10월 30일 NAT 복습

- NAT

- Network address translation 

- 공인 IP <-> 사설IP 

   사설 IP <-> 공인IP

   (이것은 케이스다)

   (정석은 네트워크 주소를 바꾸어 주는 것이다.)

   

- 네트워크 대역대를 변경 

192.168.0.1 (사설 IP)

   -> 49.170.128.64 

1) NAT를 설정할때 

2) access-list로 내부 IP를 리스트로 작성 

3) ip NAT POOL로 POOL을 생성 

    START IP , END IP 

Network

static NAT늘 POOL이 필요없다. 그러나 내부 NAT를 사용하는 호스트는 

여러 대가 존재하기 때문에 1:1NAT는 거의 사용하지 않는다.

4) IP NAT inside source 

    list 번호 pool 이름 

    (overload : 내부의 여러 IP가 하나의 공인 IP를  사용할 때)

    시스코에서는 다른말로 part 라고 한다.

방화벽은 port별로 다르게 IP를 지정. 

하드웨어 NAT

소프트웨어 NAT

1) 라우터에서 사용하는 NAT는 대부분 소프트웨어 NAT 

    (OS에서 NAT 기능을 올린다.)

- resource를 많이 사용

   (메모리를 사용)

- 패킷을 CPU가 읽고 IP 변환 시켜서 보내고 

  하는 시간적 딜레이가 발생 

  (1G정도의 속도로 들어오면 900M정도로 흐름 = NAT 성능 90% )   

   

2) 하드웨어 NAT

: 공유기, 단말, 방화벽등에서 많이 사용.

: NAT 칩을 사용.

: resource를 적게 잡아먹고 

  딜레이도 적게 발생한다. 

3) port-frowarding 

   ->외부에서 내부로 접근불가능 

   -> 내부에 있는 서버등을 외부에서도 사용할 수 있게 하는 것 

   -> 서버가 있는데 8080 

   -> NAT에서 포트포워딩 

        내부 IP 가 210.1.1.1 서버 

외부 IP가  211.117.114.39 

포트포워딩 설정 

211.117.114.39:8080 

 -> 210.1.1.1:80

8080을 입력하면 내부분 210.1.1.1로 접근하게 됨. 

-> 다른 사람이 추론하지 못하도록 포트번호를 모르는 번호로 사용함. 

     8080은 사용하지 않는다. 3771과 같은 모르는 포트번호를 사용. 

DMZ - 모든 포트가 열려있는 영역 

alg - 특정 포트번호가 있는데 끈김없거나/차단을 하는 기능. NAT로 나가지 않는다. 

        방화벽이 생긴 이유로 사용하지 않는다. 

MPLS => lable 번호를 보고 packet forwarding. 라우팅 테이블 참조하지 않는다. 

nat 설정 명령어 

access-list 1 permit 192.168.1.0 0.0.0.255 

ip nat pool 10.1.1.1 10.1.1.1 255.255.255.252 

ip nat inside source list 1 pool nat_pool overload 

각  interface gi/01, interface gi 0/0에 각각 

ip nat inside

ip nat outside 

설정 . 

debug ip icmp 

=>  ping을 보낼 라우터에 위와 같이 설정. 

=> DST가 10.x.x.x로 나와야 한다. 

=> NAT는 사설IP를 공인 IP로 바꾸는 기술이다. 

=> 해당 라우터는 이미 바꾸어 나온 IP 

=> 따라서 10.대가 나온다. 그러나 192.168.대가 나온다면 잘못 설정하여 변환이 안되었다는 것을 의미 .

show ip nat translatin 

가운데 라우터 내부ip를 외부ip로 변경가능한 라우터에서 조회. 여기서는 가운데 라우터이다.