1. NAT ( Network Address Translation )
-
Ip 주소를 변경하는 기술
-
L3 (IP)를 사용하는 기술
-
주로, 사설 주소를 공인 주소로 변경할 때 사용한다
-
NAT를 사용하면 얻는 이점
- 공인 주소의 고갈을 늦출 수 있다
- 실제 서버에 주소를 외부에 노출시키지 않아 방화벽의 기능을 제공한다. 이로인해 NAT는 "주소 변환 방화벽" 이라고도 부른다. 예를 들어, 웹서버에서 서비스를 제공할때 특정 포트로의 접근만 허용한다. 만약 이 포트 외의 기능 ( ex. ping )같은 걸로 웹 서버에 접근하면 NAT 장비에서 해당 트래픽을 차단한다
- ISP에 의존적이지 않도록 서버를 구성할 수 있어 ISP가 변경된 이후에도 기존 설정을 유지할 수 있다. 즉, 공인 Ip가 변경되도, 서버안의 기존 설정을 유지할 수 있다
-
NAT 방식
- 정적 NAT : LOCAL( PRIVATE )과 GLOBAL( PUBLIC )을 1대1 매핑한다. 지정된 사설 주소는 "항상" 지정된 공인 주소로만 변경된다
- 만약 서비스를 제공하는 서버라면 항상 지정된 공인 주소가 필요할 것이다. 따라서 이러한 경우에는 "정적 NAT"로 구성해야한다. 이를 CLOUD에서는 Elastic IP (AWS), Floating IP (OpenStack)라는 단어로 사용된다
- 동적 NAT : PUBLIC 주소가 POOL에 담겨있고, PRIVATE 주소는 인터넷 이용시, POOL에서 사용가능한 PUBLIC 주소를 그때그때마다 할당받는다. 따라서, PUBLIC 주소가 변경될 수 있다
- AWS에서 인스턴스를 생성하면 인스턴스 자체는 사설 주소가 할당되고, 동적으로 공인주소를 할당받을 수 있다. 하지만 이 공인주소는 인스턴스가 종료 -> 실행 된다면 다른 주소를 부여받는다 -> 동적 NAT
- 정적 NAT : LOCAL( PRIVATE )과 GLOBAL( PUBLIC )을 1대1 매핑한다. 지정된 사설 주소는 "항상" 지정된 공인 주소로만 변경된다
2. PAT ( Port Address Translation )
- L3(IP) + L4(PORT)를 사용하는 기술
- 공인 주소와 사설 주소를 비교했을 때, 공인 주소의 개수가 월등히 적은 경우에는 1:1 매핑이 불가능하다. 이 경우에 부족한 공인 주소를 다수의 사설 주소들이 공유하도록 해 주는 기술이 PAT이다
- 포트를 그때그때 할당해준다
- .11에게 1234 포트를 할당해주고, .12가 들어왔는데 1234포트는 사용중이므로 1235 포트를 할당해준다
- 리눅스에서는 이 PAT 기능을 Ip Masquerading이라고 한다
실습
- list 1에 모든 Ip를 넣고, 사설 Ip인 list 1과 공인 Ip인 fa0/0을 NAT로 연결해준다
- 거기에 한 개의 공인 Ip를 다수의 사설 Ip가 사용해야하므로 overload로 동적 PAT를 해준다
- 인터넷과 연결되는 인터페이스를 outside로 지정
- range를 통해 나머지 3개의 인터페이스를 동시에 설정한다. inside로 지정한다
- BR의 VPCS에서 인터넷에 잘 접속된다
멋진 엔지니어가 될 때까지