NAT(Network Address Translation),PAT 개념 및 구성

1. NAT(Network Address Translation)

Network 계층의 주소(IP)를 변환시켜주는 기술이다. (IP Header의 주소를 다른 주소로 바꾸는 기술)

IP 주소는 공인 IP 주소와 사설 IP 주소로 구분된다. 

일반적으로 사설 IP 주소를 공인 IP 주소로 변환시키는 경우 많이 사용된다. 

 

공인 IP 주소 : 유료, 외부(Public Network)와 통신 가능. 
사설 IP 주소 : 무료, 외부(Public Network)와 통신 불가능.

2. 사설 IP 대역

클래스	사설 IP 대역	네트워크 IP 대역
Class A	10.0.0.0/8	10.0.0.0 - 10.255.255.255
Class B	172.16.0.0/12	172.16.0.0 - 172.31.255.255
Class C	192.168.0.0/16	192.168.255.255

3. NAT 장점

1) 공인 IP주소 절약

1개의 공인IP에 여러개의 사설 IP를 할당 할 수 있어서 주소를 절약할 수 있다.

 

2) 네트워크 보안

NAT를 사용하면 내부에서 사용하는 IP를 외부에서 알 수 없다.

 

3) 효과적인 주소 할당

사설IP는 내부에서 IP를 설정하므로 관리자가 원하는대로 네트워크를 할당함으로써 라우팅 네트워크 성능이 향상되고 장애처리가 쉬워진다.

 

4. Cisco에서 NAT구분

1)   Dynamic NAT (N:N) 

2)   Static NAT (1:1) 

3)   PAT-Port Address Translation (1:N) 

4)   PAR-Port Address Redirection(Port Forwarding) 

 

NAT는 공인 IP와 사설 IP 경계 Device(공유기/Router/Firewall..)에서 구성한다.

5. Network Configuration

 

NAT LAP

 

1)  Dynamic NAT(N:N)

- Dynamic NAT는 '공인 IP 그룹'과 '사설 IP 그룹'을 생성하여 동적으로 Mapping 하는 방식. 
- NAT를 수행하는 Device에는 NAT Table이 형성된다.  NAT Table은 어떤 사설 IP 주소가 어떤 공인 IP 주소로 변환되었는지 Mapping 정보를 갖고 있다. 
-   외부에서 응답 트래픽이 돌아오는 경우 NAT Table 정보를 확인하여 원래 출발지 장비에게 전달하는 것이 가능하다. 
-   Dynamic NAT의 경우 NAT Table이 평상시에는 존재하지 않는다. 내부에서 외부로 통신 통신하는경우 임시적으로 생성되는 정보이고, 외부에서 내부로 먼저 접근하는 것은 불가능하다. 

 

Ex) 다음 조건에 따라 Dynamic NAT를 구성하시오. 
     - 공인 IP 주소 : [211.100.10.0/24] 
     - 사설 IP 주소 : [10.10.10.0/24] 

 

HQ Router 설정

HQ(config)#ip nat pool Global_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0 HQ(config)#access-list 1 permit 10.10.10.0 0.0.0.255 HQ(config)#ip nat inside source list 1 pool Global_IP HQ(config)#int fa 0/0 HQ(config-if)#ip nat inside HQ(config-if)# HQ(config-if)#int fa 0/1 HQ(config-if)#ip nat outside

pool Global_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0 
211.100.10.0/24 공인 아이피 네트워크 대역을 Global_IP라는 이름으로 할당 
ip nat inside source list 1 pool Global_IP 
출발지 IP가 Access-list 1번에 포함되어있으면 NAT Pool에 있는 공인 IP로 바꿔서 보낸다.

ip nat inside: NAT 통신이 들어오는 포트에 설정

 

show running-config

interface FastEthernet0/0 ip address 10.10.10.254 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.100.1 255.255.255.0 ip nat outside duplex auto speed auto ! ip nat pool Global_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0 ip nat inside source list 1 pool Global_IP ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 ip route 0.0.0.0 0.0.0.0 1.1.100.2 !

 

1.1) NAT 변환 과정 (사설 -> 공인)

 

Inbound Packet

 

 

Outbound Packet

 

1.2) NAT 변환 과정 (공인 -> 사설)

 

Inbound Packet

 

Outbound Packet

 

show ip nat translations

show ip nat translations

clear nat translation: nat translation Table을 초기화 한다.

2. Static NAT(1:1)

 

- 사설망 내부에 외부로 공개되어야 하는 Server가 존재하는 경우 해당 Server의 IP 주소는 사설 IP 주소이기 때문에 외부에서 먼저 접근하는 것이 불가능하다. 
  
-  위와 같은 문제를 해결하기 위해서 'Static NAT'를 사용할 수 있다. 
-  Static NAT는 특정 사설 IP 주소와 특정 공인 IP 주소를 1:1로 MappingMapping 하여NAT Table에 지속적으로 해당 정보를 유지시키는 것이 가능하다. 

Ex)   다음 조건에 따라 Static NAT를 구성하시오. 

     [SVR1: 10.10.10.250] <---> [211.100.10.250] 
     [SVR2: 10.10.10.251] <---> [211.100.10.251] 

 

 

HQ Router설정

HQ(config)#ip nat inside source static 10.10.10.250 211.100.10.250 HQ(config)#ip nat inside source static 10.10.10.251 211.100.10.251

 

do show ip nat translations

HQ(config)#do show ip nat translations Pro Inside global Inside local Outside local Outside global --- 211.100.10.250 10.10.10.250 --- --- --- 211.100.10.251 10.10.10.251 --- ---

 

ping Test

ping test

 

2) PAT-Port Address Translation(1:N)

-  소수의 공인 IP 주소를 사용하여 다수의 사설 IP 장비가 외부와 통신이 가능한 방식이다.
-   사설망의 모든 장비가 동일한 공인 IP 주소를 사용하여 외부와 통신하는 경우 응답 트래픽을 식별하는 것이 불가능하다.  
-   때문에 PAT를 구성하게 되면 L4헤더(TCP/UDP)의 Source Port 번호를 같이 Mapping 하여 응답 트래픽을 구분하는 것이 가능하다.
-   만약 서로 다른 장비가 동일한 Source Port 번호를 사용하는 경우 NAT 장비가 Source Port 번호를 임의적으로 변경하여 처리하게 된다.

 

Ex 1)   다음 조건에 일치하도록 PAT를 구성해보자. 
      -   공인 IP 주소 : [211.100.10.1] 
      -   사설 IP 주소 : [10.10.10.0/24]

 

-   PAT를 구성하기 위해서 HQ Router에서 Dynamic NAT를 삭제하자. 

HQ(config)#no ip nat inside source list 1 pool Global_IP HQ(config)#no ip nat pool Global_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0 HQ(config)#no access-list 1 permit 10.10.10.0 0.0.0.255

 

HQ Router 설정 

HQ(config)#ip nat pool G_IP 211.100.10.1 211.100.10.1 netmask 255.255.255.0 HQ(config)#access-list 1 permit 10.10.10.0 0.0.0.255 HQ(config)#ip nat inside source list 1 pool G_IP overload

 

ip nat inside source list 1 pool G_IP overload: nat 를 적용할 떄 overload를 사용하여 PAT 설정

 

show ip nat translation

 

show ip nat translation

 

-   3대에 PC에서 Ping Test를 한결과 각각 다른 포트 번호를 사용하여 통신한다.