상세 컨텐츠

본문 제목

cisco NAT

개념

by 주스로그 2024. 9. 24. 11:07

본문

728x90
반응형

NAT(Network Address Translation)이란 주소 변환 기술으로,

사설 IP주소를 만들어 내부 망에서 공인 IP가 아니더라도 통신이 가능하게 하는 기술이다.

 

이는 인터넷과 그 사용량이 많이 지며 공인 IP가 부족해지는 현상을 완화하기 위해 제안된 기술로,

사설 IP주소로는 외부 라우팅이 불가능하기 때문에 공인으로 변환시켜 통신한다.

 

NAT의 목적은 보안, ipv4부족현상의 완화, 공인 IP 사용비용 감소 등이 있다.

GNS3를 이용하여 R1라우터를 기준으로 사설 IP와 공인 IP를 사용하는 구성도

더보기

구성도에 맞는 GNS3 환경 구성

1) 통신 체크

라우터에서 상대 라우터 200.200.200. 으로

라우터에서 Private VPC 로 본인의 VPC 에서 상대 라우터 200.200.200. 로

 

2) 인터넷 되게 하려면 : Default route

R1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.254

R1#sh ip route

~

C 200.200.200.0/24 is directly connected, FastEthernet0/1

C 192.168.241.0/24 is directly connected, FastEthernet0/0

S* 0.0.0.0/0 [1/0] via 200.200.200.254

 

3) 라우터에서 ping 8.8.8.8

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 36/51/56 ms

TTL이 63으로 -1된 모습

200.200.200.x인 같은 네트워크 통신 상에서 왜 TTL이 감소했나?

상대방 ping요청 시 라우터를 지나 안쪽 사설 VPN을 찍고 나오면서(라우터를 지나며) 

결과적으로 TTL이 1감소한 것을 확인할 수 있다

 

cisco nat를 설정하기 전, 꼭 안/밖을 선언하고 시작해야한다!

 

CISCO NAT의 종류

  • static NAT
  • dynamic NAT
  • NAT PAT

1) Static NAT

관리자가 직접 NAT table 전환정보를 관리

사설 IP 1 : 공인 IP 1 (일대일) = 양방향 NAT

 

R1(config)#ip nat inside source static 192.168.192.100 200.200.200.193

ip nat inside source statice ~ 명령을 통해 static table 작성

sh run을 통해 정책 목록 확인 가능
sh ip nat translation으로 table확인 가능
외부로 통신 가능한 것 확인

2) dynamic NAT

장비가 직접 NAT table 전환 정보를 생성, 관리

사설 IP N : 공인 IP M(공인IP주소 개수에 따라 결정) (다대다) 

* 변환기록이 있어야한다 * = 외부로 나가는 기록이 table에 있어야 그 ip로 들어올 수 있음!

   ㄴ하나당 하나의 공인IP를 쓰고싶지만 외부에서 들어오지 못하게 하고싶을때! 유용하다!

다수의 사설 IP주소를 지정된 개수의 공인 IP로 변환(동시 통신이 가능)

 

access-list는 사설 IP정보를 설정하는 것(ACL)

wild mask를 통해 범위 설정

wild mask 설정 방법은 subnet mask/wild mask 구분에서 설명한다

2024.09.24 - [네트워크(Network)] - subnet mask/wild mask 구분하기

 

subnet mask/wild mask 구분하기

subnet mask와 wild mask는 모두 mask라 비슷한 기능이라 생각하는 사람들이 있지만,완전히 다른 기능을 통해 구분하고 있다 표를 통해 구분해보자 subnet maskwild mask목적net id, host id의 경계선, NA,BA,HA의

zuchnology.tistory.com

변환에 사용할 공인IP정보를 pool에 지정
NAT 정책 설정
sh run(정책 확인)
nat table 확인 시, 아직 통신 기록이 없음
구성도에서 내부망의 PC1이 ping
다시 table을 확인하면 작성된 것을 볼 수 있음
PC2에서도 ping요청 후 다시 확인하면 PC2의 정보도 기록

변환된 공인 IP가 NAT를 거치고 기본 사설 IP로 내부에 도달, 8.8.8.8은 처음부터 공인IP이기 때문에 바뀌지 않음

3) NAT-PAT = NAT overload

사설 네트워크 내부의 호스트 통신을 위해 사용

사설 IP N : 1 (일대다) : 하나의 공인 IP로 변환

                      ㄴ 공인 IP주소는 변화하지 않지만 그와 함께 PORT번호를 설정해야한다 = PORT translation

access list 설정
sh ip interface brief를 통해 이더넷 인터페이스 확인
overload 설정
sh run으로 정책 확인

PAT는 pool or interface 둘 중 하나 선택하여 정책을  적용한다

=> insterface 주소를 이용하면 pool을 사용하지 않고 nat를 설정한다

내부 PC1에서 외부ping 확인
table 확인하면 모든 사설 IP(100,200)가 192로 나가는 것을 확인 가능

728x90
반응형

'개념' 카테고리의 다른 글

DISK vmdk  (1) 2024.09.24
iptables NAT  (0) 2024.09.24
PKI기반 인증서 관리  (0) 2024.03.04
DHCP Relayagent  (0) 2024.02.28
DNS Mail Server  (0) 2024.02.23

관련글 더보기

티스토리툴바