[Network] NAT/PAT

✨  NAT (Network Address Translation)  와 PAT (Port Address Translation)

NAT 는 주로 회사나 통신사 장비에서 사용되며, 말 그대로 네트워크의 주소를 변환하는 기술이다. 기본적으로는 하나의 네트워크 주소를 다른 하나로 변환하나 (1:1), 이는 IP 주소가 고갈되는 문제를 초래할 수 있어 여러개의 주소를 하나의 주소로 변환하기도 한다. 이때, 후자를 NPAT (혹은 PAT) 기술이라고 칭한다.

 

📍NAT 기술의 사용례

- 사설 IP <--> 공인 IP 전환 (가장 빈번) 

- 사설 IP <--> 사설 IP 전환 

- 공인 IP <--> 공인 IP 전환 

- IPv4 <--> IPv6 전환 (AFT: Address Family Translation 기술, NAT 의 일종) 

 

 

✨  NAT 의 용도와 필요성

NAT 는 주로 회사나 통신사 장비에서 사용되며, 말 그대로 네트워크의 주소를 변환하는 기술이다. 기본적으로는 하나의 네트워크 주소를 다른 하나로 변환하나 (1:1), 이는 IP 주소가 고갈되는 문제를 초래할 수 있어 여러개의 주소를 하나의 주소로 변환하기도 한다. 이때, 후자를 NPAT (혹은 PAT) 기술이라고 칭한다.

 

📍IPv4 주소 고갈문제 해결

앞서 IP 체계와 관련한 글에서 인터넷 대중화로 인한 IP 주소의 부족 사태를 언급한 적이 있다. 이를 위한 해결 방안 중 중기 대책이 바로 사설 IP 주소와 NAT 를 활용하는 것이었다. 외부 공개가 필요한 서비스에 대해서는 공인 IP 를 사용하고, 외부에 공개할 필요가 없는 사용자에 대해서는 사설 IP 를 사용하도록 하는 것이 바로 NAT 이다.

 

💡 공인 IP 는 공인 기관으로부터 직접 할당받아야 하는 일반적인 IP 주소이며, 사설 IP 는 내부 네트워크 (로컬호스트 등)에서만 사용되는 주소이다.

 

 

📍보안 강화

NAT 는 주소 변환을 통해 내부 IP 를 외부에 내보낼 때 다른 IP 로 변환해 통신한다. 이때, 외부에서는 내부 장비의 IP 주소를 확인할 수 없게 되기 때문에 보안을 강화할 수 있다. 

 

 

📍동일한 IP 간 통신 

IP 는 유일해야 한다는 특성을 가지고 있다. 인터넷 상에서 식별 가능해야 하기 때문이다. 하지만 NAT 을 이용하면 공인 IP 만 유일하면 되므로, 동일한 사설 IP 끼리는 (다른 네트워크에 존재한다면) 충돌 없이 통신할 수 있게 된다. 하지만 "대외계" 라고 불리는 회사 (카드사, 은행 등) 에서는 회사 내부 합병으로 인해 다른 네트워크에 존재하던 동일 IP 가 같은 네트워크에 들어오면서 충돌하게 되기도 하는데, 이때는 "더블 나트" 라는 기술을 사용하여 출발지와 도착지를 한꺼번에 변환한다. 

 

 

📍불필요한 설정 변경 감소

IP 주소는 기본적으로 공인된 기관으로부터 할당받아 대여하는 것이기 때문에, 일정 기간이 지나면 대여 기간이 만료되어 반납을 해야 한다. 이때 서버와 PC 의 주소를 다 변경해야 하는데, NAT 을 활용한다면 이러한 작업 없이 DNS 또는 NAT 장비 하나에만 변경된 설정을 적용하면 되어, 내부 설정은 유지할 수 있다. 

 

 

💡  NAT 은 SNAT 와 DNAT 로 나뉘는데, SNAT (Source NAT) 는 출발지 주소를 변경하며, DNAT (Destination NAT) 는 도착지 주소를 변경한다. 

💡  출발지와 목적지의 IP 를 미리 매핑해 고정해놓은 NAT 를 정적 NAT 라고 하며, 사전에 정해지지 않고 동적으로 변경하는 것을 동적 NAT 라고 한다. 동적 NAT 에서는 출발지나 목적지 중 하나가 IP 풀 (pool) 이나 레인지(range) 로 설정된다. 

 

 

✨  NAT/PAT 의 동작 방식

NAT/PAT

우선 NAT 의 동작 방식부터 살펴본다.

1. 클라이언트는 패킷에 출발지, 도착지의 ip / 포트 정보를 담아 전송한다. 이때, 출발지 서비스 포트는 임의의 포트로 할당된다. 

2. NAT 기술이 있는 장비는 패킷을 수신하여 외부 네트워크와 통신 가능한 공인 IP 로 주소를 변경하고, 테이블에 저장한다. (이 NAT 테이블의 정보는 일정 시간 동안 유지되나 타임아웃이 되면 사라진다)

3. NAT 장비에서 변경된 출발지를 가지게 된 패킷은 목적지에 도달한다. 

 

이후 서버는 출발지와 목적지를 바꾸어 다시 NAT 장비에 먼저 패킷을 보낸다. 목적지 IP 가 11.11.11.11 로 되어있기 때문이다. NAT 장비는 테이블을 통해 원래 주소를 확인하고, 패킷의 도착지 정보를 다시 원 출발지인 10.10.10.10.으로 변경한 뒤 전송한다. 

 

PAT 은 기본적으로 NAT 의 동작 방식과 유사하게 동작한다. 다만 NAT 장비에서 출발지 정보를 변경할 때 포트도 변경하여 기록한다. 다른 IP 를 가진 사용자가 같은 도착지로 접근하고자 하는 경우, NAT 장비는 두 사용자에게 동일한 출발지 IP 와 다른 포트를 부여한다. PAT 는 이렇게 하나의 IP 로도 여러 개의 포트를 사용해 사용자를 구분할 수 있다는 장점이 있지만, 포트 번호가 모두 사용중이라면 제대로 작동하지 않을 수 있다. 이러한 문제점 때문에 PAT 에서 사용하는 공인 IP 주소를 풀 (Pool) 로 관리하곤 한다. 

 

❗PAT 는 SNAT 와 DNAT 중 SNAT 에 대해서만 적용된다. 

 

 

✨  참고자료

• IT 엔지니어를 위한 네트워크 입문 (길벗)