cours des technologie NAT et PAT Sommaire

1. 2. 3. 4. 5. Introduction Adresses prives Prsentation des fonctions NAT et PAT Les avantages et les inconvnients offerts par NAT et PAT Configuration des fonctions NAT et PAT

1. Introduction
La croissance rapide d'Internet a surpris la plupart des observateurs. Cette croissance est notamment due la souplesse de la conception originale. Sans le dveloppement de nouvelles mthodologies d'assignation d'adresses IP, cette croissance rapide aurait puis la rserve existante d'adresses IP. Pour pallier cette pnurie d'adresses IP, plusieurs solutions ont t dveloppes. L'une de ces solutions, largement mise en oeuvre, est la traduction d'adresses rseau (NAT) NAT est un mcanisme permettant de conserver les adresses IP enregistres dans des rseaux de grande taille et de simplifier la gestion de l'adressage IP. Lorsqu'un paquet est rout par un quipement de rseau, gnralement un pare-feu ou un routeur priphrique, l'adresse IP source, c'est dire une adresse rseau interne prive, est traduite en une adresse IP publique routable. Cela permet de transporter le paquet sur des rseaux externes publics, tels qu'Internet. L'adresse publique de la rponse est ensuite retraduite en une adresse interne prive pour tre livre sur le rseau interne. Une variation de NAT, dnomme PAT (Port Address Translation - Traduction d'adresses de ports), permet de traduire un grand nombre d'adresses prives internes au moyen d'une adresse publique externe unique.

2. Adresses prives
La RFC 1918 rserve les trois blocs d'adresses IP prives ci-dessous: 1 adresse de classe A 16 adresses de classe B 256 adresses de classe C Ces adresses sont exclusivement destines aux rseaux internes privs. Les paquets qui les contiennent ne sont pas routs sur Internet. Les adresses Internet publiques doivent tre enregistres par une socit faisant autorit sur Internet, par exemple l'ARIN (American Registry for Internet Numbers) ou le RIPE (Rseaux IP Europens), le registre Internet rgional responsable de l'Europe et de l'Afrique du Nord. Ces adresses Internet publiques peuvent galement tre concdes par un FAI. Les adresses IP prives sont rserves et peuvent tre utilises par n'importe qui. Cela signifie que deux rseaux ou deux millions de rseaux peuvent chacun utiliser la mme adresse prive. Un routeur ne doit jamais router d'adresses RFC 1918. En effet, les FAI configurent gnralement les routeurs priphriques de faon empcher le transfert du trafic priv. La fonction NAT offre de grands avantages aux socits individuelles et Internet. Avant NAT, un hte dot d'une adresse prive ne pouvait pas accder Internet. Avec NAT, les socits individuelles peuvent attribuer des adresses prives certains ou tous leurs htes, et utiliser NAT pour leur procurer un accs Internet. Mettre laccent sur un point particulier

3. Prsentation des fonctions NAT et PAT

NAT est conu pour conserver des adresses IP et permettre aux rseaux d'utiliser des adresses IP prives sur les rseaux internes. Ces adresses internes prives sont traduites en adresses publiques routables. Pour ce faire, des quipements d'interrseau utilisent des logiciels NAT spcialiss qui peuvent rendre le rseau moins vulnrable en masquant les adresses IP internes. Un matriel compatible NAT fonctionne gnralement la priphrie d'un rseau d'extrmit. Un rseau d'extrmit est un rseau ayant une connexion unique vers son rseau voisin. Quand un hte situ l'intrieur du rseau d'extrmit souhaite mettre vers un hte de l'extrieur, il transfre le paquet au routeur priphrique frontire. Ce routeur priphrique frontire effectue le processus NAT et traduit l'adresse prive interne d'un hte en une adresse publique externe routable. Dans la terminologie de NAT, le rseau interne dsigne l'ensemble des rseaux soumis la traduction. Toutes les autres adresses appartiennent au rseau externe. Les termes ci-dessous, lis NAT, ont t dfinis par Cisco: Adresse locale interne L'adresse IP attribue un hte du rseau interne. Il ne s'agit gnralement pas d'une adresse IP assigne par l'organisme InterNIC (Internet Network Information Center) ou le fournisseur d'accs. Cette adresse est probablement une adresse prive RFC 1918. Adresse globale interne Une adresse IP lgitime attribue par InterNIC ou par le fournisseur d'accs, et qui reprsente une ou plusieurs adresses IP locales internes pour le monde extrieur. Adresse locale externe L'adresse IP d'un hte externe telle que la connaissent les htes du rseau interne. Adresse globale externe L'adresse IP attribue un hte du rseau externe. C'est le propritaire de l'hte qui attribue cette adresse

4. Les avantages et les inconvnients offerts par NAT et PAT

Les traductions NAT peuvent avoir de nombreuses utilisations et peuvent indiffremment tre attribues de faon statique ou dynamique. La fonction NAT statique est conue pour permettre le mappage bi-univoque d'adresses locales et globales. Ceci s'avre particulirement utile pour les htes qui doivent disposer d'une adresse permanente, accessible depuis Internet. Ces htes internes peuvent tre des serveurs d'entreprise ou des quipements de rseau. La fonction NAT dynamique est conue pour mapper une adresse IP prive sur une adresse publique. Une adresse IP quelconque prise dans un groupe d'adresses IP publiques est attribue un hte du rseau. En cas de surcharge, ou avec la traduction d'adresses de ports (Port Address Translation - PAT), plusieurs adresses IP prives peuvent tre mappes sur une adresse IP publique unique. Comme le suivi des adresses prives se fait sur le numro de port, plusieurs adresses peuvent tre mappes sur une adresse unique.

La fonction PAT utilise des numros de port source uniques sur l'adresse IP globale interne, de faon assurer une distinction entre les traductions. Le numro de port est encod sur 16 bits. Le nombre total d'adresses internes pouvant tre traduites en une adresse externe peut thoriquement atteindre les 65 536 par adresse IP. De faon plus raliste, le nombre de port pouvant tre attribus une adresse IP unique avoisine les 4000. La fonction PAT tente de conserver le port source d'origine. Si ce port source est dj utilis, PAT attribue le premier numro de port disponible en commenant au dbut du groupe de ports appropri, savoir 0511, 512-1023, ou 1024-65535. Quand il n'y a plus de ports disponibles et que plusieurs adresses IP externes sont configures, PAT slectionne l'adresse IP suivante pour tenter d'allouer de nouveau le numro du port source initial. Ce processus se poursuit jusqu' ce qu'il ait puis les ports et les adresses IP externes disponibles.

La fonction NAT offre les avantages suivants: Elle limine le besoin de rattribuer une nouvelle adresse IP chaque hte lors du passage un nouveau FAI. NAT limine le besoin de radresser tous les htes qui ncessitent un accs externe, conomisant ainsi du temps et de l'argent. Elle conomise les adresses au moyen d'un multiplexage au niveau du port de l'application. Avec PAT, plusieurs htes internes peuvent partager une mme adresse IP pour toutes leurs communications externes. Dans ce type de configuration, il suffit d'un trs petit nombre d'adresses externes pour desservir un grand nombre d'htes internes, d'o une importante conomie d'adresses IP. Elle protge le rseau. En effet, comme les rseaux privs ne divulguent pas leurs adresses ou leur topologie interne, ils restent raisonnablement scuriss quand ils sont utiliss conjointement la fonction NAT pour obtenir un accs externe.

5. Configuration des fonctions NAT et PAT

5.1. Traduction statique

La figure prsente l'utilisation de la traduction NAT statique. Le routeur traduit les paquets de l'hte 10.1.1.2 en l'adresse source 192.168.1.2.

Traduction dynamique

La figure traduit toutes les adresses sources partir de 10.1.0.0/24 acceptes par la liste d'accs 1 en une adresse du groupe dnomm nat-pool1. Le groupe contient les adresses de 179.9.8.80/24 179.9.8.95/24.
Surcharge

Il existe deux faons de configurer la surcharge, en fonction de la manire dont les adresses IP publiques ont t alloues. Un FAI ne peut allouer qu'une adresse IP publique un rseau, en l'assignant gnralement l'interface externe qui assure la connexion. La figure montre comment configurer la surcharge dans cette situation.