08. NAT

* 강사님 필기 노트 :

03-30.txt

* 내꺼 :

0330_me.txt

 

 

* NAT(Network Address Translation; 주소 변환)
=> 1:1 static NAT
=> dynamic NAT

1> 사용 이유

① IPv4 (ICANN | ANA RIP) 의 고갈 *** (NAT를 사용하게 되면 공인IP 주소 절약)
② 환경에 따라 적절하게 주소 변경 --> 보안성 향상 효과 (변환 전 주소가 가려진다)

사설 주소 : 공인 주소
    1            1 --> (1:1) static nat 
    m            m      --> dynamic nat
약60000개    1개 이상  --> PAT

2> 단점

답변: ip 주소 변경에 따른 세션 연결에 문제가 생길 수 있고, 주소 변환에 따른
연산 부하가 높습니다.

① NAT traversal
② STUN(Session Traversal Utilities for NAT)
③ 연산 부하
...

 

* 실습 ( 1:1 static NAT)

- 변경 전

↓

// 작업순서

 

0. 기본 체크

1. in/out
2. 범위
3. nat 문법

 

// 0. 기본 체크

3월 28일에 저장했던 GNS 호출

show ip access-list
show run | in access-list
conf t
no access-list xx

show ip int brief
인접핑
show ip route

 

// 1. in/out

inside(internal)= 노란색 포트 : 사설주소 연결, 내부, 변환전 대상
outside(external) = 빨간색 포트 : 외부 네트워크 연결, 변환후 주소

R1
conf t
int fa 0/0
ip nat inside
int fa 0/1
ip nat outside
exi

R5
conf t
int fa 0/1
ip nat inside
int fa 0/0
ip nat outside
exi

 

// 2. 범위

내부에서 사용하는 사설주소의 범위 => access-list
외부로 나갈때 변환될 공인주소의 범위 => pool 
cisco는 1:1 인 경우 생략

 

// 3. nat 문법

R1
conf t
ip nat inside source static 10.1.1.1 11.1.1.1
--> 10.1.1.1 신호를 11.1.1.1 로 변경
end
show run | in ip nat inside

R5
conf t
ip nat inside source static 10.1.1.1 22.1.1.1
--> 10.1.1.1 신호를 22.1.1.1 로 변경
end
show run | in ip nat inside

 

// S1, S2 IP 주소 변경 ( 11.1.1.1 (22.1.1.1) → 10.1.1.1)

S1
conf t
int fa 0/0
ip add 10.1.1.1 255.255.255.0
end
show ip int brief
show run int fa 0/0
show run | in ip route
conf t
// 하기 전에 show ip route로 확인!
no ip route 0.0.0.0 0.0.0.0 11.1.1.254
ip route 0.0.0.0 0.0.0.0 10.1.1.254

S2
conf t
int fa 0/1
ip add 10.1.1.1 255.255.255.0
end
show ip int brief
show run int fa 0/1
show run | in ip route
// 하기 전에 show ip route로 확인!
conf t
no ip route 0.0.0.0 0.0.0.0 22.1.1.254
ip route 0.0.0.0 0.0.0.0 10.1.1.254

 

// R1, R5 도 IP 변경! ( 11.1.1.254 (22.1.1.254) → 10.1.1.254)

R1
// show ip int brief
conf t
int fa 0/0
ip add 10.1.1.254 255.255.255.0
exi

R5
// show ip int brief
conf t
int fa 0/1
ip add 10.1.1.254 255.255.255.0

 

 

// 변환 확인

R1

show ip nat translations
debug ip nat detailed

S1

ping 22.1.1.1

 

R1

 

 

* 실습 ( m:n dynamic NAT)

- 실습 들어가기 전에 준비물!

// static NAT 주소 삭제

R1
show run | in ip nat inside
conf t
no ip nat inside source static 10.1.1.1 11.1.1.1
end
show run | in ip nat inside
R5
show run | in ip nat inside
conf t
no ip nat inside source static 10.1.1.1 22.1.1.1
end
show run | in ip nat inside

 

*
나 자신
all
cache --> fast switching // process switching

// 통신 장비는 분리되어 있다.
control plane : 제어부
data plane 전송부

// 작업 순서

1. in/out
2. 범위
3. nat 문법

 

// 2. 범위

내부에서 사용하는 사설주소의 범위 => access-list
외부로 나갈때 변환될 공인주소의 범위 => pool      
cisco는 1:1 인 경우 생략 (static NAT)

*pool : 내가 사용할 자원 범위

 

R1
conf t
access-list 15 permit 10.1.1.0 0.0.0.255
access-list 15 remark nat_private_address_scoup

ip nat pool s1 -> s2 11.1.1.1 11.1.1.254 netmask 255.255.255.0

ip nat inside soure list 15 pool s1->s2

R5
conf t
access-list 15 permit 10.1.1.0 0.0.0.255
access-list 15 remark nat_private_address_scoup

ip nat pool s2->s1 22.1.1.1 22.1.1.254 netmask 255.255.255.0

ip nat inside source list 15 pool s2->s1

R1/5
show run | in access-list
show run | in ip nat inside

show ip nat translations *** // 테이블이 없어야 맞음 있으면 삭제!

 

// 변환 확인
R1
#show ip nat translations  // table 안 생겨 있음

S1
#ping 22.1.1.1 => x        // 처음엔 ping 안됨 어떤 ip를 변환할지 몰라서???

S2
#ping 11.1.1.1 => ○       

R1
#show ip nat translations   // table 생김

S1
#ping 22.1.1.1 => ○

 

// 추가
S2 : 10.1.1.2  ip 변경
R5 : nat table 보기(translation) => 22.1.1.2로 변환
S1 : ping 22.1.1.1 // (x) => ping 22.1.1.2 (o)
????

 

OSI 7 layer -> [IP, ARP, DHCP, DNS, NAT]
개념 필!!!!

** CCNA 시험
D:\3월 네트웍기초 서정아\수업자료\덤프\NA덤프_샘플\CCNA시뮬레이션
=> CCNA_simulation_NAT.pkt

CCNA_simulation_NAT.pkt

 

1> 작업 순서
1. in/out
2. 범위
3. nat 문법

R1>CLI
en
cisco
conf t

int fa 0/0
ip nat inside
exi
int s 0/0
ip nat outside
exi

사설주소 범위 => acl : 192.168.100.17 ~ 192.168.100.30/28
access-list 1 permit 192.168.100.16 0.0.0.15
        ↑넷 대표주소(1st)
ip nat pool AA 198.18.184.105 198.18.184.110 netmask 255.255.255.248

ip nat inside source list 1 pool AA overload ****

 

  0000 [16]
X.X.X.0001 0001 [17]
~
X.X.X.0001  1110 [30]

// pc> desktop
ping 192.0.2.114   // S0/1 OUT == Internet 영역

 

 

==================

* 구글링(NAT란?)

http://jwprogramming.tistory.com/30

1> 개념
네트워크 주소 변환(Network Address Translation, 줄여서 NAT)은 IP 패킷의 TCP/UDP 포트 숫자와
소스 및 목적지의 IP 주소 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고 받는 기술

2> 사용 이유
NAT를 이용하는 이유는 대개 사설 네트워크에 속한 여러 개의 호스트가 하나의 공인 IP 주소를
사용하여 인터넷에 접속하기 위함

3> 목적
첫째, 인터넷의 공인 IP주소를 절약할 수 있다는 점

둘째, 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수
있다는 점

* 구글링2(사설IP vs. 공인 IP)
1> 사설 IP  => RFC1918
- 네트워크(Network) 안에서 사용되는 주소. ( 내부적으로 사용되는 고유한 주소 )
- 사설 IP는 하나의 네트워크 안에서 유일.
- 사설 IP(private IP)는 이 이름에서 보듯이 인터넷상에서 확인할 수 없고,
  내부 네트워크에서만 사용 가능한 IP를 말합니다.

ㅇ 사설IP 범위
   A class 1개 : 10.0.0.0 - 10.255.255.255 (8 bit prefix)
   B class 16개 : 172.16.0.0 - 172.31.255.255 (12 bit prefix)
   C class 256개 : 192.168.0.0 - 192.168.255.255 (16 bit prefix)  

2> 공인 IP
- 공인아이피 (Public IP Address)란 공인이 된 IP를 뜻(전세계에서 유일)
- 홈 LAN에서는 서버가 하나의 공인 IP를 할당받아서 프로그램 등을 통해 여러
  컴퓨터가 나누어 쓰는 방식으로 이루어집니다.

ㅇ 공인IP 범위
   Class A : 1 ~ 126 (각각 16M개의 호스트)
   Class B : 128 ~ 191 (각각 65,536개의 호스트)
   Class C : 192 ~ 223 (각각 356개의 호스트)
   Class D : 224 ~ 239 (멀티캐스트 모드)
   Class E : 240 ~ 255 (나중의 위해 예약되었음)

   127.0.0.1 은로컬 커퓨터가 자기자신을 표현하는 루프백 주소이다.