NAT

:)·2024년 4월 27일
nat
0

네트워크

목록 보기
15/20

NAT

  • NAT (network address translation) : 네트워크 주소 변환
    • 사설에서 공인IP(SNAT) 또는 공인에서 사설 IP로 변환(DNAT)하기 위한 기법
    • 공인 IP주소의 낭비를 막기 위해 고안, 보안적으로도 권장
    • 공인은 사설로 접근 불가 -> 보안 높음
    • 사설 = 사내망 = 제한된 외부망
    • 목적
      • SNAT 출발지 변환 사설->공인 인터넷 사용
      • DNAT 도착지 변환 공인->사설

사설 공인
컴(여러대) 라우터(공유기) 인터넷
사설(여러개) NAT 공인IP (1개)
inside Local NAT inside Global
inside outside

  • NAT 는인터페이스에 in out 부터 주고 시작

    • ip nat inside (사설대역) NAT로 들어오는 인터페이스
    • ip nat outside (공인대역) NAT로 나가는 인터페이스
      • ip nat in 과 out 확실하게 주고 시작할것

  • NAT의 종류


    
1. static NAT   ( 사설과 공인의 1:1 매칭  DNAT)
    
사설				공인
    
192.168.10.1	========>	10.10.10.10
    
192.168.10.2	==-=====>	10.10.10.20
    
2. Dynamic NAT  다수의 컴퓨터 => 다수의 공인아이피   ->잘안씀
    
사설				공인 Pool
    
192.168.10.1	==무작위====>    10.10.10.10
    
192.168.10.2			10.10.10.20
    
192.168.10.3			10.10.10.30
    
192.168.10.4			10.10.10.40
    
3. PAT   다수의 컴퓨터  =>  1개 공인		-> 주로 쓰임
    
사설			공인 (port)
    
192.168.10.1		10.10.10.10 (port:4444)
    
192.168.10.2		10.10.10.10 (port:2222)
    
192.168.10.3		10.10.10.10 (port:1111)
    
192.168.10.4		10.10.10.10 (port:3333)
    
한개의 공인아이피로 각 사설 아이피가 포트변환후 NAT매칭

  • NAT 쓸때 주의할점 (nat = 프로토콜)

    1. IP변환에 사용할 전역 주소풀 설정(dynamic,static)
      ip nat pool [이름][시작 IP] [마지막 IP][netmask]

    2. 내부에서 IP변환 허용 주소 standard access-list설정
      access-list 번호지정 permit [출발지주소][wildcard]

    3. 동적변환을 수립하기 위한 nat설정(PAT)
      ip nat inside source list [acl번호] pool 이름 overload
      사설 | 공인

      ex) ip nat inside source list 1 interface fa0/0 overload
      • overload - > ip가 나갈수 있도록 포트에 ip를 분배함(분배기)
  • static nat
    • 특정 사설IP를 특정 공인 IP에 매칭
    • 특징: 공인 <==> 사설간의 왕래가 자유로워 서버의 DMZ의 DNAT에서 많이 활용 ip nat inside source static 10.10.10.10 1.1.1.6
      사설 -> 공인
    • source 출발 destination 도착
  • PAT-NAT
    • 다수의 사설IP를 하나의 공인IP로 할당 (port로 분류)
  • nat의 패킷 확인: debug ip nat
  • dns 확인
    ip name-server 1.1.1.6
    ip domain-lookup


NAT.pkt

  • 사설끼리 통신이 안되는 이유
    - 인터넷 종단점의 라우터에서 ip route 0.0.0.0 0.0.0.0 (인터넷 GW) 로 보내지만
    인터넷에서는 사설로 라우팅 안함 = 공인끼리는 통신이 되지만 사설로는 도달하지 않음

wildcard mask

- 넷마스크의 반대개념(연속되지 않은 네트워크도 표현가능)
- 호스트의 개수를 표현, 네트워크 정책을 좀더 유연하게 설정하기 위한 기법 ->기존 IP 반대로 적기
- 예
    - 255.255.255.252        0.0.0.3      
      255.0.0.0		         0.255.255.255 
      255.255.248.0		     0.0.7.255
        
    - 192.168.1.0/24 서브넷중 짝수/홀수 호스트만 설정하는 네트워크와 와일드 카드 마스크
    (짝수)192.168.1.0	0.0.0.254
    (홀수)192.168.1.1	0.0.0.254
profile
:)
:) GITHUB: https://github.com/YJ2123412
이전 포스트

DHCP

다음 포스트

ACL

0개의 댓글