# NAT(Network Address Translation)
- NAT : 네트워크 주소 변환 장치/기능
- NAT를 사용하는 이유
1) 출발지 주소를 변경하여 외부로 접근하기 때문에 외부로부터 실제 로컬 시스템
IP 주소를 보호할 수 있는 장점을 갖고 있다.
2) 내부는 사설 IP 주소를 사용하여 인터넷 접근을 실시할때 소수의 공인 IP 주소로
변경하게되면, IPv4 주소 고갈 문제를 해결할 수 있다.
[참고] 사설 IP 주소
A Class 10.0.0.0/8
B Class 172.16.0.0/12
C Class 192.168.0.0/16
- NAT 구성
1) NAT Inside와 NAT Outside를 구분한다.
2) 주소 변환을 당할 대상인 Inside Local 주소를 조사한다. (Ex : 사설 IP 주소)
3) 외부로 변환되어 나갈 Inside Global 주소를 조사한다. (Ex : 공인 IP 주소)
- NAT 주소 변환 단계
1) 데이터 요청 : 내부 -> 외부 : 출발지 주소를 변경
2) 데이터 응답 : 외부 -> 내부 : 목적지 주소를 변경
- NAT 유형
1) Static NAT (정적 NAT)
- 내부 특정 서버/호스트(FTP 서버, 웹-서버, 이메일 서버)가 외부로 접근할때
주소 변환시 사용한다.
Inside Local 주소 : x.x.23.3
Inside Global 주소 : x.x.12.2
R2(config)# ip nat inside source static x.x.23.3 x.x.12.2
R2(config)# int fa2/0
R2(config-if)# ip nat inside
R2(config-if)# int s1/1
R2(config-if)# ip nat outside
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 13.13.12.2 13.13.23.3 --- ---
R2#debug ip nat
IP NAT debugging is on
R1# ping x.x.12.2
R2#
*Mar 1 01:14:39.871: NAT*: s=13.13.12.1, d=13.13.12.2->13.13.23.3 [0]
*Mar 1 01:14:40.007: NAT*: s=13.13.23.3->13.13.12.2, d=13.13.12.1 [0]
*Mar 1 01:14:40.091: NAT*: s=13.13.12.1, d=13.13.12.2->13.13.23.3 [1]
*Mar 1 01:14:40.167: NAT*: s=13.13.23.3->13.13.12.2, d=13.13.12.1 [1]
*Mar 1 01:14:40.263: NAT*: s=13.13.12.1, d=13.13.12.2->13.13.23.3 [2]
*Mar 1 01:14:40.335: NAT*: s=13.13.23.3->13.13.12.2, d=13.13.12.1 [2]
*Mar 1 01:14:40.503: NAT*: s=13.13.12.1, d=13.13.12.2->13.13.23.3 [3]
*Mar 1 01:14:40.599: NAT*: s=13.13.23.3->13.13.12.2, d=13.13.12.1 [3]
*Mar 1 01:14:40.695: NAT*: s=13.13.12.1, d=13.13.12.2->13.13.23.3 [4]
R2#
*Mar 1 01:14:40.835: NAT*: s=13.13.23.3->13.13.12.2, d=13.13.12.1 [4]
2) Dynamic NAT(동적 NAT)
1. 주소 변환을 당할 대상인 Inside Local 주소를 ACL로 설정한다.
2. 외부로 변경되어 나갈 Inside Global 주소를 NAT Pool로 설정한다.
3. 'ip nat inside source' 명령어를 이용하여 NAT 정책을 실시한다.
4. 해당 인터페이스 Inside/Outside를 적용한다.
Inside Local 주소 : x.x.23.5 ~ x.x.23.9
Inside Global 주소 : x.x.12.100
x.x.23.00000101
x.x.23.00000110
x.x.23.00000111
x.x.23.00001000
x.x.23.00001001
----------------
0.0. 0.00001111 <- 0.0.0.15
R2(config)# access-list 13 permit x.x.23.0 0.0.0.15
R2(config)# ip nat pool CCNA x.x.12.100 x.x.12.100 netmask 255.255.255.0
R2(config)# ip nat inside source list 13 pool CCNA overload
R2(config)# int fa2/0
R2(config-if)# ip nat inside
R2(config-if)# int s1/1
R2(config-if)# ip nat outside
R3(config)# int fa2/0
R3(config-if)# ip address x.x.23.5 255.255.255.0 secondary
R3(config-if)# ip address x.x.23.6 255.255.255.0 secondary
R3(config-if)# ip address x.x.23.7 255.255.255.0 secondary
R3(config-if)# ip address x.x.23.8 255.255.255.0 secondary
R3(config-if)# ip address x.x.23.9 255.255.255.0 secondary
R2# debug ip rip
R3# ping 172.16.1.1 source x.x.23.5
R3# ping 172.16.1.1 source x.x.23.6
R3# ping 172.16.1.1 source x.x.23.7
R3# ping 172.16.1.1 source x.x.23.8
R3# ping 172.16.1.1 source x.x.23.9
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 13.13.12.2 13.13.23.3 --- ---
icmp 13.13.12.100:6 13.13.23.5:6 172.16.1.1:6 172.16.1.1:6
icmp 13.13.12.100:7 13.13.23.6:7 172.16.1.1:7 172.16.1.1:7
icmp 13.13.12.100:8 13.13.23.7:8 172.16.1.1:8 172.16.1.1:8
icmp 13.13.12.100:9 13.13.23.8:9 172.16.1.1:9 172.16.1.1:9
icmp 13.13.12.100:10 13.13.23.9:10 172.16.1.1:10 172.16.1.1:10
# DHCP(Dynamic Host Configuration Protocol)
R3(config)# int fa2/0
R3(config-if)# no ip address
- DHCP : 동적 IP 주소 할당 장치/기능
- PC들은 부팅이 완료되면 TCP/IP 네트워크에 참여하기 위해서 자신이 사용해야할
IP 주소 정보(IP 주소, 서브넷 마스크, 기본 게이트웨이, DNS 서버...)를 찾느다.
- DHCP 서버 : UDP 67
- DHCP 클라이언트 : UDP 68
- DHCP는 임대 서비스이다.
- DHCP 동작 과정 4 단계
1. DHCP Discover : 클라이언트 -> 서버에게 'Discover' 메세지 전송
출발지 포트 번호 : 68
목적지 포트 번호 : 67
출발지 IP 주소 : 0.0.0.0
목적지 IP 주소 : 255.255.255.255
- 'Discover' 메세지를 수신한 서버는 클라이언트에게 임대할 IP 주소로
ICMP 에코를 전송하여 IP 중복 여부를 판단한다. <- 유니케스트
2. DHCP Offer : 서버 -> 클라이언트에게 'Offer' 메세지 전송
출발지 포트 번호 : 67
목적지 포트 번호 : 68
출발지 IP 주소 : DHCP 서버 IP 주소
목적지 IP 주소 : 255.255.255.255
3. DHCP Request : 클라이언트 -> 서버에게 'Request' 메세지 전송
출발지 포트 번호 : 68
목적지 포트 번호 : 67
출발지 IP 주소 : 0.0.0.0
목적지 IP 주소 : 255.255.255.255
4. DHCP Ack : 서버 -> 클라이언터 'Ack' 메세지 전송
출발지 포트 번호 : 67
목적지 포트 번호 : 68
출발지 IP 주소 : DHCP 서버 IP 주소
목적지 IP 주소 : 255.255.255.255
- DHCP 클라이언트 구성
R3(config)# int fa2/0
R3(config-if)# ip address dhcp
- DHCP 서버 구성
a. 할당 IP 네트워크 대역 : x.x.23.0/24 <- x.x.23.1 ~ x.x.23.254
b. 디폴트 게이트 웨이 IP 주소 : x.x.23.2
c. DNS 서버 IP 주소 : x.x.23.250 x.x.23.251 <- 내부 DNS 서버
d. NetBIOS 서버 IP 주소 : x.x.23.252 x.x.23.253 <- 내부 WINS 서버
e. 임대 기간 : 무제한
f. 도메인 이름 : cisco.com
R2(config)# ip dhcp excluded-address x.x.23.1 x.x.23.2
R2(config)# ip dhcp excluded-address x.x.23.250 x.x.23.253
R2(config)# ip dhcp pool CCNA
R2(dhcp-config)# network x.x.23.0 255.255.255.0
R2(dhcp-config)# default-router x.x.23.2
R2(dhcp-config)# dns-server x.x.23.250 x.x.23.251
R2(dhcp-config)# netbios-name-server x.x.23.252 x.x.23.253
R2(dhcp-config)# lease
R2(dhcp-config)# lease infinite
R2(dhcp-config)# domain-name cisco.com
R2(dhcp-config)# exit
R2(config)# service dhcp
R3#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 13.13.3.1 YES manual up up
Serial1/0 unassigned YES unset administratively down down
Serial1/1 unassigned YES manual administratively down down
Serial1/2 unassigned YES unset administratively down down
Serial1/3 unassigned YES unset administratively down down
FastEthernet2/0 13.13.23.3 YES DHCP up up
Loopback172 172.16.3.1 YES manual up up
R2#show ip dhcp server statistics
Memory usage 24060
Address pools 1
Database agents 0
Automatic bindings 1
Manual bindings 0
Expired bindings 0
Malformed messages 0
Secure arp entries 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 9
DHCPREQUEST 1
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 1
DHCPNAK 0
R2#
