Pengertian
Pada dasarnya NAT menerjemahkan atau memetakan alamat internal (LAN) dalam suatu jaringan ke alamat eksternal atau didalam internet dikenal dengan IP publik. Dengan menggunakan NAT suatu jaringan internal hanya butuh 1 IP publik untuk terhubung ke jaringan internet. Selain untuk mengatasi masalah keterbatasan IP, NAT juga bisa berguna untuk security. Apa hubungan NAT dengan security? Dengan NAT alamat yang dikenal oleh jaringan luar adalah alamat NAT bukan alamat device user jadi device kita tidak akan diketahui oleh jaringan luar. Pada artikel ini akan dibahas 3 jenis NAT yaitu static NAT, dynamic NAT, dynamic NAT overload.
STATIC NAT
Sesuai namanya static NAT akan memetakan satu alamat jaringan lokal ke satu alamat jaringan global. Untuk kondisi dimana suatu jaringan lokal ingin terhubung ke jaringan internet konfigurasi static NAT membutuhkan Ip publik sebanyak jumlah ip lokal yang diijinkan untuk akses internet.konfigurasi ini bisa digunakan jika suatu perusahaan hanya mengijinkan 1 ip lokal saja misal admin jaringan untuk konek ke internet. Untuk simulasi statik NAT akan dilakukan 2 simulasi. Pertama simulasi untuk melihat proses NAT dari jaringan lokal ke global, yang kedua simulasi statik NAT untuk memetakan 1 alamat lokal ke 1 alamat global dengan tujuan hanya mengijinkan 1 IP lokal yang bisa akses ke global internet.
1. Simulasi pertama
Keterangan
PC-PT PC5 : representasi jaringan lokal
PC-PT PC4 : representasi jaringan global
Pertama siapkan interface dengan ip address nya. Dalam simulasi ini Fa0/0 sebagai interface ke arah jaringan lokal dan Fa0/1 sebagai interface ke arah jaringan global dengan konfigurasi sebagai berikut
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128
ip nat inside menandakan interface ini sbagai interface lokal
interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0
ip nat outside menandakan interface ini sebagai interface global
setelah interface di seting kita tentukan ip dari sisi jaringan lokal yang akan kita petakan ke jaringan global. dalam simulasi kita akan memetakan alamat 10.11.1.131 ke alamat 11.22.33.3 command yang kita gunakan adalah sebagai berikut
Router(config)#ip nat inside source static 10.11.1.131 11.22.33.3
Dengan command ini router akan menerjemahkan setiap trafik dari 10.11.1.131 menjadi alamat 11.22.33.2, jadi di jaringan global alamat 10.11.1.131 akan dikenal sebagai 11.22.33.3
Untuk memastikan NAT sudah berjalan kita bisa ketik command berikut
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 11.22.33.3 10.11.1.131 --- ---
Hasilnya tampak bahwa IP dari local inside 10.11.1.131 di petakan ke global inside 11.22.33.3
Untuk membuktikan kita bisa ping dari sisi global ke arah ip 10.11.1.131
PC>ping 10.11.1.131
Pinging 10.11.1.131 with 32 bytes of data:
Reply from 11.22.33.3: bytes=32 time=18ms TTL=127
Reply from 11.22.33.3: bytes=32 time=12ms TTL=127
Reply from 11.22.33.3: bytes=32 time=10ms TTL=127
Reply from 11.22.33.3: bytes=32 time=12ms TTL=127
Ping statistics for 10.11.1.131:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 18ms, Average = 13ms
Hasil diatas terlihat bahwa walaupun kita ping ip 10.11.1.131 yang mereply adalah ip hasil NAT 11.22.33.3
Selain ping kita bisa juga gunakan command tracert untuk melihat hasilnya
PC>tracert 10.11.1.131
Tracing route to 10.11.1.131 over a maximum of 30 hops:
1 5 ms 3 ms 4 ms 11.22.33.1
2 15 ms 15 ms 13 ms 11.22.33.3
Trace complete.
Hasil trace complete dan yang muncul adalah ip 11.22.33.3
2. Simulasi kedua
Keterangan
Router1 : Router ISP
Router0 : Router Customer
PC0 : PC karyawan
PC1 : PC Network Administrator
Sekenario untuk simulasi ini customer hanya dapat 2 IP publik dari Internet Service Provider. Di sisi customer ada kebijakan hanya Network administrator yang dapat konek ke internet. Router ISP hanya hanya mengenal IP publik yang sudah terdaftar di global internet. Berikut konfigurasi di setiap perangkat.
Router1
interface FastEthernet0/0
ip address 11.22.33.4 255.255.255.0 IP WAN untuk koneksi ke router customer
duplex auto
speed auto
ip route 202.134.0.0 255.255.255.252 11.22.33.1 IP publik yang dialokasikan untuk cust
Router0
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128 koneksi ke LAN customer
ip nat inside
interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0 koneksi ke router ISP
ip nat outside
duplex auto
speed auto
ip nat inside source static 10.11.1.131 202.134.0.2 NAT untuk IP PC Network Admin
ip route 0.0.0.0 0.0.0.0 11.22.33.4 default route ke arah ISP
PC0
IP Address......................: 10.11.1.132
Subnet Mask.....................: 255.255.255.128
Default Gateway.................: 10.11.1.129
PC1
IP Address......................: 10.11.1.131
Subnet Mask.....................: 255.255.255.128
Default Gateway.................: 10.11.1.129
Hasil simulasi ini adalah PC1 bisa akses ke Router1 dengan sedangkan dari PC0 tidak bisa akses ke Router1, dari jaringan global pun tidak bisa akses ke PC1 kecuali lewat IP publik hasil NAT.
==Ping dari PC0 ke IP WAN ISP==
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 11.22.33.4:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
==Ping dari PC1 ke IP WAN ISP==
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Reply from 11.22.33.4: bytes=32 time=14ms TTL=254
Reply from 11.22.33.4: bytes=32 time=12ms TTL=254
Reply from 11.22.33.4: bytes=32 time=8ms TTL=254
Reply from 11.22.33.4: bytes=32 time=13ms TTL=254
Ping statistics for 11.22.33.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
==Ping dari Router1 ke IP PC Network Admin==
Router#ping 10.11.1.131
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.11.1.131, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
==Ping dari router1 ke IP publik Cust==
Router#ping 202.134.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.134.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/13 ms
Dari hasil simulasi ini dapat dilihat bahwa NAT juga berperan dalam security, dengan NAT IP lokal bisa akses ke global tapi IP lokal tidak bisa diakses dari global. dan ini berlaku juga untuk bentuk NAT yang lain. Bisa kita lihat nanti pada pembahasan selanjutnya.
Dynamic NAT
Berbeda dengan static NAT dynamic memetakan alamat lokal ke alamat global secara dinamis berdasarkan IP pool yang di daftarkan di router. Tetapi hampir sama dengan static NAT jumlah IP yang bisa di petakan tergantung segment IP yang di daftarkan di IP pool. IP pool disini adalah segment IP public yang dialokasikan oleh ISP untuk cust. Jika cust mendapat alokasi segment IP publik /30 berarti hanya 2 pc saja yang bisa konek ke internet.berbeda dengan Static NAT yang sudah di tentukan terlebih dahulu IP lokal yang akan di translate, pada dynamic NAT setiap PC client akan berlomba mendapat IP publik. Jika 2 PC sudah dapat IP NAT maka PC ketiga tidak akan bisa konek ke internet. Lalu apakah PC ketiga akan selalu tidak dapat koneksi ke internet? Jawabannya tentu tidak karena jika ip NAT translation sesion di router di clear dan PC ketiga konek telebih dahulu maka PC tersebut dapat konek ke internet. Untuk lebih jelas kita akan mencoba simulasi dynamic NAT. Topologi yang digunakan pada simulasi ini sama dengan topologi pada simulasi static NAT yang kedua hanya saja di tambah 1 PC client lagi untuk melihat bagaimana proses dynamic NAT bekerja. Kenapa ditambah 1 PC?karena pada simulasi ini alokasi publik hanya 2 IP publik yaitu 202.134.0.0/30
Router1 tetap bertindak sebagai ISP router dengan konfigurasi sama dengan simulasi sebelumnya. Yang berubah adalah konfigurasi di router cust(Router0).
Router0
interface FastEthernet0/0.10
description intranet
encapsulation dot1Q 10
ip address 10.11.1.129 255.255.255.128
ip nat inside
interface FastEthernet0/1
ip address 11.22.33.1 255.255.255.0
ip nat outside
duplex auto
speed auto
ip nat pool Astinet 202.134.0.1 202.134.0.2 netmask 255.255.255.252 Alokasi IP publik
ip nat inside source list 1 pool Astinet NAT berdasarkan ip pool diatas
ip route 0.0.0.0 0.0.0.0 11.22.33.4
access-list 1 permit any definisi source list dari command sebelumnya
berikut adalah hasil simulasi dengan konfigurasi diatas
ping dari PC0 ke IP WAN router ISP
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Reply from 11.22.33.4: bytes=32 time=14ms TTL=254
Reply from 11.22.33.4: bytes=32 time=11ms TTL=254
Ping dari PC1 ke IP WAN router ISP
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Request timed out.
Request timed out.
Ping dari PC2 ke IP WAN router ISP
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Reply from 11.22.33.4: bytes=32 time=16ms TTL=254
Reply from 11.22.33.4: bytes=32 time=13ms TTL=254
Proses translasi yang terjadi di Router0
Router#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
--- 202.134.0.2 10.11.1.132 --- ---
--- 202.134.0.1 10.11.1.133 --- ---
Dari translasi di Router0 dapat dilihat kenapa PC1 tidak dapat ping ke IP WAN Router1. Hal ini disebabkan karena PC1 menjadi PC terakhir yang akses.lalu bagaimana jika PC1 ingin dapat akses?Network administrator harus clear dulu proses translasi di Router0. Caranya seperti ini
Router#clear ip nat translation *
Sekarang kita coba lagi ping dari PC 1
PC>ping 11.22.33.4
Pinging 11.22.33.4 with 32 bytes of data:
Reply from 11.22.33.4: bytes=32 time=13ms TTL=254
Reply from 11.22.33.4: bytes=32 time=11ms TTL=254
Dynamic NAT Overload
Berbeda dengan Dynamic NAT yang hanya memetakan berdasarkan ip pool yang di daftarkan dynamic NAT overload juga memetakan berdasarkan port karena itu di sebut juga PAT (Port Address Translation). Port di assign oleh router secara otomatis.Dengan NAT overload ini customer hanya butuh 1 ip publik untuk bisa konek ke internet.untuk simulasinya tetap mengunakan topologi yang sama jadi tidak akan ditampilkan kembali.disini akan di tampilkan konfigurasi NAT overload di Router0 saja. Untuk konfigurasi IP di interface Router0 tidak ada perubahan
Untuk kofigurasi overload hanya menambahkan kata overload pada command untuk definisi NAT di Router0. Berikut commandnya
Router(config)#ip nat inside source list 1 pool Astinet overload
Untuk konfigurasi lain sama persis dengan dynamic NAT
Untuk melihat proses translasi seperti biasa kita masukan command berikut
Router#sh ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 202.134.0.2:14 10.11.1.132:14 11.22.33.4:14 11.22.33.4:14
icmp 202.134.0.2:15 10.11.1.132:15 11.22.33.4:15 11.22.33.4:15
icmp 202.134.0.2:16 10.11.1.132:16 11.22.33.4:16 11.22.33.4:16
icmp 202.134.0.2:17 10.11.1.132:17 11.22.33.4:17 11.22.33.4:17
icmp 202.134.0.2:10 10.11.1.133:10 11.22.33.4:10 11.22.33.4:10
icmp 202.134.0.2:11 10.11.1.133:11 11.22.33.4:11 11.22.33.4:11
icmp 202.134.0.2:12 10.11.1.133:12 11.22.33.4:12 11.22.33.4:12
icmp 202.134.0.2:13 10.11.1.133:13 11.22.33.4:13 11.22.33.4:13
--- 202.134.0.1 10.11.1.131 --- ---
Dapat dilihat IP lokal 10.11.1.132 dan 10.11.1.133 di translasikan ke IP yang sama yaitu 202.134.0.2 hanya saja dibedakan dari portnya.
Kesimpulan
Dynamic NAT overload paling efisien dibanding yang lain jika dilihat dari kebutuhan IP publik untuk akses ke internet.Tapi jika dilihat dari penggunaan resource router tentu dynamic NAT tidak efisien karena semua proses translasi untuk tiap protokol di catat oleh router. Semuanya tentu kita kembalikan pada kebutuhan kita dalam mendisain suatu jaringan.