0517정리 , NAT셋팅 및 VLAN 설정

NAT

주소변환 기술

라우터 입장에서 특정 라인에서만 주소변화를 하기 위해서 ACL을 많이 사용한다.

특정 주소만 변환하려하면 ACL 필요없고 바로 NAT설정하면된다.

static NAT

공인IP와 사설 IP의 관계가 1:1

dynamic NAT

다수 : 다수,,   다수 : 1  의 관계

특정 네트워크는 ACL을 사용하여 분류한다. 바뀌고자 하는 사설 IP주소가 많은경우.

access-list 1 172..16.1.0  0.0.0.255(영업부)

라우터의 많은 인터페이스중에서 출발지를 결정하는 것은 라우팅 테이블을 기준으로 한다. 

여러개의 사설 IP가 하나의 이블에 추가

( ip route 211.34.77.136 255.255.255.248 211.3,공인IP로 바뀌어서 인터넷을 해야하는 경우 NAT 말고 PAT

 :   사설 IP가 인터넷을 할때 포트번호를 다르게 해서  : 공유기

@ 영업부만 ISP에 접근하도록 하자

사설 Source 172.16.1.0 /24   ==  네트워크 대역 이므로 ACL을 이용한다.

공인 Source 211.34.77.130 /252               하나의 공인 IP

표준으로 설정

정책

conft 

access-list 10 permit 172.16.1.0 0.0.0.25

ip nat inside source list 10 interface s0/0/0 overload

;;의미 nat 을 사용하는데, 172.16.1.0네트웍의 주소가 들어오면 s0/0/0으로 내보내는데, PAT를 사용해서 바꾸어라

적용

nat는 내보내는데도 적용하고 들어오는 데도 적용되어야 하므로 

int fa0/0

ip nat inside

exit

int s0/0/0

ip nat outside

이블에 추가

( ip route 211.34.77.136 255.255.255.248 211.3

ping test 172.16.1.1   >>211.34.77.134

ROUTER A 가 NAT 테이블을 가지고 있음

show ip nat translations

show ip nat statics

위의 명령어 테이블의 의미 알기

pro inside global(내부가 밖에 나갈때 바뀌는 공인 IP) inside  local (내부 사설IP) Outside local 

Inside = source.      outside = destination

@ 관리부만 ISP에 접근하도록 하자( 다수의 사설 주소 -->> 다수의 공인 주소)

사전에 공인망에 공인주소가 포함되어있어야한다.  (실제로는 ISP에서 한다)

ISP_R에 211.34.77.136 /29 network  을 라우팅 테이블에 추가

( ip route 211.34.77.136 255.255.255.248 211.34.77.130)

사설 source : 관리부 172.16.2.0        /24      ACL-20                        정책 1

공인 source :            211.34.77.136 /29 MNT_NAT 정책 2

source주소가 ACL 20과 동일하면 pool MNG_NAT로 바꾸시오

Router A  inside fa1/1

outside s0/0/0

정책설정

access-list 20 permit 172.16.2.0 0.0.0.255                                                               정책 1 

ip nat pool MNG_NAT 211.34.77.136. 211.34.77.142 netmask 255.255.255.248      정책 2

ip nat inside source list 20 pool MNG_NAT

적용

int fa1/1

ip nat inside

exit

int s0/0/0

ip nat outside

end

@NAT 설정3 (1->1)  static NAT변환              ISP에서 FTP서버로 접근 가능하게 하자

사설 Source : FTP 서버 172.16.34.250

공인 Source : 211.34.77.136 /29의 마지막 IP주소 

사전 설정  : FTP 서버가 연결되어 있는 ROUTER B에 default Router가 있어야 한다. 

ip route 0.0.0.0 0.0.0.0 172.16.25.33

라우터에 설정하는거는 아래와 같은데, 확인해봐야한다.

Router A

ip nat inside source static  ?       이렇게 해서 뒤에 나오는 형식대로 쳐줘야한다.

클리어 명령어

clear ip route

clear ip nat translation

테이블보기 

1. 인터페이스에 정책이 걸려있나 확인

2. 밑에 번호인식으로 되어있는 정책을 확인해서 어떤 정책인지 확인

---

스위칭

에이징 플루딩 포워딩 러닝

show mac-address-table

Vlan Mac Type Ports

라우터는 공장에서부터 인터페이스에 shutdown이 되어있지만 switch는 no shutdown되어있다. 

즉, 케이블만 연결하면 통신가능

라우터는 인터페이스에 맥어드레스가 할당되어있다. 스위치는 스위치 자체에 맥 주소가 할당되어있다.    # sh version

스위치는 Vlan ID가 할당되어있어서 모든 인터페이스가 속해 있다.  # sh vlan

스위치간에 주고받는 정보 STP          정보확인

show spanning-tree

처음 역할 분담시에, 네트웍 변화시에 STP를 주고받는다.

================================================

vlan  이유알기

VLAN이란 : Virtual Network

210.109.3.0 /26   에서 vlan 1 ~ 4로 나눈다.

이후 각각의 ip대역의 마지막 할당가능한 IP주소를 gateway 주소로 할당한다.

PC는 IP대역의 할당가능한 IP 첫번째주소부터 할당한다.

스위치에서 4개의 가상랜을 가지므로 , 스위치가 두개가 있다면 스위치 마다 4개씩 가지고있다. 

이 상태에서 스위치와 스위치간에 통신을 위해선 각각의 4개의 가상랜이 통신을 해야하므로 새로운 Vlan생성을 생성하고 포트를 설정한다

이 포트종류가 

access port  : switch ------------ pc연결되는 port   ;;;;;;;;;; 하나의 vlan이 소속된 port임

따라서 어떤 vlan에 소속이 되는지 설정

trunk port : sw -----------------sw           or            sw - --------------------gw   연결   ;;;;;;;;;; 물리적인 인터페이스는 하나인데 여러 vlan의 프래임이 전송되기 위해 vlan에 대한 정보를 (tag) 를 encapsulation한다.

encapsulation  Type 이 여러개인 경우, 지정이 필요하다.

encapsulation  Type:

1. 일반적인 프레임 ( data |   ip  |  ethernet}    +  추가적인 vlan ID 정보          == 표준     cisco   ISL

2. 일반적인 프레임아님 ( data |   ip  |  dst mac.src mac. length, vlan id정보 }    ===== 비 표준     802.1Q

설정

1. 필요한 VLAN생성

! switch

conf t

vlan x

name ??

end

show vlan

show vlan

2. access / turnk port 설정

스위치에서 ..

int fa0/0   (access)

switchport

switchport mode accesss

switchport access vlan x

int fa0/24 (trunk)

switchport mode trunk 

end

show int trunk

show vlan

라우터에서 

라우터에서는 각 서브인터페이스 들어가서 encapsulationdot1q [vlan번호]  를 입력한다

int fa0/0.x

encapsulation  dot1q x            //   둘다 지원하는 장비는 명령어가 있지만, 하나만 지원하면 명령어자체가 없다. ex > c2900 시리즈는 802,type 여기서 x는 vlan번호

3. gateway 설정

Vlan을 4개사용하므로 gateway도 4개가 필요하다. 

물리적 인터페이스는 1개이다. 

그래서 서브 인터페이스(가상)을 이용한다. 

VLAN ID interface ip addr

Vlan 1: fa0/0.1 210.109.3.62

Vlan 2: fa0/0.2 210.109.3.126

Vlan 3: fa0/0.3 210.109.3.190

Vlan 4: fa0/0.4 210.109.3.254

int fa0/0.1

ip address 210.109.3.62 255.255.255.192  

이런식으로 4개를 다 해준다. 

단,   L3( IP address) 할당하기 전에, L2정보를 인식하기 위해서 설정해야함

fa0/0은 활성화해야한다.

확인

VLAN ID, access port 확인

# show vlan

trunk port  확인

# sh interface turnk

같은 vlan내에서 ping

다른 vlan끼리 ping