[개념정리] NAT feat. CISCO Router

NAT란?

Network Address Translation 의 약자로 우리말로 표현하면 주소변환으로 표현할 수 있다.

내부망에서 사설IP(Private Address)를 사용하다가 외부망으로 나갈 때 공인IP(Public Address)로 IP와 Port를 변환해주는 기능을 말한다. 사용하는 이유는 공인IP의 부족과 보안상의 이유가 있다.

---

 

IP 주소는 주소변환장치(여기서는 Router)에 할당된 주소로 변경하고,

Port 번호는 임의의 Port를 할당한다.

 

 

그리고 이 두개를 묶어 송신지/수신지가 대응되는 NAT Table에 기록한다. 기록하는 이유는 수신지로부터 회신이 왔을 때, 목적지가 공인IP(Router)로 올텐데 이 때 어느 Node에게 온 패킷인지 구분하기 위함이다.

 

위에를 이해했다면 알겠지만 외부에서 내부로는 대응표가 없으면 접근할 수 없다. 이 점이 NAT를 사용하는 보안적인 측면이 되겠다. 그러면 아예 불가능할까 ?

그건 또 아니다. NAT Table에 내가 수동으로 대응값을 넣어주면 외부에서 먼저 내부로 접근이 가능하다. 이런 경우로는 대표적으로 공개용 서버가 있는데 뭐.. 보통 공개용 서버는 주소변환장치 외부에 위치시키고 공인IP를 부여해 주는 경우가 많다.

 

---

CISCO Router NAT 설정

 

명령어

ip nat inside source {list {access-list-number | access-list-name} | route-map name} {interface type number | pool name} [mapping-id map-name | vrf name] [overload]

또는,

ip nat inside source {static {local-ip global-ip} [vrf name] [extendable] [no-alias] [no-payload] [route-map] [redundancy group-name] | {esp local-ip interface type number}} 

또는, 

ip nat inside source {static {tcp | udp local-ip local-port global-ip global-port} [extendable] [no-alias] [no-payload]

또는,

ip nat inside source {static {network local-network global-network mask} [extendable] [no-alias] [no-payload]

 

 

여기서 중요한 포인트는 local과 global이다. local에 할당된 IP들을 외부로 나갈때 global에 할당된 IP로 변환한 후 외부로 나가는 것이다.

 

 

Local

• Static IP : Static tcp IP Port 와 같이 포트까지 지정할 수 있다.
  ip nat inside static 192.168.100.100 210.105.102.3
  ip nat inside static tcp 192.168.100.100 12345 210.105.102.3 54321
• Static Network : 서브넷 마스크는 아래와같이 두가지로 표현이 가능하다.
  ip nat inside static network 192.168.100.0 netmask 255.255.255.0 210.105.102.0 prefix-length 24
• Access-List : Dynamic NAT에서 가장 흔히 사용되는 방법이다.
  ip nat inside list 100 210.105.102.3 overload
  ip nat inside list chanjun interface eth0 overload
• Route-map
  ip nat inside route-map [name] interface eth0 overload
  ip nat inside route-map [name] pool [name] overload

Global

• Static IP : 마찬가지로 Static tcp IP Port 와 같이 포트까지 지정할 수 있다.
               또한 IP대신 interface [인터페이스] 를 통해서도 지정이 가능하다.
• Static Network
• Pool : 여러개의 global IP를 처리할 때 사용하며 미리 여러개의 global IP를 묶어 pool을
           구성한 후에 사용한다.
  ip nat pool [name] [start-ip] [end-ip] netmask [subnet-mask] (prefix-length로 대체가능)