🚧 트래픽을 통제하고 주소를 바꾸다: ACL 보안 정책과 NAT/PAT (Part 6-7)

통신이 잘 되는 것만큼 중요한 게 “해서는 안 되는 통신을 막는 것”입니다. 재무팀 서버에 개발팀이 아무 제한 없이 접근할 수 있다면 보안은 없는 것과 마찬가지입니다. Part 6에서는 ACL로 트래픽을 정밀하게 제어하고, Part 7에서는 NAT/PAT로 내부 IP를 외부에서 보이지 않게 감추면서 공인 IP를 절약합니다.

---

Part 6: ACL — 네트워크의 경비원

ACL이란?

ACL(Access Control List)은 라우터의 인터페이스에서 패킷을 필터링하는 규칙 목록입니다. 통과시킬지(permit) 차단할지(deny)를 조건에 따라 결정합니다.

ACL의 3가지 핵심 규칙

1. 순서대로 검사: 위에서 아래로 순차적으로 비교, 일치하면 즉시 해당 동작 수행
2. 암묵적 Deny: ACL 맨 끝에 보이지 않는 deny ip any any가 항상 존재
3. 방향 지정 필수: Inbound(들어오는 방향) 또는 Outbound(나가는 방향) 중 하나

Standard vs Extended ACL

구분	Standard ACL	Extended ACL
검사 항목	출발지 IP만	출발지 IP, 목적지 IP, 프로토콜, 포트 번호
번호 범위	1-99, 1300-1999	100-199, 2000-2699
적용 위치	목적지 근처	출발지 근처

이번 실습의 ACL 시나리오

요구사항	ACL 유형	적용 장비	인터페이스	방향
개발팀 → Server: HTTP/HTTPS만 허용	Extended	CORE-RTR1	Gi0/1.10	In
인사팀 → Server: 완전 차단	Extended	CORE-RTR1	Gi0/1.20	In
외부 → 내부: 차단	Extended	EDGE-RTR	Se0/0/0	In

CORE-RTR1 ACL 설정

configure terminal

! 개발팀 정책: Server에 HTTP/HTTPS만 허용, 나머지는 부서 간 허용
ip access-list extended DEV_TO_SERVER
 permit tcp 10.10.10.0 0.0.0.255 host 10.10.30.100 eq 80   ! HTTP
 permit tcp 10.10.10.0 0.0.0.255 host 10.10.30.100 eq 443  ! HTTPS
 permit icmp 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255     ! ping 허용
 permit icmp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any                        ! 나머지는 허용
 deny ip any any log                                        ! 나머지 차단 + 로그

! 인사팀 정책: Server 접근 완전 차단
ip access-list extended HR_RESTRICT
 deny ip 10.10.20.0 0.0.0.255 host 10.10.30.100 log        ! Server 차단
 permit icmp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255     ! 개발팀 ping은 허용
 permit ip any any                                          ! 나머지는 허용

! ACL 인터페이스에 적용
interface GigabitEthernet0/1.10
 ip access-group DEV_TO_SERVER in
interface GigabitEthernet0/1.20
 ip access-group HR_RESTRICT in

EDGE-RTR 외부 트래픽 차단 ACL

ip access-list extended OUTSIDE_IN
 permit icmp any any echo-reply           ! ping 응답은 허용 (내가 보낸 ping 회신)
 permit tcp any any established           ! 기존 세션 응답 패킷 허용
 deny ip any 10.0.0.0 0.255.255.255 log  ! 내부 IP 직접 접근 차단
 permit ip any any                        ! 나머지 허용

interface Serial0/0/0
 ip access-group OUTSIDE_IN in

established 키워드는 내부에서 먼저 시작한 연결의 응답 패킷만 허용하는 강력한 필터입니다. 외부에서 먼저 연결을 시작하는 패킷은 차단합니다.

---

Part 7: NAT/PAT — 공인 IP 하나로 여러 명이 인터넷을

NAT이 필요한 이유

내부 네트워크는 10.x.x.x처럼 사설 IP를 씁니다. 사설 IP는 인터넷에서 라우팅되지 않기 때문에, 외부로 나갈 때는 **공인 IP로 변환(NAT)**해야 합니다.

Inside/Outside, Local/Global 개념

          NAT 경계
               │
Inside         │          Outside
(내부 사설)    │       (외부 공인)
               │
[PC1]          │         [ISP-RTR]
10.10.10.10 ──▶ [EDGE-RTR] ──▶ 1.1.1.1
Inside Local   │ 1.1.1.2
               │ Inside Global

용어	설명	예시
Inside Local	내부의 실제 사설 IP	10.10.10.10
Inside Global	외부에서 보이는 공인 IP	1.1.1.2
Outside Local	내부에서 보는 외부 IP	1.1.1.1
Outside Global	외부의 실제 IP	1.1.1.1

NAT 유형 비교

유형	방식	사용 사례
Static NAT	1:1 고정 매핑	서버를 외부에 공개
Dynamic NAT	Pool에서 동적 할당	거의 사용 안 함
PAT (Overload)	포트 번호로 다수 구분	공유기, 기업 인터넷

EDGE-RTR NAT/PAT 설정

! Inside/Outside 인터페이스 지정
interface GigabitEthernet0/0
 ip nat inside      ! 내부 네트워크 방향

interface GigabitEthernet0/1
 ip nat inside

interface Serial0/0/0
 ip nat outside     ! ISP 방향

! PAT 대상 정의 (Standard ACL)
access-list 10 permit 10.10.10.0 0.0.0.255
access-list 10 permit 10.10.20.0 0.0.0.255
access-list 10 permit 10.10.30.0 0.0.0.255
access-list 10 permit 10.0.0.0 0.0.0.255

! PAT 설정: ACL 10에 해당하는 패킷을 Serial 인터페이스 IP로 변환
ip nat inside source list 10 interface Serial0/0/0 overload

! Static NAT: Server1을 외부에서 직접 접근 가능하도록 1:1 공개
ip nat inside source static 10.10.30.100 1.1.1.100

**overload**가 PAT의 핵심입니다. 하나의 공인 IP(1.1.1.2)에 포트 번호를 붙여 여러 내부 호스트를 구분합니다. 예를 들어 PC1의 연결은 1.1.1.2:10001, PC2의 연결은 1.1.1.2:10002처럼 포트를 달리해서 각각을 추적합니다.

Static NAT으로는 Server1(10.10.30.100)을 외부 IP(1.1.1.100)에 1:1 고정 매핑했습니다. ISP에서 1.1.1.100으로 요청하면 자동으로 Server1으로 전달됩니다.

ISP-RTR에도 Static NAT 주소로 가는 경로를 추가합니다.

ip route 1.1.1.100 255.255.255.255 1.1.1.2

NAT 동작 검증

! NAT 변환 테이블 확인
EDGE-RTR# show ip nat translations

결과:
Pro  Inside global    Inside local      Outside local   Outside global
tcp  1.1.1.2:10001   10.10.10.10:1025  8.8.8.8:80     8.8.8.8:80
icmp 1.1.1.100       10.10.30.100      ---            ---  ← Static NAT

---

💡 이 Part의 핵심 교훈

ACL과 NAT는 네트워크의 “경비원” 과 **”번역가”**입니다.

ACL은 “누가 어디에 어떤 방법으로 접근할 수 있는지”를 정밀하게 제어합니다. 특히 ACL의 순서와 암묵적 Deny를 이해하지 못하면 의도치 않게 모든 트래픽을 차단하거나 허용하는 실수를 범하게 됩니다. 직접 설정하면서 “좁은 범위를 먼저, 넓은 범위를 나중에”라는 원칙을 몸으로 익혔습니다.

NAT/PAT는 IPv4 주소 고갈 문제를 해결하는 현실적인 기술입니다. 공유기 하나로 집의 모든 기기가 인터넷에 접속할 수 있는 것도 바로 PAT 덕분입니다.