EtherSwitch Module / NAT
## EtherSwitch Module ##
- Module 형 Router에 EtherSwitch 모듈을 장착하게 되면 Router에서 Ethernet Switch 기능을 사
용할 수 있다
- Router에서 Switch 기능을 사용할 수 있지만 실제 Switch의 모든 기능을 지원하는 것은 아니
다. 또한 실제 Switch와 명령어의 차이도 존재한다.
- Switch와 EtherSwitch 모듈의 차이점은 다음과 같다.
[1. VLAN 정보 확인 명령어 차이점]
1) Switch => [show vlan], [show vlan brief]
2) EtherSwitch 모듈 => [show vlan-switch], [show vlan-switch brief]
[2. Trunk 설정시 allowed VLAN 명령어 차이점]
-> 실제 Switch와 다르게 EtherSwitch 모듈의 경우 Trunk 포트에 Allowed VLAN 명령어를 사용
할 경우 반드시 default VLAN 1, 1002-1005이 포함 되어야 한다.
<ex> [switchport trunk allowed vlan 1,10,20,1002-1005]
[3. DTP 비활성화 명령어가 지원되지 않는다.]
-> DTP를 사용하지 않을 경우 'switchport nonegotiate' 명령어를 사용했지만, EtherSwitch 모듈
에서는 해당 명령어가 입력되지 않는다.
[4. IP Routing 기능 활성화 차이점]
-> 실제 L3 Switch의 경우 IP Routing이 비활성화 되어 있는 경우 [ip routing] 명령어를 입력해
서 Routing 기능을 활성화시킨다.
-> 하지만 EtherSwitch 모듈의 경우 기본적으로 Router 기능이 사용되기 때문에 [ip routing] 명
령어를 입력하지 않아도 Routing이 가능하다.
[5. Switch 포트 활성화 문제]
-> 실제 Switch의 경우 구동 중인 상태에서 다른 device를 연결해도 기본적인 포트 상태가
Up/Up으로 동작한다.
-> EtherSwitch 모듈의 경우 다른 device를 연결한 후 전원을 키게 되면 포트 상태가 Up/Up으로
동작한다.
하지만 EtherSwitch 모듈의 전원을 먼저 키고 그 후 다른 Device를 연결할 경우 포트 상태가
Up/Down이 된다.
=> 해결 방법은 해당 포트에 들어가서 [shutdown -> no shutdown] 명령어를 입력하면 된다.
[6. VLAN 저장]
-> EtherSwitch 모듈의 경우 VTP 모드를 'transparent' 모드로 변경한 후 VLAN을 생성, 저장해야
만 VLAN 정보가 정상적으로 저장된다.
[vtp mode transparent]
-> 만약 VTP 모드를 변경하지 않고 VLAN을 생성할 경우 장비 reload시 VLAN정보가 삭제된
다.
============================================================================================================
## NAT(Network Address Translation) ##
- IPv4는 '공인 IP 주소'와 '사설 IP 주소'로 구분이 가능하다.
1) 공인 IP : 외부와 통신 가능, 유료
2) 사설 IP : 외부와 통신 불가능, 무료
-> Class A = 10.0.0.0/8 (10.0.0.0 - 10.55.255.255)
-> Class B = 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
-> Class C = 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)
- NAT는 IP 주소를 변환시켜주는 기술이다.
사설 IP 주소를 공인 IP 주소로 변환시키는 경우에 많이 사용된다.
- NAT 종류는 다음과 같다.
1) Dynamic NAT => N : N
2) Static NAT => 1 : 1
3) PAT(Port Address Translation) => 1 : N
4) PAR(Port Address Redirect) => 1 : N
============================================================================================================
[1. Dynamic NAT (N:N)]
-> Dynamic NAT의 경우 사설 IP 그룹과 공인 IP 그룹을 생성 후 동적인 Mapping을 수행한다.
-> NAT를 수행하는 Device에 NAT Table이 형성된다.
Dynamic NAT의 경우 평상시에는 NAT Table에 Mapping 된 정보가 존재하지 않고, 내부에
서 외부로 통신을 시도하는 경우에 동적으로 Mapping 정보가 생성된다.
(해당 정보는 일정 시간 뒤에 삭제된다.)
=> 결과적으로 외부에서 내부로 먼저 접근이 불가능하다!
<Ex> 다음 상황에 맞도록 Dynamic NAT를 설정하시오.
- 사설 IP 대역 : [192.168.0.0/24]
공인 IP 대역 : [211.100.10.0/24]
NAT(config)# ip nat pool Pub_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
NAT(config)# access-list 18 permit 192.168.0.0 0.0.0.255
NAT(config)# ip nat inside source list 18 pool Pub_IP
NAT(config)# int e0
NAT(config-if)# ip nat inside
NAT(config-if)# int s0
NAT(config-if)# ip nat outside
<CE>
conf t
ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
access-list 31 permit 192.168.0.0 0.0.0.255
ip nat inside source list 31 pool G_IP
!
int fa 0/0
ip nat inside
!
int fa 0/1
ip nat outside
!
debug ip nat
=> NAT 동작 확인 명령어.
--------------------------------------------------------------------------------------------------------------------------
[2. Static NAT(1:1)]
-> 사설망 내부에 Server를 운영하는 경우 해당 서버 역시 사설 IP 주소가 할당되어 있기 때문
에 외부에서 먼저 접근이 불가능하다.
이러한 문제를 해결할 수 있는 방법은 Server의 사설 IP주소와 특정 공인 IP 주소를 1:1로 고
정적 Mapping을 시키는 것이다.
<Ex> 다음 조건에 일치하도록 Static NAT를 설정하시오.
- 사설 IP 주소 : [192.168.0.200]
공인 IP 대역 : [211.100.10.200]
<CE>
conf t
ip nat inside source static 192.168.0.200 211.100.10.200
!
int fa 0/0
ip nat inside
!
int fa 0/1
ip nat outside
!
--------------------------------------------------------------------------------------------------------------------------
[3. PAT(1:N)]
-> 소수의 공인 IP 주소를 사용하여 다수의 사설 IP 장비를 외부와 통신할 수 있도록 해준다.
대표적으로 공유기를 예로 들 수 있다.
-> 사설망 내부의 모든 장비들이 동일한 공인 IP 주소를 사용하기 때문에 응답 트래픽의 실제
내부 목적지를 식별할 수 없다.
때문에 L4 Header(TCP/UDP)의 Source Port 번호를 사용하여 장비를 식별할 수 있도록 한다
.
<Ex. 1> 다음에 조건에 일치하도록 PAT를 설정하시오.
- 사설 IP 주소 : [192.168.0.0/24]
공인 IP 대역 : [211.100.10.1]
<CE>
conf t
no ip nat inside source list 31 pool G_IP
no ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
no access-list 31 permit 192.168.0.0 0.0.0.255
no access-list 10 permit 192.168.0.0 0.0.0.255
conf t
ip nat pool PC 211.100.10.1 211.100.10.1 netmask 255.255.255.0
access-list 10 permit 192.168.0.0 0.0.0.255
ip nat inside source list 10 pool PC overload
!
int fa 0/0
ip nat inside
!
int fa 0/1
ip nat outside
!
<Ex. 2> CE 라우터의 Fa0/1 인터페이스에 할당된 공인 IP주소(1.1.100.1)를 사용하도록 PAT를 설정하시오.
<CE>
conf t
no ip nat inside source list 10 pool G_IP
no ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
no access-list 10 permit 192.168.0.0 0.0.0.255
=> 기존 PAT 설정 삭제
conf t
access-list 10 permit 192.168.0.0 0.0.0.255
ip nat inside source list 10 interface fa0/1 overload
----------------------------------------------------------------------------------------------------------------------------
[4. PAR(1:N)]
--------------------------------------------------------------------------------------------------------------------------<실습>
위의 그림처럼 설정하시오. ISP로 네트워크를 구축
192.168.0.x 대역에서 NAT를 통해서 ISP와 통신이 되는지 확인한다.
댓글
댓글 쓰기