■ NAT(network address translation)
□ NAT란?
- 비공인 사설 ip주소를 공인 ip주소로 변환하는 기술
- 내부망은 공인 ip의 소모를 막기 위해 사설ip를 사용하지만
외부망인 인터넷망은 사실 관계에 따른 ip실명을 원칙으로
국제표준에 제시된 국가별 공인 ip를 사용하도록 interNIC에
규정되어 있으므로 인터넷망에서는 공인 IP를 사용함
- NAT는 외부와 라우팅이 불가능한 사설 IP주소를 공인 IP주소로 변환하여
외부와 통신이 가능하게 만들거나, 조직 내부의 주소가 외부로 공개되지
않도록 하여 보안을 강화하기 위한 목적으로 만들어짐□ NAT 동작 방식 및 동작 시점
- NAT는 지정된 조건에 부합될 경우, 설정된 정책에 따라 IP주소 변환
▷동작 시점
1.Inside 에서 Outside로 이동할 경우
- 패킷의 출발지와 연결된 인터페이스 ACL이 설정되어있을 경우
ACL을 먼저 체크함.
- PBR(정책 라우팅) 라우팅 대상인지확인
- 라우팅 테이블을 참조하여 인터페이스 확인
- NAT정책을 확인하여 주소 변환
- CBAC 수행
- Outbound ACL 확인
2.outside에서 inside 방향일 경우
- 주소변환이후 라우팅이 이루어짐□ NAT 종류
▷ NAT
1. 정적 NAT
-NAT 테이블에 주소 변환 정보가 고정됨.
-사설 IP가 공인 IP로 변환될 때 1:1로 매칭
-관리자가 직접 변환주소를 지정
-ip nat :주소 매핑 명령어
-inside source : 사설 IP
[Local IP] [Global IP]Router(config)#ip nat inside source static 192.168.0.1 203.200.11.2 #nat 지정
어디가 외부이고 내부인지 알려줌
Router(config)#int s0/0
Router(config-if)#ip nat outside
Router(config-if)#int fa0/0
Router(config-if)#ip nat inside
변환 확인 방법
Router#sh ip nat translation
Inside Global:
Inside Local : 사설 IP주소
Outside Local: 공중 네트워크에서 도달 가능한 주소
Outside Global: 외부 장치에 할당된 IP, NAT를 적용하는 네트워크 장치에
접속한다면 외부로컬과 외부 글로벌 주소가 동일
- 동적 NAT
- NAT 테이블에 주소 변환 정보가 임시로 등록됨.
- 변환 IP주소 대역 지정
- Pool: 공인 주소 그룹
- Pool Name :그룹명
- list : ACL로 사설 IP 범위를 지정
해줘야 하는 것들
a. 사설 IP범위 지정
Router(config)#access-list 1 permit 192.168.0.1 0.0.0.255
Router(config)#access-list 1 permit 192.168.0.2 0.0.0.255
Router(config)#access-list 1 permit 192.168.0.3 0.0.0.255
b. 공인 Ip범위 지정
Router(config)#ip nat pool [pool name][시작 ip] [마지막 ip] netmask [subnet mask] #시작에서 마지막 사이 다 포함됨
Router(config)#ip nat pool R1 203.200.11.2 203.200.11.5 netmask 255.255.255.0
c. nat 설정
Router(config)#ip nat inside source list [ACL number] pool [Pool Name]
Router(config)#ip nat inside source list 1 pool R1
d. 내부, 외부 설정
정적 이랑 동일
pc 3개에 nat가 2개 구성 되어 있다면 pc 하나는 통신이 불가
설정 지우기
Router#clear ip nat translation *
Router(config)#no ip nat inside source list 1 pool R1
▷ PAT (Port address translation)
- 사설IP주소를 공인 IP주소로 변환시 포트번호를 사용
- 포트 번호를 이용해 1개의 공인 IP로도 여러 사용자가 인터넷을 사용할 수 있음
- NAPT (Network address port translation)이라고도 함
- 동적 PAT(Nat Overload)
-Nat 테이블에 주소 변환 주소가 임시로 등록됨
-변환 IP 주소를 인터페이스 또는 IP 대역으로 지정 가능
- 동적 NAT설정에 overload 옵션을 사용하면 동적 PAT로 동작
Router(config)# ip nat inside source list 1 pool R1
Router(config)# ip nat inside source list 1 int se0/0 overload
[연습문제]
공인 아이피 203.200.11.5만 사용하여 내부의 PC가 인터넷을 사용할 수 있도록 해보세요
=> 공인 ip 하나만 등록하고(처음과 끝 동일한 ip) ip nat inside source list 1 pool R1 overload
- 정적 PAT (포트포워딩 port forwarding)
_# ip nat inside source static [ udp/ tcp ][내부 ip] [포트번호][외부 IP] [외부의 포트번호]
Router(config)#ip nat inside source static tcp 192.168.0.10 80 203.200.11.1 80
Router(config)#ip nat inside source static tcp 192.168.0.10 22 203.200.11.1 20022
