NAT를 적용해서 지사에서 인터넷 사용하기

NAT를 적용해서 지사에서 인터넷 사용하기

NAT 종류

static NAT

항상 특정 아이피가 특정 아이피로 변경된다. (예, 지정된 사설 주소는 항상 지정된 공인 주소로 변경된다. 주로 인터넷에 서비스를 제공하는 웹 서버, FTP 서버, DNS 서버 등에 할당하는 방법)

dynamic NAT

공인 IP 주소는 pool 이라는 곳에 담아두고 사설 IP가 인터넷을 사용하고자 할 때 해당 공인 IP 주소 pool에 동적으로 하나의 공인 IP 주소를 부여받는다. 서버에는 적용하지 않는다. 현업에서는 잘 사용하지 않는 방법이지만 만약 사용한다면 PC와 같이 아무 주소나 사용해도 문제가 되지 않는 경우에 사용하는 방법이다.

PAT(Port Address Translation)

한 개의 공인 IP 주소를 여러 개의 사설 IP 주소가 공유하는 방법이다. IP 주소와 포트 번호를 사용해 나가는 트래픽과 들어오는 트래픽에 대해 올바른 역변환을 해준다.

실습

이 구조에서 모든 라우터가 외부 인터넷으로 나가기 위해 HQ로 정적 라우팅을 했고, HQ는 이더넷 게이트웨이로 정적 라우팅을 했다. 그러나, 라우터와 호스트들은 사설 IP를 사용하기 때문에 외부로 나갈 수 없다. 이를 해결하기 위해서 NAT 를 적용하자.

설정

HQ(PAT)

# access-list 1 : 누구나 허용 하겠다.
access-list 1 permit any
# 내부 출발지의 IP 주소(내부의 모든 사설 IP)는 access-list 1 적용.
# 모든 IP 주소는 fa0/0인 공인 IP로 overload된다.
# overload : PAT 활성화
ip nat inside source list 1 int fa0/0 overload
# 공인 IP로 변경하여 내보낼 인터페이스에 할당
int fa0/0
ip nat outside
# 사설 IP 주소가 있는 곳을 설정
int range fa0/1, fa1/0, fa2/0
ip nat inside

HQ(Static)

# 특정 IP와 특정 포트에 static NAT
ip nat inside source static tcp 192.168.101.111 80 int fa0/0 80

실제 회사들의 경우 서버는 Static NAT으로 부여하고, 부서별로 1개의 공인 IP 주소 부여할 수 있는 Dynamic PAT를 사용한다.

Static NAT와 Dynamic PAT를 함께 적용하는 실습

R1

config t
int fa0/0
ip add 192.168.108.3 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 192.168.108.2
int fa0/1
ip add 192.168.101.2 255.255.255.0
no sh
exit
access-list 1 permit any
ip nat pool TEST 192.168.108.99 192.168.108.99 prefix-length 24
ip nat inside source list 1 pool TEST overload
int fa0/0
ip nat outside
int fa0/1
ip nat inside
exit
ip nat inside source static 192.168.101.111 192.168.108.111

NAT 설정 후, NAT table이다.

ping 통신 후에 ICMP 프로토콜을 사용한 기록이 담겨져있다.