## NAT (Network Address Tranlsation)
-IP주소의 낭비를 최소화 하기위해서 사설 주소를 공인 주소로 변환하는 기능
-ISP와 같은 공중망은 공인 주소를 사용하여 네트워크를 구성하며
사설망은 사설 주소를 사용하여 네트워크를 구성한다.
-ISP에서는 출발지 주소가 사설 대역인모든 트래픽을 차단한다.
## NAT의 기능
-외부에서는 내부의 사설 주소를 확인할수 없다.
-외부의 다른 네트워크에서도 자신과 동일한 사설 주소를 사용할수 있다. (Overlapping)
-다수의 사설 주소가 소수의 공인주소를 사용하여 통신이 가능 (Overloading)
## 사설 주소 범위
-A class : 10.x.x.x
-B class : 172.16.0.0 ~ 172.31.255.255
-C class : 192.168.0.0 ~ 192.168.255.255
EX) ISP에서 출발지 주소가 사설대역인 모든 트래픽을 차단해야하며 나머지 모든 트래픽은 허용되어야 한다.
S1/0 S1/1
Soldesk-----------------------ISP (Internet)
|
|
172.16.0.0/16
# ISP
access-list 1 deny 10.0.0.0 0.255.255.255
access-list 1 deny 172.16.0.0 0.15.255.255
access-list 1 deny 192.168.0.0 0.0.255.255
accesx-list 1 permit any
!
interface serial 1/1
ip access-group 1 in
!
-----------------------------------------------------------------------------------------------
# Static NAT
-사설 주소와 공인주소가 1:1로 변환되는 기능이다.
-Static NAT구성시 외부망에서 목적지를 공인주소로 통신을 실시하게되면
Static NAT에 의해 사설주소로 변경이 실시된다. (역변환 기능 가능)
[설정 방법]
171.160.70.0/24 192.168.10.0/24
S1/0 S1/1 Fa0/1 Fa0/1
R1----------------------------R2----------------------------R3
|
Loop 211
211.241.228.18/24
EX1) R2는 출발지 주소가 192.168.10.3인 주소가 외부 네트워크로 통신시
공인주소 121.160.70.2(Serial 1/1)로 변환되어져야 한다.
# R2
ip nat inside source static 192.168.10.3 121.160.70.2
!
interface fa0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
---------- OR ----------
# R2
ip nat inside source static 192.168.10.3 interface serial 1/1
!
interface fa0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
정보 확인
R2# show ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 121.160.70.2 192.168.10.3 --- ---
R2# debug ip nat
IP NAT debugging is on
R3# ping 211.241.228.18
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.18, timeout is 2 seconds:
!!!!!
### R2에서 Debug 정보 확인 실시 ##
*Mar 1 00:26:10.923: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [5]
*Mar 1 00:26:10.939: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [5]
*Mar 1 00:26:10.963: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [6]
*Mar 1 00:26:10.991: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [6]
*Mar 1 00:26:11.023: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [7]
*Mar 1 00:26:11.051: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [7]
*Mar 1 00:26:11.079: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [8]
*Mar 1 00:26:11.107: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [8]
*Mar 1 00:26:11.135: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [9]
*Mar 1 00:26:11.155: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [9]
## Static NAT 역변환 정보 확인
R2# debug ip nat
IP NAT debugging is on
R1# ping 121.160.70.2 source 211.241.228.18
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 121.160.70.2, timeout is 2 seconds:
Packet sent with a source address of 211.241.228.18
!!!!!
### R2에서 Debug 정보 확인 실시 ##
*Mar 1 00:28:09.899: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [0]
*Mar 1 00:28:09.919: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [0]
*Mar 1 00:28:09.947: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [1]
*Mar 1 00:28:09.975: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [1]
*Mar 1 00:28:10.007: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [2]
*Mar 1 00:28:10.031: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [2]
*Mar 1 00:28:10.063: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [3]
*Mar 1 00:28:10.091: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [3]
*Mar 1 00:28:10.123: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [4]
*Mar 1 00:28:10.143: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [4]
# R2 , R3
line vty 0 4
password cisco
login
!
enable secret cisco
!
-R1의 211.241.228.18이 목적지 주소를 121.160.70.2로 Telnet접속을 실시하게되면
NAT변환에의해 목적지 주소가 192.168.10.3으로 변환되기때문에
R2가 아닌 R3으로 Telnet 접속이 실시된다.
R1# telnet 121.160.70.2 /source-interface loopback 211
Trying 121.160.70.2 ... Open
User Access Verification
Password:
R3> <--- NAT 변환에 의해 R3으로 접속
###### 정보 확인 실시후 Static NAT 설정 삭제 ######
# R2
no ip nat inside source static 192.168.10.3 121.160.70.2
!
interface fastethernet 0/1
no ip nat inside
!
interface serial 1/1
no ip nat outside
!
-NAT Table에 변환된 주소 정보가 존재하게되면 NAT설정은 삭제되지 않는다.
['clear ip nat translation *' command를 사용하여 NAT table삭제후 NAT 설정을 삭제할수 있다.]
------------------------------------------------------------------------------------
# Dynamic NAT
-Dynamic NAT는 다수의 사설주소가 소수의 공인주소로 통신이 가능하다.
-하나의 사설주소가 하나의 공인주소를 할당받아 통신후 통신이 완료되면
해당 주소를 다시 반납하기때문에 외부네트워크에서 변환되는 공인주소로 통신을 실시하여도
사설주로로의 변경은 실시되지 않는다.
# R3
interface fa 0/1
ip address 192.168.10.1 255.255.255.0
ip address 192.168.10.2 255.255.255.0 secondary
ip address 192.168.10.3 255.255.255.0 secondary
!
정보 확인
R3# ping 192.168.10.254 source 192.168.10.1
R3# ping 192.168.10.254 source 192.168.10.2
R3# ping 192.168.10.254 source 192.168.10.3
EX1) R2는 192.168.10.0/24 네트워크가 외부 네트워크로 통신시Serial 1/1 (121.160.70.2)로
변경되어 통신이 실시 되어져야 한다.
1. ACL을 사용하여 사설 주소의 범위를 지정
2. NAT Pool을 사용하여 공인 주소의 범위를 지정
3. IP NAT기능을 사용하여 사설 주소와 공인 주소를 대입
4. Interface에 In/Out side를 적용
# R2
access-list 1 permit 192.168.10.0 0.0.0.255
!
ip nat pool CCNA 121.160.70.2 121.160.70.2 netmask 255.255.255.0
!
ip nat inside source list 1 pool CCNA overload
!
interface fa0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
정보 확인
R2# debug ip nat
IP NAT debugging is on
R3# ping 211.241.228.18 source 192.168.10.1
R3# ping 211.241.228.18 source 192.168.10.2
R3# ping 211.241.228.18 source 192.168.10.3
R2# show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 121.160.70.2:7 192.168.10.1:7 211.241.228.18:7 211.241.228.18:7
icmp 121.160.70.2:8 192.168.10.2:8 211.241.228.18:8 211.241.228.18:8
icmp 121.160.70.2:9 192.168.10.3:9 211.241.228.18:9 211.241.228.18:9
### R2에서 Debug 정보 확인 실시 ##
*Mar 1 00:44:19.903: NAT*: s=192.168.10.1->121.160.70.2, d=211.241.228.18 [50]
*Mar 1 00:44:19.907: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.1 [50]
*Mar 1 00:44:22.011: NAT*: s=192.168.10.2->121.160.70.2, d=211.241.228.18 [55]
*Mar 1 00:44:22.043: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.2 [55]
*Mar 1 00:44:25.203: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [60]
*Mar 1 00:44:25.239: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [60]
-Dynamic NAT는 역변환을 지원하지 않기때문에
R1의 211.241.228.18을 출발지로 R2의 121.160.70.2로 Telnet접속을 실시하게되면
NAT변환없이 R2로 접속이 실시된다.
R1# telnet 121.160.70.2 /source-interface loopback 211
Trying 121.160.70.2 ... Open
User Access Verification
Password:
R2>
[NAT PRE CONFIG]
# R1
en
ter le 0
conf t
!
no ip domain-lo
!
line con 0
logging sy
exec-t 0 0
exit
!
hostname R1
!
interface loopback 211
ip address 211.241.228.18 255.255.255.0
!
interface serial 1/0
no shutdown
ip address 121.160.70.1 255.255.255.0
!
router rip
version 2
no auto-summary
network 121.0.0.0
network 211.241.228.0
!
# R2
en
ter le 0
conf t
!
no ip domain-lo
!
line con 0
logging sy
exec-t 0 0
exit
!
hostname R2
!
interface fa 0/1
no shutdown
ip address 192.168.10.254 255.255.255.0
!
interface serial 1/1
no shutdown
ip address 121.160.70.2 255.255.255.0
clock rate 1612800
!
router rip
version 2
no auto-summary
network 121.0.0.0
!
# R3
en
ter le 0
conf t
!
no ip domain-lo
!
line con 0
logging sy
exec-t 0 0
exit
!
hostname R3
!
interface fa 0/1
no shutdown
ip address 192.168.10.3 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.10.254
!
ip nat inside sourceat 192.168.10.3 121.160.70.2
!
int fa 0/1
ip nat inside
!
int se 1/1
ip nat out
!
'로그 저장소 :) > 네트웍.Network' 카테고리의 다른 글
| [CCNA] RIP (0) | 2012.11.04 |
|---|---|
| [CCNA] Static Route (0) | 2012.11.04 |
| [CCNA] DHCP (0) | 2012.11.04 |
| [CCNA] IP Address (0) | 2012.11.04 |
| [CCNA] Interface (0) | 2012.11.04 |