사이트 수준 NAT 정책 구성

이 문서에서는 계정 내 사이트의 트래픽을 관리하고 우선 순위를 지정하기 위해 NAT 정책을 사용하는 방법을 설명합니다.

개요

관련 자원에 대한 접근성을 유지하면서 네트워크 트래픽을 변환하려는 조직이 직면한 많은 문제들이 있습니다. 특히 동일한 사설 IP 범위를 사용하는 사설 네트워크 간에 통신이 필요할 때 문제가 발생합니다. 또한 구조나 토폴로지를 노출하고 싶지 않은 자원을 보유할 수 있으며, 이 경우 특정 IP 주소에서 오는 것처럼 트래픽을 보이게 하기 위해 NAT를 사용할 수 있습니다.

대신, 웹 또는 파일 서버와 같은 내부 서비스에 대한 원격 액세스를 제공해야 할 수 있습니다. 하나의 공인 IP 주소를 제공한 후 이를 다른 내부 IP 주소로 변환할 수 있습니다.

카토는 특정 출발지 및 도착지 IP에 맞추어 사이트별 NAT 정책을 생성하고, 출발지 및 도착지 NAT(SNAT 및 DNAT)를 사이트로 향하는 아웃바운드 트래픽에 적용할 수 있도록 합니다.

Site-NAT-Architecture.png

NAT 정책은 정책이 구성된 사이트로 들어오는 트래픽(PoP에서) 에 적용됩니다.

  • 인터넷에서의 트래픽 (예: RPF)
  • 다른 카토 사이트에서의 트래픽 (예: WAN 트래픽)

포트 주소 변환(PAT)이 포함된 향상된 NAT

카토의 NAT 구현은 기본 IP 주소 변환을 넘어서 기본적으로 포트 주소 변환(PAT)을 포함하여 다대일 NAT 기능을 활성화합니다. 각 세션에 고유한 소스 포트 번호를 할당하여 변환된 IP 주소당 최대 65,536개의 동시 세션을 허용합니다. 그 결과, 여러 원래 IP 호스트가 동시에 변환된 IP를 통해 연결을 시작할 수 있으며, 세션의 고유성을 유지합니다.

이 세부적인 컨트롤은 다음과 같은 시나리오를 효율적으로 처리하는데 필수적입니다:

  • 단일 IP를 통해 노출된 여러 내부 서비스에 대한 접근
  • 수천 개의 세션을 IP 주소 리소스를 소진하지 않고 매핑해야 하는 고밀도 사용자 환경

PAT를 활용하여 카토는 확장 가능한 충돌 없는 연결성과 대량 트래픽 부하에서도 원활한 애플리케이션 성능을 보장합니다.

NAT 정책 사용 사례

다음 섹션에서는 SNAT 및 DNAT의 두 가지 예시 사용 사례를 제시합니다. 아래의 예시는 이러한 사용 사례의 규칙 기반을 보여줍니다.

Site-NAT-Policy.png

SNAT 사용 사례

이 시나리오에서는 IT 관리자 그룹이 SDP 클라이언트를 통해 연결되어 있습니다. 그들은 회사의 다른 IPsec 사이트 뒤에 위치한, 예를 들어 티켓 시스템 같은 제3자 리소스를 접근해야 합니다.

제3자는 특정 IP 주소를 사용하여 통신하라고 요구합니다. 예를 들어, 192.151.100.10. 원본 소스 IP(3)는 IT 관리자 그룹에 속하며 통신이 차단됩니다.

이를 해결하기 위해, 특정 관리자 그룹의 원본 소스 IP인 연결에 대해 NAT 정책 규칙을 생성할 수 있습니다. 티켓 시스템에 접근하려고 할 때, 관리자 IP 주소에 소스 NAT를 적용하여 192.151.100.10으로 변환하여 IT 관리자가 제3자 서버와 통신할 수 있도록 보장합니다.

DNAT 사용 사례

이 시나리오에서는 다른 그룹의 여러 호스트에서 하나의 IP 주소로 트래픽을 전송합니다. 이 머신들은 모두 단일 네트워크 주소, 예를 들어 203.0.113.96으로 패킷을 전송합니다.

네트워크 전반에서 최적의 성능을 유지하기 위해, 소스 IP 주소 및 트래픽 유형에 따라 트래픽을 다른 서버로 전송할 여러 DNAT 규칙을 생성할 수 있습니다:

  • VLAN1에서 203.0.113.96으로의 트래픽은 10.10.10.5로 전송됩니다

  • 재무 부서에서 203.0.113.96으로의 트래픽은 10.10.10.25로 전송됩니다

  • 조달 부서에서 203.0.113.96으로의 트래픽은 10.10.10.65로 전송됩니다

이렇게 하면 구성을 변경하지 않고도 각 그룹에 더 많은 머신을 추가할 수 있으며, 동시에 하나의 IP 주소로의 트래픽을 효율적으로 관리할 수 있습니다.

NAT 규칙 기반 작업하기

NAT 정책은 주문된 규칙을 사용합니다. 패킷이 도착하면 규칙에 대해 확인됩니다. 규칙이 일치하면 동작이 적용되고 다른 규칙은 처리되지 않습니다.

예를 들어, 연결이 규칙 #3과 일치할 경우, 동작이 연결에 적용되고 모든 후속 규칙은 무시됩니다. 연결이 어떤 규칙과도 일치하지 않는 경우, 원본 데이터로 처리됩니다.

NAT 정책 구성

이 섹션에서는 NAT에 대한 규칙 및 구성할 수 있는 객체, 포트, 서비스 정의 방법을 설명합니다.

NAT 규칙 정의

NAT 규칙을 생성하고 LAN 트래픽의 라우팅을 관리하기 위한 설정을 구성합니다.

NAT 정책 규칙은 약 1분 이내에 사이트에 적용됩니다.

소스 IP 변환으로 소켓 LAN IP의 레거시 구성을 사용하는 고객의 경우 이 구성은 권장하지 않습니다.

NAT 규칙을 정의하려면:

  1. 네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택하십시오.

    참고

    참고: 메뉴에서 NAT 정책을 볼 수 없고 활성화하고 싶다면, 계정 담당자 또는 고객 지원에 문의하세요.

  2. 네비게이션 메뉴에서 사이트 설정 > NAT을 클릭하세요.

  3. 새로 만들기를 클릭하세요. NAT 규칙 추가 패널이 열립니다.

  4. 일반 섹션에서 규칙에 대한 다음 설정을 구성합니다:

    • 규칙의 이름을 입력하세요.

    • 슬라이드를 사용하여 규칙을 활성화 또는 비활성화합니다 (초록색은 활성화, 회색은 비활성화).

    • 규칙 순서를 구성합니다. 더 구체적인 규칙에는 더 높은 숫자를, 덜 구체적인 규칙에는 더 낮은 숫자를 정의하세요.

  5. 원본 소스 IP 설정을 구성합니다.

    • IP 범위 또는 모두를 선택하세요.

      IP 범위는 단일 IP 주소 또는 주소 범위일 수 있습니다. 여러 항목을 만들 수 있습니다.

  6. 원본 목적지 IP 및 포트/프로토콜 설정을 구성합니다:

    • 목적지 IP 아래에서 IP 범위 또는 모두를 선택하세요.

      IP 범위는 단일 IP 주소 또는 주소 범위일 수 있습니다. 여러 항목을 만들 수 있습니다.

    • 목적지 포트/프로토콜 아래에서 포트/프로토콜 형식을 사용하여 프로토콜 및 포트를 정의하세요:

      예시, TCP/80, UDP/53, TCP/443

  7. NAT 동작 아래에서 소스 또는 목적지 NAT를 변경할지 결정합니다. 소스와 목적지를 모두 변경할 수 있지만, 두 원본 주소를 모두 유지할 수는 없습니다.

  8. 적용을 클릭한 후 저장을 클릭합니다.

    규칙이 테이블에 추가됩니다.

도움이 되었습니까?

5명 중 5명이 도움이 되었다고 했습니다.

댓글 0개