NAT

NAT(Network Address Translation)

NAT는 하나의 public IP를 두고, 그 안에 여러 private IP를 둘 수 있게 해주는 기술이다.

즉, 내부 네트워크에서는 여러 장치들이 각각 고유한 사설 IP를 사용하고, 이 장치들이 인터넷 등 외부 네트워크와 통신할 때는 NAT 장비(주로 공유기)가 이 사설 IP들을 하나의 공인 IP로 변환해서 외부로 내보낸다.

• 포트 번호 활용(NAPT/PAT)

  • 여러 장치가 동시에 같은 외부 주소와 통신할 때는 포트 번호까지 변환하여 각각의 연결을 구분한다.

이 방식 덕분에 public IP 주소의 문제를 완화할 수 있고, 보안성도 높아진다.

• 외부에서는 NAT 장비의 public IP만 보이고, 내부 private IP는 보이지 않기 때문이다.

NAT 종류와 특징

NAT는 변환 방식에 따라 여러 종류로 나뉜다.

1. NAPT (Network Address Port Translation) / PAT (Port Address Translation) 📊

• 가장 일반적으로 사용되는 방식이다.

• IP 주소뿐만 아니라 포트 번호도 함께 변환한다.

• 하나의 공인 IP 주소를 사용하여 여러 개의 사설 IP 주소를 가진 장치들이 동시에 외부에 통신할 수 있게 한다.

• 라우터는 각 내부 통신에 대해 고유한 공인 포트 번호를 할당하여 구분한다.

• 예시:

  • 사설 IP 192.168.1.10:8000과 192.168.1.111:8000이 동시에 외부로 통신하려고 한다.

  • 라우터의 공인 IP 203.0.113.1을 사용하여 203.0.113.1:8001, 203.0.113.1:8002로 포트 번호를 다르게 변환하여 구분한다.

2. 정적 NAT (Static NAT)

• 하나의 사설 IP, 하나의 공인 IP끼리 1:1 매핑된다.

• 주로 외부에서 내부의 특정 서버(예: 웹 서버, FTP 서버)로 직접 점근할 때 사용된다.

• IP 주소 절약 효과는 없지만, 외부에서 내부 자원으로의 직접 접근을 가능하게 한다.

3. 동적 NAT (Dynamic NAT)

• 정해진 공인 IP 주소 풀(Pool)에서 사용 가능한 IP 주소를 사설 IP 주소와 임시로 1:1 매핑한다.

• 통신이 끝나면 할당된 공인 IP는 다시 풀로 반환되어 다른 장치가 사용할 수 있다.

NAT 동작 방식

NAT는 단순히 IP 주소만 변환하는 것이 아니라, 주로 사용되는 NAPT(PAT) 방식에서는 포트 번호를 함께 변환하고 관리한다.

1. 내부에서 외부로 나가는 통신 (Out-Bound)

내부 네트워크 장치가 외부 인터넷으로 패킷을 보낼 때, 라우터는 다음과 같이 동작한다.

여기서 예시로 설명할 출발지 주소(ip와 port)는 192.168.1.10:12345 이다.

• 포트 번호 확인 및 변환:

  • 라우터는 패킷의 출발지 private IP/Port를 확인한다.

  • 자신의 public IP와 새로운 public Port를 할당한다.

  • 이 새로운 public Port 번호는 라우터가 임의로 선택하며, 현재 사용하지 않는 유니크한 번호여야 한다.

• NAT 변환 테이블 기록:

  • 라우터는 내부 IP주소와 매핑된 외부 IP 주소를 기록한다.

  • 형식 → 내부 IP 주소:내부 포트 번호 (예: 192.168.1.10:12345)

  • 형식 → 매핑된 IP 주소:외부 포트 번호 (예: 203.0.113.1:54321)

• 패킷 헤더 변환:

  • 라우터는 패킷의 IP 헤더에서 출발지 IP 주소를 변경한다. (사설 → 공인)

    • private IP(192.168.1.10) → public IP(203.0.113.1)

  • 또한, TCP/UDP 헤더에서 출발지 포트 번호를 변경한다. (사설 → 공인)

    • private port(12345) → public port(54321)

• 체크섬 재계산:

  • IP 헤더와 TCP/UDP 헤더가 변경되었으므로, 라우터는 이 헤더들의 체크섬 값을 다시 계산하여 업데이트한다.

  • 체크섬은 데이터의 무결성을 확인하는 데 사용된다.

• 외부로 패킷 전송:

  • 변환된 패킷을 외부 인터넷으로 전송한다.

  • 외부 서버는 이 패킷이 203.0.113.1:54321에서 온 것으로 인식한다.

2. 외부에서 내부로 들어오는 통신 (In-Bound)

외부 인터넷으로부터 응답 패킷이 라우터의 public IP 주소로 도착하면, 라우터는 다음과 같이 동작한다.

여기서 예시로 설명할 응답 패킷의 목적지 주소(ip와 port)는 203.0.113.1:54321 이다.

• NAT 변환 테이블 참조:

  • 라우터는 수신된 패킷의 목적지 public IP 주소와 public port를 NAT 변환 테이블에서 찾는다.

  • 찾은 주소를 통해, 패킷이 원래 어떤 내부 장치로 가야하는지 확인한다.

• 패킷 헤더 역변환:

  • 테이블에서 기록된 정보를 바탕으로 패킷의 IP 헤더에서 목적지 IP 주소를 변경

    • public IP(203.0.113.1) → private IP(192.168.1.10)

  • 또한, TCP/UDP 헤더에서 목적지 포트 번호를 변경

    • public port(54321) → private port(12345)

  • 체크섬 재계산:

    • 마찬가지로 헤더가 변경되었으므로 IP 헤더와 TCP/UDP 헤더의 체크섬을 다시 계산하여 업데이트 한다.

  • 내부로 패킷 전송:

    • 변환된 패킷을 해당 내부 장치(192.168.1.10:12345)로 전송한다.

    • 내부 장치는 이 패킷이 자신에게 직접 온 것으로 인식한다.

NAPT 변환 테이블 예시

192.168.1.10 장치의 통신:

• 192.168.1.10이 12345 포트를 사용하여 외부로 패킷을 보내면, 라우터는 이 요청을 203.0.113.1:54321로 변환하여 외부로 보낸다.

• 외부로부터 203.0.113.1:54321로 응답이 도착하면, 라우터는 이 테이블을 참조하여 응답을 192.168.1.10:12345로 다시 변환하여 전달한다.

🤔 그럼 어떻게 NAT를 사용한다고 해서 IPv4 부족 문제를 해결하는 것인가?

1. Private IP 역시 IPv4 주소 체계를 사용하는데, 왜 부족 문제를 완화할까?

• 사설 IP 주소는 전 세계적으로 중복 사용이 가능하다.

• 반면 공인 IP는 전 세계적으로 단 한번만 할당될 수 있다.

1. NAT가 있을 때와 없을 때의 IP 사용 방식

• NAT 없을 때:

  • 집에 PC 3대, 스마트폰 2대가 있으면 5개의 공인 IP가 필요하다.

• NAT 사용:

  • 집 안의 5대 기기가 각 사설 IP(예: 192.168.0.2~6)을 사용하고, 인터넷 접속 시 공유기(NAT)가 이들을 하나의 공인 IP로 변환해서 외부로 내보낸다.

따라서, NAT가 IPv4 부족 문제를 완화하는 원리는 다음과 같다.

• 사실 IP는 재사용 가능: 전 세계 모든 네트워크에서 중복 사용해도 문제 없음

• 공인 IP는 공유: 여러 기기가 하나의 공인 IP를 공유해서 인터넷 접속 가능

• 결과: 실제로 필요한 공인 IP 수가 줄어들어, IPv4 부족 문제를 완화할 수 있다.