🍡네트워크 22일차(5.12) 프레임릴레이 스위치 multi-to-point와 point-to-point, NAT(Network Address Translation) 설정하기

  WAN에서 라우터끼리의 연결을 Frame Relay Switch로 연결한다.

 

  FR의 서브인터페이스 설정에는 multi-to-point와 point-to-point 두 가지 방식이 있는데, 
▪ multi(point)는 동일한 네트워크에 있는 라우터들을 1:n 방식으로 
frame-relay map 명령어로 동적 연결하고, 
▪ point(-to-point)는 서로 다른 네트워크 주소에 있는 라우터들을 1:1 방식으로
frame-relay interface-dlci 명령어로 정적 연결한다. 
▪ 라우터들이 정적과 동적으로 섞여있으면 multi와 point 두 가지를 함께 사용해서 이들을 묶어야 한다.

    Point-to-Point

서로 다른 네트워크에 있는 라우터들을 1:1로 연결한다. 각 PPP 연결은 자신의 서브넷을 가지고 서 로 전용선(PVC)으로 연결된 것처럼 작동되어서 단일 액세스 네트워크가 된다. 
=>설정은 ‘frame(-relay) int(erface-dlci) 자기_dlci’로 해준다.

    Multi-Point

서로 동일한 네트워크에 있는 라우터들을 1:n으로 연결한다. 각 PPP 연결은 모든 (서브)인터페이스 를 동일한 서브네트워크가 되게 해서 다중 액세스 네트워크가 된다.  
=>설정은 ‘frame(-relay) map ip 상대_ip 자기_dlci broad(non-broad)’로 해준다.

  프레임릴레이는 네트워크가 혼잡할 때 프레임을 버리는 DE(Discard Eligibility)와 DTE 쪽으로 혼잡이 발생했음을 알리는 FECN(Forward Explicit Congestion Notification), 그리고 DTE와 반대 DCE 쪽으로 혼잡이 발생했음을 알리는 BECN(Backward Explicit Congestion Notification) 세 가지 비트를 사용해서 네트워크를 원활하게 운용한다. 
Router#sh frame pvc 명령어를 수행하면 이런 활동을 볼 수 있다.

 

  프레임릴레이를 이해하기 위한 필수적인 기본 용어

  프레임릴레이를 이해하기 위해서 필수적인 기본 용어를 몇 가지 알아보자.

① 프레임릴레이 안에서 라우터들은 VC(Virtual Circuit:가상회선)로 연결되며 일종의 네트워크와 같은 DLCI(Data Link Connection Identifier) 번호로 서로를 구별한다. 하나의 물리적인 인터페이스에 여러 개의 DLCI 번호(즉, 여러 개의 VC)를 가질 수 있다. 
② 또 DCE 장치인 프레임릴레이와 DTE 장치인 라우터의 통신에는 LMI(Link Management Interface)를 지정해주어야 하는데 이 LMI는 두 라우터 사이의 데이터 흐름을 유지하고 DLCI 상태를 업데이트하며 전역 DLCI를 위한 멀티캐스트 주소를 지정하게 한다. 그리고 DLCI와 PVC(Permanent VC) 정보를 이웃한 라우터들에게 알려서 VC를 빠르게 인식시킨다. 시스코 장치에서의 디폴트 LMI 타입은 cisco이지만 ansi, q933a 등으로 변경할 수 있고,  WAN 표준은 ansi이다. 
=>간단히 보면 LMI는 프레임릴레이 스위치 WAN에서 각 연결을 안정시켜주는 역할을 수행한다.
a. LMI 타입에 대한 확인은 라우터의 인터페이스에서 
Router(config-if)#frame lmi ? 하면 ansi, cisco, q933a가 보인다. PacketTracer에서는 디폴트 LMI인 q933a가 지정되고,
Router(config-if)#frame lmi ansi 하면 ansi로 설정된다.
Router(config-if)#end 
b. 프레임릴레이가 설정 된 뒤
Router#sh frame route 해서 Frame Relay의 경로를 보고,
Router#debug frame lmi 해서 LMI의 디버깅을 수행할 수 있다. 

③ ISP DCE 프레임릴레이와 CPE DTE 라우터 사이에 캡슐화도 지정해주어야 한다. Cisco 방식과 IETF 방식이 있는데, 시스코 장치는 디폴트가 cisco라서 별도로 설정하지 않으면 자동으로 cisco로 지정되지만 다른 라우터와 연결할 때에는 WAN 표준인 ietf 방식을 사용해야 한다.   
  캡슐화 확인은 역시 라우터의 인터페이스모드에서
Router(config-if)#encap frame 하면 패킷트레이서에서는 디폴트인 cisco가 지정되고,
Router(cofnig-if)#encap frame ietf 하면 ietf가 지정된다. 

④ WAN 인터페이스에 설정하기 
  프레임릴레이를 설정할 때 WAN이므로 예를 들어 s2/0 인터페이스에 설정 할 때  
▪ encap, lmi type, no shut 명령어는 시리얼 인터페이스(s2/0)에서 설정해주고, 
▪ IP 주소나 multi-point와 point-to-point, 그리고 clock rate 등 설정은 서브 인터페이스(s2/0.1)에서 설정해 준다.  

 

 

실습(point-to-point)

 

RT1에서

conf t

host RT1

int s2/0

encap frame

frame lmi ansi

no shut

 

int s2/0.1 point-to point

ip addr 192.168.1.1 255.255.255.252

frame int 102

exit

 

int s2/0.2 point

ip addr 192.168.3.1 255.255.255.252

frame int 103

end

 

sh frame pvc

sh frame map

 

 

 

성공!!!

 

중간을 통해서 왔다갔다 한다.(full-connected)

 

 

실습(multi-point)

RT1

conf t

host RT1

int s2/0

int s2/0 multi

ip addr 192.168.1.1 255.255.255.248

encap frame

frame lmi ansi

no shut

 

frame map ip 192.168.1.2 102 broad

frame map ip 192.168.1.3 103 broad

 

RT2

Router(config)#host RT2

RT2(config)#int s2/0 multi

RT2(config-if)#ip addr 192.168.1.2 255.255.255.248

RT2(config-if)#encap frame

RT2(config-if)#frame lmi ansi

RT2(config-if)#no shut

 

RT2(config-if)#frame map ip 192.168.1.1 201 broad

RT2(config-if)#end

 

  NAT(Network Address Translation) 설정하기

  NAT는 두 개의 네트워크 카드를 가진 라우터나 내부 사설 IP가 외부 공적 IP로 변경되는 환경에서 설정해준다. 라우터에 이 NAT를 지원하는 소프트웨어가 있어야 한다. IP 주소 부족을 해소하기 위한 방법으로 사설 IP를 많이 사용하고 있는 현재 대부분의 네트워크는 NAT를 설정해서 외부로 나갈 때 공적 IP로 전환하는 방법으로 인터넷을 한다. 

  학교나 학원에서의 모든 호스트는 내부적으로 사설 IP는 다르지만(192.168.7.0/24) 대부분 같은 공적 IP를 사용하고 있는데, 학원/학교에서 각 학생들이 Goolgel에서 whatsmyip를 입력하면 모두 똑같이 106.249.191.8식으로 보인다. 실습으로 보면 알겠지만 이 공적 IP 주소 하나를 뒤에 포트번호만 다르게 해서 각 학생 컴퓨터들을 구별한다. <=PAT

  NAT의 내부 주소에는 '내부 사설 로컬 IP 주소'와 '내부 공식 글로벌 IP 주소'가 있는데 내부 사설 로컬이란 내부 네트워크의 호스트들에게 제공하는 IP 주소로써 RFC 1918에 규정되어 있다. 
▪ 내부 사설 IP 주소는 외부로 라우팅이 불가능해서 외부로 나갈 때에는 NAT 기법으로 공식 IP 주소로 변경될 필요가 있고 
▪ 내부 글로벌 IP 주소는 로컬 내부 사설 IP 주소들에 대응되는 외부 공식 IP 주소이다. 이 주소는 인터넷에서 유일한 주소로써 보통은 ISP(Internet Service Provider)가 제공하는 주소이다. 이 글로벌 주소에 내부라는 말에 혼동하지 말자. 
=>결국 NAT는 대부분 내부에서 외부로 나가는 트래픽에 관심이 있기 때문에 내부 사설 로컬주소를 내부 글로벌 로컬주소로 전환시키는 작업이다. 반대로 외부에서 조직 내부의 웹 서버로 들어오는 경우는 외부의 공적 주소가 내부의 사설주소로 변경되게 되므로 외부 글로벌 주소가 외부 로컬 주소로 변경되는 것으로 이해하면 된다. 일단 내부든 외부든 글로벌이라는 용어가 붙으면 공적 IP_주소를 의미한다고 알고 있으면 된다.  

 

  NAT의 주소변환 기법과 PAT

  NAT 주소변환에는 정적(static)과 동적(dynamic) 두 가지 방법이 있다. 정적은 내부 사설주소를 외부 공적 주소로 1:1 변환시키는 기법으로 ‘static 원하는_공적_IP’식으로 해준다. 보안적인 측면에서 좋은 방법으로 DHCP, DNS, Web, DB 서버 등은 보통 정적으로 변환시킨다. 그리고 동적은 내부 사설 주소를 외부 공적주소로 ‘자동 매핑’되게 해주데 대부분 이 기법을 사용한다. 외부 공적 주소를 ‘주소 풀(address pool)’에 저장한 뒤 내부 로컬 사설 주소들이 외부로 나갈 때 이 공적 주소 풀에 있는 주소 중 하나를 받아서 나가게 한다. 내부 사설 IP들 ->라우터의 gateway ->라우터의 WAN 인터페이스(시리얼)에서 외부 공적 IP로 변환된다. 

  내부 사설 IP를 글로벌 공식 IP로 변환할 때에는 IP_주소뿐만 아니라 포트도 변환해준다. TCP나 UDP 패킷의 소스 포트를 변환시켜서 내부의 수많은 사설 IP 호스트들이 외부로 나갈 때 하나의 공인 IP_주소를 받아서 나가더라도 이들이 구별되는 이유는 각 프레임 헤더에 "소스_IP:포트_번호"를 각각 다르게 할당해서 지정하기 때문에 수신측에서는 동일한 공인 IP라도 각각 다른 프레임으로 인식해서 주소 충돌의 여지가 없다. 각 호스트는 1~511, 512~1,023, 1,024~4,999, 5,000~65,535 주소영역 중에서 하나의 포트 번호를 가지게 되는데 이런 기법을 PAT(Port Address Translation)로 부르기도 한다. 예를 들어 내부 호스트 A는 210.47.36. 123:5000, 호스트 B는 210.47.36.123:5001식으로 공식 IP_주소를 가지고 외부로 나간다는 의미이다. 또 도착지에서 주소를 변경시켜서 외부 트래픽을 내부의 주소 풀에 있는 특정 주소로 변환되게 하는 기법도 있다. 

  NAT 설정에서는 *Wildmask와 Access-List를 사용한다!!! 192.168.100.0 0.0.0.255와 0.0.0.31의 비교

 

*255의 보수로써, 서브넷마스크의 형식을 빌려서 호스트 숫자를 써준다.

NAT 실습

RT

int fa0/0

ip addr 192.168.1.1 255.255.255.0

ip nat inside

no shut

 

int fa1/0

ip addr 192.168.2.1 255.255.255.0

ip nat inside

no shut

 

int s2/0

ip addr 99.99.99.97 255.255.255.252

ip nat outside

no shut

 

ip route 0.0.0.0 0.0.0.0 99.99.99.98

 

ISP에서도 똑같이 해주고,

 

ACL=> RT에서

access 10 permit 192.168.1.0 0.0.0.255

access 10 permit 192.168.2.0 0.0.0.255

ip nat inside source list 10 int s2/0 *overload

"overload"를 사용하면 PAT가 포트 번호를 재사용하여 많은 수의 사설 호스트들이 동시에 인터넷에 접속할 수 있도록 합니다. 이는 IP 주소와 포트 번호의 조합을 통해 내부 호스트들을 식별하고, 여러 호스트들이 공인 IP 주소를 공유할 수 있도록 지원하는 기능입니다.

 

ip nat trans

변환되어 있다.

포트번호가 달라서 구분할 수 있다.