Topic: Topologi buat squid dan BM

dear rekans,
mana yg paling bagus biar b/w ngga bocor ...

http://i298.photobucket.com/albums/mm273/katermen2/Drawing1.png

any comment i appreciate

2 (edited by si_faisal 27-04-2009 06:14:04)

Re: Topologi buat squid dan BM

prefer no 1 (DMZ mode), soalnya router bisa memanage tiap2 komponen yang terhubung ke jaringan secara langsung, koneksi ke proxy juga bisa diatur. Bw proxy, dan bw client bisa diatur leluasa,

no.2 doble nat,

no.3 kongesti akan terlalu berseliweran di satu interface, router akan menganggap http request dari 1 mesin, yaitu proxy.

no 4. dooble nat juga, kemudian bw management sulit dilakukan di router, harus aplikasikan mode brigde dan patch source ip pada iptables

tapi, semuanya bisa running well kok.

just my opinion.
cmiiw
big_smile

Re: Topologi buat squid dan BM

kayaknya nomer satu, system kayak gitu pernah sy pake, mikrotik dan ipcop (squid).

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

4

Re: Topologi buat squid dan BM

thumbs-up buat si_faisal, sudah berani and mampu bikin analisa seperti itu

Re: Topologi buat squid dan BM

@ faisal smile

kok semuanya dibilang double-NAT sih? kenapa gitu loh?
apakah perlu? untuk poin 2 dan 4?
untuk poin 3 - abdi agak kurang jelas nih maksudnya?

kalo abdi pribadi - memilih skenario no 2 smile

Re: Topologi buat squid dan BM

yang double nat no 2 dan 4 kang abdi, asumsi saya disetup nat antara router/proxy, bukan routing.

cmiiw smile

Re: Topologi buat squid dan BM

aa wrote:

thumbs-up buat si_faisal, sudah berani and mampu bikin analisa seperti itu

nambahin om aa ah ... 120% buat om isal saluuttt !! big_smile ,

@kang abdi
nomor 3 itu .. squidnya sejajar ama client kang ... jadi request dari client ke router akan di dst-nat ke squid (bener kata om isal ... jadi muter" yah big_smile) trus, kalo yg no 4 itu squid nya di mode bridge, bukan router ... jadi ngga double NAT ya ... ? cmiiw , saya nyontek dari sini

Sebenernya yg sy pake skrang ini nomor 1, tapi sy masih bingung ama squidnya, kalo misalnya si squid itu di kasih 256 kbps buat donlod dan 64 kbps buat aplod, trus misal si ada yg aplod sampe ngabisin 64 kbps itu, performa jaringan turun drastis ,,, RTO malah sad
apa emang kalo adsl kaya gitu ya ???

nah makanya sy buat trid ini ... kalo kalo aj saya ganti formasi ..

untuk saran" nya sy ucapkan terima kasih

8 (edited by si_faisal 28-04-2009 01:50:22)

Re: Topologi buat squid dan BM

sebelumnya kita samakan persepsi dulu,,

bandwidth managementnya dilakukan di router kan?

untuk no 4. maksud saya juga begitu mas nek2, topologi no 4 tidak akan jadi Double Nat, kalo Proxy diaplikasikan pada mode bridge dan di Patch SRC Addressnya, agar router tidak membaca request hanya dari 1 pc (yaitu Mesin Proxy)

seharusnya bisa diatur mas,

jika menggunakan htb,
misal
eth0 lan
eth1 dmz (server farm / dalam kasus ini squid)
eth2 internet

bisa dibatasi traffic incoming dari eth0, tuk upload ke eth1 dan eth2
buat class di masing2 interface eth1 dan eth2
(yang langsung di eth2 berarti untuk traffic non http)
IP SRC masing2 dari komputer lan, isikan parameter bandwidth, Limit dan Burst sesuai keperluan


cmiiw
smile

9 (edited by opikdesign 28-04-2009 04:43:42)

Re: Topologi buat squid dan BM

sebelum sy beranggapan router disini ada fungsi limiter untuk ngatur b/w

abdi_wae wrote:

@ faisal smile

kok semuanya dibilang double-NAT sih? kenapa gitu loh?
apakah perlu? untuk poin 2 dan 4?
untuk poin 3 - abdi agak kurang jelas nih maksudnya?

kalo abdi pribadi - memilih skenario no 2 smile

kang abdi kenapa pilih nomer 2?! apa bagusnya menurut kang abdi?! big_smile

menurut pendapat sy, melihat topology itu jelas2 double NAT, tetapi bisa juga posisi proxy dijadikan brigde jadi gak double NAT. Yang jelas mengatur flow data di router lebih mudah krn sangat standart, tinggal mengatur ZPH Toss agar gak kena limit. big_smile

begitu yah kang abdi?! mohon petunjuk. big_smile

si_faisal wrote:

sebelumnya kita samakan persepsi dulu,,

bandwidth managementnya dilakukan di router kan?

untuk no 4. maksud saya juga begitu mas nek2, topologi no 4 tidak akan jadi Double Nat, kalo Proxy diaplikasikan pada mode bridge dan di Patch SRC Addressnya, agar router tidak membaca request hanya dari 1 pc (yaitu Mesin Proxy)

klo proxy-nya gak dijadikan brigde maka percuma ada router yg bisa ngatur b/w (CMIIW), dan pastinya terjadi double NAT, akhirnya b/w management di router tidak berfungsi dong.


si_faisal wrote:

seharusnya bisa diatur mas,

jika menggunakan htb,
misal
eth0 lan
eth1 dmz (server farm / dalam kasus ini squid)
eth2 internet

bisa dibatasi traffic incoming dari eth0, tuk upload ke eth1 dan eth2
buat class di masing2 interface eth1 dan eth2
(yang langsung di eth2 berarti untuk traffic non http)
IP SRC masing2 dari komputer lan, isikan parameter bandwidth, Limit dan Burst sesuai keperluan


cmiiw
smile

yup, tp menurut pengalaman sy, yg mengarah ke eth1 (proxy) tidak di limit alias loss.... yg diberi limit hanya ke eth0 (LAN). Jadi upload yg menuju eth1 (proxy) jgn dibatasin. big_smile

bisa diatur koq alur komunikasi data up/down antara ketiga interfaces tersebut, malah yg dulu sampai menggunakan loadbalance dgn 5line inet (3speedy+2 3G).

CMIIW

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Topologi buat squid dan BM

si_faisal wrote:

jika menggunakan htb,
misal
eth0 lan
eth1 dmz (server farm / dalam kasus ini squid)
eth2 internet

bisa dibatasi traffic incoming dari eth0, tuk upload ke eth1 dan eth2
buat class di masing2 interface eth1 dan eth2
(yang langsung di eth2 berarti untuk traffic non http)
IP SRC masing2 dari komputer lan, isikan parameter bandwidth, Limit dan Burst sesuai keperluan

siap bozz ... dicoba-coba dulu nih, tar perkembangannya laporan lagi big_smile

thx all

Re: Topologi buat squid dan BM

smile

@ rekan2 semua,

no.3 kongesti akan terlalu berseliweran di satu interface, router akan menganggap http request dari 1 mesin, yaitu proxy.

lho, bukankah itu maksudnya ada web-proxy? smile

ok, peraturan sederhana seperti berikut :
setiap hal pada dunia ini akan selalu memiliki 2 sisi smile

dari ke-4 skenario nek2, sebenarnya InsyaAlloh bisa jalan semua - hanya saja tinggal kita sesuaikan kebutuhan dari internal sebelum menuju ke internet (atau katakanlah router).

skenario 1 -
boleh pakai model DMZ, agak sibuk ngutak-atik mesin firewall ditengah.

skenario 2 -
malah lebih punya benefit untuk reversed-proxy httpd, web proxy untuk setiap VLAN yang ada dibelakang router, ditambah extra security (firewall, IPS dsb) pada mesin web proxy.

skenario 3 -
sama, tapi tidak bisa di-PREROUTING langsung ke arah squid/BM

skenario 4 - bridging? boleh saja - hampir sama dgn skenario 2,

tapi, permasalahan pada skenario 2 dan 4 adalah bila mesin proxy mati atau NIC rusak, atau konfigurasi macet alias ngadat smile tidak bisa di-bypass secara murni. ada beberapa alat yang bisa tapi kita disini kan membahas OSS bukankah? smile

terus, jalur antara 2 subnet pada 2 router atau lebih - tidak mesti NAT - bisa jadi bridging, boleh, bisa jadi routing saja boleh dsb - tergantung ekspektasi/pengharapan kita akan sebuah implementasi model network yang ideal (sangat relatif dari sudut pandang masing2 network designer, entah itu dari sisi kemudahan administrasi jaringan, dari sisi keamanan, dari sisi perkembangan network pada masa datang dsb dsb).

HTH.

12 (edited by si_faisal 28-04-2009 17:13:10)

Re: Topologi buat squid dan BM

yup seperti sudah saya utarakan sebelumnya kang abdi, semuanya bisa running well, namun tentunya impactnya berbeda, seperti yang udah kang abdi ulas diatas.

jika diaplikasikan no 3, router akan sulit untuk membatasi traffic ke Proxy, karena masih dalam satu subnet dan komunikasinya tidak melalui router.

pada posting awal thread ini, nek2 menginginkan dari sudut pandang kemudahan pengaturan bandwidth (fitur reverse proxy, ids dll tidak jadi pertimbangan),
so, asumsi saya topologi No. 1 lebih flexible.

yang bisa diambil dari postingan kang abdi adalah, setiap pilihan yang diambil. ada konsekuensinya masing2.
thanks analisisnya

semoga menjadi jelas,
smile

Re: Topologi buat squid dan BM

jika diaplikasikan no 3, router akan sulit untuk membatasi traffic ke Proxy, karena masih dalam satu subnet dan komunikasinya tidak melalui router.

smile
maksudnya?

pada posting awal thread ini, nek2 menginginkan dari sudut pandang kemudahan pengaturan bandwidth (fitur reverse proxy, ids dll tidak jadi pertimbangan),
so, asumsi saya topologi No. 1 lebih flexible.

nah, disini kita harus mencoba untuk out of the box thinking smile
bukan berarti pendapat abdi adalah benar, bukan - hanya saja bila kita ingin belajar mendesain sesuatu - kita harus belajar untuk melihat setiap sisi yang ada (ibaratnya kalo pada dunia tesis -> mengumpulkan hipotesa), baru kemudian menyelaraskan dgn kondisi/ekspektasi.

kalo diperhatikan secara baik2 - maka akan didapat :
1. gambar skenario 1 dan 3 adalah sama,
2. gambar skenario 2 dan 4 adalah sama.

jadi - kesimpulannya?

14 (edited by opikdesign 28-04-2009 18:26:05)

Re: Topologi buat squid dan BM

abdi_wae wrote:

nah, disini kita harus mencoba untuk out of the box thinking smile
bukan berarti pendapat abdi adalah benar, bukan - hanya saja bila kita ingin belajar mendesain sesuatu - kita harus belajar untuk melihat setiap sisi yang ada (ibaratnya kalo pada dunia tesis -> mengumpulkan hipotesa), baru kemudian menyelaraskan dgn kondisi/ekspektasi.

sy setuju dgn kang abdi dalam hal ini.

abdi_wae wrote:

kalo diperhatikan secara baik2 - maka akan didapat :
1. gambar skenario 1 dan 3 adalah sama,
2. gambar skenario 2 dan 4 adalah sama.

jadi - kesimpulannya?

mungkin skenario 2 dan 4 boleh sama dalam hal ini fungsional interfaces di proxy-nya, tp klo skenario 1 dan 3 apa yah yg membuat sama sedangkan yg skenario 3 jelas banget posisi proxy sejajar (setingkat) dgn client.

mohon petunjuk.... big_smile kayaknya bakal jadi discuss yg seru banget...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Topologi buat squid dan BM

nah pertanyaan yang sama dengan yang diutarakan bang opik,
untuk skenario 3, bagaimana cara membatasi bandwidth ke masing2 client, jika shaper ditaruh di router?

Re: Topologi buat squid dan BM

smile

bagaimana kalo pada skenario 1 disamakan dgn skenario 3 dgn menggunakan VLAN?
atau dgn ip alias? atau dgn secondary IP?

berarti samakah?

untuk skenario 3, bagaimana cara membatasi bandwidth ke masing2 client, jika shaper ditaruh di router?

apakah squid tidak punya fungsi seperti itu dgn delay-pool?
apakah tc pada router (bukan mesin squid/BM) tidak bisa berperan menjadi BW mgmt?

HTH.

17 (edited by si_faisal 28-04-2009 19:31:24)

Re: Topologi buat squid dan BM

jawaban yang visioner kang abdi. big_smile

namun kemudian, apakah efisien jika misal jaringan kecil menggunakan switch vlan (dan perangkat pendukung vlan lainnya) yang relatif lebih mahal daripada harga 1 buah ethernet card tambahan untuk router, belum lagi sang admin haruslah menguasai teori dan implementasi vlan?

dalam kasus ini, kita coba memberikan pandangan kepada TS (om nek2) tentang bagaimana cara termudah/terefisien untuk infrastruktur jaringannya agar bandwidth tidak bocor. (sebetulnya kurang jelas yang dimaksud tidak bocor itu seperti apa, namun saya menangkapnya disini sebagai fleksibilitas dalam management bandwidth)

mohon mas nek2 definisikan lebih jelas jika memang saya salah tangkap big_smile

dan menurut saya, akan efisien jika bw management (shaper) diletakkan di router, (tools bisa tc, htb.init, webhtb, queue tree mikrotik dll.) tidak dengan delay pool squid, (delay pool masih sering bisa ditembus oleh download manager)

terkadang juga sebagai network designer harus memikirkan cara yang paling mudah (efisien) dan harus dipertimbangkan bagaimana jika administrasi network tersebut pindah tangan ke administrator lain yang kemampuannya misalkan masih dibawah admin sebelumnya.
bukankah begitu?

ada yang sependapat dengan saya?

big_smile

Re: Topologi buat squid dan BM

si_faisal wrote:

jawaban yang visioner kang abdi. big_smile

namun kemudian, apakah efisien jika misal jaringan kecil menggunakan switch vlan (dan perangkat pendukung vlan lainnya) yang relatif lebih mahal daripada harga 1 buah ethernet card tambahan untuk router, belum lagi sang admin haruslah menguasai teori dan implementasi vlan?

iya sih gak effisien, ini tingkatnya dah advance nih big_smile sy dah susah ngikutin big_smile

si_faisal wrote:

dalam kasus ini, kita coba memberikan pandangan kepada TS (om nek2) tentang bagaimana cara termudah/terefisien untuk infrastruktur jaringannya agar bandwidth tidak bocor. (sebetulnya kurang jelas yang dimaksud tidak bocor itu seperti apa, namun saya menangkapnya disini sebagai fleksibilitas dalam management bandwidth)

mohon mas nek2 definisikan lebih jelas jika memang saya salah tangkap big_smile

gak juga sih mas si_faisal, soalnya soal di garis ama kang abdi_wae => "out of the box thinking". Jadi kita bisa membicarakan hal2 yg tersulit juga. big_smile

si_faisal wrote:

dan menurut saya, akan efisien jika bw management (shaper) diletakkan di router, (tools bisa tc, htb.init, webhtb, queue tree mikrotik dll.) tidak dengan delay pool squid, (delay pool masih sering bisa ditembus oleh download manager)

sependapat, sy juga jengkel klo sudah ada yg download dgn program download manager/accelarator ato firefox.

si_faisal wrote:

terkadang juga sebagai network designer harus memikirkan cara yang paling mudah (efisien) dan harus dipertimbangkan bagaimana jika administrasi network tersebut pindah tangan ke administrator lain yang kemampuannya misalkan masih dibawah admin sebelumnya.
bukankah begitu?

klo yg ini sih, sangat relatif sekali... klo sy, jika sy out/resign tentunya tidak memperdulikannya ato klo sy masuk ditempat baru maka selama yg sudah jalan bisa sy ikutin sy biarkan tetapi klo gak bisa sy ikutin maka sy rubah sesuai kemampuanku. big_smile

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

19 (edited by nek2 28-04-2009 22:33:29)

Re: Topologi buat squid dan BM

hai rekans .... duh maaf telat

sebenernya ini yg saya cita-citakan big_smile
- benar kata om isal ... disini saya cuma menginginkan fleksibilitas dalam management bandwidth (plug and play), dimana mikrotik di set sebagai "Pure Bandwidth Manager" dan Squid di set sebagai "Pure Caching Server".
- kemudahan dalam administrasi baik itu dalam me-remote maupun memantau file-file log yang ada
- Semua bandwidth yang ada di bagikan ke client secara "sama rata / adil", dan disini digunakan Queue Tree (htb) dan Queue Type PCQ pada mikrotik, makanya disini tidak digunakan delay_pools
- untuk kedepannya, kemudahan dalam pemasangan AP

nah dari keempat skema di atas .. mana kira" yg dapat memenuhi cita-cita saya tersebut big_smile

abdi_wae wrote:

kalo diperhatikan secara baik2 - maka akan didapat :
1. gambar skenario 1 dan 3 adalah sama,
2. gambar skenario 2 dan 4 adalah sama.

jadi - kesimpulannya?

saya tidak sependapat dgn kang abdi (dgn mengenyampingkan dulu VLAN, soale ilmu na belum nyampe big_smile), tapi berhubung praktek di "lab" nya belum beres, alesannya belum bisa saya uraikan, ntar kalo dah beres laporan lagi big_smile

thx all, buat diskusi nya

Re: Topologi buat squid dan BM

referensi lainnya : click me

Re: Topologi buat squid dan BM

wow, semakin menarik smile

@ faisal,

namun kemudian, apakah efisien jika misal jaringan kecil menggunakan switch vlan (dan perangkat pendukung vlan lainnya) yang relatif lebih mahal daripada harga 1 buah ethernet card tambahan untuk router, belum lagi sang admin haruslah menguasai teori dan implementasi vlan?

mohon diperhatikan - sambungan kalimat pada VLAN ...

atau dgn ip alias? atau dgn secondary IP?

jadi, apakah ada opsi lain yang abdi tawarkan? smile

terkadang juga sebagai network designer harus memikirkan cara yang paling mudah (efisien) dan harus dipertimbangkan bagaimana jika administrasi network tersebut pindah tangan ke administrator lain yang kemampuannya misalkan masih dibawah admin sebelumnya.
bukankah begitu?

terima kasih untuk kebaikannya memperhatikan sesama admin smile
itu hal yang baik dan patut didukung.
tetapi,
ini bukanlah permasalahannya - jadi pertanyaannya seperti - maaf, bukan bermaksud kasar :
1. pilih tujuan utama (BW mgmt) tercapai secara maksimal, atau
2. sibuk beradaptasi dgn kendala non teknis?

dan menurut saya, akan efisien jika bw management (shaper) diletakkan di router, (tools bisa tc, htb.init, webhtb, queue tree mikrotik dll.) tidak dengan delay pool squid, (delay pool masih sering bisa ditembus oleh download manager)

kenapa sibuk2 berpikir memlilih yang mana yang terbaik - jika kita bisa memaksimalkan fungsi BW mgmt dari keduanya? rule no. 1 : nobody's perfect, jadi ambillah yang terbaik dari keduanya agar lebih maksimal.

ok then, mungkin sisanya - abdi serahkan kembali diskusi ini ke nek2 dan rekan2 sekalian smile

cheers wink

22 (edited by nek2 30-04-2009 13:41:54)

Re: Topologi buat squid dan BM

kang abdi,

kang abdi kan prefer no 2, nah setelah dicoba-coba .. ternyata memang kalau pake no 2 ini saya lebih mudah untuk me-mangle paket yang datang dari LAN, atau pun settingan firewallnya, namun dia ada 3 kekurangan :
- Double NAT, paket yg keluar dari mikrotik maupun squid akan di masquerade
- di log squid, yang kebaca hanya 1 IP, yaitu ip mikrotik yang ke arah squid
- kalau tidak teliti dalam me-mangle, justru si squid yang akan ngabisin bandwidth

cmiiw
nah kalo menurut kang abdi sendiri, gimana caranya agar 3 kekurangan tsb bisa diatasi ,,, apakah harus mikrotiknya di bridge mode ???

thx

Re: Topologi buat squid dan BM

halo nek2 smile

analisa & pertanyaan yang bagus smile

namun dia ada 3 kekurangan :
- Double NAT, paket yg keluar dari mikrotik maupun squid akan di masquerade
- di log squid, yang kebaca hanya 1 IP, yaitu ip mikrotik yang ke arah squid

definisikan fungsi dan kegunaan NAT-MASQ untuk berinternet?
keyword : RFC 1918 -> private IP address

jadi - sebelum private network keluar ke internet - apakah ada keperluan untuk aplikasi NAT? (selain untuk kemudahan administrasi dgn 1 IP aktif untuk NAT/PAT)

- kalau tidak teliti dalam me-mangle, justru si squid yang akan ngabisin bandwidth

kenapa bisa begitu?
asumsikan :
1. bila kita sudah menerapkan TC dsb pada router/mikrotik yang langsung  berhubungan dgn LAN dibelakangnya - maka, acuan BW management dari sisi klien LAN akan diambil dari mana? dari mikrotik-kah? atau dari squid/ipcop?
2. squid/proxy seharusnya tidak akan keluar ke internet kalo tidak di-picu dari sisi klien bukan kah? jadi, dari sisi mana squid/web proxy akan menghabiskan BW?

apakah harus mikrotiknya di bridge mode ???

hehehe ... lho kan udah abdi coba jelaskan sebelumnya? sila untuk dibaca2 lagi smile
bridge boleh, route boleh, NAT boleh - insyaAlloh semua metode bisa jalan kok smile

HTH.

Re: Topologi buat squid dan BM

jadi - sebelum private network keluar ke internet - apakah ada keperluan untuk aplikasi NAT? (selain untuk kemudahan administrasi dgn 1 IP aktif untuk NAT/PAT)

tidak akan keluar ke internet kalo tidak di-picu dari sisi klien

waduhh ... penjelasan yg sangat keterima akal dan menyerap kedalam hati heuheueheu big_smile

hehehe ... lho kan udah abdi coba jelaskan sebelumnya? sila untuk dibaca2 lagi smile
bridge boleh, route boleh, NAT boleh - insyaAlloh semua metode bisa jalan kok smile
HTH.

heheheh ... dari penjelasan kang abdi, saya tarik kesimpulan, biar 3 masalah di atas bisa diatasi, cukup squidnya aja yg di masquerade (yg ke arah modem) .. cmiiw

oke kang abdi saya coba" dulu, tar kalo bingung ... laporan lagih big_smile

thx all

Re: Topologi buat squid dan BM

nice, benar2 forum.. diskusinya mantap, apalagi moderatornya mumpuni.

sharing pendapat yang bermanfaat,
smoga bro nek2 dapat mengambil kesimpulan yang terbaik untuk jaringanny big_smile