Senin, 19 Juli 2010

Network Address Translation

Untuk bisa terhubung dengan suatu jaringan setiap device harus mempunyai alamat IP sebagai identitasnya. Secara matematis IPV4 yang banyak digunakan saat ini bisa menyediakan 2^32 atau sekitar 4,294,967,296 host. Pada saat awal internet muncul tentu jumlah IP tersebut dirasa sudah sangat mencukupi, akan tetapi pada perkembangannya ternyata IP tersebut tidak mencukupi lagi. Saat ini memang sudah ada IPV6 yang bisa menyediakan sebanyak 2^128 alamat IP.tetapi untuk implementasinya dibutuhkan perubahan hampir di seluruh infrastruktur internet. Salah satu cara untuk mengatasi masalah keterbatasan IP ini adalah dengan NAT. Sebenanya apa yang di maksud dengan NAT? Pada artikel ini akan dibahas tentang Network Address Translation (NAT) dan implementasinya pada Router Cisco dengan PacketTracer 4.11
Pengertian
Pada dasarnya NAT menerjemahkan atau memetakan alamat internal (LAN) dalam suatu jaringan ke alamat eksternal atau didalam internet dikenal dengan IP publik. Dengan menggunakan NAT suatu jaringan internal hanya butuh 1 IP publik untuk terhubung ke jaringan internet. Selain untuk mengatasi masalah keterbatasan IP, NAT juga bisa berguna untuk security. Apa hubungan NAT dengan security? Dengan NAT alamat yang dikenal oleh jaringan luar adalah alamat NAT bukan alamat device user jadi device kita tidak akan diketahui oleh jaringan luar. Pada artikel ini akan dibahas 3 jenis NAT yaitu static NAT, dynamic NAT, dynamic NAT overload.
STATIC NAT
Sesuai namanya static NAT akan memetakan satu alamat jaringan lokal ke satu alamat jaringan global. Untuk kondisi dimana suatu jaringan lokal ingin terhubung ke jaringan internet konfigurasi static NAT membutuhkan Ip publik sebanyak jumlah ip lokal yang diijinkan untuk akses internet.konfigurasi ini bisa digunakan jika suatu perusahaan hanya mengijinkan 1 ip lokal saja misal admin jaringan untuk konek ke internet. Untuk simulasi statik NAT akan dilakukan 2 simulasi. Pertama simulasi untuk melihat proses NAT dari jaringan lokal ke global, yang kedua simulasi statik NAT untuk memetakan 1 alamat lokal ke 1 alamat global dengan tujuan hanya mengijinkan 1 IP lokal yang bisa akses ke global internet.
1. Simulasi pertama

Keterangan
PC-PT PC5 : representasi jaringan lokal
PC-PT PC4 : representasi jaringan global
Pertama siapkan interface dengan ip address nya. Dalam simulasi ini Fa0/0 sebagai interface ke arah jaringan lokal dan Fa0/1 sebagai interface ke arah jaringan global dengan konfigurasi sebagai berikut
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128
ip nat inside  menandakan interface ini sbagai interface lokal
interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0
ip nat outside  menandakan interface ini sebagai interface global

setelah interface di seting kita tentukan ip dari sisi jaringan lokal yang akan kita petakan ke jaringan global. dalam simulasi kita akan memetakan alamat 10.11.1.131 ke alamat 11.22.33.3 command yang kita gunakan adalah sebagai berikut

Router(config)#ip nat inside source static 10.11.1.131 11.22.33.3

Dengan command ini router akan menerjemahkan setiap trafik dari 10.11.1.131 menjadi alamat 11.22.33.2, jadi di jaringan global alamat 10.11.1.131 akan dikenal sebagai 11.22.33.3

Untuk memastikan NAT sudah berjalan kita bisa ketik command berikut

Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 11.22.33.3 10.11.1.131 --- ---
Hasilnya tampak bahwa IP dari local inside 10.11.1.131 di petakan ke global inside 11.22.33.3
Untuk membuktikan kita bisa ping dari sisi global ke arah ip 10.11.1.131
PC>ping 10.11.1.131

Pinging 10.11.1.131 with 32 bytes of data:

Reply from 11.22.33.3: bytes=32 time=18ms TTL=127
Reply from 11.22.33.3: bytes=32 time=12ms TTL=127
Reply from 11.22.33.3: bytes=32 time=10ms TTL=127
Reply from 11.22.33.3: bytes=32 time=12ms TTL=127

Ping statistics for 10.11.1.131:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 18ms, Average = 13ms

Hasil diatas terlihat bahwa walaupun kita ping ip 10.11.1.131 yang mereply adalah ip hasil NAT 11.22.33.3
Selain ping kita bisa juga gunakan command tracert untuk melihat hasilnya
PC>tracert 10.11.1.131

Tracing route to 10.11.1.131 over a maximum of 30 hops:

1 5 ms 3 ms 4 ms 11.22.33.1
2 15 ms 15 ms 13 ms 11.22.33.3

Trace complete.
Hasil trace complete dan yang muncul adalah ip 11.22.33.3

2. Simulasi kedua


Keterangan
Router1 : Router ISP
Router0 : Router Customer
PC0 : PC karyawan
PC1 : PC Network Administrator

Sekenario untuk simulasi ini customer hanya dapat 2 IP publik dari Internet Service Provider. Di sisi customer ada kebijakan hanya Network administrator yang dapat konek ke internet. Router ISP hanya hanya mengenal IP publik yang sudah terdaftar di global internet. Berikut konfigurasi di setiap perangkat.

Router1
interface FastEthernet0/0
ip address 11.22.33.4 255.255.255.0  IP WAN untuk koneksi ke router customer
duplex auto
speed auto

ip route 202.134.0.0 255.255.255.252 11.22.33.1  IP publik yang dialokasikan untuk cust

Router0
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128  koneksi ke LAN customer
ip nat inside

interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0  koneksi ke router ISP
ip nat outside
duplex auto
speed auto
ip nat inside source static 10.11.1.131 202.134.0.2  NAT untuk IP PC Network Admin
ip route 0.0.0.0 0.0.0.0 11.22.33.4  default route ke arah ISP

PC0
IP Address......................: 10.11.1.132
Subnet Mask.....................: 255.255.255.128
Default Gateway.................: 10.11.1.129

PC1
IP Address......................: 10.11.1.131
Subnet Mask.....................: 255.255.255.128
Default Gateway.................: 10.11.1.129

Hasil simulasi ini adalah PC1 bisa akses ke Router1 dengan sedangkan dari PC0 tidak bisa akses ke Router1, dari jaringan global pun tidak bisa akses ke PC1 kecuali lewat IP publik hasil NAT.

==Ping dari PC0 ke IP WAN ISP==
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 11.22.33.4:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

==Ping dari PC1 ke IP WAN ISP==
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Reply from 11.22.33.4: bytes=32 time=14ms TTL=254
Reply from 11.22.33.4: bytes=32 time=12ms TTL=254
Reply from 11.22.33.4: bytes=32 time=8ms TTL=254
Reply from 11.22.33.4: bytes=32 time=13ms TTL=254
Ping statistics for 11.22.33.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

==Ping dari Router1 ke IP PC Network Admin==
Router#ping 10.11.1.131
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.11.1.131, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

==Ping dari router1 ke IP publik Cust==
Router#ping 202.134.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.134.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/13 ms
Dari hasil simulasi ini dapat dilihat bahwa NAT juga berperan dalam security, dengan NAT IP lokal bisa akses ke global tapi IP lokal tidak bisa diakses dari global. dan ini berlaku juga untuk bentuk NAT yang lain. Bisa kita lihat nanti pada pembahasan selanjutnya.

Dynamic NAT
Berbeda dengan static NAT dynamic memetakan alamat lokal ke alamat global secara dinamis berdasarkan IP pool yang di daftarkan di router. Tetapi hampir sama dengan static NAT jumlah IP yang bisa di petakan tergantung segment IP yang di daftarkan di IP pool. IP pool disini adalah segment IP public yang dialokasikan oleh ISP untuk cust. Jika cust mendapat alokasi segment IP publik /30 berarti hanya 2 pc saja yang bisa konek ke internet.berbeda dengan Static NAT yang sudah di tentukan terlebih dahulu IP lokal yang akan di translate, pada dynamic NAT setiap PC client akan berlomba mendapat IP publik. Jika 2 PC sudah dapat IP NAT maka PC ketiga tidak akan bisa konek ke internet. Lalu apakah PC ketiga akan selalu tidak dapat koneksi ke internet? Jawabannya tentu tidak karena jika ip NAT translation sesion di router di clear dan PC ketiga konek telebih dahulu maka PC tersebut dapat konek ke internet. Untuk lebih jelas kita akan mencoba simulasi dynamic NAT. Topologi yang digunakan pada simulasi ini sama dengan topologi pada simulasi static NAT yang kedua hanya saja di tambah 1 PC client lagi untuk melihat bagaimana proses dynamic NAT bekerja. Kenapa ditambah 1 PC?karena pada simulasi ini alokasi publik hanya 2 IP publik yaitu 202.134.0.0/30

Router1 tetap bertindak sebagai ISP router dengan konfigurasi sama dengan simulasi sebelumnya. Yang berubah adalah konfigurasi di router cust(Router0).
Router0
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128
ip nat inside

interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0
ip nat outside
duplex auto
speed auto

ip nat pool Astinet 202.134.0.1 202.134.0.2 netmask 255.255.255.252 Alokasi IP publik
ip nat inside source list 1 pool Astinet  NAT berdasarkan ip pool diatas
ip route 0.0.0.0 0.0.0.0 11.22.33.4
access-list 1 permit any  definisi source list dari command sebelumnya

berikut adalah hasil simulasi dengan konfigurasi diatas
ping dari PC0 ke IP WAN router ISP
PC>ping 11.22.33.4

Pinging 11.22.33.4 with 32 bytes of data:

Reply from 11.22.33.4: bytes=32 time=14ms TTL=254
Reply from 11.22.33.4: bytes=32 time=11ms TTL=254

Ping dari PC1 ke IP WAN router ISP
PC>ping 11.22.33.4

Pinging 11.22.33.4 with 32 bytes of data:

Request timed out.
Request timed out.

Ping dari PC2 ke IP WAN router ISP
PC>ping 11.22.33.4

Pinging 11.22.33.4 with 32 bytes of data:

Reply from 11.22.33.4: bytes=32 time=16ms TTL=254
Reply from 11.22.33.4: bytes=32 time=13ms TTL=254

Proses translasi yang terjadi di Router0
Router#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
--- 202.134.0.2 10.11.1.132 --- ---
--- 202.134.0.1 10.11.1.133 --- ---

Dari translasi di Router0 dapat dilihat kenapa PC1 tidak dapat ping ke IP WAN Router1. Hal ini disebabkan karena PC1 menjadi PC terakhir yang akses.lalu bagaimana jika PC1 ingin dapat akses?Network administrator harus clear dulu proses translasi di Router0. Caranya seperti ini
Router#clear ip nat translation *
Sekarang kita coba lagi ping dari PC 1
PC>ping 11.22.33.4

Pinging 11.22.33.4 with 32 bytes of data:

Reply from 11.22.33.4: bytes=32 time=13ms TTL=254
Reply from 11.22.33.4: bytes=32 time=11ms TTL=254




Dynamic NAT Overload
Berbeda dengan Dynamic NAT yang hanya memetakan berdasarkan ip pool yang di daftarkan dynamic NAT overload juga memetakan berdasarkan port karena itu di sebut juga PAT (Port Address Translation). Port di assign oleh router secara otomatis.Dengan NAT overload ini customer hanya butuh 1 ip publik untuk bisa konek ke internet.untuk simulasinya tetap mengunakan topologi yang sama jadi tidak akan ditampilkan kembali.disini akan di tampilkan konfigurasi NAT overload di Router0 saja. Untuk konfigurasi IP di interface Router0 tidak ada perubahan

Untuk kofigurasi overload hanya menambahkan kata overload pada command untuk definisi NAT di Router0. Berikut commandnya
Router(config)#ip nat inside source list 1 pool Astinet overload

Untuk konfigurasi lain sama persis dengan dynamic NAT
Untuk melihat proses translasi seperti biasa kita masukan command berikut

Router#sh ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 202.134.0.2:14 10.11.1.132:14 11.22.33.4:14 11.22.33.4:14
icmp 202.134.0.2:15 10.11.1.132:15 11.22.33.4:15 11.22.33.4:15
icmp 202.134.0.2:16 10.11.1.132:16 11.22.33.4:16 11.22.33.4:16
icmp 202.134.0.2:17 10.11.1.132:17 11.22.33.4:17 11.22.33.4:17
icmp 202.134.0.2:10 10.11.1.133:10 11.22.33.4:10 11.22.33.4:10
icmp 202.134.0.2:11 10.11.1.133:11 11.22.33.4:11 11.22.33.4:11
icmp 202.134.0.2:12 10.11.1.133:12 11.22.33.4:12 11.22.33.4:12
icmp 202.134.0.2:13 10.11.1.133:13 11.22.33.4:13 11.22.33.4:13
--- 202.134.0.1 10.11.1.131 --- ---

Dapat dilihat IP lokal 10.11.1.132 dan 10.11.1.133 di translasikan ke IP yang sama yaitu 202.134.0.2 hanya saja dibedakan dari portnya.

Kesimpulan
Dynamic NAT overload paling efisien dibanding yang lain jika dilihat dari kebutuhan IP publik untuk akses ke internet.Tapi jika dilihat dari penggunaan resource router tentu dynamic NAT tidak efisien karena semua proses translasi untuk tiap protokol di catat oleh router. Semuanya tentu kita kembalikan pada kebutuhan kita dalam mendisain suatu jaringan.
Diposting oleh di 3 komentar:

Selasa, 11 Mei 2010

HUB VS Switch

Di dalam jaringan local atau Local Area Network kita mengenal beberapa topologi jaringan seperti star, mesh, dll. Dalam jaringan tersebut satu computer akan terhubung ke computer yang lainnya. Tentunya untuk bisa menghubungkan setiap computer yg tergabung dalam jaringan local kita butuh perangkat untuk menghubungkannya, nah udah pada tau kan perangkatnya? Yups bener banget kita bisa gunakan Hub atau Switch. Secara umum fungsi kedua alat ini bisa dikatakan sama jika dilihat dari fungsinya sebagai penghubung jaringan. Terus mana yang akan di pilih jika kita ingin membangun suatu jaringan computer? Silahkan akses ke google dan masukan kata kuncinya hehehe….kalo yg males googling baca aja cerita di bawah ini yang ane kutip dari beberapa sumber ( maklum bisanya Cuma nyontek xixixi….)

HUB
Kalo diliat dari layer tcpip Hub itu bekerja di layer 1 (physical layer), jadi hub tidak pernah mengidentifikasikan asal dan tujuannya. Pokoknya begitu ada aliran data di 1 port hub dia akan langsung meneruskan ke semua port nya secara broadcast gak perduli mau port itu butuh apa gak informasi tsb pokoknya lanjutkan !! xixixi…karena sifatnya yang broadcast itu security di hub menjadi sangat rentan sekali karena untuk tau data yg sedang lewat di hub cukup koneksikan saja perangkat ke sembarang port hub tsb terus jalankan aplikasi untuk sniffing atau spoofing dapet deh informasinya.
Secara bandwidth hub juga tidak efisien karena smua port di hub berada dalam 1 collision domain. eh udah tau kan maksudnya collision domain? terjemahan bebasnya si wilayah tabrakan informasi hehehe.. jadi jika port A akan kirim ke port B dan pada saat yg bersamaan port C akan kirim ke port D maka data tersebut pasti akan bertabrakan walopun maksud si A maunya si kirim ke B gara2 jalannya cuman 1 tabrakan deh jadinya. Sifat Hub juga half duplex jadi untuk bertukar informasi harus gentian gak bisa barengan kirim informasi. Ada si metode seperti CSMA/CD yang di support oleh LAN card yang berfungsi mendelay transmit data jika ada collision yang terjadi tapi tetap saja transfer data jadi lebih lemot hehe…
Terus ngapain kita pake Hub kalo kebanyakan kelemahannya disbanding kelebihannya? Pertimbangannya tentu harus diliat dai jaringan yg akan kita bangun. Kalo Cuma jaringan LAN yang menghubungkan beberapa PC saja cukup gunakan Hub karena secara ekonomis lebih murah. Tapi untuk jaringan lebih besar baru kita mikir2 lagi buat pake Hub CMIIW

SWITCH
Berbeda dengan hub, switch bekerja pada layer 2 (data link layer). Jadi dalam meneruskan frame switch akan mengecek data mac address asal dan tujuannya. Selain itu switch punya collision domain yang berbeda untuk setiap portnya.singkatnya switch ini lebih pinter dikit dari hub lah hehehe….bandwidth juga lebih efisien karena collision domain per port, jadi komunikasi antar port tidak akan saling mengganggu.
Dalam bekerja Switch punya beberapa proses yang harus dilakukan sebelum meneruskan frame ke tujuannya. Berikut proses yang ane tau 
1. Listening
Pada tahap ini switch selalu listening atau mengecek setiap portnya, begitu ada yang terkonek ke port switch maka switch akan bekomunikasi dengan perangkat. Yang akan di cek adalah data mac address dari perangkat yang terhubung ke switch.
2. Learning
Begitu ada perangkat yang konek ke salah satu port, switch akan mencatat mac address perangkat itu ke dalam mac-table switch. Proses pencatatan ini yg di sebut learning.
3. Flooding
Ketika suatu perangkat konek ke switch mac address akan di catat oleh switch begitu ada perangkat dari salah satu port mau kirim ke port lain switch akan cek mac address tujuan ada gak di mac-table. Kalo tidak ada maka data tersebut akan di flooding/broadcast ke semua port yang aktif kecuali port asalnya
4. Forwarding
Pada proses ini ketika mac address tujuan ada di mac-table maka data akan langsung di forward ke port tujuan
5. Filtering
Switch akan membuang frame kalau mac address asal dan tujuan ada di port yang sama

Kalau dilihat dari prosesnya tidak heran kalo kita baru konek ke switch tidak bisa langsung kirim data karena switch nya lagi kenalan dulu sama perangkat yg baru konek itu 
Kalau dengan fitur standar nya sebagai penghubung dalam jaringan terlihat switch tidak jauh beda dengan hub. Switch juga punya kelemahan, yaitu broadcastnya yang ke semua port kalau mac address tujuan tidak ada di mac-table walopun sebenernya tujuannya tidak ke semua port. Untuk mengatasi masalah broadcast ini kita bisa gunakan VLAN berbeda untuk tiap port, jadi antar port bisa berkomunikasi kalau VLAN nya sama. Masalahnya dengan VLAN ini kalau port dengan VLAN berbeda tidak bisa saling berkomunikasi. Untuk bisa berkomunikasi harus di lewatkan router dulu atau bisa juga menggunakan layer 3 switch yang support routing antar vlan.nah fitur2 di layer 3 switch ini banyak sekali mulai dari routing antar vlan, security port, trunking vlan, dan masih banyak yang lainnya.
Demikian sekilas tentang switch dan hub kalo masih ada yg belum jelas berarti normal karena emang penjelasan diatas jauh dari jelas hehehe….untuk lebih jelas kayanya emang gak boleh males nanya2 sama mbah google 
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)