IPSEC OVER GRE

Assalamu’alaikum wr. wb.

Rekan-rekan pembaca sekalian coretan sebelumnya saya sudah menulis mengenai beberapa metode VPN di Cisco yaitu GRE dan IPSEC. Dan kali ini saya ingin menulis lagi tentang gabungan dari keduanya yaitu GRE sebagai tunellingnya kemudian untuk keperluan enkripsi menggunakan IPSEC. Jadi disini ada 2 lapisan dalam proses pengiriman data melalui jalur internet karena membuat komunikasi seaman mungkin apalagi menggunakan komunikasi internet adalah sesuatu yang mandatory (harus). Berikut adalah gambar ilustrasi topologi dalam penggunakan GRE dan IPSEC.

CISCO GRE TUNNEL

Assalamu’alaikum wr. wb.

Kembali lagi buat temen-temen pembaca sekalian, coretan selanjutnya saya masih pengen mbahas salah satu teknologi VPN.hehe.. kali ini temanya tentang GRE (Generic Routing Encapsulation), dengan menggunakan GRE ini bisa diilustrasikan kalo kita bisa berkomunikasi dengan jaringan lokal yang berbeda secara geografis dengan membentuk sebuah terowongan (tunnel) pribadi.

Konfigurasi IP address

Oke, langsung aja ya sesuai contoh topologi di atas saya konfigurasi IP address dari masing-masing router. Ada 3 buah router, misal ada router yang berada pada kota surabaya dengan kode SBY dan router yang berada di semarang dengan kode SMG masing-masing router ini memiliki IP address public yang terletak pada interface fastethernet 0/0 dan router yang ada ditengah dimisalkan sebagai CLOUD/internet.

Membuat interface tunnel
Buat interface tunnel pada router di kedua kota.
Router SMG

SMG>enable
SMG#configure terminal
SMG(config)#interface tunnel 123
SMG(config-if)#ip address 123.123.123.1 255.255.255.252
SMG(config-if)#tunnel source fastethernet 0/0
SMG(config-if)#tunnel destination 222.222.222.2
Router SBY
SBY>enable
SBY#configure terminal
SBY(config)#interface tunnel 123
SBY(config-if)#ip address 123.123.123.2 255.255.25.252
SBY(config-if)#tunnel source fastethernet 0/0
SBY(config-if)#tunnel destination 111.111.111.2
Advertise EIGRP
Agar network lokal dikedua kota bisa berkomunikasi perlu adanya advertising bisa menggunakan dynamic routing maupun statik routing, namun contoh yang saya ambil kali ini advertising menggunakan EIGRP.
Router SMG
SMG(config)#router eigrp 1
SMG(config-router)#network 123.123.123.0 0.0.0.3
SMG(config-router)#network 3.3.3.3 0.0.0.255
Router SBY 
SBY(config)#router eigrp 1
SBY(config-router)#network 123.123.123.0 0.0.0.3
SBY(config-router)#network 2.2.2.2 0.0.0.255
Cek ping
Untuk mengetes koneksi tunnel dilakukan ping network ip loopback pada router antar kota itu.
Router SBY
SBY#ping 123.123.123.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 123.123.123.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/37/48 ms
SBY#ping 3.3.3.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/39/44 ms
SBY#


Nah, selesai sudah. semoga bermanfaat ya, amiiin 🙂 

CISCO IP SECURITY (IPSEC)

Assalamu’alaikum warrohmatullahiwabarokatuh 🙂

Lagi tertarik belajar mengenai VPN (virtual private network) di Cisco jadi penasaran sama salah satu protocol pengamanan dalam penggunaan VPN yaitu IPSec. Jadi apa sih IPSec?. Dikutip dari datatracker.ietf.org :
“The IP Security Protocol Working Group (IPSEC) will develop mechanisms to protect client protocols of IP. A security protocol in the network layer will be developed to provide cryptographic security services that will flexibly support combinations of authentication, integrity, access control, and confidentiality”
So? IPsec itu adalah sebuah protocol (aturan) yang digunakan untuk mentransmisikan sekaligus sebagai enkripsi data dalam komunikasi VPN. Kali ini saya lagi belajar pemakaian IPSec di Cisco, dan berikut adalah contoh topologi sederhana.

 


Dari gambar di atas dapat dilihat ada 3 router yang saya namai R2 dan R3 serta Cloud. Karena menggunakan jaringan simulasi jadi seolah-olah router yang berada di tengah itu diasumsikan adalah cloud/internet.
Ada beberapa step yang dilakukan untuk mengaktifkan komunikasi VPN yang dilapisi IPSec, antara lain :

Konfigurasi IP address
Konfigurasi IP address pada interface masing-masing router seperti gambar di atas, dan pastikan loopback pada router R2 bisa ping loopback router R3, bisa menggunakan dynamic routing atau statik routing karena sebagai catatan topologi di atas hanya sekedar simulasi.

Membuat session ISAKMP
Untuk membuat sebuah sesi komunikasi yang aman antara dua router dengan menggunakan IPSec, maka dibutuhkan sebuah framework protokol yang disebut ISAKMP/Oakley. (id.wikipedia.org/wiki/IP_Security)
Berikut komponen ISAKMP untuk konfigurasi di router R2 dan R3 :

authentication : pre-share
encryption       : aes 256
group               : 5
hash                 : sha
lifetime             : 1800

Router R2

R2#configure terminal
R2(config)#crypto isakmp policy 5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption aes 256
R2(config-isakmp)#group 5
R2(config-isakmp)#hash sha
R2(config-isakmp)#lifetime 1800

Router R3 

R3#configure terminal
R3(config)#crypto isakmp policy 5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#group 5
R3(config-isakmp)#hash sha
R3(config-isakmp)#lifetime 1800

Menentukan pre-shared key
Pre-shared key ini adalah berupa kunci yang sudah ditentukan sebelumnya digunakan untuk membuka komunikasi kedua node menggunakan protokol IPSec, contoh kali ini misal kata kuncinya adalah ‘RAHASIA’.

Router R2

R2(config)#crypto isakmp key 0 RAHASIA address 11.11.11.10
 
Router R3


R3(config)#crypto isakmp key 0 RAHASIA address 22.22.22.6

Membuat trasnform set
Transform set merupakan kombinasi dari protokol sekuriti dan algoritma. Sewaktu IPSec melakukan negosiasi SA (Security Association), kedua peer harus menggunakan transform set yang sama untuk melindungi flow data. Contoh transform set saya beri nama JOIN.

Router R2

R2(config)#crypto ipsec transform-set JOIN esp-aes 256 esp-sha-hmac 


Router R3


R2(config)#crypto ipsec transform-set JOIN esp-aes 256 esp-sha-hmac 


Menentukan lifetime IPSec SA
Selanjutnya menentukan lama waktu SA sebelum menjadi expired.

Router R2

R2(config)#crypto ipsec security-association lifetime seconds 1800


Router R3

R2(config)#crypto ipsec security-association lifetime seconds 1800 

Membuat access list
Pembuatan access list ini berfungsi untuk mengfilter network lokal yang diijinkan untuk berkomunikasi menggunakan protokol IPSec. Kemudian advertise access list tadi kedalam Crypto Map.


Router R2

R2(config)#access-list 100 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
R2(config)#crypto map MAP 10 ipsec-isakmp
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#set peer 11.11.11.10
R2(config-crypto-map)#set transform-set JOIN
R2(config-crypto-map)#set pfs group5
R2(config-crypto-map)#set security-association lifetime seconds 1800

Router R3

R3(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
R3(config)#crypto map MAP 10 ipsec-isakmp
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#set peer 22.22.22.6
R3(config-crypto-map)#set transform-set JOIN
R3(config-crypto-map)#set pfs group5

R3(config-crypto-map)#set security-association lifetime seconds 1800
Mengaktifkan IPSec pada interface router
Setelah semua konfigurasi IPSec dilakukan selanjutnya adalah mengaktifkanya pada interface router yang digunakan untuk komunikasi IPSec.

Router R2

R2(config)#interface Fastethernet 0/0
R2(config-if)#crypto map MAP

Router R3
 
R3(config)#interface Fastethernet 0/0
R3(config-if)#crypto map MAP

Cek IPSec
untuk melakukan cek konfigurasi IPsec sudah berjalan dengan baik lakukan test ping dengan source dari network lokal (loopback).

Router R3 

R3#ping 2.2.2.2 source 3.3.3.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/39/40 ms


Lakukan beberapa perintah ‘show’ seperti berikut :

R3#show crypto ipsec transform-set
Transform set JOIN: { esp-256-aes esp-sha-hmac  }
   will negotiate = { Tunnel,  },

R3#show crypto map
Crypto Map “MAP” 10 ipsec-isakmp
    Peer = 22.22.22.6
    Extended IP access list 100
        access-list 100 permit ip 3.3.3.0 0.0.0.255 2.2.2.0 0.0.0.255
    Current peer: 22.22.22.6
    Security association lifetime: 4608000 kilobytes/1800 seconds
    PFS (Y/N): Y
    DH group:  group5
    Transform sets={
        JOIN,
    }
    Interfaces using crypto map MAP:
        FastEthernet0/0





R3#show crypto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: MAP, local addr 11.11.11.10

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (3.3.3.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (2.2.2.0/255.255.255.0/0/0)
   current_peer 22.22.22.6 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 11.11.11.10, remote crypto endpt.: 22.22.22.6
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x2045B818(541440024)

     inbound esp sas:
      spi: 0x20E57A35(551909941)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: SW:1, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4529856/1296)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x2045B818(541440024)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: SW:2, crypto map: MAP
        sa timing: remaining key lifetime (k/sec): (4529856/1295)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas: 

R3#show crypto isakmp sa
dst             src             state          conn-id slot status
22.22.22.6      11.11.11.10     QM_IDLE              1    0 ACTIVE

BASIC MPLS VPN CISCO PART 3

Konfigurasi internal BGP (iBGP)
Lanjut ke bagian ke tiga kali ini dimulai dengan konfigurasi routing protocol BGP, apa fungsinya? fungsi BGP disini adalah penghubung jaringan customer dari router SP1 ke router SP3, jadi nantinya jaringan antar customer dapat saling berkomunikasi. Sebagai contoh menggunakan BGP dengan AS number 1.
Router SP1
SP1(config)#router bgp 1
SP1(config-router)#neighbor 3.3.3.3 remote-as 1
SP1(config-router)#neighbor 3.3.3.3 update-source loopback 0
SP1(config-router)#address-family vpnv4
SP1(config-router-af)#neighbor 3.3.3.3 activate
SP1(config-router-af)#neighbor 3.3.3.3 send-community both  
Router SP3

SP3(config)#router bgp 1
SP3(config-router)#neighbor 1.1.1.1 remote-as 1
SP3(config-router)#neighbor 1.1.1.1 update-source loopback 0
SP3(config-router)#address-family vpnv4
SP3(config-router-af)#neighbor 1.1.1.1 activate
SP3(config-router-af)#neighbor 1.1.1.1 send-community extended

Konfigurasi redistribute EIGRP ke BGP dan BGP ke EIGRP
Karena jaringan yang menuju ke customer menggunakan EIGRP maka agar komunikasi antar customer dapat berlangsung maka routing protocol EIGRP vrf harus diredistribute ke BGP juga sebaliknya.

Router SP1

SP1(config)#router eigrp 1
SP1(config-router)#address-family ipv4 vrf PELANGGAN
SP1(config-router-af)#redistribute bgp 1 metric 1500 4000 200 10 1500
SP1(config-router-af)#end
SP1#configure terminal
SP1(config)#router bgp 1
SP1(config-router)#address family ipv4 vrf PELANGGAN
SP1(config-router-af)#redistribute eigrp 100
Router SP3

SP3(config)#router eigrp 1
SP3(config-router)#address-family ipv4 vrf PELANGGAN
SP3(config-router-af)#redistribute bgp 1 metric 1500 4000 200 10 1500
SP3(config-router-af)#end
SP3#configure terminal
SP3(config)#router bgp 1
SP3(config-router)#address family ipv4 vrf PELANGGAN
SP3(config-router-af)#redistribute eigrp 100
Cek tabel routing
Setelah semua konfigurasi MPLS sudah dilakukan maka untuk memastikan berjalan dengan baik dapat kita lakukan dengan melihat tabel routing.
Router CSR1
CSR1#show ip route
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
       D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
       N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
       E1 – OSPF external type 1, E2 – OSPF external type 2
       i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
       ia – IS-IS inter area, * – candidate default, U – per-user static route
       o – ODR, P – periodic downloaded static route

Gateway of last resort is not set

     4.0.0.0/24 is subnetted, 1 subnets
C       4.4.4.0 is directly connected, Loopback0
     5.0.0.0/24 is subnetted, 1 subnets
D       5.5.5.0 [90/158720] via 120.120.120.1, 02:28:43, FastEthernet0/0
     130.130.0.0/24 is subnetted, 1 subnets
D       130.130.130.0 [90/30720] via 120.120.120.1, 02:28:44, FastEthernet0/0
     120.0.0.0/24 is subnetted, 1 subnets
C       120.120.120.0 is directly connected, FastEthernet0/0
CSR1#
 

Dari tabel routing di atas bisa dibaca bahwa router CSR1 sudah mengenali network pada jaringan router CSR2, yaitu network 130.130.130.0/24 tanpa harus mengenal semua jaringan pada service provider itulah inti dari konfigurasi jaringan VPN, coba lakukan test ping seperti contoh di bawah ini.

CSR1#ping 130.130.130.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 130.130.130.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/76/84 ms
CSR1#

Sekian, coretan saya mengenai dasar MPLS cisco, semoga membantu para pembaca sekalian. Kesempurnaan hanya datang dari Allah SWT dan kekurangan hanya dari manusia, maka apabila ada salah dalam penyampain tutorial ini saya mohon maaf, maka itu komen saja tulisan ini jika keliru, insyaallah nanti bisa saling share. terima kasih 🙂

BASIC MPLS VPN CISCO PART2

MPLS Router-id

Router-id ini berfungsi untuk memberikan id pada masing-masing router MPLS. Router-id biasanya menggunakan IP address pada interface loopback.


Router SP1


SP1(config)#mpls ldp router-id loopback 0

Router SP2

SP2(config)#mpls ldp router-id loopback 0

Router SP3

SP3(config)#mpls ldp router-id loopback 0

Konfigurasi VRF

Virtual Routing Forwarding (VRF) merupakan salah satu fitur routing yang memungkinkan membuat tabel routing baru yang terpisah dari tabel routing utama. Tabel routing baru ini memiliki fungsi untuk membentuk jalur khusus menghubungkan router customer. Lakukan konfigurasi VRF pada router SP1 dan SP3 yang berhubungan langsung dengan router customer.

Router SP1
SP1(config)#ip vrf PELANGGAN
SP1(config-vrf)#rd 100:1
SP1(config-vrf)#route-target both 1:100
SP1(config-vrf)#exit
SP1(config)#interface fastethernet 0/0
SP1(config-if)#ip vrf forwarding PELANGGAN
SP1(config-if)#ip address 120.120.120.1 255.255.255.0
  
Router SP1
SP3(config)#ip vrf PELANGGAN
SP3(config-vrf)#rd 100:1
SP3(config-vrf)#route-target both 1:100
SP3(config-vrf)#exit
SP3(config)#interface fastethernet 1/0
SP3(config-if)#ip vrf forwarding PELANGGAN
SP3(config-if)#ip address 130.130.130.1 255.255.255.0
Cek konfigurasi VRF
Melakukan test konfigurasi VRF dapat dilakukan dengan cara menggunakan test ping pke IP address pada interface yang terassign vrf, seperti contoh berikut (ping 120.120.120.1).
SP1# ping 120.120.120.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 120.120.120.1, timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)

Terlihat bahwa walaupun dengan meng-ping ip sendiri pada router SP1 keluar pesan . (titik) yang mengindikasikan ping gagal (RTO). Coba dengan test ping seperti contoh berikut.
SP1#ping vrf PELANGGAN 120.120.120.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 120.120.120.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
SP1#

Advertise EIGRP Router Customer
Komunikasi router yang berada pada area customer menggunakan routing protocol EIGRP, advertise network yang berada pada router customer yang mengarah ke router service provider.

Router CSR1
CSR1(config)#router eigrp 100
CSR1(config-router)#network 4.4.4.4 0.0.0.0
CSR1(config-router)#network 120.120.120.0 0.0.0.255
CSR1(config-router)#no auto-summary
Router CSR2
CSR2(config)#router eigrp 100
CSR2(config-router)#network 5.5.5.5 0.0.0.0
CSR2(config-router)#network 130.130.130.0 0.0.0.255
CSR2(config-router)#no auto-summary
Advertise EIGRP Router SP
Selanjutnya melakukan advertising ke routing protocol EIGRP pada router service provider yang berhubungan dengan routRouter SP1er customer menggunakan AS number 1 padahal AS number EIGRP pada sisi customer adalah 100 maka disinilah VRF digunakan. 

Router SP1

SP1(config)#router eigrp 1
SP1(config-router)#address-family ipv4 vrf PELANGGAN
SP1(config-router-af)#autonomous-system 100
SP1(config-router-af)#network 120.120.120.0 0.0.0.255
SP1(config-router-af)#no auto-summary

Router SP3

SP3(config)#router eigrp 1
SP3(config-router)#address-family ipv4 vrf PELANGGAN
SP3(config-router-af)#autonomous-system 100
SP3(config-router-af)#network 130.130.130.0 0.0.0.255
SP3(config-router-af)#no auto-summary

Cek konfigurasi EIGRP Router SP
Melakukan cek EIGRP pada router SP dengan melakukan perintah ‘show’ seperti berikut.

Router SP1

SP1#show ip eigrp 1 neighbors 
IP-EIGRP neighbors for process 1
SP1#


Terlihat bahwa tidak ada informasi routing EIGRP seperti pada yang tertera diatas, namun bagaimana apabila menggunakan perintah ‘show’ seperti berikut.

Router SP1

SP1#show ip eigrp vrf PELANGGAN neighbors
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   120.120.120.2           Fa0/0             10 00:54:31  870  5000  0  3
SP1#


Dengan menggunakan perintah ‘show ip eigrp vrf’ akan menampilkan informasi neighbor/tetangga dari EIGRP router SP1.
Cek juga informasi routing tabel untuk vrf PELANGGAN dengan perintah berikut.

Router SP1

SP1#show ip route vrf PELANGGAN

Routing Table: PELANGGAN
Codes: C – connected, S – static, R – RIP, M – mobile, B – BGP
       D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
       N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
       E1 – OSPF external type 1, E2 – OSPF external type 2
       i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
       ia – IS-IS inter area, * – candidate default, U – per-user static route
       o – ODR, P – periodic downloaded static route

Gateway of last resort is not set

     4.0.0.0/24 is subnetted, 1 subnets
D       4.4.4.0 [90/156160] via 120.120.120.2, 00:58:20, FastEthernet0/0

C       120.120.120.0 is directly connected, FastEthernet0/0


BASIC MPLS VPN CISCO PART1

Assalamualaikum wr. wb,

Semoga Allah SWT selalu memberikan kerahmatan bagi pembaca dan kita semua sekalian dan memberi kemudahan belajar menerima ilmu yang kita share bersama :). Oke, sekarang aku lagi nyoba belajar tentang salah satu jenis VPN (Virtual Private Network) yaitu MPLS, apa sih MPLS?. aku juga ga mudeng 😀 tapi kalo diliat dari web om cisco sih kayak gini bilangnya.
“Cisco IOS Multiprotocol Label Switching (MPLS) enables Enterprises and Service Providers to build next-generation intelligent networks that deliver a wide variety of advanced, value-added services over a single infrastructure. This economical solution can be integrated seamlessly over any existing infrastructure, such as IP, Frame Relay, ATM, or Ethernet. Subscribers with differing access links can be aggregated on an MPLS edge without changing their current environments, as MPLS is independent of access technologies”

Jadi intinya MPLS ini adalah salah satu teknologi VPN yang digunakan di jaringan backbone berkecepatan tinggi. #CMIIW :p

Selanjutnya saya akan sedikit berbagi ilmu tentang apa yang sudah dipelajari yaitu tentang konfigurasi basic MPLS menggunakan router Cisco. Berikut tampilan topologi sederhana dan ringkasan IP yang saya gunakan. Ada 3 router pada sisi service provider dan 2 router pada sisi customer.
Dengan mengansumsikan semua IP address sudah terassign pada masing-masing interface di masing-masing router maka berikut adalah beberapa step konfigurasinya.

Advertise OSPF
Advertise semua network pada jaringan service provider yaitu 10.10.10.0/30 dan 11.11.11.0/30 pada router SP1, SP2, dan SP3. Jangan lupa mengubah mode passive-interface pada port router service provider yang mengarah ke router customer.
Router SP1
SP1>enable
SP1#configure terminal
SP1(config)#router ospf 1
SP1(config-router)#network 10.10.10.0 0.0.0.3 area 0
SP1(config-router)#network 1.1.1.1 0.0.0.0 area 0
SP1(config-router)#passive-interface fastethernet 0/0


Router SP2
SP2>enable
SP2#configure terminal
SP2(config)#router ospf 1
SP2(config-router)#network 10.10.10.0 0.0.0.3 area 0
SP2(config-router)#network 11.11.11.0 0.0.0.3 area 0
SP2(config-router)#network 2.2.2.2 0.0.0.0 area 0

Router SP3
SP3>enable
SP3#configure terminal
SP3(config)#router ospf 1
SP3(config-router)#network 11.11.11.0 0.0.0.3 area 0 
SP3(config-router)#network 3.3.3.3 0.0.0.0 area 0
SP3(config-router)#passive-interface fastethernet 1/0
Cek OSPF 
Cek ini berfungsi untuk melihat apakah OSPF sudah berjalan dengan baik, cek bisa dilakukan dengan melihat neighbor OSPF pada router, misalkan pada router SP2.
 SP2#show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
3.3.3.3           1   2WAY/DROTHER    00:00:30    11.11.11.2      FastEthernet1/0
1.1.1.1           1   2WAY/DROTHER    00:00:31    10.10.10.2      FastEthernet0/0


Cek juga menggunakan tools ping dengan source loopback pada router yang melakukan advertise OSPF, misalkan dari router SP1 ke SP3.
SP1#ping 3.3.3.3 source 1.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/37/44 ms


Konfigurasi MPLS
Konfigurasi MPLS pada semua interface router yang terhubung dalam jaringan service provider yaitu Router SP1 (Fa0/0), SP2 (Fa0/0 & Fa1/0) dan SP3 (Fa0/0).

Router SP1
SP1(config)#interface fastethernet 0/0
SP1(config-if)#mpls ip
Router SP2
SP2(config)#interface fastethernet 0/0
SP2(config-if)#mpls ip
SP2(config-if)#interface fastethernet 1/0
SP2(config-if)#mpls ip
Router SP3
SP3(config)#interface fastethernet 0/0
SP3(config-if)#mpls ip
Cek konfigurasi MPLS
Cek konfigurasi MPLS dengan cara melihat forwarding tablenya, misalkan pada router SP2.
SP2#show mpls forwarding-table
Local  Outgoing    Prefix            Bytes tag  Outgoing   Next Hop   
tag    tag or VC   or Tunnel Id      switched   interface             
16     Pop tag     3.3.3.0/24        3477       Fa1/0      11.11.11.2  
17     Pop tag     1.1.1.0/24        4611       Fa0/0      10.10.10.2