Network/Security

NAT (3) PAR, PAT

billy0529 2014. 8. 3. 22:45
728x90

<>PAR, PAT




1. PAR (port address redirection)


 PAR 는 동일한 공인 IP에 포트별로 다른 목적지 사설 IP를 매칭함으로써 공인 IP를 사설 IP처럼 1:N으로 매칭하는 것을 

 말한다. 다수의 서버에 일일이 할당할 공인 IP가 부족하거나, 외부에서 사설 네트워크 내의 특정 서버 및 장비를 연결할시에

 쓰이게된다. 포트포워딩과 거의 유사한 개념이다.


   위의 예제에서 라우터와 서버 2대 장비는 같은 사설 네트워크 대역에 묶여있고, 공인 IP 1.1.12.2 의 포트를 각각

   web 서버의 http 포트 80, FTP 서버의 텔넷 포트 23과 각각 매칭하기로 한다.


   router


   (1) 1.1.12.2:80 은 WEB 서버의 HTTP로 

   (2) 1.1.12.2:23 은 FTP 서버의 텔넷 세션으로 연결되도록 설정했다.

        따라서 한개의 공인 IP 1.1.12.2 하나로 다수의 내부 장비와 통신이 가능하다.




2. PAT



   사설 IP 와 공인 IP의 임의의 포트 번호를 1:N 혹은 N:N으로 할당한다.


  

   위의 예제에서 변환할 공인 IP를 [10.1.1.1] [10.1.1.2]로 설정하고, server1으로 가는 트래픽은 [10.1.1.1] 

   server2로 가는 IP는 [10.1.1.2]로 변환하도록 한다. 목적지 별로 다른 IP 로 변환하도록하는것이 중점



   router


   (1) server 1 의 IP 대역을 지정한다. 확장 엑세스 리스트는 목적지를 기재할수 있기 때문에 예제의 네트워크 설정에서 

        핵심적인 부분이 된다. 

   (2) server 2 의 IP 대역

   (3) NAT 변환을 해서 외부로 나갈 공인 IP [10.1.1.1] [10.1.1.2] 에 대해 각각 pool 을 생성한다. 

        prefix-length 는 변환될 IP의 서브넷을 지정하는 명령어이다. 여기서는 24bit

   (4) 명령어가 조금 잘려서 보이는데, 112.1.1.1 을 목적지로 하는 어떠한 패킷이든 server1-pub pool 즉 10.1.1.1로 변환되도

        록 한다는것을 알수 있다. NAT의 inside 로컬 ACL은 여기서 "목적지 112.1.1.1 로 향하는 아무 주소"로 정의된다. 아래

        의 server2 관련 NAT설정도 동일하다. 



   PC1, 2에서 각각 server1, 2로 텔넷으로 접속할시


   (1) 각각의 다른 목적지에 대해 다른 공인 IP [10.1.1.1] [10.1.1.2]로 변환되었다.



  router의 설정에서 route-map을 사용하여 추가적인 설정을 할시에,


   (1)(2) 뼈대는 위와 같으나 route-map 을 설정하여 추가적인 라우팅 설정을 더할수 있다. 예제에는 더하지 않았지만

            set 명령어등을 통해 추가적인 정책을 더한다.

   (3) inside local 주소에 ACL을 불러오지 않고, 위에서 설정한 route-map 을 불러온다.



   

'Network > Security' 카테고리의 다른 글

NAT (5) NAT-PT  (0) 2014.09.14
NAT (4) Redundancy (HSRP/SNAT)  (0) 2014.08.04
NAT (2) Static, Dynamic NAT  (0) 2014.08.03
NAT (1)  (0) 2014.08.03
IOS Firewall (3) ZFW  (0) 2014.07.25