[GNS3] NAT응용 설정하기 _실습
NAT -> 사설 IP 1개 : 공인 1개
PAT -> 다수의 사설 IP 주소들 : 공인 주소 1개를 공유
실습내용 :
사설 네트워크에 리눅스 컴퓨터(WEB SERVER)와 윈도우 컴퓨터(VNC)원격 접속을 외부에서 가능하고 사설 네트워크에서 인터넷을 사용할 수 있도록 네트워크 환경을 구축을 한다.
핵심 :
- Static NAT : WEB SERVER
- Dynamic PAT : 사설 네트워크에서 인터넷사용(공인IP 1개)
- Static PAT : VNC 접속(공인IP 접속)
위 그림과 같이 환경을 구축한다. 구축하기 위한 내용 앞선 게시글을 참고하면 된다.
https://gmldbd94.tistory.com/102
Dynamic PAT
주 용도는 내부에서 인터넷으로의 연결
vlan 10 ===> 192.168.101.0/24 ===> 192.168.108.201
vlan 20 ===> 192.168.102.0/24 ===> 192.168.108.202
- 공인 IP POOL을 만들어준다.
R1(config)#ip nat pool SERVER_POOL 192.168.108.201 192.168.108.201 pre 24
R1(config)#ip nat pool PC_POOL 192.168.108.202 192.168.108.202 pre 24
server_pool : 192.168.108.201 ~ 192.168.108.201
pc_pool : 192.168.108.202 ~ 192.168.108.202
- 사설 ACL 작성해준다.
R1(config)#access-list 1 permit 192.168.101.0 0.0.0.255
R1(config)#access-list 2 permit 192.168.102.0 0.0.0.255
acess-list 1번은 192.168.101.xxx 허용한다.
acess-list 2번은 192.168.102.xxx 허용한다.
- 공인과 사설을 연결해줄 Mapping을 한다.
R1(config)#ip nat inside so list 1 pool SERVER_POOL overload
R1(config)#ip nat inside so list 2 pool PC_POOL overload
overlad
는 서로 다른 사용자가 동시에 사용할 수 있도록 설정해주는 옵션값이다.
NAT에서의 인터페이스
ip nat inside : 변경전 주소들이 주소 변경을 위해 NAT 장비로 들어오는 인터페이스
ip nat outside : 변경된 주소(공인IP)들이 외부로 나갈때 빠져나가는 인터페이스
- subinterface에 nat inside를 설정해준다. + 외부로 가는 nat outside를 설정해준다.
R1(config-subif)#int f0/1.10
R1(config-subif)#ip nat inside
R1(config-subif)#int f0/1.20
R1(config-subif)#ip nat inside
R1(config)# int fa0/0
R1(config-if)# ip nat outside
- 사설에서 인터넷 사용이 가능하도록 static route를 설정해준다.
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.108.2
-
외부클라이언트가 내부IP로 접속할 때
외부 클라이언트 NAT Linux
http://192.168.108.11 ===> 192.168.108.111 ==> 192.168.101.111
리눅스 서비는 외부에 서비스를 제공하고 있는 상태이므로 항상 고정된 공인 주소를 필요로 한다. NAT 방식에서 Static 방식으로 구성해 주어야 안정적인 서비스가 가능하다.
R1(config)#ip nat inside so static 192.168.101.111 192.168.108.111
nat static 방식으로 192.168.101.111를 192.168.108.111 로 할당해준다.
- NAT 설정 확인하기
R1#show ip nat statistics
>>>
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
FastEthernet0/0
Inside interfaces:
FastEthernet0/1.10, FastEthernet0/1.20
Hits: 273 Misses: 14
CEF Translated packets: 207, CEF Punted packets: 154
Expired translations: 34
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool SERVER_POOL refcount 0
pool SERVER_POOL: netmask 255.255.255.0
start 192.168.108.201 end 192.168.108.201
type generic, total addresses 1, allocated 0 (0%), misses 0
[Id: 2] access-list 2 pool PC_POOL refcount 0
pool PC_POOL: netmask 255.255.255.0
start 192.168.108.202 end 192.168.108.202
type generic, total addresses 1, allocated 0 (0%), misses 0
Queued Packets: 0
R1#show ip nat translations
>>>
Pro Inside global Inside local Outside local Outside global
--- 192.168.108.111 192.168.101.111 --- ---
-
내부 IP 컴퓨터 중 특정 컴퓨터의 VNC를 이용하기 위한 설정
특정 컴퓨터의 포트를 정적으로 설정해준다.
R1(config)#ip nat inside so static tcp 192.168.102.111 5900 int fa0/0 5900
tcp 방식으로 내부 IP 5900포트를 fa0/0(192.168.108.3)의 포트 5900을 정적으로 연결해준다.
최종목표로 우리가 VNC관리하는 형태는 아래와 같다.