Pengertian FIREWALL beserta Hubungan dengan Osi Layer

Cara kerja Firewall
   Pada dasarnya merupakan penghalang komputer dan internet . Firewall adalah sebuah progran perangkat lunak / perangkat keras yang menyaring informasi yang datang melalui internet ke komputer pribadi / jaringan pribadi

Fungsi Firewall
  -Mengontrol dan mengawasi paket data yang mengalir di jaringan
  -Melakukan pemeriksaan terhadap paket data yang akan melewati jaringan
  -Melakukan autetinfikasi terhadap akses
  -Memeriksa lebih dari sekedar header dari paket data
  -Mencatat setiap transaksi kejadian yang terjadi di Firewall

Hubungan antara Osi Layer dengan Firewall
  Terdapat tipe firewall yang ada hubungannya dengan Osi Layer yaitu tipe Application level gateway, dikenal dengan sebutan proxy server yang berfungsi untuk memperkuat arus aplikasi . Tipe ini akan mengatur semua hubungan yang menggunakan Layer Aplikasi pada model OSI seperti : ftp, httpd, dll. Firewall bekerja pada bagian Layer Network Osi Layer 

ARSITEKTUR FIREWALL

Ada beberapa arsitektur firewall. Pada artikel ini hanya akan dijelaskan beberapa diantaranya,

yaitu : dual-homed host architecture, screened host architecture, dan screened subnet

architecture.

1. Arsitektur Dual-Homed Host

Arsitektur Dual-home host dibuat disekitar komputer dual-homed host, yaitu komputer yang

memiliki paling sedikit dua interface jaringan. Untuk mengimplementasikan tipe arsitektur

dual-homed host, fungsi routing pada host ini di non-aktifkan. Sistem di dalam firewall dapat

berkomunikasi dengan dual-homed host dan sistem di luar firewall dapat berkomunikasi dengan

dual-homed host, tetapi kedua sistem ini tidak dapat berkomunikasi secara langsung.

Dual-homed host dapat menyediakan service hanya dengan menyediakan proxy pada host tersebut,

atau dengan membiarkan user melakukan logging secara langsung pada dual-homed host. 

2. Arsitektur Screened Host

Arsitektur screened host menyediakan service dari sebuah host pada jaringan internal dengan

menggunakan router yang terpisah. Pada arsitektur ini, pengamanan utama dilakukan dengan

packet filtering. 

Bastion host berada dalam jaringan internal. Packet filtering pada screening router dikonfigurasi

sehingga hanya bastion host yang dapat melakukan koneksi ke Internet (misalnya mengantarkan

mail yang datang) dan hanya tipe-tipe koneksi tertentu yang diperbolehkan. Tiap sistem eksternal

yang mencoba untuk mengakses sistem internal harus berhubungan dengan host ini terlebih dulu.

Bastion host diperlukan untuk tingkat keamanan yang tinggi. 

3. Arsitektur Screened Subnet

Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada arsitekture

screened host, yaitu dengan menambahkan sebuah jaringan perimeter yang lebih mengisolasi

jaringan internal dari jaringan Internet.

Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke jaringan internal.

Arsitektur screened subnet yang paling sederhana memiliki dua buah screening router,

yang masing-masing terhubung ke jaringan perimeter. Router pertama terletak di antara jaringan

perimeter dan jaringan internal, dan router kedua terletak di antara jaringan perimeter dan jaringan

eksternal (biasanya Internet).

Untuk menembus jaringan internal dengan tipe arsitektur screened subnet, seorang intruder

harus melewati dua buah router tersebut sehingga jaringan internal akan relatif lebih aman.

Pengertian Firewall, Fungsi, Jenis, Cara Kerja dan Karakteristik Pengertian Firewall

Pengertian Firewall adalah sebuah suatu sistem yang dirancang untuk mencegah akses yang tidak diinginkan dari atau ke dalam suatu jaringan internet. Untuk mencegah berbagai serangan yang tidak diinginkan, firewall bekerja dengan mengontrol baik itu melacak, mengendalikan dan memutuskan suatu perintah bahwa jaringan ini boleh lewat (pass), perlu dijatuhkan (drop), perlu ditolak (reject), melakukan enkripsi serta mencatat history atau aktivitas data.
Menurut Wikipedia Firewall atau Tembok Api adalah :

Tembok api, tembok pelindung atau dinding api (bahasa Inggris: firewall) adalah suatu sistem yang dirancang untuk mencegah akses yang tidak diinginkan dari atau ke dalam suatu jaringan internal.

Ilustrasi dari Pengertian Firewall

Firewall mengikuti petunjuk kebijakan keamanan (security policy) yang dibuat oleh sistem keamanan (Ahli IT) yang melakukan setting terhadap keamanan jaringan internet atas keluar masuknya data. Sehingga kunci dari big data sebuah perusahaan ada pada sebuah sistem keamanan tersebut. Firewall ini bisa dikatakan mutlak harus ada pada setiap komputer yang terkoneksi dengan internet. Karena hal ini diperlukan sebagai gerbang keamanan antara jaringan lokal dan jaringan luar.

Fungsi Firewall

Pada dasarnya fungsi firewall dalam jaringan berguna sebagai sistem keamanan, untuk lebih detilnya tentang fungsi firewall sebagai berikut :

• Mengontrol dan mengatur perjalanan lalu lintas paket data yang masuk ke jaringan private semisal VPN (baca: VPN Adalah).
• Autentikasi terhadap paket data yang dikirim berdasarkan sumber asalnya.
• Melakukan proteksi terhadap sumber daya yang ada di jaringan privat
• Membuat catatan history semua peristiwa serta melakukan pelaporan kepada administrator

Mengontrol dan Mengatur Arus Paket Data

Firewall berfungsi sebagai pengontrol dan pengatur arus paket data yang akan diizinkan masuk ke jaringan private dengan melakukan filtering melalui inspeksi terhadap paket data serta memantau koneksi yang dibuat dari jaringan sumber.

Melakukan Inspeksi Paket Data Masuk dan Keluar

Firewall melakukan inspeksi paket data dengan menghadang untuk menentukan apakah paket data tersebut diizinkan atau ditolak masuk atau keluar dari jaringan private berdasarkan kebijakan akses (access policy) yang dibuat administrator. Untuk melakukan inspeksi paket data, firewall melakukan verifikasi data:

• Alamat IP komputer sumber (baca: Apa itu Alamat IP?)
• Port sumber pada komputer sumber
• Alamat IP komputer tujuan
• Port tujuan data pada komputer tujuan
• Protokol IP
• Informasi header-header yang disimpan dalam paket

Autentikasi Terhadap Paket Data

Proses autentikasi oleh firewall ini dimaksudkan untuk menghindari masuknya jaringan yang tidak dikenal untuk berkomunikasi dengan jaringan private yang kita miliki. Ada beberapa mekanisme yang dilakukan firewall dalam proses autentikasi:

1. Metode autentikasi dengan menggunakan username dan password pengguna. Jika pengguna memasukkan username dan password dengan benar, maka pengguna diizinkan memasuki jaringan. Namun, jika jaringan terputus, maka pengguna harus memasukkan username dan password lagi.
2. Metode autentikasi dengan memakai sertifikat digital dan kunci publik. Metode ini lebih simpel dan lebih cepat tanpa campur tangan pengguna seperti metode pertama. Namun, metode ini memerlukan komponen yang lebih rumit seperti implementasi infrastruktur kunci publik.
3. Metode autentikasi dengan Pre-Shared Key (PSK) atau kunci yang telah diberitahukan kepada pengguna. Setiap kali pengguna akan memasuki jaringan private wajib memasukkan kata kunci atau dikenal dengan paswordnya. Hal ini lebih simpel dari kedua metode diatas, namun metode PSK ini memiliki kelemahan yakni kunci/password jarang sekali di update dan pengguna selalu memakai kunci yang sama setiap kali akan masuk ke jaringan.

Dari ketiga metode diatas, dapat disimpulkan untuk melakukan autentikasi terhadap pengguna lebih baik melakukan kombinasi dari metode 1 dan 3 atau 2 dan 3.

Memproteksi Sumber Daya Pada Jaringan Private

Firewall memiliki fungsi untuk menjaga sumber daya dari serangan atau ancaman yang mungkin datang dari host yang tidak dipercaya atau lalu lintas jaringan yang mencurigakan. Proteksi dilakukan dengan cara melakukan setting pada peraturan akses (access control), penggunaan SPI, application proxy, atau beragam kombinasi untuk mengamankan sumber daya.

Jenis Firewall

Jenis Firewall

Jenis firewall ini dibedakan menjadi 2 jenis yakni:

1. Personal Firewall dibuat untuk memproteksi komputer yang terkoneksi ke jaringan dari akses yang mencurigakan atau yang tidak dikehendaki. Fitur dari personal firewall yakni packet filter firewall dan stateful firewall. Personal firewall sekarang ini memiliki beragam fitur keamanan seperti proteksi terhadap virus, anti-spyware, anti-spam dll. Contoh produknya seperti Microsoft Windows Firewall, Symantec Norton Personal, Kerio Personal Firewall dan lain-lain.
2. Network Firewall dibuat untuk memproteksi jaringan secara keseluruhan dari berbagai ancaman dan serangan yang datang. Fitur dari network firewall meliputi fitur yang dimiliki personal firewall (packet filter firewall dan stateful firewall), circuit level gateway, application level gateway, dan NAT firewall. Network firewall ini memakai teknologi routing untuk menentukan pake data ini diizinkan atau ditolak.

Cara Kerja Firewall

Bagaimana cara kerja firewall? Secara sederhana firewall berfungsi sebagai "penghalang" antara komputer dan internet, bisa dikatakan sebagai pelindung. Firewall bekerja bukan hanya sebagai pelindung saja, namun juga mampu menganalisis jaringan yang akan masuk ke komputer anda dan melakukan tindakan yang harus dilakukan ketika jaringan telah masuk. Contohnya firewall akan melakukan blokir terhadap beberapa jaringan yang mencoba keluar dan mencatat log aktifitas arus jaringan yang dicurigai.

Cara kerja firewall berdasarkan jenisnya memiliki beberapa fungsi yang berbeda, namun tujuannya sama yakni sebagai proteksi. Untuk lebih jelasnya sebagai berikut:

Packet Filter Firewall

Cara kerja packet filter firewall

Cara kerja packet filter firewall yakni melakukan perbandingan antara alamat sumber paket data 

dengan kebijakan akses dalam access control list firewall, dalam hal ini memakai router, jadi router memiliki peranan penting apakan akan meneruskan atau memutuskan paket data yang akan masuk ke jaringan privat.

Circuit Level Gateway

Cara kerja circuit level gateway

Cara kerja circuit level gateway yakni memakai komponen dalam sebuah proxy server sehingga beroperasi di level yang lebih tinggi dalam tingkatan 7 OSI layer (baca: fungsi 7 OSI layer) daripada packet filter firewall. Paket firewall ini membuat sirkuit virtual (virtual circuit) bagi pengguna dan sumber daya dalam menjalankan aktifitasnya, sehingga alamat IP dari pengguna tidak dapat dilihat oleh pengguna luar, yang terlihat adalah alamat IP firewall.

Application Level Gateway

Cara kerja application level gateway

Cara kerja application level gateway yakni dengan melakukan autentikasi kepada pengguna sebelum mengizinkan akses menuju jaringan. Setelah diizinkan masuk jaringan, paket firewall ini memakai auditing dan pencatatan aktifitas pengguna atas kebijakan security yang diterapkan. 

Firewall Statefull

Cara kerja firewall stateful

Cara kerja firewall stateful ini bisa dibilang kompleks kombinasi dari packet filter firewall, circuit level gateway, NAT firewall, dan proxy firewall kedalam satu sistem. Firewall ini hanya tersedia pada Cisco PIX.

Selain 4 jenis firewall diatas, masih ada lagi seperti virtual firewall, transparent firewall, dan NAT firewall.

Karakteristik Firewall

Karakteristik firewall meliputi 3 hal yakni,

1. Firewall harus kebal dan relatif kuat dari berbagai serangan dengan melakukan koneksi jaringan dari host yang terpercaya dan relatif aman.
2. Seluruh aktifitas dan lalu lintas masuk dan keluar harus melewati firewall.
3. Firewall dapat dilewati oleh aktifitas atau lalu lintas yang telah terdaftar/dikenal sebelumnya dengan melakukan setting pada kebijakan akses (access policy) keamanan lokal.

Pengenalan AS

AS/400 (Application System/400) diperkenalkan oleh IBM pertama pada 20 Juni 1988. AS/400 dikenal sebagai keluarga komputer mini (mid-range) untuk sistem komputer multiuser. 

Komputer multiuser artinya suatu komputer tunggal yang bisa berinteraksi dengan lebih dari satu user pada satu saat. Pada bulan Oktober2000, IBM mengganti AS/400 menjadi IBM iSeries400. 

Sebagai suatu sistem pendukung bisnis melalui jaringan (network), komputer AS/400 dioptimalkan sesuai dengan kebutuhan lingkungan kerjanya dengan keunggulan-keunggulan sebagai berikut: 

1. Arsitektur AS/400 memungkinkan pemakai untuk dapat mengikuti perkembangan teknologi komputer baik perangkat keras maupun perangkat lunak terbaru tanpa mengganggu aplikasi yang telah ada 2. 

2. AS/400 memungkinkan pemakai untuk mengembangkan aplikasi yang diperlukan untuk membantu perkembangan usaha.

3. Pemakai biasanya mendapat kebutuhan aplikasi yang akan digunakan terlebih dahulu sebelum memilih komputer dan peralatan yang akan digunakan. Untuk mendukung kebutuhan ini AS/400 menyediakan lebih dari sepuluh ribu aplikasi bisnis di seluruh dunia yang sebagian besar adalah aplikasi yang bersifat client/server. 

AS/400 adalah sebuah komputer yang didefinisikan oleh perangkat lunak, bukan perangkat keras. Artinya jika program memerintahkan sebuah instruksi kepada mesin untuk dilaksanakan, instruksi tersebut tidak langsung diserahkan kepada mesin komputer melainkan harus melalui suatu lapisan piranti lunak yang biasa disebut lapisan microcode. 

Lapisan microcode dikenal sebagai System Licensed Internal Code atau SLIC. Teknologi ini pada tahun 1995 mengupgrade sistem prosesor AS/400 yang sebelumnya CISC (Complex Instruction Set Computing) ke 64-bit RISC (Reduced Instruction Set Computing).

Sistem Operasi OS/400 

Sistem operasi yang digunakan pada AS/400 adalah OS/400. Dalam penginstallan sistem OS/400 perlu penyesuaian model mesin yang akan digunakan. 

Pada sistem OS/400 ini telah tersedia aplikasi comprehensive, communication, database serta pengaturan object. Semua aplikasi tambahan yang akan diberikan pada AS/400 harus sesuai dengan OS/400 ini. 

Namun pembuatan sistem aplikasi tambahan ini tidak memerlukan adanya pengupgradean OS/400 tersebut. Jika ada pembaharuan sistem, maka biasanya pihak IBM yang akan memberitahukan untuk melakukan upgrade OS/400 tersebut.

Arsitektur Mesin AS/400

AS/400 selain memiliki prosesor utama juga memiliki beberapa prosesor lain misalkan prosesor untuk proses input/output. Prosesor khusus tersebut ditujukan untuk suatu peralatan masukan/keluaran (Input/Output device). Suatu mesin AS/400 jenis besar bisa memiliki lebih dari 200 prosesor.

Jika sistem prosesor utama (yang bisa terdiri lebih dari 1 processor) meminta untuk membaca atau menulis data dari atau ke suatu peralatan I/O maka permintaan tersebut diberikan kepada prosesor yang khusus menangani salah satu I/O tersebut. Sementara itu sistem prosesor utama dapat melanjutkan mengerjakan pekerjaan yang lainnya.

Disain seperti tersebut di atas (yang biasa disebut arsitektur model hirarki) membuat kinerja mesin AS/400 sangat baik untuk sistem prosedur komersial berbasis transaksi. AS/400 dirancang khusus untuk operasi bisnis dengan salah satu karakteristik utamanya adalah lebih ke arah pada masalah masukan keluaran ketimbang penghitungan (intensive computing).

Selain keunggulan dari sisi kinerka, perancangan model hierarki menjadikan AS/400 sebagai komputer yang dapat diintegrasikan dengan peralatan lain dengan mudah, sehingga ia menjadi sebuah solusi tunggal untuk tujuan pemakai yang banyak.

Prosesor untuk pengolahan proses I/O tersebut terdapat pada suatu model card khusus. Salah satu contoh card tersebut dapat berupa Integrated Netfinity Server (salah satu produk server PC dari IBM) yang berperan sebagai PC dalam sebuah I/O card AS/400, sehingga ia dapat digunakan untuk menjalankan sistem operasi seperti Windows-NT server serta aplikasi yang dapat digunakan pada sistem operasi tersebut, seperti misalkan Firewall Server.

Sistem pengelolaan data pada mesin AS/400 tidak seperti pada sistem operasi lain seperti DOS yang menyimpan data dalam bentuk directory. Pada system OS/400, data tersebut dikategorikan dalam bentuk object. Disamping object terdapat daftar pada SLIC tentang bagaimana object-object tersebut dapat digunakan. Object disimpan dalam bentuk nama dan tipenya.

Perintah atau instruksi pada OS/400 hanya dapat dilakukan pada object yang dapat diperintahkan oleh instruksi tersebut, dengan kata lain, sebuah object program tidak dapat dilakukan untuk object data dan begitu pula sebaliknya. Sehingga tidak terdapat penggunaan instruksi yang salah terhadap sebuah object.

Terdapat dua keunggulan utama pada disain berbasis object based. Pertama, sistem yang dibuat tidak bergantung (independen) pada mesin komputer yang digunakan, dengan kata lain, teknologi komputer dapat berkembang terus tanpa menggangu program aplikasi. Kedua, disain seperti ini memberikan tingkat integritas sistem yang sangat baik.

Pengaksesan Mesin AS/400 dari Remote 
System

Untuk mengakses suatu mesin AS/400 bisa digunakan teknik TELNET (aplikasi TCP/IP) ataupun dengan Client-Access400. Kekurangan dari penggunaan perintah TELNET terletak pada masalah virtual terminal, yaitu pada program emulator telnet. Kebanyakan program emulator tidak dapat memetakan keyboard PC pada umumnya pada posisi keyboard AS/400. Sedangkan jika menggunakan emulator Client-Access 400, emulator sudah disesuaikan dengan mesin AS/400. 

Network pada AS/400

Mesin AS/400 dapat diintegrasikan ke suatu jaringan komputer. Komputer yang dihubungkan bisa berada di dalam lingkungan sendiri (Intranet) maupun di luar lingkungan (extranet). 

Secara tradisional, meskipun mesin AS/400 merupakan suatu node dalam bentuk Advanced Peer-to-peer Networks (APPN) dan T2.1 node di SNA (subarea networks). Sistem jaringan ini juga mendukung model TCP/IP, IPX/SPX (Novell NetWare) dan OSI. 

Dengan demikian mesin AS/400 ini bisa dihubungkan dengan mesin lain yang memiliki dan Network protocol yang berbeda. SNA, TCP/IP dan IPX/SPX adalah bagian dari pendudukung dasar yang disediakan oleh OS/400, sedangkan OSI merupakan sistem tambahan (diluar OS/400).

Pengenalan EIGRP

Pengertian EIGRP

EIGRP (Enhanced Interior Gateway Routing Protocol) adalah routing protocol yang hanya di adopsi oleh router cisco atau sering disebut sebagai proprietary protocol pada cisco. Dimana EIGRP ini hanya bisa digunakan sesama router cisco saja. Bagaimana bila router cisco digunakan dengan router lain seperti Juniper, Hwawei, dll menggunakan EIGRP??? Seperti saya bilang diatas, EIGRP hanya bisa digunakan sesama router cisco saja. EIGRP ini sangat cocok digunakan utk midsize dan large company. Karena banyak sekali fasilitas-fasilitas yang diberikan pada protocol ini.

Hal-hal dasar yang perlu diketahui
EIGRP sering disebut juga hybrid-distance-vector routing protocol, karena EIGRP ini terdapat dua tipe routing protocol yang digunakan, yaitu:

• distance vector, dan
• link state.

Untuk tipe-tipe routing protocol akan saya tambahkan sehabis penjelasan tentang EIGRP.

EIGRP ini pengembangan dari routing protocol IGRP (distance vector), proprietary cisco juga. Perbandingan (bukan perbedaan) antar IGRP dan EIGRP di bagi menjadi beberapa kategori:

1. Compability mode,
2. Metric colocation,
3. Hop count,
4. Automatic protocol redistribution, dan
5. Route tagging

EIGRP dan IGRP dapat di kombinasikan satu sama lain karena EIGRP adalah hanya pengembangan dari IGRP.

Dalam perhitungan untuk menentukan path/jalur manakah yang tercepat/terpendek, EIGRP menggunakan algortima DUAL (Diffusing-Update Algorithm) dalam menentukannya.
EIGRP mempunyai 3 table dalam menyimpan informasi networknya:

1. Neighbor table,
2. Topology table, dan
3. Routing table

Penjelasan :
1. Neighbor table : Tabel yang paling penting dari tabel-tabel yang lainnya. di tabel ini menyimpan list tentang router-router tetangganya. Setiap ada router baru yg dipasang, address dan interface langsung dicatat di tabel ini.
2. Topology table : Tabel ini dibuat untuk memenuhi kebutuhan dari Routing table dalam 1 autonomous system (kayak sistem area di OSPF). DUAL mengambil informasi dari “neighbor tabel” dan “topology table” untuk melakukan kalkulasi “lowest cost routes to each destination”. Setelah melakukan kalkulasi akan ada yang namanya “successor route”. Successor route ini disimpan di tabel ini juga lho.
3. Routing table : menyimpan the best routes to a destination. Informasi tersebut diambil dari “topology table”

Internal Route : Route-route yang berasal dari dalam suatu autonomous system dari router-router yang menggunakan routing protocol EIGRP, yang menjadi anggota dari autonomous system adalah yang mempunyai ADN dari EIGRP yang sama dan mempunyai autonomous system yang sama juga. ADN internal route adalah 90.

External Route : Route-route yang muncul dari luar autonomous system, baik redistribution secara manual maupun secara otomatis.

Cara Kerja dari EIGRP
EIGRP akan mengirimkan hello packet utk mengetahui apakah router-router tetangganya masih hidup ataukah mati. Pengiriman hello packet tersebut bersifat simultant, dalam hello packet tersebut mempunyai hold time, bila dalam jangka waktu hold time router tetangga tidak membalas, maka router tersebut akan dianggap mati. Biasanya hold time itu 3x waktunya hello packet, hello packet defaultnya 15 second. Lalu DUAL akan meng-kalkulasi ulang untuk path-pathnya. Hello packet dikirim secara multicast ke IP Address 224.0.0.10.

Cara Menggunakan EIGRP
router(config)#router eigrp [autonomous-system-number]
router(config-router)#network [network-number]

Verifying Konfigurasi EIGRP
router#show ip eigrp neighbors 
router#show ip eigrp interface [type-number] [as-number] [details]
router#show ip eigrp topology [as-number] {[ip address] [subnet mask]}
router#show ip eigrp topologi [active | pending | zero-successors]

Keuntungan Menggunakan EIGRP
Point2 yang menguntungkan bila menggunakan routing protocol EIGRP :

•  Rapid convergence,
• Efficient use of bandwidth,
• Support for VLSM and CIDR,
• Multiple network layer support (IP, IPX, Apple Talk), dan
• Independence from routed protocols

Pengenalan BGP (Border Gateway Protocol)

• Network – Pengertian Border Gateway Protocol (BGP) merupakan salah satu jenis routing protokol yang digunakan untuk koneksi antar Autonomous System (AS), dan salah satu jenis routing protokol yang banyak digunakan di ISP besar (Telkomsel) ataupun perbankan. BGP termasuk dalam kategori routing protokol jenis Exterior Gateway Protokol (EGP).

Dengan adanya EGP, router dapat melakukan pertukaran rute dari dan ke luar jaringan lokal Auotonomous System (AS). BGP mempunyai skalabilitas yang tinggi karena dapat melayani pertukaran routing pada beberapa organisasi besar. Oleh karena itu BGP dikenal dengan routing protokol yang sangat rumit dan kompleks.

Karakteristik BGP
Menggunakan algoritma routing distance vektor.Algoritma routing distance vector secara periodik menyalin table routing dari router ke router. Perubahan table routing di update antar router yang saling berhubungan pada saat terjadi perubahan topologi.
Digunakan antara ISP dengan ISP dan client-client.
Digunakan untuk merutekan trafik internet antar autonomous system.
BGP adalah Path Vector routing protocol.Dalam proses menentukan rute-rute terbaiknya selalu mengacu kepada path yang terbaik dan terpilih yang didapatnya dari router BGP yang lainnya.
Router BGP membangun dan menjaga koneksi antar-peer menggunakan port nomor 179.
Koneksi antar-peer dijaga dengan menggunakan sinyal keepalive secara periodik.
Metrik (atribut) untuk menentukan rute terbaik sangat kompleks dan dapat dimodifikasi dengan fleksibel.
BGP memiliki routing table sendiri yang biasanya memuat prefiks-prefiks routing yang diterimanya dari router BGP lain

Mengapa BGP?
BGP memiliki kemampuan untuk mengontrol dan mengatur trafik-trafik dari sumber berbeda di dalam network multi-home (tersambung ke lebih dari 1 ISP/Internet Service Provider). Tujuan utama BGP adalah untuk memperkenalkan kepada publik di luar network (upsteram provider atau peer) tentang rute atau porsi spasi address yang dimiliki dengan “meminta izin” membawa data ke suatu spasi address tujuan (meng-advertise).
Salah satu kelemahan yang mungkin dihadapi oleh BGP routing adalah ia mempublikasikan rute yang tidak diketahui bagaimana cara mencapainya. Ini dinamakan black-holing, yaitu melakukan advertise, atau meminta izin untuk membawa data, tetapi beberapa bagian spasi address adalah milik orang lain, akibatnya proses advertise malah menyulitkan.

Internet tanpa BGP
Kemungkinan yang harus ditempuh tanpa melibatkan BGP ke provider:
Harus membuat rute default ke upstream provider, dan semua paket non-lokal diantarkan melalui interface yang ditetapkan oleh rute tersebut.
Provider akan menerapkan rute-rute statis ke network kita, dan mendistribusi ulang rute tersebut melalui IGP mereka. Dari IGP, selanjutnya bisa juga diredistribusikan ke BGP.
Dengan BGP, provider akan memberi kita semua rute yang mereka miliki, dan berusaha “mendengarkan” setiap announcement rute-rute yang kita miliki untuk kemudian meredistribusikannya ke peer-peer atau customer tujuan.

Hubungan BGP Neighbor
Arisitektur Internet sebenarnya tersusun atas AS-AS yang saling terkoneksi. Router yang berkomunikasi langsung melalui BGP dikenal sebagai BGP speaker. Beberapa BGP speaker dapat ditempatkan pada AS yang sama atau AS yang berbeda. Dalam masing-masing AS ini, BGP speaker berkomunikasi satu sama lain untuk melakukan pertukaran informasi reachabilitas network berdasarkan set-set policy yang dibangun dalam AS-AS.

Beberapa versi BGP

BGP versi 1

• Ukuran message 8 – 1024 byte.
• Terdapat 8 bit field Direction yang menandkan arah yang diambil oleh informasi routing.
• Lima kemungkinan field Direction: Up, Down, Horizontal, EGP-derived information, Incomplete

BGP versi 2

• Ukuran message 19 – 4096 byte.
• Menghilangkan konsep up, down, dan horizontal di antara AS-AS
• Menambahkan konsep path-attribute.

BGP versi 3

• Ukuran message 19 – 4096 byte
• Mengklarifikasi prosedur pendistribusian rute-rute BGP di antara speaker-speaker dalam sebuah AS.
• Meningkatkan restriksi terhadap penggunaan path attribute Next-hop

BGP versi 4

• Ukuran message 19 – 4096 byte.
• Path atribute AS telah dimodifikasi sehingga set AS-AS dapat digambarkan sebagaimana AS individual.
• Inter-AS Metric path attribute telah didefinisikan ulang sebagai Multi-Exit Discriminator path attribute.
• Local preference path attribute ditambahkan.
• Aggregator path attribute ditambahkan.
• Dukungan untuk CIDR (Classless Inter Domain Routing)

Ringkasan Operasi BGP
Saat sebuah router BGP baru dibangun, peer-peer BGP dengan sendirinya melakukan pertukaran tabel routing yang mereka miliki, setelah itu peer-peer mengirim notifikasi atau pemberitauan berkaitan dengan perubahan yang terjadi pada tabel routing. Update message memberi informasi peer BGP hanya untuk satu path. Bila perubahan yang timbul mempengaruhi banyak path, maka multiupdate, message perlu dikirim.
Setelah BGP menghimpun update-update routingnya dari beragam AS, protokol akan membuat keputusan untuk mengambil path spesifik untuk masing-masing rute tujuan. Biasanya hanya satu path yang dibutuhkan untuk mencapai satu tujuan. BGP menggunakan atribut path (path attribute) yang dilepas kepadanya melalui update message agar bisa menentukan satu path terbaik bagi setiap tujuan.

Ada dua bentuk sistem koneksi transport protocol yang penting dimengerti. Mereka saling bertukar pesan (message) untuk membuka dan mengkonfirmasi parameter-parameter koneksi. Alur data awal yang dihasilkan tidak lain berupa keseluruhan tabel routing BGP, yang selanjutnya beberapa update penambahan dikirim sebagai perubahan pada tabel routing. BGP dalam hal ini tidak menuntut refresh secara periodik atas keseluruhan tabel routing. Oleh karena itu, BGP speaker harus memelihara versi terkini keseluruhan tabel routing BGP dari semua peer-nya selama durasi koneksi tertentu.

Pesan KeepAlive dikirim secara periodik untuk memastikan kelancaran koneksi. Pesan Notification dikirim untuk merespon adanya error atau kondisi-kondisi khusus yang terjadi. Jika sebuah koneksi menemukan sebuah error, pesan Notification segera dikirim dan koneksi pun ditutup.

Perangkat Hardware & Software untuk Komunikasi BGP
Perlengkapan yang dibutuhkan adalah router komersial seperti Cisco router dan Bay router atau klon-klon PC yang menjalankan Linux, BSD, atau varian Unix lainnya dibantu dengan program yang dinamakan gated untuk memanage BGP.

eBGP vs iBGP
BGP mensupport dua tipe pertukaran informasi routing:

Pertukaran di antara AS-AS yang berbeda (external BGP atau eBGP)
Pertukaran dalam satu AS tunggal (internal BGP atau iBGP)
Sebuah sistem BGP berbagi informasi reachabilitas network dengan sistem-sitem BGP berdekatan lainnya yang dikenal dengan neighbor atau peer. Sistem BGP tersusun atas grup-grup (groups). Dalam sebuah grup BGP internal, semua peer anggota grup (internal peer) berada dalam AS yang sama. Grup internal menggunakan rute-rute dari IGP untuk memutuskan penyampaian atau forwarding address-adress. Mereka juga menyebarkan rute-rute eksternal di antara router-router internal lain yang menjalankan BGP internal, menghitung next hop dengan mengambil hop BGP yang diterima dengan rute, lalu memutuskannya menggunakan informasi yang diperoleh dari salah satu IGP.
eBGP dan iBGP saling berbagi protokol level dasar yang sama untuk bertukar rute dan juga berbagi algoritma. Namun eBGP digunakan untuk bertukar rute di antara AS yang berbeda, sedang iBGP digunakan untuk bertukar rute di antara AS yang sama. Dalam faktanya, iBGP termasuk salah satu “interior routing protocol” yang dapat digunakan untuk melakukan routing aktif dalam sebuah network.

Perbedaan utama eBGP dan iBGP adalah bahwa eBGP tidak bosan-bosannya mencoba meng-advertise setiap rute BGP yang diketahui ke semua orang sehingga mungkin harus digunakan filter untuk menghentikannya. Sedang iBGP pada dasarnya cukup sulit bekerja karena iBGP tidak meredistribusi rute-rute. Speaker iBGP dalam lingkungan network harus melakukan peer dengan semua speaker iBGP lain untuk membuatnya dapat bekerja (routing mesh).

AS Number (ASN)
ASN merupakan nomor unik yang mengidentifikasikan AS-AS. Nomor ini diatur oleh ARIN (Autonomous Number from The American Registry for Internet Numbers).
Kondisi yang harus dipenuhi untuk mendapatkan nomor AS:
Unique Routing Policy
Multi-homed Site

AS-Path
Setiap kali sebuah rute disebarkan melalui BGP, ia akan diberi ‘perangko’ dengan sebuah nomor AS (AS number) dari router yang menyelenggarakannya. Rute ini bergerak dari satu AS ke AS lain sehingga membentuk sebuah alur atau path (AS-Path)
Kegunaan AS-Path:

Memberikan penelusuran diagnostik terhadap routing dalam sebuah network.
Merupakan salah satu nomor metric yang menetapkan bagimana rute-rute yang “didengar” melalui BGP dimasukkan ke dalam tabel routing IP.
Memungkinkan untuk melakukan routing policy, misalkan ketika kita ingin mengambil rute tertentu.
BGP Message

Open: untuk membuat koneksi BGP di antara 2 sistem BGP
Update: untuk melakukan pertukaran informasi reachabilitas network.
KeepAlive: untuk menetapkan apakah sebuah link atau host fail atau tidak lagi eksis.
Notification: dikirim ketika kondisi error terdeteksi; menyebabkan sesi BGP dan koneksi TCP di antara sistem-sistem BGP akan ditutup.