penterjemah alamat rangkaian network address translation (nat)

Penterjemah Alamat RangkaianNetwork Address Translation (NAT)

Pengenalan

• NAT ialah ringkasan dari perkataan “Network Address Translator”.

• Teknologi ini digunakan apabila jumlah public ip address yang diperuntukkan tidak dapat memenuhi keperluan.

• Fungsi teknologi NAT : membolehkan seberapa banyak komputer di dalam LAN berkongsi public ip address yang diperuntukkan. dapat mengatasi masalah kekurangan public ip address yang semakin nyata sekarang ini. dapat mempertingkatkan tahap sekuriti dengan menghalang pengguna luar LAN mengetahui ip address yang digunakan.

• Ciri NAT ini boleh diaktifkan pada sistem operasi server seperti Windows 2000 server, Linux atau peralatan rangkaian seperti router.

• Bergantung pada peralatan NAT yang digunakan samaada hardware atau sistem operasi terdapat 3 kategori NAT yang biasa digunakan iaitu static NATPooled NATNAT Overload (PAT)

Inside Local dan Inside Global

• Terdapat beberapa definisi yang perlu difahami terlebih dahulu, iaitu Inside Local dan Inside Global dan Outside Local dan Outside Global.

• Keempat-empat definisi ini digunakan bagi mengaktifkan konfigurasi NAT pada router.

• Setiap implementasi mail server akan memerlukan satu private IP address bagi konfigurasi pada NIC yang dikenali sebagai Inside Local.

• IP address tersebut perlu mapping kepada public ip address yang dikenali sebagai Outside Local.

• Mapping bagi kedua-dua IP address ini iaitu Inside Local dan Outside Local perlu dikonfigur pada router.

IP address mappingInside Local Inside GlobalPrivate IP Public IP

192.168.1.33 200.1.1.11

Perhatikan pada gambarajah di atas . IP address mapping dilakukan pada router.

Mapping yang dikonfigur bagi Inside Local kepada Inside Global perlu dilakukan pada Router. Bagi pengguna-pengguna dari sambungan WAN, mail server tersebut akan kelihatan seperti dikonfigur dengan IP address 200.1.1.11.

Peringatan !!

• Inside Local – Ia adalah IP address bagi NIC yang digunakan oleh komputer yang berfungsi sebagai mail server bagi LAN tersebut. IP address 192.168.1.33 adalah Inside Local.

• Inside Global – Public IP address 200.1.1.11 perlu dibeli dari ISP (Internet Service Provider) dan akan digunakan untuk mail server.

Outside Local dan Outside Global

• Perhati dan cuba fahami dahulu gambarajah tersebut .

IP address mappingOutside Global Outside LocalPublic IP Private

200.1.1.10 172.30.10.11

User A

• Definisi Outside Local dan Outside Global merujuk kepada pandangan dari UserA.

• User A akan melihat IP address 200.1.1.10 sebagai IP address web server tersebut, walaupun IP yang sebenarnya ialah 172.30.10.11.

• Outside Local – IP address 172.30.10.11 digunakan oleh NIC pada web server tersebut. 172.30.10.11 adalah IP address yang dikenali sebagai Outside Local jika merujuk kepada pandangan dari User A. IP address 172.30.10.11 tidak akan kelihatan pada User A.

• Outside Global – IP address 200.1.1.10 pula dikatakan sebagai Outside Global bagi pandangan dari User A. Hanya IP address 200.1.1.10 yang akan kelihatan pada User A.

• Walaupun di antara kegunaan utama NAT ialah membolehkan pengguna dari LAN berkongsi akses ke WAN, namun adakalanya terdapat juga keperluan di mana pengguna dari WAN yang perlu mendapatkan sambungan kepada mail atau web server tersebut.

• Ini boleh dicapai dengan menggunakan kaedah inbound mapping, yang membolehkan mapping dibuat bagi port tertentu pada router.

• Teknologi ini dikenali sebagai static NAT.

1 STATIC NAT

• Konfigurasi Static NAT diperlukan bagi organisasi yang ingin memanfaatkan penggunaan web server atau mail server.

• Ia membolehkan host dari luar mendapat akses kepada web server atau mail server yang dikendalikan sendiri oleh organisasi tersebut.

Inside Global

80

25

80

25

Outside Global

Web server10.1.1.1/8

Mail server 10.1.1.3/8

636.63.63.1/24

63.63.63.2/24

E0 : 10.1.1.99/8S0 : 63.63.63.99/24

Address Mapping StaticNAT Translation Table

10.1.1.1:80 = 63.63.63.1:8010.1.1.1.3:25 = 63.63.63.2:25

• Gambarajah tersebut menunjukkan mail server dengan IP address 10.1.1.3 dan port 25 mempunyai static mapping kepada satu public address 63.63.63.2 dengan port yang sama iaitu 25.

• Ini membolehkan mail server tersebut menerima sebarang mail yang ditujukan kepada domain tersebut yang datang daripada Internet.

• Secara ringkasnya, static NAT membolehkan mapping ONE TO ONE dilakukan Inside Local dan Inside Global.

Konfigur Static NAT

• Command di bawah akan mengaktifkan konfigurasi static NAT di antara inside local dan inside global, di mana 10.1.1.3 adalah inside local manakala 63.63.63.2 adalah inside global

ip nat inside source static 10.1.1.3 63.63.63.2

• Command kedua ke atas router tersebut akan mengaktifkan konfigurasi Interface Ethernet 0 sebagai inside local dan interface serial 0 sebagai outside local.

Interface Ethernet 0Ip nat insideInterface serial 0Ip nat outside

Keseluruhan konfigurasi adalah seperti berikut :

interface serial 0ip address 63.63.63.99 255.255.255.0ip nat outsideinterface Ethernet 0ip address 10.1.1.99 255.255.255.0ip nat insideip nat nat inside source static 10.1.1.3 63.63.63.2ip nat nat inside source static 10.1.1.1 63.63.63.1

2 POOLED NAT• Pooled NAT digunakan bagi situasi di mana jumlah

pengguna adalah sama dengan jumlah public IP address yang diperuntukkan. Namun mapping daripada pengguna kepada public IP address dilakukan secara rawak iaitu ONE to ONE RANDOM.

• Konfigurasi ini akan digunakan jika : Pengguna yang terlibat memerlukan open akses ke Internet. jumlah pengguna yang memerlukan akses ke Internet secara serentak tidak melebihi jumlah public IP address yang diperolehi.

10.1.1.1/24

10.1.1.2/24

10.1.1.3/24

63.63.63.1/24

63.63.63.2/24

63.63.63.3/24

E0:10.1.1.99/24

S0:63.63.63.99/24

Address Mapping DynamicNAT Translation Table

10.10.10.1:80 = 63.63.63.1:8010.10.10.2:80 = 63.63.63.2:8010.10.10.3:80 = 63.63.63.3:80

INSIDE GLOBALOUTSIDE GLOBAL

Konfigur Pooled NAT

• Command di bawah mengaktifkan konfigurasi Pooled NAT bernama Net10 di antara inside local dan inside global. Pool net10 terdiri daripada tiga address iaitu 63.63.63.1, 63.63.63.2 dan 63.63.63.3. Ketiga-tiga IP address ini adalah dari kategori public dan telah diperuntukkan oleh ISP.

ip nat pool net10 63.63.63.1 63.63.63.3 netmask 255.255.255.0

• Command seterusnya akan membuat satu access list 1 baru , dimana ia terdiri daripada network ID bagi kumpulan host yang memerlukan penggunaan Pooled NAT.

access-list 1 permit 10.1.1.0 0.0.0.255

• Command ketiga akan menghubungkaitkan pool net10 kepada access-list 1

ip nat inside source list 1 pool net10

• Command terakhir akan mengaktifkan Interface Ethernet 0 pada router sebagai inside local dan interface serial 0 sebagai outside local.

interface ethernet 0ip nat insideinterface serial 0ip nat outside

• Keseluruhan konfigurasi dapat diringkaskan seperti berikut :ip nat pool net10 63.63.63.1 63.63.63.3 netmask 255.255.255.0

ip nat inside source list 1 pool net10interface serial 0ip address 63.63.63.99 255.255.255.0ip nat outsideinterface Ethernet 0ip address 10.1.1.99 255.255.255.0ip nat inside access-list 1 permit 10.1.1.0 0.0.0.255

3 NAT OVERLOAD (PAT)

10.10.10.1/24

10.10.10.3/24

10.10.10.2/24

E0:10.10.10.9

S0:63.63.63.1/30

PAT/NAT Translation Table10.10.10.1:80 = 63.63.63.1:800010.10.10.2:80 = 63.63.63.1:800110.10.10.3:80 = 63.63.63.1:8002

• NAT Overload juga dikenali sebagai Port Address Translation, dan ringkasannya ialah PAT.

• Ia digunakan apabila jumlah pengguna di dalam LAN melebihi jumlah public IP address yang telah diperuntukkan.

• Dalam erti kata lain, konfigurasi ini membolehkan mapping kepada satu public IP address diaktifkan bagi penggunaan beberapa jumlah pengguna yang perlu atau ringkasnya MANY TO ONE.

• Setup dengan cara ini adalah sesuai bagi sesebuah organisasi yang memerlukan akses ke Internet bagi kepenggunaan pengguna-pengguna di dalam sesuatu organisasi.

Konfigurasi NAT Overload

• Command yang pertama ini akan mengaktifkan satu Access list bernama list 1 yang terdiri daripada network 10.10.10.0 dan 20.0.0.0. Kedua-dua network ini akan diberikan akses bagi penggunaan NAT Overload. Perhatikan penggunaan wildcard iaitu 0.0.0.255.

access-list 1 permit 10.10.10.0 0.0.0.255access-list 1 permit 20.10.10.0 0.0.0.255

• Command yang kedua ini akan mengaktifkan ciri NAT Overload pada serial 0 dan di masa yang sama ia dihubungkaitkan dengan Access list 1.

ip nat inside source list 1 interface serial0 overload

• Command yang ketiga ini akan mengaktifkan Interface Ethernet 0 sebagai inside local dan interface serial 0 digunakan sebagai outside local.

interface Ethernet 0ip nat insideinterface serial 0ip nat outside

• Command terakhir sekali di sini akan menghantar semua trafik ke serial 0 sebagai default gateway bagi router tersebut.

ip route 0.0.0.0 0.0.0.0 serial 0

• Tanpa perkataan overload , terjemahan hanya akan dilakukan bagi satu kepada satu sahaja iaitu ONE TO ONE. Tentukan setiap interface telah dikonfigur dengan IP address yang berkenaan bagi menjayakan konfigurasi NAT.

• Keseluruhan konfigurasi adalah seperti berikut:

interface Ethernet 0 ip address 10.10.10.9 255.255.255.0ip nat insideinterface Ethernet 1ip address 20.10.10.9 255.255.255.0ip nat insideinterface serial 0ip address 63.63.63.1 255.255.255.252ip nat outsideip nat inside source list 1 interface serial0 overloadip router 0.0.0.0 0.0.0.0 serial 0access-list 1 permit 10.10.10.0 0.0.0.255access-list 1 permit 20.10.10.0 0.0.0.255