Artikel
EoIP + IPSec pada RouterBoard dengan HW Encryption
Jum'at, 13 Januari 2017, 09:02:00 WIB
Kategori: Fitur & Penggunaan
Tunnel merupakan salah satu alternatif media untuk menghubungkan dua atau lebih
site, terutama jika jarak antar titik cukup jauh. Dengan menumpang pada jaringan
public (internet) maka jarak bukan menjadi halangan lagi sehingga tunnel bisa
menjadi solusi yang mudah dan murah jika dibandingkan dengan membangun media fisik.
Pada versi RouterOS yang baru fitur Tunnel seperti EoIP, IPTunnel (IPIP) dan
GRE Tunnel sudah ditambahkan sebuah parameter untuk mengaktifkan IPSec.
Dengan demikian kita bisa membangun sebuah link Tunnel yang lebih secure dengan
IPSec secara lebih lebih mudah dibanding sebelumnya.
Permasalahan yang sering muncul, dengan mengaktifkan IPSec beban kerja CPU akan
lebih berat, sebab akan ditambah proses enkripsi untuk pengamanan data. Pada Router
dengan spesifikasi processor yang tinggi mungkin tidak menjadi masalah, namun
untuk Router dengan processor kecil hal ini akan sangat memberatkan. Oleh karena
itu, Mikrotik mengeluarkan produk RouterBoard yang di dalamnya terdapat Hardware
(HW) Encryption.
Adapun produk RouterBoard (RB) yang sudah support HW Encryption adalah :
- hEX v3 (RB750Gr3)
- Cloud Core Router (CCR) Series
- RB1100AHx2
- RB1000
- RB850Gx2 (produksi mulai 2016, dengan serial number yang dimulai dengan angka 5)
Fungsi dari HW Encryption ini adalah untuk membantu mempercepat proses enkripsi
di dalam CPU. Walaupun
letaknya berada dalam CPU, namun HW Encryption merupakan hardware fisik terpisah
yang berfungsi menghandle enkripsi saat IPSec aktif. HW Encryption akan aktif
secara otomatis hanya jika kita menggunakan algoritma enkripsi
AES-CBC dan sha1/sha256. Jika selain algoritma tersebut maka akan di-handle oleh
software / CPU.
Kita akan melakukan sebuah
LAB sederhana untuk mengetahui perbedaan EoIP + IPSec jika diimplementasikan pada
RB750Gr3 (hEX) yang mempunyai HW Encryption
dan RB450G yang tidak memiliki HW Encryption. Setelah EoIP + IPSec terbentuk,
antara kedua router akan dilakukan bandwith test dengan melewatkan traffic sebesar
50Mbps melalui EoIP
[Lab1] EoIP + IPSec pada RB750Gr3 & RB450G
Untuk pengetesan pertama kita akan membangun link EoIP antara RB750Gr3 &
RB450G. RB450G tidak memiliki fitur HW Encryption. Topologi yang dibangun sama
dengan gambar berikut :
Untuk konfigurasi kedua router seperti berikut:
#RB750Gr3 (HEX)
/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254
tunnel-id=10
Secara garis besar konfigurasi EoIP masih sama dengan RoS versi sebelumnya, hanya
saja terdapat tambahan parameter ipsec-secret untuk pengatifan IPSec secara otomatis.
Selanjutnya pasang IP Address pada interface yang digunakan
/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0
Tambahkan static route agar antar client (btest) bisa berkomunikasi melalui jalur
EoIP
/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2
#RB450G
Lakukan konfigurasi yang hampir sama pada RB450G, detailnya sebagai berikut :
/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1
tunnel-id=10
/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0
/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1
Pengujian
Selanjutnya kita lakukan bandwith test dengan perangkat Btest yang tersambung
di Ether3-LAN masing-masing router.
Hasilnya dari pengetesan 50Mbps dengan topologi diatas hanya mampu melewatkan
bandwidth sekitar 25Mbps. Jika dilihat dari CPU Load, RB450G mencapai 100% dan
RB750Gr3 hanya berkisar diangka 10%-15%.
Apabila kita lihat juga
pada '/tools profile' di RB450G maka proses yang menggunakan resource CPU paling
besar adalah encrypting.
[Lab 2] IP Tunnel RB750Gr3 & RB750Gr3
Untuk pengetesan yang kedua kita akan menggunakan RB750Gr3
di kedua sisi. Topologinya tidak ada perubahan dengan topologi Lab 1. Hanya saja
yang sebelumnya di satu sisi menggunakan RB450G sekarang kita akan menggunakan
RB750Gr3.
Kita juga akan menambahkan IPSec di link tersebut. Untuk konfigurasi di kedua
router seperti berikut:
#RB750Gr3 (HEX)
-
A
/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254
tunnel-id=10
/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0
/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2
#RB750Gr3 (HEX) -
B
/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1
tunnel-id=10
/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0
/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1
Dan setelah dilakukan pengetesan hasilnya seperti berikut:
RB750Gr3 (HEX) - Sisi A
RB750Gr3 - Sisi B
Hasil yang didapatkan untuk pengetesan diatas maka trafik yang dilewatkan bisa
maksimal dan pada masing-masing perangkat CPU Load juga cukup rendah di kisaran
15%-20%. Hal ini karena RB750Gr3 (HEX) sudah memiliki HW Encryption sehingga CPU tidak
terbebani lagi untuk proses enkripsi.
Pada RB750Gr3 jika dilihat di '/tools profile' tidak terdapat proses enkripsi
dan proses lain yang terdeteksi. Ada kemungkinan ini disebabkan karena penggunaan
processor baru, yakni MediaTek.
Namun, karena pada RB750Gr3 menggunakan prosesor Dual-Core dengan 4 Threads,
kita bisa
melihat proses dari Enkripsi tersebut dihandle pada thread prosesor yang keberapa.
Caranya pilih menu 'System -> Resource -> IRQ', maka disitu akan terlihat proses
enkripsi
Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan