Dell Networking SONiC: NAT(Network Address Translation)

요약: 이 문서에서는 Dell Networking SONiC의 NAT(Network Address Translation)에 대해 설명합니다. 이 문서에서는 Dell SONiC 4.1을 실행하는 스위치를 사용합니다.

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

지침

 
필수 구성 요소
표준 인터페이스 명명은 개념을 시연하는 데 사용됩니다. Dell 문서 202172, Dell Networking S-Series를 참조하십시오. 기본 인터페이스 구성 - 인터페이스 명명에 대한 자세한 내용을 보려면 SONiC 4.0


인덱스

소개

참고: NAT(Network Address Translation)는 Cloud Standard, Cloud Premium, Enterprise Standard 및 Enterprise Premium 번들에서만 사용할 수 있습니다. NAT는 Edge Standard 번들에서 사용할 수 없습니다.

네트워크 주소 변환은 네트워크 외부의 리소스에 액세스하는 디바이스에 공용 IP 주소를 할당하는 프로세스를 활성화합니다. NAT는 로컬 네트워크에서 IP 주소 사용량을 절약합니다.

네트워크 내에서 전용 IP 주소 간에 트래픽을 라우팅하기 위해 NAT가 필요하지 않습니다. NAT 게이트웨이는 원격 디바이스와 통신할 때 로컬 네트워크 디바이스의 전용 IP 주소를 전역적으로 고유한 공용 IP 주소로 변환합니다.
 
참고: Z9432F-ON에서는 네트워크 주소 변환이 지원되지 않습니다.
 

NAT 활성화

NAT를 활성화하고 NAT 구성 모드에서 NAT 구성 명령을 입력하려면 다음을 수행합니다.
  • NAT를 활성화하려면 다음을 수행합니다.
sonic(config-nat)# enable

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable

  • NAT를 비활성화하려면 다음을 수행합니다.

DELLSONiC(config-nat)# no enable
 

NAT 구성 순서

NAT가 활성화된 후 다음 단계를 순서대로 완료할 수 있습니다.
  • NAT 영역 구성
  • 정적 NAT 항목 추가
  • L4 포트를 사용하여 정적 NAT 항목 추가
  • NAT 주소 풀 생성
  • NAT 바인딩 구성
  • 동적 NAT 시간 초과 구성
 

NAT 영역 생성

패킷이 구성된 인터페이스의 존을 이동할 때 패킷에서 NAT 주소 변환이 수행되도록 L3 인터페이스에서 NAT 존을 구성합니다. IP 주소로 구성된 모든 이더넷, VLAN, 포트 채널 또는 루프백 인터페이스에서 NAT 존을 구성할 수 있습니다. NAT 영역 번호의 범위는 0에서 3까지입니다.

패킷의 소스 영역은 패킷이 수신되는 인바운드 인터페이스의 영역입니다. 패킷의 대상 영역은 대상 주소의 L3 라우트 조회에서 L3 Next-hop 인터페이스의 영역입니다.
  • 소스 인터페이스에 입력되는 인바운드 트래픽은 정적 DNAT(Destination Network Address Translation) 변환을 사용하여 L3로 전달됩니다.
  • 대상 인터페이스에서 전송되는 아웃바운드 트래픽은 동적으로 SNAT(Source Network Address Translation)로 변환됩니다.
  • L3 인터페이스는 기본적으로 NAT 존 0에 있습니다. NAT 영역 0은 내부 영역으로 간주됩니다.
 
  • NAT 존을 생성하려면 다음을 수행합니다.
sonic(conf-if-interface)# nat-zone <0..3>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Eth1/2
DELLSONiC (conf-if-Eth1/2)# ip address 20.20.20.20/24
DELLSONiC (conf-if-Eth1/2)# nat-zone 1
DELLSONiC (conf-if-Eth1/2)# exit
DELLSONiC (config)# interface Vlan 5
DELLSONiC (conf-if-Vlan5)# ip address 23.23.23.23/24
DELLSONiC (conf-if-Vlan5)# nat-zone 1
DELLSONiC (conf-if-Vlan5)# exit
DELLSONiC (config)# interface PortChannel 2
DELLSONiC (conf-if-po2)# ip address 25.25.25.25/24
DELLSONiC (conf-if-po2)# nat-zone 1
DELLSONiC (conf-if-po2)# exit
DELLSONiC (config)# interface Loopback 1
DELLSONiC (conf-if-lo1)# ip address 10.10.10.10/32
DELLSONiC (conf-if-lo1)# nat-zone 2

  • NAT 존 삭제:

sonic(conf-if-interface)# no nat-zone <0..3>

DELLSONiC (conf-if-lo1)# no nat-zone 2
 

정적 NAT 항목을 생성합니다.

인터넷을 통해 네트워크 외부로 통신하려면 로컬 IP 주소를 전역 고유 IP 주소로 교체하도록 정적 NAT 항목을 수동으로 구성할 수 있습니다. 정적 NAT는 L4 포트 변환을 사용하거나 사용하지 않고 생성할 수 있습니다. L4 포트 참조가 있는 정적 NAT는 로컬 IP 주소와 TCP 또는 UDP 포트 번호를 TCP 또는 UDP 포트 번호가 있는 글로벌 IP 주소로 변환할 수 있습니다.
  • L4 포트 변환 없이 정적 NAT를 생성하려면 다음을 수행합니다.
sonic(conf-nat)# static basic global-ip local-ip [snat | dnat] [twice_nat_id value]
  • 소스 NAT(SNAT) - 로컬 네트워크의 소스 IP 주소를 외부 네트워크로 전송된 글로벌 IP 주소로 변환합니다. 외부 네트워크의 원격 디바이스는 글로벌 주소를 사용하여 로컬 디바이스에 액세스합니다.
  • DESTINATION NAT(DNAT) - 외부 네트워크에서 수신된 패킷의 대상 IP 주소를 로컬 네트워크에서 사용되는 로컬 IP 주소로 변환합니다. DNAT가 기본값입니다.
  • twice_nat_id 값 - 이 동일한 정적 항목에 대해 소스 및 대상 IP 주소 모두에서 주소 변환을 수행합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static basic 125.4.4.4 12.1.1.1
DELLSONiC(config-nat)# static basic 100.100.100.100 15.15.15.15 snat twice-nat-id 5
DELLSONiC(config-nat)# static basic 200.200.200.5 17.17.17.17 dnat twice-nat-id 5
  • L4 포트 변환을 사용하여 정적 NAT를 생성하려면 다음을 수행합니다.
sonic(conf-nat)# static {tcp | udp} global-ip global-port local-ip local-port [snat | dnat] [twice_nat_id value]
  • 소스 NAT(SNAT) - 로컬 네트워크의 소스 IP 주소 및 TCP/UDP 포트를 외부 네트워크로 전송되는 글로벌 IP 주소 및 TCP/UDP 포트로 변환합니다. 외부 네트워크의 원격 디바이스는 글로벌 주소와 L4 포트를 사용하여 로컬 디바이스에 액세스합니다.
  • DESTINATION NAT(DNAT) - 외부 네트워크에서 수신된 패킷의 대상 IP 주소 및 TCP/UDP 포트를 로컬 네트워크와 로컬 네트워크에 사용되는 로컬 IP 주소 및 TCP/UDP 포트로 변환합니다. DNAT가 기본값입니다.
  • twice_nat_id 값 - ID 이 동일한 정적 항목에 대해 소스 및 대상 IP 주소 모두에서 주소 변환을 수행합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static udp 148.56.7.7 8991 10.11.1.12 2000
DELLSONiC(config-nat)# static tcp 123.3.4.1 901 11.11.1.1 1000
DELLSONiC(config-nat)# static tcp 65.55.46.6 106 20.0.0.6 206 dnat twice-nat-id 200
DELLSONiC(config-nat)# static tcp 65.55.45.5 100 20.0.0.5 200 snat twice-nat-id 200
  • NAT 정적 항목을 삭제합니다.
sonic(conf-nat)# no static basic global-ip
sonic(conf-nat)# no static {tcp | udp} global-ip global-port

DELLSONiC(config-nat)# no static basic 125.4.4.4
DELLSONiC(config-nat)# no static basic 100.100.100.100
DELLSONiC(config-nat)# no static basic 200.200.200.5
DELLSONiC(config-nat)# no static udp 148.56.7.7 8991
DELLSONiC(config-nat)# no static tcp 123.3.4.1 901
DELLSONiC(config-nat)# no static tcp 65.55.46.6 106
DELLSONiC(config-nat)# no static tcp 65.55.45.5 100


정적 NAT 예

아래 예는 NAT가 활성화된 라우터를 사용하는 네트워크 A를 보여줍니다. LAN 세그먼트의 호스트 100.100.100.101이 외부 대상(200.200.200.201)으로 트래픽을 전송하면 트래픽이 인터넷에서 호스트 200.200.200.201로 라우팅될 NAT 라우터 쪽으로 전송됩니다. NAT 라우터는 소스 IP(SRC IP) 100.100.100.101을 새 소스 IP 1.1.1.2로 변환합니다. NAT 라우터는 100.100.100.101의 내부 개인 주소가 1.1.1.2의 외부 주소로 변환되는 소스 네트워크 주소 변환(SNAT)을 수행합니다. NAT 라우터는 호스트 200.200.200.201에서 다시 네트워크 A로 돌아와 100.100.100.101을 호스팅하는 반환 트래픽에 대해 DNAT(Destination Network Address Translation)를 수행합니다.
Statis NAT 예
그림 1: 정적 네트워크 주소 변환 예
  • NAT 존을 구성합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Eth1/10
DELLSONiC (conf-if-Eth1/10)# ip address 100.100.100.1/24
DELLSONiC (conf-if-Eth1/10)# nat-zone 0
DELLSONiC (conf-if-Eth1/10)# exit
DELLSONiC (config)# interface Eth1/20
DELLSONiC (conf-if-Eth1/20)# ip address 1.1.1.2/30
DELLSONiC (conf-if-Eth1/20)# nat-zone 1
DELLSONiC (conf-if-Eth1/20)# exit

  • NAT 활성화:

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable
  • L4 포트 변환 없이 정적 NAT를 생성합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# static basic 1.1.1.2 100.100.100.101

 

동적 NAT를 생성합니다. 

동적 NAT는 로컬 주소를 글로벌 주소 풀의 주소로 대체합니다.
동적 변환은 개인 네트워크의 여러 사용자가 인터넷에 액세스할 때 유용합니다.
 

NAT 주소 풀 구성  

전역 IP 주소 범위를 정의하고 필요에 따라 로컬 주소 변환에 사용되는 TCP/UDP 포트 범위를 정의하여 사용 가능한 글로벌 주소 풀을 구성합니다. 

  • NAT 주소 풀 생성:
sonic(conf-nat)# pool pool-name global-ip-range [global-port-range]
  1. ip-address-ip-address 형식으로 글로벌 IP 주소 범위를 입력합니다.
  2. TCP/UDP 포트 번호 범위를 포트 번호-포트 번호 형식으로 입력합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# pool Pool1 19.19.19.19
DELLSONiC(config-nat)# pool Pool2 20.0.0.7 1024-65535
DELLSONiC(config-nat)# pool Pool3 65.55.45.10-65.55.45.15 500-1000
  • NAT 주소 풀을 삭제합니다.
sonic(conf-nat)# no pool pool-name

DELLSONiC(config-nat)# no pool Pool1
  • 모든 NAT 주소 풀을 삭제합니다.
sonic(conf-nat)# no pools
 

NAT 바인딩 구성

  • NAT 주소 풀에 대한 NAT 바인딩을 생성합니다.
sonic(conf-nat)# binding binding-name pool-name [acl-name] [snat | dnat] [twice_nat_id value]
  • SNAT - 소스 IP 주소를 풀의 글로벌 IP 주소로 변환합니다. SNAT는 NAT 바인딩의 기본 설정입니다.
  • DNAT - 대상 IP 주소를 풀의 글로벌 IP 주소로 변환합니다.
  • twice_nat_id - ID 이 동일한 정적 항목에 대해 주소 풀을 사용하여 소스 및 대상 IP 주소 모두에서 주소 변환을 수행합니다.
  • acl-name - 글로벌 NAT 주소 풀의 IP 주소를 제한하려면 ACL(Access Control List)을 사용할 수 있습니다. 허가 문을 사용하면 허가 규칙에 속성이 구성된 IP 주소를 사용할 수 있습니다. 거부 문은 거부 규칙에 속성이 구성된 패킷을 거부합니다. ACL에서 do_not_nat 항목을 사용하면 번역되지 않고 패킷을 라우팅할 수 있습니다.
참고: ACL-NAME은 선택적 인수입니다. ACL-NAME 인수가 제공되지 않으면 NAT 바인딩이 모든 트래픽과 일치하도록 적용됩니다. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# binding Bind1 Pool1 10_ACL_IPV4
DELLSONiC(config-nat)# binding Bind2 Pool2 12_ACL_IPV4 snat twice-nat-id 25
DELLSONiC(config-nat)# binding Bind3 Pool3 15_ACL_IPV4 dnat twice-nat-id 25
  • NAT 바인딩 삭제:
sonic(conf-nat)# no binding binding-name

DELLSONiC(config-nat)# no binding Bind1
  • 모든 NAT 바인딩 삭제:
sonic(conf-nat)# no bindings

 

동적 NAT 시간 초과 구성 

기본적으로 활성 트래픽

이 없는 경우 10분(600초) 후에 동적 주소 변환 구성 시간 초과만 가능합니다. 정적 NAT 항목에 대한 시간 초과는 없습니다. 동적 NAT 시간 초과 값을 변경하려면 새 값을 초 단위로 지정합니다(300~432000).

  • 동적 주소 변환 구성 시간 초과 수정:
sonic(conf-nat)# timeout <300..432000>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# timeout 1200

L4 UDP 및 TCP NAT 항목의 NAT 입력 시간 초과도 조정할 수 있습니다.
주소 변환에 대한 TCP 시간 초과를 변경하려면 새 시간 초과 값을 초 단위로 입력합니다(300~432000, 기본값 86400). 주소 변환에 대한 UDP 시간 초과를 변경하려면 새 값을 초 단위로 입력합니다(120~600, 기본값 300).

  • 동적 주소 변환 구성 UDP/TCP 시간 초과 수정:
sonic(conf-nat)# udp-timeout <120..600>
sonic(conf-nat)# tcp-timeout <300..432000>

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# udp-timeout 600
DELLSONiC(config-nat)# tcp-timeout 66460

 

동적 NAT 예 

아래 예는 NAT가 활성화된 라우터를 사용하는 네트워크 A를 보여줍니다. LAN 세그먼트의 호스트 100.100.100.101이 외부 대상(200.200.200.201)으로 트래픽을 전송하면 트래픽이 인터넷에서 호스트 200.200.200.201로 라우팅될 NAT 라우터 쪽으로 전송됩니다. NAT 라우터는 소스 IP(SRC IP) 100.100.100.101을 새 소스 IP 1.1.1.2로 변환합니다. NAT 라우터는 100.100.100.101의 내부 개인 주소가 1.1.1.2의 외부 주소로 변환되는 소스 네트워크 주소 변환(SNAT)을 수행합니다. NAT 라우터는 호스트 200.200.200.201에서 다시 네트워크 A로 돌아와 100.100.100.101을 호스팅하는 반환 트래픽에 대해 DNAT(Destination Network Address Translation)를 수행합니다. PC2와 PC3의 통신을 위해 동일한 NAT 변환이 수행됩니다.

동적 NAT 예
그림 2: 동적 네트워크 주소 변환 예

  • NAT 존을 구성합니다.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC (config)# interface Vlan 100
DELLSONiC (conf-if-Vlan100)# ip address 100.100.100.1/24
DELLSONiC (conf-if-Vlan100)# nat-zone 0
DELLSONiC (conf-if-Vlan100)# exit
DELLSONiC (config)# interface Vlan 300
DELLSONiC (conf-if-Vlan300)# ip address 300.300.300.1/24
DELLSONiC (conf-if-Vlan300)# nat-zone 0
DELLSONiC (conf-if-Vlan300)# exit
DELLSONiC (config)# interface Eth1/20
DELLSONiC (conf-if-Eth1/20)# ip address 1.1.1.2/30
DELLSONiC (conf-if-Eth1/20)# nat-zone 1
DELLSONiC (conf-if-Eth1/20)# exit
  • NAT 활성화:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# enable
  • NAT 풀 생성:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# pool Pool1 1.1.1.2
  • NAT 바인딩 생성:
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# nat
DELLSONiC(config-nat)# binding Bind1 Pool1
 

NAT 구성 보기 

다음 명령을 사용하여 NAT 구성 및 작업 및 NAT 테이블 항목을 표시합니다.

  • NAT 변환 표 보기:
S5296F-Mid-SPINE# show nat translations
Protocol            Source              Destination         Translated Source   Translated Destination
----------------------------------------------------------------------------------------------------------------------------
all                 10.32.20.3          ----                100.100.100.1       ----
all                 ----                100.100.100.1       ----                10.32.20.3
udp                 ----                10.32.20.2:311      ----                100.100.100.100:63
udp                 100.100.100.100:63  ----                10.32.20.2:311      ----
  • NAT 번역 항목을 지우려면 다음을 수행합니다.
DELLSONiC# clear nat translations
  • NAT 변환 통계 보기:
DELLSONiC# show nat statistics
-----------------------------------------------------------------------------
Protocol       Source                        Destination                   Packets             Bytes
-----------------------------------------------------------------------------
udp            100.100.100.100:63            ---                           15522575563164      993444836042496
  • NAT 및 NAT 구성 보기:
DELLSONiC# show nat config static
---------------------------------------------------------------------------------------------------------------------
Nat Type       IP Protocol         Global IP                     Global L4 Port      Local IP                      Local L4 Port       Twice-Nat Id
----------------------------------------------------------------------------------------------------------------------------
dnat           all                 100.100.100.1                 ----                10.32.20.3                    ----                ----
  • NAT 풀 보기:
DELLSONiC# show nat config pool
Pool Name           Global IP Range               Global L4 Port Range
-----------------------------------------------------------------------------
POOL1               100.100.100.2                 1024-6034
POOL2               100.100.100.3-100.100.100.4   ----
  • NAT 바인딩 구성 보기:
DELLSONiC# show nat config bindings
Binding Name  Pool Name      Access-List         Nat Type       Twice-Nat Id
-----------------------------------------------------------------------------
EXT1          POOL1          ----                ----           ---
EXT2          POOL2          NAT_IPS             ----           ---
  • 글로벌 NAT 구성 보기:
DELLSONiC# show nat config globalvalues
Admin Mode     : enabled
Global Timeout : 600 secs
TCP Timeout    : 86400 secs
UDP Timeout    : 300 secs
  • L3 인터페이스 영역 보기:
DELLSONiC# show nat config zones
Port                Zone
-------------------------------------------------
Eth1/1              2
PortChannel12       2
Vlan200             1
Loopback1           1

  • NAT 번역 개수 보기:

DELLSONiC# show nat translations count
Static NAT Entries        ................. 2
Static NAPT Entries       ................. 0
Dynamic NAT Entries       ................. 0
Dynamic NAPT Entries      ................. 2
Static Twice NAT Entries  ................. 0
Static Twice NAPT Entries ................. 0
Dynamic Twice NAT Entries ................. 0
Dynamic Twice NAPT Entries ................ 0
Total SNAT/SNAPT Entries   ................ 2
Total DNAT/DNAPT Entries   ................ 2
Total Entries    .......................... 4

해당 제품

Enterprise SONiC Distribution, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
문서 속성
문서 번호: 000220835
문서 유형: How To
마지막 수정 시간: 08 2월 2024
버전:  5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.