Network/Security

NAT (5) NAT-PT

billy0529 2014. 9. 14. 21:34
728x90

<>NAT-PT



Network Address Translation - Protocol Translation


IPv4 - IPv6 간 NAT로 통신하도록 한다. 





1. Static NAT-PT



   IPv6 - v4 주소를 1:1 로 매칭한다.


   (1) 인터페이스에 ipv6 nat 명령으로 nat-pt 를 활성화한다. inside, outside 설정 불필요

   (2) ipv6 주소로 변환될 nat prefix 대역을 설정한다. 위와같이 출구인터페이스에서 지정할시 해당인터페이스만,  글로벌 

        모드에서 설정시 모든 인터페이스에 nat prefix를 적용한다. 96 bit로 무조건 고정된다.

   (3) v6 에서 v4로 변환될 주소를 매칭한다.

   (4) v4 에서 v6로 변환되어 들어올 목적지 주소를 매칭한다. 위에서 설정한 nat prefix 대역에서 추가한다.



2. Dynamic NAT-PT


  

   매칭할 주소를 동적으로 할당하도록 한다. 위의 정적 NAT에서 ipv6 nat 명령과, nat prefix 설정은 유지한다.


   (1) 매칭할 출발지 ipv6 주소 대역를 ACL로 지정한다.

   (2) 변환될 ipv4 주소대역을 nat pool로 설정한다. 예제에서 1.1.12.0/24 대역으로 설정

   (3) (1)ACL 과 (2)의 nat pool 대역을 매칭하도록 nat 설정

   (4) 목적지에서 출발지로 매핑할시엔 동적, 정적 NAT 설정에 관계없이 한쪽방향에서는 정적으로 구성한다.



3. V4-mapped Dynamic NAT-PT


   

   V4-mapped 를 구성하면, ipv4 주소형태를 ipv6 포맷에 맞게 자동 변환하므로 목적지 주소에서 정적 Nat를 매핑할 필요가 

   없다. 


   (1) 출발지 ipv6 주소 대역을 ACL로 설정

   (2) v4-mapped를 구성하도록 한다. nat prefix 96bit 뒤에 ipv4 주소를 변형한 32 bit 를 붙인다. 

        ipv4 주소 10진수 8bit를 16진수로 변환한후 다시 xxxx:xxxx 의 형태로 16비트 2개를 붙인후 nat prefix 나머지 32비트

        자리에 이어 붙인다. 따라서 1.1.23.3 은 101:1703 으로, 192.168.1.100 은 C0A8:164 가 된다.

        뒤에 출발지 ipv6 주소 대역을 함께 설정한다.

   (3) 목적지 ipv4 주소 pool 을 생성한다.

   (4) 위에서 설정한 출발지 ipv6 주소를 ipv4 pool 로 변환하도록 설정



4. PAT-PT



   포트별로 ipv6 주소를 할당하는 PAT를 설정한다.


   (1) 예제에서 N:1 PAT를 구성하기 위해 nat pool에 ipv4 주소를 1.1.12.1 만 설정하였다.

       보통 중소규모 네트워크에서 PAT를 사용하는 이유는 사설 IP를 훨씬 적은 몇개의(보통은한개) 공인 IP으로 변환하여

       통신하도록하여 부족한 ipv4 주소를 극복하고자 함이기 때문에, 여기서도 현실적인 공인 IP 1.1.12.1 한개로 설정하

       도록 nat pool 을 생성하였다. 더 간단하게는 interface 를 직접 지정하여 해당 인터페이스 주소에 포트별 할당하도록 

       할수있다.

   (2) ipv6 주소 대역을 지정한 ACL과 nat pool ipv4 주소를 매칭 시킨다.

   (3) v4-mapped 자동변환매칭이 아니기때문에 여기도 목적지 주소에서 정적으로 구성되도록 하였다.



5. 출발지가 IPv4 주소 인경우



   IPv4 네트워크에서 NAT-PT를 설정할경우, PAT-PT, v4-mapped 등은 지원되지 않는다.

   위 예제는 동적 NAT-PT 설정


   (1) ipv4 네트워크 에서도 nat prefix를 지정한다. 이는 목적지 ipv6 에서 ipv4 로 되돌아오는 패킷을 변화시키기 위함이다.

        지정하지 않을시 ipv4 네트워크 출발지에서 통신이 되지 않는다.

   (2) 출발지 ipv4 주소 대역을 ip ACL로 지정한다. 예제는 extended 설정했으나 standard나 넘버모드도 무방함.

   (3) R2(config)# ipv6 nat v4v6 pool IPV6 123:1:1:1:1:1:1:0 123:1:1:1:1:1:1:199 prefix-length 96

        ipv6 네트워크로 변환할 주소 대역을 nat pool로 설정한다. 1:0 ~ 1:199 까지 설정하였다.

   (4) 위에서 설정한 ipv4 주소대역과 ipv6 주소를 변환한다.

   (5) 마찬가지로 ipv4 네트워크 설정에서도 목적지 주소를 정적 NAT로 설정해야 한다. 이는 ipv6 출발과 동일



'Network > Security' 카테고리의 다른 글

NAT (4) Redundancy (HSRP/SNAT)  (0) 2014.08.04
NAT (3) PAR, PAT  (0) 2014.08.03
NAT (2) Static, Dynamic NAT  (0) 2014.08.03
NAT (1)  (0) 2014.08.03
IOS Firewall (3) ZFW  (0) 2014.07.25