Network/Security

NAT (4) Redundancy (HSRP/SNAT)

billy0529 2014. 8. 4. 00:17
728x90

<>NAT redundancy




1. NAT/HSRP


   HSRP (hot standby routing protocol)를 이용한 가장 단순한 이중화 구성이다. 다만 HSRP는 시스코 전용 프로토콜이며, 

   static NAT만 적용가능하므로 제한적인 이중화만이 가능하다.

   위의 예제에서 internet ISP 에서 공인 IP [10.1.1.1] [10.1.1.2]를 할당하고 이를 R1과 R2로  하여금 이중화로 구성하도록 

   하였다. 


   R1


   (1) f0/0 line-protocol 을 트래킹한다.

   (2) hsrp 설정시 이름을 지정한다.

   (3) inside local IP 주소 200.1.1.3 (R3) 을 공인 ip [10.1.1.1]로 변환한다. 그리고 redundancy 명령과 위에서 설정한 HSRP

         이름을 기재한다.


   R2


   R2를 백업으로 구성하였다. 



   R3에서 internet으로 텔넷 연결시 R2 NAT translation


   10.1.1.1 공인 IP로 변환된것을 확인할수 있다. 중요한점은 R2는 백업 라우터인데도, R1의 NAT 변환 기록이 R2에도 이전되

   는부분인다.




2. SNAT


   SNAT 는 stateful NAT 의 줄임말로써 ip nat stateful 명령으로 구현한다. static, dynamic 을 모두 지원하며, HSRP 등의 

   이중화 프로토콜 혹은 동적 라우팅 프로토콜만을 사용하는 네트워크에서도 이중화를 지원한다.



   HSRP를 구성했을시 R1에서 SNAT 설정


   (1) ip nat statful 명령어와 ID를 지정한다.

   (2) 인터페이스에 적용한 HSRP 그룹 명을 입력한다.

   (3) 매핑 ID는 NAT 설정에서 참조할 ID를 정해서 입력하면 된다.

   (4) 위 예제는 static NAT설정에서 뒤 mapping-id 를 입력하여 SNAT를 참조해 이중화하도록 설정했다.



   별도의 이중화 프로토콜을 사용하지 않고 OSPF등의 IGP로 구성했을시,


   (1) ip nat stateful 명령어에서 로컬 메인 라우터의 IP를 primary 명령어와 함께 명시한다. 설정하는 라우터가 백업으로 동작

        할경우엔 primary 대신 backup 명령을 설정한다. (예제에서 R2가 해당)

   (2) 이중화를 구성할 피어 라우터의 IP를 설정한다. 당연한 얘기지만 동일한 서브넷 영역내의 라우터 IP만 구성할수 있다.

   (3) NAT설정에서 참조할 SNAT의 mapping id를 설정한다. 

   (5) 메인, 백업 라우터에서 SNAT설정이 모두 끝나면, SNAT converging 세션을 맺었다는 로그를 볼수 있다.

   

   

'Network > Security' 카테고리의 다른 글

NAT (5) NAT-PT  (0) 2014.09.14
NAT (3) PAR, PAT  (0) 2014.08.03
NAT (2) Static, Dynamic NAT  (0) 2014.08.03
NAT (1)  (0) 2014.08.03
IOS Firewall (3) ZFW  (0) 2014.07.25