireless Outdoor 433
Wireless Outdoor 435
Wireless Indoor 411
Wireless Outdoor 411
Wireless Outdoor 900
Wireless Outdoor 711
Groove
Metal
Embedded 2.4GHz
Embedded 5.xGHz
Indoor Antenna
RF Ellements
Outdoor Antenna
SFP Transceiver
Mikrobits Fiber Patch
NetProtector NEW
Perlengkapan Lain
Discontinued
Rancang Sendiri
Aplikasi Bantu
Pelatihan
Manual & Dokumentasi
Download Area
Artikel
Tips & Trik
Mikrotik @ Media
Fitur & Penggunaan
Tentang Kami
Aturan & Tata Cara
Layanan Pelanggan
BGP-Peer NEW
Kontak Kami
 
 
 

Artikel

EoIP + IPSec pada RouterBoard dengan HW Encryption

Kategori: Fitur & Penggunaan
Share


Tunnel merupakan salah satu alternatif media untuk menghubungkan dua atau lebih site, terutama jika jarak antar titik cukup jauh. Dengan menumpang pada jaringan public (internet) maka jarak bukan menjadi halangan lagi sehingga tunnel bisa menjadi solusi yang mudah dan murah jika dibandingkan dengan membangun media fisik.

Pada versi RouterOS yang baru fitur Tunnel seperti EoIP, IPTunnel (IPIP) dan GRE Tunnel sudah ditambahkan sebuah parameter untuk mengaktifkan IPSec. Dengan demikian kita bisa membangun sebuah link Tunnel yang lebih secure dengan IPSec secara lebih lebih mudah dibanding sebelumnya.

Permasalahan yang sering muncul, dengan mengaktifkan IPSec beban kerja CPU akan lebih berat, sebab akan ditambah proses enkripsi untuk pengamanan data. Pada Router dengan spesifikasi processor yang tinggi mungkin tidak menjadi masalah, namun untuk Router dengan processor kecil hal ini akan sangat memberatkan. Oleh karena itu, Mikrotik mengeluarkan produk RouterBoard yang di dalamnya terdapat Hardware (HW) Encryption.

Adapun produk RouterBoard (RB) yang sudah support HW Encryption adalah :

  • hEX v3 (RB750Gr3)
  • Cloud Core Router (CCR) Series
  • RB1100AHx2
  • RB1000
  • RB850Gx2 (produksi mulai 2016, dengan serial number yang dimulai dengan angka 5)

Fungsi dari HW Encryption ini adalah untuk membantu mempercepat proses enkripsi di dalam CPU. Walaupun letaknya berada dalam CPU, namun HW Encryption merupakan hardware fisik terpisah yang berfungsi menghandle enkripsi saat IPSec aktif. HW Encryption akan aktif secara otomatis hanya jika kita menggunakan algoritma enkripsi  AES-CBC dan sha1/sha256. Jika selain algoritma tersebut maka akan di-handle oleh software / CPU.

Kita akan melakukan sebuah LAB sederhana untuk mengetahui perbedaan EoIP + IPSec jika diimplementasikan pada RB750Gr3 (hEX) yang mempunyai HW Encryption  dan RB450G yang tidak memiliki HW Encryption. Setelah EoIP + IPSec terbentuk, antara kedua router akan dilakukan bandwith test dengan melewatkan traffic sebesar 50Mbps melalui EoIP

[Lab1] EoIP + IPSec pada RB750Gr3 & RB450G

Untuk pengetesan pertama kita akan membangun link EoIP antara RB750Gr3 & RB450G. RB450G tidak memiliki fitur HW Encryption. Topologi yang dibangun sama dengan gambar berikut :




Untuk konfigurasi kedua router seperti berikut:

#RB750Gr3 (HEX)

/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10


Secara garis besar konfigurasi EoIP masih sama dengan RoS versi sebelumnya, hanya saja terdapat tambahan parameter ipsec-secret untuk pengatifan IPSec secara otomatis. Selanjutnya pasang IP Address pada interface yang digunakan

/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0

Tambahkan static route agar antar client (btest) bisa berkomunikasi melalui jalur EoIP

/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2


#RB450G

Lakukan konfigurasi yang hampir sama pada RB450G, detailnya sebagai berikut :

/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10


/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0

/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1


Pengujian

Selanjutnya kita lakukan bandwith test dengan perangkat Btest yang tersambung di Ether3-LAN masing-masing router.





Hasilnya dari pengetesan 50Mbps dengan topologi diatas hanya mampu melewatkan bandwidth sekitar 25Mbps. Jika dilihat dari CPU Load, RB450G mencapai 100% dan RB750Gr3 hanya berkisar diangka 10%-15%.

Apabila kita lihat juga pada '/tools profile' di RB450G maka proses yang menggunakan resource CPU paling besar adalah encrypting.



[Lab 2] IP Tunnel RB750Gr3 & RB750Gr3

Untuk pengetesan yang kedua kita akan menggunakan RB750Gr3 di kedua sisi. Topologinya tidak ada perubahan dengan topologi Lab 1. Hanya saja yang sebelumnya di satu sisi menggunakan RB450G sekarang kita akan menggunakan RB750Gr3.




Kita juga akan menambahkan IPSec di link tersebut. Untuk konfigurasi di kedua router seperti berikut:

#RB750Gr3 (HEX) - A

/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10


/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0

/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2


#RB750Gr3 (HEX) - B

/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10


/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0

/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1


Dan setelah dilakukan pengetesan hasilnya seperti berikut:


RB750Gr3 (HEX) - Sisi A


RB750Gr3 - Sisi B

Hasil yang didapatkan untuk pengetesan diatas maka trafik yang dilewatkan bisa maksimal dan pada masing-masing perangkat CPU Load juga cukup rendah di kisaran 15%-20%. Hal ini karena RB750Gr3 (HEX) sudah memiliki HW Encryption sehingga CPU tidak terbebani lagi untuk proses enkripsi.

Pada RB750Gr3 jika dilihat di '/tools profile' tidak terdapat proses enkripsi dan proses lain yang terdeteksi. Ada kemungkinan ini disebabkan karena penggunaan processor baru, yakni MediaTek.


 

Namun, karena pada RB750Gr3 menggunakan prosesor Dual-Core dengan 4 Threads, kita bisa melihat proses dari Enkripsi tersebut dihandle pada thread prosesor yang keberapa. Caranya pilih menu 'System -> Resource -> IRQ', maka disitu akan terlihat proses enkripsi

 




Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan

 

muka - tentang kami - produk - artikel - kontak kami
 
Copyrights 2005-2017 Citraweb Nusa Infomedia. All Rights Reserved. Generated in 0.0047 second(s).
Your IP: 54.80.29.228