NAT – PAT

Network Address Translation (NAT)

De nombreuses organisations souhaitent bénéficier de l’adressage privé lors de la connexion à Internet. Les organisations créent d’énormes réseaux locaux et étendus à l’aide de l’adressage privé et se connectent à Internet à l’aide de la fonction NAT (Network Address Translation).

La fonction NAT traduit les adresses privées internes en une ou plusieurs adresses publiques pour le routage sur Internet. La fonction NAT remplace l’adresse source IP privée contenue à l’intérieur de chaque paquet par une adresse IP enregistrée publiquement avant d’envoyer le paquet sur Internet.

Les petites et moyennes entreprises se connectent à leurs fournisseurs de services Internet via une connexion unique. Le routeur de périphérie local configuré à l’aide de la fonction NAT se connecte au fournisseur de services Internet. Les entreprises plus grandes peuvent disposer de plusieurs connexions à des FAI, et le routeur de périphérie situé à chacun de ces emplacements exécute la fonction NAT.

L’utilisation de la fonction NAT sur les routeurs de périphérie permet de renforcer la sécurité. Les adresses privées internes se traduisent chaque fois en adresses publiques différentes. Ceci permet de dissimuler la véritable adresse des hôtes et serveurs de l’entreprise. La plupart des routeurs qui implémentent la fonction NAT bloquent également les paquets en provenance de l’extérieur du réseau privé, sauf si ces paquets constituent une réponse à une demande émise par un hôte interne.

La fonction NAT dynamique permet à des hôtes auxquels des adresses IP privées ont été attribuées sur un réseau ou un intranet d’accéder à un réseau public tel qu’Internet. La fonction NAT statique permet aux hôtes sur le réseau public d’accéder à des hôtes sélectionnés sur un réseau privé. Cela signifie que si vous configurez la fonction NAT pour un utilisateur qui nécessite l’accès à l’extérieur, vous devez configurer la fonction NAT dynamique. Si un périphérique situé sur le réseau interne doit pouvoir être disponible de l’extérieur, vous devez utiliser la fonction NAT statique.

Les fonctions NAT statique et dynamique peuvent toutes deux être installées au même moment, le cas échéant. La fonction NAT peut être configurée statiquement ou dynamiquement.



NAT statiques : La fonction de traduction d’adresses de réseau statique (NAT statique) mappe une adresse locale interne unique en une adresse globale unique ou publique. Ce mappage garantit qu’une adresse locale interne particulière soit toujours associée à la même adresse publique. La fonction NAT statique permet aux périphériques externes d’atteindre constamment un périphérique interne. Les serveurs Web et FTP accessibles au public en sont des exemples.

NAT dynamique : La fonction de traduction d’adresses de réseau dynamique utilise un pool disponible d’adresses publiques Internet et les attribue à des adresses locales internes. La fonction NAT dynamique attribue la première adresse IP disponible dans le pool d’adresses publiques à un périphérique interne.

Cet hôte utilise l’adresse IP globale attribuée pendant toute la durée de la session. Une fois la session terminée, l’adresse globale externe retourne dans le pool pour être utilisée par un autre hôte.

L’adresse qu’un hôte interne utilise pour se connecter à un autre hôte interne est l’adresse locale interne. L’adresse publique attribuée à l’organisation est appelée adresse globale interne. L’adresse globale interne est parfois utilisée comme adresse de l’interface externe du routeur de périphérie.

Le routeur NAT gère les traductions entre adresses locales internes et adresses globales internes en tenant à jour une table qui répertorie chaque paire d’adresses.

Lorsque vous configurez la fonction NAT statique ou dynamique :

  • Dressez la liste des serveurs qui exigent une adresse externe permanente ;
  • Déterminez les hôtes internes qui nécessitent une traduction ;
  • Déterminez les interfaces à l’origine du trafic interne ; elles vont devenir les interfaces internes ;
  • déterminez l’interface qui envoie le trafic à Internet ; elle va devenir l’interface externe ;
  • Déterminez la plage d’adresses publiques disponibles.

Configuration de la fonction NAT statique

  1. Déterminez l’adresse IP publique que les utilisateurs externes doivent utiliser pour accéder au périphérique/serveur interne. Les administrateurs ont tendance à utiliser les adresses du début ou de la fin de la plage pour la fonction NAT statique. Mappez l’adresse interne ou privée à l’adresse publique.
  2. Configurez les interfaces interne et externe.

Configuration de la fonction NAT dynamique

  • Identifiez le pool d’adresses IP publiques disponibles.
  • Créez une ACL (liste de contrôle d’accès) afin d’identifier les hôtes qui nécessitent une traduction.
  • Désignez les interfaces comme interne ou externe.
  • Liez la liste de contrôle d’accès au pool d’adresses.

Une étape importante de la configuration de la fonction NAT dynamique est l’utilisation de la liste de contrôle d’accès standard. La liste de contrôle d’accès standard permet de spécifier la plage des hôtes qui nécessitent une traduction. Ceci prend la forme d’une instruction d’autorisation (permit) ou de refus (deny). La liste de contrôle d’accès peut inclure un réseau entier, un sous-réseau ou simplement un hôte spécifique. La liste peut varier d’une simple ligne à plusieurs instructions d’autorisation et de refus.

Port Address Translation (PAT)

Une des variantes les plus répandues de la fonction NAT dynamique est connue sous le nom de fonction traduction d’adresses de port (PAT, Port Address Translation), également appelée surcharge NAT. La fonction PAT traduit dynamiquement plusieurs adresses locales internes en une seule adresse publique.

Lorsqu’un hôte source envoie un message à un hôte de destination, il utilise une combinaison d’adresse IP et de numéro de port pour suivre chaque conversation individuelle. Dans la fonction PAT, le routeur de passerelle traduit la combinaison de l’adresse source locale et du numéro de port en une seule adresse IP globale et un numéro unique de port supérieur à 1024.

Une table dans le routeur contient une liste des combinaisons d’adresses IP internes et de numéros de ports qui sont traduites en adresse externe. Bien que chaque hôte se traduise par la même adresse IP globale, le numéro de port associé à la conversation est unique.

Comme il existe plus de 64 000 ports disponibles, il est peu probable qu’un routeur vienne à manquer d’adresses.

Les réseaux d’entreprise comme les réseaux domestiques peuvent bénéficier des fonctionnalités PAT. La fonction PAT est intégrée à des routeurs intégrés et activée par défaut.

Lorsque le pool d’adresses IP enregistrées d’une organisation est très petit, constitué peut-être même que d’une seule adresse IP, de multiples utilisateurs peuvent quand même accéder simultanément au réseau public grâce à un mécanisme appelé surcharge NAT ou traduction d’adresses de port (PAT).

La fonction PAT traduit de multiples adresses locales en une seule adresse IP globale. Lorsqu’un hôte source envoie un message à un hôte de destination, il utilise une combinaison d’adresse IP et de numéro de port pour effectuer le suivi de chaque conversation individuelle avec l’hôte de destination. Dans la fonction PAT, la passerelle traduit la combinaison d’adresse source locale et de port dans le paquet en une adresse IP globale unique et un numéro de port unique supérieur à 1024. Bien que chaque hôte soit traduit par la même adresse IP globale, le numéro de port associé à la conversation est unique.

Le trafic de réponse est adressé à l’adresse IP et au numéro de port traduits utilisés par l’hôte. Une table dans le routeur contient une liste des combinaisons d’adresses IP internes et de numéros de ports qui sont traduits en adresse externe. Le trafic de réponse est transféré à l’adresse interne et au numéro de port approprié. Comme il existe plus de 64 000 ports disponibles, il est fort improbable qu’un routeur manque d’adresses, alors qu’il s’agit d’une éventualité avec la fonction NAT dynamique.

Comme la traduction est spécifique à l’adresse et au port locaux, chaque connexion, qui génère un nouveau port source, nécessite une traduction distincte. Par exemple, 10.1.1.1:1025 nécessite une traduction distincte de 10.1.1.1:1026.

La traduction est en place uniquement pendant la durée de la connexion. Ainsi, un utilisateur donné ne conserve pas la même combinaison d’adresse IP globale et de numéro de port une fois la conversation terminée.

Le Nat agit sur la couche 3 seul les adresses de bout en bout sont decodé, le Nat ne peut fonctionner avec IPsec car il doit décoder l’adresse ip des paquets

La configuration de la fonction PAT nécessite les mêmes étapes et commandes de base que la configuration de la fonction NAT. Toutefois, au lieu de traduire par un pool d’adresses, la fonction PAT traduit par une adresse unique. La commande suivante traduit les adresses internes par l’adresse IP de l’interface série :

ip nat inside source list 1 interface serial 0/0/0 overload

Vérifiez les fonctionnalités NAT et PAT à l’aide des commandes suivantes.

show ip nat translations

Cette commande affiche les traductions actives. Si la traduction n’est pas utilisée, elle devient obsolète au bout d’un certain temps. Les entrées de la fonction NAT statique demeurent dans la table en permanence. Une entrée de la fonction NAT dynamique nécessite une action depuis l’hôte vers une destination située à l’extérieur du réseau. Si elle est configurée correctement, une simple commande ping ou trace crée une entrée dans la table NAT.

show ip nat statistics

Cette commande affiche les statistiques de traduction, notamment le nombre d’adresses utilisées et le nombre de tentatives réussies ou manquées. La sortie comprend également la liste de contrôle d’accès qui spécifie les adresses internes, le pool d’adresses globales et la plage d’adresses définie.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :