Konfigurasi Port Address Translation (PAT) pada Cisco ASA untuk Internet Connection Sharing (ICS)

Jun 12
I Putu Hariyadi

Melanjutkan tutorial sebelumnya tentang “Membangun DHCP Server menggunakan Cisco ASA“, maka pada kesempatan ini penulis akan berbagi pengetahuan tentang konfigurasi Port Address Translation (PAT) pada Cisco ASA untuk Internet Connection Sharing (ICS) atau berbagi pakai koneksi Internet sehingga client di LAN PT. Angin Ribut dapat mengakses Internet. Topologi jaringan yang digunakan merupakan pengembangan dari topologi pada tutorial sebelumnya yaitu dengan menambahkan router ISP dan subnet Internet yang terdiri dari Server Root DNS, iputuhariyadi.net dan facebook.com, seperti terlihat pada gambar berikut:

Alamat network yang digunakan pada topologi jaringan ini adalah sebagai berikut:

  1. Subnet Internet menggunakan alamat subnet 8.8.8.0/28.
  2. Subnet yang menghubungkan Cisco ASA0 ke router ISP adalah 8.8.8.16/28.
  3. LAN PT. Angin Ribut menggunakan alamat network 19.2.168.169.0/24.

Tabel berikut memperlihatkan detail alokasi pengalamatan IP secara statik pada masing-masing interface dari setiap perangkat jaringan yang terlibat.

No. Nama Perangkat Interface Alamat IP Subnetmask Default Gateway DNS
1. Router ISP GigabitEthernet0/0 8.8.8.30 255.255.255.240
2. GigabitEthernet0/1 8.8.8.1
3. Server facebook.com FastEthernet0 8.8.8.2 8.8.8.1 8.8.8.8
4. Server iputuhariyadi.net FastEthernet0 8.8.8.3
5. Server Root DNS FastEthernet0 8.8.8.8
6. Cisco ASA vlan 1 192.168.169.1 255.255.255.0
7. vlan 2 8.8.8.17 255.255.255.240

PC Client pada LAN PT. Angin Ribut difungsikan sebagai DHCP Client sedangkan Cisco ASA dikonfigurasi sebagai DHCP Server serta gateway untuk terkoneksi ke Internet bagi jaringan lokal. Server facebook.com dan iputuhariyadi.net memiliki layanan HTTP dan HTTPS, sedangkan server root DNS memiliki layanan pemetaan nama domain ke alamat IP dan sebaliknya.

Bagi rekan-rekan yang ingin mengujicoba tutorial ini dapat mengunduh file template Cisco Packet Tracer di alamat berikut: Download. Setelah file template berhasil diunduh, silakan mengekstrak dan membukanya menggunakan aplikasi Cisco Packet Tracer 7.1.1. File tempate ini telah dikonfigurasi baik pada Cisco ASA yang difungsikan sebagai DHCP Server, PC Client (A, B dan C) sebagai DHCP Client, router ISP dan keseluruhan server pada subnet Internet. Sedangkan konfigurasi dasar dan PAT untuk ICS pada Cisco ASA belum dikonfigurasi.

KONFIGURASI DASAR PADA CISCO ASA

Adapun langkah-langkah konfigurasi dasar  meliputi pengaturan pengalamatan IP pada interface vlan 2 dan default route pada Cisco ASA adalah sebagai berikut:

  1. Klik perangkat Cisco ASA 5505 yang terdapat pada Logical Workspace dari Cisco Packet Tracer maka akan tampil kotak dialog properties dari ASA0. Selanjutnya pada kotak dialog properties ASA0 pilih tab CLI, seperti terlihat pada gambar berikut:
    Pada output tersebut terlihat pula prompt CLI dari Cisco ASA yaitu “ciscoasa>” dimana “ciscoasa” merupakan hostname dari perangkat sedangkan tanda “>” pada prompt menunjukkan saat ini Anda telah berada di user exec mode. Selanjutnya lakukan perpindahan dari user exec mode ke privilege exec mode menggunakan perintah enable maka akan tampil inputan “Password:“. Tekan Enter maka akan tampil prompt “ciscoasa#” , seperti terlihat pada gambar berikut:
    Tanda “#” pada prompt menunjukkan saat ini Anda telah berada di privilege exec mode.
  2. Menampilkan informasi interface dan vlan yang terdapat pada Cisco ASA.

    Terlihat secara default interface Eth0/0 menjadi anggota dari vlan 2 dengan nameifoutside“.
  3. Mengatur pengalamatan IP pada interface vlan 2 menggunakan alamat 8.8.8.17/28 dan mengaktifkan interface tersebut melalui global configuration mode.
  4. Berpindah dari interface configuration mode ke satu mode sebelumnya yaitu global configuration mode menggunakan perintah “exit“.
  5. Mengatur default route ke router ISP pada interface outside menggunakan alamat IP gateway 8.8.8.30.
  6. Berpindah ke privilege exec mode menggunakan perintah “end“.
  7. Menampilkan informasi pengalamatan IP pada keseluruhan interface.

    Terlihat interface vlan 2 telah menggunakan alamat IP 8.8.8.17/28.
  8. Menampilkan informasi tabel routing.

    Terlihat default route telah berhasil ditambahkan yang ditandai dengan kode “S*“.
  9. Memverifikasi koneksi dari Cisco ASA ke server di Internet meliputi Root DNS, iputuhariyadi.net dan facebook.com menggunakan Simple PDU.

    Hasil verifikasi memperlihatkan Cisco ASA berhasil terkoneksi ke seluruh server yang terdapat di Internet.

 

KONFIGURASI PAT UNTUK BERBAGI PAKAI KONEKSI INTERNET PADA CISCO ASA

Adapun langkah-langkah konfigurasi dan verifikasi PAT pada Cisco ASA adalah sebagai berikut:

  1. Berpindah ke global configuration mode menggunakan perintah “conf t” dan membuat object network yang akan ditranslasi dengan nama “inside-net”.
  2. Mengatur atribut subnet untuk menentukan alamat IP yang ditranslasi dalam hal ini 192.168.169.0/24 yang merupakan alamat jaringan dari LAN PT. Angin Ribut.
  3. Mengatur dynamic PAT untuk objek alamat-alamat IP menggunakan atribut nat yang terdiri dari argument interfaces dan mapped IP Address. Argumen interfaces meliputi real interface “inside” dan mapped interfaceoutside“. Sedangkan mapped IP address menggunakan interface agar menggunakan alamat IP dari interface outside sebagai alamat translasi.

    Berpindah ke mode privilege.
  4. Memverifikasi object network yang telah dibuat.

    Tekan “q” untuk keluar dari output <— More —>.
  5. Mengatur Modular Policy Framework (MPF) melalui global configuration untuk melakukan inspeksi paket dari inside ke outside agar trafik yang diinisiasi dari inside diijinkan kembali pada interface outside. Terdapat 3 kompone pada MPF yaitu class-map, policy-map dan service-policy.
    1. Membuat class-map dengan nama “inspection_default” yang digunakan untuk mengklasifikasi trafik .
    2. Mengatur kriteria klasifikasi menggunakan default-inspection-traffic dan berpindah ke satu mode sebelumnya.
    3. Membuat policy-map dengan nama “global-policy” yang digunakan untuk mengatur aksi yang dilakukan terhadap trafik yang diklasifikasi atau kriteria kebijakan (class) “inspection_default“.
    4. Mengatur protocol inspection services untuk icmp, http dan dns serta berpindah ke satu mode sebelumnya.
    5. Membuat service-policy digunakan untuk menerapkan policy-mapglobal-policy” ke Cisco ASA secara global.
  6. Berpindah ke mode privilege menggunakan perintah “end“.
  7. Menampilkan informasi NAT statistik.
  8. Menyimpan konfigurasi secara permanen menggunakan perintah “copy run start“.

 

VERIFIKASI KONEKSI INTERNET DARI CLIENT LAN PT. ANGIN RIBUT

Setelah konfigurasi dynamic PAT selesai dilakukan pada Cisco ASA maka selanjutnya dilakukan verifikasi dari setiap PC di LAN PT. Angin Ribut. Hasil verifikasi koneksi Internet dengan menggunakan browser dari PC A ketika mengakses situs facebook.com, seperti terlihat pada gambar berikut:

Sedangkan dari browser PC B ketika mengakses iputuhariyadi.net, seperti terlihat pada gambar berikut:

Sebaliknya verifikasi koneksi Internet dari PC C dilakukan dengan menggunakan perintah ping ke server Root DNS, seperti terlihat pada gambar berikut:
dan nslookup untuk memetakan nama domain facebook.com ke alamat IP, seperti terlihat pada gambar berikut:

Selamat Anda telah berhasil mengatur PAT pada Cisco ASA untuk berbagi pakai koneksi Internet. Apabila terdapat pertanyaan jangan segan untuk mengomentari posting ini atau mengirimkannya melalui email ke alamat admin[at]iputuhariyadi.net. Semoga bermanfaat. Terimakasih.

0

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.