NAT(Network Address Translation)
- NAT
- IP/Port 주소를 변환
- 목적
보안
IP 주소 고갈 문제 해결 - NAT
내부에서 외부로 패킷을 전송하기 위해 설정하는것일 아니라.
내부에서 외부로 전송된 패킷이 다시 되돌아올 수 있게 하기 위해 구성
NAT 구성 요소
-
Inside
내부, 사설IP 환경 -
Outside
외부, 공인 IP 환경 -
Inside Local 주소
Inside 내부에서 사용하는 주소, 사설IP 주소 -
Inside Global 주소
Inside 내부에서 외부로 패킷을 전송할때, 변환되는 주소, 공인 IP 주소 -
Inside -> Outside로 패킷이 전송될때: 출발지 주소 변경
-
Outside -> Inside로 패킷이 전송될때: 목적지 주소 변경
-
종류
- Dynamic NAT
사용자 대상으로 NAT를 동적으로 구성하는 방법
내부 -> 외부- overload(마스커레이딩)
외부로 나갈땐 상관없지만
내부로 들어올때 어떤 PC에서 들어온지 혼동되지 않게 포트번호를 뒤에 붙여 테이블 생성하는 것.
13.13.12.1:1025 <-> 192.168.1.1:1025
13.13.12.1:1026 <-> 192.168.1.2:1026
13.13.12.1:1027 <-> 192.168.1.3:1025 - 코드
@R1
conf t
access-list 10 deny host 192.168.1.253
access-list 10 permit 192.168.1.0 0.0.0.255
!
ip nat pool CISCO 13.13.12.1 13.13.12.5 netmask 255.255.255.0
ip nat inside source list 10 pool CISCO
or
ip nat inside source list 10 interface s1/0 overload
!
int f0/0
ip nat inside
int s1/0
ip nat outside
- overload(마스커레이딩)
- Static NAT
서버를 대상으로 NAT를 정적으로 구성하는 방법
ex) 13.13.12.100로 들어오면 192.168.1.253으로 변환후 접속- inside local: 192.168.1.253(HTTP 서버)
- inside global: 13.13.12.100
=> ip nat inside source static 192.168.1.253 13.13.12.100 (보안에 안좋음)
192.168.1.253의 모든 서비스가 열림
=> ip nat inside source static tcp 192.168.1.253 80 13.13.12.100 80
80포트만 열림 - 코드
@R1
conf t
ip nat inside source static 192.168.1.253 13.13.12.100
or
ip nat inside source static tcp 192.168.1.253 80 13.13.12.100 80
!
int f0/0
ip nat inside
int s10/
ip nat outside
- Dynamic NAT
