Pada tulisan sebelumnya saya pernah menyinggung masalah NAT, nah tulisan kali saya juga akan membahas tentang NAT, tetapi lebih berbau teoristis. Saya pernah miss dengan pengetahuan ini, dan mungkin beberapa dari anda juga mengalaminya.
Sebelumnya saya ingin bercerita sedikit, kebetulan waktu itu saya sedang melakukan installasi
IronPort web security appliance, perusahaan tersebut ada kurang lebih 500 user. Keluhan pertama mereka, Internet lambat, yang dipikiran orang awam pasti bandwidth kurang. Tetapi mengingat bandwidth mereka yang
+ 20M harus nya cukup. Dengan dasar ini mereka mungkin berpikir "
Ini bandwidth harus di manage, sekalian kita lakukan filtering, situs-situs mana yang boleh di akses". Alhasil mereka beli beberapa alat, salah satu nya IronPort WSA.
OK, kembali kemasalah NAT,
konfigurasi existing adalah + 500 user di NAT overload ke 1 ip public. Menurut anda apakah ada masalah?
Jika jawaban anda tidak, maka sama dengan apa yang saya pikirkan waktu itu. Berikut ilustrasi topology yang saya implemen.
Awalnya network di belakang core di NAT overload di router dengan 1 ip public. Kemudian dengan topologi seperti diatas, yang di NAT overload hanya IP proxy dan akses internet semua user akan dibelokkan melalui proxy menggunakan wccp. Apakah ada masalah? tidak, semua user akan tetap bisa ber-Internet ria. Oia, ada yang kurang di topologi diatas, di antara core dan router ada bandwidth shaper. Kebutuhan bandwidth sudah di atur dengan rapi.
Setelah beberapa hari pasca installasi ada keluhan dari user, Internet lambat. :D. Pertanyaan lagi kenapa?
Yang perlu kita ingat, NAT overload atau dynamic NAT atau PAT, melakukan translasi dari private address ke public address menggunakan port. PAT membagi port yang tersedia menjadi 3 bagian :
0-511, 512-1023, and 1024-65535. PAT memberikan source port yang unik untuk setiap sesi UDP atau TCP. Ia mencoba untuk menetapkan nilai port yang sama dari permintaan yang asli, tetapi jika port sumber aslinya telah digunakan, dia akan mulai memindai dari awal jangkauan port tertentu untuk menemukan port pertama yang tersedia dan memberikan kepada peminta. Jika kemudian semua port sudah terpakai untuk setiap sesi, apa yang terjadi?
Saya pribadi belum menemukan jawaban pasti, tetapi yang dipikiran saya, port yang available akan menjadi rebutan. Ini suspect mengenai internet lambat yang dikeluhkan konsumen saya tadi, dan di perkuat dengan data (show ip nat translations) di router yang nat translasinya diatas 70000.
Ada 2 cara untuk mengatasi hal ini :
1. Kita tetap menggunakan nat overload dengan nat pool, tidak dengan 1 ip public tetapi 2 atau 4 ip public.
2. Kita menggunakan 1 ip public, proxy di buat static dengan 1 ip public.
Untuk case ini saya menggunakan opsi 2, dan sampai sekarang lancar jaya .. :D
Saya menggunakan tftpd32 sebagai server tftp, aplikasi ini digunakan untuk meng-upload asdm image ke dalam cisco ASA.
Untuk meng-upload asdm image kedalam ASA, masuk kedalam cisco ASA dan ketik perintah berikut :
Setelah asdm image masuk kedalam flash, aktifkan asdm menggunakan perintah berikut :
