학문
네트워크 VPN의 SNAT와 관련된 질문 몇가지입니다
1. VPN의 하단장비의 아이피가 예를들면 1.2.3.4라고 하겠습니다
이 아이피가 VPN을 타고 123.456.78.9 로 SNAT 정책되어 상단장비로 가려는데
이때 상단장비(L4스위치)가 123.456.78.N 이 아닌 114.456.78.N 와 같이 쌩뚱맞은 대역이면 나갈수 있을까요?
2.vpn내부의 인터페이스 아이피와 게이트웨이의 아이피는 무슨 관계인가요?
또한 인터페이스와 게이트웨이의 아이피가 겹치면 왜 안되는지 궁금합니다
3개의 답변이 있어요!
안녕하세요. 고한석 전문가입니다.
SNAT은 출발지 IP만 변환하는 기술이므로, 하단 장비의 1.2.3.4가 VPN을 통해 123.456.78.9로 변환되어 나가더라도 상단 L4 스위치의 IP 대역이 114.456.78.N처럼 전혀 다른 대역이어도 라우팅 경로가 정상적으로 구성되어 있다면 통신은 가능합니다. 다만, 상단 장비에서 특정 대역만 허용하도록 ACL이나 보안 정책이 설정되어 있다면 해당 트래픽은 차단될 수 있습니다. VPN 내부에서 인터페이스 IP는 해당 장비 자신의 주소를 의미하고, 게이트웨이 IP는 외부 네트워크로 나가기 위한 다음 홉 주소를 의미합니다. 일반적으로 인터페이스와 게이트웨이 IP는 같은 네트워크 대역에 존재해야 ARP를 통해 서로를 인식하고 통신할 수 있습니다. 만약 두 IP가 동일하거나 주소가 충돌하면 ARP 테이블 혼선이 발생하여 패킷 전달이 정상적으로 이루어지지 않습니다.
안녕하세요. 조일현 전문가입니다.
1.트래픽은 나갈 수 있겠으나 응답이 없을 수 있습니다.
즉,NAT는 동작하지만 L4가 명확해야합니다.
2. 두 관계는 출발과 목적지 역할을 합니다.
이 두가지 겹치면 패킷이 무한 루프로 돌거나 드롭 되며 ARP충돌 및 OS 제약이 따르게 됩니다.
인터페이스와 게이트웨이는 다른 IP여야만 합니다.
안녕하세요. 서종현 전문가입니다.
SNAT내부 IP(예:1.2.34)를 외부IP(예:123.456.78.9)로 변경해 통신하게 하는 기술입니다. 만약 상단장비(L4스위치)의 IP대역이 SNAT 적용된 외부 IP 대역(123.456.78.N)과 전혀 다른 대역(114.456.78.N)이라면 그 네트워크 내 라우팅 설정이 올바르게 되어 있지 않으면 패킷이 정상적으로 전달되기 어렵습니다. 즉, 상단 장비는 SNAT된 IP 대역에 맞는 라우팅 경로가 있어야 통신이 가능합니다.
VPN 내부 인터페이스 IP는 해당 네트워크 내 장비 자신이 가진 주소이고, 게이트웨이 IP는 내부 네트워크를 외부로 나가거나 다른 네트워크로 연결시켜 주는 출입구 주소입니다. 인터페이스 IP와 게이트웨이IP가 같으면, 네트워크 경로 구분이 불가능해 통신 장애가 발생합니다. 각 IP는 같은 서브넷에서 고유해야 합니다.
요약하면 SNAT후IP대역과 실제 네트워크 라우팅 일치가 관건이며 인터페이스와 게이트웨이는 네트워크 안팎 이동 경로 설정에서 반드시 구분돼어야 합니다.