Presentation is loading. Please wait.

Presentation is loading. Please wait.

14장. DHCP, NAT, IPv6 IPv4 주소부족 문제 해결을 위한 대책

Similar presentations


Presentation on theme: "14장. DHCP, NAT, IPv6 IPv4 주소부족 문제 해결을 위한 대책"— Presentation transcript:

1 14장. DHCP, NAT, IPv6 IPv4 주소부족 문제 해결을 위한 대책
2012년 2학기 중부대학교 정보보호학과 이병천 교수

2 IPv4 주소부족 문제에 대한 대책 DHCP NAT IPv6
사설IP주소를 사용할 수 있도록 하여 공인IP주소 사용을 줄임 IPv6 128비트 주소체계를 사용하여 주소부족 문제를 근본적 으로 해결

3 DHCP DHCP(Dynamic Host Configuration Protocol) 동적 호스트 구성 프로토콜
TCP/IP 통신을 실행하기 위해 필요한 설정정보를 자동적 으로 할당하고 관리하기 위한 통신 규약 (RFC 1541) IP주소의 자동관리로 관리의 편리성 향상 IP주소의 가용성을 높여줌 – 할당만 하고 사용하지 않는 주소를 줄임

4 DHCP DHCP의 주소할당 방식 동적할당(Dynamic allocation): 주소를 할당 받는 장치 에서 주소가 필요 없다는 메시지를 보낼 때까지 주소를 할당 자동할당(Automatic allocation): 주소를 영구적으로 할 당 수동할당(Manual allocation): 미리 할당된 주소를 장치 에게 전달하여 장치가 IP주소를 사용할 수 있도록 함

5 DHCP DHCP를 이용하여 IP 주소를 받는 과정
(1) DHCP discover: DHCP를 찾는 과정, 클라이언트는 브로드캐스팅(목 적지 주소가 )으로 DHCP 서버를 찾음. (2) DHCP Offer: DHCP 서버는 클라이언트에게 IP를 제공해 줄 의사가 있다고 통보  (3) DHCP request: DHCP 서버가 제공해준다는 IP에 대한 사용승인 요청 (4) DHCP ACK: 요청한 IP에 대하여 사용권 승인

6 DHCP 서버를 구성하는 2가지 방법 라우터를 DHCP 서버로 구성 DHCP 기능을 가지는 서버를 구축
소규모 네트워크의 라우터 DHCP 기능을 가지는 서버를 구축 중규모 이상의 네트워크에서는 별도의 DHCP 서버 운영 이 바람직함

7 라우터에서 DHCP 서버 설정 그림 DHCP 설정 실습 토폴로지

8 라우터에서 DHCP 서버 설정 Router(config)#interface FastEthernet0/0
Router(config-if)#ip address Router(config-if)#no shutdown Router(config)#ip dhcp excluded-address Router(config)#ip dhcp excluded-address Router(config)#ip dhcp pool inokyuni Router(dhcp-config)#network Router(dhcp-config)#dns-server Router(dhcp-config)#default-router Router(dhcp-config)#exit 라우터의 IP주소 설정 제외시킬 IP주소 범위 DHCP 서버이름 할당되는 IP주소대역, 서브넷마스크 DNS 서버 설정 디폴트게이트웨이 설정

9 라우터에서 DHCP 서버 설정 라우터에서 DHCP서버 구성시 설정해야 하는 사항 제외시킬 IP 주소 범위 정의
DNS 서버 설정 디폴트게이트웨이 설정 Netbios 서버 (현재버전에서 지원하지 않음) 도메인네임 설정 (현재버전에서 지원하지 않음) 임대기간 설정 (현재버전에서 지원하지 않음) 서비스 실행 (현재버전에서 지원하지 않음)

10 IP 자동설정 결과

11 라우터에서 주소할당 현황 보기 Show ip dhcp binding Router#show ip dhcp binding
IP address Client-ID/ Lease expiration Type Hardware address E0.B06D Automatic D8.88EA Automatic E.DE Automatic

12 DHCP 서버를 통한 DHCP 서비스 구성 라우터의 DHCP 구성 삭제 DHCP 서버 설정
Router(config)#no ip dhcp excluded-address Router(config)#no ip dhcp excluded-address Router(config)#no ip dhcp pool inokyuni

13 DHCP 서버를 통한 DHCP 서비스 구성 IP주소 할당 결과 확인

14 다른 브로드캐스트 영역을 위한 DHCP 서비스
다른 브로드캐스트 영역에 있는 PC2에게 DHCP 서비스를 제공하도록 설정

15 다른 브로드캐스트 영역을 위한 DHCP 서비스
라우터 기본 설정 게이트웨이 주소 등록 Router(config)#interface FastEthernet0/0 Router(config-if)#ip address Router(config-if)#no shutdown Router(config)#interface FastEthernet0/1 Router(config-if)#ip address

16 다른 브로드캐스트 영역을 위한 DHCP 서비스
PC2를 위한 DHCP 서비스 등록

17 다른 브로드캐스트 영역을 위한 DHCP 서비스
라우터의 fa0/1에 helper-address 등록 Router(config)#int fa0/1 Router(config-if)#ip helper-address 성공

18 NAT(Network Address Translation)
공인주소와 사설주소 공인주소: 인터넷과 같은 공중 네트워크에서 사용. 주소 가 중복되면 안됨. 허가받은 주소를 사용. 비용 발생 사설주소: 사설네트워크 내에서만 사용. 사설네트워크가 다르면 같은 주소를 써도 됨. 비용이 들지 않음. 사설주소대역 Class A 규모 : ~ Class B 규모 : ~ Class C 규모 : ~

19 NAT NAT란? 사설주소를 사용하는 장치가 공중네트워크와 통신하고자 할 때 사설IP주소를 공인IP주소로 변환해 주는 기술

20 NAT의 장단점 NAT의 장점 NAT의 단점 공인IP주소 사용을 줄여서 주소비용 절감 가능
패킷 처리에 지연 발생 패킷 추적이 어려움

21 NAT의 유형 정적 NAT 동적 NAT NAT 오버로딩 = PAT(port address translation)
사설IP주소와 공인IP주소가 1:1로 매칭. 고정된 IP주소를 가져야 하는 웹서버 등에 사용 외부에서 내부 사설망을 접속하고자 할 때 사용 동적 NAT 클라이언트가 요청하는 순서대로 공인IP주소를 부여 공인IP그룹과 사설IP그룹을 그룹 대 그룹으로 Mapping NAT 오버로딩 = PAT(port address translation) 여러 개의 사설IP주소를 하나의 공인IP주소(포트번호 이 용)로 변환 호스트마다 포트번호를 다르게 설정해서 하나의 공인 IP 주소로 외부와 통신가능

22 NAT에 사용되는 주소 Inside Local Inside Global Outside Global Outside Local
내부 컴퓨터들이 실제 사용하는 주소 (사설 IP) Inside Global 내부 컴퓨터들이 외부로 나갈 때 변환할 주소 (공인 IP) Outside Global 목적지 컴퓨터가 사용하는 공인 IP Outside Local 목적지 컴퓨터의 실제 주소 목적지 컴퓨터가 공인 IP를 사용하는 경우 Outside Global과 Outside Local은 같다.

23 NAT 실습 그림 NAT 실습 토폴로지

24 NAT 실습 IP주소 설정, 라우팅 설정 R1(config)#interface FastEthernet0/0
R1(config-if)#no shutdown R1(config-if)#ip address R1(config-if)#exit R1(config)#interface FastEthernet0/1 R1(config-if)#ip address R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network R1(config-router)#network R1(config-router)#no auto-summary R2(config)#interface FastEthernet0/0 R2(config-if)#no shutdown R2(config-if)#ip address R2(config-if)#exit R2(config)#interface FastEthernet0/1 R2(config-if)#ip address R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary

25 정적 NAT 실습 PC3의 주소를 변환해보자 192.168.1.2/24  203.230.7.3/24 로 변환
/24  /24 로 변환 R1(config)#ip nat inside source static R1(config)#int fa0/0 R1(config-if)#ip nat inside R1(config-if)#int fa0/1 R1(config-if)#ip nat outside

26 정적 NAT 실습 Ping 테스트 R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global icmp : : : :6 icmp : : : :7 icmp : : : :8 icmp : : : :9

27 동적 NAT 실습 /24의 호스트가 /24 네트 워크로 접근 시 /24~ /24 내 의 주소로 변환되어 나가도록 설정해보자 R1(config)#no ip nat inside source static - 앞에서 정의한 정적 NAT를 삭제 R1(config)#ip nat pool inokyuni netmask - inokyuni라는 이름을 가진 NAT를 구성. 변환될 공인IP주소 대역을 설정 R1(config)#ip nat inside source list 100 pool inokyuni - ACL 100번의 조건을 만족할 경우 inokyuni의 NAT를 실행 R1(config)#access-list 100 permit ip host - NAT가 동작할 조건을 ACL로 정의 R1(config)#int fa0/0 R1(config-if)#ip nat inside - 내부 인터페이스 지정 R1(config-if)#int fa0/1 R1(config-if)#ip nat outside - 외부 인터페이스 지정

28 여러가지 Show 명령 R1#show ip nat translations R1#show ip nat statistics
Pro Inside global Inside local Outside local Outside global icmp : : : :12 icmp : : : :13 icmp : : : :14 icmp : : : :15 icmp : : : :16 R1#show ip nat statistics Total translations: 5 (0 static, 5 dynamic, 5 extended) Outside Interfaces: FastEthernet0/1 Inside Interfaces: FastEthernet0/0 Hits: 23 Misses: 151 Expired translations: 26 Dynamic mappings: -- Inside Source access-list 100 pool inokyuni refCount 5 pool inokyuni: netmask start end type generic, total addresses 9 , allocated 1 (11%), misses 0

29 여러가지 Show 명령 R1#debug ip nat IP NAT debugging is on R1#
NAT: s= > , d= [38] NAT*: s= , d= > [41] NAT: s= > , d= [39] NAT*: s= , d= > [42] NAT: s= > , d= [40] NAT*: s= , d= > [43] NAT: s= > , d= [41] NAT*: s= , d= > [44] NAT: expiring ( ) icmp 13 (13) NAT: expiring ( ) icmp 14 (14) NAT: expiring ( ) icmp 15 (15) NAT: expiring ( ) icmp 16 (16)

30 PAT 실습 PAT(port address translation) 192.168.1.1에서 응답
R1(config)#ip nat inside source list 100 interface fa0/0 overload R1(config)#access-list 100 permit ip host R1(config)#int fa0/0 R1(config-if)#ip nat inside R1(config-if)#int fa0/1 R1(config-if)#ip nat outside R1(config-if)# PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=0ms TTL=126 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=0ms TTL=126 Reply from : bytes=32 time=1ms TTL=126 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 1ms, Average = 0ms 에서 응답

31 PAT 실습 Debug ip nat R1(config-if)#
NAT*: s= > , d= [48] NAT*: s= , d= > [51] NAT: s= > , d= [49] NAT*: s= , d= > [52] NAT: s= > , d= [50] NAT*: s= , d= > [53] NAT: s= > , d= [51] NAT*: s= , d= > [54] NAT: expiring ( ) icmp 21 (21) NAT: expiring ( ) icmp 22 (22) NAT: expiring ( ) icmp 23 (23) NAT: expiring ( ) icmp 24 (24) NAT: expiring ( ) icmp 25 (25)

32 IPv6 IPv6란? 128비트의 주소를 갖는 새로운 IP 체계

33 IPv6 IPv6 헤더 포맷 출발지주소 128비트 목적지주소 128비트

34 헤더 필드의 역할 버전 트래픽클래스: 우선순위 플로우레이블 페이로드 길이: 다음헤더 홉 제한
음성이나 화상 등의 실시간 데이터 트래픽의 경우 페이로드 길이: 페이로드의 길이를 바이트 단위로 표시 (최대 65536바이 트까지) 다음헤더 IPv6 기본헤더 다음에 어떤 확장헤더가 오는지 나타냄 홉 제한 IP패킷이 전송되는 거리를 Hop 단위로 제한

35 주소 규칙 주소 생략표기 규칙 각 필드에서 선행하는 0은 생략 가능
연속된 0은 모두 삭제할 수 있으며 2개의 이중콜론(::)으 로 표시. 주소당 한번만 사용 가능 FDEC : BA95 : 0074 : 3210 : 000F : BBFF : 0000 : FFFF FDEC : BA95 : 74 : 3210 : F : BBFF : 0 : FFFF FDEC : 0 : 0 : 0 : 0 : BBFF: 0 : FFFF FDEC : : BBFF : 0 : FFFF

36 IPv6 주소 포맷 FP : 주소 포맷의 식별자(001)
TLA ID : Top-Level Aggregation Identifier(공공적으로 패킷을 배송하는 서비스 제공자 RES : Reserved(미래를 위한 예약 비트) NLA ID : Next-Level Aggregation Identifier(TLA에 패킷을 배송받는 조직의 식별자) SLA ID : Site-Level Aggregation Identifier(조직 내부의 서브네트워크의 식별자) Interface ID : Interface Identifier(MAC 주소)

37 IPv6의 특징 주소 유형(통신 유형) 주소 자동 생성 기능 라우터의 부하 감소: 필드 간소화, 확장헤더 도입
유니캐스트: 단일 송신자와 단일 수신자 사이의 통신 멀티캐스트: 단일 송신자와 다중 수신자 사이의 통신 애니캐스트: 단일 송신자와 그룹 내에서 가장 가까운 곳 에 있는 일부 수신자들 사이의 통신 주소 자동 생성 기능 라우터의 부하 감소: 필드 간소화, 확장헤더 도입 IPSec 기본 탑재 호스트가 스스로 주소를 생성할 수 있음: 비상태형 자동설정(stateless auto-configuration)

38 IPv6의 특징 IPv4, IPv6 비교

39 IPv6 실습 그림 IPv6 실습 토폴로지

40 IPv6 설정 R1(config)#ipv6 unicast-routing R1(config)#int lo 0
R1(config-if)#ipv6 address 2002:ABCD:1039:4452::1/64 R1(config-if)#exit R1(config)#int fa0/0 R1(config-if)#ipv6 address 1002:ABCD:1039:4450::1/64 R1(config-if)#no shutdown R1(config)#do show ipv6 int brief FastEthernet0/ [up/down] FE80::2E0:F9FF:FE41:6501 1002:ABCD:1039:4450::1 FastEthernet0/ [administratively down/down] Loopback [up/up] FE80::2D0:BAFF:FED5:BC7B 2002:ABCD:1039:4452::1 Vlan [administratively down/down] R1(config)# R2(config)#ipv6 unicast-routing R2(config)#int lo 0 R2(config-if)#ipv6 address 3002:ABCD:1039:4452::1/64 R2(config-if)#exit R2(config)#int fa0/0 R2(config-if)#ipv6 address 1002:ABCD:1039:4450::2/64 R2(config-if)#no shutdown R2(config)#do show ipv6 int brief FastEthernet0/ [up/up] FE80::260:47FF:FE80:C001 1002:ABCD:1039:4450::2 FastEthernet0/ [administratively down/down] Loopback [up/up] FE80::2E0:F7FF:FE79:C3DC 3002:ABCD:1039:4452::1 Vlan [administratively down/down] R2(config)#

41 Ping 테스트 R1#ping 1002:ABCD:1039:4450::2 (같은 네트워크 성공)
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 1002:ABCD:1039:4450::2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/5/22 ms R1#ping 3002:ABCD:1039:4452:: (다른 네트워크 실패) Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 3002:ABCD:1039:4452::1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)

42 RIPng 설정 R1(config)#ipv6 router rip inokyuni R1(config-rtr)#exit
R1(config)#int loopback 0 R1(config-if)#ipv6 rip inokyuni enable R1(config-if)#exit R1(config)#int fa0/0 R2(config)#ipv6 router rip inokyuni R2(config-rtr)#exit R2(config)#int loopback 0 R2(config-if)#ipv6 rip inokyuni enable R2(config-if)#exit R2(config)#int fa0/0

43 라우팅 테이블 확인 R1#show ipv6 route IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external C :ABCD:1039:4450::/64 [0/0] via ::, FastEthernet0/0 L :ABCD:1039:4450::1/128 [0/0] C :ABCD:1039:4452::/64 [0/0] via ::, Loopback0 L :ABCD:1039:4452::1/128 [0/0] R :ABCD:1039:4452::/64 [120/2] via FE80::260:47FF:FE80:C001, FastEthernet0/0 L FF00::/8 [0/0] via ::, Null0 R1#ping 3002:ABCD:1039:4452::1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 3002:ABCD:1039:4452::1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms

44 OSPFv3 설정 R1(config)#ipv6 router ospf 1
R1(config-rtr)#router-id R1(config-rtr)#exit R1(config)#int loopback 0 R1(config-if)#ipv6 ospf 1 area 1 R1(config-if)#exit R1(config)#int fa0/0 R1(config-if)#ipv6 ospf 1 area 0 R2(config)#ipv6 router ospf 1 R2(config-rtr)#router-id R2(config-rtr)#exit R2(config)#int loopback 0 R2(config-if)#ipv6 ospf 1 area 2 R2(config-if)#exit R2(config)#int fa0/0 R2(config-if)#ipv6 ospf 1 area 0 R1#show ipv6 ospf neighbor Neighbor ID Pri State Dead Time Interface ID Interface FULL/BDR :00: FastEthernet0/0 R2#show ipv6 ospf neighbor FULL/DR :00: FastEthernet0/0

45 IPv6를 위한 EIGRP 설정 R1(config)#ipv6 router eigrp 10
R1(config-rtr)#router-id R1(config-rtr)#no shutdown R1(config-rtr)#exit R1(config)#int lo 0 R1(config-if)#ipv6 eigrp 10 R1(config-if)#exit R1(config)#int fa0/0 R2(config)#ipv6 router eigrp 10 R2(config-rtr)#router-id R2(config-rtr)#no shutdown R2(config-rtr)#exit R2(config)#int lo 0 R2(config-if)#ipv6 eigrp 10 R2(config-if)#exit R2(config)#int fa0/0

46 라우팅 테이블 R1#show ipv6 route IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external C :ABCD:1039:4450::/64 [0/0] via ::, FastEthernet0/0 L :ABCD:1039:4450::1/128 [0/0] C :ABCD:1039:4452::/64 [0/0] via ::, Loopback0 L :ABCD:1039:4452::1/128 [0/0] D :ABCD:1039:4452::/64 [90/156160] via FE80::260:47FF:FE80:C001, FastEthernet0/0 OI 3002:ABCD:1039:4452::1/128 [110/1] L FF00::/8 [0/0] via ::, Null0 R2#show ipv6 route IPv6 Routing Table - 7 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external C :ABCD:1039:4450::/64 [0/0] via ::, FastEthernet0/0 L :ABCD:1039:4450::2/128 [0/0] D :ABCD:1039:4452::/64 [90/156160] via FE80::2E0:F9FF:FE41:6501, FastEthernet0/0 OI 2002:ABCD:1039:4452::1/128 [110/1] C :ABCD:1039:4452::/64 [0/0] via ::, Loopback0 L :ABCD:1039:4452::1/128 [0/0] L FF00::/8 [0/0] via ::, Null0

47 라우팅 테이블 확인 R1(config-if)#do show ipv6 route ospf
IPv6 Routing Table - 7 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external OI 3002:ABCD:1039:4452::1/128 [110/1] via FE80::260:47FF:FE80:C001, FastEthernet0/0 R2(config-if)#do show ipv6 route ospf IPv6 Routing Table - 7 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external OI 2002:ABCD:1039:4452::1/128 [110/1] via FE80::2E0:F9FF:FE41:6501, FastEthernet0/0

48 14장 실습과제 1. DHCP 2. NAT 3. IPv6 다른 브로드캐스트 영역을 위한 DHCP 서비스
DHCP 서버를 통한 DHCP 서비스 구성 다른 브로드캐스트 영역을 위한 DHCP 서비스 2. NAT 정적 NAT 실습 동적 NAT 실습 PAT 실습 3. IPv6 라우팅 실습: RIPng, OSPFv3, EIGRP


Download ppt "14장. DHCP, NAT, IPv6 IPv4 주소부족 문제 해결을 위한 대책"

Similar presentations


Ads by Google