On Wed, Feb 22, 2006 at 05:12:16PM +0700, A. Uliansyah wrote: > saya kalao langganan koneksi internet dari ISP, sering diberi blok IP begini: > (misal lho.. jadi IPnya fiktif) > gateway 192.168.100.1 > IP di kita 192.168.100.2-6 (6 IP) > netmask /29 255.255.255.248 > broadcast 192.168.100.7 > > Yang ingin saya tanyakan, itu di sisi servernya nge-setnya gimana sih? > di route nya? Khususnya kalau pake Linux router yah, kalo pake cisco > kalo ada yang mau nyontohin juga boleh..
Konsepnya sama aja mau IP private ataupun publik. Kita saking udah
terlalu biasa dg situasi NAT jadi yg biasa malah bingung.
ISPRouter----[in]Router[out]--+----A
+----B
+----C
+----D
+----E
+----F
Kita assume kalo di mesin ISPRouter udah dipasang route ke arah
router kita (Router[in]) untuk 1.2.3.0/29.
Nah di router kita tinggal dipasang route lagi aja untuk masing2 host
di dalem. Routenya ke mana ini tergantung interfacenya apa dan gimana
setupnya. Kalo semua di satu LAN segment yg sama (lewat satu outgoing
interface yg sama, yaitu Router[out], ke switch/hub) ya routenya sama
utk keenam IP tsb:
ip route add 1.2.3.0/29 <Router[out]>
atau kalo di Router tsb punya 6 interface (6 network card misalnya) ya
buat satu route utk masing2 interface:
ip route add 1.2.3.2 Router[out]-A
ip route add 1.2.3.3 Router[out]-B
ip route add 1.2.3.4 Router[out]-C
...dst...
Lalu di masing2 hostnya (A-F) tinggal diassign masing2 IP-nya utk
masing2 interface [in]-nya mereka.
Selain pake static routing seperti di atas bisa juga static NAT. Yg
ini konsepnya agak lain. Jadi di LAN segment tempat hosts A-F berada
bisa pake private IP seperti NAT biasa (yg dynamic pake port/PAT),
lalu di Router diterapkan static destination NAT tapi berdasarkan
layer 3 address (IP), bukan layer 4 address seperti yg biasa dipake di
port forwarding. Kekurangannya kalo NAT ini dia ada processing and
memory overhead di Router, jadi saya lebih menyarankan pake yg routing
seperti di atas aja.
Konsepnya sama aja kalo pake cisco router juga. Perintahnya juga
mirip2. Tinggal tambah static routes aja gampangnya.
Sekedar saran, common practicenya sih itu interface Router[out] di
atas kalo satu LAN segment sendiri biasanya disebut DMZ (demiliterized
zone). Jadi utk komputer2 lain yg tidak diexpose ke internet ada di
LAN segment lain lagi supaya sedikit lebih aman, jadi simplenya
seperti di bawah ini Router itu butuh 3 interface (3 network card lah
gampangnya):
ISPRouter----[in]Router[outDMZ]------serverA,serverB,serverC,...
[outLAN]
|
NAT users
Kalo misalnya anda cuma dapet /29, maka yg di DMZ segment cuma bisa 5
hosts aja maximum, satu lagi addressnya dipake buat yg NAT segment.
Ronny
signature.asc
Description: Digital signature
