Wednesday, May 07, 2014

Konfigurasi IP Masquerade di Router Cisco

Simulasi Network NAT Masquerade

Seperti yang sudah dijelaskan pada posting sebelumnya, IP Masquerade adalah salah satu tipe dari NAT (mmmm...lebih tepatnya Source NAT). Konfigurasi IP Masquerade ini yang biasa atau sering digunakan oleh perusahaan agar komputer-komputernya yang banyak di dalam LAN mereka, bisa untuk internet. Dan hampir semua alat network (router modem, router wireless, cisco, juniper, mikrotik dsbnya) support untuk NAT tipe masquerading ini. (Jangan bingung ya... masquerading ya maksudnya masquerade itu... emang banyak istilah kalau ditelusuri di internet itu... ada yang bilang NAT Masquerade,... IP Masquerade,... Masquerading... ok... deal ya... :) )
IP Masquerade juga termasuk ke dalam PAT (Port Address Translation). Karena (seperti yang sudah saya bilang sebelumnya…) menggunakan metode mapping port untuk mentranslate IP Private ke IP Public. Lalu apa perbedaannya dengan konfigurasi NAT sebelumnya, maksudnya  konfigurasi Dynamic NAT dengan overload yang juga termasuk dalam PAT.
Jawabannya. Konfigurasi Dynamic NAT dengan overload menggunakan pool nat untuk IP publicnya. Sedangkan NAT Masquerading tidak menggunakan pool nat, IP Publicnya ditempatkan pada interface WAN (interface ke arah internet).
Agar tidak membingungkan, saya simulasikan sebuah LAN baru, sebut saja LAN 2 di sisi router R-MTR-2 (Lihat pada gambar di atas). Karena router R-MTR-2 milik ISP tidak boleh di otak-atik, maka untuk membuat NAT masquerading, butuh tambahan router satu lagi. Sebut saja router baru ini, namanya router R-NAT-MASQ, dengan menggunakan cisco yang mempunyai 2 interface.
Dan ini dia rencana IP address yang akan digunakan ( ingat ini… semua harus direncanakan sebelum melakukan konfigurasi…) :
Router R-NAT-MASQ :
  • IP address fa0/0 (WAN) : 192.0.2.2/24
  • IP address fa0/1 (LAN) : 192.168.2.1/24
  • Gateway : 192.0.2.1
User 2 :
  • IP address : 192.168.2.2/24
  • Gateway : 192.168.2.1

Nah… setelah jelas perencanaan IP addressnya, baru konfigurasi… (mengingatkan pada diri sendiri saja… supaya harus selalu merencanakan…hehehe…)

Konfigurasi router R-NAT-MASQ
Router>en
Router#conf ter
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#host R-NAT-MASQ
R-NAT-MASQ(config)#inter fa0/0
R-NAT-MASQ(config-if)#ip address 192.0.2.2 255.255.255.0
R-NAT-MASQ(config-if)#des IP WAN
R-NAT-MASQ(config-if)#speed 100
R-NAT-MASQ(config-if)#full-duplex
R-NAT-MASQ(config-if)#no shut
R-NAT-MASQ(config-if)#inter fa0/1
R-NAT-MASQ(config-if)#ip address 192.168.2.1 255.255.255.0
R-NAT-MASQ(config-if)#des GATEWAY IP LAN
R-NAT-MASQ(config-if)#full-duplex
R-NAT-MASQ(config-if)#no shut
R-NAT-MASQ(config-if)#exit
R-NAT-MASQ(config)#ip route 0.0.0.0 0.0.0.0 192.0.2.1
R-NAT-MASQ(config)#do wr
Building configuration...
[OK]
R-NAT-MASQ(config)#

Selanjutnya konfigurasi IP Masquerade-nya...
R-NAT-MASQ#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
R-NAT-MASQ(config)#access-list 2 permit 192.168.2.0 0.0.0.255
R-NAT-MASQ(config)#ip nat inside source list 2 interfa fa0/0 overload
R-NAT-MASQ(config)#inter fa0/0
R-NAT-MASQ(config-if)#ip nat outside
R-NAT-MASQ(config-if)#inter fa0/1
R-NAT-MASQ(config-if)#ip nat inside
R-NAT-MASQ(config-if)# do wr
Building configuration...
[OK]

Mari kita lakukan pengetestan dari Komputer user.
VPCS user 2

Ok. Berhasil test ping. Saat dilakukan ping dari user, dari router R-NAT-MASQ lakukan perintah "debug ip nat", maka hasilnya seperti di bawah ini.
R-NAT-MASQ#debug ip nat
IP NAT debugging is on
R-NAT-MASQ#
*Mar  1 00:46:40.815: NAT*: s=192.168.2.2->192.0.2.2, d=200.0.10.1 [31426]
*Mar  1 00:46:40.879: NAT*: s=200.0.10.1, d=192.0.2.2->192.168.2.2 [31426]
R-NAT-MASQ#
*Mar  1 00:46:41.891: NAT*: s=192.168.2.2->192.0.2.2, d=200.0.10.1 [31427]
*Mar  1 00:46:41.947: NAT*: s=200.0.10.1, d=192.0.2.2->192.168.2.2 [31427]
R-NAT-MASQ#
*Mar  1 00:46:42.943: NAT*: s=192.168.2.2->192.0.2.2, d=200.0.10.1 [31428]
*Mar  1 00:46:42.987: NAT*: s=200.0.10.1, d=192.0.2.2->192.168.2.2 [31428]
R-NAT-MASQ#
*Mar  1 00:46:44.007: NAT*: s=192.168.2.2->192.0.2.2, d=200.0.10.1 [31429]
*Mar  1 00:46:44.031: NAT*: s=200.0.10.1, d=192.0.2.2->192.168.2.2 [31429]
R-NAT-MASQ#
*Mar  1 00:46:45.039: NAT*: s=192.168.2.2->192.0.2.2, d=200.0.10.1 [31430]
*Mar  1 00:46:45.071: NAT*: s=200.0.10.1, d=192.0.2.2->192.168.2.2 [31430]
R-NAT-MASQ#

Kereeen… Untuk menghentikan debug. Ketik saja perintah no di depannya. Jadinya, “no debug ip nat”
R-NAT-MASQ#no debug ip nat
IP NAT debugging is off

Untuk melihat hasil mapping / translate IP, gunakan perintah "sh ip nat translate".
R-NAT-MASQ#sh ip nat trans
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.0.2.2:36927   192.168.2.2:36927  200.0.10.1:36927   200.0.10.1:36927
icmp 192.0.2.2:37183   192.168.2.2:37183  200.0.10.1:37183   200.0.10.1:37183
icmp 192.0.2.2:37439   192.168.2.2:37439  200.0.10.1:37439   200.0.10.1:37439
icmp 192.0.2.2:37695   192.168.2.2:37695  200.0.10.1:37695   200.0.10.1:37695
icmp 192.0.2.2:37951   192.168.2.2:37951  200.0.10.1:37951   200.0.10.1:37951

Untuk menghapus list mapping IP NAT gunakan command “clear ip nat translate *” atau “clear ip nat forced”. Ada banyak opsi untuk clear mapping IP NAT, silahkan dicoba-coba sendiri.
R-NAT-MASQ#clear ip nat translation ?
  *        Delete all dynamic translations
  esp      Encapsulating Security Payload
  forced   Delete all dynamic translations (forcefully)
  inside   Inside addresses (and ports)
  outside  Outside addresses (and ports)
  tcp      Transmission Control Protocol
  udp      User Datagram Protocol
  vrf      Clear entries of VRF instance

Untuk IP Masquerade, selesai… semoga bermanfaat.

4 comments:

  1. Mas nanya dong, IP comp2 (192.168.2.2) bisa diakses dari luar router nggak?

    ReplyDelete
  2. Mas, kalo bikin nat action masquerade mikrotik di cisco bagaimana ya?
    (Tanpa out/in interface)

    ReplyDelete
  3. mas nanya dong, gmana kalo bikin port forwarding di cisco..

    ReplyDelete