2.1 Som m aire ....................................................................................... 4 2.2 Différence N AT et N APT ................................................................. 4 2.2 Pourquoi on utilise ? ....................................................................... 5 2.3 Dém érite ........................................................................................ 5
3 Détail de NAPT ............................................................................ 6
4 D’autres fonctions relatifs à NAT / NAPT ..................................... 8
4.1 DM Z ............................................................................................... 8 4.2 Port Forwarding ............................................................................. 9
2 1 Général « Niveau » - Avancé
« Connaissances requises » - Base de TCP/IP
« Objectives » - Comprendre la base de « NAT » et « NAPT » Ø Qu’est-ce que c’est Ø Pourquoi il est nécessaire Ø Comment on translate les informations Ø DMZ Ø Port Forwarding C’est aussi utile pour comprendre le comportement de routeur avec la fonction « NAT / NAPT » qu’on utilise à la maison.
« Les parties dont on a besoin pour comprendre cette partie »
- Partie : TCP/IP
« Les parties qu’on ferait mieux d’apprendre le prochain »
- Aucun
« Travaux Pratiques Relatifs »
- TP : NAT / NAPT
3 2 NAT / NAPT 2.1 Sommaire - « NAT » signifie l’acronyme de « Network Address Translation ». C’est une méthode de la translation (change) d’Adresse IP. - « NAPT » signifie l’acronyme de « Network Address Port Translation ». On l’appelle parfois « Mascarade IP » ou « PAT (Port Address Translation) ». Dans « NAPT », on change le Numéro de Port et l’Adresse IP.
2.2 Différence NAT et NAPT
Figure 1 Exemple : Différence entre NAT et NAPT
Dans NAT, il y a un équipement seul dans l’intérieur à laquelle on doit assigner une Adresse IP pour la communication de l’extérieur. C’est-à-dire, il faut une-à-une correspondance sur la translation d’Adresse IP. Dans NAPT, il y a plusieurs équipements dans l’intérieur où on peut faire cela. C’est-à-dire, une-à-plusieurs correspondance sur la translation d’Adresse IP est possible. Par exemple, dans NAT de Figure 1, puisque il y a 2 PCs (Adresse IP Privée) dans
4 l’intérieur, il faut 2 Adresse IP Globale. Par contre, dans NAPT, une Adresse IP Globale seule est nécessaire parce qu’on peut la partager.
On dit généralement beaucoup de fois que NAT veut dire NAPT. Mais, il y a des différences entre les deux comme ci-dessus.
2.2 Pourquoi on utilise ?
Il y a quelques raisons. - Le nombre de Adresse IP est limité. Puisque elle consiste en 4-octets, le nombre est 4,294,967,295 (=232). Il est moins que celui de la population entière du monde. Si l’on utilise NAPT et on partage Adresse IP Globale, on peut efficacement la utiliser. - Il y a des avantages de sécurité. Des équipements à l’intérieur de NAT / NAPT sont protégés par l’attaque de l’extérieur dans une certaine mesure. Parce qu’on ne sait pas voir Adresse IP des équipements à l’intérieur à partir de l’extérieur.
2.3 Démérite S’il y a Adresse IP de source et Port de source dans les données de Paquet IP (sauf en-tête IP), c’est un peut difficile de les translater. Parce qu’on a besoin de comprendre où se trouvent les données (Adresse IP et Port) dans le Paquet IP (sauf en-tête IP).
5 3 Détail de NAPT On l’explique comme l’environnement suivant.
Figure 2 Exemple de la translation
Par exemple, on prend que chaque PC voit un Site Web dans la configuration de Figure 2. C’est un routeur pour la maison. On y la voit souvent. Adresse IP globale "200.100.10.5" est partagée ici. Chaque PC transmit des données avec un paquet de IP comme les tables suivantes.
Routeur change ces données comme le paquet IP des tables suivantes pour communiquer avec le Site Web. Source Src Port Destination Dst Port PC-A 200.100.10.5 20001 220.20.4.6 80 PC-B 200.100.10.5 20002 220.20.4.6 80 PC-C 200.100.10.5 20003 220.20.4.6 80
6 C’est-à-dire, le Routeur a une table de la translation comme la suivante. Communication pour l’extérieur (Adresse IP : 220.20.4.6, Port : 80) Intérieur Extérieur Adresse IP Port avant translation Port après translation 192.168.10.10 1100 20001 192.168.20.10 9805 20002 192.168.20.11 3490 20003
Le Routeur distribue les donnés qu’il reçoit aux équipements de l’intérieur selon le Port. Par exemple, quand le Routeur reçoit un paquet IP dont la donné de Port est "20002", il le passe au équipement avec Adresse IP "192.168.20.10".
Figure 3 Possible de l’intérieur à l’extérieur Figure 4 Impossible de l’extérieur à l’intérieur
Dans l’environnement comme ci-dessus, la communication de l’intérieur à l’extérieur
est possible, mais celle de l’extérieur à l’intérieur n’est pas possible parce qu’on ne sait pas Adresse IP de l’intérieur à partir de l’extérieur. Quelquefois, on peut mettre un Serveur dans l’intérieur et on veut accéder à partir de l’extérieur. En ce cas, on utilise une fonction qui s’appelle « DMZ ». « DMZ » signifie l’acronyme de « Demilitarized Zone ».
Figure 5 DMZ
Dans DMZ, on peut transmettre tous les paquets à partir de l’extérieur à un seul équipement spécifique de l’intérieur. Dans Figure 5, on configure qu’ils soient transmis à PC-C.
8 4.2 Port Forwarding
Figure 6 Port Forwarding
Dans « Port Forwarding », on peut distribuer les paquets de l’extérieur aux
équipements de l’intérieur en utilisant le Numéro de Port. « Numéro de Port » signifie le service. Par exemple, "80" est pour Site Web (Serveur HTTP) et "25" est pour E-mail (Serveur Courrier). Dans Figure 6, on configure Routeur comme la table suivante. Service Numéro de Port Équipement Service 1 50004 Adresse IP de PC-A Service 2 40006 Adresse IP de PC-B Service 3 50010 Adresse IP de PC-B Service 4 32068 Adresse IP de PC-C
Routeur distribue les paquets qu’il reçoit aux les équipements dans l’intérieur selon le contenu de cette table.
