보안세상
NAT와 PAT 예제 풀이 본문
- dynamic NAT 예제 -
1. 내부 네트워크는 사설 IP 192.168.1.0/24 주소를 사용하고 외부와 통신을 할때는
201.100.10.1~201.100.10.254의 공인 주소로 변환돼서 정상적으로 통신이 가능하도록 NAT 설정을 하시오.
<R1>
access-list 1 permit 192.168.1.0 0.0.0.255 // 사용할 사설 IP 주소를 ACL로 정의한다.
ip nat pool NAT_TEST 201.100.10.1 201.100.10.254 netmask 255.255.255.0 // 변환할 공인 IP 주소 pool을 정의한다.
ip nat inside source list 1 pool NAT_TEST // 사설 IP 주소를 공인 IP pool에 있는 주소로 변환한다.
interface FastEthernet0/0
ip nat inside // NAT 내부 네트워크
interface Serial0/0
ip nat outside // NAT 외부 네트워크
<R2>
ip route 201.100.10.0 255.255.255.0 1.1.12.1 // R2에서 변환된 공인IP의 네트워크를 모르기 때문에
공인IP 주소를 스태틱으로 잡아준다.
(R2가 응답을 해줘야 통신이 가능하니까)
=> 내부 네트워크와 외부 네트워크 사이에 있는 경계 라우터에서 'debug ip nat'로 디버깅을 켜놓고
내부 호스트에서 외부 네트워크로 ping을 쏴본다. (디버깅 결과 확인)
그 후 'show ip nat translations'명령어로 NAT 테이블을 확인해본다.
=======================================================================================
- NAT-PAT 예제 -
1. 내부 네트워크는 사설 IP 192.168.1.0/24 주소를 사용하고 외부와 통신을 할때는
201.100.10.0/30 의 공인 주소로 변환돼서 정상적으로 통신이 가능하도록 NAT-PAT 설정을 하시오.
<R1>
access-list 1 permit 192.168.1.0 0.0.0.255 // 사용할 사설 IP 주소를 ACL로 정의한다.
ip nat pool NAT_TEST 201.100.10.1 201.100.10.2 netmask 255.255.255.252 // 변환할 공인 IP 주소 pool을 정의한다.
ip nat inside source list 1 pool NAT_TEST // 사설 IP 주소를 공인 IP pool에 있는 주소로 변환한다.
interface FastEthernet0/0
ip nat inside // NAT 내부 네트워크
interface Serial0/0
ip nat outside // NAT 외부 네트워크
<R2>
ip route 201.100.10.0 255.255.255.252 1.1.12.1 // R2에서 변환된 공인IP의 네트워크를 모르기 때문에
공인IP 주소를 스태틱으로 잡아준다.
(R2가 응답을 해줘야 통신이 가능하니까)
==> 이렇게 설정하면 공인 IP 주소가 사설 IP 주소보다 모잘라서 사설 IP 두개만이 외부와 통신이 가능.
때문에 PAT 기능을 같이 사용한다. 즉, 설정에서 'ip nat inside source list 1 pool NAT_TEST'뒤에 overload 명령어를 사용한다.
--------------------------------------------------------------------------------------
<R1>
access-list 1 permit 192.168.1.0 0.0.0.255 // 사용할 사설 IP 주소를 ACL로 정의한다.
ip nat pool NAT_TEST 201.100.10.1 201.100.10.2 netmask 255.255.255.252 // 변환할 공인 IP 주소 pool을 정의한다.
ip nat inside source list 1 pool NAT_TEST overload // 사설 IP 주소를 공인 IP pool에 있는 주소로 변환한다.
overload를 사용해서 PAT 기능을 사용하면
소수의 공인 IP주소를 사용해서 통신이 가능하게 한다.
interface FastEthernet0/0
ip nat inside // NAT 내부 네트워크
interface Serial0/0
ip nat outside // NAT 외부 네트워크
<R2>
ip route 201.100.10.0 255.255.255.252 1.1.12.1 // R2에서 변환된 공인IP의 네트워크를 모르기 때문에
공인IP 주소를 스태틱으로 잡아준다.
(R2가 응답을 해줘야 통신이 가능하니까)
==> 포트 변환으로 정상적으로 통신이 가능
=======================================================================================
- PAT 예제 -
1. 현재 serial 인터페이스에 설정된 공인 IP로 내부의 사설IP를 가진 장비들이 통신이 가능하도록 PAT 설정을 하시오. (공유기를 생각하면 된다.)
<R1>
access-list 1 permit 192.168.1.0 0.0.0.255 // 사용할 사설 IP 주소를 ACL로 정의한다.
ip nat inside source list 1 interface serial 0/0 overload // 사설 IP 주소를 인터페이스의 공인 IP 주소로 변환한다.
(overload는 디폴트 설정이기 때문에 입력하지 않아도
자동으로 설정된다.)
interface FastEthernet0/0
ip nat inside // NAT 내부 네트워크
interface Serial0/0
ip nat outside // NAT 외부 네트워크
* 다른 방법 *
access-list 1 permit 192.168.1.0 0.0.0.255 // 사용할 사설 IP 주소를 ACL로 정의한다.
ip nat pool SE 1.1.12.1 1.1.12.1 netmask 255.255.255.255 // 변환할 공인 IP 주소를 시리얼 인터페이스의 주소인
한개의 공인 IP를 지정한다.
ip nat inside source list 1 pool SE overload // 사설 IP 주소를 공인 IP pool에 있는 주소로 변환한다.
(overload는 PAT 기능을 실행시키는 명령어)
interface FastEthernet0/0
ip nat inside // NAT 내부 네트워크
interface Serial0/0
ip nat outside // NAT 외부 네트워크
=======================================================================================
- static NAT 예제 -
1. 사설 IP 주소 192.168.1.2~192.168.1.5를 공인 IP주소 201.100.10.1~201.100.10.4로 항상 변환되도록 NAT를 설정하시오.
<R1>
ip nat inside source static 192.168.1.2 201.100.10.1
ip nat inside source static 192.168.1.3 201.100.10.2
ip nat inside source static 192.168.1.4 201.100.10.3
ip nat inside source static 192.168.1.5 201.100.10.4
interface FastEthernet0/0
ip nat inside
interface Serial0/0
ip nat outside
<R2>
ip route 201.100.10.0 255.255.255.0 1.1.12.1
'공부' 카테고리의 다른 글
SQL인젝션(sql injection) 우회 패턴 (0) | 2015.06.23 |
---|---|
아이콘은 문서 파일인데, 확장자는 실행 파일? (0) | 2015.06.23 |
NAT방식과 PAT방식 예제 (0) | 2015.06.21 |
NAT와 PAT 기본 세팅 및 명령어 (0) | 2015.06.20 |
OSPF의 개요및 장점 세팅까지 (0) | 2015.06.20 |