네트워크 - NAT

사설 IP와 공인 IP

실제 NAT가 사용되는 대다수의 경우는 사설 IP <> 공인 IP 변환이기 때문에 사설 IP와 공인 IP에 대한 개념이 필요하며, 사설 IP의 대역은 필수적으로 암기하는것이 업무(그 외 다수)가 수월하게 진행된다.

# 사설 IP

특정 기관 등에서 내부 네트워크용으로 임의로 만든 IP를 말하며, 외부와 통신하기 위해서는 공인 IP로의 변환이 필요하다.

# 사설 IP 대역

A class : 10.0.0.0 - 10.255.255.255

B class : 172.16.0.0 - 172.31.255.255

C class : 192.168.0.0 - 192.168.255.255

# 공인 IP

쉽게 말해 인터넷에 접속할 수 있는 권한을 가진 IP를 말한다. (사설 IP와 반대되는 개념이다.)

 

NAT(Network Address Translation)

Packet의 Source/Destination IP, Port 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고 받을 수 있도록 해주는 기술을 말한다.

보통 사설 네트워크에 속한 여러개의 호스트가 하나의 공인 IP 주소를 사용하여 인터넷에 접속하기 위해 사용한다.

예를들어 192.168.0.1 -> 111.111.111.111 통신의 사설 IP를 변환시키면 55.55.55.1 -> 111.111.1111.111 이 된다.

 

종류

# Static NAT

네트워크 주소를 1:1 매칭하여 변환하는 NAT를 의미한다.

# Dynamic NAT

네트워크 주소를 N:M, N:1, 1:M 즉, IP대역과 대역을 매칭하여 변환하는 NAT를 의미한다.

# SNAT

Source NAT, 출발지 IP를 변환하는 NAT를 의미한다.

# DNAT

Destination NAT, 목적지 IP를 변환하는NAT를 의미한다.

# PAT

하나의 IP 주소를 가지고 여러개의 내부호스트를 사용할 수 있게한다.

 

PAT(Port Address Translation)

이론적으로 공인 IP 주소 한 개로 최대 65,535개의 내부 호스트의 통신을 처리할 수 있다.

사설 IP가 공인 IP에 모두 NAT되어 공인 IP가 부족하게 되면 설정한 port로 NAT를 시켜 통신이 가능하게 한다.

출처: https://terms.naver.com/entry.nhn?docId=3586583&cid=59277&categoryId=59278

 

보안 장비에서의 NAT

보안 장비마다 flow가 다르기 때문에 사용하는 장비의 packet flow sequence를 확인하는게 가장 중요하다. 

security rule 적용 시 rule check가 먼저인지 nat translation이 먼저인지 확인해야한다.

(rule check가 먼저일 경우 변환 전 IP로 정책 적용, translation이 먼저일 경우 변환 후 IP로 정책 적용)

 

 

---

# 참고

네이버 지식백과, terms.naver.com/entry.nhn?docId=3586583&cid=59277&categoryId=59278