NAT(네트워크 주소 변환)

다음 주제에서는 NAT(Network Address Tranlation)에 대한 내용 및 NAT를 구성하는 방법을 설명합니다.

NAT를 사용해야 하는 이유

IP 네트워크 내의 각 컴퓨터와 디바이스에는 호스트를 식별하는 고유한 IP 주소가 할당됩니다. 공용 IPv4 주소의 부족 때문에 이러한 IP 주소는 대부분 사설이며, 사설 회사 네트워크 외부로 라우팅되지 않습니다. RFC 1918의 정의에 따르면 사설 IP 주소는 내부적으로 사용할 수 있지만 외부에 알려서는 안 되는 주소입니다.

10.0.0.0~10.255.255.255
172.16.0.0 ~ 172.31.255.255
192.168.0.0~192.168.255.255

NAT의 주요 기능 중 하나는 사설 IP 네트워크가 인터넷에 연결되도록 하는 것입니다. NAT는 사설 IP 주소를 공용 IP 주소로 교체하여, 내부 사설 네트워크의 사설 주소를 공용 인터넷에서 사용할 수 있는 합법적이고 라우팅 가능한 주소로 전환합니다. 이렇게 하여 NAT는 공용 주소를 절약합니다. 전체 네트워크에 대해 최소 하나의 공용 주소만 외부에 알리도록 구성할 수 있기 때문입니다.

NAT의 기타 기능은 다음과 같습니다.

보안 - 직접 공격을 피할 수 있도록 내부 IP 주소를 숨깁니다.
IP 라우팅 솔루션 - NAT를 사용하는 경우 중첩 IP 주소 문제가 발생하지 않습니다.
유연성 - 외부적으로 사용 가능한 공용 주소에 영향을 주지 않고 내부 IP 주소 지정 방식을 변경할 수 있습니다. 예를 들어 인터넷에 액세스할 수 있는 서버의 경우, 인터넷용으로는 고정 IP 주소를 유지하고 내부적으로는 서버 주소를 변경할 수 있습니다.
IPv4와 IPv6 간 변환(라우팅된 방식 전용) - IPv6 네트워크를 IPv4 네트워크에 연결하려는 경우 NAT를 이용하면 두 가지 주소 유형 간에 변환할 수 있습니다.

참고	NAT는 필수 항목이 아닙니다. 특정 트래픽에 대해 NAT를 구성하지 않으면 해당 트래픽은 변환되지 않지만, 모든 보안 정책은 정상적으로 적용됩니다.

NAT 기본 사항

다음 주제에서는 NAT의 기본 사항 일부를 설명합니다.

NAT 용어

이 설명서는 다음과 같은 용어를 사용합니다.

실제 주소/호스트/네트워크/인터페이스 - 실제 주소는 변환되기 전 호스트에서 정의된 주소입니다. 외부에 액세스할 때 내부 네트워크를 변환하는 일반적인 NAT 시나리오에서는 내부 네트워크가 "실제" 네트워크일 수 있습니다. 내부 네트워크뿐 아니라 디바이스에 연결된 모든 네트워크를 변환할 수 있습니다. 따라서 외부 주소를 변환하도록 NAT를 구성하는 경우 "실제"는 내부 네트워크에 액세스하는 외부 네트워크를 지칭할 수 있습니다.

매핑된 주소/호스트/네트워크/인터페이스 - 매핑된 주소는 실제 주소가 변환되는 주소입니다. 외부에 액세스할 때 내부 네트워크를 변환하는 일반적인 NAT 시나리오에서는 외부 네트워크가 "매핑된" 네트워크일 수 있습니다.

참고	주소 변환 중에 디바이스 인터페이스용으로 구성된 IP 주소는 변환되지 않습니다.

양방향 시작 - 고정 NAT에서는 연결이 양방향으로 시작될 수 있습니다(호스트에서 나가기도 하고 호스트로 들어오기도 함).
소스 및 대상 NAT - 모든 패킷에 대해 소스 및 대상 IP 주소를 NAT 규칙과 비교하며, 하나 또는 둘 모두를 변환하거나 변환하지 않을 수 있습니다. 고정 NAT의 경우에는 규칙이 양방향이므로, 이 가이드 전체에서 명령 및 설명에 "source(소스)"와 "destination(대상)"이 사용됩니다. 특정 연결이 "destination(대상)" 주소에서 시작되는 경우에도 마찬가지입니다.

NAT 유형

다음 방법을 사용하여 NAT를 구현할 수 있습니다.

동적 NAT - 실제 IP 주소의 그룹이 매핑된 IP 주소의 그룹(대개 더 작음)에 선착순으로 매핑됩니다. 실제 호스트만 트래픽을 시작할 수 있습니다. 동적 NAT의 내용을 참조하십시오.
동적 PAT(동적 포트 주소 변환) - 실제 IP 주소의 그룹이 해당 IP 주소의 고유한 소스 포트를 사용하여 단일 IP 주소로 매핑됩니다. 동적 PAT의 내용을 참조하십시오.
고정 NAT - 실제 IP 주소와 매핑된 IP 주소 간의 일관된 매핑입니다. 양방향 트래픽 시작이 허용됩니다. 고정 NAT의 내용을 참조하십시오.
ID NAT - 실제 주소가 기본적으로 NAT를 우회하여 자신에게 고정으로 변환됩니다. 대규모 주소 그룹을 변환하되 좀 더 작은 규모의 주소 하위 집합을 제외하고자 할 경우 이 방법으로 NAT를 구성할 수 있습니다. ID NAT의 내용을 참조하십시오.

라우팅 모드의 NAT

다음 그림은 내부에 사설 네트워크가 있는 라우팅된 모드의 일반적인 NAT 예를 보여줍니다.

10.1.2.27의 내부 호스트가 웹 서버로 패킷을 전송하면, 패킷의 실제 소스 주소 10.1.2.27이 매핑된 주소 209.165.201.10으로 변환됩니다.
서버가 응답하면 해당 호스트는 응답을 매핑된 주소 209.165.201.10으로 전송하며 위협 방지 디바이스에서 패킷을 수신합니다. 이는 위협 방지 디바이스에서 프록시 ARP를 수행하여 패킷을 신청하기 때문입니다.
그런 다음 위협 방지 디바이스에서는 호스트로 전송하기 전에, 매핑된 주소 209.165.201.10에서 다시 실제 주소 10.1.2.27로의 변환을 변경합니다.

자동 NAT 및 수동 NAT

자동 NAT 및 수동 NAT 두 가지 방법으로 주소 변환을 구현할 수 있습니다.

수동 NAT에서 제공하는 추가 기능이 필요한 경우가 아니면 자동 NAT를 사용하는 것이 좋습니다. 자동 NAT가 컨피그레이션이 더 쉽고, VoIP(Voice over IP) 등의 애플리케이션에서 좀 더 안정적일 수 있습니다. VoIP의 경우 규칙에서 사용되는 개체 중 하나에 속하지 않는 간접 주소를 변환할 때 오류가 발생할 수 있습니다.

자동 NAT

네트워크 개체의 파라미터로 컨피그레이션되는 모든 NAT 규칙은 자동 NAT 규칙으로 간주됩니다. NAT 규칙을 사용하면 네트워크 개체에 대해 NAT를 빠르고 쉽게 구성할 수 있습니다. 그러나 그룹 개체에 대해서는 이러한 규칙을 생성할 수 없습니다.

이러한 규칙은 개체 자체의 일부분으로 구성되지만, 개체 관리자를 통해 개체 정의에서 NAT 컨피그레이션을 확인할 수는 없습니다.

패킷이 인터페이스로 들어가면 소스 및 대상 IP 주소 둘 다에서 자동 NAT 규칙을 확인합니다. 별도의 일치를 만든 경우 별도의 규칙을 통해 패킷의 소스 및 대상 주소를 변환할 수 있습니다. 이러한 규칙은 서로 연결되어 있지 않습니다. 트래픽에 따라 규칙의 서로 다른 조합을 사용할 수 있습니다.

규칙은 쌍을 이루지 않으므로 소스A/대상A가 소스A/대상B 이외의 다른 변환을 갖도록 지정할 수 없습니다. 이러한 종류의 기능이 필요한 경우 수동 NAT를 사용하십시오. 그러면 한 가지 규칙에서 소스 및 대상 주소를 식별할 수 있습니다.

수동 NAT

수동 NAT 한 가지 규칙에서 소스 및 대상 주소를 모두 식별할 수 있습니다. 소스 주소와 대상 주소를 모두 지정하면 소스A/대상A가 소스A/대상B 이외의 다른 변환을 갖도록 지정할 수 있습니다.

참고

고정 NAT의 경우에는 규칙이 양방향이므로, 이 가이드 전체에서 명령 및 설명에 "source(소스)"와 "destination(대상)"이 사용됩니다. 특정 연결이 "destination(대상)" 주소에서 시작되는 경우에도 마찬가지입니다. 예를 들어 포트 주소 변환 고정 NAT를 구성하고, 소스 주소를 텔넷 서버로 지정하며, 텔넷 서버로 이동하는 모든 트래픽에 대해 포트를 2323에서 23으로 변환하려면 소스 포트가 변환되도록 지정해야 합니다(실제 포트: 23, 매핑된 포트: 2323). 텔넷 서버 주소를 소스 주소로 지정했기 때문에 소스 포트를 지정하는 것입니다.

대상 주소는 선택 사항입니다. 대상 주소를 지정하는 경우 이를 대상 주소 자신에게 매핑할 수도 있고(ID NAT) 다른 주소에 매핑할 수도 있습니다. 대상 주소 매핑은 항상 고정 매핑입니다.

자동 NAT와 수동 NAT 비교

이 두 NAT 유형의 주요 차이점은 다음과 같습니다.

실제 주소를 정의하는 방법
- 자동 NAT - NAT 규칙은 네트워크 개체의 파라미터가 됩니다. 네트워크 개체 IP 주소는 원래(실제) 주소 역할을 합니다.
- 수동 NAT- 실제 주소와 매핑된 주소 모두에서 네트워크 개체 또는 네트워크 개체 그룹을 식별합니다. 이 경우 NAT는 네트워크 개체의 매개변수가 아닙니다. 네트워크 개체 또는 그룹은 NAT 컨피그레이션의 매개변수입니다. 실제 주소에 네트워크 개체 그룹을 사용할 수 있으므로 수동 NAT의 확장성이 더 뛰어납니다.
소스 및 대상 NAT의 구현 방법
- 자동 NAT- 각 규칙을 패킷의 소스 또는 대상에 적용할 수 있습니다. 따라서 소스 IP 주소와 대상 IP 주소에 각각 하나씩 두 개의 규칙이 사용될 수 있습니다. 소스/대상조합에 특정 변환을 적용하기 위해 이러한 두 규칙을 결합할 수 없습니다.
- 수동 NAT단일 규칙에서 소스와 대상을 모두 변환합니다. 패킷은 하나의 규칙에서만 일치하며, 더 이상 규칙이 점검되지 않습니다. 선택적 대상 주소를 컨피그레이션하지 않더라도 일치하는 패킷은 여전히 하나의 수동 NAT 규칙과만 일치합니다. 소스와 대상이 결합되어 있으므로, 소스/대상조합에 따라 서로 다른 변환을 적용할 수 있습니다. 예를 들어 소스A/대상A의 변환은 소스A/대상B의 변환과 다를 수 있습니다.
NAT 규칙의 순서
- 자동 NAT- NAT 테이블에서 자동으로 순서가 지정됩니다.
- 수동 NAT - NAT 테이블에서 수동으로 순서가 지정됩니다(자동 NAT 규칙 앞이나 뒤).

NAT 규칙 순서

자동 NAT 및 수동 NAT 규칙은 세 개의 섹션으로 구분되는 단일 테이블에 저장됩니다. 섹션 1 규칙이 먼저 적용된 다음, 일치가 발견될 때까지 섹션 2, 마지막으로 섹션 3이 적용됩니다. 예를 들어 섹션 1에서 일치가 발견되면 섹션 2와 3은 평가되지 않습니다. 다음 표는 각 섹션 내의 규칙 순서를 보여줍니다.

참고	섹션 0에는 시스템이 자체적으로 사용하기 위해 생성하는 NAT 규칙이 포함되어 있습니다. 이러한 규칙은 다른 모든 규칙보다 우선순위가 높습니다. 시스템은 이러한 규칙을 자동으로 생성하고 필요에 따라 xlate를 지웁니다. 섹션 0에 있는 규칙을 추가, 편집 또는 수정할 수 없습니다.

표 1. NAT 규칙 테이블
테이블 섹션	규칙 유형	섹션 내 규칙의 순서
섹션 1	수동 NAT	첫 번째 일치부터 컨피그레이션에 나타나는 순서대로 적용됩니다. 첫 번째 일치가 적용되므로, 일반 규칙 앞에 특수 규칙이 오도록 해야 합니다. 그렇지 않으면 특수 규칙이 원하는 대로 적용되지 않을 수 있습니다. 기본적으로 수동 NAT 규칙은 섹션 1에 추가됩니다. "특정 규칙 우선"이라는 의미는 다음과 같습니다. 정적 규칙이 동적 규칙 앞에 와야 합니다. 대상 변환을 포함한 규칙은 소스 변환만을 포함한 규칙보다 앞에 와야 합니다. 소스 또는 대상 주소를 기반으로 둘 이상의 규칙이 적용될 수 있는 중복 규칙을 제거할 수 없는 경우에는 특히 주의하여 이러한 권장 사항을 따르십시오.
섹션 2	자동 NAT	섹션 1에서 일치하는 항목을 찾을 수 없으면 섹션 2 규칙이 다음 순서로 적용됩니다. 고정 규칙 동적 규칙 각 규칙 유형 내에서는 다음의 순서 지침이 사용됩니다. 실제 IP 주소의 수량 - 가장 적은 것에서 가장 많은 것. 예를 들면 주소가 1개인 개체가 주소가 10개인 개체보다 먼저 평가됩니다. 수량이 동일한 경우 IP 주소 번호가 낮은 것에서 높은 것 순으로 사용됩니다. 예를 들면, 10.1.1.0이 11.1.1.0보다 먼저 평가됩니다. IP 주소가 동일한 경우 네트워크 개체의 이름이 알파벳순으로 사용됩니다. 예를 들면 abracadabra가 catwoman보다 먼저 평가됩니다.
섹션 3	수동 NAT	아직도 일치가 발견되지 않으면 섹션 3 규칙이 첫 번째부터 컨피그레이션에 나타나는 순서대로 적용됩니다. 이 섹션에는 가장 일반적인 규칙을 포함해야 합니다. 또한 이 섹션에서는 특정 규칙이 일반 규칙보다 먼저 적용되도록 해야 합니다.

예를 들어 섹션 2 규칙의 경우 네트워크 개체 내에서 다음 IP 주소를 정의합니다.

192.168.1.0/24(고정)
192.168.1.0/24(동적)
10.1.1.0/24(고정)
192.168.1.1/32(고정)
172.16.1.0/24(동적)(개체 def)
172.16.1.0/24(동적)(개체 abc)

결과 순서는 다음과 같습니다.

192.168.1.1/32(고정)
10.1.1.0/24(고정)
192.168.1.0/24(고정)
172.16.1.0/24(동적)(개체 abc)
172.16.1.0/24(동적)(개체 def)
192.168.1.0/24(동적)

NAT 인터페이스

브리지 그룹 멤버 인터페이스를 제외한 임의의 인터페이스(즉, 모든 인터페이스)에 적용할 NAT 규칙을 구성할 수도 있고, 특정 실제 및 매핑된 인터페이스를 지정할 수도 있습니다. 실제 주소에는 임의의 인터페이스를 지정하고, 매핑된 주소에는 특정 인터페이스를 지정하거나, 그 반대로 지정할 수도 있습니다.

예를 들어, 여러 인터페이스에서 동일한 사설 주소를 사용하며, 외부에 액세스할 때 이들을 모두 동일한 전역 풀로 변환하려는 경우 실제 주소에는 임의의 인터페이스를 지정하고, 매핑된 주소에는 외부 인터페이스를 지정할 수 있습니다.

그러나 브리지 그룹 멤버 인터페이스에는 "any" 인터페이스라는 개념이 적용되지 않습니다. "any" 인터페이스를 지정하면 모든 브리지 그룹 멤버 인터페이스는 제외됩니다. 따라서 브리지 그룹 멤버에 NAT를 적용하려면 멤버 인터페이스를 지정해야 합니다. 이렇게 하면 유사한 여러 규칙에서 인터페이스 하나만 다른 현상이 발생할 수 있습니다. BVI(브리지 가상 인터페이스) 자체에 대해서는 NAT를 구성할 수 없으며 멤버 인터페이스에 대해서만 NAT를 구성할 수 있습니다.

패시브 인터페이스에서는 NAT를 구성할 수 없습니다.

NAT 라우팅 구성

threat defense 디바이스는 변환(매핑)된 주소로 전송되는 모든 패킷의 대상이어야 합니다.

패킷을 전송할 때 디바이스는 대상 인터페이스를 지정한 경우 해당 인터페이스를 사용하고, 그렇지 않으면 라우팅 테이블 조회를 사용하여 이그레스 인터페이스를 결정합니다. ID NAT의 경우에는 대상 인터페이스를 지정하더라도 경로 조회를 사용하는 옵션이 있습니다.

필요한 라우팅 컨피그레이션의 유형은 다음 항목에서 설명하는 것처럼 매핑된 주소의 유형에 따라 다릅니다.

매핑된 인터페이스와 동일한 네트워크의 주소

대상(매핑된) 인터페이스와 동일한 네트워크의 주소를 사용하는 경우, 위협 방지 디바이스에서는 매핑된 주소에 대한 ARP 요청에 응답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 위협 방지 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 이 솔루션은 외부 네트워크에 적절한 수의 여유 주소가 있는 경우 이상적이며, 동적 NAT 또는 고정 NAT 등 1:1 변환을 사용하는 경우 고려해볼 수 있습니다. 동적 PAT는 소수의 주소로 사용 가능한 변환의 수를 크게 확장합니다. 따라서 외부 네트워크에 사용 가능한 주소가 적어도 이 방법을 사용할 수 있습니다. PAT의 경우 매핑된 인터페이스의 IP 주소를 사용할 수도 있습니다.

고유한 네트워크의 주소

대상(매핑된) 인터페이스 네트워크에서 사용할 수 있는 것보다 더 많은 주소가 필요한 경우 별도의 서브넷에서 주소를 지정할 수 있습니다. 업스트림 라우터에는 위협 방지 디바이스를 가리키는, 매핑된 주소에 대한 고정 경로가 필요합니다.

실제 주소와 동일한 주소(ID NAT)

ID NAT의 기본 동작은 프록시 ARP를 활성화하고 기타 고정 NAT 규칙을 확인하는 것입니다. 원하는 경우 프록시 ARP를 사용 해제할 수 있습니다. 원하는 경우 정기적인 고정 NAT에 대해 프록시 ARP를 사용 해제할 수도 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다.

일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다. 예를 들어 "any" IP 주소에 대해 광범위한 ID NAT 규칙을 구성하고 프록시 ARP를 사용하는 상태로 두면 매핑된 인터페이스에 직접 연결된 네트워크에서 호스트 문제가 발생할 수 있습니다. 이 경우 매핑된 네트워크의 호스트가 동일한 네트워크의 다른 호스트와 통신하려면 ARP 요청의 주소가 NAT 규칙과 일치해야 합니다("any" 주소와 일치). 패킷이 실제로 위협 방지 디바이스로 이동하도록 지정되지 않아도 위협 방지 디바이스에서는 주소에 대해 프록시 ARP를 수행합니다. (이 문제는 수동 NAT 규칙이 있는 경우에도 발생합니다. NAT 규칙은 소스 주소 및 대상 주소와 모두 일치해야 하지만 프록시 ARP 결정은 "소스" 주소에 대해서만 내려집니다.) 실제 호스트 ARP 응답 전에 위협 방지 디바이스 ARP 응답을 수신하는 경우, 트래픽이 위협 방지 디바이스로 잘못 전송됩니다.

NAT용 지침

다음 주제에서는 NAT 구현에 대한 자세한 지침을 제공합니다.

인터페이스 지침

NAT는 표준 라우팅 물리적 또는 하위 인터페이스에 대해 지원됩니다.

그러나 브리지 그룹 멤버 인터페이스, 즉 BVI(브리지 가상 인터페이스)에 속하는 인터페이스에 대해 NAT를 구성할 때는 다음과 같은 제한이 있습니다.

브리지 그룹 멤버에 대해 NAT를 구성할 때는 멤버 인터페이스를 지정합니다. BVI(브리지 그룹 인터페이스) 자체에 대해서는 NAT를 구성할 수 없습니다.
브리지 그룹 멤버 인터페이스 간에 NAT를 수행할 때는 소스 및 대상 인터페이스를 지정해야 합니다. 인터페이스로 "any"를 지정할 수는 없습니다.
대상 인터페이스가 브리지 그룹 멤버 인터페이스일 때는 인터페이스 PAT를 구성할 수 없습니다. 인터페이스에 연결된 IP 주소가 없기 때문입니다.
소스 및 대상 인터페이스가 동일한 브리지 그룹의 멤버이면 IPv4 및 IPv6 네트워크(NAT64/46) 간을 변환할 수 없습니다. 지원되는 방법은 고정 NAT/PAT 44/66, 동적 NAT44/66 및 동적 PAT44뿐이며 동적 PAT66은 지원되지 않습니다.

IPv6 NAT 지침

NAT는 다음 지침 및 제약 사항과 함께 IPv6를 지원합니다.

표준 라우팅 모드 인터페이스에서는 IPv4와 IPv6 간을 변환할 수도 있습니다.
동일한 브리지 그룹의 멤버인 인터페이스에 대해서는 IPv4 및 IPv6 간을 변환할 수 없습니다. 두 IPv6 또는 두 IPv4 네트워크 간에만 변환을 수행할 수 있습니다. 이 제한은 브리지 그룹 멤버와 표준 라우팅 인터페이스 간에는 적용되지 않습니다.
같은 브리지 그룹의 인터페이스 간 변환에는 IPv6에 대해 동적 PAT(NAT66)를 사용할 수 없습니다. 이 제한은 브리지 그룹 멤버와 표준 라우팅 인터페이스 간에는 적용되지 않습니다.
고정 NAT에서는 IPv6 서브넷을 최대 /64까지 지정할 수 있습니다. 더 큰 서브넷은 지원되지 않습니다.
FTP with NAT46을 사용할 때, IPv4 FTP 클라이언트가 IPv6 FTP 서버에 연결될 때 클라이언트는 확장 패시브 모드(EPSV) 또는 확장 포트 모드(EPRT)를 사용해야 하며, PASV 및 PORT 명령은 IPv6에서 지원되지 않습니다.

IPv6 NAT 모범 사례

IPv6 네트워크 간 변환 및 IPv4와 IPv6 네트워크 간 변환(라우팅된 모드 전용)을 위해 NAT를 사용할 수 있습니다. 다음의 모범 사례를 권장합니다.

NAT66(IPv6-IPv6) - 고정 NAT를 사용하는 것이 좋습니다. 동적 NAT 또는 PAT를 사용할 수 있고 IPv6 주소가 대량으로 공급되지만, 동적 NAT를 반드시 사용할 필요는 없습니다. 반환 트래픽을 허용하지 않으려면 정적 NAT 규칙을 단방향으로 설정할 수 있습니다(수동 NAT에만 해당함).
NAT46(IPv4-IPv6) - 고정 NAT를 사용하는 것이 좋습니다. IPv6 주소 공간이 IPv4 주소 공간보다 훨씬 크기 때문에 고정 변환을 손쉽게 수용할 수 있습니다. 반환 트래픽을 허용하지 않으려면 정적 NAT 규칙을 단방향으로 설정할 수 있습니다(수동 NAT에만 해당함). IPv6 서브넷(/96 이하)으로 변환하면 결과로 나타나는 매핑된 주소는 기본적으로 IPv4가 포함된 IPv6 주소입니다. 이 경우 IPv6 접두사 뒤에 IPv4 주소의 32비트가 포함됩니다. 예를 들어 IPv6 접두사가 /96 접두사이면, 주소의 마지막 32비트에 IPv4 주소가 첨부됩니다. 예를 들어 192.168.1.0/24를 201b::0/96에 매핑하면 192.168.1.4는 201b::0.192.168.1.4(혼합된 표기로 표시됨)에 매핑됩니다. 접두사가 더 작으면(예: /64) IPv4 주소가 접두사 뒤에 첨부되고, 접미사 0이 IPv4 주소 뒤에 첨부됩니다.
NAT64(IPv6-to-IPv4) - IPv6 주소의 수를 수용할 만큼 IPv4 주소가 충분하지 않을 수 있습니다. 대량의 IPv4 변환을 제공하려면 동적 PAT 풀을 사용하는 것이 좋습니다.

검사된 프로토콜에 대한 NAT 지원

보조 연결을 열거나 패킷에 IP 주소를 포함한 일부 애플리케이션 레이어 프로토콜을 검사하여 다음 서비스를 제공합니다.

핀홀 생성 - 일부 애플리케이션 프로토콜은 표준 포트 또는 협상된 포트에서 보조 TCP 또는 UDP 연결을 엽니다. 검사에서는 이러한 보조 포트를 허용하기 위한 액세스 제어 규칙을 생성할 필요가 없도록 해당 포트에 대해 핀홀을 엽니다.
NAT 재작성 - FTP 등의 프로토콜은 프로토콜의 일부분으로 패킷 데이터에 보조 연결용 IP 주소 및 포트를 포함합니다. 엔드포인트 중 하나에서 NAT 변환이 수행되는 경우 검사 엔진은 포함된 주소와 포트의 NAT 변환을 반영하기 위해 패킷 데이터를 재작성합니다. NAT 재작성이 수행되지 않으면 보조 연결은 작동하지 않습니다.
프로토콜 적용 - 일부 검사에서는 검사된 프로토콜에 대해 특정 수준의 RFC 적합성을 적용합니다.

다음 표에는 NAT 재작성을 적용하는 검사된 프로토콜 및 이러한 프로토콜의 NAT 제한이 나와 있습니다. 이러한 프로토콜을 포함하는 NAT 규칙을 작성할 때는 이와 같은 제한에 주의해야 합니다. 여기에 나와 있지 않은 검사된 프로토콜은 NAT 재작성을 적용하지 않습니다. 이러한 검사에는 GTP, HTTP, IMAP, POP, SMTP, SSH 및 SSL이 포함됩니다.

참고	NAT 재작성은 여기에 나와 있는 포트에서만 지원됩니다. 비표준 포트에서 이러한 프로토콜을 사용하는 경우에는 연결에 NAT를 사용하지 마십시오.

표 2. NAT가 지원되는 애플리케이션 검사
애플리케이션	검사된 프로토콜, 포트	NAT 제한	핀홀 생성 여부
DCERPC	TCP/135	NAT64 없음	예
DNS over UDP	UDP/53	WINS를 통한 이름 확인에 NAT 지원을 이용할 수 없음	아니요
ESMTP	TCP/25	NAT64 없음	아니요
FTP	TCP/21	제한 없음	예
H.323 H.225(호출 신호) H.323 RAS	TCP/1720 UDP/1718 RAS의 경우  UDP/1718-1719	NAT64 없음	예
ICMP ICMP Error	ICMP (디바이스 인터페이스로 전달된 ICMP 트래픽은 검사되지 않음)	제한 없음	아니요
IP Options	RSVP	NAT64 없음	아니요
NetBIOS Name Server over IP	UDP/137, 138(소스 포트)	NAT64 없음	아니요
RSH	TCP/514	PAT 없음 NAT64 없음	예
RTSP	TCP/554 (HTTP 클로킹을 처리하지 않음)	NAT64 없음	예
SIP	TCP/5060  UDP/5060	확장 PAT 없음 NAT64 또는 NAT46 없음	예
Skinny(SCCP)	TCP/2000	NAT64, NAT46 또는 NAT66 없음	예
SQL*Net (버전 1, 2)	TCP/1521	NAT64 없음	예
Sun RPC	TCP/111 UDP/111	NAT64 없음	예
TFTP	UDP/69	NAT64 없음 페이로드 IP 주소는 변환되지 않습니다.	예
XDMCP	UDP/177	NAT64 없음	예

FQDN 대상 지침

IP 주소 대신 정규화된 도메인 이름(FQDN) 네트워크 개체를 사용하여 수동 NAT 규칙에서 변환된(매핑된) 대상을 지정할 수 있습니다. 예를 들어 www.example.com 웹 서버로 향하는 트래픽을 기반으로 규칙을 생성할 수 있습니다.

FQDN을 사용할 때 시스템은 DNS 확인을 가져오고 반환된 주소를 기반으로 NAT 규칙을 작성합니다. DNS 서버에서 둘 이상의 주소를 가져오는 경우 사용되는 주소는 다음을 기반으로 합니다.

지정된 인터페이스와 동일한 서브넷에 주소가 있으면 해당 주소가 사용됩니다. 동일한 서브넷에 없는 경우 반환된 첫 번째 주소가 사용됩니다.
변환된 소스 및 변환된 대상의 IP 유형이 일치해야 합니다. 예를 들어 변환된 소스 주소가 IPv6인 경우 FQDN 개체는 IPv6를 주소 유형으로 지정해야 합니다. 변환된 소스가 IPv4인 경우 FQDN 개체는 IPv4를 지정하거나 IPv4 및 IPv6을 모두 지정할 수 있습니다. 이 경우 IPv4 주소가 선택됩니다.

수동 NAT 대상에 사용되는 네트워크 그룹에는 FQDN 개체를 포함할 수 없습니다. NAT에서는 단일 대상 호스트만 이 유형의 NAT 규칙에 적합하므로 FQDN 개체만 사용해야 합니다.

FQDN을 IP 주소로 확인할 수 없는 경우에는 DNS 확인을 얻을 때까지 규칙이 작동하지 않습니다.

NAT 추가 지침

브리지 그룹 멤버인 인터페이스의 경우 멤버 인터페이스용 NAT 규칙을 작성합니다. BVI(브리지 가상 인터페이스) 자체에 대해서는 NAT 규칙을 작성할 수 없습니다.
사이트 대 사이트 VPN에서 사용되는 VTI(Virtual Tunnel Interface)에 대해서는 NAT 규칙을 작성할 수 없습니다. VTI의 소스 인터페이스에 대해 규칙을 작성하면 VPN 터널에 NAT가 적용되지 않습니다. VTI에서 터널링된 VPN 트래픽에 적용할 NAT 규칙을 작성하려면 "any"를 인터페이스로 사용해야 합니다. 인터페이스 이름을 명시적으로 지정할 수 없습니다.
(자동 NAT에만 해당함.) 한 개체에는 단일 NAT 규칙만 정의할 수 있습니다. 한 개체에 대해 여러 NAT 규칙을 구성하려면 동일한 IP 주소를 지정하는 서로 다른 이름의 여러 개체를 생성해야 합니다.
인터페이스에 VPN이 정의되어 있으면 인터페이스의 인바운드 ESP 트래픽에는 NAT 규칙이 적용되지 않습니다. 시스템은 설정된 VPN 터널에 대해서만 ESP 트래픽을 허용하며 기존 터널과 연결되지 않은 트래픽은 삭제합니다. 이러한 제한은 ESP 및 UDP 포트 500과 4500에 적용됩니다.
UDP 포트 500 및 4500이 실제로 사용되지 않도록 동적 PAT를 적용하는 디바이스 뒤에 있는 디바이스에서 사이트 대 사이트 VPN을 정의하는 경우에는 PAT 디바이스 뒤의 디바이스에서 연결을 시작해야 합니다. 응답자는 정확한 포트 번호를 모르므로 SA(보안 연결)를 시작할 수 없습니다.

NAT 컨피그레이션을 변경할 때 새 NAT 컨피그레이션이 사용되기 전에 기존 변환이 시간 초과되기까지 기다리지 않으려면 디바이스 CLI에서 clear xlate 명령을 사용하여 변환 테이블을 지울 수 있습니다. 그러나 변환 테이블을 지우면 변환을 사용하는 현재의 모든 연결이 해제됩니다.

기존 연결(예: VPN 터널)에 적용해야 하는 새 NAT 규칙을 생성하는 경우 clear conn 사용을 통해 연결을 종료해야 합니다. 그런 다음 연결 재설정 시도가 NAT 규칙에 도달해야 하며 연결이 NAT에 올바르게 연결되어야 합니다.

참고	동적 NAT 또는 PAT 규칙을 제거한 후 제거된 규칙의 주소와 중복되는 매핑된 주소가 포함된 새 규칙을 추가하는 경우, 새 규칙을 사용하려면 제거된 규칙과 관련된 모든 연결이 시간 초과되기까지 기다리거나 clear xlate 또는 clear conn 명령으로 해당 연결을 지워야 합니다. 이러한 안전 조치는 동일한 주소가 여러 호스트에 할당되는 것을 방지합니다.

IPv4 및 IPv6 주소를 모두 포함하는 개체 그룹은 사용할 수 없습니다. 개체 그룹에는 한 가지 주소 유형만 포함해야 합니다.
NAT에서 사용되는 네트워크 개체는 주소 범위 또는 서브넷에서 명시적으로 또는 묵시적으로 131,838개 이상의 IP 주소를 포함할 수 없습니다. 주소 공간을 더 작은 범위로 분할하고 더 작은 개체에 대해 별도의 규칙을 작성합니다.
(수동 NAT에만 해당함.) NAT 규칙에서 any를 소스 주소로 사용하는 경우 "any" 트래픽의 정의(IPv4 대 IPv6)는 규칙에 따라 다릅니다. 위협 방지 디바이스가 패킷에 대해 NAT를 수행하기 전에 패킷은 IPv6-IPv6 또는 IPv4-IPv4여야 합니다. 이 전제 조건하에 위협 방지 디바이스는 NAT 규칙에서 any의 값을 결정할 수 있습니다. 예를 들어 any에서 IPv6 서버로 규칙을 구성하며 해당 서버가 IPv4 주소에서 매핑된 것이면 any는 "모든 IPv6 트래픽"을 의미합니다. “any” 에서 “any”로 규칙을 구성하며 소스를 인터페이스 IPv4 주소로 매핑하면 any는 “모든 IPv4 트래픽”을 의미합니다. 매핑된 인터페이스 주소는 대상 주소도 IPv4임을 암시하기 때문입니다.
여러 NAT 규칙에서 동일한 매핑된 개체 또는 그룹을 사용할 수 있습니다.
매핑된 IP 주소 풀에는 다음을 포함할 수 없습니다.
- 매핑된 인터페이스 IP 주소. 규칙에 대해 "any" 인터페이스를 지정하면 모든 인터페이스 IP 주소가 허용되지 않습니다. 인터페이스 PAT(라우팅 모드만 해당함)의 경우 인터페이스 주소 대신 인터페이스 이름을 사용합니다.
- 페일오버 인터페이스 IP 주소
- (동적 NAT) VPN이 활성화된 경우의 스탠바이 인터페이스 IP 주소
고정 및 동적 NAT 정책에서는 겹치는 주소 사용을 피해야 합니다. 예를 들어, PPTP의 보조 연결이 동적 xlate 대신 고정 상태인 경우 겹치는 주소를 사용하면 PPTP 연결 설정에 실패할 수 있습니다.
NAT 규칙의 소스 주소와 원격 액세스 VPN 주소 풀에서는 겹치는 주소를 사용할 수 없습니다.
규칙에서 대상 인터페이스를 지정하는 경우에는 라우팅 테이블에서 경로를 조회하지 않고 해당 인터페이스를 이그레스 인터페이스로 사용합니다. 그러나 ID NAT의 경우에는 경로 조회를 대신 사용할 수 있는 옵션이 제공됩니다.
NAT는 통과 트래픽에만 적용됩니다. 시스템에서 생성된 트래픽에는 NAT가 적용되지 않습니다.
대문자 또는 소문자 조합을 사용하여 네트워크 개체 또는 그룹 pat-pool의 이름을 지정하지 마십시오.
PIM(Protocol Independent Multicast) 레지스터의 내부 페이로드에는 NAT를 사용할 수 없습니다.
(수동 NAT) 이중 ISP 인터페이스 설정(라우팅 구성에서 SLA를 사용하는 기본 및 백업 인터페이스)에 대한 NAT 규칙을 작성할 때 규칙에서 대상 기준을 지정하지 마십시오. 기본 인터페이스에 대한 규칙이 백업 인터페이스에 대한 규칙 앞에 와야 합니다. 이렇게 하면 기본 ISP를 사용할 수 없을 때 디바이스가 현재 라우팅 상태를 기반으로 올바른 NAT 대상 인터페이스를 선택할 수 있습니다. 대상 개체를 지정하면 NAT 규칙은 중복 규칙에 대해 항상 기본 인터페이스를 선택합니다.
인터페이스에 대해 정의된 NAT 규칙과 일치하지 않아야 하는 트래픽에 대해 ASP 삭제 이유 nat-no-xlate-to-pat-pool이 표시되는 경우, 트래픽이 변환되지 않은 상태로 통과할 수 있도록 영향을 받는 트래픽에 대한 ID NAT 규칙을 구성합니다.

NAT 구성

네트워크 주소 변환은 매우 복잡해질 수 있습니다. 따라서 변환 문제와 까다로운 트러블슈팅 상황을 방지하기 위해 규칙을 최대한 단순하게 유지하는 것이 좋습니다. 그리고 NAT를 구현하기 전에 면밀한 계획을 세워야 합니다. 다음 절차에서는 기본적인 구성 방식에 대해 설명합니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	필요한 규칙의 종류를 결정합니다. 동적 NAT, 동적 PAT, 고정 NAT 및 ID NAT 규칙을 생성할 수 있습니다. 이와 관련된 개요는 NAT 유형를 참조하십시오.
단계 3	수동 또는 자동 NAT로 구현할 규칙을 결정합니다. 이 두 가지 구현 옵션을 비교한 내용은 자동 NAT 및 수동 NAT를 참조하십시오.
단계 4	다음 섹션에서 설명하는 대로 규칙을 생성합니다. 동적 NAT 동적 PAT 고정 NAT ID NAT
단계 5	NAT 정책 및 규칙을 관리합니다. 다음을 수행하여 정책과 해당 규칙을 관리할 수 있습니다. 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 규칙을 삭제하려면 해당 규칙의 삭제 아이콘()을 클릭합니다.

동적 NAT

다음 주제에서는 동적 NAT 및 동적 NAT를 구성하는 방법에 대해 설명합니다.

동적 NAT 정보

동적 NAT는 실제 주소의 그룹을 대상 네트워크에서 라우팅 가능한 매핑된 주소의 풀로 변환합니다. 매핑된 풀에는 일반적으로 실제 그룹보다 더 적은 수의 주소가 포함되어 있습니다. 변환하려는 호스트가 대상 네트워크에 액세스하면 NAT에서는 매핑된 풀의 IP 주소를 호스트에 할당합니다. 실제 호스트가 연결을 시작하는 경우에만 변환이 생성됩니다. 변환은 연결되어 있는 동안에만 이루어지며, 변환 시간이 초과된 후에는 사용자의 IP 주소가 동일하게 유지되지 않습니다. 따라서 액세스 규칙에서 연결을 허용하더라도, 대상 네트워크의 사용자는 동적 NAT를 사용하는 호스트에 대해 안정적인 연결을 시작할 수 없습니다.

참고	액세스 규칙에서 허용하는 경우, 변환 기간 동안 원격 호스트는 변환된 호스트로의 연결을 시작할 수 있습니다. 주소는 예측할 수 없으므로 호스트로의 연결이 실패할 수 있습니다. 그럼에도 불구하고 이 경우 사용자는 액세스 규칙의 보안에 의존할 수 있습니다.

다음 그림은 일반적인 동적 NAT 시나리오를 보여줍니다. 실제 호스트만 NAT 세션을 생성할 수 있으며 응답 트래픽이 허용됩니다.

다음 그림은 매핑된 주소로 연결을 시작하려고 시도하는 원격 호스트를 보여줍니다. 이 주소는 현재 변환 테이블에 있지 않으므로 패킷이 삭제됩니다.

동적 NAT의 단점 및 장점

동적 NAT의 단점은 다음과 같습니다.

매핑된 풀의 주소 수가 실제 그룹의 주소 수보다 적은 경우, 트래픽의 양이 예상보다 많아지면 주소가 부족해질 수 있습니다.

PAT는 단일 주소의 포트를 사용하여 64,000이 넘는 변환을 제공하므로, 이러한 상황이 발생하면 PAT 또는 PAT 대안을 사용하십시오.
매핑된 풀에서 대량의 라우팅 가능한 주소를 사용해야 하는데, 라우팅 가능한 주소는 대량으로 사용 가능하지 않을 수 있습니다.

동적 NAT의 장점은 일부 프로토콜이 PAT를 사용할 수 없다는 것입니다. PAT는 다음과 작동하지 않습니다.

GRE 버전 0과 같이 오버로드할 포트가 없는 IP 프로토콜
한 포트에 데이터 스트림이 있고 다른 포트에 제어 경로가 있으며 개방형 표준이 아닌 일부 멀티미디어 애플리케이션

동적 자동 NAT 구성

동적 자동 NAT 규칙을 사용하여 주소를 대상 네트워크에서 라우팅할 수 있는 서로 다른 IP 주소로 변환합니다.

시작하기 전에

개체를 선택하여 규칙에 필요한 네트워크 개체 또는 그룹을 생성합니다. NAT 규칙을 정의하면서 개체를 생성할 수도 있습니다. 개체는 다음 요건을 충족해야 합니다.

원본 주소 — 이 주소는 그룹이 아닌 네트워크 개체여야 하며 호스트, 범위 또는 서브넷일 수 있습니다.
변환된 주소 — 이 주소는 네트워크 개체 또는 그룹일 수는 있지만 서브넷을 포함할 수는 없습니다. IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 그룹에 범위와 호스트 IP 주소가 모두 포함되어 있으면 범위는 동적 NAT에 사용되고 호스트 IP 주소는 PAT 대안으로 사용됩니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Creat Rule For(규칙 생성) — 자동 NAT를 선택합니다. Type(유형) — 동적을 선택합니다.
단계 4	다음 패킷 변환 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다. 원본 주소 — 변환하는 주소가 포함된 네트워크 개체입니다. 변환된 주소 — 매핑된 주소를 포함하는 네트워크 개체 또는 그룹입니다.
단계 5	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 회신 변환 - DNS 응답의 IP 주소를 변환할지 여부를 선택합니다. 매핑된 인터페이스에서 실제 인터페이스로 이동하는 DNS 응답의 경우 주소(IPv4 A 또는 IPv6 AAAA) 레코드가 매핑된 값에서 실제 값으로 재작성됩니다. 반대로, 실제 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 응답의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 옵션은 특정 상황에서 사용되며, 재작성 시 A 레코드와 AAAA 레코드 간의 변환도 수행되는 NAT64/46 변환에 필요한 경우도 있습니다. 자세한 내용은 NAT를 사용하여 DNS 쿼리 및 응답 재작성를 참조하십시오. 인터페이스 PAT(대상 인터페이스)로 폴스루 - 다른 매핑된 주소가 이미 할당된 경우 대상 인터페이스의 IP 주소를 백업 방법으로 사용할지 여부를 선택합니다(인터페이스 PAT 대체). 이 옵션은 브리지 그룹의 멤버가 아닌 대상 인터페이스를 선택한 경우에만 사용할 수 있습니다.
단계 6	OK(확인)를 클릭합니다.

동적 수동 NAT 구성

자동 NAT가 요구를 충족하지 않을 때는 동적 수동 NAT 규칙을 사용합니다. 대상에 따라 다른 변환을 수행하려는 경우를 예로 들 수 있습니다. 동적 NAT는 주소를 대상 네트워크에서 라우팅할 수 있는 서로 다른 IP 주소로 변환합니다.

시작하기 전에

개체를 선택하여 규칙에 필요한 네트워크 개체 또는 그룹을 생성합니다. 그룹은 IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. NAT 규칙을 정의하면서 개체를 생성할 수도 있습니다. 개체는 다음 요건도 충족해야 합니다.

원본 소스 주소 - 이 주소는 네트워크 개체 또는 그룹일 수 있으며 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 모든 원본 소스 트래픽을 변환하려는 경우 이 단계를 건너뛰고 규칙에서 Any(모두)를 지정하면 됩니다.
변환된 소스 주소 - 이 주소는 네트워크 개체 또는 그룹일 수는 있지만 서브넷을 포함할 수는 없습니다. IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 그룹에 범위와 호스트 IP 주소가 모두 포함되어 있으면 범위는 동적 NAT에 사용되고 호스트 IP 주소는 PAT 대안으로 사용됩니다.

규칙에서 원본 대상 주소 및 변환된 대상 주소에 대해 정적 변환을 구성하는 경우 이러한 주소에 대해 네트워크 개체를 생성할 수도 있습니다.

동적 NAT의 경우 대상에 대해 포트 변환을 수행할 수도 있습니다. 개체 관리자에서 원본 대상 포트 및 변환된 대상 포트에 사용할 수 있는 포트 개체가 있는지 확인합니다. 소스 포트를 지정하면 무시됩니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Create Rule for(규칙 생성) - 수동 NAT를 선택합니다. Rule Placement(규칙 배치) - 규칙을 추가할 위치를 선택합니다. 규칙은 카테고리에서 자동 NAT 규칙 앞이나 뒤에 삽입할 수도 있고, 선택한 규칙 위나 아래에 삽입할 수도 있습니다. Type(유형) - 동적을 선택합니다. 이 설정은 소스 주소에만 적용됩니다. 대상 주소에 대해 변환을 정의하는 경우 변환은 항상 고정입니다.
단계 4	다음 인터페이스 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다.
단계 5	원본 패킷 주소(IPv4 또는 IPv6)를 식별합니다. 이 주소는 원본 패킷에 표시되는 패킷 주소입니다. 원래 패킷 대 변환된 패킷의 예는 다음 그림을 참조하십시오. Original Source Address(원본 소스 주소) - 변환 중인 주소가 포함된 네트워크 개체 또는 그룹입니다. Original Destination Address(원본 대상 주소) - (선택 사항) 대상의 주소를 포함하는 네트워크 개체입니다. 이 옵션을 비워 두면 대상에 관계없이 소스 주소 변환이 적용됩니다. 대상 주소를 지정하면 해당 주소에 대해 고정 변환을 구성할 수도 있고 단순히 ID NAT를 사용할 수도 있습니다. Interface(인터페이스)를 선택하여 소스 인터페이스(Any(모두)일 수 없음)를 기준으로 원본 대상을 지정할 수 있습니다. 이 옵션을 선택할 경우 변환된 대상 개체도 선택해야 합니다. 대상 주소에 대해 포트 변환 고정 인터페이스 NAT를 구현하려면 이 옵션을 선택하고 대상 포트에 대해 적절한 포트 개체도 선택합니다.
단계 6	변환된 패킷 주소(IPv4 또는 IPv6), 즉 대상 인터페이스 네트워크에 나타나는 패킷 주소를 확인합니다. 필요에 따라 IPv4 및 IPv6 간에 변환할 수 있습니다. 변환된 소스 주소 - 매핑된 주소를 포함하는 네트워크 개체 또는 그룹입니다. 변환된 대상 주소 - (선택 사항) 변환된 패킷에서 사용되는 대상 주소를 포함하는 네트워크 개체 또는 그룹입니다. 원본 대상 주소에 대해 개체를 선택한 경우 동일한 개체를 선택하여 ID NAT(변환 없음)를 설정할 수 있습니다.
단계 7	(선택 사항). 서비스 변환용 대상 서비스 포트(Original Destination Port(원본 대상 포트), Translated Destination Port(변환된 대상 포트))를 식별합니다. 동적 NAT는 포트 변환을 지원하지 않으므로 Original Destination Port(원본 대상 포트) 및 Translated Destination Port(변환된 대상 포트) 필드를 비워 둡니다. 그러나 대상 변환은 항상 고정이므로 대상 포트의 포트 변환을 수행할 수 있습니다. NAT는 TCP 또는 UDP만 지원합니다. 포트를 변환할 때는 실제 서비스 개체의 프로토콜과 매핑된 서비스 개체의 프로토콜이 동일해야 합니다(둘 다 TCP거나 둘 다 UDP). ID NAT의 경우 실제 포트와 매핑된 포트에 동일한 서비스 개체를 사용할 수 있습니다.
단계 8	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 회신 변환 - DNS 응답의 IP 주소를 변환할지 여부를 선택합니다. 매핑된 인터페이스에서 실제 인터페이스로 이동하는 DNS 응답의 경우 주소(IPv4 A 또는 IPv6 AAAA) 레코드가 매핑된 값에서 실제 값으로 재작성됩니다. 반대로, 실제 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 응답의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 옵션은 특정 상황에서 사용되며, 재작성 시 A 레코드와 AAAA 레코드 간의 변환도 수행되는 NAT64/46 변환에 필요한 경우도 있습니다. 자세한 내용은 NAT를 사용하여 DNS 쿼리 및 응답 재작성를 참조하십시오. 인터페이스 PAT(대상 인터페이스)로 폴스루 - 다른 매핑된 주소가 이미 할당된 경우 대상 인터페이스의 IP 주소를 백업 방법으로 사용할지 여부를 선택합니다(인터페이스 PAT 대체). 이 옵션은 브리지 그룹의 멤버가 아닌 대상 인터페이스를 선택한 경우에만 사용할 수 있습니다.
단계 9	OK(확인)를 클릭합니다.

동적 PAT

다음 주제에서는 동적 PAT에 대해 설명합니다.

동적 PAT 정보

동적 PAT는 실제 주소 및 소스 포트를 매핑된 주소 및 고유한 포트로 변환함으로써 여러 실제 주소를 단일 매핑된 IP 주소로 변환합니다.

소스 포트는 각 연결에 대해 다르므로 연결마다 별도의 변환 세션이 필요합니다. 예를 들어 10.1.1.1:1025를 사용하려면 10.1.1.1:1026에서 별도로 변환해야 합니다.

다음 그림은 일반적인 동적 PAT 시나리오를 보여줍니다. 실제 호스트만 NAT 세션을 생성할 수 있으며 응답 트래픽이 허용됩니다. 매핑된 주소는 각 변환에 대해 동일하지만 포트는 동적으로 할당됩니다.

액세스 규칙에서 허용하는 경우, 변환 기간 동안 대상 네트워크의 원격 호스트는 변환된 호스트로의 연결을 시작할 수 있습니다. 포트 주소(실제 및 매핑된 주소 모두)는 예측할 수 없으므로 호스트에 대한 연결이 실패할 수 있습니다. 그럼에도 불구하고 이 경우 사용자는 액세스 규칙의 보안에 의존할 수 있습니다.

연결이 만료되면 포트 변환도 만료됩니다.

참고	각 인터페이스에 각기 다른 PAT 풀을 사용하는 것이 좋습니다. 여러 인터페이스에 동일한 풀을 사용하는 경우, 특히 "any" 인터페이스에 동일한 풀을 사용하는 경우에 풀이 빠르게 소진될 수 있어 새 변환에 포트를 사용할 수 없게 됩니다.

동적 PAT의 단점 및 장점

동적 PAT에서는 단일 매핑된 주소를 사용하여 라우팅 가능한 주소를 아낄 수 있습니다. 위협 방지 디바이스 인터페이스 IP 주소를 PAT 주소로서 사용할 수도 있습니다. 그러나 인터페이스의 IPv6 주소에 대해서는 인터페이스 PAT를 사용할 수 없습니다.

같은 브리지 그룹의 인터페이스 간 변환에는 IPv6에 대해 동적 PAT(NAT66)를 사용할 수 없습니다. 이 제한은 브리지 그룹 멤버와 표준 라우팅 인터페이스 간에는 적용되지 않습니다.

데이터 스트림이 제어 경로와 다른 일부 멀티미디어 애플리케이션에서는 동적 PAT가 작동하지 않습니다. 자세한 내용은 검사된 프로토콜에 대한 NAT 지원를 참조하십시오.

동적 PAT는 단일 IP 주소에서 오는 것처럼 보이는 대량의 연결을 생성할 수 있으며, 서버는 이 트래픽을 DoS 공격으로 해석할 수 있습니다.

동적 자동 PAT 구성

동적 자동 PAT 규칙을 사용하여 주소를 여러 IP 주소만으로 변환하는 대신 고유한 IP 주소/포트 조합으로 변환합니다. 단일 주소(대상 인터페이스의 주소 또는 다른 주소)로 변환할 수 있습니다.

시작하기 전에

원본 주소 — 이 주소는 그룹이 아닌 네트워크 개체여야 하며 호스트, 범위 또는 서브넷일 수 있습니다.
변환된 주소 - 다음 옵션을 사용하여 PAT 주소를 지정할 수 있습니다.
- 대상 인터페이스 - 대상 인터페이스 IPv4 주소를 사용하려는 경우 네트워크 개체가 필요하지 않습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 단일 PAT 주소 - 단일 호스트를 포함하는 네트워크 개체를 생성합니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Creat Rule For(규칙 생성) — 자동 NAT를 선택합니다. Type(유형) — 동적을 선택합니다.
단계 4	다음 패킷 변환 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다. 원본 주소 — 변환하는 주소가 포함된 네트워크 개체입니다. 변환된 주소 - 다음 중 하나입니다. (인터페이스 PAT) 대상 인터페이스의 IPv4 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다. 대상 인터페이스 주소가 아닌 단일 주소를 사용하려면 이러한 용도로 생성한 호스트 네트워크 개체를 선택합니다.
단계 5	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 인터페이스 PAT(대상 인터페이스)로 폴스루 - 다른 매핑된 주소가 이미 할당된 경우 대상 인터페이스의 IP 주소를 백업 방법으로 사용할지 여부를 선택합니다(인터페이스 PAT 대체). 이 옵션은 브리지 그룹의 멤버가 아닌 대상 인터페이스를 선택한 경우에만 사용할 수 있습니다. 인터페이스 PAT를 변환된 주소로 이미 컨피그레이션한 경우에는 이 옵션을 선택할 수 없습니다. 또한 IPv6 네트워크에서는 이 옵션을 사용할 수 없습니다.
단계 6	OK(확인)를 클릭합니다.

동적 수동 PAT 구성

자동 PAT가 요구를 충족하지 않을 때는 동적 수동 PAT 규칙을 사용합니다. 대상에 따라 다른 변환을 수행하려는 경우를 예로 들 수 있습니다. 동적 PAT는 주소를 여러 IP 주소만으로 변환하는 대신 고유한 IP 주소/포트 조합으로 변환합니다. 단일 주소(대상 인터페이스의 주소 또는 다른 주소)로 변환할 수 있습니다.

시작하기 전에

원본 소스 주소 - 이 주소는 네트워크 개체 또는 그룹일 수 있으며 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 모든 원본 소스 트래픽을 변환하려는 경우 이 단계를 건너뛰고 규칙에서 Any(모두)를 지정하면 됩니다.
변환된 소스 주소 - 다음 옵션을 사용하여 PAT 주소를 지정할 수 있습니다.
- 대상 인터페이스 - 대상 인터페이스 IPv4 주소를 사용하려는 경우 네트워크 개체가 필요하지 않습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 단일 PAT 주소 - 단일 호스트를 포함하는 네트워크 개체를 생성합니다.

규칙에서 원본 대상 주소 및 변환된 대상 주소에 대해 정적 변환을 구성하는 경우 이러한 주소에 대해 네트워크 개체를 생성할 수도 있습니다.

동적 PAT의 경우 대상에 대해 포트 변환을 수행할 수도 있습니다. 개체 관리자에서 원본 대상 포트 및 변환된 대상 포트에 사용할 수 있는 포트 개체가 있는지 확인합니다. 소스 포트를 지정하면 무시됩니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Create Rule for(규칙 생성) - 수동 NAT를 선택합니다. Rule Placement(규칙 배치) - 규칙을 추가할 위치를 선택합니다. 규칙은 카테고리에서 자동 NAT 규칙 앞이나 뒤에 삽입할 수도 있고, 선택한 규칙 위나 아래에 삽입할 수도 있습니다. Type(유형) - 동적을 선택합니다. 이 설정은 소스 주소에만 적용됩니다. 대상 주소에 대해 변환을 정의하는 경우 변환은 항상 고정입니다.
단계 4	다음 인터페이스 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다.
단계 5	원본 패킷 주소(IPv4 또는 IPv6)를 식별합니다. 이 주소는 원본 패킷에 표시되는 패킷 주소입니다. 원래 패킷 대 변환된 패킷의 예는 다음 그림을 참조하십시오. Original Source Address(원본 소스 주소) - 변환 중인 주소가 포함된 네트워크 개체 또는 그룹입니다. Original Destination Address(원본 대상 주소) - (선택 사항) 대상의 주소를 포함하는 네트워크 개체입니다. 이 옵션을 비워 두면 대상에 관계없이 소스 주소 변환이 적용됩니다. 대상 주소를 지정하면 해당 주소에 대해 고정 변환을 구성할 수도 있고 단순히 ID NAT를 사용할 수도 있습니다. Interface(인터페이스)를 선택하여 소스 인터페이스(Any(모두)일 수 없음)를 기준으로 원본 대상을 지정할 수 있습니다. 이 옵션을 선택할 경우 변환된 대상 개체도 선택해야 합니다. 대상 주소에 대해 포트 변환 고정 인터페이스 NAT를 구현하려면 이 옵션을 선택하고 대상 포트에 대해 적절한 포트 개체도 선택합니다.
단계 6	변환된 패킷 주소(IPv4 또는 IPv6), 즉 대상 인터페이스 네트워크에 나타나는 패킷 주소를 확인합니다. 필요에 따라 IPv4 및 IPv6 간에 변환할 수 있습니다. 변환된 소스 주소 - 다음 중 하나입니다. (인터페이스 PAT) 대상 인터페이스의 IPv4 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다. 대상 인터페이스 주소가 아닌 단일 주소를 사용하려면 이러한 용도로 생성한 호스트 네트워크 개체를 선택합니다. 변환된 대상 주소 - (선택 사항) 변환된 패킷에서 사용되는 대상 주소를 포함하는 네트워크 개체 또는 그룹입니다. 원본 대상에 대해 개체를 선택한 경우 동일한 개체를 선택하여 ID NAT(변환 없음)를 설정할 수 있습니다.
단계 7	(선택 사항). 서비스 변환용 대상 서비스 포트(Original Destination Port(원본 대상 포트), Translated Destination Port(변환된 대상 포트))를 식별합니다. 동적 NAT는 포트 변환을 지원하지 않으므로 Original Destination Port(원본 대상 포트) 및 Translated Destination Port(변환된 대상 포트) 필드를 비워 둡니다. 그러나 대상 변환은 항상 고정이므로 대상 포트의 포트 변환을 수행할 수 있습니다. NAT는 TCP 또는 UDP만 지원합니다. 포트를 변환할 때는 실제 서비스 개체의 프로토콜과 매핑된 서비스 개체의 프로토콜이 동일해야 합니다(둘 다 TCP거나 둘 다 UDP). ID NAT의 경우 실제 포트와 매핑된 포트에 동일한 서비스 개체를 사용할 수 있습니다.
단계 8	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 인터페이스 PAT(대상 인터페이스)로 폴스루 - 다른 매핑된 주소가 이미 할당된 경우 대상 인터페이스의 IP 주소를 백업 방법으로 사용할지 여부를 선택합니다(인터페이스 PAT 대체). 이 옵션은 브리지 그룹의 멤버가 아닌 대상 인터페이스를 선택한 경우에만 사용할 수 있습니다. 인터페이스 PAT를 변환된 주소로 이미 컨피그레이션한 경우에는 이 옵션을 선택할 수 없습니다. 또한 IPv6 네트워크에서는 이 옵션을 사용할 수 없습니다.
단계 9	OK(확인)를 클릭합니다.

고정 NAT

다음 주제에서는 고정 NAT 및 고정 NAT를 구현하는 방법에 대해 설명합니다.

고정 NAT 정보

고정 NAT는 실제 주소에서 매핑된 주소로의 고정된 변환을 생성합니다. 매핑된 주소는 각각의 연속 연결에 대해 동일하므로 NAT는 양방향 연결 시작을 허용합니다. 이를 허용하는 액세스 규칙이 있는 경우 호스트에서 나가기도 하고 호스트로 들어오기도 합니다. 반면 동적 NAT 및 PAT의 경우, 각 호스트는 각 후속 변환에 대해 서로 다른 주소 또는 포트를 사용하므로 양방향 시작이 지원되지 않습니다.

다음 그림은 일반적인 고정 NAT 시나리오를 보여줍니다. 변환이 항상 활성 상태이므로 실제 호스트와 원격 호스트 모두 연결을 시작할 수 있습니다.

포트 변환 고정 NAT

포트 변환 고정 NAT를 사용하면 실제 및 매핑된 프로토콜과 포트를 지정할 수 있습니다.

고정 NAT로 포트를 지정하는 경우 포트 및/또는 IP 주소를 동일한 값으로 매핑할지 아니면 다른 값으로 매핑할지를 선택할 수 있습니다.

다음 그림은 자신에게 매핑되는 포트와 다른 값으로 매핑되는 포트 모두를 보여주는 포트 변환 시나리오의 일반적인 고정 NAT를 보여줍니다. 두 경우 모두 IP 주소는 다른 값으로 매핑됩니다. 변환이 항상 활성 상태이므로 변환된 호스트와 원격 호스트 모두 연결을 시작할 수 있습니다.

포트 변환 고정 NAT 규칙은 지정된 포트에 대해서만 대상 IP 주소 액세스를 제한합니다. NAT 규칙이 적용되지 않는 다른 포트에서 대상 IP 주소에 액세스를 시도하면 연결은 차단됩니다. 또한 수동 NAT의 경우 NAT 규칙의 소스 IP 주소와 일치하지 않는 트래픽은 대상 포트와 관계없이 대상 IP 주소와 일치하는 경우 삭제됩니다. 그러므로 대상 IP 주소에 대해 허용되는 기타 모든 트래픽을 위한 규칙을 더 추가해야 합니다. 예를 들어 포트 사양 없이 IP 주소용 고정 NAT 규칙을 구성하여 포트 변환 규칙 뒤에 배치할 수 있습니다.

참고	보조 채널(예: FTP 및 VoIP)에 대해 애플리케이션 검사를 요구하는 애플리케이션의 경우 NAT에서는 자동으로 보조 포트를 변환합니다.

포트 변환 고정 NAT의 몇 가지 다른 사용 방식은 다음과 같습니다.

ID 포트 변환 고정 NAT: 내부 리소스에 대한 외부 액세스를 간소화할 수 있습니다. 예를 들어, FTP, HTTP, SMTP 등 각기 다른 포트에서 서비스를 제공하는 개별 서버 3개가 있는 경우 외부 사용자에게 해당 서비스 액세스를 위한 단일 IP 주소를 제공할 수 있습니다. 그런 후에 외부 사용자들이 액세스하려는 포트를 기준으로 하여 실제 서버의 올바른 IP 주소에 단일 외부 IP 주소를 매핑하도록 ID 포트 변환 고정 NAT를 구성할 수 있습니다. 이러한 서버는 표준 포트(각각 21, 80, 25)를 사용하므로 포트를 변경할 필요는 없습니다.
비표준 포트에 대한 포트 변환 고정 NAT: 잘 알려진 포트를 비표준 포트로 또는 그 반대로 변환하려는 경우에도 포트 변환 고정 NAT를 사용할 수 있습니다. 예를 들어 내부 웹 서버가 포트 8080을 사용하는 경우 외부 사용자가 포트 80에 연결하도록 허용한 다음 원본 포트 8080으로의 변환을 취소할 수 있습니다. 마찬가지로, 보안을 강화하려면 웹 사용자에게 비표준 포트 6785로 연결하도록 안내한 다음 포트 80으로의 변환을 취소할 수 있습니다.
포트 변환 고정 인터페이스 NAT: 실제 주소를 인터페이스 주소/포트 조합으로 매핑하도록 고정 NAT를 구성할 수 있습니다. 예를 들어 디바이스의 외부 인터페이스에 대한 텔넷 액세스를 내부 호스트로 리디렉션하려는 경우 내부 호스트 IP 주소/포트 23을 외부 인터페이스 주소/포트 23에 매핑할 수 있습니다.

일대다 고정 NAT

일반적으로 NAT는 일대일 매핑으로 구성합니다. 그러나 경우에 따라 여러 매핑된 주소에 대해 단일 실제 주소를 구성해야 할 수도 있습니다(일대다). 일대다 고정 NAT를 구성할 경우, 실제 호스트가 트래픽을 시작하면 항상 첫 번째 매핑된 주소를 사용합니다. 그러나 호스트에 대해 시작된 트래픽의 경우, 매핑된 주소 중 하나에 대해 트래픽을 시작할 수 있습니다. 이러한 주소는 단일 실제 주소로 변환되지 않습니다.

다음 그림은 일반적인 일대다 고정 NAT 시나리오를 보여줍니다. 실제 호스트에 의한 시작은 항상 첫 번째 매핑된 주소를 사용하므로, 실제 호스트 IP/첫 번째 매핑된 IP의 변환이 기술적으로 유일한 양방향 변환입니다.

예를 들어 10.1.2.27에 로드 밸런서가 있으면, 요청된 URL에 따라 트래픽이 올바른 웹 서버로 리디렉션됩니다.

기타 매핑 시나리오(권장되지 않음)

NAT에서는 일대일, 일대다, 소수대다수, 다수대소수, 다대일 등 모든 종류의 고정 매핑 시나리오를 유연하게 허용합니다. 그러나 일대일 또는 일대다 매핑만 사용하는 것이 좋습니다. 다른 매핑 옵션을 사용할 경우 예기치 않은 결과가 발생할 수 있습니다.

소수대다수는 기능상 일대다와 같지만, 구성이 좀 더 복잡하고 실제 매핑이 한눈에 명확히 파악되지 않을 수 있으므로 필요한 경우 각 실제 주소에 대해 일대다 구성을 만드는 것이 좋습니다. 소수대다수 시나리오에서는 소수의 실제 주소가 다수의 매핑된 주소로 순서대로 매핑됩니다(A-1, B-2, C-3). 모든 실제 주소가 매핑되면 다음의 매핑된 주소는 첫 번째 실제 주소로 매핑되며, 모든 매핑된 주소가 매핑될 때까지 같은 방식이 반복됩니다(A-4, B-5, C-6). 그 결과 각 실제 주소에 다수의 매핑된 주소가 연결됩니다. 일대다 구성의 경우와 마찬가지로 첫 번째 매핑만 양방향이고 이후 매핑에서는 실제 호스트로만 트래픽이 시작되고, 실제 호스트로부터의 모든 트래픽은 소스에 대해 첫 번째 매핑된 주소만 사용합니다.

다음 그림은 일반적인 소수대다수 고정 NAT 시나리오를 보여줍니다.

매핑된 주소보다 실제 주소가 더 많은 다수대소수 또는 다대일 컨피그레이션의 경우, 실제 주소가 소진되기 전에 매핑된 주소가 소진됩니다. 가장 낮은 실제 IP 주소와 매핑된 풀 간의 매핑만 양방향 시작이 가능합니다. 나머지 더 높은 실제 주소는 트래픽을 시작할 수 있지만 이러한 주소로 트래픽이 시작될 수는 없습니다. 연결에 대한 고유한 5튜플(소스/대상 IP 주소, 소스/대상 포트 및 프로토콜) 때문에 연결에 대한 반환 트래픽은 정확한 실제 주소로 전달됩니다.

참고	다수대소수 또는 다대일 NAT는 PAT가 아닙니다. 두 개의 실제 호스트가 동일한 소스 포트 번호를 사용하고 동일한 외부 서버 및 동일한 TCP 대상 포트로 이동하며 두 호스트가 동일한 IP 주소로 변환되면, 주소 충돌 때문에(5튜플이 고유하지 않음) 두 연결이 재설정됩니다.

다음 그림은 일반적인 다수대소수 고정 NAT 시나리오를 보여줍니다.

고정 규칙을 이 방식으로 사용하는 대신, 양방향 시작이 필요한 트래픽에 대해 일대일 규칙을 만든 다음 나머지 주소에 대해 동적 규칙을 만드는 방식을 권장합니다.

고정 자동 NAT 구성

고정 자동 NAT 규칙을 사용하여 주소를 대상 네트워크에서 라우팅할 수 있는 서로 다른 IP 주소로 변환합니다. 또한 고정 NAT 규칙을 사용하여 포트 변환을 수행할 수도 있습니다.

시작하기 전에

원본 주소 — 이 주소는 그룹이 아닌 네트워크 개체여야 하며 호스트, 범위 또는 서브넷일 수 있습니다.
변환된 주소 - 다음 옵션을 사용하여 변환된 주소를 지정할 수 있습니다.
- 대상 인터페이스 - 대상 인터페이스 IPv4 주소를 사용하려는 경우 네트워크 개체가 필요하지 않습니다. 이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 주소 - 호스트, 범위 또는 서브넷이 포함된 네트워크 개체 또는 그룹을 생성합니다. 그룹은 IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Creat Rule For(규칙 생성) — 자동 NAT를 선택합니다. Type(유형) - 고정을 선택합니다.
단계 4	다음 패킷 변환 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다. 원본 주소 — 변환하는 주소가 포함된 네트워크 개체입니다. 변환된 주소 - 다음 중 하나입니다. 설정된 주소 그룹을 사용하려면 매핑된 주소를 포함하는 네트워크 개체 또는 그룹을 선택합니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다. (포트 변환 기능이 있는 고정 인터페이스 NAT) 대상 인터페이스의 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. (선택 사항). 원 포트, 변환된 포트 - TCP 또는 UDP 포트를 변환해야 하는 경우 원 포트와 변환된 포트를 정의하는 포트 개체를 선택합니다. 이 경우 동일한 프로토콜의 개체를 선택해야 합니다. 개체가 아직 없으면 새 개체 생성 링크를 클릭합니다. 예를 들어, 필요에 따라 TCP/80을 TCP/8080으로 변환할 수 있습니다.
단계 5	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 회신 변환 -DNS 응답의 IP 주소를 변환할지 여부를 선택합니다. 매핑된 인터페이스에서 실제 인터페이스로 이동하는 DNS 응답의 경우 주소(IPv4 A 또는 IPv6 AAAA) 레코드가 매핑된 값에서 실제 값으로 재작성됩니다. 반대로, 실제 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 응답의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 옵션은 특정 상황에서 사용되며, 재작성 시 A 레코드와 AAAA 레코드 간의 변환도 수행되는 NAT64/46 변환에 필요한 경우도 있습니다. 자세한 내용은 NAT를 사용하여 DNS 쿼리 및 응답 재작성를 참조하십시오. 포트 변환을 수행하는 경우에는 이 옵션을 사용할 수 없습니다. 대상 인터페이스에서 ARP 프록시 설정 안 함 - 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다. 일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다.
단계 6	OK(확인)를 클릭합니다.

고정 수동 NAT 구성

자동 NAT가 요구를 충족하지 않을 때는 고정 수동 NAT 규칙을 사용합니다. 대상에 따라 다른 변환을 수행하려는 경우를 예로 들 수 있습니다. 고정 NAT는 주소를 대상 네트워크에서 라우팅할 수 있는 서로 다른 IP 주소로 변환합니다. 또한 고정 NAT 규칙을 사용하여 포트 변환을 수행할 수도 있습니다.

시작하기 전에

원본 소스 주소 - 이 주소는 네트워크 개체 또는 그룹일 수 있으며 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 모든 원본 소스 트래픽을 변환하려는 경우 이 단계를 건너뛰고 규칙에서 Any(모두)를 지정하면 됩니다.
변환된 소스 주소 - 다음 옵션을 사용하여 변환된 주소를 지정할 수 있습니다.
- 대상 인터페이스 - 대상 인터페이스 IPv4 주소를 사용하려는 경우 네트워크 개체가 필요하지 않습니다. 이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 주소 - 호스트, 범위 또는 서브넷이 포함된 네트워크 개체 또는 그룹을 생성합니다. 그룹은 IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다.

규칙에서 원본 대상 주소 및 변환된 대상 주소에 대해 정적 변환을 구성하는 경우 이러한 주소에 대해 네트워크 개체를 생성할 수도 있습니다. 포트 변환 대상 고정 인터페이스 NAT만 구성하려면 대상 매핑된 주소에 대한 개체 추가를 건너뛰고 규칙에서 인터페이스를 지정할 수 있습니다.

소스나 대상 또는 둘 다에 대해 포트 변환을 수행할 수도 있습니다. 개체 관리자에서 원본 및 변환된 포트에 사용할 수 있는 포트 개체가 있는지 확인합니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Create Rule for(규칙 생성) - 수동 NAT를 선택합니다. Rule Placement(규칙 배치) - 규칙을 추가할 위치를 선택합니다. 규칙은 카테고리에서 자동 NAT 규칙 앞이나 뒤에 삽입할 수도 있고, 선택한 규칙 위나 아래에 삽입할 수도 있습니다. Type(유형) - 고정을 선택합니다. 이 설정은 소스 주소에만 적용됩니다. 대상 주소에 대해 변환을 정의하는 경우 변환은 항상 고정입니다.
단계 4	다음 인터페이스 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다.
단계 5	원본 패킷 주소(IPv4 또는 IPv6)를 식별합니다. 이 주소는 원본 패킷에 표시되는 패킷 주소입니다. 원래 패킷 대 변환된 패킷의 예는 다음 그림을 참조하십시오. Original Source Address(원본 소스 주소) - 변환 중인 주소가 포함된 네트워크 개체 또는 그룹입니다. Original Destination Address(원본 대상 주소) - (선택 사항) 대상의 주소를 포함하는 네트워크 개체입니다. 이 옵션을 비워 두면 대상에 관계없이 소스 주소 변환이 적용됩니다. 대상 주소를 지정하면 해당 주소에 대해 고정 변환을 구성할 수도 있고 단순히 ID NAT를 사용할 수도 있습니다. Interface(인터페이스)를 선택하여 소스 인터페이스(Any(모두)일 수 없음)를 기준으로 원본 대상을 지정할 수 있습니다. 이 옵션을 선택할 경우 변환된 대상 개체도 선택해야 합니다. 대상 주소에 대해 포트 변환 고정 인터페이스 NAT를 구현하려면 이 옵션을 선택하고 대상 포트에 대해 적절한 포트 개체도 선택합니다.
단계 6	변환된 패킷 주소(IPv4 또는 IPv6), 즉 대상 인터페이스 네트워크에 나타나는 패킷 주소를 확인합니다. 필요에 따라 IPv4 및 IPv6 간에 변환할 수 있습니다. 변환된 소스 주소 - 다음 중 하나입니다. 설정된 주소 그룹을 사용하려면 매핑된 주소를 포함하는 네트워크 개체 또는 그룹을 선택합니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다. (포트 변환 기능이 있는 고정 인터페이스 NAT) 대상 인터페이스의 IPv4 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. 이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다. 변환된 대상 주소 - (선택 사항) 변환된 패킷에서 사용되는 대상 주소를 포함하는 네트워크 개체 또는 그룹입니다. 원본 대상에 대해 개체를 선택한 경우 동일한 개체를 선택하여 ID NAT(변환 없음)를 설정할 수 있습니다.
단계 7	(선택 사항). 서비스 변환의 원본 또는 대상 서비스 포트를 식별합니다. 포트 변환 고정 NAT를 구성하는 경우 소스나 대상 또는 둘 다에 대해 포트를 변환할 수 있습니다. 예를 들어 TCP/80과 TCP/8080 간에 변환할 수 있습니다. NAT는 TCP 또는 UDP만 지원합니다. 포트를 변환할 때는 실제 서비스 개체의 프로토콜과 매핑된 서비스 개체의 프로토콜이 동일해야 합니다(둘 다 TCP거나 둘 다 UDP). ID NAT의 경우 실제 포트와 매핑된 포트에 동일한 서비스 개체를 사용할 수 있습니다. 원본 소스 포트, 변환된 소스 포트 - 소스 주소에 대한 포트 변환을 정의합니다. 원본 대상 포트, 변환된 대상 포트 - 대상 주소에 대한 포트 변환을 정의합니다.
단계 8	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 회신 변환 -DNS 응답의 IP 주소를 변환할지 여부를 선택합니다. 매핑된 인터페이스에서 실제 인터페이스로 이동하는 DNS 응답의 경우 주소(IPv4 A 또는 IPv6 AAAA) 레코드가 매핑된 값에서 실제 값으로 재작성됩니다. 반대로, 실제 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 응답의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 옵션은 특정 상황에서 사용되며, 재작성 시 A 레코드와 AAAA 레코드 간의 변환도 수행되는 NAT64/46 변환에 필요한 경우도 있습니다. 자세한 내용은 NAT를 사용하여 DNS 쿼리 및 응답 재작성를 참조하십시오. 포트 변환을 수행하는 경우에는 이 옵션을 사용할 수 없습니다. 대상 인터페이스에서 ARP 프록시 설정 안 함 - 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다. 일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다.
단계 9	OK(확인)를 클릭합니다.

ID NAT

IP 주소를 자신으로 변환해야 하는 NAT 구성이 있을 수 있습니다. 예를 들어 NAT를 모든 네트워크에 적용하는 광범위한 규칙을 만들되 NAT에서 하나의 네트워크만 제외하고 싶은 경우, 주소를 자신으로 변환하는 고정 NAT 규칙을 만들 수 있습니다.

다음 그림은 일반적인 ID NAT 시나리오를 보여줍니다.

다음 주제에서는 ID NAT를 구성하는 방법을 설명합니다.

ID 자동 NAT 구성

주소 변환을 방지하려면 고정 ID 자동 NAT 규칙을 사용합니다. 이 경우 주소가 자체로 변환됩니다.

시작하기 전에

원본 주소 — 이 주소는 그룹이 아닌 네트워크 개체여야 하며 호스트, 범위 또는 서브넷일 수 있습니다.
변환된 주소 - 원본 소스 개체와 내용이 정확히 동일한 네트워크 개체 또는 그룹입니다. 동일한 개체를 사용할 수 있습니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Creat Rule For(규칙 생성) — 자동 NAT를 선택합니다. Type(유형) - 고정을 선택합니다.
단계 4	다음 패킷 변환 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다. 원본 주소 — 변환하는 주소가 포함된 네트워크 개체입니다. 변환된 주소 - 원본 소스와 동일한 개체입니다. 원하는 경우 콘텐츠가 정확히 동일한 다른 개체를 선택할 수 있습니다. ID NAT의 경우에는 원본 포트 및 변환된 포트 옵션을 구성하지 마십시오.
단계 5	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 응답 변환 - ID NAT의 경우에는 이 옵션을 구성하지 마십시오. 대상 인터페이스에서 ARP 프록시 설정 안 함 - 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다. 일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다. 대상 인터페이스에 대해 경로 조회 수행 - 원본 및 변환된 소스 주소에 대해 동일한 개체를 선택할 때 소스 및 대상 인터페이스를 선택하는 경우 이 옵션을 선택하면 시스템이 NAT 규칙에 구성된 대상 인터페이스를 사용하는 대신 라우팅 테이블을 기준으로 하여 대상 인터페이스를 결정하도록 할 수 있습니다.
단계 6	OK(확인)를 클릭합니다.

ID 수동 NAT 구성

자동 NAT가 요구를 충족하지 않을 때는 고정 ID 수동 NAT 규칙을 사용합니다. 대상에 따라 다른 변환을 수행하려는 경우를 예로 들 수 있습니다. 주소 변환을 방지하려면 고정 ID NAT 규칙을 사용합니다. 이 경우 주소가 자체로 변환됩니다.

시작하기 전에

원본 소스 주소 - 이 주소는 네트워크 개체 또는 그룹일 수 있으며 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 모든 원본 소스 트래픽을 변환하려는 경우 이 단계를 건너뛰고 규칙에서 Any(모두)를 지정하면 됩니다.
변환된 소스 주소 - 원본 소스와 동일한 개체입니다. 원하는 경우 콘텐츠가 정확히 동일한 다른 개체를 선택할 수 있습니다.

소스나 대상 또는 둘 다에 대해 포트 변환을 수행할 수도 있습니다. 개체 관리자에서 원본 및 변환된 포트에 사용할 수 있는 포트 개체가 있는지 확인합니다. ID NAT에 대해 동일한 개체를 사용할 수 있습니다.

프로시저

단계 1	Policies(정책) > NAT를 선택합니다.
단계 2	다음 중 하나를 수행합니다. 새 규칙을 생성하려면 + 버튼을 클릭합니다. 기존 규칙을 수정하려면 해당 규칙의 수정 아이콘()을 클릭합니다. 더 이상 필요하지 않은 규칙을 삭제하려면 해당 규칙의 휴지통 아이콘을 클릭합니다.
단계 3	기본 규칙 옵션을 구성합니다. Title(제목) — 규칙의 이름을 입력합니다. Create Rule for(규칙 생성) - 수동 NAT를 선택합니다. Rule Placement(규칙 배치) - 규칙을 추가할 위치를 선택합니다. 규칙은 카테고리에서 자동 NAT 규칙 앞이나 뒤에 삽입할 수도 있고, 선택한 규칙 위나 아래에 삽입할 수도 있습니다. Type(유형) - 고정을 선택합니다. 이 설정은 소스 주소에만 적용됩니다. 대상 주소에 대해 변환을 정의하는 경우 변환은 항상 고정입니다.
단계 4	다음 인터페이스 옵션을 구성합니다. 소스 인터페이스, 대상 인터페이스 — (브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다.
단계 5	원본 패킷 주소(IPv4 또는 IPv6)를 식별합니다. 이 주소는 원본 패킷에 표시되는 패킷 주소입니다. 원래 패킷 대 변환된 패킷의 예는 다음 그림을 참조하십시오. 여기서 내부 호스트에 대해서는 ID NAT를 수행하지만 외부 호스트는 변환합니다. Original Source Address(원본 소스 주소) - 변환 중인 주소가 포함된 네트워크 개체 또는 그룹입니다. Original Destination Address(원본 대상 주소) - (선택 사항) 대상의 주소를 포함하는 네트워크 개체입니다. 이 옵션을 비워 두면 대상에 관계없이 소스 주소 변환이 적용됩니다. 대상 주소를 지정하면 해당 주소에 대해 고정 변환을 구성할 수도 있고 단순히 ID NAT를 사용할 수도 있습니다. 인터페이스를 선택하여 소스 인터페이스(임의일 수 없음)를 기준으로 원본 대상을 지정할 수 있습니다. 이 옵션을 선택할 경우 변환된 대상 개체도 선택해야 합니다. 대상 주소에 대해 포트 변환 고정 인터페이스 NAT를 구현하려면 이 옵션을 선택하고 대상 포트에 대해 적절한 포트 개체도 선택합니다.
단계 6	변환된 패킷 주소(IPv4 또는 IPv6), 즉 대상 인터페이스 네트워크에 나타나는 패킷 주소를 확인합니다. 필요에 따라 IPv4 및 IPv6 간에 변환할 수 있습니다. 변환된 소스 주소 - 원본 소스와 동일한 개체입니다. 원하는 경우 콘텐츠가 정확히 동일한 다른 개체를 선택할 수 있습니다. 변환된 대상 주소 - (선택 사항) 변환된 패킷에서 사용되는 대상 주소를 포함하는 네트워크 개체 또는 그룹입니다. 원본 대상 주소에 대해 개체를 선택한 경우 동일한 개체를 선택하여 ID NAT(변환 없음)를 설정할 수 있습니다.
단계 7	(선택 사항). 서비스 변환의 원본 또는 대상 서비스 포트를 식별합니다. 포트 변환 고정 NAT를 구성하는 경우 소스나 대상 또는 둘 다에 대해 포트를 변환할 수 있습니다. 예를 들어 TCP/80과 TCP/8080 간에 변환할 수 있습니다. NAT는 TCP 또는 UDP만 지원합니다. 포트를 변환할 때는 실제 서비스 개체의 프로토콜과 매핑된 서비스 개체의 프로토콜이 동일해야 합니다(둘 다 TCP거나 둘 다 UDP). ID NAT의 경우 실제 포트와 매핑된 포트에 동일한 서비스 개체를 사용할 수 있습니다. 원본 소스 포트, 변환된 소스 포트 - 소스 주소에 대한 포트 변환을 정의합니다. 원본 대상 포트, 변환된 대상 포트 - 대상 주소에 대한 포트 변환을 정의합니다.
단계 8	(선택 사항). 고급 옵션 링크를 클릭하고 원하는 옵션을 선택합니다. 이 규칙과 일치하는 DNS 응답 변환 - ID NAT의 경우에는 이 옵션을 구성하지 마십시오. 대상 인터페이스에서 ARP 프록시 설정 안 함 - 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다. 일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다. 대상 인터페이스에 대해 경로 조회 수행 - 원본 및 변환된 소스 주소에 대해 동일한 개체를 선택할 때 소스 및 대상 인터페이스를 선택하는 경우 이 옵션을 선택하면 시스템이 NAT 규칙에 구성된 대상 인터페이스를 사용하는 대신 라우팅 테이블을 기준으로 하여 대상 인터페이스를 결정하도록 할 수 있습니다.
단계 9	OK(확인)를 클릭합니다.

Threat Defense NAT 규칙 속성

NAT(네트워크 주소 변환) 규칙을 사용하여 IP 주소를 다른 IP 주소로 변환합니다. 일반적으로는 NAT 규칙을 사용하여 전용 어드레스를 공개적으로 라우팅 가능한 주소로 변환합니다. 변환을 주소 간에 수행할 수도 있고, PAT(포트 주소 변환)를 사용해 여러 주소를 하나의 주소로 변환하고 포트 번호를 사용해 각 소스 주소를 구분할 수도 있습니다.

NAT 규칙은 다음 기본 속성을 포함합니다. 이러한 속성은 별도로 명시된 경우를 제외하면 자동 NAT 및 수동 NAT 규칙에 대해 동일합니다.

직책: 규칙의 이름을 입력합니다. 이름은 공백을 포함할 수 없습니다.
규칙 생성: 변환 규칙이 자동 NAT인지 아니면 수동 NAT인지를 나타냅니다. 자동 NAT는 수동 NAT보다 간단하지만, 수동 NAT를 수행하는 경우에는 대상 주소를 기준으로 하여 소스 주소에 대해 별도의 변환을 생성할 수 있습니다.
상태: 규칙을 활성화할지 아니면 비활성화할지를 나타냅니다.
배치(수동 NAT에만 해당함): 규칙을 추가할 위치를 선택합니다. 규칙은 카테고리에서 자동 NAT 규칙 앞이나 뒤에 삽입할 수도 있고, 선택한 규칙 위나 아래에 삽입할 수도 있습니다.
유형: 변환 규칙이 동적인지 아니면 정적인지를 나타냅니다. 동적 변환에서는 주소 풀에서 매핑된 주소를 자동으로 선택하며, PAT를 구현할 때는 주소/포트 조합을 선택합니다. 매핑된 주소/포트를 정확하게 정의하려면 정적 변환을 사용하십시오.

다음 주제에서는 나머지 NAT 규칙 속성에 대해 설명합니다.

자동 NAT의 패킷 변환 속성

패킷 변환 옵션을 사용하여 소스 주소와 매핑된 변환 주소를 정의합니다. 다음 속성은 자동 NAT에만 적용됩니다.

소스 인터페이스, 대상 인터페이스

(브리지 그룹 멤버 인터페이스의 경우 필수) 이 NAT 규칙을 적용할 인터페이스입니다. Source(소스)는 트래픽이 디바이스로 들어가는 데 사용되는 실제 인터페이스입니다. Destination(대상)은 트래픽이 디바이스에서 나오는 데 사용되는 매핑된 인터페이스입니다. 기본적으로 규칙은 브리지 그룹 멤버 인터페이스를 제외한 모든 인터페이스(Any(모두))에 적용됩니다.

원본 주소(항상 필수)

변환 중인 소스 주소를 포함하는 네트워크 개체입니다. 그룹이 아닌 네트워크 개체여야 하며, 호스트, 범위 또는 서브넷일 수 있습니다.

변환된 주소(대개 필수)

원본 주소를 변환하는 매핑된 주소입니다. 여기서 선택하는 항목에 따라 정의하는 변환 규칙의 유형이 달라집니다.

동적 NAT - 매핑된 주소를 포함하는 네트워크 개체 또는 그룹입니다. 네트워크 개체 또는 그룹일 수 있지만 서브넷을 포함할 수는 없습니다. IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 그룹에 범위와 호스트 IP 주소가 모두 포함되어 있으면 범위는 동적 NAT에 사용되고 호스트 IP 주소는 PAT 대안으로 사용됩니다.
동적 PAT - 다음 중 하나입니다.
- (인터페이스 PAT) 대상 인터페이스의 IPv4 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 대상 인터페이스 주소가 아닌 단일 주소를 사용하려면 이러한 용도로 생성한 호스트 네트워크 개체를 선택합니다.
고정 NAT - 다음 중 하나입니다.
- 설정된 주소 그룹을 사용하려면 매핑된 주소를 포함하는 네트워크 개체 또는 그룹을 선택합니다. 개체 또는 그룹은 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다.
- (포트 변환 기능이 있는 고정 인터페이스 NAT) 대상 인터페이스의 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. 이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
ID NAT - 원본 소스와 동일한 개체입니다. 원하는 경우 콘텐츠가 정확히 동일한 다른 개체를 선택할 수 있습니다.

원본 포트, 변환된 포트(고정 NAT에만 해당됨)

TCP 또는 UDP 포트를 변환해야 하는 경우 원본 포트와 변환된 포트를 정의하는 포트 개체를 선택합니다. 이 경우 동일한 프로토콜의 개체를 선택해야 합니다. 예를 들어, 필요에 따라 TCP/80을 TCP/8080으로 변환할 수 있습니다.

수동 NAT의 패킷 변환 속성

패킷 변환 옵션을 사용하여 소스 주소와 매핑된 변환 주소를 정의합니다. 다음 속성은 수동 NAT에만 적용됩니다. 별도로 표시된 항목을 제외한 모든 항목은 선택 사항입니다.

소스 인터페이스, 대상 인터페이스

원본 소스 주소(항상 필수)

변환 중인 주소를 포함하는 네트워크 개체 또는 그룹입니다. 네트워크 개체 또는 그룹일 수 있으며, 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 모든 원본 소스 트래픽을 변환하려는 경우 규칙에서 임의를 지정하면 됩니다.

변환된 소스 주소(대개 필수)

원본 주소를 변환하는 매핑된 주소입니다. 여기서 선택하는 항목에 따라 정의하는 변환 규칙의 유형이 달라집니다.

동적 NAT - 매핑된 주소를 포함하는 네트워크 개체 또는 그룹입니다. 네트워크 개체 또는 그룹일 수 있지만 서브넷을 포함할 수는 없습니다. IPv4 주소와 IPv6 주소를 모두 포함할 수는 없으며 한 유형만 포함해야 합니다. 그룹에 범위와 호스트 IP 주소가 모두 포함되어 있으면 범위는 동적 NAT에 사용되고 호스트 IP 주소는 PAT 대안으로 사용됩니다.
동적 PAT - 다음 중 하나입니다.
- (인터페이스 PAT) 대상 인터페이스의 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
- 대상 인터페이스 주소가 아닌 단일 주소를 사용하려면 이러한 용도로 생성한 호스트 네트워크 개체를 선택합니다.
고정 NAT - 다음 중 하나입니다.
- 설정된 주소 그룹을 사용하려면 매핑된 주소를 포함하는 네트워크 개체 또는 그룹을 선택합니다. 개체 또는 그룹은 호스트, 범위 또는 서브넷을 포함할 수 있습니다. 일반적으로 일대일 매핑의 경우 동일한 수의 매핑된 주소를 실제 주소로 구성합니다. 그러나 주소의 수가 일치하지 않아도 됩니다.
- (포트 변환 기능이 있는 고정 인터페이스 NAT) 대상 인터페이스의 주소를 사용하려면 인터페이스를 선택합니다. 특정 대상 인터페이스도 선택해야 합니다. 이 인터페이스는 브리지 그룹 멤버 인터페이스일 수 없습니다. 이 경우 포트 변환 고정 인터페이스 NAT가 구성됩니다. 소스 주소/포트는 인터페이스의 주소 및 동일한 포트 번호로 변환됩니다. IPv6에는 인터페이스 PAT를 사용할 수 없습니다.
ID NAT - 원본 소스와 동일한 개체입니다. 원하는 경우 콘텐츠가 정확히 동일한 다른 개체를 선택할 수 있습니다.

원본 대상 주소

대상의 주소를 포함하는 네트워크 개체입니다. 이 옵션을 비워 두면 대상에 관계없이 소스 주소 변환이 적용됩니다. 대상 주소를 지정하면 해당 주소에 대해 고정 변환을 구성할 수도 있고 단순히 ID NAT를 사용할 수도 있습니다.

인터페이스를 선택하여 소스 인터페이스(임의일 수 없음)를 기준으로 원본 대상을 지정할 수 있습니다. 이 옵션을 선택할 경우 변환된 대상 개체도 선택해야 합니다. 대상 주소에 대해 포트 변환 고정 인터페이스 NAT를 구현하려면 이 옵션을 선택하고 대상 포트에 대해 적절한 포트 개체도 선택합니다.

변환된 대상 주소

변환된 패킷에서 사용되는 대상 주소를 포함하는 네트워크 개체 또는 그룹입니다. 원본 대상에 대해 개체를 선택한 경우 동일한 개체를 선택하여 ID NAT(변환 없음)를 설정할 수 있습니다.

정규화된 도메인 이름을 변환된 대상으로 지정하는 네트워크 개체를 사용할 수 있습니다. 자세한 내용은 FQDN 대상 지침 항목을 참조하십시오.

원본 소스 포트, 변환된 소스 포트, 원본 대상 포트, 변환된 대상 포트

원본 및 변환된 패킷의 소스 및 대상 서비스를 정의하는 포트 개체입니다. 포트를 변환할 수도 있고, 동일한 개체를 선택하여 포트를 변환하지 않고 규칙이 서비스에 따라 달라지도록 설정할 수도 있습니다. 서비스를 구성할 때는 다음 규칙에 유의하십시오.

(동적 NAT 또는 PAT) 원본 소스 포트 및 변환된 소스 포트에 대해서는 변환을 수행할 수 없습니다. 대상 포트에 대해서만 변환을 수행할 수 있습니다.
NAT는 TCP 또는 UDP만 지원합니다. 포트를 변환할 때는 실제 서비스 개체의 프로토콜과 매핑된 서비스 개체의 프로토콜이 동일해야 합니다(둘 다 TCP거나 둘 다 UDP). ID NAT의 경우 실제 포트와 매핑된 포트에 동일한 개체를 사용할 수 있습니다.

고급 NAT 속성

NAT를 구성할 때는 고급 옵션에서 특수 서비스를 제공하는 속성을 구성할 수 있습니다. 이러한 모든 속성은 선택 사항이므로 서비스가 필요할 때만 구성하면 됩니다.

이 규칙과 일치하는 DNS 응답 변환: DNS 응답의 IP 주소를 변환할지 여부를 선택합니다. 매핑된 인터페이스에서 실제 인터페이스로 이동하는 DNS 응답의 경우 주소(IPv4 A 또는 IPv6 AAAA) 레코드가 매핑된 값에서 실제 값으로 재작성됩니다. 반대로, 실제 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 응답의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 옵션은 특정 상황에서 사용되며, 재작성 시 A 레코드와 AAAA 레코드 간의 변환도 수행되는 NAT64/46 변환에 필요한 경우도 있습니다. 자세한 내용은 NAT를 사용하여 DNS 쿼리 및 응답 재작성를 참조하십시오. 정적 NAT 규칙에서 포트 변환을 수행하는 경우에는 이 옵션을 사용할 수 없습니다.
인터페이스 PAT(대상 인터페이스)로 폴스루(동적 NAT만 해당됨): 다른 매핑된 주소가 이미 할당된 경우 대상 인터페이스의 IP 주소를 백업 방법으로 사용할지 여부를 선택합니다(인터페이스 PAT 대체). 이 옵션은 브리지 그룹의 멤버가 아닌 대상 인터페이스를 선택한 경우에만 사용할 수 있습니다. 인터페이스 PAT를 변환된 주소로 이미 컨피그레이션한 경우에는 이 옵션을 선택할 수 없습니다. IPv6 네트워크에서는 이 옵션을 사용할 수 없습니다.
대상 인터페이스에서 ARP 프록시 설정 안 함(고정 NAT만 해당됨): 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다. 일반적으로 ID NAT에는 프록시 ARP가 필요하지 않으며, 프록시 ARP를 사용할 경우 연결 문제가 발생할 수도 있습니다.
대상 인터페이스에 대해 경로 조회 수행(고정 ID NAT 및 라우팅 모드만 해당됨): 원본 및 변환된 소스 주소에 대해 동일한 개체를 선택할 때 소스 및 대상 인터페이스를 선택하는 경우 이 옵션을 선택하면 시스템이 NAT 규칙에 구성된 대상 인터페이스를 사용하는 대신 라우팅 테이블을 기준으로 하여 대상 인터페이스를 결정하도록 할 수 있습니다.

IPv6 네트워크 변환

IPv6 전용 및 IPv4 전용 네트워크 간에 트래픽을 전달해야 하는 경우에는 NAT를 사용해 주소 유형을 변환해야 합니다. 두 IPv6 네트워크 간에 트래픽을 전달할 때도 외부 네트워크에서 내부 네트워크를 숨기려는 경우가 있습니다.

IPv6 네트워크에서는 다음 변환 유형을 사용할 수 있습니다.

NAT64, NAT46 - IPv6 패킷에서 IPv4 패킷으로, 또는 그 반대로 변환합니다. 이 경우 두 개의 정책(IPv6에서 IPv4로의 변환 정책과 IPv4에서 IPv6으로의 변환 정책)을 정의해야 합니다. 단일 수동 NAT 규칙을 사용하여 정책 2개를 정의할 수는 있지만, DNS 서버가 외부 네트워크에 있는 경우에는 DNS 응답을 재작성해야 할 수도 있습니다. 대상을 지정할 때는 수동 NAT 규칙에 대해 DNS 재작성을 활성화할 수 없으므로 자동 NAT 규칙 2개를 생성하는 것이 더 나은 해결책입니다.

참고	NAT46은 정적 매핑만 지원합니다.

NAT66 - IPv6 패킷을 다른 IPv6 주소로 변환합니다. 고정 NAT를 사용하는 것이 좋습니다. 동적 NAT 또는 PAT를 사용할 수 있고 IPv6 주소가 대량으로 공급되지만, 동적 NAT를 반드시 사용할 필요는 없습니다.

참고	NAT64 및 NAT 46은 표준 라우팅 인터페이스에서만 사용할 수 있습니다. NAT66은 라우팅 인터페이스 및 브리지 그룹 멤버 인터페이스에서 모두 사용 가능합니다.

NAT64/46: IPv6 주소를 IPv4로 변환

트래픽이 IPv6 네트워크에서 IPv4 전용 네트워크로 이동하는 경우에는 IPv6 주소를 IPv4로 변환해야 하며, 반환 트래픽은 IPv4에서 IPv6으로 변환해야 합니다. 따라서 주소 풀 2개(IPv4 네트워크에서 IPv6 주소를 바인딩하기 위한 IPv4 주소 풀과 IPv6 네트워크에서 IPv4 주소를 바인딩하기 위한 IPv6 주소 풀)를 정의해야 합니다.

NAT64 규칙용 IPv4 주소 풀은 일반적으로 크기가 작으므로 대개 IPv6 클라이언트 주소와 일대일로 매핑할 주소를 충분히 포함하지 않을 수 있습니다. 동적 PAT의 경우 동적 또는 고정 NAT에 비해 더 쉽게 많은 IPv6 클라이언트 주소를 포함할 수 있습니다.
NAT46 규칙용 IPv6 주소 풀은 매핑할 IPv4 주소보다 많은 수의 주소를 포함할 수 있습니다. 따라서 각 IPv4 주소를 서로 다른 IPv6 주소에 매핑할 수 있습니다. NAT46은 고정 매핑만 지원하므로 동적 PAT는 사용할 수 없습니다.

소스 IPv6 네트워크와 대상 IPv4 네트워크 중에 하나씩 2개의 정책을 정의해야 합니다. 단일 수동 NAT 규칙을 사용하여 정책 2개를 정의할 수는 있지만, DNS 서버가 외부 네트워크에 있는 경우에는 DNS 응답을 재작성해야 할 수도 있습니다. 대상을 지정할 때는 수동 NAT 규칙에 대해 DNS 재작성을 활성화할 수 없으므로 자동 NAT 규칙 2개를 생성하는 것이 더 나은 해결책입니다.

NAT64/46 예: 내부 IPv6 네트워크 및 외부 IPv4 인터넷

다음은 내부 IPv6 전용 네트워크를 보유하고 있으며 인터넷으로 전송된 트래픽에 대해 IPv4로 변환하려는 경우의 간단한 예입니다. 이 예에서는 DNS 변환이 필요하지 않다고 가정하므로 단일 수동 NAT 규칙에서 NAT64 및 NAT46 변환을 모두 수행할 수 있습니다.

이 예에서는 외부 인터페이스의 IP 주소가 포함된 동적 인터페이스 PAT를 사용하여 내부 IPv6 네트워크를 IPv4로 변환합니다. 외부 IPv4 트래픽은 2001:db8::/96 네트워크의 주소로 정적 변환되어 내부 네트워크에서 전송을 허용합니다.

프로시저

단계 1

내부 IPv6 네트워크용 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
내부 IPv6 네트워크를 정의합니다.

네트워크 개체의 이름을 inside_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:db8::/96을 입력합니다.
OK(확인)를 클릭합니다.

단계 2

수동 NAT 규칙을 생성하여 IPv6 네트워크를 IPv4로 변환한 후 다시 되돌립니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = PAT64Rule 또는 원하는 다른 이름
- Create Rule For(규칙 생성 대상) = Manual NAT(수동 NAT)
- Placement(배치) = Before Auto NAT Rules(자동 NAT 규칙 앞)
- Type(유형) = Dynamic(동적)
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Packet Source Address(원본 패킷 소스 주소) = inside_v6 네트워크 개체
- Translated Packet Source Address(변환된 패킷 소스 주소) = Interface(인터페이스) 이 옵션은 PAT 주소로 대상 인터페이스의 IPv4 주소를 사용합니다.
- Original Packet Destination Address(원본 패킷 대상 주소) = inside_v6 네트워크 개체
- Translated Packet Destination Address(변환된 패킷 대상 주소) = any-ipv4 네트워크 개체
OK(확인)를 클릭합니다.

이 규칙을 사용하는 경우 내부 인터페이스의 2001:db8::/96 서브넷에서 외부 인터페이스로 이동하는 모든 트래픽은 외부 인터페이스의 IPv4 주소를 사용하여 NAT64 PAT로 변환됩니다. 반대로 외부 네트워크에서 내부 인터페이스로 들어오는 모든 IPv4 주소는 임베디드 IPv4 주소 메서드를 사용하여 2001:db8::/96 네트워크의 주소로 변환됩니다.

NAT64/46 예: 내부 IPv6 네트워크와 외부 IPv4 인터넷 및 DNS 변환

아래에는 내부 IPv6 전용 네트워크가 있는데 내부 사용자에게 필요한 일부 IPv4 전용 서비스는 외부 인터넷에 있는 일반적인 예가 나와 있습니다.

이 예에서는 외부 인터페이스의 IP 주소가 포함된 동적 인터페이스 PAT를 사용하여 내부 IPv6 네트워크를 IPv4로 변환합니다. 외부 IPv4 트래픽은 2001:db8::/96 네트워크의 주소로 정적 변환되어 내부 네트워크에서 전송을 허용합니다. 외부 DNS 서버의 회신을 A(IPv4) 레코드에서 AAAA(IPv6) 레코드로 변환하고 주소를 IPv4에서 IPv6으로 변환할 수 있도록 NAT46 규칙에 대해 DNS 재작성을 활성화합니다.

내부 IPv6 네트워크의 2001:DB8::100에 있는 클라이언트가 www.example.com을 열려고 하는 웹 요청의 일반적인 순서는 다음과 같습니다.

클라이언트의 컴퓨터가 2001:DB8::D1A5:CA81에 있는 DNS 서버에 DNS 요청을 보냅니다. NAT 규칙이 DNS 요청에서 소스 및 대상을 다음과 같이 변환합니다.
- 2001:DB8::100을 209.165.201.1의 고유 포트로 변환합니다(NAT64 인터페이스 PAT 규칙).
- 2001:DB8::D1A5:CA81을 209.165.202.129로 변환합니다(NAT46 규칙. D1A5:CA81은 209.165.202.129에 해당하는 IPv6 주소입니다.).
DNS 서버가 www.example.com이 209.165.200.225에 있음을 나타내는 A 레코드로 응답합니다. DNS 재작성이 활성화된 NAT46 규칙이 A 레코드를 IPv6의 동일 AAAA 레코드로 변환하고 AAAA 레코드의 209.165.200.225를 2001:db8:D1A5:C8E1로 변환합니다. 또한 DNS 응답의 소스 및 대상 주소는 변환되지 않은 상태입니다.
- 209.165.202.129 -> 2001:DB8::D1A5:CA81
- 209.165.201.1 -> 2001:db8::100
이제 IPv6 클라이언트는 웹 서버의 IP 주소를 포함하며 2001:db8:D1A5:C8E1의 www.example.com에 대한 HTTP 요청을 수행합니다. D1A5:C8E1은 209.165.200.225에 해당하는 IPv6 주소입니다. 그리고 HTTP 요청의 소스 및 대상이 변환됩니다.
- 2001:DB8::100을 209.156.101.54의 고유 포트로 변환합니다(NAT64 인터페이스 PAT 규칙).
- 2001:db8:D1A5:C8E1을 209.165.200.225로 변환합니다(NAT46 규칙).

다음 절차에서는 이 예를 구성하는 방법을 설명합니다.

프로시저

단계 1

내부 IPv6 및 외부 IPv4 네트워크를 정의하는 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
내부 IPv6 네트워크를 정의합니다.

네트워크 개체의 이름을 inside_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:db8::/96을 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 외부 IPv4 네트워크를 정의합니다.

네트워크 개체의 이름을 outside_v4_any와 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 0.0.0.0/0을 입력합니다.

단계 2

내부 IPv6 네트워크용 NAT64 동적 PAT 규칙을 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = PAT64Rule 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 동적
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Address(원본 주소) = inside_v6 네트워크 개체
- Translated Address(변환된 주소) = Interface. 이 옵션은 PAT 주소로 대상 인터페이스의 IPv4 주소를 사용합니다.
OK(확인)를 클릭합니다.

이 규칙을 사용하는 경우 내부 인터페이스의 2001:db8::/96 서브넷에서 외부 인터페이스로 이동하는 모든 트래픽은 외부 인터페이스의 IPv4 주소를 사용하여 NAT64 PAT로 변환됩니다.

단계 3

외부 IPv4 네트워크용 고정 NAT46 규칙을 구성합니다.

+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = NAT46Rule 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 고정
- Source Interface(원본 인터페이스) = outside
- Destination Interface(대상 인터페이스) = inside
- Original Address(원본 주소) = outside_v4_any 네트워크 개체
- Translated Address(변환된 주소) = inside_v6 네트워크 개체
- Advanced Options(고급 옵션) 탭에서 Translate DNS replies that match this rule(이 규칙과 일치하는 DNS 응답 변환)을 선택합니다.
OK(확인)를 클릭합니다.

이 규칙을 사용하는 경우 외부 네트워크에서 내부 인터페이스로 들어오는 모든 IPv4 주소는 임베디드 IPv4 주소 방법을 사용하여 2001:db8::/96 네트워크의 주소로 변환됩니다. 또한 DNS 응답은 A(IPv4) 레코드에서 AAAA(IPv6) 레코드로 변환되며 주소는 IPv4에서 IPv6으로 변환됩니다.

NAT66: IPv6 주소를 다른 IPv6 주소로 변환

IPv6 네트워크 간을 이동할 때는 주소를 외부 네트워크의 다른 IPv6 주소로 변환할 수 있습니다. 고정 NAT를 사용하는 것이 좋습니다. 동적 NAT 또는 PAT를 사용할 수 있고 IPv6 주소가 대량으로 공급되지만, 동적 NAT를 반드시 사용할 필요는 없습니다.

서로 다른 주소 유형 간을 변환하는 것이 아니므로 NAT66 변환을 위한 규칙 하나만 있으면 됩니다. 자동 NAT를 사용하면 이러한 규칙을 쉽게 모델링할 수 있습니다. 그러나 반환 트래픽을 허용하지 않으려면 수동 NAT만 사용해 정적 NAT 규칙을 단방향으로 설정할 수 있습니다.

NAT66 예, 네트워크 간의 고정 변환

자동 NAT를 사용하여 IPv6 주소 풀 간의 고정 변환을 컨피그레이션할 수 있습니다. 다음 예에서는 2001:db8:122:2091::/96 네트워크의 내부 주소를 2001:db8:122:2999::/96 네트워크의 외부 주소로 변환하는 방법을 설명합니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우에는 각 멤버 인터페이스에 대한 규칙을 중복 생성해야 합니다.

프로시저

단계 1

내부 IPv6 및 외부 IPv6 NAT 네트워크를 정의하는 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
내부 IPv6 네트워크를 정의합니다.

네트워크 개체의 이름을 inside_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:db8:122:2091::/96을 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 외부 IPv6 NAT 네트워크를 정의합니다.

네트워크 개체의 이름을 outside_nat_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:db8:122:2999::/96을 입력합니다.

단계 2

내부 IPv6 네트워크용 고정 NAT 규칙을 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = NAT66Rule 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 고정
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Address(원본 주소) = inside_v6 네트워크 개체
- Translated Address(변환된 주소) = outside_nat_v6 네트워크 개체
OK(확인)를 클릭합니다.

이 규칙을 사용하는 경우 내부 인터페이스의 2001:db8:122:2091::/96 서브넷에서 외부 인터페이스로 이동하는 모든 트래픽은 2001:db8:122:2999::/96 네트워크의 주소로 고정 NAT66 변환됩니다.

NAT66 예, 간단한 IPv6 인터페이스 PAT

NAT66을 구현하는 단순한 방식은 내부 주소를 외부 인터페이스 IPv6 주소의 각기 다른 포트에 동적으로 할당하는 것입니다.

그러나 device manager를 사용하는 인터페이스의 IPv6 주소를 사용하여 인터페이스 PAT를 구성할 수는 없습니다. 대신 동적 PAT 풀과 같은 네트워크에 있는 단일 사용 가능 주소를 사용합니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우에는 각 멤버 인터페이스에 대한 규칙을 중복 생성해야 합니다.

프로시저

단계 1

내부 IPv6 네트워크 및 IPv6 PAT 주소를 정의하는 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
내부 IPv6 네트워크를 정의합니다.

네트워크 개체의 이름을 inside_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:db8:122:2091::/96을 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 외부 IPv6 PAT 주소를 정의합니다.

네트워크 개체의 이름을 ipv6_pat와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 2001:db8:122:201b::2를 입력합니다.

단계 2

내부 IPv6 네트워크용 동적 PAT 규칙을 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- 제목 = PAT66Rule 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 동적
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Address(원본 주소) = inside_v6 네트워크 개체
- 변환된 주소 = ipv6_pat 네트워크 개체
OK(확인)를 클릭합니다.

이 규칙을 사용하는 경우 내부 인터페이스의 2001:db8:122:2091::/96 서브넷에서 외부 인터페이스로 이동하는 모든 트래픽은 2001:db8:122:201b::2의 포트로 동적 PAT66 변환됩니다.

NAT 모니터링

NAT 연결을 모니터링하고 트러블슈팅하려면 CLI 콘솔을 열거나 디바이스 CLI에 로그인하여 다음 명령을 사용합니다.

show nat NAT 규칙 및 규칙별 적중 횟수를 표시합니다. NAT의 다른 측면을 표시하는 추가 키워드도 있습니다.
show xlate 현재 활성 상태인 활성 NAT 변환을 표시합니다.
clear xlate 활성 NAT 변환을 제거할 수 있습니다. NAT 규칙을 변경하는 경우에는 활성 변환을 제거해야 할 수 있습니다. 기존 연결은 종료될 때까지 이전 변환 슬롯을 계속 사용하기 때문입니다. 변환을 지우면 시스템에서 새 규칙을 기반으로 하여 클라이언트의 다음 연결 시도 시 클라이언트에 대한 새 변환을 작성할 수 있습니다. CLI 콘솔에서는 이 명령을 사용할 수 없습니다.

NAT의 예

다음 항목에서는 Threat Defense 디바이스에서 NAT를 구성하는 예를 제공합니다.

내부 웹 서버에 대한 액세스 제공(고정 자동 NAT)

다음 예는 내부 웹 서버에 대해 고정 NAT를 수행합니다. 실제 주소는 사설 네트워크에 있으므로 공용 주소가 필요합니다. 호스트가 고정된 주소에서 웹 서버에 대한 트래픽을 시작할 수 있으려면 고정 NAT가 필요합니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우 웹 서버가 연결된 특정 브리지 그룹 멤버 인터페이스(예: inside1_3)를 선택합니다.

프로시저

단계 1

서버의 전용 및 공용 호스트 주소를 정의하는 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
웹 서버의 전용 어드레스를 정의합니다.

네트워크 개체의 이름을 WebServerPrivate과 같이 지정하고 Host(호스트)를 선택한 후에 실제 호스트 IP 주소 10.1.2.27을 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 공용 주소를 정의합니다.

네트워크 개체의 이름을 WebServerPublic과 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.201.10을 입력합니다.
OK(확인)를 클릭합니다.

단계 2

개체용 고정 NAT를 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = WebServer 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 고정
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Address(원본 주소) = WebServerPrivate 네트워크 개체
- Translated Address(변환된 주소) = WebServerPublic 네트워크 개체
OK(확인)를 클릭합니다.

FTP, HTTP 및 SMTP용 단일 주소(포트 변환 고정 자동 NAT)

다음과 같은 포트 변환 고정 NAT의 예는 원격 사용자가 FTP, HTTP 및 SMTP에 액세스하기 위해 사용할 단일 주소를 제공합니다. 이러한 서버는 실제 네트워크에서 실제로 서로 다른 디바이스이지만, 각 서버에 대해 동일하게 매핑된 IP 주소를 사용하되 포트는 다른 포트 변환 고정 NAT 규칙을 지정할 수 있습니다.

참고	이 예에서는 내부 인터페이스가 스위치에 연결된 표준 라우팅 인터페이스이며 서버가 스위치에 연결되어 있다고 가정합니다. 내부 인터페이스가 BVI(브리지 그룹 인터페이스)이며 서버가 별도의 브리지 그룹 멤버 인터페이스에 연결되어 있으면 해당하는 규칙에 대해 각 서버가 연결된 특정 멤버 인터페이스를 선택합니다. 예를 들어 규칙이 소스 인터페이스에 대해 inside가 아닌 inside1_2, inside1_3 및 inside1_4를 포함할 수 있습니다.

프로시저

단계 1	FTP 서버용 네트워크 개체를 만듭니다. Objects(개체)를 선택합니다. 목차에서 Network(네트워크)를 선택하고 +를 클릭합니다. 네트워크 개체의 이름을 FTPserver와 같이 지정하고 Host(호스트)를 선택한 후에 FTP 서버의 실제 IP 주소 10.1.2.27을 입력합니다. OK(확인)를 클릭합니다.
단계 2	HTTP 서버용 네트워크 개체를 생성합니다. +를 클릭합니다. 네트워크 개체의 이름을 HTTPserver와 같이 지정하고 호스트를 선택한 후에 호스트 주소 10.1.2.28을 입력합니다. OK(확인)를 클릭합니다.
단계 3	SMTP 서버용 네트워크 개체를 생성합니다. +를 클릭합니다. 네트워크 개체의 이름을 SMTPserver와 같이 지정하고 호스트를 선택한 후에 호스트 주소 10.1.2.29를 입력합니다. OK(확인)를 클릭합니다.
단계 4	서버 3대에 사용되는 공용 IP 주소용 네트워크 개체를 생성합니다. +를 클릭합니다. 네트워크 개체의 이름을 ServerPublicIP와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.201.3을 입력합니다. OK(확인)를 클릭합니다.
단계 5	FTP 포트를 자기 자신에 매핑하는 FTP 서버용 포트 변환 고정 NAT를 구성합니다. Policies(정책) > NAT를 선택합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = FTPServer 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 고정 Source Interface(원본 인터페이스) = inside Destination Interface(대상 인터페이스) = outside Original Address(원본 주소) = FTPserver 네트워크 개체 Translated Address(변환된 주소) = ServerPublicIP 네트워크 개체 Original Port(원본 포트) = FTP 포트 개체 Translated Port(변환된 포트) = FTP 포트 개체 OK(확인)를 클릭합니다.
단계 6	HTTP 포트를 자기 자신에 매핑하는 HTTP 서버용 포트 변환 고정 NAT를 구성합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = HTTPServer 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 고정 Source Interface(원본 인터페이스) = inside Destination Interface(대상 인터페이스) = outside Original Address(원본 주소) = HTTPserver 네트워크 개체 Translated Address(변환된 주소) = ServerPublicIP 네트워크 개체 Original Port(원본 포트) = HTTP 포트 개체 Translated Port(변환된 포트) = HTTP 포트 개체 OK(확인)를 클릭합니다.
단계 7	SMTP 포트를 자기 자신에 매핑하는 SMTP 서버용 포트 변환 고정 NAT를 구성합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = SMTPServer 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 고정 Source Interface(원본 인터페이스) = inside Destination Interface(대상 인터페이스) = outside Original Address(원본 주소) = SMTPserver 네트워크 개체 Translated Address(변환된 주소) = ServerPublicIP 네트워크 개체 Original Port(원본 포트) = SMTP 포트 개체 Translated Port(변환된 포트) = SMTP 포트 개체 OK(확인)를 클릭합니다.

대상에 따라 다른 변환(동적 수동 PAT)

다음 그림은 두 개의 서로 다른 서버에 액세스하는 10.1.2.0/24 네트워크의 호스트를 보여줍니다. 호스트가 209.165.201.11의 서버에 액세스하면 실제 주소가 209.165.202.129:port로 변환됩니다. 호스트가 209.165.200.225의 서버에 액세스하면 실제 주소가 209.165.202.130:port로 변환됩니다.

참고	이 예에서는 내부 인터페이스가 스위치에 연결된 표준 라우팅 인터페이스이며 서버가 스위치에 연결되어 있다고 가정합니다. 내부 인터페이스가 BVI(브리지 그룹 인터페이스)이며 서버가 별도의 브리지 그룹 멤버 인터페이스에 연결되어 있으면 해당하는 규칙에 대해 각 서버가 연결된 특정 멤버 인터페이스를 선택합니다. 예를 들어 규칙이 소스 인터페이스에 대해 inside가 아닌 inside1_2 및 inside1_3을 포함할 수 있습니다.

프로시저

단계 1

내부 네트워크용 네트워크 개체를 만듭니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
네트워크 개체의 이름을 myInsideNetwork와 같이 지정하고 Network(네트워크)를 선택한 후에 실제 네트워크 주소 10.1.2.0/24를 입력합니다.
OK(확인)를 클릭합니다.

단계 2

DMZ 네트워크 1용 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 DMZnetwork1과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 209.165.201.0/27(서브넷 마스크 255.255.255.224)을 입력합니다.
OK(확인)를 클릭합니다.

단계 3

DMZ 네트워크 1용 PAT 주소의 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 PATaddress1과 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.202.129를 입력합니다.
OK(확인)를 클릭합니다.

단계 4

DMZ 네트워크 2용 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 DMZnetwork2와 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 209.165.200.224/27(서브넷 마스크 255.255.255.224)을 입력합니다.
OK(확인)를 클릭합니다.

단계 5

DMZ 네트워크 2용 PAT 주소의 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 PATaddress2와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.202.130을 입력합니다.
OK(확인)를 클릭합니다.

단계 6

DMZ 네트워크 1용 동적 수동 PAT를 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.

다음 속성을 구성합니다.

Title(제목) = DMZNetwork1 또는 원하는 다른 이름
Create Rule For(규칙 생성) = 수동 NAT
Type(유형) = 동적
Source Interface(원본 인터페이스) = inside
Destination Interface(대상 인터페이스) = dmz
Original Source Address(원본 소스 주소) = myInsideNetwork 네트워크 개체
Translated Source Address(변환된 소스 주소) = PATaddress1 네트워크 개체
Original Destination Address(원본 대상 주소) = DMZnetwork1 네트워크 개체

Translated Destination Address(변환된 대상 주소) = DMZnetwork1 네트워크 개체

참고	대상 주소를 변환하지 않을 것이기 때문에 원본 주소 및 변환된 대상 주소에 대해 동일한 주소를 지정하여 대상 주소에 대한 ID NAT를 구성해야 합니다. 포트 필드는 모두 비워 둡니다.

OK(확인)를 클릭합니다.

단계 7

DMZ 네트워크 2용 동적 수동 PAT를 구성합니다.

+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = DMZNetwork2 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 수동 NAT
- Type(유형) = 동적
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = dmz
- Original Source Address(원본 소스 주소) = myInsideNetwork 네트워크 개체
- Translated Source Address(변환된 소스 주소) = PATaddress2 네트워크 개체
- Original Destination Address(원본 대상 주소) = DMZnetwork2 네트워크 개체
- Translated Destination Address(변환된 대상 주소) = DMZnetwork2 네트워크 개체
OK(확인)를 클릭합니다.

대상 주소 및 포트에 따라 다른 변환(동적 수동 PAT)

다음 그림은 소스 포트와 대상 포트의 사용법을 보여줍니다. 10.1.2.0/24 네트워크의 호스트가 웹 서비스와 텔넷 서비스를 모두 제공하는 단일 호스트에 액세스합니다. 호스트가 텔넷 서비스용 서버에 액세스하면 실제 주소가 209.165.202.129:port로 변환됩니다. 호스트가 동일한 웹 서비스용 서버에 액세스하면 실제 주소가 209.165.202.130:port로 변환됩니다.

참고	이 예에서는 내부 인터페이스가 스위치에 연결된 표준 라우팅 인터페이스이며 서버가 스위치에 연결되어 있다고 가정합니다. 내부 인터페이스가 BVI(브리지 그룹 인터페이스)이며 서버가 브리지 그룹 멤버 인터페이스에 연결되어 있으면 서버가 연결된 특정 멤버 인터페이스를 선택합니다. 예를 들어 규칙이 소스 인터페이스에 대해 inside가 아닌 inside1_2를 포함할 수 있습니다.

프로시저

단계 1

내부 네트워크용 네트워크 개체를 만듭니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
네트워크 개체의 이름을 myInsideNetwork와 같이 지정하고 Network(네트워크)를 선택한 후에 실제 네트워크 주소 10.1.2.0/24를 입력합니다.
OK(확인)를 클릭합니다.

단계 2

텔넷/웹 서버용 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 TelnetWebServer와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.201.11을 입력합니다.
OK(확인)를 클릭합니다.

단계 3

텔넷 사용 시의 PAT 주소용 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 PATaddress1과 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.202.129를 입력합니다.
OK(확인)를 클릭합니다.

단계 4

HTTP 사용 시의 PAT 주소용 네트워크 개체를 생성합니다.

+를 클릭합니다.
네트워크 개체의 이름을 PATaddress2와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.202.130을 입력합니다.
OK(확인)를 클릭합니다.

단계 5

텔넷 액세스용 동적 수동 PAT를 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.

다음 속성을 구성합니다.

Title(제목) = TelnetServer 또는 원하는 다른 이름
Create Rule For(규칙 생성) = 수동 NAT
Type(유형) = 동적
Source Interface(원본 인터페이스) = inside
Destination Interface(대상 인터페이스) = dmz
Original Source Address(원본 소스 주소) = myInsideNetwork 네트워크 개체
Translated Source Address(변환된 소스 주소) = PATaddress1 네트워크 개체
Original Destination Address(원본 대상 주소) = TelnetWebServer 네트워크 개체
Translated Destination Address(변환된 대상 주소) = TelnetWebServer 네트워크 개체
Original Destination Port(원본 대상 포트) = TELNET 포트 개체

Translated Destination Port(변환된 대상 포트) = TELNET 포트 개체

참고	대상 주소 또는 포트를 변환하지 않을 것이기 때문에 원본 및 변환된 대상 주소에 대해 동일한 주소를 지정하고 원본 및 변환된 포트에 대해 동일한 포트를 지정하여, 대상 주소 또는 포트에 대한 ID NAT를 구성해야 합니다.

OK(확인)를 클릭합니다.

단계 6

웹 액세스용 동적 수동 PAT를 구성합니다.

+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = WebServer 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 수동 NAT
- Type(유형) = 동적
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = dmz
- Original Source Address(원본 소스 주소) = myInsideNetwork 네트워크 개체
- Translated Source Address(변환된 소스 주소) = PATaddress2 네트워크 개체
- Original Destination Address(원본 대상 주소) = TelnetWebServer 네트워크 개체
- Translated Destination Address(변환된 대상 주소) = TelnetWebServer 네트워크 개체
- Original Destination Port(원본 대상 포트) = HTTP 포트 개체
- Translated Destination Port(변환된 대상 포트) = HTTP 포트 개체
OK(확인)를 클릭합니다.

NAT를 사용하여 DNS 쿼리 및 응답 재작성

회신의 주소를 NAT 구성과 일치하는 주소로 교체하여 DNS 회신을 수정하도록 위협 방지 디바이스를 구성해야 할 수 있습니다. 각 변환 규칙을 구성할 때 DNS 수정을 구성할 수 있습니다. DNS 수정은 DNS Doctoring이라고도 합니다.

이 기능은 NAT 규칙과 일치하는 DNS 쿼리 및 회신의 주소를 재작성합니다(예: IPv4의 A 레코드, IPv6의 AAAA 레코드 또는 역방향 DNS 쿼리의 PTR 레코드). 매핑된 인터페이스에서 다른 임의의 인터페이스로 이동하는 DNS 회신의 경우 매핑된 값에서 실제 값으로 레코드가 재작성됩니다. 반대로, 임의의 인터페이스에서 매핑된 인터페이스로 이동하는 DNS 회신의 경우 실제 값에서 매핑된 값으로 레코드가 재작성됩니다. 이 기능은 NAT44, NAT 66, NAT46 및 NAT64에서 작동합니다.

다음은 NAT 규칙에 DNS 재작성을 구성해야 하는 몇 가지 주요 상황입니다.

규칙이 NAT64 또는 NAT46이며 DNS 서버가 외부 네트워크에 있는 경우. DNS A 레코드(IPv4의 경우)를 AAAA 레코드(IPv6의 경우)로 변환하려면 DNS 재작성이 필요합니다.
DNS 서버가 외부에 있고 클라이언트는 내부에 있으며 클라이언트가 사용하는 일부 FQDN(Fully Qualified Domain Name)이 다른 내부 호스트로 확인되는 경우.
DNS 서버가 내부에 있고 프라이빗 IP 어드레스로 응답하며, 클라이언트는 외부에 있고 내부에서 호스팅되는 서버를 가리키는 FQDN(Fully Qualified Domain Name)에 액세스하는 경우.

DNS 재작성 제한

다음은 DNS 재작성의 몇 가지 제한 사항입니다.

각 A 또는 AAAA 레코드에 여러 PAT 규칙을 적용할 수 있으며 사용할 PAT 규칙이 모호하므로 PAT에는 DNS 재작성이 적용되지 않습니다.
수동 NAT 규칙을 구성할 때 소스 주소와 대상 주소를 모두 지정하는 경우에는 DNS 수정을 구성할 수 없습니다. A와 B를 비교하여 전송하는 경우 이러한 종류의 규칙에는 잠재적으로 단일 주소에 다른 변환이 있을 수 있습니다. 따라서 이는 DNS 회신 내부의 IP 주소를 정확한 2회 NAT 규칙에 대해 올바르게 확인할 수 없습니다. DNS 회신에는 DNS 요청을 표시한 패킷에 어떤 source/destination 주소 조합이 있었는지에 대한 정보가 포함되어 있지 않습니다.
DNS 재작성은 실제로 NAT 규칙이 아니라 xlate 항목에서 수행됩니다. 따라서 동적 규칙에 대한 xlate가 없으면 재작성을 정확히 수행할 수 없습니다. 고정 NAT에 대해서는 동일한 문제가 발생하지 않습니다.
DNS 재작성에서는 DNS 동적 업데이트 메시지(opcode 5)를 재작성하지 않습니다.

다음 항목에서는 NAT 규칙의 DNS 재작성 예를 제공합니다.

DNS 64 회신 수정

다음 그림은 외부 IPv4 네트워크의 FTP 서버 및 DNS 서버를 보여줍니다. 시스템은 외부 서버에 대해 고정 변환을 수행합니다. 이 경우 내부 IPv6 사용자가 DNS 서버에서 ftp.cisco.com에 대한 주소를 요청하면 DNS 서버는 실제 주소인 209.165.200.225로 응답합니다.

내부 사용자가 ftp.cisco.com(2001:DB8::D1A5:C8E1, 여기서 D1A5:C8E1은 209.165.200.225에 해당하는 IPv6 주소)에 대한 매핑된 주소를 사용하도록 하려면 고정 변환에 대해 DNS 회신 수정을 구성해야 합니다. 이 예에는 DNS 서버용 고정 NAT 변환 및 내부 IPv6 호스트용 PAT 규칙도 포함되어 있습니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우에는 각 멤버 인터페이스에 대한 규칙을 중복 생성해야 합니다.

프로시저

단계 1	FTP 서버, DNS 서버, 내부 네트워크 및 PAT 풀용 네트워크 개체를 생성합니다. Objects(개체)를 선택합니다. 목차에서 Network(네트워크)를 선택하고 +를 클릭합니다. 실제 FTP 서버 주소를 정의합니다. 네트워크 개체의 이름을 ftp_server와 같이 지정하고 Host(호스트)를 선택한 후에 실제 호스트 IP 주소 209.165.200.225를 입력합니다. OK(확인)를 클릭합니다. +를 클릭하여 DNS 서버의 실제 주소를 정의합니다. 네트워크 개체의 이름을 dns_server와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.201.15를 입력합니다. OK(확인)를 클릭합니다. +를 클릭하여 내부 IPv6 네트워크를 정의합니다. 네트워크 개체의 이름을 inside_v6과 같이 지정하고 Network(네트워크)를 선택한 후에 네트워크 주소 2001:DB8::/96을 입력합니다. OK(확인)를 클릭합니다. +를 클릭하여 내부 IPv6 네트워크용 IPv4 PAT 주소를 정의합니다. 네트워크 개체의 이름을 ipv4_pat와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.200.230을 입력합니다. OK(확인)를 클릭합니다.
단계 2	FTP 서버에 대해 DNS를 수정하여 고정 NAT 규칙을 구성합니다. Policies(정책) > NAT를 선택합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = FTPServer 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 고정 Source Interface(원본 인터페이스) = outside Destination Interface(대상 인터페이스) = inside Original Address(원본 주소) = ftp_server 네트워크 개체 Translated Address(변환된 주소) = inside_v6 네트워크 개체 IPv4 주소를 IPv6 주소로 변환할 때는 IPv4 임베디드 주소 방법이 사용되므로 209.165.200.225는 동일한 IPv6 주소인 D1A5:C8E1로 변환되며, 네트워크 접두사가 추가되어 전체 주소는 2001:DB8::D1A5:C8E1이 됩니다. Advanced Options(고급 옵션) 탭에서 Translate DNS replies that match this rule(이 규칙과 일치하는 DNS 응답 변환)을 선택합니다. OK(확인)를 클릭합니다.
단계 3	DNS 서버용 고정 NAT 규칙을 구성합니다. Policies(정책) > NAT를 선택합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = DNSServer 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 고정 Source Interface(원본 인터페이스) = outside Destination Interface(대상 인터페이스) = inside Original Address(원본 주소) = dns_server 네트워크 개체 Translated Address(변환된 주소) = inside_v6 네트워크 개체 IPv4 주소를 IPv6 주소로 변환할 때는 IPv4 임베디드 주소 방법이 사용되므로 209.165.201.15는 동일한 IPv6 주소인 D1A5:C90F로 변환되며, 네트워크 접두사가 추가되어 전체 주소는 2001:DB8::D1A5:C90F가 됩니다. OK(확인)를 클릭합니다.
단계 4	내부 IPv6 네트워크용 동적 PAT 규칙을 구성합니다. Policies(정책) > NAT를 선택합니다. + 버튼을 클릭합니다. 다음 속성을 구성합니다. Title(제목) = PAT64Rule 또는 원하는 다른 이름 Create Rule For(규칙 생성) = 자동 NAT Type(유형) = 동적 Source Interface(원본 인터페이스) = inside Destination Interface(대상 인터페이스) = outside Original Address(원본 주소) = inside_v6 네트워크 개체 Translated Address(변환된 주소) = ipv4_pat 네트워크 개체 OK(확인)를 클릭합니다.

DNS 회신 수정, 외부의 DNS 서버

다음 그림은 인터페이스 외부에서 액세스할 수 있는 DNS 서버를 보여줍니다. ftp.cisco.com 서버는 내부 인터페이스에 있습니다. ftp.cisco.com 실제 주소(10.1.3.14)를 외부 네트워크에서 보이는 매핑된 주소(209.165.201.10)로 고정 변환하도록 NAT를 구성하십시오.

이 경우, 실제 주소를 사용하여 ftp.cisco.com에 액세스할 수 있는 내부 사용자가 DNS 서버에서 실제 주소(매핑된 주소가 아님)를 받을 수 있도록 고정 규칙에 대한 DNS 회신 수정을 사용할 수 있습니다.

내부 호스트가 ftp.cisco.com 주소에 DNS 요청을 전송하면, DNS 서버는 매핑된 주소(209.165.201.10)로 회신합니다. 시스템은 내부 서버에 대한 고정 규칙을 참조하여 DNS 회신에 있는 주소를 10.1.3.14로 변환합니다. DNS 회신 수정을 활성화하지 않으면 내부 호스트는 ftp.cisco.com에 직접 액세스하는 대신 트래픽을 209.165.201.10으로 전송하려고 시도하게 됩니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우에는 각 멤버 인터페이스에 대한 규칙을 중복 생성해야 합니다.

프로시저

단계 1

FTP 서버용 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
실제 FTP 서버 주소를 정의합니다.

네트워크 개체의 이름을 ftp_server와 같이 지정하고 Host(호스트)를 선택한 후에 실제 호스트 IP 주소 10.1.3.14를 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 FTP 서버의 변환된 주소를 정의합니다.

네트워크 개체의 이름을 ftp_server_outside와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 209.165.201.10을 입력합니다.

단계 2

FTP 서버에 대해 DNS를 수정하여 고정 NAT 규칙을 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = FTPServer 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 고정
- Source Interface(원본 인터페이스) = inside
- Destination Interface(대상 인터페이스) = outside
- Original Address(원본 주소) = ftp_server 네트워크 개체
- Translated Address(변환된 주소) = ftp_server_outside 네트워크 개체
- Advanced Options(고급 옵션) 탭에서 Translate DNS replies that match this rule(이 규칙과 일치하는 DNS 응답 변환)을 선택합니다.
OK(확인)를 클릭합니다.

DNS 회신 수정, 호스트 네트워크의 DNS 서버

다음 그림은 외부의 FTP 서버 및 DNS 서버를 보여줍니다. 시스템은 외부 서버에 대해 고정 변환을 수행합니다. 이 경우 내부 사용자가 DNS 서버에서 ftp.cisco.com에 대한 주소를 요청하면 DNS 서버는 실제 주소인 209.165.20.10으로 응답합니다. 내부 사용자가 ftp.cisco.com(10.1.2.56)에 대한 매핑된 주소를 사용하도록 하려면 고정 변환에 대해 DNS 회신 수정을 구성해야 합니다.

참고	이 예에서는 내부 인터페이스가 BVI(브리지 그룹 인터페이스)가 아닌 표준 라우팅 인터페이스라고 가정합니다. 내부 인터페이스가 BVI인 경우에는 각 멤버 인터페이스에 대한 규칙을 중복 생성해야 합니다.

프로시저

단계 1

FTP 서버용 네트워크 개체를 생성합니다.

Objects(개체)를 선택합니다.
목차에서 Network(네트워크)를 선택하고 +를 클릭합니다.
실제 FTP 서버 주소를 정의합니다.

네트워크 개체의 이름을 ftp_server와 같이 지정하고 Host(호스트)를 선택한 후에 실제 호스트 IP 주소 209.165.201.10을 입력합니다.
OK(확인)를 클릭합니다.
+를 클릭하여 FTP 서버의 변환된 주소를 정의합니다.

네트워크 개체의 이름을 ftp_server_translated와 같이 지정하고 Host(호스트)를 선택한 후에 호스트 주소 10.1.2.56을 입력합니다.

단계 2

FTP 서버에 대해 DNS를 수정하여 고정 NAT 규칙을 구성합니다.

Policies(정책) > NAT를 선택합니다.
+ 버튼을 클릭합니다.
다음 속성을 구성합니다.
- Title(제목) = FTPServer 또는 원하는 다른 이름
- Create Rule For(규칙 생성) = 자동 NAT
- Type(유형) = 고정
- Source Interface(원본 인터페이스) = outside
- Destination Interface(대상 인터페이스) = inside
- Original Address(원본 주소) = ftp_server 네트워크 개체
- Translated Address(변환된 주소) = ftp_server_translated 네트워크 개체
- Advanced Options(고급 옵션) 탭에서 Translate DNS replies that match this rule(이 규칙과 일치하는 DNS 응답 변환)을 선택합니다.
OK(확인)를 클릭합니다.

Cisco Secure Firewall Device Manager 구성 가이드, 버전 7.2

편견 없는 언어

번역에 관하여

결과

장: NAT(네트워크 주소 변환)

NAT(네트워크 주소 변환)

NAT를 사용해야 하는 이유

NAT 기본 사항

NAT 용어

NAT 유형

라우팅 모드의 NAT

자동 NAT 및 수동 NAT

자동 NAT

수동 NAT

자동 NAT와 수동 NAT 비교

NAT 규칙 순서

NAT 인터페이스

NAT 라우팅 구성

매핑된 인터페이스와 동일한 네트워크의 주소

고유한 네트워크의 주소

실제 주소와 동일한 주소(ID NAT)

NAT용 지침

인터페이스 지침

IPv6 NAT 지침

IPv6 NAT 모범 사례

검사된 프로토콜에 대한 NAT 지원

FQDN 대상 지침

NAT 추가 지침

NAT 구성

프로시저

동적 NAT

동적 NAT 정보

동적 NAT의 단점 및 장점

동적 자동 NAT 구성

시작하기 전에

프로시저

동적 수동 NAT 구성

시작하기 전에

프로시저

동적 PAT

동적 PAT 정보

동적 PAT의 단점 및 장점

동적 자동 PAT 구성

시작하기 전에

프로시저

동적 수동 PAT 구성

시작하기 전에

프로시저

고정 NAT

고정 NAT 정보

포트 변환 고정 NAT

일대다 고정 NAT

기타 매핑 시나리오(권장되지 않음)

고정 자동 NAT 구성

시작하기 전에

프로시저

고정 수동 NAT 구성

시작하기 전에

프로시저

ID NAT

ID 자동 NAT 구성

시작하기 전에

프로시저

ID 수동 NAT 구성

시작하기 전에

프로시저

Threat Defense NAT 규칙 속성

자동 NAT의 패킷 변환 속성

수동 NAT의 패킷 변환 속성

고급 NAT 속성

IPv6 네트워크 변환

NAT64/46: IPv6 주소를 IPv4로 변환

NAT64/46 예: 내부 IPv6 네트워크 및 외부 IPv4 인터넷

프로시저

NAT64/46 예: 내부 IPv6 네트워크와 외부 IPv4 인터넷 및 DNS 변환

프로시저

NAT66: IPv6 주소를 다른 IPv6 주소로 변환

NAT66 예, 네트워크 간의 고정 변환

프로시저

NAT66 예, 간단한 IPv6 인터페이스 PAT