내부 웹 서버를 지원하도록 네트워크 주소 변환 및 고정 포트 주소 변환 설정

다운로드 옵션

PDF (356.8 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (89.5 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (100.0 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2007년 4월 9일

문서 ID:12905

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

Cisco IOS® NAT(Network Address Translation)는 IP 주소 간소화 및 보존을 위해 설계되었습니다. 이를 사용하여 등록되지 않은 IP 주소를 사용하는 개인 IP 상호 네트워크를 인터넷에 연결할 수 있습니다. NAT는 2개의 네트워크를 함께 연결하는 Cisco 라우터에서 작동하고, 패킷이 다른 네트워크로 전달되기 전에 내부 네트워크의 개인 주소(내부 로컬)를 공용 주소(외부 로컬)로 변환합니다. 이러한 기능의 일환으로 전체 네트워크에 대해 주소 1개만 외부 세계에 알리도록 NAT를 설정할 수 있습니다. 이렇게 하면 내부 네트워크가 외부로부터 효과적으로 숨겨집니다. 따라서 추가 보안을 제공합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

NAT의 주요 기능 중 하나는 Cisco IOS 컨피그레이션에서 "오버로드"라고도 하는 PAT(Static Port Address Translation)입니다. 고정 PAT는 로컬 주소와 글로벌 주소 간의 일대일 매핑을 허용하도록 설계되었습니다. 고정 PAT의 일반적인 용도는 공용 네트워크의 인터넷 사용자가 사설 네트워크에 있는 웹 서버에 액세스할 수 있도록 허용하는 것입니다.

NAT에 대한 자세한 내용은 NAT 기술 지원 페이지를 참조하십시오.

이 표에서는 프라이빗 네트워크에 사용할 수 있는 IP 주소 공간의 세 블록을 보여줍니다. 이러한 특수 네트워크에 대한 자세한 내용은 RFC 1918을 참조하십시오.

IP 주소 공간	클래스
10.0.0.0 - 10.255.255.255 (10/8 접두사 )	클래스 A
172.16.0.0 - 172.31.255.255 (172.16/12 접두사 )	클래스 B
192.168.0.0 - 192.168.255.255 (192.168/16 접두사 )	클래스 C

참고: 첫 번째 블록은 단일 클래스 A 네트워크 번호일 뿐이며, 두 번째 블록은 16개의 연속적인 클래스 B 네트워크 번호의 집합이고 세 번째 블록은 256개의 연속적인 클래스 C 네트워크 번호의 집합입니다.

이 예에서 ISP(Internet Service Provider)는 DSL 가입자에게 단일 IP 주소인 171.68.1.1/24만 할당합니다. 할당된 IP 주소는 등록된 고유 IP 주소이며 내부 전역 주소라고 합니다. 이 등록된 IP 주소는 전체 개인 네트워크에서 인터넷을 검색하는 데 사용되며 공용 네트워크에서 가져온 인터넷 사용자가 개인 네트워크의 웹 서버에 연결하는 데에도 사용됩니다.

프라이빗 LAN 192.168.0.0/24은 NAT 라우터의 이더넷 인터페이스에 연결됩니다. 이 전용 LAN에는 여러 대의 PC와 웹 서버가 포함되어 있습니다. NAT 라우터는 이러한 PC에서 오는 등록되지 않은 IP 주소(내부 로컬 주소)를 단일 공용 IP 주소(내부 전역 - 171.68.1.1)로 변환하여 인터넷을 검색하도록 구성됩니다.

IP 주소 192.168.0.5(웹 서버)는 개인 주소 공간에 있는 주소로서 인터넷으로 라우팅할 수 없습니다. 공용 인터넷 사용자가 웹 서버에 연결할 수 있는 유일한 IP 주소는 171.68.1.1입니다. 따라서 NAT 라우터는 IP 주소 171.68.1.1 포트 80(포트 80은 인터넷 탐색에 사용됨)과 192.168.0.5 포트 80 간에 일대일 매핑을 수행하도록 구성됩니다. 이 매핑을 통해 퍼블릭 측의 인터넷 사용자가 내부 웹 서버에 액세스할 수 있습니다.

이 네트워크 토폴로지 및 샘플 컨피그레이션은 Cisco 827, 1417, SOHO77 및 1700/2600/3600 ADSL WIC에 사용할 수 있습니다. 이 문서에서는 Cisco 827을 예로 들 수 있습니다.

구성

이 섹션에서는 이 문서에 설명된 기능을 구성하는 데 사용할 수 있는 정보를 제공합니다.

참고: 이 문서에 사용된 명령에 대한 추가 정보를 찾으려면 IOS Command Lookup 툴(등록된 고객만 해당)을 참조하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

설정

Cisco 827
Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it is a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that is network address translated. bridge 1 protocol ieee bridge 1 route ip ! end

Cisco 827

Current Configuration:
! 
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that uses !--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 

!--- This statement performs the static address translation for the Web server. !--- With this statement, users that try to reach 171.68.1.1 port 80 (www) are !--- automatically redirected to 192.168.0.5 port 80 (www). In this case !--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network !--- that is network address translated. 

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

다음을 확인합니다.

show ip nat translation 명령 출력에서 Inside 로컬은 내부 네트워크의 웹 서버에 할당된 구성된 IP 주소입니다. 192.168.0.5는 개인 주소 공간에 있는 주소이며 인터넷으로 라우팅할 수 없습니다. Inside 전역 은 외부 네트워크에 나타나는 내부 호스트, 즉 웹 서버의 IP 주소입니다. 이 주소는 인터넷에서 웹 서버에 액세스하려는 사용자에게 알려진 주소입니다.

Outside local은 내부 네트워크에 나타나는 외부 호스트의 IP 주소입니다. 반드시 적법한 주소일 필요는 없습니다. 그러나 내부에서 라우팅할 수 있는 주소 공간에서 할당됩니다.

Outside 전역 주소는 호스트 소유자가 외부 네트워크의 호스트에 할당한 IP 주소입니다. 주소는 전역으로 라우팅될 수 있는 주소 또는 네트워크 공간에서 할당됩니다.

포트 번호 80(HTTP)이 있는 주소 171.68.1.1은 192.168.0.5 포트 80으로 변환되고 그 반대의 경우도 마찬가지입니다. 따라서 웹 서버가 사설 IP 주소로 사설 네트워크에 있는 경우에도 인터넷 사용자는 웹 서버를 탐색 할 수 있습니다.

NAT 문제 해결 방법에 대한 자세한 내용은 NAT 작업 확인 및 기본 NAT 문제 해결을 참조하십시오.

827#
827#show ip nat translation
Pro Inside global      Inside local      Outside local       Outside global
tcp 171.68.1.1:80      192.168.0.5:80    ---                 ---
tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000
827#

문제 해결

주소 변환의 문제를 해결하려면 라우터에서 mon 및 debug ip nat detailed 명령을 실행하여 주소가 올바르게 변환되는지 확인할 수 있습니다. 외부 사용자가 웹 서버에 연결하는 데 사용할 수 있는 IP 주소는 171.68.1.1입니다. 예를 들어, 171.68.1.1 포트 80(www)에 연결하려고 시도하는 인터넷 공용 영역의 사용자는 192.168.0.5 포트 80(www)으로 자동으로 리디렉션되며, 이 경우 웹 서버입니다.

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>