7월 5일 ACL, NAT 실습

7월 5일 L2-L3 스위치 구축

NAT

1) IP의 낭비를 줄이기 위해서 

   사용.(여러개의 사설 IP를 하나의 공인 IP로 사용 가능)

   

2) 보안이 강화됨( 외부에서 내부의 IP를 알 수 가 없다.)

3) IP는라는 것은 유한 0.0.0.0 ~ 255.255.255.255

   ->공인 IP / 사설 IP 

   -> subnetting / NAT (IP가 유한해서)

4) NAT 

   - software NAT

   - hardware NAT

   - 변환이 되어서 나감.

     ->  NAT 성능 : 속도 차

              : NAT 변환이후 속도/Full bandwidth

   - NAT table : 

    (사설 IP/ MAC / 변환 IP / 변환 MAC + port #)

    1:N NAT인 경우에는 이 Port #로 구별을 한다. (TCP/UDP)

   - NAT는 내부에서 외부로 트랙픽이 나가지 않는 이상 세션이

     세션이 생성되지 않아서, 외부에서 내부로 통신이 되지 않는다.    

   - ASA

   - port-forwarding / DMZ

     차후에 실습

   - 설정할 수 있는 장비나 디자인이 다르기때문에, CLI보다는 이론을 

     이해하시는게 더 좋음.

   

   - NAT/Debug 활용 

   

   - VPN(ISP - 인터넷 서비스 프로바이더 

     KT, LG, CNS, SK Broadband, CJ ehllovision 지역사업자

     ISP망을 통해서 전용회선처럼 사용)   

Control Plane    - ACL

Data Plane       - 데이터를 보내주는 역할 

Managament Plane - CLI 

1) DHCP는 가능

2) PC2는 router로 DHCP router telnet이 되면 안됨 

3) PC1은 DHCP router로 ping이 되면 안됨.

NAT 설정

망을 구성해서 ACL과 NAT를 활용

WAN/Serial-cable 사용(CCNA 덤프)

<실습2>

1) 모든 Router에 Telnet을 뚫어놓고 , OSPF쪽 라우터에서 EIGRP를 쓰는 Router로

   telnet이 불가능 하도록 ACL을 이용하여 막으시오.

   

   

2) 172.16.1.0/24 대역과 192.168.1.0/24 대역은 통신이 되지 않도록 하시요.

ip address 20.1.1.14 255.255.255.252 수정해

router 

default-information originate 

-> default router 를 설정해줘야 한다.

static router 

router2

access-list 123 deny tcp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 30.1.1.0 0.0.0.3 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 20.1.1.0 0.0.0.255 eq 23 

access-list 123 permit ip any any 

ip access-group 123 in

access-list 102 deny icmp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 2

access-list 102 permit ip any any 

ip access-group 102 in

sw tr en dot1q

sw mo tr

<debug 활용 실습>

해당 라우터에 ping을 디버깅 하고 싶다고 가정한다면 debug ip icmp를 입력한다. 그러면 라우터에 ping이 지나갈 때마다

ping에 대한 정보를 볼 수 있다. 장애 처리시 유용하다.

cutom-queue = QOS 관련 디버그 

frame-realy = 잘 안씀

ntp         = network time protocol (시간 동기화)

ppp         = 점 대 점 프로토콜 

<실습>아래와 같이 토폴로지를 구성하고 NAT를 설정해보자.

1. NAT를 올리는 순서

   1) Access-list를 생성(standard)

      : Access-list가 포함할 정보

    ->내부의 IP / 사설 IP

(밑에서 밖으로 나갈 사설 IP들의 

  IP list를 만들어 준다.)

   2) NAT pool을 생성 

       : 외부로 나갈 IP list를 만들어준다.

         (공인 IP 대역)

          명령어 입력시 start ip와 end ip를 지정.

          현 라우터 기준으로 외부와 연결된 IP는 10.1.1.2이므로 

           둘 다 10.1.1.2로 지정.

   

   3) 해당되는 내부 IP의 Access-list와 해당되는 외부 IP의 NAT pool을 

       매칭 시겨준다. ()

   

 .

아래 명령어를 치면 nat table에 등록된 정보를 조회 가능. 

*3 01, 00:54:47.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:48.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:49.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

  4) 해당되는 Access-list를 걸 인터페이스에 

       ip nat inside라고 입력하고 

       외부로 나가는 공인 IP를 달 인터페이스에

       ip nat outside라고 입력한다

ACL을 활용하여 telnet 막기 

참고 - static default routing , static 재분배

default-information originate 

-> default router 를 설정해줘야 한다.