04.26_Switch_EtherSW-Module/NAT

## EtherSwitch Module ##

- Module 형 Router에 EtherSwitch 모듈을 장착하게 되면

 Router에서 Ethernet Switch 기능을 사용할 수 있다.

- Router에서 Switch기능을 사용할 수 있지만 실제Switch의 모든 기능을 지원하는

 것은 아니다. 또한, 실제 Switch와 명령어의 차이도 존재한다.

- Switch와 EtherSwitch 모듈의 차이점은 다음과 같다.

[1.VLAN정보 확인 명령어 차이점]

1. Switch=> [show vlan], [show vlan brief]

2. EtherSwitch 모듈 => [Show vlan-switch],[show vlan-switch brief]

[2. Trunk 설정시 Allowed VLAN 명령어 차이점]

-> 실제 Switch와 다르게 EtherSwitch 모듈의 경우 Trunk 포트에 Allowed

     VLAN 명령어를 사용할 경우 반드시 default VLAN 1, 1002-1005가 포함

     되어야 한다.

    <ex> [switchport trunk allowed vlan 1,10,20,1002-1005]

[3.DTP 비활성화 명령어가 지원 X]

-> DTP를 사용하지 않을 경우 ‘switchport nonegotiate’ 명령어를 사용

    했지만, EtherSwitch 모듈에서는 해당 명령어가 입력되지 않는다.

[4. ‘ip routing 기능 활성화 차이점]

-> 실제 L3 Switch의 경우 IP Routing이 비활성화되어 있는 경우

   [ip routing] 명령어를 입력해서 Routing 기능을 활성화시킨다.

-> 하지만 EtherSwitch 모듈의 경우 기본적으로 Router 기능이

   사용되기 때문에 [ip routing] 명령어를 입력하지 않아도

   Routing이 가능하다.

[5. Switch 포트 활성화 문제]

-> 실제 Switch의 경우 구동 중인 상태에서 다른 device를 연결해도

    기본적인 포트 상태가 up/up으로 동작한다.

-> EtherSwitch 모듈의 경우 다른 device를 연결한 후 전원을 키게

   되면 포트 상태가 up/up으로 동작한다.

   하지만 EtherSwitch모듈의 전원을 먼저 키고 그 후 다른 device를

   연결할 경우 포트 상태가 up/Down이 된다!

     => 해결 방법은 해당 포트에 들어가서 [shutdown - > no shutdown]

           명령어를 입력하면 된다.

[6. VLAN 저장]

=> EtherSwitch 모듈의 경우 VTP 모드를 ‘transparent’모드로 변경한

    후 VLAN을 생성, 저장해야만 VLAN 정보가 정상적으로 저장한다.

=> 만약 VTP 모드를 변경하지 않고 VLAN을 생성할 경우 장비 reload

    시 VLAN 정보가 삭제된다!

==================================================================================

## NAT(Network Address Translation) ##

- IPv4는 ‘공인 IP주소’와 ‘사설 IP주소’로 구분이 가능하다.

1. 공인 IP: 외부와 통신이 가능, 유료

2. 사설 IP: 외부와 통신 불가능, 무료

      -> class A: 10.0.0.0 /8 (10.0.0.0 ~ 10.255.255.255)

-> class B:172.10.0.0 /12 (172.10.0.0 ~ 172.31.255.255)

-> class C:192.168.0.0/16 (192.168.0.0 ~ 192.168.255.255)

-  NAT는 IP 주소를 변환시켜주는 기술이다.

  사설 IP주소를 공인 IP주소로 변환시키는 경우에 많이 사용된다.

- NAT 종류는 다음과 같다.

1) Dynamic NAT => N : N

2) Static NAT => 1 : 1

3) PAT(Port Address Translation) => 1: N

4) PAR(Port Address Redirect) => 1 : N

===================================================================================

 

[1.Dynamic NAT(N:N)]

-> Dynamic NAT의 경우 사설 IP 그룹과 공인 IP 그룹을 생성 후

   동적인 Mapping을 수행한다.

-> Dynamic NAT를 수행하는 device에 NAT Table이 형성된다.

   Dynamic NAT의 경우 평상시에는 NAT Table에  Mapping 된 정보가

   존재하지 않고, 내부에서 외부로 통신을 시도하는 경우에 동적

   으로 Mapping 정보가 생성된다.

   (해당 정보는 일정 시간 뒤에 삭제된다.)

    => 결과적으로 외부에서 내부로 먼저 접근이 불가능하다!

<Ex> 다음 상황에 맞도록 Dynamic NAT를 설정하시오.

          -사설 IP 대역 : [192.168.0.0/24]

          -공인 IP 대역 : [211.100.10.0/24]

<CE>

conf t

ip nat pool G_IP 211.100.10.1 211.100.10.254 netmask 255.255.255.0

access-list 10 permit 192.168.0.0 0.0.0.255

ip nat inside source list 10 pool G_IP

int fa 0/0

ip nat inside

!

int fa 0/1

ip nat outside

!

<ISP>

conf t

ip route 211.100.10.0 255.255.255.0 1.1.100.1

-verify-

show ip nat translation

=> NAT Table 확인 명령어

debug ip nat

=> NAT 동작 확인 명령어.

-----------------------------------------------------------------------------------------------------------------------------------------------

[2. Static NAT(1:1)]

-> 사설망 내부에 서버를 운영하는 경우 해당 서버 역시 사설

    IP주소가 할당되어 있기 때문에 외부에서 먼저 접근이

    불가능하다.

    이러한 문제를 해결할 수 있는 방법은 서버의 사설 IP주소와

    특정 공인 IP 주소를 1:1로 고정적 Mapping을 시키는 것이다.

<Ex> 다음 조건에 일치하도록 Static NAT를 설정하시오.

-사설 IP주소 : [192.168.0.200]

-공인 IP주소: [211.100.10.200]

==================================================================================

[3.PAT-Port Address Translation(1:N)]

-> 소수의 공인 IP 주소를 사용하여 다수의 사설 IP 장비를

   외부와 통신할 수 있도록 해준다.

   대표적으로 공유기를 예로 들 수 있다.

-> 사설망 내부의 모든 장비들이 동일한 공인 IP 주소를 사용하기

    때문에 응답 트래픽의 실제 내부 목적지를 식별할 수 없다.

    때문에 L4 Header(TCP/UDP)의 Source Port 번호를 사용하여

    장비를 식별할 수 있도록 한다.

<Ex> 다음에 조건에 일치하도록 PAT를 설정하시오.

  -공인 IP 주소: [211.100.10.1]

-사설 IP 주소: [192.168.0.0/24]

<CE>

conf t

no ip nat inside source list 50 pool NATT

no ip nat pool NATT 211.100.20.1 211.100.20.254 netmask 255.255.255.0

no access-list 50 permit 192.168.0.0 0.0.0.255

<Ex 2> CE라우터의 Fa0/1 인터페이스 할당된 공인 IP주소

(1.1.100.1)을 사용하도록 PAT를 설정하시오.

<CE>

conf t

no ip nat inside source list 10 pool myhome overload

no ip nat pool myhome 211.100.10.1 211.100.10.1 netmask 255.255.255.0

no access-list 10 permit 192.168.0.0 0.0.0.255

->기존설정 삭제

access-list 10 permit 192.168.0.0 0.0.0.255

ip nat inside source list 10 interface fa 0/1 overload