Write Up IPSec Cisco

PROOF OF CONCEPT 

IMPLEMENTASI IPSEC OVER GRE TUNNEL PADA 

CISCO ROUTER 

SMAKADUTA 

NETWORKERS 

Disusun Oleh : 

Andreas Abi Permana 

03 

XI TKJ A 

SMK N 2 Surakarta

KONSEP DASAR 

Tunnel 

Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data di 

jaringan.Paket data mengalami sedikit pengubahan atau modifikasi, yaitu 

penambahan header dari tunnel. Ketika data sudah melewati tunnel dan sampai di 

tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula 

(header tunnel dilepas). 

GRE Tunnel 

GRE (Generic Routing Encapsulation) atau IP tunneling (IP encapsulation) 

adalah teknik enkapsulasi packet IP di dalam packet IP. Lebih mudahnya, dengan 

GRE kita bisa menciptakan “terowongan” sebagai jalur data khusus untuk 

meneruskan sebuah packet melalui jaringan komputer, baik itu jaringan komputer 

pribadi ataupun publik. Jadi, walaupun “terowongan” tadi melewati banyak hop, 

namun oleh packet dianggap sebagai 1 hop saja, yaitu pintu masuk tunnel dan pintu 

keluar tunnel.

VPN 

VPN (Virtual Private Network) dalam arti yang sederhana ialah koneksi secara 

logical yang menghubungkan dua node melalui public network. Koneksi logical 

tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga 

dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3 

VPN. 

Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu 

menambahkan “delivery header” dalam paket data yang menuju ke site tujuan. Untuk 

Layer 2 VPN, delivery header-nya berada di Layer 2. Sedangkan untuk Layer 3, 

delivery header-nya berada di Layer 3. ATM dan Frame Relay adalah contoh dari 

Layer 2 VPN. GRE, L2TP, MPLS, dan IPSec adalah contoh dari Layer 3 VPN. 

IPSec VPN 

IPSec protocol diciptakan oleh kelompok kerja IPSec dibawah naungan IETF. 

Arsitektur dan komponen fundamental dari IPSec VPN seperti yang didefinisikan 

oleh RFC2401 adalah: 

• Security protocols => Authentication Header (AH) dan encapsulation security 

payload (ESP) 

• Key management => ISA KMP, IKE, SKEME 

• Algorithms => enkripsi dan authentikasi 

Enkripsi ialah proses transformasi dari plain text/data asli ke dalam data 

terenkripsi yang menyembunyikan data asli. Untuk melihat (dekripsi) data asli, 

penerima data yang terenkripsi harus mempunyai kunci/key yang cocok dengan yang 

telah didefinisikan oleh pengirim. Dekripsi ialah kebalikan dari enkripsi, yaitu proses 

transformasi dari data yang terenkripsi ke bentuk data asli.

Algoritma Kriptografi atau yang biasa disebut cipher adalah fungsi/perhitungan 

matematis yang digunakan untuk enkripsi dan dekripsi. 

Algoritma Kriptografi terbagi dua jenis: 

• Symmetric 

Pada metode ini, pengirim maupun penerima menggunakan kunci rahasia yang 

sama untuk melakukan enkripsi dan dekripsi data. DES, 3DES, dan AES 

adalah beberapa algoritma yang popular 

• Asymmetric 

Metode ini sedikit lebih rumit. Kunci untuk melakukan enkripsi dan dekripsi 

berbeda, kunci untuk melakukan enkripsi disebut public key sedangkan untuk 

dekripsi disebut private key. 

Proses generate, distribusi, dan penyimpanan key disebut key management. 

Key management default dari IPSec ialah Internet Key Exchange Protocol (IKE). 

Security Association adalah blok basic dari IPSec yang juga merupakan input dari 

SA database (SADB) yang mengandung informasi tentang security yang telah 

disepakati untuk IKE atau IPSec. SA terdiri dari dua tipe: 

• IKE atau ISAKMP SA 

• IPSec SA 

Untuk menuju IKE atau ISAKMP SA, IKE beroperasi dalam dua fase: 

• Fase 1 

Fase ini menciptakan ISAKMP SA (atau sering juga disebut IKE SA) yang 

bertujuan menciptakan secure channel diantara IKE peers sehingga proses 

negoisasi fase 2 dapat berjalan lebih secure. 

• Fase 2 

Fase ini menyediakan proses negotiation dan establishment dari IPSec SA 

dengan menggunakan ESP atau AH untuk memproteksi lalu lintas data. 

IKE fase 1 membutuhkan authentication method. Authentication method sendiri ada 

dua tipe, yaitu pre-shared key dan digital signatures. 

Pre-shared key authentication 

Pada metode ini, baik pengirim atau penerima harus mempunyai pre-shared 

key yang sama. Bila pre- shared key tidak sama, maka IKE Tunnel tidak akan 

terbentuk.

IMPLEMENTASI 

Studi Kasus 

Solusi 

Konfigurasi IP pada interface 

R1 

R1#configure terminal 

Interface Fa0 

R1(config)#interface fa0 

R1(config-if)#ip address 202.162.97.1 255.255.255.252 

R1(config-if)#no shutdown 

Interface Loopback 

R1(config)#int lo0 


R2 

R2#configure terminal 

Interface Fa0 

R2(config)#interface fa0 


R2(config-if)#no shutdown 

Interface Loopback 

R2(config)#int lo0 

R2(config)#ip address 2.2.2.2 255.255.255.255

Konfigurasi Tunnel pada masing-masing router 

R1 

R1#conf t 

R1(config)#interface tunnel0 

R1(config-if)#ip add 172.16.0.1 255.255.255.0 

R1(config-if)#tunnel source 202.162.97.1 

R1(config-if)#tunnel destination 202.162.97.2 

R2 

R2#conf t 

R2(config)#interface tunnel0 

R2(config-if)#ip add 172.16.0.2 255.255.255.0 

R2(config-if)#tunnel source 202.162.97.2 

R2(config-if)#tunnel destination 202.162.97.1 

• Tunnel source adalah parameter untuk IP local router yang digunakan untuk 

membangun koneksi Tunnel 

• Tunnel destination adalah parameter dari IP address router lawan. 

Konfigurasikan Static Routing Agar antar loopback pada R1 & R2 bisa saling 

terkoneksi 

R1 

R1(config)#ip route 1.1.1.1 255.255.255.255 172.16.0.2 

R2 

R2(config)#ip route 2.2.2.2 255.255.255.255 172.16.0.1 

Konfigurasi ISAKMP – Phase 1 

R1 

R1(config)# crypto isakmp policy 1 

R1(config-isakmp)# encr 3des 

R1(config-isakmp)# hash md5 

R1(config-isakmp)# authentication pre-share 

R1(config-isakmp)# group 2

R2 

R2(config)# crypto isakmp policy 1 

R2(config-isakmp)# encr 3des 

R2(config-isakmp)# hash md5 

R2(config-isakmp)# authentication pre-share 

R2(config-isakmp)# group 2 

• 3DES = Metode enkripsi yang digunakan pada phase 1. 

• MD5 = Algoritma hash yang digunakan. 

• Pre-Share = Methode Authentikasi Pre-Share. 

• Group 2 = Menggunakan group Diffie-Hellman. 

Konfigurasi Pre-Shared key untuk authentikasi Router kepada peernya. 

R1 

R1(config)# crypto isakmp key cobavpn address 202.162.97.2 

R2 

R2(config)# crypto isakmp key cobavpn address 202.162.97.1 

Konfigurasi IPSec Transform – Phase 2 Policy 

R1 

R1(config)# crypto ipsec transform-set VPN esp-3des esp-md5-hmac 

R1(cfg-crypto-trans)# mode transport 

R2 

R2(config)# crypto ipsec transform-set VPN esp-3des esp-md5-hmac 

R2(cfg-crypto-trans)# mode transport 

• ESP-3DES - Methode Enkripsi. 

• MD5 – Algoritma Hashing. 

• Mode transport – Mengubah IPSec ke mode transport 

Membuat Profile dan menghubungkannya dengan ISKMP dan IPSec yang 

dibuat tadi. 

R1 

R1(config)# crypto ipsec profile GRE 

R1(ipsec-profile)# set security-association lifetime seconds 86400 

R1(ipsec-profile)# set transform-set VPN

R2 

R2(config)# crypto ipsec profile GRE 

R2(ipsec-profile)# set security-association lifetime seconds 86400 

R2(ipsec-profile)# set transform-set VPN 

Terapkan Konfigurasi Enkripsi IPSec pada Interface Tunnel. 

R1 

R1(config)# interface Tunnel 0 

R1(config-if)# tunnel protection ipsec profile GRE 

R2 

R2(config)# interface Tunnel 0 

R2(config-if)# tunnel protection ipsec profile GRE 

Untuk memastikan IPSec Bejalan lakukan dulu aktifitas pada jaringan yang di 

enkripsi, Contoh Melakukan ping 

R1 

R1#ping 1.1.1.1 

Test IPSec apakah sudah berjalan 

R1 

#sh crypto ipsec sa

#sh crypto session 

R2 

#sh crypto ipsec sa 

#sh crypto session

Write Up IPSec Cisco

Create successful ePaper yourself

Delete template?

Save as template?