CISCO L3 NAT 구성

## Switch port ##

 

 

 

-L2 port(switch port):(ip X)access/trunk/tunnel

 

-L3 port:(ip 0)routed port / SVI

 

모델마다차이가있으나 ip 입력을했을때설정이안먹히면 L3 sw는 L2가기본적으로되어 L3 SW 설정을해줘야함.

 

• No switchport설정은 interface에들어갈때마다해야함

 

SW1(config)#int f 0/1

 

SW1(config-if)#no switchport

 

SW1(config-if)#ip add 1.1.1.254 255.255.255.0

 

 

 

*Routing table 설정

 

SW1(config)#ip routing (sw routing 설정시입력해줘야함)

 

SW1(config)#router rip

 

SW1(config-router)#ver 2

 

SW1(config-router)#network 3.0.0.0

 

SW1(config-router)#network 1.0.0.0

 

SW1(config-router)#no autosummary

 

 

 

## L3 switch를이용한 Inter-VLAN Routing##

 

• Router -

 

1. Major interface

 

2. Sub-interface

 

 

 

• L3 Switch -

 

1. Routed port

 

• L3 스위치에 ip 설정

 

interface FastEthernet0/21

 

 no switchport

 

 ip address 1.1.10.254 255.255.255.0

 

interface FastEthernet0/22

 

 no switchport

 

 ip address 1.1.20.254 255.255.255.0

 

interface FastEthernet0/23

 

 no switchport

 

 ip address 1.1.30.254 255.255.255.0

 

• L3스위치와마주보는빽본스위치에서 VLAN 설정

 

BB(config)#int f 0/21

 

BB(config-if)#sw mo ac

 

BB(config-if)#sw ac vl 10

 

BB(config-if)#exit

 

BB(config)#int f 0/22

 

BB(config-if)#sw mo ac

 

BB(config-if)#sw ac vl 20

 

BB(config-if)#int f 0/23

 

BB(config-if)#sw mo ac

 

BB(config-if)#sw ac vl 30

 

• L3 SW는처음엔라우팅기능이없어 ping이전달이안됨그래서 L3 SW는SW1(config)#ip routing를주지않으면 Routing Table이보이지않음

 

 

 

## SVI(switch virtual Interface) ##

 

2) SVI

 

Router : loopback  /  switch : SVI(VLAN)으로생성함

 

-L2 Switch -> 관리용 (원격접근)

 

               -> 여러개의 SVI 생성시그중하나만사용가능

 

 

 

-L3 switch -> 관리용 / Gateway용 / Routing용

 

 -> 여러개의 SVI 생성시모두사용가능

 

 

 

switch:SVI(VLAN)으로생성 ( VLAN 10 일경우는 no shutdown 줘야함)

 

1F_SW(config)#interface vlan 10

 

1F_SW(config-if)#ip add 1.1.10.10 255.255.255.0

 

 

 

1F_SW(config-if)#line vty 0 4 (5명까지접속가능)

 

username admin password cisco 가능

 

1F_SW(config-line)#password cisco

 

1F_SW(config-line)#login

 

PC 에서 telnet 접근가능함 / PC에서 telnet이접근이안될경우는게이트웨이가설정되지않아돌아오는길이핑이끊김(Routing Protocol 설정할수없으니설정이라생각하면됨)

 

1F_SW(config)#ip default-gateway 1.1.10.254

 

 

 

- L3 스위치에게 Routing 기능을 부여하는 명령어는 [ip routing]

 

  명령어이다.

 

 

 

*SVI 설정 (switch의가상에 interface)

 

SW1(config-if)#no switchport / Routing이되게변경

 

SW1(config)#int f 0/1

 

 

 

L3_SW(config-vlan)#vlan 10

 

L3_SW(config-vlan)#vlan 20

 

L3_SW(config-vlan)#vlan 30

 

L3Switch(config)#int f 0/10

 

L3Switch(config-if)#switchport trunk encapsulation dot1q

 

L3Switch(config-if)#switchport mode trunk

 

L3Switch(config-if)#switchport trunk allowed vlan 10,20,30

 

L3Switch(config-if)#switchport nonegotiate

 

L3Switch(config)#inter vlan 10

 

L3Switch(config-if)#ip add 1.1.10.254 255.255.255.0

 

L3Switch(config)#inter vlan 20

 

L3Switch(config-if)#ip add 1.1.20.254 255.255.255.0

 

L3Switch(config)#inter vlan 30

 

L3Switch(config-if)#ip add 1.1.30.254 255.255.255.0

 

L3Switch(config)#ip routing // Routing table을볼려면꼭해야함

 

BB(config)#int f 0/10

 

BB(config-if)#switchport mode trunk

 

BB(config-if)#switchport trunk allowed vlan 10,20,30

 

BB(config-if)#switchport nonegotiate

 

 

 

• 내부단은라우터보다 L3 SW를사용하는게효율적임

 

• 말단은 access단으로설정함

 

• SW와SW 사이는 trunk 사용
• 보안성으로유저와서버와같이붙여놓치않음
• NAT(1:1=static, n:n=dynamic, 1:n=PAT)

 

 

 

 

 

서로 pc통신가능, L2 SW 모두 telnet 접속가능

 

지사끼리통신가능

 

본사내부 routing protocol

 

백본sw 모두 default으로넘겨줌

 

 

 

• Access-list설정

 

 

 

##NAT##

 

A class 10.x.x.x/8

 

B class 172.16.x.x/16 ~ 172.31.x.x/16

 

C class 192.168.0.x/24 ~ 192.168.255.x/24 --> 192.168.0.0/16

 

• 사설 ip는기업내부에서사용하는통신하는 ip.

 

##NAT 설정##

 

*Dynamic NAT

 

Ip변환에서사용할전역주소풀설정

 

:ip nat pool bane start-ip end-ip netmask

 

 

 

 

 

 

 

내부에서 ip 변환을허용할주소를 standard Access-list로정의한다

 

:access-list number permit source-address

 

동적변환을수립하기위한 NAT 설정

 

:in nat inside source list 10 access-list interface fa0/1 name (overload)

 

각인터페이스로이동후내부와외부를각각설정함

 

:ip nat inside / :ip nat outside

 

 

NAT:int f 0/1

 

NAT:ip add 100.123.65.1 255.255.255.0

 

NAT:no sh

 

NAT:int f 0/0

 

NAT:ip add 192.168.1.1 255.255.255.0

 

NAT:no sh

 

 

 

NAT:ip route 0.0.0.0 0.0.0.0(ip default-gateway) 100.123.65.2 isp 공인ip 공간

 

NAT:access-list 10 permit 192.168.1.0 0.0.0.255 // 사설ip 허용

 

 

 

10.10.0.0 0.0.255.255 

 

10.10.10.0 0.0.0.255

 

10.10.20.0 0.0.0.255

 

10.10.30.0 0.0.0.255 - 묶어서 10.10.0.0 ~0.0.255.255 로입력가능

 

 

 

NAT:ip nat inside source list 10 int f 0/1 overload // nat를 f 0/1을공인ip로

 

NAT:int f 0/0

 

NAT: ip nat inside / 사설ip

 

NAT:int f 0/1

 

NAT: ip nat outside /공인ip

 

NAT:sh ip nat translations // nat설정확인

 

 

 

• NAT ( 비용절감및 ip 개수부족, 보안성)

 

1.static (1:1) -> 평소에도들어옴 / 외부에서내부로들어올때

 

 

 

2.dynamic (n:n) -> 그룹:그룹이기때문에평소에연결안됨외부에서내부로나가는순간에특정공인 ip를하나씩물고외부로나감

 

 

 

3.PAT (1:n) -> 하나공인 ip로사설 ip로사용 / 공유기와비슷함

 

     하나의 port로많은(이론상약 64,000) 사설 ip 사용가능

 

     pool대신 int s 0/0로사용가능

 

 

 

 NAT table

 

사설 ip (local)		공인 ip (global)
10.10.10.1	<->	201.100.10.1
10.10.10.2	<->	201.100.10.2
10.10.10.3	<->	201.100.10.3

 

[출처] L3 switch, SVI|작성자 dhaudry88