Skip to main content

Migrasi Network vs Firewall

Hallo, what’s up bro? hehe

Tulisan ini ane buat tujuannya lebih ke sharing tentang gmn sih caranya kita melakukan migrasi sebuah network atau firewall, adakah perbedaan migrasi network dan firewall, atau mungkin anda sedang bertanya migrasi network atau firewall itu susah apa gampang sih? 🙂

Ok, kita mulai dari hal yang paling basic dulu, migrasi itu gampang nya proses mindahin sesuatu misal network lama ke network yang baru, dari router lama ke router yang baru, dari firewall lama ke firewall yang baru. Jadi apa yang di pindahin? yang di pindahin biasanya config existing sebuah router atau switch terus nanti di pindahin ke router baru. Tentu ini yang kita lakukan bukan hanya copy paste config terus jadi, terus langsung jalan, enggak bgtu..hehe

Nah anda sudah mendapat gambaran dasar ya kira2 terkait apa itu migrasi network atau firewall. Sekarang mari kita bahas secara terpisah migrasi network dan firewall ini, karena memang ada perbedaan. Ok saya bahas yang network dulu. Supaya sukses dalam melakukan meigrasi network anda, atau customer anda, mari kita coba rangkum berikut ini;

#Mengetahui product network yang lama dengan yang baru

Misal anda ingin migrasi dari cisco ke juniper atau mikrotik ke juniper tau sebaliknya. Product existing dengan product baru perlu anda tahu.

#Konfigurasi existing dan Topologi

Nah yang kedua ini adalah konfigurasi router atau switch existing. Anda perlu mendapatkan informasi semua konfig existing maupun topology terkait perangkat yang akan di migrasikan. Atau dari pihak yang manage perangkat lama bisa memberikan data berupa excel atau gambar topologi. Intinya data yang anda butuhkan harus anda minta ke pihak terkait. hehe

#Akses ke Perangkat Lama/Existing.

Jika konfigurasi yang anda dapat kurang informasinya or masih kurang jelas. Anda perlu akses langsung ke perangkatnya. Jika pada router anda perlu tau semua interkoneksinya, cek semua interface, interface description, show route, show arp, msial jika ada bgp, semua peer bgp nya, policy, filtering dan lain2 anda bisa lihat lebih detail. Anda juga men-capture semua kondisi atau status dari router atau switch lama tersebut.

#Support Kompatibilitas

Yang ini penting untuk anda ketahui, sbg contoh pada switch, existing protocol aggregate interface pake PAGP sedangkan di product lain gk support PAGP biasanya LACP, atau misal pada Mikrotik tunnel vpn pake EoIP (Ethernet over IP) –  ini adalah teknik tunneling via jaringan internet mikrotik bisa. Sedangkan pada juniper atau cisco misalnya ini gk support. Solusi EoIP di mikrotik gk bisa di konversi ke cisco or juniper. Jika dipaksakan nanti akan ktemu MPLS VPN L2, EVPN dll haha

#Surrounding network

Ini optional tapi sangat diperlukan untuk kondisi network yang kompleks. Anda perlu tau semua perangkat yang terhubung dengan router or switch lama tersebut.

#Tahap Pemindahan,

Di atas adalah part pre-migration hehe, koneksi secara fisik, konfigurasi, masalah kompatibilitas sudah anda selesaikan, Nah skrng saat nya anda melakukan migrasi. Anda perlu mengetahui flow network nya. apakah perpindahannya bisa sebagian atau harus semuanya. ini harus anda ketahui. Jika anda sudah mengetahuinya, silakan di eksekusi dan lakukan pengecekan saat anda melakukan perpindahan. misal cek arp, test ping, test end-to-end, misal dari client ke server, atau dari partner,  cek route dll.

#Tahap Moniotoring

Monitoring sangat diperlukan jika migrasi sudah selesai, untuk service yang penting 12 jam or 24 jam kedepan anda harus standby dan terus melakukan pengecekan secara berkala. Jadi jika sewaktu-waktu terjadi masalah atau ada komplen anda siap melakukan pengecekan.

 

Migrasi Firewall

Step migrasi router or network di atas biasanya tetep anda lakukan pada perangkat firewall. bedanya jika router tidak memiliki rule yg yang terlalu banyak atau nat, akan tetapi firewall memiliki ratusan bahkan ribuan rule security policy atau NAT, di firewall juga nanti akan ada rule IPS, UTM, Filtering dan lain-lain. Jadi anda pasti butuh extra tenaga dan waktu untuk melakukan itu. Pastikan semua config atau rule existing sudah anda konversikan dengan bener dan telilti. Jangan sampai anda typo hehe. Jauh seblum anda melakukan konversi config, jika anda punya tools, coba lakukan monitoring dlu terhadap semua trafik, semua rule anda bisa lakukan analisis dan anda bisa monitor most used rule, used rule, atau unused rule.

Saat anda mengkonversi sebuah rule atau konfigurasi misal dari juniper srx ke palo alto, checkpoint, Fortigate dll. Minimal anda tau flow config untuk product terkait yang ingin anda migrasi. Jadi tidak serta hanya menerima rule yang di excel-in misalnya haha. Sangat disarkan untuk mengetaui kondisi all surrounding, baik sisi firewall nya atau aplikasi yg handle oleh firewall tersebut. Takut nya nanti ada masalah behaviour aplikasi atau user pengguna aplikasi dengan firewall baru. Karena bisa menyebabkan service down, dan anda melakukan pegecekan juga mungkin butuh waktu yang tidak sedikit. Oleh karena itu, Supaya anda merasa yakin, rule tersebut anda perlu mensimulasikan dlu di Lab anda. anda perlu lakukan testing end-to-end.

Saat anda melakukan migrasi, barangkali supaya aman semua rule anda perlu log, di monitor dan jika diperbolehkan oleh customer di last rule nya di set any dan di log. Supaya traffic yang tidak kena rule yang atas bisa kena rule yang di set any. Anda juga bisa lihat dan monitor user yang akses itu apakah trust atau tidak nantinya. Semuanya nanti bisa anda validasi bersama.

Ok cukup sekian sharing nya. Smoga bermanfaat 🙂

Silakan komentar jika ada yg perlu di tanyakan, atau hub kami jika butuh bantuan 🙂

Trainer, Nework & Security Engineer

Running VM with specific time on KVM

Pada post kali ini saya akan membahas bagaimana cara untuk Running VM dengan Jam dan tanggal yang sudah ditentukan. Cara ini biasa digunakan untuk mengelabuhi license yang sudah expired, hehe. Sebenarnya pada KVM tidak ada opsi untuk merubah Jam dan tanggal secara spesifik, oleh karena itu kita harus memasukan command Option QEMU pada file XML KVM.

note : QEMU memiliki opsi untuk merubah Jam dan tanggal secara spesifik.

Saya asumsikan anda sudah menginstall KVM dan sudah mempunyai satu VM yang running (saya gunakan CentOS).

Langkah-langkah yang dapat dilakukan adalah sebagai berikut :

  1. Verifikasi jam dan tanggal pada VM sebelum melakukan perubahan.

  2. Edit VM  XML file dan tambahkan beberapa command berikut pada awal dan akhir domain.

  3. Restart VM
  4. Verifikasi jam dan tanggal pada VM setelah melakukan perubahan.

 

Ketika kita Merestart VM, maka jam dan tanggal akan kembali mereset kembali sesuai dengan konfigurasi yang sudah ditentukan.

 

Network Telco Engineer and have enthusiast with new technology.

Deploy Nokia vSR/vSIM in Distributed Mode on GNS3

In this post I will explain how to deploy Nokia vSIM/vSR in distributed mode, in the previous post I have explained how to deploy vSIM/vSR in integrated mode “Getting Started Nokia vSR on GNS3“.

As we know the vSIM can be deployed in two mode : integrated or distributed.

Integrated Model

The Integrated model allow us to emulate physical router using a single VM. All function like control, management and data plane are performed by the resources of the single VM.

An integrated vSIM can just deployed in chassis type SR-c4 or SR-c12.

Distributed Model

The distributed model uses two or more VM that connected to internal network to emulate physical router.

In a distributed system, each VM is specialized, supporting either control plane (CPM) or dataplane functions (IOM or XCM). A distributed vSIM support one CPM or redundant CPMs in the same active-standby model as the emulated physical router.

A distributed vSIM can be deployed in anything chassis type except SR-c4 or SR-c12

In this post I will try to emulate physical Nokia router chassis 7750-SR7 with single CPM5 and IOM3-XP with MDA m10-1gb-sfp-b and isa-tunnel. Read More

Network Telco Engineer and have enthusiast with new technology.

Konfigurasi BGP Pada Juniper

Hallo gans, ini mau tak share sedikit cara konfigurasi BGP pada juniper. Lab ini adalah lab yang pernah saya share waktu training di KASKUS office. Nah berikut beberapa point yang sy simulasikan pada lab kali ini.

  1. Konfigurasi mandatory
  2. Konfigurasi Logical system
  3. Konfigurasi OSPF
  4. Konfigurasi IBGP
  5. Cara Advertise Route ke dalam BGP
  6. Konfigurasi External BGP
  7. BGP Next hop self
  8. Cara Filtering route pada BGP

Jadi kira2 ada 8 point yg akan di bahas pada lab ini, dari konfig awal hingga cara filtering bgp route. Ohy lab ini cukup bermanfaat jika anda bekerja di network enterprise yang butuh pemahaman akan BGP. Sbg contoh anda ingin filter atau advertise BGP, maka anda jangan sampai salah melakukan advertise, karena ber-impact pada  network global atau internet 🙂

Ok langsung saja silakan perhatikan topology berikut ini:

Read More

Trainer, Nework & Security Engineer

Membuat Koneksi VPN IPsec AWS Dengan pfSense

 

Umumnya, server atau instance di AWS diakses menggunakan IP Public (atau hostname yang dipointing ke IP public). Namun selain menggunakan IP Public, kita juga dapat mengakses melalui private IP, namun untuk mengakses instance menggunakan IP private kita harus membuat tunnel terlebih dahulu ke network VPC di AWS. Tunnel-nya bisa menggunakan jalur dedicated line (AWS Direct Connect) atau menggunakan VPN.

Tutorial kali ini akan menjelaskan langkah-langkah membuat koneksi site-to-site VPN antara VPC di AWS dengan network diluar AWS menggunakan pfSense.

Topologi di bawah ini adalah contoh implementasi yang akan dibuat.

Agar kedua network dapat berkomunikasi, subnet antara kedua network tersebut tidak boleh overlap. Jika network memiliki CIDR yang overlap maka kamu harus ubah salah satunya agar tidak overlap. Pada tutorial ini, di office network diasumsikan memiliki subnet 192.168.0.0/24 dibelakang pfSense yang akan dihubungkan dengan AWS VPC 172.31.0.0/16. Saya tidak akan menjelaskan pembuatan AWS VPC di tutorial ini, jadi diasumsikan bahwa kamu sudah memiliki VPC, dan biasanya di tiap region AWS sudah membuatkan default VPC. Untuk keperluan pengetesan, saya sudah siapkan masing-masing VM/instance baik di office network maupun di AWS. Nantinya kita akan coba ping dari masing-masing VM untuk mengetahui apakah koneksi VPN berhasil atau tidak.

Okeh langsung mulai aja yuk ikutin tutorialnya di bawah ini :

Read More

Menggunakan SSH Key Authentication Untuk Login ke Server

Dengan key authentication akan memberikan kenyamanan dan keamanan untuk login melalui SSH karena user tidak perlu memasukkan username dan password seperti biasanya (dan rawan di brute-force). SSH keys lebih aman daripada teknik password biasa karena private key yang digunakan untuk mengamankan koneksi hanya dipegang oleh orang yang berhak dan tidak dishare ke pihak lain. Private key juga dapat dienkripsi sehingga isinya tidak dapat dibaca dengan mudah.

SSH key selalu berpasang-pasangan; private dan public key. Public key di-upload ke server tujuan, dan dapat disebarkan secara bebas. Sedangkan private key harus selalu kamu amankan di komputer kamu. Sebagai ilustrasi, ibaratkan SSH key sebagai gembok dan kunci. Public key merupakan gembok, yang dapat dipindahkan atau disebar ke banyak lokasi, sedangkan private key merupakan kunci untuk membuka gembok tersebut sehingga harus selalu disimpan dengan aman. Agar aman kunci ini juga disimpan di dalam box, dan untuk membuka box ini Anda harus memasukkan kombinasi karakter (passphrase).

Pada panduan kali ini, kami akan menerangkan cara menggunakan public key authentication untuk login ke server via SSH di Windows. Secara garis besar, kamu terlebih dahulu harus generate key, lalu upload key ke server tujuan. Untuk panduan lengkapnya yuk ikutin aja tutorial di bawah ini :

Read More

Install dan konfigurasi LXD di Ubuntu 16.04

mungkin anda pernah mendengar LXC atau Linux Container, sebuah management container os yang di kembangkan oleh ubuntu. nah LXD adalah “next generation system container manager“. dimana LXD sebenarnya adalah container based OS yang menawarkan user experience yang hampir sama dengan virtual machine. wow cukup menarik bukan? menurut saya sih cukup menarik karena LXD ini juga di pake oleh JUJU dan MAAS untuk deploy openstack. LXD memiliki fitur yang cukup menarik seperti dibawah ini

Read More

Mengatasi error “VirtualInterfaceCreateException: Virtual Interface creation failed” pada OpenStack

Jadi ceritanya hari ini tanggal 6 Februari 2018 saya mencoba menginstall openstack ocata multi node, yang saya install diatas CentOS, pada awalnya semua berjalan lancar dimulai provisioning vm ubuntu, kemudian saya mencoba provisioning windows cloud base, muncul error seperti dibawah ini.

setelah di lihat dari errornya, ternayata masalahnya karena “Failed to allocate the network(s), not rescheduling.” itu menyebabkan virtual port dari instance ke host compute tidak terbentuk, sehingga muncul error seperti itu. untuk mengatasi masalah tersebut sebernarnya caranya cukup simple dan mudah untuk dijalankan (ya iyalah namanya juga simple :P, becanda :D).

[Topologi]

jadi saya punya 1 controller dan 2 compute

edit pada semua node (controller dan kedua compute)

ubah nilainya seperti diatas, kalo udah tingal restart servicenya aja pada semua node

untuk testing, coba buat instance lagi, harusnya berhasil, kalo masih gagal coba liat log nya lagi 😀

semoga dapat membantu 😀

wassalamualaikum

 

sumber : http://thaiserv.blogspot.co.id/2016/08/issue-failed-to-allocate-networks-not.html