[총정리] isp nat 23.03.20

공인아이피 하나를 갖다가 pat를 돌려야하는데 내부적으로는 사설 아이피를쓴다.

isp는 NM-1FE-TX 이걸로 변경

R1밑으로 사실 사설아이피가 와야한다.
ip하나를 갖고오려면 port

내부적으로 표시되는 주소 
         안                                        밖
1.1.10.1 : 얘는 뭐가와도 상관x↔ 1.1.12.5 : 1
       2 : ↔ 1.1.12.5 : 2
       3 : ↔ 1.1.12.5 : 3  =>ip가 달라지면서 포트넘버가 달라진다.

1,2,3 → 5 되는것

1.1.10.0  →  0.0.0.255

isp는 안,밖을 모른다.
내부적으로 밖인거(5)로 착각해서 안다.



1.1.10.0 0.0.0.255을 표준액세스리스트로 지정한다.


사설쪽으로 라우팅을 잡으면안된다.

 

 

isp]

no ip route 1.1.10.0 255.255.255.0 f0/1 1.1.12.5

//왜? 사설쪽으로 라우팅 잡으면 안됨! 사설쪽에선 지들끼리 알아서 하라고 냅둬야함.

 

R1] = 모뎀 = nat가 돌아간다.

//표준 standard는 출발아이피만 보고 쓸수있다.

//대상 아이피만 지정할수있다.

//가장일반적으로 쓰는 access-list이다.

//permit 인지 deny인지 정해준다. 지정해주는건 comit으로 쓴다.

access-list 1 permit 1.1.10.0 0.0.0.255

ip nat inside source list 1 interface f0/1 overload // f0/0에 있는 1.1.10.0 0.0.0.255 (acess-list 1)은 inside에있고, interface f0/1은 아웃사이드에 있는 거다.라는뜻 overload=하나씩 매핑해준다.

//inside outside를 선언해준다.

int f0/0
ip nat inside
int f0/1
ip nat outside

==> 이제 pc1(내부)에서는 pc2(외부)로 핑이되지만, pc2에서 pc1으로는 핑이안됨

 

>>무조건 이해해야함..

port forwarding 기법으로 밖으로 

1.1.10.100 : 1234 

모뎀에다가 이걸 선언 => 1.1.12.5 : 5678 (바깥에서 접근할때 숫자)

둘사이를 선언하면

이제 모뎀이

1.1.10.100 : 1234 이걸로 변환해줌

이 안쪽으로 들어갈수있다.

 

집에서 ipconfig /all 하고 뜨는 gateway주소를 크롬에 치면 모뎀창이 나온다.

비번치고 NAT - 포트포워딩 들어가보

175.x.x.x : 1349 (외부에서 알고있는 ip. 그리고 외부에선 1349 와 공인아이피만 알면된다.) - 175. 은 공인아이피 주소

10.5.1.100 : 3389 (실제 선생님 ip와 포트넘버)

접근하는것은 공인아이피주소로한다.

 

<정리>

공식적으로는 isp가 내부ip로 들어가는것은 불가능한데 포트포워딩으로 들어갈수있는방법이 있다. 포트넘버를 알아야 매핑이 가능하다.

 

======

r1이 디폴트라우팅으로 모든것을 isp로 보내면 isp가 알아서 구분해서 isp로갈건지 f0/0로 갈건지 결정한다.

 

ISP]

ip route 0.0.0.0 0.0.0.0 f1/0 10.0.0.1 // 구름쪽으로 디폴트라우팅한다. 10.0.0.1 은 학원모뎀의 주소.

//isp의 f1/0은 이더넷에서 dhcp로 받아와라.

int f1/0
shut
mac-address 1231.1231.1231
no shut

ip add dhcp // 10.0.0.222로 받아옴

 

 

스태틱에선 ip route를 디폴트를 걸었는데(f0/1타고 1.1.12.6으로간다 처럼)

다이내믹에선  다르다.

 

컴퓨터에서 자동을 ip주소 받기하면 DORA 가 나온다.=>모뎀이 응답함. 

 

스태틱을경우에는 R1이 isp양옆으로 가는걸 0.0.0.0.0.0.0.0으로 잡았다.

isp는 만약 다이내믹이 돌아가면 r1이 주지않아도 경로를 학습한다. isp가 광고하기때문에!

그럼 r1은 isp(다이내믹)정보를 알게된다.

 

isp는 sw1쪽을 알필요가 없다. 그럼 광고할필요도없다.

class2 ??

실질적으론 f0/1까지만 광고할순없다

 

>>과제 

1. r1에서 isp로 잡아준 static을 지우고

2. r1 f0/0를 192.168.10.254/24로 바꾸시오

3. PAT로 돌리시오(NAT_PT)

pc1]

int f0/0

no ip add

ip add 192.168.10.1 255.255.255.0

 

r1]

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat inside source list 1 interface f0/1 overload

int f0/0

ip add 192.168.10.254 255.255.255.0

 

router rip
R1(config-router)#ver 2
R1(config-router)#network 1.0.0.0
R1(config-router)#no auto

 

 

isp]

router rip
ISP(config-router)#ver 2
ISP(config-router)#net 1.0.0.0

no auto

isp같은경우엔 왼쪽과 밑쪽 다 1.x.x.x대역이니까 passive해줘야한다. f0/0은 수동으로 바꿔줘야한다(말하지않게 바꿔준다.)

passive f0/0 //위에서 아래로 안가게하는것. 아래에서 위로 안가게 하는것이 아니라.

 

R1 이 192를 선언 안한이유는 nat안쪽은 isp에게 광고하면안되니까! 그래서 1.0.0.0대역만 광고해준거다.

 

isp는 구름이랑 1.1.30.0대역을 r1에게 광고해줘야한다.

 

isp]

router rip

default-information originate //디폴트를 뿌릴테니 인접 라우터들한테 나한테로 디폴트로 와라 라고 디폴트 경로를 뿌리는것.

하고

r1]

show ip route

하면

"R*   0.0.0.0/0 [120/1] via 1.1.12.6, 00:00:07, FastEthernet0/1" 이렇게 디폴트라우팅이 뜬다.

 

pc1에서

ping 10.0.0.1 (구름) 해주면 안된다... 사설이기 때문에....ㅎㅎ =>결국 isp에서도 nat를 해줘야한다(실무에선 이런일 없음_

 

pc1에서 나오는 신호는 R1의 f0/1 1.1.12.5이다.

isp]

access-list 1 permit host 1.1.12.5

access-list 1 permit 1.1.30.0 0.0.0.255

ip nat inside source list 1 int f1/0 overload

int range f0/0 - 1

ip nat inside

int f1/0

ip nat outside

 

 

 

 

PC1#ping 168.126.63.1 해보면 되는것을 알수있다.