DHCP, NAT, ACL 설정 유형
라우터에서 하는 서버 역할
라우터는 패킷을 전달하는 것이 본업이지만, DHCP 서버, NAT(주소 변환), ACL(접근 제어)도 수행할 수 있습니다. 시험에서는 이 세 가지를 각각 또는 조합하여 출제합니다.
DHCP 설정
라우터를 DHCP 서버로 동작시키는 설정입니다.
기본 패턴
Router> enable
Router# configure terminal
Router(config)# ip dhcp pool MYPOOL
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# exit
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
Router(config)# exit
Router# copy running-config startup-config
명령어 상세
| 명령어 | 설명 |
|---|---|
ip dhcp pool [이름] |
DHCP 풀 생성 (이름은 자유) |
network [네트워크] [마스크] |
배포할 IP 대역 |
default-router [IP] |
기본 게이트웨이 |
dns-server [IP] |
DNS 서버 주소 |
lease [일] [시간] [분] |
임대 기간 (기본 1일) |
ip dhcp excluded-address [시작] [끝] |
제외 주소 범위 |
시험 포인트
ip dhcp excluded-address는 DHCP 풀 안이 아니라 글로벌 설정 모드에서 입력합니다.Router(config)#프롬프트에서 입력해야 합니다.Router(dhcp-config)#에서 입력하면 오류가 납니다.
NAT 설정
NAT(Network Address Translation)는 사설 IP를 공인 IP로 변환하는 기능입니다. 시험에서는 주로 정적 NAT이나 동적 NAT을 설정합니다.
정적 NAT
하나의 사설 IP를 하나의 공인 IP에 고정 매핑합니다.
Router> enable
Router# configure terminal
Router(config)# ip nat inside source static 192.168.1.10 203.230.7.1
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial0/0
Router(config-if)# ip nat outside
Router(config-if)# exit
Router(config)# exit
Router# copy running-config startup-config
핵심은 세 가지입니다.
ip nat inside source static [사설IP] [공인IP]- 매핑 규칙 정의- 내부 인터페이스에
ip nat inside표시 - 외부 인터페이스에
ip nat outside표시
동적 NAT
여러 사설 IP를 공인 IP 풀에서 동적으로 매핑합니다.
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat pool NATPOOL 203.230.7.1 203.230.7.10 netmask 255.255.255.0
Router(config)# ip nat inside source list 1 pool NATPOOL
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface Serial0/0
Router(config-if)# ip nat outside
동적 NAT에서는 ACL로 대상 트래픽을 지정하고, NAT 풀로 공인 IP 범위를 정의합니다.
시험 포인트 NAT에서
inside와outside를 반대로 설정하면 변환이 동작하지 않습니다. LAN 쪽이inside, WAN 쪽이outside입니다.
ACL 설정
ACL(Access Control List)은 트래픽을 허용하거나 차단하는 규칙 목록입니다.
표준 ACL (1~99)
출발지 IP만으로 필터링합니다.
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 deny 10.0.0.0 0.0.0.255
Router(config)# access-list 1 permit any
access-list [번호] permit/deny [IP] [와일드카드]- 번호 1~99는 표준 ACL
any는 모든 IP를 의미
확장 ACL (100~199)
출발지, 목적지, 프로토콜, 포트까지 필터링합니다.
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 100 deny ip 10.0.0.0 0.0.0.255 any
Router(config)# access-list 100 permit ip any any
access-list [번호] permit/deny [프로토콜] [출발지] [와일드카드] [목적지] [와일드카드] eq [포트]eq 80은 HTTP 포트를 의미
ACL 적용
ACL을 만든 뒤 인터페이스에 적용해야 동작합니다.
Router(config)# interface FastEthernet0/0
Router(config-if)# ip access-group 1 in
ip access-group [ACL번호] in/outin: 들어오는 트래픽에 적용out: 나가는 트래픽에 적용
와일드카드 마스크
ACL에서는 서브넷 마스크 대신 와일드카드 마스크를 사용합니다. 와일드카드 마스크는 서브넷 마스크를 비트 반전한 것입니다.
| 서브넷 마스크 | 와일드카드 마스크 |
|---|---|
| 255.255.255.0 | 0.0.0.255 |
| 255.255.255.128 | 0.0.0.127 |
| 255.255.255.192 | 0.0.0.63 |
| 255.255.0.0 | 0.0.255.255 |
| 255.0.0.0 | 0.255.255.255 |
와일드카드 마스크에서 0은 "일치해야 하는 비트", 1은 "무시하는 비트"입니다.
시험 포인트
- DHCP 제외 주소는 글로벌 설정 모드에서 입력합니다(DHCP 풀 안이 아님).
- NAT 설정에서 inside/outside 인터페이스 지정을 빠뜨리지 마세요.
- ACL은 만든 뒤 인터페이스에 적용(
ip access-group)해야 동작합니다.- 와일드카드 마스크 = 255.255.255.255 - 서브넷 마스크
- ACL 마지막에는 암시적
deny any가 있습니다. 허용할 트래픽이 있으면permit any를 명시하세요.