Thursday, April 30, 2015

Konfigurasi Static NAT dan Destination NAT di Juniper Junos SRX

Network Simulasi Static NAT & DNAT
Selanjutnya kita belajar mengkonfigurasi Static NAT. Untuk simulasi ini, kita gunakan network seperti gambar di atas. Si R-client-2 muncul lagi. Jadi nanti fokus ke junos, PC2, PC3, dan R-Client-2.
Ok. Kita tentukan dulu, IP mana yang akan dibuat Static NAT. Misalnya IP address 10.111.111.111 ditranslate / di-nat-kan khusus ke IP address 192.168.200.111. (Ingat ya... ini simulasi... Yang namanya NAT, seharusnya IP Public ditranslate ke IP Private.)

Maka, konfigurasinya adalah :
root# edit security nat static rule-set static-nat
root# set from zone net
root# set rule static-nat-rule2
root# edit rule static-nat-rule2
root# set match destination-address 10.111.111.111/32
root# set then static-nat prefix 192.168.200.111
root# show
match {
    destination-address 10.111.111.111/32;
}
then {
    static-nat {
        prefix {
            192.168.200.111/32;
        }
    }
}
root# commit check
configuration check succeeds

Belum selesai. Kita buat policy-nya.
root# edit security policies from-zone net to-zone loc2
root# edit policy net-to-loc2
root# set match source-address any
root# set match destination-address any
root# set match application any
root# set then permit
root# show
match {
    source-address any;
    destination-address any;
    application any;
}
then {
    permit;
}

[edit security policies from-zone net to-zone loc2 policy net-to-loc2]
root# commit check
configuration check succeeds
root# commit
commit complete

Pengetestan.
Mari kita lihat hasilnya. Terlebih dahulu setting di PC2, IP 192.168.200.111/24 dengan gateway 192.168.200.1. Kemudian di PC3 setting IP 10.33.33.2/24 dengan gateway 10.33.33.1. Dari PC3, lakukan ping ke 10.111.111.111.
Ping from PC3 to PC2


Awalnya sempat Request Time Out (RTO), karena dia mikir... hehehe...Selanjutnya reply. Nah untuk memastikan bahwa IP 10.111.111.111 ditranslate ke IP 192.168.200.111, dimatikan saja PC2, hasilnya akan RTO seperti di bawah ini.
Ping from PC3 to PC2 but PC2 is down


Ping juga dari PC2 ke IP 10.33.33.2 dan IP lainnya, seharusnya akan reply juga.

Destination NAT
Simulasi Static NAT di atas, dimana PC3 ping ke IP 10.111.111.111, bisa disebut juga Destination NAT (DNAT).
Dapat juga dibuat lebih spesifik lagi, port mana ditranslate / di-mapp-ing. Ini disebut Port Address Translation (PAT), atau disebut Port Forwarding or Port Mapping. (Wow... banyak sekali istilahnya. Tapi maksudnya ya itu dah... :) ). CMIIW.
Ambil contoh, misalnya IP 10.111.111.222 dengan port 2323 akan di DNAT ke alamat tujuan ip yang asli 192.168.200.222 port 23 (telnet).

Pertama konfigurasi dulu, router R-client-2. Setting IP addressnya, routing dan tambahkan service telnet.
R-CLIENT-2#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
R-CLIENT-2(config)#inter e0/0
R-CLIENT-2(config-if)#ip address 192.168.200.222 255.255.255.0
R-CLIENT-2(config-if)#no shut
R-CLIENT-2(config-if)#exit
R-CLIENT-2(config)#ip route 0
*Mar  1 00:02:02.032: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
*Mar  1 00:02:03.033: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up
R-CLIENT-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1
R-CLIENT-2(config)#line vty 0 4
R-CLIENT-2(config-line)#password 12345
R-CLIENT-2(config-line)#login
R-CLIENT-2(config-line)#do wr
Warning: Attempting to overwrite an NVRAM configuration previously written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]
Building configuration...
[OK]

Passwordnya sederhana saja. Jika ingin yang lebih ribet, lihat postingan sebelumnya. Ok, Selanjutnya konfigurasi lagi si Junos.
root> configure
root# edit security nat static rule-set static-nat
root# set rule static-nat-rule3
root# edit rule static-nat-rule3
root# set match destination-address 10.111.111.222
root# set match destination-port 2323
root# set then static-nat prefix 192.168.200.222 mapped-port 23

root# commit check
configuration check succeeds
root# commit
commit complete

Selanjutnya ke bagian policy. Untuk konfigurasi di atas, policynya masih dalam rule “from-zone loc2 to-zone net”. Jadi tidak perlu buat rule baru lagi.
root# edit security policies from-zone loc2 to-zone net
root# show
policy loc2-to-net {
    match {
        source-address any;
        destination-address any;
        application any;
    }
    then {
        permit;
    }
}

Kita test dari router Cisco-R2.
Telnet to R-Client-2

Ping-nya tidak bisa, karena tidak di-dnat-kan. Yang hanya di-dnat-kan hanya service telnetnya. Dan telnet ke IP 10.111.111.222 (Yang IP aslinya 192.168.200.222), berhasil...
Noted.
Translate port bisa juga di bagian source
The Last Part
Jika di Cisco, kita menggunakan command “show ip nat translations” untuk melihat translation IP-nya. Maka di Junos kita menggunakan command “show security nat source rule all” (jika ingin melihat di bagian Source NAT), atau “show security nat static rule all” (jika ingin melihat di bagian Static NAT).
root> show security nat static rule all
Total static-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 4/0

Static NAT rule: static-nat-rule2     Rule-set: static-nat
  Rule-Id                    : 1
  Rule position              : 1
  From zone                  : net
  Destination addresses      : 10.111.111.111
  Host addresses             : 192.168.200.111
  Netmask                    : 32
  Host routing-instance      : N/A
  Translation hits           : 1753
    Successful sessions      : 1753
    Failed sessions          : 0
  Number of sessions         : 0

Static NAT rule: static-nat-rule3     Rule-set: static-nat
---------deleted-------

root> show security nat source rule all
Total rules: 3
Total referenced IPv4/IPv6 ip-prefixes: 5/0

source NAT rule: source-nat-rule1     Rule-set: loc-to-net
  Rule-Id                    : 1
  Rule position              : 1
  From zone                  : loc
  To zone                    : net
  Match
    Source addresses         : 192.168.100.0   - 192.168.100.255
    Destination addresses    : 0.0.0.0         - 255.255.255.255
  Action                        : interface
    Persistent NAT type         : N/A
    Persistent NAT mapping type : address-port-mapping
    Inactivity timeout          : 0
    Max session number          : 0
  Translation hits           : 166
    Successful sessions      : 166
    Failed sessions          : 0
  Number of sessions         : 5

source NAT rule: NAT-OFF              Rule-set: loc2-to-net
  Rule-Id                    : 2
  Rule position              : 2
  From zone                  : loc2
  To zone                    : net
--------deleted--------

Akhirnya selesai juga materi basic tentang Junos ini. Artinya dengan materi ini, sudah cukup untuk mensetting Junos sebagai router dengan level biasa / umum.
Ok... Sampai jumpa pada pembahasan materi lainnya. :)

No comments:

Post a Comment