[실습] DHCP NAT WCM 23.03.08 22

※ 학습목표

• DHCP Relay Agent
• NAT (NAT 10가지 중 Static NAT와 NAPT를 배울것임)
• Wild Card Mask

구름=모뎀=lan카드 = 10.0.0.1

 

 

 

이론 설명 

## NAT

사설 아이피를 라우팅한다는 것은 말이 안되는것.

10/8 은 사설아이피. 외부로 싹 가리고 우리끼리 도는것. NAT pc가 도는것.

NAT를 쓰면 절대 사설로 못들어감. 포트 포워딩 기법 말고는. 보안기법 good.

 

 

NAPT (NAT PT) 란?(2023.03.08 - [네트워크 수업] - NAT 개념.pdf 23.03.08)

192.168.10.1       ↔   10.0.0.120 : 1

  ....  .... .... .253   ↔   10.0.0.120 : 253(포트넘버)

 

 

Wild Card

공통비트 : 0

비공통 비트 : 1

특징 : 규칙x

장점 : 서브넷 마스크로 설정이 불가능한 IP서브넷을 정의할 수 있음

사용 : EIGRP, OSPF, ACL

네트워크 지정

0 → 일치

1 → 무관

ex) 1.1.1.0/24 네트워크가 있다고 가정. 여기서 0 은 뭐가 되도 상관없다.

00000001. 00000001. 00000001. 00000000 (네트워크)

00000000. 00000000. 00000000. 11111111  (0은 상관있는거, 1은 무관. 0~255가능)

00000000. 00000000. 00000000. 0000011  (11만 무관이니까 01 10 11 00 가능. 0~4가능)

00000000. 00000000. 00000000. 0000001 (0~1가능) 

00000000. 00000000. 00000000. 0000010 (0,2 가능) 

00000000. 00000000. 00000000. 01111111 (0~127 가능)

00000000. 00000000. 00000000. 11111110 (짝수만 가능 0 2 4 6 8 ...)

 

엑세스리스트(2023.03.08 - [네트워크 수업] - 액세스 리스트.pdf 23.03.08)

표준 엑세스리스트>>

:일반적으로 라우팅 테이블의 네트워크 대역 정보에 대한 제어

: List 넘버 범위 : 1~99

:출발지 주소만가지고 permit과 deny를 판단

:위에서 아래방향으로 순차적으로 적용 (순서 매우 중요)

:특정 줄만 삭제 불가능

 

확장 엑세스 리스트>>

:List 넘버 범위 : 100~199

: 출발지 ip, 목적지 ip, 출발지 포트넘버, 목적지 포트넘버 로 permit과 deny 판단

: 특정 서비스 포트만에도 적응이 가능

: 맨 마지막줄에 permit, deny ip any any 가 동작

 

(이름을 쓰느냐,번호를 쓰느냐에 따라 또 다름)

1~99는 표준, 100~199는 확장

 

=================================

<순서>

R1,R3에
아이피 다 넣어주고 
R1에 dhcp add, lan카드 맥주소 넣어주고
next hopping
서버(win2016)에 ip넣어주기
각각 라우팅해주기

=================================

 

R1>>

#int f1/0

#mac-address 00a1.b102.0002

//(선생님이랑 똑같은거 쓰면안됨) int f/0 은 랜카드랑 직접 연결이 되기때문에 mac주소 서로 다르게 해야함. 

#ip add dhcp

 

DHCP 참고

https://reiya.tistory.com/entry/DHCP-1

ip route >> R3에서 구름(구글=internet≒스위치)을 모르기때문에 R1,R3둘다 0.0.0.0 0.0.0.0으로 라우팅 준다.

근데 R1에선 1.1.30.0으로도 따로 줘야한다. 왜냐면 구름길,R3길 길이 두개여서!

 

보면 INTERNET(스위치)에 연결되는건 server1개, 컴퓨터2개. 총 3대가 연결된다. 1개로 3대를 연결???

이걸 NAT로 뻥튀기 해줄거임(아이피 1개로 500대이상)

 

 

 

 

어떻게 뻥튀기할거냐?[방법 2가지]

첫번째방법 ) 넘버드 스탠다드 쓰기(ip access-list 10 ~~)

두번째 방법) 네임드 스탠다드 쓰기(ip access-list standard INGRESS)

 

[방법1]  네임드 스탠다드 

R1>>

 

access-list // 번호로 쓸거다. 번호. 허용할지 거부할지. 와일드카드 주소

 

1.1.8.0/30 => 0~3이고 0과3은 못쓰니까 1,2만 쓸 수 있다.

inside의 access-list를 먼저 확인해보자

R1(config)#do show ip access-list
Standard IP access list 10
    10 permit 192.168.10.0, wildcard bits 0.0.0.255
R1(config)#access-list 10 permit 1.1.30.0 0.0.0.255 //엑세스리스트는 10. permit넘버는 자동으로.
R1(config)#do show ip access-list
Standard IP access list 10 //permit넘버는 10으로 받았다.
    10 permit 192.168.10.0, wildcard bits 0.0.0.255 //10과 20 둘다 허용하겠다.
    20 permit 1.1.30.0, wildcard bits 0.0.0.255

내림차순으로 순차연산 한다. 

시퀀스 번호가 자동으로 불어난다.(수동으로 못줌. 이름은 수동으로 줄수있음 // 액세스리스트는 수동으로 주기.)

 

 

 

[방법2] 넘버드 스탠다드

R1에 f1/0   10.0.0.134

10.0.0.134:1 ↔ 192.168.10.1

10.0.0.134:2 ↔ 192.168.10.2

10.0.0.134:3 ↔ 192.168.10.3

...

...

포트넘버만 바뀌고 아이피는 안바뀐다.

첫번째방법 ) 넘버드 스탠다드 쓰기(ip access-list 10 ~~)

두번째 방법) 네임드 스탠다드 쓰기(ip access-list standard INGRESS)

표준인지 확장인지 써주기 + 이름짓기

표준은 출발ip만 알고 판단 가능

show ip access로 볼수있다.

 

수정하고싶으면? 네임드 스탠다드는 수정,부분삭제 가능하다/ 넘버드 스탠다드는 수정불가능.삭제만 가능

ip access-list standard + 이름

5 permit~~ 해주면 10 permit보다 앞에 넣어지게 됨.(내림차순이니까)

 

만약 삭제해주고 싶으면? no permit하면됨

 

 

 

=====

그 다음 inside와 outside를 정의해줘야함.

인사이드의 ip 리스트. (두덩어리 선언해줬으니까 두 개 적어주기)

 

 

인사이드,아웃사이드 정해주기

show ip route해보면

s*이 생긴것을 알수있다.

=> NAT를 거친 아랫단 컴퓨터들이 자기들이 모르면 다 구름쪽으로 가겠다 (static이 없으면 구글 못들어감)

=> NAT가 자동으로 생성함.

 

 

10 을 어디다가 매핑할거냐? -- 우리는 R1 f1/0에 하나만 매핑할거니까 생각할 필요 없음.

 

NAT(network address translation)

R1>>

R1(config)# ip nat inside source list INGRESS interface f1/0 overload // 위에 내가 넣어준 와일드 카드 주소 ip 와 1:1 대응 해줄거임 500개 이상 뻥튀기. overload안하면 동작안함.

(넘버드로 해줬을때 #ip nat inside source list 10 int f1/0 overload)

 

=====

 ping 해주기

=====

 

VMnetWare 에서 Win7 에 아이피랑 DNS서버 넣어주고

인터넷 켜보면 연결됨

=> 라우터로만 서버를 연결시킨것.

 

 

 

인사이드 글로벌 / 인사이드 로컬 / 아웃사이드 글로벌 / 아웃사이드 로컬

 

 

inside local : 매핑하는 소스가 있는쪽

inside global : 공인아이피가 있는, 매핑대상이 있는 쪽.

 

outside local : 기준ip에서 바깥쪽에있지만 local인곳.

outside global : 바깥 로컬에서 공인아이피가 있는곳

 

==================

 

=====================

 

 

 

R3>>

 

192.168.10.254는 게이트웨이니까 xx

 

1.1.30.1도 넣어주기 (좀더 아래에 넣어주는 설명있음,,,,,)

 

 

>>뭔가 추가 설명

vmnet3 는우리가 만든 서버 연결가능

근데 만약 구글을 찾는다면?

서버가 구름에서 찾아온다음 연결해준다 => 재귀적 쿼리

 

>>

다시한번 기본 개념 : 라우터의 주소 = 게이트웨이 (서버가 빠져나가는 길)

 

다음다음다음 마침

 

 

또하나 더 

쟤는 서버로 가려면 수많은 관문을 거쳐야한다.

discover 를 목적지까지 안전하게 배송하는 것을 DHCP Relay Agent라고 한다.

*discover (2023.03.03 - [네트워크 수업] - DHCP , DNS의 동작.pdf 네임서버 실습 23.03.03)

호스트 컴퓨터가 dhcp-server를 찾는 브로드캐스트 신호

 

사설ip가 discover로 라우터에 날리면 통과 못한다. broadcast이기 때문.

그래서 help-address받아야함.

R3에서 f1/3 인터페이스 들어가서 ip helper-address 192.168.10.100입력.

+))만약 help-address안주면?

169.254.x.x => 사설아이피 할당갯수 넘어가면 dhcp가 저 주소를 줌 = dhcp가 자동응답 못한것. = 주소받기 실패. = 인터넷 안되는것. (complete block이다.)

 

 

이어서 계속 설정↓

제외할거 없이 추가추가

 

윈도우서버 = DNS

 

이제 DNS만들기>>

동적허용안함 다음다음 마침

서버 ip주소

안찾아지면 ip주소 192.168.10.100 직접 입력하면 됨.

이름에 아무것도 안쓰고 넣는 이유 = www.naver.com을 그냥 naver.com 으로 쳐도 되게끔 하라는 뜻 

 

설정 끝..

 

 

#ip helper-address 192.168.10.100 //192.168.10.100 여기까지 유니캐스트로 바꿔서 가라

 

 

R1에서 R3로는 라우팅안시키면 ip자동으로 못주니까 라우팅 먼저 시키고!

 

 

//오류 난거 => win2016 서버 VMnet 숫자 안맞춰줌;;;

========

2016에서 168.126.63.1 날리면 nat테이블에 기록 남

========]

do show ip nat translations 하면 nat 기록 볼수있다.

=============

R1 에서 access-list 10 permit 1.1.30.0 0.0.0.255 넣어줌

 

인터넷 된다는뜻 = 라우터 거쳐서 되는것

 

 

↓내가 만든 서버 win702한테 연결되게

win2016

둘중아무거나 선택

Win702에서 kedu.edu 했는데 내가 만든 서버도 접속되고 naver.com도 접속되고 다됨!