NAT(Network Address Translation)란?

회사에서 주로 사용하는 NAT(Network Address Translation)에 대해 알아보자!

NAT(Network Address Translation)

공인 IP주소를 사설 IP주소로 바꿔주는 데 사용하는 통신망의 주소 변환기

(+ 라우터(router) 등의 장비를 사용하여 다수의 사설 IP를 하나의 공인 IP주소로 변환하는 기술)

 

NAT를 사용하는 목적

1. 인터넷의 공인 IP주소를 절약할 수 있다.

2. 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자로부터 보호할 수 있다.

 

why? 

1. 인터넷의 공인 IP주소는 한정되어 있기 때문에 가급적 이를 공유할 수 있도록 하는 것이 필요하기 때문

2. 보안 측면에서도 다수의 사설 IP주소를 가지는 것보다 하나의 공인 IP를 사용하는 것이 보안측면에서도 유리하기 때문

이에 대해 조금더 구체적으로 정리해보자면

공개된 인터넷과 사설망 사이에 방화벽(Firewall)을 설치하여 외부 공격으로부터 사용자의 통신망을 보호하는 기본적인 수단으로 활용할 수 있고, 이때 외부 통신망 즉, 인터넷망과 연결하는 장비인 라우터(router)에 NAT를 설정할 경우 라우터는 자신에게 할당된 공인 IP주소만 외부로 알려지게 하고, 내부에서는 사설 IP주소만 사용하도록 하여 필요시에 이를 서로 변환시켜 주는 역할을 한다. 따라서 외부 침입자가 공격하기 위해서는 사설망의 내부 사설 IP주소를 알아야 하기 때문에 이처럼 공인 IP주소를 사용하게되면 공격이 불가능해지므로 내부 네트워크를 보호할 수 있다.

---

그렇다면 회사에서는 NAT를 주로 어떻게 사용하는가?

보통 회사에서는 망을 두개로 분리해서 사용한다.

 

내부망을 사용하는 PC에는 사설 IP를 제공하여 회사에서 사용하는 프로그램들을 사용하여 업무를 보고,

외부망을 사용하여 인터넷 연결시엔 Nat로 공인 IP를 사용하는 형태로 사용한다.

​

 

---

NAT의 종류

• Static NAT
• Dynamic NAT
• PAT(Port Address Translation)

 

Static NAT (1:1 NAT)

공인 IP 1개 : 사설 IP 1개 를 맵핑하여 변환 합니다.

출처 : https://blog.pages.kr/1042

 

가장 쉬운 변환 방법이지만,

이 경우 사용하려는 사설 IP 갯수 만큼 공인 IP가 필요합니다.

따라서 공인 IP를 효율적으로 쓰고자 하는 목적으로는 의미가 없습니다.

 

따라서, Static NAT를 쓰는 주된 이유는

사설 대역의 서버가 역할이 많아 포트포워딩 작업이 많이 필요한 경우,

아예 해당 사설 서버의 IP를 공인 IP로 맵핑하기 위한 목적으로 사용합니다.

 

 

Dynamic NAT

공인 IP 여러개 : 사설 IP 여러개 를 맵핑하여 변환 합니다.

현재 사용중이지 않은 공인 IP에 사설 IP를 동적으로 맵핑 합니다.

출처 : https://blog.pages.kr/1042

 

보통 공인 IP가 사설 IP 보다 적을 경우에 사용됩니다.

따라서 공인 IP를 효율적으로 사용하려는 목적에 부합하는 NAT 방식 입니다.

 

 

PAT (Port Address Translation)

공인 IP 1개 : 사설 IP 여러개 를 맵핑하여 변환 합니다.

사설 네트워크 내 각 호스트마다 포트번호(편의상 공인 포트라고 하겠습니다)를 지정해주어,

사설 IP+포트번호를 하나의 공인 IP + 공인 포트번호로 맵핑합니다.

출처 : https://blog.pages.kr/1042

 

 

포트번호까지 고려하기 때문에 Port Address Translation이라고 부릅니다.

사설망 내 호스트마다 공인포트번호를 지정하여 고려해주는 이유는,

공인망에서 사설망으로 들어오는 패킷을 사설망 내 올바른 호스트에 전달 해주기 위해서 입니다.

 

사설망내에서 외부로 보내진 패킷의 경우

SRC IP 주소가 이미 공인IP로 변경되어 전송되기 때문에.

이 패킷의 response 패킷은 DST IP로 공인 IP를 입력하게 되죠.

그럼, 내부 사설망에서는 이 패킷을 어떤 호스트에게 전달 해야할 지 알 수 없습니다.

 

따라서 NAT와 함께 호스트 구분을 위해 포트번호를 사용하는 것이 PAT 변환 입니다.

 

그런데 PAT는 공인 IP 뿐만 아니라 포트까지 함께 패킷에 사용되기 때문에,

공인 포트번호에 맵핑된 호스트의 사설 IP를 찾아,

올바른 호스트에게 패킷을 전달해줄 수 있는 것 입니다.