NAT
-기본적으로 NAT가 설치된 장비는 네트워크의 출구에 위차하며설정에 따라 적절한 주소 변환이 이루어져 다음과 같은 사용 목적을 만족시킨다.
1.IPv4에서 공인 IP주소 부족 문제로 사설 IP 주소를 사용할 때, 사설 IP주소를 가진 호스트가 인터넷과 통신하려면 경계 라우터에서 NAT 기능을 설정한다.
2.외부에 알려줄 IP가 변경되었을 때 내부망모든 장비의 IP 주소를 변경하려면 상당한 시간이 소요되기 때문에 NAT 설정만으로 변경된 IP를 통해 통신할 수 있게 한다.
3.외부에 알려줄 IP가 변경되었을 때, 내부망모든 장비의 IP주소를 변경하려면 상당한 시간이 소요되기 때문에 NAT 설정만으로 변경된 IP를 통해 통신할 수 있게 한다.
4.보안 목적으로 주소 변환 기능을 사용하면 내부 IP주소가 외부에게 알려지지 않기 대문에 외부로부터 직접적인 공격을 막을 수 있다.
-NAT설정은 2가지 유형이 있다. 하나는 도메인 기반의 NAT이고 다른 하나는 NVI(NAT virtual Interface) 기반의 NAT이다.-도메인 기반의 NAT 설정에는 NAT장비를 기준으로 inside, outside 도메인이 존재해야만 주소 변환이 동작한다.
-Inside 관리자가 제어하는 네트워크로 보통 내부망이라고 한다.
-Outside 인터넷과 같은 외부 네트워크를 말한다
.-Local Address 내부망에서 패킷을 캡쳐했을때 설정된 패킷의 출발지 및 목적지 IP 주소를 Local Address라 한다.
Global Address 외부망에서 패킷을 캡쳐했을때 설정된 패킷의 출발지 및 목적지 IP 주소를 Global Address라 한다
GNS3----------------------------------------
NAT
시리얼 케이블을 또다른 말로 WAN 케이블
R1
interface loopback 0 가상인터페이스 생성
ip address 10.1.1.1 255.255.255.0
no h
exit
interface fa0/0
ip add 10.1.100.1 255.255.255.0
no sh
exit
R2
interface loopback 0
ip add 10.1.2.2 255.255.255.0
no sh
exi
interface fa0/0
ip add 10.1.100.2 255.255.255.0
no sh
exi
R3
interface loopback 0
ip add 10.1.3.3 255.255.255.0
no sh
exi
interface fa0/0
ip add 10.1.100.3 255.255.255.0
no sh
exi
interface s0/0
ip add 1.1.34.3 255.255.255.0
no sh
exi
R4
int loopback 1.1.4.4. 255.255.255.0
no sh
exi
int s0/0
ip add 1.1.34.4 255.255.255.0
no sh
R3
ip router 0.0.0.0 0.0.0.0 1.1.34.4
(안되면 ip route 0.0.0.0 0.0.0.0 s0/0)
router ospf 1
network 10.1.3.3 0.0.0.0 area 0
(netwrok 10.1.3.0 0.0.0.255 area 0 이상비슷함
net 10.1.3.3 0.0.0.0 area 0 //10.1.3.~의 같은 네트워크주소가 많을땐 서브넷마스크 안써도 됨
)
netwrok 10.1.100.3 0.0.0.0 area 0
default-information originate 재분배를 쓰지않고 연결하는 명령어
ospf에있는 설정들을 default로 넘길수있음
ospf의 주소들을 default 라우팅으로 옮겨준다
R1
router ospf 1
network 10.1.1.1 0.0.0.0 area 0
network 10.1.100.1 0.0.0.0 area 0
R2
router ospf 1
network 10.1.2.2 0.0.0.0 area 0
network 10.1.100.2 0.0.0.0 area 0 ping 10.1.1.1 , ping 10.1.2.2
NAT(정적/동적)
정적으로 먼저 설정 보안을 위해쓴다.
R4
ip route 2.2.2.0 255.255.255.0 1.1.34.3
R3
ip nat inside source static 10.1.100.1 2.2.2.200 내부의 출발지가 정적으로 10.1.100.1인 것을 2.2.2.200 으로 쓰겟다
내부에서 출발지가 10.1.100.1인 패킷들 은 나갈때 2.2.2.200으로 통신을 하겠다
int fa0/0 fa0/0에 적용시키기
ip nat inside
exi
int s0/0
ip nat outside 바깥쪽도 설정해주기
exi
show ip nat statistics
설정 끝나면 R1에서 R4의 루프백 interface까지 ping 감
R1
ping 1.1.4.4
R3
show ip nat translations 설정한거확인
R1
telnet 1,1,4.4
R3
ip nat outside static 1.1.4.4 5.5.5.5 1.1.4.4를 5.5.5.5로 NAT변환
---위에한거에------------
R3
no ip nat inside source static 10.1.100.1 2.2.2.200
no ip nat outside source static 1.1.4.4 5.5.5.5
동적 Nat
1)ACL 작성
R3
ip access-list standard PRIVATE
permit 10.0.0.0 0.255.255.255 프라이 베이트 정의 10.0.0.0 으로정의
ip nat pool PUBLIC 2.2.2.1 2.2.2.100 netmask 255.255.255.0 퍼블릭 정의
ip nat inside source list PRIVATE pool PUBLIC
10.0.0.0 (PRIVATE)가 R3를 통해 나갈 때 2.2.2.1~2.2.2.100(PUBLIC) 중 아무거나 하나로 나간다
프라이베이트가 나갈 때 퍼블릭 주소대역으로 나눠주게 된다
R4
ping 2.2.2.1
R3
show ip nat translation
ip access-list standard PRIVATE_2
ip nat pool PUBLIC_2 5.5.5.1 5.5.5.10 netmask 255.255.255.0
ip nat outside source list PRIVATE_2 pool PUBLIC_2
R3
debug ip nat
R1>>>>>R4 5.5.5.1
R4>>>>>R1 2.2.2.1
----------------------------
ip access-list standard PRIVATE
permit 192.168.0.0 0.0.0.255
exi
ip nat pool PUBLIC 192.168.1.2 192.168.1.10 netmask 255.255.255.0
ip nat inside source list PRIVATE pool PUBLIC
R3(config)# ip access-list standard PRIVATE
R3(config)# pemit 10.0.0.0 0.255.255.255
R3(config)# exit
R3(config)# ip nat pool PUBLIC 2.2.2.1 2.2.2.100 netmarsk 255.255.255.0 //ip nat pool 명령어를 사용하여 공인 ip주소를 지정
R3(config)# ip nat inside source list PRIVATE pool PUBLI
ip access-list standard PRIVATE
permit 192.168.0.0
exit
ip nat pool PUBLIC 192.168.1.2 192.168.1.10 netmask 255.255.255.0
ip nat inside source list PRIVATE pool PUBLIC
----------------------
gns3
preference
vmware vm
window7 추가!
클라우드 데스크탑
window7 hostonly로 하기
newtamplit해서 윈도우 추가하고 연동시키기
windows 7 w e10
임포트하기 preference에서
--------------------
방화벽!!!!!!!!!!!!!!!!!!!!!!!!!!!!
gns 3
asav981.qcow2
임포트하기
cisco asav
선택하고
F1
int gi0/0
no namief inside
nameif inside 값이높은곳에서 낮은곳으로 이동하기떄문에
[~~~default 100]
ip add 10.1.10.10 255.255.255.0
no sh
ing gi0/1
namief outside
[~~~default 0]
ip add 1.1.20.10 255.255.255.0
no sh
R1
int fa0/0
ip add 10.1.10.1 255.255.255.0
no sh
R2
int fa0/0
ip add 1.1.20.2 255.255.255.0
no sh
이제 라우터끼리 통신이 되게하려고 만든다.
F1
route outside 0.0.0.0 0.0.0.0 1.1.20.2 // 디폴 정적 라우팅
목적지 서브넷 경로
ip route 0.0.0.0 0.0.0.0
이거랑 똑같은거
route ospf 1
network 10.1.10.0 255.255.255.0 area 0 와일드 마스크를 사용하지않음. 방화벽은
(network 10.1.10.10 255.255.255.255 area 0) 같음!!
default-information originate
R1
router ospf 1
network 10.1.10.1 0.0.0.0 area 0
redistribute connected subnets 다른라우팅프로토콜로 전송할떄 재분배해서 맞게변형해주 는거
R2
ip route 10.0.0.0 255.0.0.0 1.1.20.10
F1
show ospf neighbor
R2
line vty 0 4
password cisco
login
텔넷으로 r1~r2해보기
R1
line vty 0 4
password cisco
login
r2~~r1으로 텔넷은 안된다!!!!!!!!!!!
enable password cisco
방화벽 해당 로그 확인
F1
show conn
logging enable
logging consol 7
-------------------------
F1
int gi0/0
no namif inside
namief inside
ip add 10.10.10.10 255.255.255.0
no sh
int gi0/1
nameif outside
ip add 1.1.10.10 255.255.255.0
no sh
R1
int fa0/0
ip add 1.1.10.1 255.255.255.0
no sh
윈도우콘솔로
open network and sharing center
change adapter
윈도우 ipv4 tcp
property
10.10.10.1
255.255.255.0
10.10.10.10
windows features on or off
telnet client 체크후 ok버튼
cmd 관리자권한 실행
F1
router ospf 1
network 10.10.10.10 255.255.255.255 area 0
netwrok 1.1.10.10 255.255.255.255 area 0
enable password cisco123
passwd cisco 123
telnet 10.10.10.0 255.255.255.0 inside 10.10.10.0번대 네트워크만 텔넷을 허용한다
telnet 1.1.10.1 255.255.255.255 outside
int gi0/0
security-level 50
exit
int gi0/1
security-level 100
R1
router ospf 1
network 1.1.10.1 0.0.0.0 area 0
line vty 0 4 동시에 몇 명까지 접속할수 있나
password cisco
login
enable password cisco
telnet R 1아이피
who
kill 하고 숫자쓰면 내보낼수있음
---------------------------------------
방화벽
R1
int fa0/0
ip add 1.1.10.1 255.255.255.0
no sh
exi
R2
int gi0/1
ip add 1.1.20.2 255.255.255.0
no sh
exi
F1
int gi0/0
no namief inside
ip add 1.1.10.10 255.255.255.0
no sh
int gi0/1
namief outside
ip add 1.1.20.10 255.255.255.0
no sh
exi
R1
int loopback 0
ip add 1.1.1.1 255.255.255.0
no sh
exi
R2
int loopback 0
ip add 1.1.2.2 255.255.255.0
no sh
exi
F1
router ospf 1
network 1.1.10.10 255.255.255.255 area 0
network 1.1.20.10 255.255.255.255 area 0
R1
router ospf 1
network 1.1.10.1 0.0.0.0 area 0
network 1.1.1.1 0.0.0.0 area 0
R2
router ospf 1
network 1.1.20.2 0.0.0.0 area 0
network 1.1.2.2 0.0.0.0 area 0
R1
show ip route 로확인
F1
access-list OUTSIDE-IN entended pemit tcp host 1.1.2.2 host 1.1.1.1 eq www
확장형 해당프로토콜 출발지주소 도착지 주소
access-list OUTSIDE-IN extended permit icmp host 1.1.2.0 host 1.1.1.1
access-group OUTSIDE-IN in interface outside
show run access-list
R1
line vty 0 4
password cisco
login
exit
R2
line vty 0 4
password cisco
login
exit
R2
ping 1.1.1.1 == x
ping 1.1.1.1 source 1.1.2.2 ==0
R1
ip http server service apach2 start랑 같다고보셈
R2
telnet 1.1.1.1 80 /source-interface lo 0
F1
access-list OUTSIDE-IN line 2 deny ip host 1.1.20.2 host 1.1.1.1
아이피주소거부
no access-list OUTSIDE-IN entended pemit tcp host 1.1.2.2 host 1.1.1.1 eq www
하나하나삭제
clear configure access-list 접근제어리스트 전부삭제
access-list OUTSIDE-IN remark TESTING NO LOG OPTION
accee-list [리스트이름] [권한] [프로토콜] [출발지] (옵선) [도착지] (옵션)
access-list OUTSIDE-IN permit ip host 1.1.2.2 any
access-list OUTSIDE-IN deny ip host 1.1.20.2 any
access-group OUTSIDE-IN in interface outside
show access-list
logging enable
logging console 7
R2
telnet 1.1.1.1=x
telnet 1.1.1.1 80 /source-interface loopback 0
이걸로 한뒤ㅣ에 logging console 7 으로 로그 확인
show access-list
hitcount 증가확인
------------------------------------------------------
포트들 다넣고.
방화벽에서
F1
int gi0/0
no namief inside
namief inside
ip add 10.1.10.10 255.255.255.0
nosh
int gi0/1
no namief dmz
namief dmz
security-level 50
ip add 10.1.23.10 255.255.255.0
no sh
exi
int gi0/2
namief outside
ip add 1.1.40.10 255.255.255.0
no sh
exi
F1
router ospf 1
network 10.1.10.10 255.255.255.255 area 0
network 10.1.23.10 255.255.255.255 area 0
default-information originate
나머지는 정적
route outside 0 0 1.1.40.4
R1
router ospf 1
network 10.1.10.1 0.0.0.0 area 0
network 10.1.1.1 0.0.0.0 area 0
R2
router ospf 1
network 10.1.23.2 0.0.0.0 area 0
network 10.1.2.2 0.0.0.0 area 0
R3
router ospf 1
network 10.1.23.3 0.0.0.0 area 0
network 10.1.3.3 0.0.0.0 area 0
R4
ip route 2.2.2.0 255.255.255.0 1.1.40.10
F1
router ospf 1
defult-information originate
F1
object network DMZ_SERVER 오브젝트 하나 만드는거래
host 10.1.23.2
nat (dmz,outside) static 2.2.2.100 10.1.23.2 로 시작하는 IP 가나가믄
2.2.2.100 으로 나간다는거
redistribution connected subnet 얘는
subnet워크까지 명확하게 구분해서 광고해준다는걸로
지금 필요없고
아까도 명확하게 구분해서 필요는 없는 명령어
default-information originate
redistribution static
두개 차이는
0.0.0.0 ~ 이런식으로 되어있으면
이런식으로 게이트웨이처럼 나가면
default-information originate 쓰고
그냥 ip대역때 정해서 그러면 스태틱
F1
access-list OUTSIDE-IN permit tcp any host 10.1.23.2 eq 23
access-group OUTSIDE-IN in interface outside
R2
line vty 0 4
password cisco
login
R4
telnst 2.2.2.100
F1
clear configure object
clear configure access-list
------------------------------
동적 설정방법
F1
object network POOL_RANGE
range 2.2.2.1 2.2.2.10
object network INSIDE_NAT
subnet 10.1.0.0 255.255.0.0
nat (inside,outside) dynamic POOL_RANGE
R4
line vty 0 4
password cisco
login
R1
telnet 1.1.4.4
telnet 1.1.4.4
R2(config)# ip route 0.0.0.0 0.0.0.0 1.1.23.3
R4(config)# ip route 0.0.0.0 0.0.0.0 1.1.34.3
R5(config)# ip route 0.0.0.0 0.0.0.0 1.1.35.3
R1(config)# router eigrp 1
network 10.1.10.1 0.0.0.0
network 10.1.12.1 0.0.0.0
R2(config)# router eigrp 1
network 10.1.12.2 0.0.0.0
'네트워크 구축' 카테고리의 다른 글
| gns ospf ,cloud연결해보기 (0) | 2020.11.30 |
|---|---|
| gns 페이스북 페이크사이트 (0) | 2020.11.30 |
| gns wireshark 정적라우팅 (0) | 2020.11.30 |
| gns vpn (0) | 2020.11.30 |
| 네트워크 위치추적 trackurl ,gns3설치 (0) | 2020.11.30 |