IPSec VPN NAT PAT 20220926

IPSec VPN

  ESP와 AH protocol
 
  ESP : 인증/무결성/암호화  IP51 - 실무에서많이사용
  AH :  인증/무결성   IP50


  Tunnel Mode : GateWay 간     - new IP를 추가하여 이용한 통신
                                        -  Original IP Header 앞에 AH 나 ESP 정보가 추가

  Transport Mode : EndHost 간  - original IP Header 뒤에 AH나 ESP 정보가 추가
                                         
  세그먼트 : TCP(UDP)+Data
  Package : IP + 세그먼트



 NAT 유형
   * 정적 nat : 로컬 주소는 전역 주소에 매핑되어 일대일 관계
                  호스트가 인터넷에서 액세스해야하는 일관된 주소를 요구할 때 유용
                  엔터프라이즈 서버 또는 네트워킹 장치

   * 동적 nat : 등록되지 않음 개입 IP주소를 공용 IP주소풀에서 등록된 공요 IP주소로 변환 할 수 있음

   * PAT/NAT 오버로딩/IP 위장 : PAT이 이중 세가지 요소중 가장 많이 사용
                                        동적 NAT의 변경이며 포트를 사용하여 여러 개인 IP주소를 단일 공용 IP주소로 매핑


 PAT 정의
   포트 주소 변환(PAT)은 주소 변환을 포트 수준에서 구성 할 수 있는 동적 NAT 유형이며 나머지 IP 주소 사용되 최적화 된다.
   PAT는 여러 원본 로컬 주소와 포트를 대상 네트워크에서 라우팅 할 수 있는 IP주소풀에서 하나의 전역 IP주소와 포트로 매핑
   인터페이스 IP주소는 포트 번호와 함께 사용되며 포트번호가 고유하기 대문에 여러 호스트가 동일한 IP주소를 가질수 있음

   내부 글로벌 IP주소에 고유한 소스 포트 주소를 사용하여 고유 한 변환을 식별
   포트 번호가 16비트로 인코딩 되므로 NAT 변화 총수는 65536

   원본 소스 포트는 PAT에 의해 보존됩니다. 소스포트가 이미 할당 되어 있으면 사용가능한 포트가 검색됩니다.
   포트 그룹은 0-511,512-1023,1024-65535 세가지로 범위가 구분


 NAT와PAT 차이점
   * NAT는 내부 로컬 주소를 내부 글로벌 주소를 변환 
   * PAT 등록되지 않은 개인 IP주소를 공개된 등록된 IP주소로 변환하지만 NAT와는 달리 소스 포트 번호도 사용하여 여러 
     호스트가 다른 포트 번호를 가진 동일한 IP로 할 달당 될 수 있음
   * NAT는 변환 과정에서 IP주소를 사용하지만 PAT는 포트번호와 IP주소를 함께 사용

  참고 PAT는 동적 NAT의 한 형태


NAT 장단

   장점
    * NAT는 등록된 공용 주소를 보존하고 IP 주소 공간의 고갈을 지연
    * 주소 오버랩이 크게 줄어듭니다.
    * 연결 설정의 유연성을 향상
    * 네트워크 변경시 주소 재 번호 지정 프로세스를 제거

   단점
    * 스위칭 경로 지연
    * end to end 추적성 부족
    * 특정 응용 프로그램은 NAT와 호환되지 않음

PAT 장단

   장점
    * 서로 다른 포트 번호를 사용하여 단일 공용 IP를 호스트 그룹에 할당하여 IP주소를 절약
    * 개인 주소로 공개 주소가 노출 되는 것을 방지 하므로 취약점 또는 보안 공격을 줄임

   단점
    * PAT에서 하나 이상의 IP주소로 같은 유형의 공공 서비스를 실행할 수 없음
    * 항목 수는 연결 트랙을 유지하기위한 내부 테이블에서 제한


정리
   NAT는 IP만 사용하여 변환 PAT는 포트와 IP를 이용하여 변환