샘플 컨피그레이션 ip nat outside source list 명령 사용

다운로드 옵션

PDF (201.0 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (90.6 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (99.9 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2014년 9월 26일

문서 ID:13770

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ip nat outside source list 명령과 함께 샘플 컨피그레이션을 제공하며, NAT 프로세스 중에 IP 패킷에 발생하는 사항에 대한 간략한 설명을 포함합니다. 네트워크 외부에서 네트워크 안으로 이동하는 IP 패킷의 소스 주소를 변환하려면 이 명령을 사용할 수 있습니다. 이 작업은 반대 방향으로 이동하는 IP 패킷의 목적지 주소를 네트워크 내부에서 외부로 변환합니다. 이 명령은 내부 네트워크 주소가 네트워크 외부에 있는 주소와 겹치는 중복 네트워크와 같은 경우에 유용합니다. 네트워크 다이어그램을 예로 들어 보겠습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다. 그러나 이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco 2500 Series 라우터
모든 라우터에서 실행되는 Cisco IOS^® Software 릴리스 12.2(24a)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 문서에 사용된 명령에 대한 추가 정보를 찾으려면 명령 조회 도구(등록된 고객만 해당)를 사용합니다.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

Router 2514W Loopback0 인터페이스(172.16.88.1)에서 Router 2501E Loopback0 인터페이스(171.68.1.1)으로 Ping을 소싱하면 다음과 같이 됩니다.

라우터 2514W는 기본 경로로 구성되어 있으므로 패킷을 라우터 2514X로 전달합니다. 라우터 2514X의 외부 인터페이스에서 패킷은 SA(소스 주소)가 172.16.88.1이고 DA(대상 주소)가 171.68.1.1입니다. SA는 access-list 1에서 허용되므로 ip nat outside source list 명령에서 사용되므로 NAT 풀 Net171의 주소로 변환됩니다. ip nat outside source list 명령은 NAT 풀"1NAT 풀를 참조합니다. 71형. 이 경우 주소는 NAT 풀의 첫 번째 사용 가능한 주소인 171.68.16.10으로 변환됩니다. 변환 후 라우터 2514X는 라우팅 테이블에서 대상을 찾고 패킷을 라우팅합니다. 라우터 2501E는 수신 인터페이스에서 SA 171.68.16.10 및 DA 171.68.1.1으로 패킷을 확인합니다. ICMP(Internet Control Message Protocol) 에코 응답을 171.68.16.10에 전송하여 응답합니다. 경로가 없으면 패킷을 삭제합니다. 이 경우 (기본) 경로가 있으므로 SA(171.68.1.1)과 171.68.16.10 DA를 사용하여 라우터 2514X로 패킷을 전송합니다. 라우터 2514X는 내부 인터페이스에서 패킷을 확인하고 171.68.16.10 주소에 대한 경로를 확인합니다. ICMP가 없는 경우 ICMP 도달 불가 응답으로 응답합니다. 이 경우 171.68.16.10에 대한 경로가 있습니다. 이는 외부 전역 주소와 외부 로컬 주소 간의 변환을 기반으로 호스트 경로를 추가하는 ip nat outside source 명령의 add-route 옵션 때문에 패킷을 다시 172.16.88.1 주소로 변환하고 패킷을 외부 인터페이스로 라우팅합니다.

구성

라우터 2514W
hostname 2514W ! !--- Output suppressed. interface Loopback0 ip address 172.16.88.1 255.255.255.0 ! !--- Output suppressed. interface Serial0 ip address 172.16.191.254 255.255.255.252 no ip mroute-cache ! !--- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 172.16.191.253 !--- Default route to forward packets to 2514X. ! !--- Output suppressed.

라우터 2514W

hostname 2514W 
!

!--- Output suppressed.
 
interface Loopback0 
 ip address 172.16.88.1 255.255.255.0 
!

!--- Output suppressed.
 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
!

!--- Output suppressed.
 
ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.

라우터 2514X
hostname 2514X ! !--- Output suppressed. ! interface Ethernet1 ip address 171.68.192.202 255.255.255.0 ip nat inside no ip mroute-cache no ip route-cache ! !--- Output suppressed. interface Serial1 ip address 172.16.191.253 255.255.255.252 ip nat outside no ip mroute-cache no ip route-cache clockrate 2000000 ! ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 !--- NAT pool defining Outside Local addresses to be used for translation. ! ip nat outside source list 1 pool Net171 add-route !--- Configures translation for Outside Global addresses !--- with the NAT pool. ip classless ip route 172.16.88.0 255.255.255.0 172.16.191.254 ip route 171.68.1.0 255.255.255.0 171.68.192.201 !--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E. access-list 1 permit 172.16.88.0 0.0.0.255 !--- Access-list defining Outside Global addresses to be translated. ! !--- Output suppressed. !

라우터 2514X

hostname 2514X 
! 

!--- Output suppressed.

! 
interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 no ip route-cache 
!

!--- Output suppressed.
 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 ip nat outside 
 no ip mroute-cache 
 no ip route-cache 
 clockrate 2000000 
! 
ip nat pool Net171 171.68.16.10 171.68.16.254 netmask 255.255.255.0 

!--- NAT pool defining Outside Local addresses to be used for translation. 
!
ip nat outside source list 1 pool Net171 add-route

!--- Configures translation for Outside Global addresses !--- with the NAT pool. 

ip classless 
ip route 172.16.88.0 255.255.255.0 172.16.191.254 
ip route 171.68.1.0 255.255.255.0 171.68.192.201

!--- Static routes for reaching the loopback interfaces !--- on 2514W and 2501E.
 

access-list 1 permit 172.16.88.0 0.0.0.255 

!--- Access-list defining Outside Global addresses to be translated. 

!

!--- Output suppressed.

!

라우터 2501E
hostname 2501E ! !--- Output suppressed. interface Loopback0 ip address 171.68.1.1 255.255.255.0 ! interface Ethernet0 ip address 171.68.192.201 255.255.255.0 ! !--- Output suppressed. ip classless ip route 0.0.0.0 0.0.0.0 171.68.192.202 !--- Default route to forward packets to 2514X. ! !--- Output suppressed.

라우터 2501E

hostname 2501E 
! 

!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X. 

!

!--- Output suppressed.

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

show ip nat translations 명령은 아래 출력에 표시된 대로 변환 항목을 확인하는 데 사용할 수 있습니다.

2514X# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 171.68.1.1          171.68.1.1         171.68.16.10       172.16.88.1
--- ---                 ---                171.68.16.10       172.16.88.1

2514X#

위의 출력에서는 라우터 2514W의 Loopback0 인터페이스의 주소인 Outside Global 주소 172.16.88.1이 Outside Local 주소 171.68.16.10으로 변환되는 것을 보여줍니다.

다음과 같이 show ip route 명령을 사용하여 라우팅 테이블 항목을 확인할 수 있습니다.

2514X# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     171.68.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       171.68.192.0/24 is directly connected, Ethernet1
S       171.68.1.0/24 [1/0] via 171.68.192.201
S       171.68.16.10/32 [1/0] via 172.16.88.1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
S       172.16.88.0/24 [1/0] via 172.16.191.254
C       172.16.191.252/30 is directly connected, Serial1
2514X#

출력에는 외부 로컬 주소 171.68.16.10에 대한 /32 경로가 표시되며, 이는 ip nat outside source 명령의 add-route 옵션으로 인해 생성됩니다. 이 경로는 내부에서 네트워크 외부로 이동하는 패킷을 라우팅하고 변환하는 데 사용됩니다.

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

이 출력은 라우터 2514X에서 debug ip packet 및 debug ip nat 명령을 실행하는 동안 라우터 2514W 루프백0 인터페이스 주소(172.16.88.1)에서 라우터 2501E 루프백0 인터페이스 주소(171.68.1.1)으로 ping을 실행한 결과입니다.

*Mar  1 00:02:48.079: NAT*: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [95]

!--- The source address in the first packet arriving on !--- the outside interface is first translated. 

*Mar  1 00:02:48.119: IP: tableid=0, s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), routed via
RIB
*Mar  1 00:02:48.087: IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len
100, forward

!--- The ICMP echo request packet with the translated source address !--- is routed and forwarded on the inside interface. 
 
*Mar  1 00:02:48.095: IP: tableid=0, s=171.68.1.1 (Ethernet1), d=171.68.16.10 (Serial1), routed via
RIB

!--- The ICMP echo reply packet arriving on the inside interface !--- is first routed based on the destination address. 
 
*Mar  1 00:02:48.099: NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [95]

!--- The destination address in the packet is then translated. 
 

*Mar  1 00:02:48.103: IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len 1
00, forward

!--- The ICMP echo reply packet with the translated destination !--- address is forwarded on the outside interface.

외부 인터페이스에서 수신된 모든 패킷에 대해 위의 절차가 반복됩니다.

요약

ip nat outside source static 명령(static NAT) 대신 ip nat outside source list 명령(동적 NAT)을 사용하는 것의 주요 차이점은 라우터(NAT용으로 구성)가 패킷의 변환 기준을 확인할 때까지 변환 테이블에 항목이 없다는 것입니다. 위의 예에서 SA 172.16.88.1(Router 2514X의 외부 인터페이스로 들어오는) 패킷은 ip nat outside source list 명령에서 사용하는 기준인 access-list 1을 충족합니다. 따라서 내부 네트워크의 패킷이 라우터 2514W 루프백0 인터페이스와 통신할 수 있으려면 외부 네트워크에서 패킷을 시작해야 합니다.

이 예제에서는 두 가지 중요한 사항을 기록합니다.

먼저 패킷이 외부에서 내부로 이동할 때 먼저 변환이 발생한 다음 목적지에 대한 라우팅 테이블을 확인합니다. 패킷이 내부에서 외부로 이동하는 경우 먼저 목적지에 대한 라우팅 테이블을 확인한 다음 변환이 발생합니다.

둘째, 위의 각 명령을 사용할 때 IP 패킷의 어느 부분이 변환되는지 확인하는 것이 중요합니다. 다음 표에는 지침이 포함되어 있습니다.

명령을 사용합니다	작업
ip nat 외부 소스 목록	외부로 이동하는 IP 패킷의 소스를 내부 외부로 이동하는 IP 패킷의 목적지를 변환합니다.
ip nat 내부 소스 목록	외부로 이동하는 IP 패킷의 소스를 변환합니다. 외부로 이동하는 IP 패킷의 목적지를 내부에서 변환합니다.

위의 지침에 따르면 패킷을 변환하는 방법은 여러 가지가 있습니다. 특정 요구 사항에 따라 NAT 인터페이스(내부 또는 외부)를 정의하는 방법과 변환 전 또는 후에 라우팅 테이블에 포함해야 할 경로를 결정해야 합니다. 변환할 패킷의 부분은 패킷이 이동하는 방향과 NAT를 구성한 방법에 따라 달라집니다.