EoIP + IPSec pada RouterBoard dengan HW Encryption

EoIP + IPSec pada RouterBoard dengan HW Encryption


Tunnel merupakan salah satu alternatif media untuk menghubungkan dua atau lebih site, terutama jika jarak antar titik cukup jauh. Dengan menumpang pada jaringan public (internet) maka jarak bukan menjadi halangan lagi sehingga tunnel bisa menjadi solusi yang mudah dan murah jika dibandingkan dengan membangun media fisik. 
Pada versi RouterOS yang baru fitur Tunnel seperti EoIP, IPTunnel (IPIP) dan GRE Tunnel sudah ditambahkan sebuah parameter untuk mengaktifkan IPSec. Dengan demikian kita bisa membangun sebuah link Tunnel yang lebih secure dengan IPSec secara lebih lebih mudah dibanding sebelumnya. 
Permasalahan yang sering muncul, dengan mengaktifkan IPSec beban kerja CPU akan lebih berat, sebab akan ditambah proses enkripsi untuk pengamanan data. Pada Router dengan spesifikasi processor yang tinggi mungkin tidak menjadi masalah, namun untuk Router dengan processor kecil hal ini akan sangat memberatkan. Oleh karena itu, Mikrotik mengeluarkan produk RouterBoard yang di dalamnya terdapat Hardware (HW) Encryption. 
Adapun produk RouterBoard (RB) yang sudah support HW Encryption adalah : 
  • hEX v3 (RB750Gr3) 
  • Cloud Core Router (CCR) Series
  • RB1100AHx2
  • RB1000
  • RB850Gx2 (produksi mulai 2016, dengan serial number yang dimulai dengan angka 5)
Fungsi dari HW Encryption ini adalah untuk membantu mempercepat proses enkripsi di dalam CPU. Walaupun letaknya berada dalam CPU, namun HW Encryption merupakan hardware fisik terpisah yang berfungsi menghandle enkripsi saat IPSec aktif. HW Encryption akan aktif secara otomatis hanya jika kita menggunakan algoritma enkripsi  AES-CBC dan sha1/sha256. Jika selain algoritma tersebut maka akan di-handle oleh software / CPU.
Kita akan melakukan sebuah LAB sederhana untuk mengetahui perbedaan EoIP + IPSec jika diimplementasikan pada RB750Gr3 (hEX) yang mempunyai HW Encryption  dan RB450G yang tidak memiliki HW Encryption. Setelah EoIP + IPSec terbentuk, antara kedua router akan dilakukan bandwith test dengan melewatkan traffic sebesar 50Mbps melalui EoIP 

[Lab1] EoIP + IPSec pada RB750Gr3 & RB450G 

Untuk pengetesan pertama kita akan membangun link EoIP antara RB750Gr3 & RB450G. RB450G tidak memiliki fitur HW Encryption. Topologi yang dibangun sama dengan gambar berikut : 


 

Untuk konfigurasi kedua router seperti berikut: 

#RB750Gr3 (HEX) 

/interface eoip 
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10 


Secara garis besar konfigurasi EoIP masih sama dengan RoS versi sebelumnya, hanya saja terdapat tambahan parameter ipsec-secret untuk pengatifan IPSec secara otomatis. Selanjutnya pasang IP Address pada interface yang digunakan 

/ip address 
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0 
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2 
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0 

Tambahkan static route agar antar client (btest) bisa berkomunikasi melalui jalur EoIP 

/ip route 
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2 


#RB450G 
Lakukan konfigurasi yang hampir sama pada RB450G, detailnya sebagai berikut : 

/interface eoip 
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10 


/ip address 
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1 
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0 
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0 

/ip route 
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1 


Pengujian 

Selanjutnya kita lakukan bandwith test dengan perangkat Btest yang tersambung di Ether3-LAN masing-masing router. 

 

 

Hasilnya dari pengetesan 50Mbps dengan topologi diatas hanya mampu melewatkan bandwidth sekitar 25Mbps. Jika dilihat dari CPU Load, RB450G mencapai 100% dan RB750Gr3 hanya berkisar diangka 10%-15%

Apabila kita lihat juga pada '/tools profile' di RB450G maka proses yang menggunakan resource CPU paling besar adalah encrypting

 

[Lab 2] IP Tunnel RB750Gr3 & RB750Gr3 

Untuk pengetesan yang kedua kita akan menggunakan RB750Gr3 di kedua sisi. Topologinya tidak ada perubahan dengan topologi Lab 1. Hanya saja yang sebelumnya di satu sisi menggunakan RB450G sekarang kita akan menggunakan RB750Gr3. 


 
Kita juga akan menambahkan IPSec di link tersebut. Untuk konfigurasi di kedua router seperti berikut: 

#RB750Gr3 (HEX) - A 

/interface eoip 
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10 


/ip address 
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0 
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2 
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0 

/ip route 
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2 


#RB750Gr3 (HEX) - B 

/interface eoip 
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10 


/ip address 
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1 
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0 
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0 

/ip route 
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1 

Dan setelah dilakukan pengetesan hasilnya seperti berikut: 

 
RB750Gr3 (HEX) - Sisi A 

 
RB750Gr3 - Sisi B 

Hasil yang didapatkan untuk pengetesan diatas maka trafik yang dilewatkan bisa maksimal dan pada masing-masing perangkat CPU Load juga cukup rendah di kisaran 15%-20%. Hal ini karena RB750Gr3 (HEX) sudah memiliki HW Encryption sehingga CPU tidak terbebani lagi untuk proses enkripsi. 

Pada RB750Gr3 jika dilihat di '/tools profile' tidak terdapat proses enkripsi dan proses lain yang terdeteksi. Ada kemungkinan ini disebabkan karena penggunaan processor baru, yakni MediaTek. 

 
  

Namun, karena pada RB750Gr3 menggunakan prosesor Dual-Core dengan 4 Threads, kita bisa melihat proses dari Enkripsi tersebut dihandle pada thread prosesor yang keberapa. Caranya pilih menu 'System -> Resource -> IRQ', maka disitu akan terlihat proses enkripsi 
  

Sumber: www.sahoobi.com

Share this

Related Posts

Previous
Next Post »