Kamis, 25 April 2019

Cisco Cloud Service Router 1000V Test Drives

By Basuki Rachmad April 25, 2019

---Pengenalan
Cisco Cloud Services Router 1000V (CSR 1000V) menetapkan standar untuk layanan jaringan perusahaan dan keamanan di cloud Amazon Web Services (AWS). Cisco CSR 1000V didasarkan pada Perangkat Lunak Cisco IOS-XE. CSR 1000V menyediakan antarmuka pengguna yang akrab dengan Cisco IOS XE Software, dan memungkinkan Anda untuk mengambil keuntungan dari alat dan proses manajemen jaringan yang ada.


----Cisco CSR 1000V Use Cases in Amazon AWS 
Saat ini, perusahaan memiliki dua jaringan yang dikelola secara terpisah. Mereka memiliki aplikasi di pusat data perusahaan, yang berada di jaringan on-prem perusahaan, dan mereka memiliki aplikasi di AWS cloud, yang berada di jaringan cloud AWS perusahaan. Perusahaan ingin menyatukan jaringan on-prem mereka dengan jaringan cloud AWS mereka dan mengelola seluruh jaringan dengan alat manajemen jaringan tunggal. Untuk menyatukan jaringan cloud on-prem dan AWS, perusahaan memerlukan router virtual di cloud AWS mereka.

Banyak pelanggan AWS memiliki router Cisco di tempat mereka. Mereka tahu alat manajemen Cisco. Mereka mengerti Cisco. Oleh karena itu, sebagian besar pelanggan AWS lebih memilih router virtual Cisco untuk menyatukan jaringan on-prem mereka dengan jaringan cloud AWS mereka. Router Layanan Cloud Cisco (CSR1000V) adalah router IOS-XE virtual pertama Cisco.

Dengan CSR1000V di cloud AWS mereka, pelanggan dapat menyatukan jaringan on-prem mereka dengan jaringan cloud AWS mereka. Di bawah ini adalah beberapa kasus penggunaan CSR1000V untuk konvergensi jaringan on-prem-cloud yang termasuk dalam test drive ini. Lebih banyak kasus penggunaan akan mengikuti dalam drive tes berikut:


Branch-Office, Campus, and Data Center VPN Aggregation: Tanpa CSR1000V, kantor cabang, lokasi kampus, dan pekerja jarak jauh harus terhubung melalui pusat data perusahaan untuk mendapatkan aplikasi perusahaan di cloud AWS. . Dengan CSR dalam VPC perusahaan di cloud AWS, kantor cabang, lokasi kampus, dan pekerja jarak jauh dapat terhubung langsung ke aplikasi perusahaan di cloud AWS menggunakan Internet publik. Proses ini mengurangi latensi, menghilangkan tautan WAN pribadi yang mahal, dan memungkinkan topologi VPN berbasis rute. Anda dapat memilih dari beragam teknologi VPN yang didukung pada CSR 1000V, termasuk IPSecurity point-to-point (IPsec), FlexVPN, Dynamic Multipoint VPN (DMVPN), dan EasyVPN. Konfigurasi VPN Cisco IOS XE yang familiar memungkinkan staf TI untuk dengan cepat mengintegrasikan VPC Amazon AWS ke dalam topologi VPN perusahaan yang ada.

Secure Inter-VPC Connectivity: Pelanggan AWS yang lebih besar memiliki banyak VPC di cloud AWS, dan mereka ingin menjadikan VPC ini sebagai bagian integral dari jaringan on-prem enterprise mereka. Dengan menggunakan instance Cisco CSR 1000V dalam VPC di setiap wilayah dan saling berhubungan melalui VPN, pelanggan AWS yang lebih besar dapat membuat dan mengamankan global
topologi jaringan yang menyatukan jaringan on-prem mereka dengan beberapa VPC di AWS.

Branch-Office to AWS and Inter-Application Security: Cisco CSR 1000V mencakup keamanan Perangkat Lunak Cisco IOS XE yang canggih, termasuk daftar kontrol akses (ACL) dan Firewall Berbasis Zone (ZBFW) yang canggih. Ini memperluas kebijakan keamanan perusahaan ke dalam cloud Amazon menggunakan platform dan sintaks konfigurasi yang sudah dikenal. Fitur-fitur ini dapat digunakan untuk menerapkan keamanan antara jaringan virtual dalam Amazon AWS, atau antara Amazon AWS dan lokasi eksternal. 

Application Performance Monitoring and Control: Visibilitas dan Kontrol Aplikasi (AVC) adalah fitur CiscoIOS XE yang memungkinkan CSR 1000V untuk mengidentifikasi dan mengklasifikasikan ribuan aplikasi yang berbeda, melaporkan metrik kinerja utama untuk masing-masing. Ketika diklasifikasikan, Quality of Services (QoS) dapat digunakan untuk memprioritaskan atau memblokir aplikasi tertentu. Data AVC yang dikumpulkan dari Amazon AWS dan lokasi eksternal dapat digunakan untuk menunjukkan penurunan kinerja aplikasi.

Untuk Lebih jelasnya Silahkan anda download, File ini berupa Panduan dari CSR1000V :
https://storage.googleapis.com/orbitera-data/data/213/testdrives/299/manuals/Test-drive-Lab-Guide.pdf
https://drive.google.com/open?id=1dz2VkuIOXj_wVmOZFmQMydJWAq-ztsKT

---Sebelum lanjut, Perhatikan Gambar Berikut.


---Login ke web https://cisco.orbitera.com/c2m/customer/testDrives/index

> Tunggu Hingga in progress
> Lihat Juga Email nya. Anda Akan Diberikan Alamat IP nya.
> Perhatikan Aturan yang telah diberikan, seperti berikut
---Lab Details: Configure IPSec site-to-site VPN--- 
Here is the summary on how to configure IPsec and perform this lab:
1. Login to the CSR1000v router
a. Configure it with the ip addresses mentioned
2. Activate the demo license
a. To enable all the features and all the cli required
3. Configure ISAKMP (ISAKMP Phase 1) on CSR-Routers (CSRRouter1 and CSRRouter2)
     o  ISAKMP security settings with the AES encryption o Pre-shared Key for authentication
4. Configure IPSec  (ISAKMP Phase 2, ACLs, Crypto MAP) on CSR-Routers
(CSRRouter1 and CSRRouter2) o Create Access-list(ACL) to define what traffic is and is not encrypted between the two routers
o Create IPSec Transformto set the IPSec encryption settings
o Create Crypto Map to bring the policy, key, transform-set, and access-list all together
o Apply crypto map to the public interface
5. Login to the Linux servers (linux1 and linux2) and verify connectivity through ping 

diatas dijelaskan bahwa kita akan menghubungkan linux di dua tempat yang berbeda seperti pada gambar.

Silahkan Anda simak langkah langkah berikut. Untuk Lebih cepatnya kita akan mengkonfigurasi dua Router sekaligus. 
Dini saya melakukan koneksi menggunakan linux.

---Login dan Konfigusi Router---

> Step 1 : Download SSH key untuk mendapatkan access SSH ke router CSR1000V. JIka kamu pengguna linux atau mac os, maka ubah permisionnya dengan chmod 600.  Lokasi download key ada di https://s3-us-west2.amazonaws.com/csrkey/CSRRouterKey.pem . atau bisa download di email yang telah diterima sebelumya.

> Step 2 : Buka SSH Client (contoh Putty for windows, atau Terminal on Linux or Mac OS) untuk bisa mengakses konsol CSR1000V. Type : ssh –i <keypair filename path>ec2-user@<CSR1 public IP address> 
Username-ec2-user 
CSR1 public IP address- Ada Pada email.

nb : Jika Anda mengalami error login menggunakan key, ubah permissionnya menjadi "chmod 600"

> Step 3 : Ubah Hostname dari kedua router dengan perintah masing masing router “configure terminal”->then “hostname CSR1”->then “end”.  

> Step 4 : Check IP untuk interface GigabitEthernet 1 untuk memastikan IP telah sama dengan yang ada dalam table.

> Step 5 : Konfigusikan IP address pada GigabitEthernet 2. Lihat Table, dan masukkan perintah "configure terminal"-> "Interface gigabitEthernet 2" -> "ip address <ip ada di table> 255.255.255.0" -> "no shutdown" -> "end"


> step 6 : Selanjutnya, Verifikasi CSR pada table routing apakah terkonfigurasi dengan benar. Jika iya, maka akan terkoneksi dengan default gateway dari amazon.


> Step 7 : Sekarang Kita melakukan Ping untuk pasangan router dengan Linux servernya.


---Active the Demo License untuk mengaktifkan semua fiturnya---

> Step 8 : Ketika anda pertama kali menginstall CSR1000V, anda akan memiliki semua port interface dan aktif. Namun, anda memiliki fitur terbatas dan throughput terbatas (2,5 Mbps). Jadi, anda perlu mengaktifkan licensinya untuk mengaktifkan fitur yang anda inginkan (seperti VPN). Jika anda berencana untuk menggunakan licensi CSR hanya untuk evaluasi atau Laboratium, Anda dapat menggunakan licensi demo yang disertakan di dalam router. Licensi demo berlaku selama 60 hari, Licensi demo akan mengaktifkan semua fitur yang ada. Dan anda mendapatkan throughput sampai 50Mbps.

Di Step ini kita akan menggunalan Licensi Level Premium. Ketikkan Perintah "configure terminal" -> "license boot level premium" -> "Accept the EULA Agreement, save configuration, and reload the router"
Kemudian simpan konfigurasinya dan reboot routernya

nb : pada step ini anda harus menunggu 3-5 menit untuk memualai kembali SSH-nya. Dan apabila masih timeout ulangi koneksinya.

---Konfigurasi ISAKMP (IKE)-(ISAKMP Phase 1)
> Step 9 : Setelah terkoneksi kembali, Ubah dari terminal ke SSH monitor. Secara Default, Cisco IOS tidak akan mengirimkan pesan log melaui alamat IP, Seperti telnet atau SSH.. Ketikkan perintah "Terminal Monitor"
> Step 10 : Konfigurasikan ISAKMP Phase 1 policy. KE must negotiate an SA (an ISAKMP SA) relatinship with the peer.

keterangan dari perintah diatas.
AES - The encryption method to be used for Phase 1. 
MD5 - The hashing algorithm 
Pre-share - Use Pre-shared key as the authentication method 
Group 2 - Diffie-Hellman group to be used 
86400 – Session key lifetime. Expressed in either kilobytes (after x-amount of traffic, change the key) or seconds. Value set is the default value. 

> Step 11 : Configure pre-shared key
  Tahap selanjutnya ialah menentukan pre-shared key untuk otentikasi dengan our peer (router 2) dengan menggunakan perintah :

kunci yang dibagikan ini telah diatur ke ciscoaws dan Alamat IP Router 1 diberi IP Public dari router 2 (Lihat kembali Email anda). Begitu Juga Sebaliknya.

--- Configure IPsec - (ISAKMP Phase 2, ACL, Crypto-map) ---
> Step 12 : Create ACL
  Langkah selanjutnya adalah membuat daftar akses dan menentukan lalu lintas yang kita inginkan agar router melewati VPN tunnel. Dalam contoh ini, itu akan menjadi lalu lintas dari satu jaringan ke yang lain, 10.1.1.0/24 ke 10.2.3.0/24 (server linux 1 jaringan ke jaringan server linux 2). Daftar akses yang menentukan VPN traffic dapat disebut crypto access-list atau interesting traffic access-list.

> Step 13 : Create IPSec Transform (ISAKMP Phase 2 policy) (Perhatikan alamat ip setiap router)
  Langkah selanjutnya ialah membuat sebuah transform yang digunakan untuk memproteksi data anda. Disini Kita menggunakan nama TS.

Keterangan
- ESP-AES - Encryption method 
- MD5 - Hashing algorithm 

> Step 14 : Create Crypto Map
  Step ini adalah step setup terakhir dari ISAKMP dan IPSec dengan konfigurasi berikut.

Kita memberikan nama crypto map cmap. ipsec-isakmp terhubung dengan router lain dengan crypto map. Hanya satu peer declared di dalam crypto map.

> Step 15 : Apply Crypto Map to the Public Interface
Sekarang kita terapkan pada gigabitEthernet 1.
8
> Step 16 : Sekarang kita check

nb : biasanya saat pertama kali melakukan ping akan mengalamai time out dua kali.

---Login Linux Server---
> Step 17 : Sekarang kita ketikkan ssh -l cisco <ip local Linux> 
  Password : cisco123
  sekarang ping antara dua linux apakah terhubung atau belum. Jika TTL, maka akan terhubung. Jika tidak silahkan check kembali konfigurasi anda.


Kesimpulan :
Cisco Test Drive ini cocok buat anda yang akan melakuka training cisco secara gratis. Jadi kita tidak perlu membeli alat cisco secara langsung. Cukup dengan meremote cisco dan anada dapat mengikuti petunjuk petunjuknya.

Sekian. Terima kasih.

___===***SELAMAT MENCOBA***====____

0 komentar:

Posting Komentar

Berkomentarlah yang Bijak

Langganan: Posting Komentar (Atom)

Tentang Saya

Sebuah Ilmu Yang Dibagikan Tidak Akan Berkurang. Dan Ilmu yang dibagikan Akan terus Bertambah

 
biz.