[NAT] NAT 설정에 따른 트러블 슈팅

 

 

1. NAT 설정 누락으로 인한 통신 장애

- 문제 상황

 VLAN 50의 시스템에서 VLAN 10의 시스템으로 통신이 되지 않는 장애가 발생했다. 이를 확인하기 위해 show ip cache flow 명령어를 통해 트래픽 흐름을 점검한 결과, 초기 접속 트래픽은 확인되었지만 응답 트래픽은 보이지 않는다.

 

- 원인 분석

 

• show ip nat transaction 및 show ip nat statistics 명령어를 실행한 결과, 초기 접속 트래픽(예: 172.16.10.10 -> 10.223.18.1)은 NAT가 정상적으로 동작했으나, 응답 트래픽은 NAT되지 않고 192.168.3.254로 전송되어 통신이 절단된다.
• 핵심 원인: NAT의 내부(inside)와 외부(outside) 범위가 명확하게 정의되지 않아 NAT 처리에서 오류가 발생한다.

 

 

- 해결 방법

 NAT의 내부 및 외부 네트워크 범위를 명확하게 설정해주어야 한다. 이를 위해 VLAN 40에 ip nat outside 명령을 설정하여 NAT 처리를 정상적으로 동작하도록 수정한다.

 

2. NAT 구성된 복잡한 네트워크 설정

- 문제 상황

 

• VLAN 200은 사설 IP 대역(10.10.50.0/24)으로 구성되어 있으며, 외부와의 통신을 위해 192.168.100.0/24 대역의 일부 IP를 사용하여 NAT를 통해 연결되고 있다.
• VLAN 100 또한 192.168.100.0/24 대역을 사용하며, 외부 발신지 IP로 허가된 서버와 통신을 하고 있다.
• VLAN 200의 10.10.50.10 시스템과 VLAN 100의 192.168.100.10 시스템 간에 통신이 필요하다. 이 두 시스템은 기본적으로 상호 통신을 하지 않지만, 특정 요구에 따라 연결을 시도한다.

 

 

- 네트워크 구성

 

• L3 스위치들(L3 SW1, L3 SW2, L3 SW4)은 VLAN 10의 동일한 네트워크 대역을 사용한다.
• VLAN 100과 VLAN 200 간의 통신은 방화벽 192.168.10.254를 경유해야 한다.

- 문제 분석

• NAT 설정은 정상적으로 구성되어 있지만, 네트워크 구성 자체에 복잡성이 있다. 외부 사이트와의 접점에서 NAT를 설정하는 것이 바람직하나, 현재 서비스가 진행 중인 상황에서는 즉시 조정이 어려운 상황이다.

 

- 해결 방법

 

• 프록시 ARP 설정: 프록시 ARP를 사용하여 VLAN 100과 VLAN 200 간의 통신을 가능하게 한다. 이 방법은 서로 다른 서브넷에 있는 시스템들이 동일한 네트워크처럼 동작할 수 있도록 한다.
• 정적 호스트 라우팅: VLAN 100에서 VLAN 200으로의 트래픽이 방화벽을 거쳐 올바른 방향으로 전달되도록 정적 라우팅을 추가한다.

 

 

- L3 SW4에서의 설정 변경

프록시 ARP 설정 enable	ip proxy-arp
백본 및 서버 A에 32비트 호스트 라우팅 추가	ip route 192.168.100.20 255.255.255.255 192.168.10.254 route add 192.168.100.20 mask 255.255.255.255 192.168.100.1