[기술 가이드] OT 네트워크에서 NAT 장치가 필요할 수 있는 이유 & Allen Bradley 1783-NATR 설정 방법
By Jordan Cota
NAT 장치는 PLC(Programmable Logic Controller, 프로그램 가능 논리 제어기)를 더 넓은 기업 네트워크에 통합하는 과정에서, 특히 IP 주소 관리 및 네트워크 보안과 관련된 문제가 발생할 때 매우 유용합니다.
글래스돔 생산 모니터링 시스템은 여러 기계간 통신에 의존하기 때문에, 이러한 문제를 자주 접하게 됩니다. 본 가이드는 NAT 장치를 활용하여 이 문제를 해결하는 방법을 설명합니다.
(Cover image source: Rockwell Automation)
OT 네트워크에서 NAT 장치가 필요할 수 있는 이유
Network Address Translation (NAT) 장치는 다음과 같은 문제에 대해 해결책을 제공합니다.
- 기존 IP 주소를 재설정 할 필요 없이 원활한 통합을 가능하게 함
- 운영 기술(Operating Technology, OT) 시스템과 정보기술(Information Technology, IT) 시스템을 효과적으로 분리함
기존 IP 주소 체계 유지
제조업체들은 일관성 및 배포의 편의성을 위해 여러 장비에 걸쳐 IP 주소 구성을 표준화하는 경우가 많습니다. NAT가 없는 경우, 이러한 장비들을 공장 전체 네트워크에 통합하려면 충돌을 방지하기 위해 각 장치에 고유한 IP 주소를 다시 할당해야 하며, 이 과정은 시간이 많이 소요될 뿐 아니라 오류 발생 가능성도 큽니다.
NAT 장치는 장비 네트워크 내의 개인 IP 주소를 공장 네트워크상의 고유한 공용 IP 주소로 변환하여, 기존 IP 설정을 변경하지 않고도 그대로 유지할 수 있도록 합니다.
OT와 IT 네트워크 분리
OT 네트워크와 IT 네트워크를 분리하는 것은 보안을 강화하고 안정적인 운영을 보장하는 데 매우 중요합니다. NAT 장치를 사용하면 OT 네트워크가 독립적으로 유지되어 IT 환경으로부터 유입될 수 있는 잠재적 사이버 위협에 대한 노출을 최소화할 수 있습니다. 이러한 분리는 보안을 강화할 뿐 아니라, 각 네트워크 구간의 상이한 운영 요구사항에 맞춰 개별적으로 관리할 수 있도록 해줍니다.
요약하면, NAT 장치를 활용하면 조직은 IP 재구성의 복잡성을 줄이면서 PLC 네트워크를 더 큰 인프라 환경에 통합할 수 있으며, 동시에 OT 시스템과 IT 시스템을 효과적으로 분리하여 운영 효율성과 보안을 모두 향상시킬 수 있습니다.
Allen-Bradley 1783-NATR (NAT) 설정 방법
1783-NATR 모듈 초기 설정
1783-NTR 이해하기
기능: 서로 다른 네트워크간 통신을 가능하게 하기 위한 네트워크 주소 변환(Network Address Translation, NAT)을 수행합니다.
특징
- 최대 32개의 주소를 변환할 수 있습니다.
- 기본적으로 10개의 통신 포트를 지원합니다.
- ICMP (ping)
- HTTP (port 80)
- HTTPS (port 443)
- Port 222 (Allen-Bradley I/O traffic)
- Port 44818 (Class 3 communication for Allen-Bradley devices).
- 최대 5개의 사용자 정의 포트(Custom port)를 추가로 설정할 수 있습니다.
물리적 연결
전원 연결
- NATR 모듈을 전원에 연결합니다.
- PLC 모듈을 개인 포트(Private Port)에 연결합니다.
- 노트북을 모듈의 다른 개인 포트에 연결합니다.
DIP 스위치 설정 확인
- 기본 DIP 스위치 설정 : OFF-ON-OFF
- 이 설정은 NATR에 임시 IP 주소 192.168.1.1을 할당 합니다.
노트북 설정
노트북이 NATR과 동일한 네트워크에 연결되어 있는지 확인합니다.
- 노트북에서 이더넷 어댑터 속성 (Ethernet Adapter Properties)을 엽니다.
- 동일한 대역 내에서 고정 IP (예: 192.168.1.10)와 서브넷 마스크 (255.255.255.0)를 설정합니다.
NATR 웹 인터페이스 접속
웹 브라우저를 열고 http://192.168.1.1을 입력합니다.
기본 로그인 정보
사용자 이름: admin
비밀번호: 장치 측면 또는 웹 인터페이스에서 확인할 수 있는 시리얼 넘버
최초 로그인 시
- 비밀번호를 새로운 비밀번호로 변경합니다.
- 변경 사항을 저장합니다.
공용 IP (Public IP) 설정
설정 (Configuration) > 공용 네트워크 (Public Network)로 이동합니다.
- 원하는 IP 주소를 입력합니다. (예: 10.10.10.2)
- Apply Changes를 클릭합니다.
- 연결 중단 관련 경고창이 뜨면 확인 버튼을 누릅니다.
개인 IP (Private IP) 설정
설정 (Configuration) > 개인 네트워크 (Private Network)로 이동합니다.
- 필요 시, 개인 IP 를 변경합니다. (예: 192.168.1.2)
- Apply Changes를 클릭합니다.
- 참고사항: 연결된 장치(예: PLC)의 게이트웨이 주소는 NATR의 개인 IP와 일치해야 합니다.
네트워크 주소 변환 (Network Address Translation) 설정
NAT Enable이 활성화 (기본 설정) 되어있는지 확인합니다.
변환 규칙을 추가합니다.
- 새로운 규칙 추가 (Add New Rule) 로 이동합니다.
- 공용 IP: 원하는 외부 노출용 IP (Public-facing IP)를 입력합니다. (예: 10.10.10.11).
- 개인 IP: 장치의 현재 IP를 입력합니다. (예: 192.168.1.11)
- 설명을 입력합니다. (예: “PLC”)
- Enable 체크 박스가 선택 되어있는지 확인합니다.
- 규칙을 저장합니다.
연결 상태 확인
설정 변경 사항을 적용하기 위해 NATR 모듈을 재시작 합니다.
- 장치의 전원을 껐다가 다시 켭니다. (파워 사이클)
상태 표시등이 다음과 같이 표시되는지 확인합니다.
- 초록색 OK 상태 표시등
- 연결된 모든 포트의 Link 표시등 활성화
PLC 게이트웨이 설정을 확인합니다.
- PLC 게이트웨이 주소를 NATR 개인 IP에 맞게 업데이트 합니다. (예: 192.168.1.2)
- 변경사항을 저장하고 적용합니다.
통신 테스트
PC를 공용 네트워크로 전환합니다.
- 노트북 IP를 공용 네트워크 대역으로 변경합니다. (예: 10.10.10.x)
노트북을 NATR의 공용 포트에 연결합니다.
FactoryTalk Linx와 같은 도구를 활용하여 확인합니다.
- 공용 IP와 개인 IP간 매핑이 정상적으로 표시되는지 확인합니다.
- PLC와 외부장치 간 통신이 정상적으로 이루어지는지 확인합니다.
문제 해결을 위한 조언
비밀번호를 잊어버린 경우, DIP 스위치를 사용하여 NATR을 공장 초기화 할 수 있습니다.
개인 네트워크 내 모든 장치에 올바른 게이트웨이가 설정되어 있는지 확인합니다.
다양한 단계에서 ping 명령어를 사용하여 연결 상태를 점검합니다.
Need to speak with a manufacturing expert who knows their stuff?
Talk to someone at Glassdome. We’re here to help.
