EtherSwitch Module / NAT

 ## EtherSwitch Module ##

 - Module 형 Router에 EtherSwitch 모듈을 장착하게 되면 Router에서 Ethernet Switch 기능을 사
  용할 수 있다

 - Router에서 Switch 기능을 사용할 수 있지만 실제 Switch의 모든 기능을 지원하는 것은 아니
   다. 또한 실제 Switch와 명령어의 차이도 존재한다.

 - Switch와 EtherSwitch 모듈의 차이점은 다음과 같다.

[1. VLAN 정보 확인 명령어 차이점]

 1) Switch => [show vlan], [show vlan brief]
 2) EtherSwitch 모듈 => [show vlan-switch], [show vlan-switch brief]

[2. Trunk 설정시 allowed VLAN 명령어 차이점]

 -> 실제 Switch와 다르게 EtherSwitch 모듈의 경우 Trunk 포트에 Allowed VLAN 명령어를 사용
     할 경우 반드시 default VLAN 1, 1002-1005이 포함 되어야 한다.

    <ex> [switchport trunk allowed vlan 1,10,20,1002-1005]

[3. DTP 비활성화 명령어가 지원되지 않는다.]

 -> DTP를 사용하지 않을 경우 'switchport nonegotiate' 명령어를 사용했지만, EtherSwitch 모듈
     에서는 해당 명령어가 입력되지 않는다.

[4. IP Routing 기능 활성화 차이점]

 -> 실제 L3 Switch의 경우 IP Routing이 비활성화 되어 있는 경우 [ip routing] 명령어를 입력해
     서 Routing 기능을 활성화시킨다.

 -> 하지만 EtherSwitch 모듈의 경우 기본적으로 Router 기능이 사용되기 때문에 [ip routing] 명
     령어를 입력하지 않아도 Routing이 가능하다.

[5. Switch 포트 활성화 문제]

 -> 실제 Switch의 경우 구동 중인 상태에서 다른 device를 연결해도 기본적인 포트 상태가
      Up/Up으로 동작한다.
 -> EtherSwitch 모듈의 경우 다른 device를 연결한 후 전원을 키게 되면 포트 상태가 Up/Up으로
     동작한다.
     하지만 EtherSwitch 모듈의 전원을 먼저 키고 그 후 다른 Device를 연결할 경우 포트 상태가
     Up/Down이 된다.
     => 해결 방법은 해당 포트에 들어가서 [shutdown -> no shutdown] 명령어를 입력하면 된다.

[6. VLAN 저장]

 -> EtherSwitch 모듈의 경우 VTP 모드를 'transparent' 모드로 변경한 후 VLAN을 생성, 저장해야
     만 VLAN 정보가 정상적으로 저장된다.

    [vtp mode transparent]

 -> 만약 VTP 모드를 변경하지 않고 VLAN을 생성할 경우 장비 reload시 VLAN정보가 삭제된
     다.
============================================================================================================

 ## NAT(Network Address Translation) ##

 - IPv4는 '공인 IP 주소'와 '사설 IP 주소'로 구분이 가능하다.

    1) 공인 IP : 외부와 통신 가능, 유료
    2) 사설 IP : 외부와 통신 불가능, 무료
        -> Class A = 10.0.0.0/8 (10.0.0.0 - 10.55.255.255)
        -> Class B = 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
        -> Class C = 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)

 - NAT는 IP 주소를 변환시켜주는 기술이다.
   사설 IP 주소를 공인 IP 주소로 변환시키는 경우에 많이 사용된다.

 - NAT 종류는 다음과 같다.

   1) Dynamic NAT => N : N
   2) Static NAT  => 1 : 1
   3) PAT(Port Address Translation) => 1 : N
   4) PAR(Port Address Redirect)    => 1 : N

============================================================================================================

[1. Dynamic NAT (N:N)]

 -> Dynamic NAT의 경우 사설 IP 그룹과 공인 IP 그룹을 생성 후 동적인 Mapping을 수행한다.
 -> NAT를 수행하는 Device에 NAT Table이 형성된다.
     Dynamic NAT의 경우 평상시에는 NAT Table에 Mapping 된 정보가 존재하지 않고, 내부에
     서 외부로 통신을 시도하는 경우에 동적으로 Mapping 정보가 생성된다.
     (해당 정보는 일정 시간 뒤에 삭제된다.)
     => 결과적으로 외부에서 내부로 먼저 접근이 불가능하다!

<Ex> 다음 상황에 맞도록 Dynamic NAT를 설정하시오.
     - 사설 IP 대역 : [192.168.0.0/24]
       공인 IP 대역 : [211.100.10.0/24]

 NAT(config)# ip nat pool Pub_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
 NAT(config)# access-list 18 permit 192.168.0.0 0.0.0.255
 NAT(config)# ip nat inside source list 18 pool Pub_IP
 NAT(config)# int e0
 NAT(config-if)# ip nat inside
 NAT(config-if)# int s0
 NAT(config-if)# ip nat outside

<CE>
conf t
ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
access-list 31 permit 192.168.0.0 0.0.0.255
ip nat inside source list 31 pool G_IP
!
int fa 0/0
 ip nat inside
!
int fa 0/1
 ip nat outside
!
debug ip nat
=> NAT 동작 확인 명령어.
--------------------------------------------------------------------------------------------------------------------------

[2. Static NAT(1:1)]

 -> 사설망 내부에 Server를 운영하는 경우 해당 서버 역시 사설 IP 주소가 할당되어 있기 때문
     에 외부에서 먼저 접근이 불가능하다.

     이러한 문제를 해결할 수 있는 방법은 Server의 사설 IP주소와 특정 공인 IP 주소를 1:1로 고
     정적 Mapping을 시키는 것이다.

<Ex> 다음 조건에 일치하도록 Static NAT를 설정하시오.
     - 사설 IP 주소 : [192.168.0.200]
       공인 IP 대역 : [211.100.10.200]

<CE>
conf t
ip nat inside source static 192.168.0.200 211.100.10.200
!
int fa 0/0
 ip nat inside
!
int fa 0/1
 ip nat outside
!
--------------------------------------------------------------------------------------------------------------------------

[3. PAT(1:N)]

 -> 소수의 공인 IP 주소를 사용하여 다수의 사설 IP 장비를 외부와 통신할 수 있도록 해준다.
     대표적으로 공유기를 예로 들 수 있다.

 -> 사설망 내부의 모든 장비들이 동일한 공인 IP 주소를 사용하기 때문에 응답 트래픽의 실제
     내부 목적지를 식별할 수 없다.
     때문에 L4 Header(TCP/UDP)의 Source Port 번호를 사용하여 장비를 식별할 수 있도록 한다
.
<Ex. 1> 다음에 조건에 일치하도록 PAT를 설정하시오.
     - 사설 IP 주소 : [192.168.0.0/24]
       공인 IP 대역 : [211.100.10.1]

<CE>
conf t
no ip nat inside source list 31 pool G_IP
no ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
no access-list 31 permit 192.168.0.0 0.0.0.255
no access-list 10 permit 192.168.0.0 0.0.0.255
conf t
ip nat pool PC 211.100.10.1 211.100.10.1 netmask 255.255.255.0
access-list 10 permit 192.168.0.0 0.0.0.255
ip nat inside source list 10 pool PC overload
!
int fa 0/0
 ip nat inside
!
int fa 0/1
 ip nat outside
!

<Ex. 2> CE 라우터의 Fa0/1 인터페이스에 할당된 공인 IP주소(1.1.100.1)를 사용하도록 PAT를 설정하시오.
<CE>
conf t
no ip nat inside source list 10 pool G_IP
no ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0
no access-list 10 permit 192.168.0.0 0.0.0.255
=> 기존 PAT 설정 삭제
conf t
access-list 10 permit 192.168.0.0 0.0.0.255
ip nat inside source list 10 interface fa0/1 overload

----------------------------------------------------------------------------------------------------------------------------
[4. PAR(1:N)]

--------------------------------------------------------------------------------------------------------------------------

<실습>

위의 그림처럼 설정하시오. ISP로 네트워크를 구축

192.168.0.x 대역에서 NAT를 통해서 ISP와 통신이 되는지 확인한다.