'dynamic NAT'에 해당되는 글 1

  1. NAT 구성하기 2008/05/29

NAT 구성하기

Posted at 2008/05/29 18:07 // in CCNA // by 엔신
사용자 삽입 이미지
다이나밉스(dynamip) 프로그램으로 구현하였다.
참고할 점은 다이나밉스 프로그램은 DCE,DTE 장비를 구별하지 않아 clock rate를 주지 않아도 작동한다.
아래 more를 누르면  다이나밉스 net 설정 파일이다.
아래 다이나밉스 net 파일의 경우 라우터가 기본적으로 False 상태라서 net 파일 시작후에
start /all 해줘야 라우터 전원이 켜진다.

more..


NAT 설정을 하기 전에 라우터 물리적 연결을 먼저 하여야 한다.

# FR1 기본 세팅
FR1(config)#interface loopback 0
FR1(config-if)#ip add 211.240.50.1 255.255.255.0
FR1(config-if)#inter serial 0/0
FR1(config-if)#ip add 211.240.10.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/1
FR1(config-if)#ip add 211.240.20.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/2
FR1(config-if)#ip add 211.240.30.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/3
FR1(config-if)#ip add 211.240.40.1 255.255.255.0
FR1(config-if)#no shutdown

# R11 기본 세팅
R11(config)#interface loopback 0
R11(config-if)#ip add 10.10.10.11 255.255.255.0
R11(config-if)#interface serial 0/0
R11(config-if)#ip add 211.240.10.11 255.255.255.0
R11(config-if)#no shutdown

# R12 기본 세팅
R12(config)#interface loopback 0
R12(config-if)#ip add 10.10.10.12 255.255.255.0
R12(config-if)#interface serial 0/1
R12(config-if)#ip add 211.240.20.12 255.255.255.0
R12(config-if)#no shutdown

# R13 기본세팅
R13(config)#interface loopback 0
R13(config-if)#ip add 10.10.10.13 255.255.255.0
R13(config-if)#interface serial 0/2
R13(config-if)#ip add 211.240.30.13 255.255.255.0
R13(config-if)#no shutdown

# R14 기본 세팅
R14(config)#interface loopback 0
R14(config-if)#ip add 10.10.10.14 255.255.255.0
R14(config-if)#interface serial 0/3
R14(config-if)#ip add 211.240.40.14 255.255.255.0
R14(config-if)#no shutdown

여기서 주의 하여야 할 것은 사설망을 loopback으로 하였으나 실제로는 각각의 컴퓨터가 될 것이다. 그러면 따로 선연결이 생길텐데 그것에 대하여 세팅하여야 되는 점 인지하고 넘어가길 바란다.여기서는 라우터 내부의 루프백이기 때문에 따로 세팅이 없다는 것이다.
FR1 라우터에서 핑테스트 하여 보면 물리적 연결이 된 라우터끼리 핑이 다 갈 것이다.

# 각 라우터마다 외부로 나갈 경로 설정
R11(config)#ip route 211.240.0.0 255.255.0.0 serial 0/0
R12(config)#ip route 211.240.0.0 255.255.0.0 serial 0/1
R13(config)#ip route 211.240.0.0 255.255.0.0 serial 0/2
R14(config)#ip route 211.240.0.0 255.255.0.0 serial 0/3

각 라우터마다 static 라우트 설정을 하여야 한다. dynamic 라우팅으로 설정하여도 되나 현재로는 나가는 외부 경로가 1개이기 때문에 간편하게 static으로 하였다.
이렇게 해줘야만 각각의 라우터에서 211.240.0.0/16 대역대의 아이피에 대하여 핑을 하였을때 FR1로 가게끔 경로 지정이 되는 것이다. 또는 ip route 0.0.0.0 0.0.0.0 serial 포트번호 해줘도 된다. 그러면 211.240.0.0/16대역대가 아니라 모든 아이피로 가기 위하여 해당 포트번호로 나가도록 경로 지정이 된다.

이제 NAT 설정할 차례이다.
여기서는 dynamic NAT를 설정할 것이다.

# R11 NAT 설정
R11(config)#ip nat pool R11 211.240.110.1 211.240.110.14 netmask 255.255.255.240
R11(config)#Access-list 11 permit 10.10.10.0 0.0.0.255
R11(config)#ip nat inside source list 11 pool R11
R11(config)#interface loopback 0
R11(config-if)#ip nat inside
R11(config-if)#interface serial 0/0
R11(config-if)#ip nat outside

# R12 NAT 설정
R12(config)#ip nat pool R12 211.240.120.1 211.240.120.14 netmask 255.255.255.240
R12(config)#Access-list 12 permit 10.10.10.0 0.0.0.255
R12(config)#ip nat inside source list 12 pool R12
R12(config)#interface loopback 0
R12(config-if)#ip nat inside
R12(config-if)#interface serial 0/1
R12(config-if)#ip nat outside

# R13 NAT 설정
R13(config)#ip nat pool R13 211.240.130.1 211.240.130.14 netmask 255.255.255.240      
R13(config)#Access-list 13 permit 10.10.10.0 0.0.0.255
R13(config)#ip nat inside source list 11 pool R13
R13(config)#interface loopback 0
R13(config-if)#ip nat inside
R13(config-if)#interface serial 0/2
R13(config-if)#ip nat outside

# R14 NAT 설정
R14(config)#$ R14 211.240.140.1 211.240.140.14 netmask 255.255.255.240      
R14(config)#Access-list 14 permit 10.10.10.0 0.0.0.255
R14(config)#ip nat inside source list 14 pool R14
R14(config)#interface loopback 0
R14(config-if)#ip nat inside
R14(config-if)#interface serial 0/3
R14(config-if)#ip nat outside

자~ dynamic NAT 설정 하였다. 각 라우터마다 해당 네트워크대역이 /28비트이고 28비트는 아이피를 16개씩 사용하는 것이기 때문에 서브넷이 255.255.255.240이 된다(256-16=240). 또한 대역대의 첫번째는 네트워크 아이디, 마지막은 브로드캐스트로 빠지기 때문에 아이피 끝이 .0 은 네트워크 아이디, 15은 브로드캐스트로 빠지게 되고 그 외 나머지를 사용하게 되는 것이다.
여기까지 하면 R11에서 ping 211.240.50.1 source 10.10.10.11으로 하면 FR1 라우터의 루프백으로 핑이 될까? 정답은 no이다. R11에서 debug ip nat 하고 핑테스트 해보면 내부 아이피가 NAT를 거치면서 공인아이피로 변경하여서 정상적으로 핑이 간다. 그러나 돌아오는 핑이 없다. 이유는 FR1 라우터에서 공인 아이피 대역에 대하여 라우팅 테이블 정보가 없어서(경로 설정이 없기 때문에) 돌아갈때 어디로 가야하는지 모르기 때문이다. 아래의 경로 설정을 해주면 정상적으로 핑이 갈 것이다.

# FR1 static 라우트 설정
FR1(config)#ip route 211.240.110.0 255.255.255.240 se 0/0
FR1(config)#ip route 211.240.120.0 255.255.255.240 se 0/1
FR1(config)#ip route 211.240.130.0 255.255.255.240 se 0/1
FR1(config)#ip route 211.240.140.0 255.255.255.240 se 0/1

이제 다 NAT 설정을 끝마치게 되었다. R11에서 FR1로 핑을 보내게 되면 정상적으로 핑이 가고 NAT table이 생성되게 된다. R11에서 show ip nat translastions 하게 되면 NAT table을 볼수 있고 FR1에서 R11에 NAT 테이블에 생성된 공인 아이피로 핑을 전달하게 되면 R11의 내부아이피로 정상적으로 핑이 가게 된다. 단, 참고할 것은 먼저 내부에서 외부로 핑이 전달되어서 NAT 테이블이 생성이 된 후에야 외부에서 내부로도 핑이 들어올 수 있게 되는 것이다. 내부에서 NAT 테이블에 생성되지도 않은 공인 아이피로 외부에서 핑테스트 해보면 당연히 변환할 내부 아이피를 찾지 못하기 때문에 핑이 가지 않는다.
또한 지금은 NAT 설정을 하였다. 그러나, 예를 들어 NAT에서 사용할수 있는 공인 아이피가 4개라면 내부아이피가 선착순으로 테이블 생성한 내부아이피 4개만 외부하고 통신이 가능하게 된다. 즉, 1:1 통신이다. n:1 통신을 할려면 NAT PAT을 하여야 한다. PAT를 하게 되면 공인아이피 4개를 할당받고 내부아이피가 100개라면 NAT는 내부아이피 4개만 통신이 가능하였지만 PAT는 공인아이피 4개지만 내부아이피 100개 모두 통신이 가능하다. 그 이유는 PAT는 아이피에 포트번호를 부여하여 내부아이피를 구분할 수 있기 때문이다. PAT하는 방법은 간단하다. NAT 설정할때 R14 를 예로 들면 ip nat inside source list 14 pool R14 overload 라고 하여 주면 된다. 끝에 overload 라는 것만 넣어주면 된다.
끝으로 R11에서 loopback 0 에서 secondary 로 아이피 몇개를 더 생성하고 그 아이피를 source 로 핑을 때려보면 NAT table에 새롭게 생성되는 것을 확인 가능하다. 연습이기때문에 루프백 아이피를 1개만 할당한 것이다.
여기까지 하면 R11 라우터에서 ping 211.240.50.1 source 10.10.10.11 했을때 NAT를 거쳐 변환되어 핑이 전달이 된다.
그러나 R11라우터에서 R14라우터로 ping 211.240.140.1 source 10.10.10.11 했을때 핑이 갈까? 정답은 될수도 있고 안될수도 있다.
핑통신을 했을때 R14까지 핑은 도달하지만 버려질 것이다. static NAT가 아닌 dynamic NAT의 경우 R14까지 가서 일단 라우팅테이블에 211.240.140.1 에 대한 정보가 있는지 확인한다. 그러나 라우팅테이블엔 그런 정보가 없다. 그러면 NAT 테이블에서 정보가 있는지 찾게 된다. 거기서 변환되어진 IP정보가 남아 있다면 핑이 도달하여 다시 R11으로 돌아올 것이다. 그러나 NAT테이블에 변환된 정보가 없다면 패킷은 버려질 것이다.

이올린에 북마크하기
2008/05/29 18:07 2008/05/29 18:07
, ,
No Comment No Trackback