Pendahuluan
VPN (Virtual Private Network) adalah teknologi untuk menghubungkan dua
atau lebih jaringan lokal yang berbeda lokasi melewati jaringan publik (internet) yang
ternekripsi. Oleh karena itu banyak SP (Service Provider) menyediakan layanan VPN
untuk memenuhi kebutuhan para pelanggannya, untuk menghubungkan jaringan lokal
dari pusat dengan cabang-cabang yang ada di berbagai daerah selama berada dalam
jangkauan SP yang tersebut, sehingga pelanggan tidak perlu membangun infrastruktur
independen untuk menghubungkan jaringan pusat dengan cabang, cukup dengan
berlangganan layanan VPN pada SP yang dipilih.
Teknologi VPN terus berkembang untuk memberikan keuntungan bagi SP dan
pelanggan. Teknologi yang sekarang banyak diterapkan oleh SP adalah MPLS VPN
Layer 3, yaitu penyediaan layanan VPN yang melintasi jaringan MPLS milik SP.
MPLS VPN Layer 3 memudahkan SP untuk mengembangkan jaringannya, karena
jika pelanggan bertambah, konfigurasi dan pengaturan cukup dilakukan pada koneksi
fisik antara pelanggan tersebut dengan perangkat jaringan SP yang ada di depannya
dan tidak akan mempengaruhi pelanggan-pelanggan lain. Kemudian jika dilihat dari
sudut pandang bisnis SP, teknologi MPLS VPN Layer 3 juga memberikan keuntungan
karena SP dimungkinkan membuat tiap jalur pelanggannya berbeda secara virtual
serta dapat melayani banyak pelanggan secara virtual di router PE (Provider Edge),
sehingga tidak perlu membeli satu router PE untuk melayani satu pelanggan.
Layanan virtual tersebut diciptakan oleh Cisco dengan nama Multi-VRF
(Virtual Routing Forwarding) yaitu sebuah layanan atau fitur pada router Cisco untuk
melakukan routing VPN dalam jaringan MPLS VPN Layer 3. Serta mampu
melakukan overlap alamat IP yang memungkinkan dua VPN berbeda untuk saling
berhubungan meskipun memiliki alamat IP yang sama persis sehingga tidak akan
terjadi konflik alamat IP pada jaringan SP. Selain itu dapat dibuat routing table yang
virtual pada router PE (Provider Edge). Dimana router milik SP yang berhubungan
langsung dengan router milik pelanggan memiliki beberapa routing table yang
berfungsi untuk mengarahkan VPN satu dengan VPN lainnya meskipun memiliki
alamat IP yang sama pada sisi gateway milik client [1].
2. Tinjauan Pustaka
Penelitian terdahulu yang menggunakan teknologi MPLS VPN Layer 3
dilakukan oleh Gartner Research di California, Amerika Serikat. Gartner Research
mengadakan analisis perbandingan Layer 2 VPN (Frame Relay dan ATM) dengan
MPLS VPN dan mengapa perusahaan besar disarankan untuk melakukan migrasi
jaringan VPN mereka ke MPLS VPN. MPLS VPN memberikan keuntungan dalam
hal penghematan biaya implementasi, memberikan keamanan yang sebanding dengan
Layer 2 VPN, serta MPLS VPN mampu memisahkan data dan jaringan perusahaan
satu dengan lainnya secara virtual meskipun melintasi infrastruktur publik. Perbedaan
yang mendasar antara MPLS VPN dengan L2VPN adalah kontrol MPLS VPN berada
di Layer 3 OSI. MPLS VPN memisahkan jalur setiap pelanggannya, MPLS VPN
mampu menyembunyikan struktur alamat Core Network dan VPN di dalamnya.
Gartner Research menyatakan bahwa sangatlah tidak mungkin jaringan di luar Core
Network melakukan penyusupan ke dalam Core Network dan VPN di dalamnya
dengan cara merusak mekanisme MPLS [2].
Penelitian selanjutnya yang menggunakan teknologi Multi-VRF dilakukan
1
Virtual Routing and Forwarding (VRFs) adalah elemen utama dari teknologi
MPLS VPN. VRF adalah routing table independen pada router PE. VRF berisi ruterute jaringan yang tersedia untuk mencapai site-site yang ada diseberang milik
masing-masing pelanggan VPN. VRF menggunakan teknologi CEF (Cisco Express
Forwarding), sehingga seluruh jaringan VPN harus mengaktifkan CEF. Setiap router
PE dapat memiliki satu VRF atau lebih. Sehingga sejak awal MPLS VPN sudah
diprogram untuk menentukan sebuah paket data yang memiliki sebuah alamat tujuan
untuk dikirim ke VRF yang bersangkutan saja, tidak ke VRF yang lain. Oleh karena
routing pada router PE harus independen atau terpisah antar pelanggan VPN, maka
setiap VPN harus memiliki routing table masing-masing seperti pada Gambar 1. Satu
interface pada router PE yang mengarah ke router CE hanya bisa menangani satu
VRF saja supaya setiap paket data yang diterima di dalam VRF tidak ambigu, tetapi
memang diarahkan oleh VRF tersebut. [6]
Sistem yang dibagun dalam penelitian ini adalah jaringan Service Provider
MPLS VPN Layer 3 yang dibangun di laboratorium komputer milik FTI-UKSW,
menggunakan perangkat router Cisco dan PC sesungguhnya untuk diteliti bagaimana
kinerja VPN pada Cisco Multi-VRF yang diaktifkan di dalamnya. Metode PPDIOO
diterapkan di dalam penelitian ini, karena mencakup semua hal yang perlu dilakukan
dari persiapan sebelum sistem dibuat, hingga apa yang perlu dilakukan setelah sistem
berhasil diterapkan. Penjelasan dirinci secara berurutan, dan teratur dengan tujuan
menghasilkan sistem sesuai harapan.
Tahapan yang pertama, Prepare adalah tahap untuk menentukan tujuan dari
pembangunan sistem, yaitu membuktikan dan melakukan analisis bagaimana MultiVRF dapat melakukan overlap IP, menghubungkan VPN satu dengan lainnya
melewati jaringan MPLS dengan cara membangun jaringan tiruan MPLS VPN Layer
3 di laboratorium komputer milik FTI-UKSW.
Tahapan yang kedua, Plan dimana sistem direncanakan. Sesuai izin yang
diberikan oleh FTI-UKSW, lama waktu membangun sistem dan penelitian
menggunakan perangkat jaringan yang sesungguhnya di ruang laboratorium CTC-1
adalah tiga minggu (16 April - 7 Mei 2012) selama libur trimester. Perangkat jaringan
yang digunakan sebagian besar adalah milik FTI-UKSW yang sudah diijinkan untuk
dipakai, antara lain, lima router Cisco 2801 milik FTI-UKSW, dua router Cisco 1841
milik FTI-UKSW, tiga interface WIC-2T milik FTI-UKSW, dua kabel serial
DCE/DTE milik FTI-UKSW, satu kabel console milik FTI-UKSW, delapan kabel
Fast Ethernet milik FTI-UKSW, empat PC milik FTI-UKSW, dan satu Laptop.
Tahapan yang ketiga, Design topologi jaringan. Desain dibuat cukup fleksibel
bilamana ada perubahan atau penambahan perangkat baru, jangan sampai menggangu
sistem secara keseluruhan. Gambar 6 adalah desain topologi jaringan yang dibangun.
export 100:1
import 100:1
export 100:2
import 100:2
Setelah VRF dibuat pada PE1 dan PE2, maka masing-masing interface yang
ada dalam PE1 dan PE2 dikonfigurasi untuk meneruskan paket data sesuai topologi.
Fa0/1 pada PE1 dikonfigurasi meneruskan (forwarding) paket data untuk vpnDKV,
Fa0/0 pada PE1 dikonfigurasi meneruskan paket data untuk vpnTI. Pada PE2, Fa0/0
dikonfigurasi untuk meneruskan paket data vpnDKV dan Fa0/1 untuk meneruskan
paket data untuk vpnTI seperti Kode Program 4.
VRF tersebut belum mengenali jaringan pada sisi Client Edge (CE) masingmasing VPN, sehingga diperlukan Static Routing untuk menambahkan rute jaringan
kedalam masing-masing VRF routing table. Rute jaringan yang perlu ditambahkan
adalah sesuai Gambar 6. Pada Kode Program 5 ditunjukkan cara konfigurasi
penambahan Static Routing masing-masing VPN yang terhubung dengan PE1. Setelah
static routing masing-masing VRF pada PE1 dan PE2 dikonfigurasi, maka untuk
memeriksa apakah routing table masing-masing VRF sudah terbentuk, digunakan
perintah #show ip route vrf <vpnDKV | vpnTI>.
Kode Program 5 Konfigurasi Static Route vpnDKV dan vpnTI pada PE1
ip
ip
ip
ip
route
route
route
route
vrf
vrf
vrf
vrf
MP-BGP (Multiprotocol BGP) juga perlu diaktifkan pada PE1 dan PE2.
Fungsi dari MP-BGP adalah membuat sub-tunnel khusus untuk masing-masing VRF
yang dipakau untuk membawa vpnv4 prefix milik vpnDKV dan vpnTI. Pada Kode
Program 6 ditampilkan hasil konfigurasi MP-BGP pada PE1. BGP 100 pada PE1
bertukar address-family vpnv4 dengan BGP tetangganya (PE2) yang memiliki alamat
192.168.100.3.
Kode Program 6 Konfigurasi MP-BGP pada PE1
router bgp 100
address-family vpnv4
neighbor 192.168.100.3 activate
neighbor 192.168.100.3 send-community both
exit-address-family
Setelah MP-BGP dikonfigurasi pada PE1 dan PE2, langkah berikutnya adalah
menyuntikkan routing table VRF vpnDKV dan vpnTI yang static dan connected.
Langkah konfigurasi adalah sama untuk VRF vpnDKV dan VRF vpnTI pada router
PE1 dan PE2 seperti pada Kode Program 7.
Kode Program 7 Konfigurasi redistribute MP-BGP vpnDKV pada PE1
PE1(config)#router bgp 100
PE1(config-router)#address-family ipv4 vrf vpnDKV
PE1(config-router-a)# redistribute connected
PE1(config-router-a)# redistribute static
Cisco VPN Client 5.0 adalah aplikasi yang digunakan untuk dial-up VPN dari
PC milik pelanggan VPN ke VPN server milik pelanggan tersebut, sehingga terbentuk
jalur virtual atau tunneling IPsec/UDP dimana semua data yang dikirim dienkripsi
menggunakan metode IPsec. Cisco VPN Client 5.0 akan ditanam pada PC
192.168.11.2/24 milik vpnDKV dan PC 192.168.10.2/24 milik vpnTI. Tampilan dari
Cisco VPN Client 5.0 dapat dilihat pada Gambar 4.
Tahapan metode penelitian yang kelima adalah Operate, dimana uji coba
sistem dilakukan secara realtime antara vpnDKV, vpnTI, dan SP. Monitoring juga
dilakukan untuk mengetahui kinerja sistem, kelebihan, dan kekurangannya untuk
dikumpulkan. Dalam tahap operate dilakukan analisis cara kerja Cisco Multi-VRF.
Tahapan metode penelitian yang terakhir adalah Optimize. Pada tahapan ini,
seluruh kekurangan yang sudah ditemukan dicarikan solusinya supaya sistem dapat
bekerja lebih baik, kinerja sistem meningkat, dan mengurangi kesalahan yang
mungkin terjadi.
4. Hasil dan Pembahasan
Hasil implementasi jaringan Cisco MPLS VPN Layer 3 yang dibangun di lab.
CTC-1 milik FTI-UKSW dibahas dengan memfokuskan pada kinerja jaringan MPLS
VPN Layer 3 milik SP. Uji coba sistem dilakukan dengan cara download dari web
server (HTTP) masing-masing VPN sehingga dapat diketahui kelebihan dan
kekurangan sistem yang dibangun.
Pembahasan yang pertama adalah cara kerja jaringan MPLS VPN Layer 3
yang telah diimplentasi. Pada IPv4 prefix dikirim oleh salah satu VPN dari CE1
menuju ke VPN di CE2, diperlukan Route Distinguisher dan Route Target untuk
mengarahkan IPv4 prefix tersebut.
setiap pelanggan berbeda setelah diberi nilai RD, maka overlap alamat IP dapat
dilakukan tanpa terjadi gangguan di dalam jaringan SP. Sebagai contoh hasil dari
prefix milik vpnDKV 192.168.10.1/24 yang sudah disipi nilai RD 100:1 adalah
100:1:192.168.10.1/24. Prefix IPv4 yang sudah disisipi nilai RD disebut vpnv4 prefix.
Bila vpnTI dan vpnDKV memiliki alamat IP yang sama dalam jaringan lokal
mereka dan mengirimkan prefix IPv4 tersebut ke dalam jaringan SP tidak akan
menjadi masalah. Sebab setelah prefix-prefix IPv4 tersebut memasuki PE1 disisipi
nilai RD menjadi vpnv4 prefix sesuai topologi. Sebagai bukti, vpnv4 prefix milik
vpnDKV adalah 100:1:192.168.10.1/24 dan vpnv4 prefix milik vpnTI adalah
100:2:192.168.10.1/24, sehingga meskipun memiliki alamat IP yang sama, jaringan
inti SP tetap menganggapnya berbeda.
Route Target (RT) berfungsi untuk mengendalikan komunikasi data antara site
VPN yang satu dengan lainnya. RT adalah BGP extended community yang
mengarahkan jalur mana yang harus dipakai untuk mengimpor (import) dan
mengekspor (export) MP-BGP ke VRF yang seharusnya. Pada Gambar 5, vpnDKV
dan vpnTI memiliki nilai RT Import dan RT Export yang berbeda di dalam router
PE1.
Melakukan operasi RT Export berarti menambahkan BGP extended
community ke dalam rute vpnv4 yang dikirimkan dari VRF ke dalam MP-BGP.
Melakukan operasi RT Import berarti VRF menerima rute vpnv4 dari MP-BGP
kemudian dicocokan dengan nilai RT atau BGP extended community yang ada di
dalam VRF untuk diterima. Jika nilai RT cocok, maka vpnv4 prefix diubah menjadi
IPv4 prefix dan dimasukkan ke dalam routing table VRF tersebut, namun jika nilai
RT tidak cocok dengan yang dimiliki VRF, maka vpnv4 prefix tersebut dibuang
(dropped). Pada Gambar 6 ditunjukkan bahwa RT mengendalikan vpnv4 prefix
masing-masing pelanggan dari PE1 menuju PE2 supaya jalurnya tetap terpisah secara
virtual meskipun melewati media fisik yang sama.
Route Propagation adalah alur IPv4 prefix dari CE1 menuju ke CE2 yang
melewati protokol-protokol yang berbeda. Sebagai contoh jika CE1_VPN_TI-A
mengirim IPv4 prefix menuju CE2_VPN_TI-B, maka Route Propagation yang terjadi
digambarkan pada Gambar 6.
Distinguisher) 100:1 oleh PE1 menjadi rute vpnv4 yang kemudian di "redistribute" ke
MP-BGP. Lalu, BGP (internal BGP) bertugas menangani rute vpnv4 tersebut untuk
didistribusikan ke PE2 yang ada di dalam jaringan MPLS Service Provider.
Kemudian PE2 melepas nilai RD 100:1 yang ada pada rute vpnv4 yang diterimanya,
lalu diubah menjadi rute IPv4 untuk dimasukkan ke dalam VRF routing table vpnTI.
Rute IPv4 inilah yang dikirimkan menuju CE2_VPN_TI-A menggunakan Static
Route.
Packet forwarding adalah cara dari paket IP diarahkan untuk melintasi
jaringan MPLS VPN dengan diberi nilai-nilai label MPLS oleh router PE1, P, dan
PE2. Sebagai contoh proses yang terjadi saat paket IP dari CE1_VPN_TI-A melintasi
MPLS VPN menuju CE2_VPN_TI-B seperti pada Gambar 7.
11
12
Kemudian untuk memeriksa apakah IPsec tunnel sudah aktif dalam jaringan
vpnTI. Maka dijalankan perintah tracert dari PC 192.168.11.5/24 menuju PC
192.168.10.2/24 seperti pada Gambar 12.
Pada Gambar 12, hasil tracert hanya menampilkan dua hop saja yaitu router
CE1_VPN_TI-A 192.168.10.1 (VPN server) dan PC 192.168.10.2 (tujuan), berarti
IPsec tunneling sudah aktif di dalam jaringan vpnTI. Alamat IP jaringan Service
Provider juga telah disembunyikan oleh IPsec tunnel.
Selanjutnya untuk uji kecepatan, PC 192.168.11.5/24 melakukan download
sebuah file yang ada pada web server (WAMP) 192.168.10.2/24 dengan mengaktifkan
IPsec tunneling. Gambar 13 menunjukkan proses download menggunakan browser
Firefox 3.5.
13
Se0/3/0
255/255
255/255
-
Berdasarkan Tabel 1 nilai reliability yang didapat pada semua interface adalah
255/255. Berarti semua interface berfungsi penuh dan tidak pernah down atau mati
selama waktu pengambilan nilai reliability dilakukan.
Parameter uji yang kedua adalah jitter. Jitter adalah variasi delay yang
diakibatkan oleh panjang antrian paket-paket data dalam proses reassemble paketpaket data ketika tiba di tujuan akhir pengiriman. Pada dasarnya, jika nilai jitter
semakin bertambah maka kecepatan jaringan akan terasa melambat. Jitter terbagi
menjadi empat kategori berdasarkan nilainya, antara lain excellent dengan nilai jitter
<75ms. Good dengan nilai jitter antara 75ms sampai 125ms. Average dengan nilai
jitter antara 75ms sampai 125ms. Poor dengan nilai jitter antara 125ms sampai 225ms
[8].
Dalam jaringan MPLS VPN yang telah diimplementasi, metode yang
digunakan untuk mengukur nilai jitter masing-masing VPN adalah menggunakan "IP
SLA ICMP Path Jitter" pada router CE masing-masing VPN. IP SLA ICMP Path
Jitter adalah operasi dari Ciso IOS untuk mengukur nilai jitter setiap titik, mengukur
packet loss, dan mengukur delay [8]. Langkah-langkah mengaktifkan IP SLA ICMP
Path Jitter untuk mengukur nilai jitter dapat dilihat pada Kode Program 10.
Kode Program 10 IP SLA Path Jitter pada CE2_VPN_TI-B
ip sla monitor 1
type pathJitter dest-ipaddr 202.147.192.1 source-ipaddr 202.147.192.2 num-packets 20
request-data-size 32
timeout 1000
owner Mr. Jeffrey
tag COBA vpnTI
frequency 20
ip sla monitor schedule 1 life forever start-time now
15
Kode Program 10 adalah hasil dari Path Jitter dari CE2_VPN_TI-B menuju
CE2_VPN_TI-A. Dapat dilihat, hanya dua hop yang muncul yaitu 192.168.5.1 dan
192.168.6.1 karena alamat IP yang berada di dalam Service Provider MPLS Cloud
berada dalam Layer 3, sedangkan IP SLA ICMP Path Jitter berjalan di dalam Layer
2. Berdasarkan nilai jitter yang didapat, pada hop 1 nilai jitter adalah 14ms berarti
masuk dalam kategori excellent. Pada hop 2 nilai jitter yang didapat adalah 19ms
berarti masuk dalam kategori excellent.
IP SLA ICMP Path Jitter akan diaktifkan di router CE1_VPN_DKV-A
menuju CE1_VPN_DKV-B tanpa IPsec tunneling, CE1_VPN_TI-B menuju
CE1_VPN_TI-A tanpa IPsec tunneling, dan CE1_VPN_TI-B menuju CE1_VPN_TIA dengan mengaktifkan IPsec tunneling. Hasil nilai-nilai jitter didata pada Tabel 2.
Tabel 2 Hasil dari IP SLA ICMP Path Jitter.
Hostname
CE1_VPN_DKV-A
CE1_VPN_TI-B
CE1_VPN_DKV-A
dengan IPsec
CE1_VPN_TI-B
dengan IPsec
Jitter di Hop 1
18ms
14ms
-
Jitter di Hop 2
46ms
19ms
-
Kategori
Excellent
Excellent
-
(tidak diketahui/
terenkrispi)
221ms
Poor
Tabel 2 menujukkan nilai jitter dari masing-masing VPN. Saat IPsec tunneling
tidak diaktifkan, kedua VPN memiliki jitter dalam kategori Excellent. Namun saat
IPsec tunneling diaktifkan nilai jitter meningkat drastis hingga msuk dalam kategori
Poor.
Parameter uji yang ketiga adalah packet loss. Packet loss adalah paket data
yang gagal dikirim. Semakin banyak jumlah packet loss, maka akan menimbulkan
masalah dalam jaringan. Packet Loss dibagi menjadi empat kategori berdasarkan nilai
prosentase paket yang gagal dikirim. Kategori pertama adalah Excellent dengan
16
prosentase 0% packet loss, kedua adalah Good dengan prosentase antara 0% sampai
3% packet loss, ketiga adalah Average dengan prosentase antara 3% sampai 15%
packet loss, keempat adalah Poor dengan prosentase 15% sampai 25% packet loss [8].
Pada pengujian jitter, telah dilakukan mekanisme monitor IP SLA ICMP Path
Jitter, dimana hasil statistik menunjukkan nilai jitter dan packet loss. Sehingga hasil
monitor packet loss yang terjadi saat pengiriman data dari router CE1_VPN_DKV-A
menuju CE1_VPN_DKV-B tanpa IPsec tunneling, CE1_VPN_TI-B menuju
CE1_VPN_TI-A tanpa IPsec tunneling, dan CE1_VPN_TI-B menuju CE1_VPN_TIA dengan mengaktifkan IPsec tunneling. didata pada Tabel 3.
Tabel 3 Hasil Monitoring Packet Loss
Hostname
Packet Loss
CE1_VPN_DKV-A
0%
CE1_VPN_TI-B
0%
CE1_VPN_DKV-A dengan IPsec
CE1_VPN_TI-B dengan IPsec
1%
Kategori
Excellent
Excellent
Excellent
Kategori
Excellent
Excellent
Good
-
Berdasarkan Tabel 4, nilai rata-rata latency saat jaringan VPN berjalan normal
tanpa enkripsi IPsec tunneling adalah dibawah 150 ms, sehingga termasuk dalam
kategori excellent. Namun setelah IPsec tunneling diaktifkan, nilai latency menjadi
bertambah drastis seperti yang terjadi pada vpnTI. Hal ini terjadi karena adanya
proses enkripsi dan dekripsi dari setiap paket data yang dikirim dan diterima pada
jaringan IPsec vpnTI. Meskipun latency pada jaringan vpnTI bertambah drastis, hasil
perhitungan masih tergolong dalam kategori Good. Sedangkan nilai latency pada
jaringan vpnDKV dengan IPsec tunneling tidak ada, karena terjadi kegagalan dalam
mengaktifkan IPsec tunneling yang disebabkan kecepatan jaringan yang terlalu
lambat. Hal ini besar kemungkinan terjadi karena adanya bottle neck pada jaringan
Service Provider.
17
Bottle Neck pada jaringan Service Provider dicurigai terjadi karena lambanya
kecepatan yang diterima oleh vpnTI dan vpnDKV. Kecurigaan ini perlu dibuktikan,
salah satunya dimulai dari memeriksa media penghubung router PE1, P, dan PE2.
Ketiga router milik Service Provider ini dihubungkan menggunakan kabel Serial
DCE/DTE lalu ditancapkan pada modul WIC-2T. WIC-2T adalah dua port
asynchronous/synchronous serial network module berkecepatan rendah, maksimal
128Kbps [9]. Sedangkan koneksi antara SP dengan setiap CE menggunakan Fast
Ethernet yang berkecepatan maksimal 100Mbps. Sehingga bottle neck terjadi di
dalam jaringan SP sepeti pada Gambar 18.
Dari hasil pengujian download yang sudah dilakukan pada vpnTI dan
vpnDKV pada Tabel 1, kecepatan download vpnTI dan vpnDKV tidak akan melebihi
128Kbps. Hal ini disebabkan modul WIC-2T yang dipakai oleh router PE1, P, dan
PE2 di dalam jaringan Service Provider hanya mampu menangani transfer data
dengan kecepatan maksimal 128Kbps.
Tabel 5 Hasil pengujian download vpnTI dan vpnDKV
Kecepatan download
Kecepatan download
Nama VPN
(KBps)
(bps)
vpnTI
14,2
113.600
vpnDKV
4,5
36.000
vpnTI dengan
13,5
108.000
IPsec
vpnDKV dengan
IPsec
18
19