Vous êtes sur la page 1sur 14

CHAPITRE : NAT POUR IPV4

INTRODUCTION
Les adresses IPv4 sont composées de 32 bits. Mathématiquement, cela signifie qu'il peut y avoir un
peu plus de 4 milliards d'adresses IPv4 uniques. Dans les années 1980, cela semblait être plus que
suffisant d'adresses IPv4. Puis vint le développement d'ordinateurs de bureau et portables abordables,
de téléphones intelligents et de tablettes, plusieurs autres technologies numériques, et bien sûr,
d'Internet. Il est apparu assez rapidement que 4 milliards d'adresses IPv4 ne suffiraient pas à répondre
à la demande croissante. C'est pourquoi IPv6 a été développé. Même avec IPv6, la plupart des réseaux
sont actuellement IPv4 uniquement, ou une combinaison d'IPv4 et d'IPv6. La transition vers les réseaux
IPv6 est toujours en cours, c'est pourquoi la traduction d'adresses réseau (NAT) a été développée. NAT
est conçu pour aider à gérer ces 4 milliards d'adresses afin que nous puissions tous utiliser nos
nombreux appareils pour accéder à Internet. Comme vous pouvez le voir, il est important que vous
compreniez l'objectif de (NAT) et comment cela fonctionne. En prime, ce chapitre contient plusieurs
activités où vous pouvez configurer différents types de NAT.

I. POURQUOI LA NAT
a. Espace d'adressage privé IPv4

Comme vous le savez, il n'existe pas suffisamment d'adresses IPv4 publiques pour pouvoir attribuer
une adresse unique à chaque périphérique connecté à Internet. Les réseaux sont généralement mis en
œuvre à l'aide d'adresses IPv4 privées, tel que défini dans le document RFC 1918. La plage d'adresses
incluse dans la RFC 1918 est incluse dans le tableau suivant. Il est très probable que l'ordinateur que
vous utilisez pour afficher ce cours possède une adresse privée.

b. Les adresses Internet privées sont définies par la RFC 1918

Les adresses privées sont utilisées au sein d'une entreprise ou d'un site pour permettre aux
périphériques de communiquer localement. Cependant, comme ces adresses n'identifient aucune
entreprise ou organisation unique, les adresses IPv4 privées ne peuvent pas être acheminées sur
Internet. Pour permettre à un périphérique possédant une adresse IPv4 privée d'accéder aux
périphériques et aux ressources situés en dehors du réseau local, l'adresse privée doit d'abord être
traduite en adresse publique.
Comme le montre la figure, la traduction d'adresse réseau (NAT) assure la traduction des adresses
privées en adresses publiques. Cela permet à un périphérique possédant une adresse IPv4 privée
d'accéder aux ressources situées en dehors de son réseau privé, notamment celles d'Internet. La
combinaison de la fonction NAT aux adresses IPv4 privées a été la méthode principale pour préserver
les adresses IPv4 publiques. Une seule et même adresse IPv4 publique peut être partagée par des
centaines, voire des milliers d'équipements, chacun étant configuré avec une adresse IPv4 privée
unique.

Sans la NAT, l'espace d'adressage IPv4 aurait été saturé bien avant l'an 2000. Cependant, la fonction
NAT présente certaines limitations et inconvénients qui seront étudiées dans la suite de ce chapitre.
La transition vers IPv6 peut permettre de contrer l'épuisement de l'espace d'adressage IPv4 et les
limites de la NAT.

II. Qu'est-ce que la fonction NAT ?


La fonction NAT peut être utilisée à différentes fins, mais son utilisation principale consiste à limiter
la consommation des adresses IPv4 publiques. Ainsi, elle permet aux réseaux d'utiliser des
adresses IPv4 privées en interne, et assure la traduction de ces adresses en une adresse publique
lorsque nécessaire uniquement. La NAT permet également d'ajouter un niveau de confidentialité
et de sécurité à un réseau, car elle empêche les réseaux externes de voir les adresses IPv4 internes.

Les routeurs configurés pour la NAT peuvent être configurés avec une ou plusieurs adresses IPv4
publiques valides. Ces adresses publiques sont appelées collectivement «pool NAT». Lorsqu'un
périphérique interne envoie du trafic hors du réseau, le routeur configuré pour la NAT traduit
l'adresse IPv4 interne du périphérique en une adresse publique du pool NAT. Pour les
périphériques externes, tout le trafic entrant sur le réseau et sortant de celui-ci semble posséder
une adresse IPv4 publique du pool d'adresses fourni.

Un routeur NAT fonctionne généralement à la périphérie d'un réseau d'extrémité. Un réseau


d'extrémité est un réseau ayant une seule ou plusieurs connexions à son réseau voisin, avec un
seul chemin pour émettre et recevoir. Dans l'exemple de la figure, R2 est un routeur périphérique.
Du point de vue du FAI, R2 forme un réseau d'extrémité.
Lorsqu'un périphérique situé dans un réseau d'extrémité souhaite communiquer avec un
périphérique en dehors de son réseau, le paquet est transmis au routeur périphérique. Le routeur
périphérique mène à bien le processus NAT et traduit l'adresse privée interne du périphérique en
une adresse publique externe routable.

Remarque : La connexion au FAI peut utiliser une adresse privée ou une adresse publique qui est
partagée parmi les clients. Pour les besoins de ce Cours, une adresse publique est représentée.

III. FONCTIONNEMENT DE NAT


Dans cet exemple, PC1, qui possède l'adresse privée 192.168.10.10, souhaite communiquer avec un
serveur Web externe dont l'adresse publique est 209.165.201.1.
a. Terminologie NAT

Dans la terminologie NAT, le réseau interne désigne l'ensemble des réseaux soumis à la traduction.
Le réseau externe désigne tous les autres réseaux.

Dans le cadre de la NAT, les adresses IPv4 sont désignées de différentes façons selon qu'elles se
trouvent sur un réseau privé ou public (Internet) et selon la direction du trafic est entrant ou
sortant.

La fonction NAT comprend quatre types d’adresses :

1. Adresse locale interne


2. Adresse globale interne
3. Adresse locale externe
4. Adresse globale externe

Pour déterminer le type d'adresse utilisé, il est important de retenir que la terminologie NAT est
toujours appliquée du point de vue du périphérique dont l'adresse est traduite:

Adresse interne - L'adresse du périphérique traduite via la NAT.

Adresse externe - L'adresse du périphérique de destination..

La NAT qualifie également les adresses de locales ou globales:

Adresse locale - Une adresse locale peut faire référence à toute adresse qui apparaît sur la partie
interne du réseau.

Adresse globale - Une adresse globale peut faire référence à toute adresse qui apparaît sur la
partie externe du réseau.

Les termes « interne » et « externe » sont associés aux termes « locale » et « globale » pour
désigner des adresses spécifiques. Le routeur NAT (R2 sur la figure) est le point de démarcation
entre les réseaux interne et externe. R2 est configuré avec un pool des adresses publiques à
attribuer aux hôtes internes. Reportez-vous au tableau réseau et NAT de la figure pour la
discussion suivante de chacun des types d'adresses NAT.
Locale interne

L'adresse de la source vue du réseau interne. Il s'agit généralement d'une adresse IPv4 privée. Sur
la figure, l'adresse IPv4 192.168.10.10 est attribuée à PC1. Il s'agit de l'adresse locale interne de
PC1.

Globale interne

L'adresse de la source vue du réseau externe. Il s'agit généralement d'une adresse IPv4 routable
globalement. Sur la figure, lorsque le trafic provenant de PC1 est envoyé au serveur Web sur
209.165.201.1, R2 traduit l'adresse locale interne en adresse globale interne. Dans ce cas, R2
modifie l'adresse IPv4 source, qui passe de 192.168.10.10 à 209.165.200.226. Dans la terminologie
NAT, l'adresse locale interne 192.168.10.10 est traduite en adresse globale interne
209.165.200.226.

Globale externe

L'adresse de destination vue du réseau externe. Il s'agit d'une adresse IPv4 globalement routable
attribuée à un hôte sur l'internet. Par exemple, le serveur Web est accessible à l'adresse IPv4
209.165.201.1. Le plus souvent, les adresses locale et globale externes sont identiques.

Locale externe

L'adresse de destination vue du réseau externe. Dans cet exemple, PC1 envoie le trafic au serveur
Web à l'adresse IPv4 209.165.201.1. Bien que cela soit rarement le cas, cette adresse peut être
différente de l'adresse de destination globalement routable
PC1 possède l'adresse locale interne 192.168.10.10. Du point de vue de PC1, le serveur Web
possède l'adresse externe 209.165.201.1. Lorsque des paquets sont envoyés de PC1 à l'adresse
globale du serveur Web, l'adresse locale interne de PC1 est traduite en 209.165.200.226 (adresse
globale interne). L'adresse du périphérique externe n'est généralement pas traduite, car il s'agit
en principe d'une adresse IPv4 publique.

Notez que PC1 possède des adresses locale et globale différentes, tandis que le serveur Web
possède la même adresse IPv4 publique pour les deux. Du point de vue du serveur Web, le trafic
en provenance de PC1 semble provenir de 209.165.200.226, l'adresse globale interne.

IV. TYPES DE NAT


a. NAT statique

Maintenant que vous avez appris sur NAT et comment cela fonctionne, cette rubrique traitera des
nombreuses versions de NAT qui sont disponibles pour vous.

La NAT statique utilise un mappage de type un à un des adresses locales et globales. Ces mappages
sont configurés par l'administrateur réseau et restent constants.

Sur la figure, R2 est configuré avec des mappages statiques pour les adresses locales internes de
Svr1, PC2 et PC3. Lorsque ces périphériques envoient du trafic vers l'internet, leurs adresses locales
internes sont traduites en adresses globales internes (celles configurées). Pour les réseaux
externes, ces périphériques possèdent des adresses IPv4 publiques.
La NAT statique est particulièrement utile pour les serveurs Web ou les périphériques qui doivent
posséder une adresse permanente accessible depuis l'internet, notamment les serveurs Web
d'entreprise. Elle sert également aux périphériques qui doivent être accessibles à distance par le
personnel autorisé, mais pas par tous les utilisateurs d'internet. Par exemple, un administrateur
réseau utilisant PC4 peut établir une connexion SSH à l'adresse globale interne de Svr1
(209.165.200.226). R2 traduit cette adresse globale interne en adresse locale interne
192.168.10.10 et connecte la session de l'administrateur à Svr1.

La NAT statique nécessite qu'il existe suffisamment d'adresses publiques disponibles pour
satisfaire le nombre total de sessions utilisateur simultanées.

b. NAT dynamique

La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la méthode du premier
arrivé, premier servi. Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4 publique disponible du pool.

Sur la figure, PC3 a accédé à l'internet à l'aide de la première adresse disponible dans le pool NAT
dynamique. Les autres adresses sont toujours disponibles. Comme la fonction NAT statique, la NAT
dynamique nécessite qu'il existe suffisamment d'adresses publiques disponibles pour satisfaire le
nombre total de sessions utilisateur simultanées.
c. Port Address Translation (PAT)

La traduction d'adresses de port (PAT), également appelée surcharge NAT, mappe plusieurs adresses
IPv4 privées à une seule adresse IPv4 publique unique ou à quelques adresses. C’est ce que font la
plupart des routeurs personnels. Le FAI attribue une adresse au routeur et pourtant, plusieurs
membres de la famille peuvent accéder simultanément à l'internet. C'est la forme la plus courante de
NAT pour la maison et l'entreprise.

Grâce à la PAT, plusieurs adresses peuvent être mappées à une ou quelques adresses, car chaque
adresse privée est également identifiée par un numéro de port. Lorsqu’un périphérique lance une
session TCP/IP, il génère une valeur de port source TCP ou UDP ou un ID de requête attribué
spécialement au ICMP, pour identifier uniquement la session. Lorsque le routeur NAT reçoit un paquet
du client, il utilise son numéro de port source pour identifier de manière unique la traduction NAT
spécifique.

La PAT garantit que les périphériques utilisent un numéro de port TCP différent pour chaque session
avec un serveur sur l'internet. Lorsqu'une réponse est retournée par le serveur, le numéro de port
source, qui devient le numéro du port de destination lors du retour, détermine le périphérique auquel
le routeur transfère les paquets. Le processus PAT confirme également que les paquets entrants
étaient demandés, ce qui renforce la sécurité de la session.

Dans la figure pour voir une animation du processus PAT. La fonction PAT ajoute des numéros de port
source uniques à l'adresse globale interne, de façon à permettre de distinguer les traductions.

Lorsque R2 traite chaque paquet, il utilise un numéro de port (1331 et 1555 dans cet exemple) pour
identifier le périphérique expédiant le paquet. L'adresse source (SA) correspond à l'adresse locale
interne à laquelle a été ajouté le numéro de port TCP/UDP attribué. L'adresse de destination (DA) est
l'adresse locale externe à laquelle le numéro de port de service a été ajouté. Dans cet exemple, le port
de service est 80, qui est HTTP.
Concernant l'adresse source, R2 traduit l'adresse locale interne en une adresse globale interne à
laquelle est ajouté le numéro de port. L’adresse de destination n’est pas modifiée, mais est désormais
appelée adresse IPv4 globale externe. Lorsque le serveur Web répond, le chemin est inversé.

Port disponible suivant

Dans l'exemple précédent, les numéros de port du client, 1331 et 1555, n'ont pas été modifiés par le
routeur configuré pour la NAT. Ce scénario est peu probable, car il y a de fortes chances que ces
numéros de port soient déjà liés à d'autres sessions actives.

La fonction PAT tente de conserver le port source d’origine. Cependant, si le port source d'origine est
déjà utilisé, la PAT attribue le premier numéro de port disponible en commençant au début du groupe
de ports approprié 0 à 511, 512 à 1023 ou 1024 à 65535. Lorsqu'il n'y a plus de ports disponibles et
que le pool d'adresses comporte plusieurs adresses externes, la PAT passe à l'adresse suivante pour
essayer d'attribuer le port source d'origine. Ce processus se poursuit jusqu’à ce qu’il n’y ait plus de
ports ou d’adresses IPv4 externes disponibles.

Dans la figure pour afficher l'animation sur le fonctionnement de PAT. Dans cet exemple, la PAT a
attribué le port disponible suivant (1445) à la deuxième adresse d'hôte.

Dans l'animation, les hôtes ont choisi le même numéro de port 1444. Cela est acceptable pour l’adresse
interne, car les hôtes possèdent des adresses IPv4 privées uniques. Cependant, sur le routeur NAT, les
numéros de port doivent être modifiés pour éviter que les paquets de deux hôtes différents quittent
R2 avec la même adresse source. Cet exemple suppose que les 420 premiers ports dans la plage 1024
- 65535 sont déjà utilisés, donc le prochain numéro de port disponible, 1445, est utilisé.

Lorsque des paquets sont renvoyés de l'extérieur du réseau, si le numéro de port source a été
précédemment modifié par le routeur configuré par NAT, le numéro de port de destination est
maintenant remplacé par le numéro de port d'origine par le routeur configuré par NAT.
V. Comparaison entre NAT et PAT

NAT

La figure montre un exemple simple de table NAT. Dans cet exemple, quatre hôtes du réseau interne
communiquent avec le réseau externe. La colonne de gauche répertorie les adresses du pool
d'adresses globale utilisées par NAT pour traduire l'adresse locale interne de chaque hôte. Notez la
relation un-à-un entre les adresses globales internes et les adresses locales internes pour chacun des
quatre hôtes accédant au réseau externe. Avec la NAT, une adresse globale interne est nécessaire pour
chaque hôte qui doit se connecter au réseau extérieur.

Remarque : La NAT transmet les paquets de retour entrants à l'hôte interne d'origine en se référant à
la table et en traduisant l'adresse globale interne en retour à l'adresse locale interne correspondante
de l'hôte.
PAT

Alors que NAT modifie uniquement les adresses IPv4, PAT modifie à la fois l'adresse IPv4 et le numéro
de port. Avec la PAT, il n'y a généralement qu'une ou quelques adresses IPv4 visibles de l'extérieur.
L'exemple de table NAT montre une adresse globale interne utilisée pour traduire les adresses locales
internes des quatre hôtes internes. PAT utilise le numéro de port de la couche 4 pour suivre les
conversations des quatre hôtes.

VI. Avantages et Inconvénients de la fonction NAT


a. Avantages de la fonction NAT

NAT résout notre problème de ne pas avoir assez d'adresses IPv4, mais il peut également créer
d'autres problèmes. Cette rubrique traite des avantages et des inconvénients de NAT.

La NAT offre de nombreux avantages, notamment:

La fonction NAT ménage le schéma d’adressage enregistré légalement en autorisant la


privatisation des intranets. Elle économise les adresses au moyen d’un multiplexage au niveau du
port de l’application. Avec la surcharge NAT, plusieurs hôtes internes peuvent partager une même
adresse IPv4 publique pour toutes leurs communications externes. Avec ce type de configuration,
il suffit d’un très petit nombre d’adresses externes pour desservir un grand nombre d’hôtes
internes.

La fonction NAT augmente la souplesse des connexions au réseau public. Il est possible de mettre
en œuvre des pools multiples, des pools de sauvegarde et des pools d’équilibrage de la charge
pour assurer des connexions plus fiables au réseau public.

La fonction NAT assure la cohérence des schémas d’adressage du réseau interne. Sur un réseau
qui n'utilise pas d'adresses IPv4 privées ni la NAT, la modification du schéma des adresses IPv4
publiques nécessite le réadressage de tous les hôtes du réseau actuel. Le coût de cette opération
peut être considérable. La NAT permet de conserver le schéma des adresses IPv4 privées existant
et de passer facilement à un nouveau schéma d'adressage public. Ainsi, une organisation peut
changer de FAI sans avoir à changer aucun de ses clients internes.

En utilisant les adresses IPv4 de la RFC 1918, la NAT cache les adresses IPv4 des utilisateurs et
autres périphériques. Certains considèrent cela comme une fonctionnalité de sécurité, mais la
plupart des experts conviennent que la fonction NAT ne garantit pas la sécurité. Un pare-feu avec
état permet de sécuriser la périphérie du réseau
b. Inconvénients de la fonction NAT

La NAT présente également des inconvénients. Le fait que les hôtes sur Internet semblent
communiquer directement avec le périphérique configuré par la NAT, plutôt qu'avec l'hôte interne
du réseau privé, pose un certain nombre de problèmes.

L'un des inconvénients de la fonction NAT concerne les performances du réseau, en particulier
pour les protocoles en temps réel tels que la voix sur IP. La fonction NAT augmente les délais de
transfert, car la traduction de chaque adresse IPv4 des en-têtes de paquet prend du temps. Le
premier paquet est toujours commuté par le processus, ce qui veut dire qu'il emprunte le chemin
le plus lent. Le routeur examine chaque paquet pour déterminer s’il doit être ou non traduit. Il doit
modifier l'en-tête IPv4 et éventuellement l'en-tête TCP ou UDP. La somme de contrôle de l'en-tête
IPv4 ainsi que la somme de contrôle TCP ou UDP doivent être recalculées à chaque traduction. Les
paquets restants passent par le chemin à commutation rapide s'il existe une entrée de cache;
sinon, ils sont également retardés.

Cela devient plus problématique à mesure que les réserves d'adresses IPv4 publiques des FAI
s'épuisent De nombreux FAI doivent attribuer à leurs clients une adresse IPv4 privée au lieu d'une
adresse IPv4 publique. Cela signifie que le routeur du client traduit le paquet de son adresse IPv4
privée à l'adresse IPv4 privée du FAI. Avant de transférer le paquet à un autre fournisseur, le FAI
effectuera à nouveau NAT, traduisant ses adresses IPv4 privées vers l'une de ses adresses IPv4
publiques limitées. Ce processus de deux couches de traduction NAT est connu sous le nom de
NAT Carrier Grade NAT (CGN).

Un autre inconvénient de l'utilisation de la NAT est la perte de l'adressage de bout en bout. C'est
ce que l'on appelle le principe de bout en bout. De nombreux protocoles et applications Internet
dépendent de l'adressage de bout en bout de la source à la destination. Certaines applications ne
sont pas compatibles avec la NAT. Par exemple, certaines applications de sécurité, telles que les
signatures numériques échouent, car l'adresse IPv4 source change avant d'atteindre la destination.
Les applications qui utilisent des adresses physiques au lieu d'un nom de domaine qualifié
n'atteignent pas les destinations qui sont traduites sur le routeur NAT. Ce problème peut parfois
être évité par l'utilisation de mappages NAT statiques.

La traçabilité IPv4 de bout en bout est également perdue. Il devient bien plus difficile de suivre les
paquets qui subissent de nombreux changements d’adresse sur plusieurs sauts NAT, ce qui
complique le dépannage.

L’utilisation de la fonction NAT complique également l’utilisation des protocoles de tunneling, tels
qu’IPsec, car la NAT modifie les valeurs dans les en-têtes, provoquant ainsi l’échec des vérifications
d’intégrité.

Les services nécessitant l'établissement de connexions TCP depuis le réseau externe ou les
protocoles sans état tels que ceux utilisant UDP peuvent être perturbés. Si le routeur NAT n'a pas
été configuré pour prendre en charge ce type de protocole, les paquets entrants ne peuvent pas
atteindre leur destination. Certains protocoles peuvent accepter une instance de NAT entre les
hôtes participants (FTP en mode passif, par exemple), mais échouent lorsque les deux systèmes
sont séparés de l'internet par la NAT.
VII. NAT64

NAT pour IPv6?

Étant donné que de nombreux réseaux utilisent à la fois IPv4 et IPv6, il doit y avoir un moyen d'utiliser
IPv6 avec NAT. Cette rubrique explique comment IPv6 peut être intégré à NAT. IPv6 fournit 340
sextillions d'adresses à partir d'une adresse 128 bits. Par conséquent, l'espace d'adressage n'est pas
un problème. IPv6 a été développé dans l'intention de rendre inutiles la NAT pour IPv4 et sa traduction
entre les adresses IPv4 publiques et privées. Cependant, IPv6 inclut son propre espace d'adressage
privé IPv6, des adresses locales uniques (ULA).

Les adresses locales uniques IPv6 (ULA) sont similaires aux adresses privées RFC 1918 dans IPv4 mais
ont un objectif différent. Les adresses ULA sont destinées uniquement aux communications locales au
sein d'un site. Les adresses ULA ne sont pas destinées à fournir un espace d'adressage IPv6
supplémentaire, ni à fournir un niveau de sécurité.

IPv6 permet la traduction de protocole entre IPv4 et IPv6 connu sous le nom de NAT64.

VIII. CONCLUSION

Il n'existe pas suffisamment d'adresses IPv4 publiques pour pouvoir attribuer une adresse unique à
chaque périphérique connecté à l'internet. Les adresses IPv4 privées ne sont pas routables sur
l'internet. Pour permettre à un périphérique possédant une adresse IPv4 privée d'accéder aux
périphériques et aux ressources situés en dehors du réseau local, l'adresse privée doit d'abord être
traduite en adresse publique. La traduction d'adresse réseau (NAT) assure la traduction des adresses
privées en adresses publiques. L'utilisation principale de NAT consiste à limiter la consommation des
adresses IPv4 publiques. Elle permet aux réseaux d'utiliser des adresses IPv4 privées en interne, et
assure la traduction de ces adresses en une adresse publique lorsque nécessaire uniquement.
Lorsqu'un périphérique interne envoie du trafic hors du réseau, le routeur configuré pour la NAT
traduit l'adresse IPv4 interne du périphérique en une adresse publique du pool NAT. Dans la
terminologie NAT, le réseau interne désigne l'ensemble des réseaux soumis à la traduction. Le réseau
externe désigne tous les autres réseaux. Pour déterminer le type d'adresse utilisé, il est important de
retenir que la terminologie NAT est toujours appliquée du point de vue du périphérique dont l'adresse
est traduite:

Adresse interne - L'adresse du périphérique traduite via la NAT.

Adresse externe - L'adresse du périphérique de destination..

La NAT qualifie également les adresses de locales ou globales:

Adresse locale - Une adresse locale peut faire référence à toute adresse qui apparaît sur la partie
interne du réseau.

Adresse globale - Une adresse globale peut faire référence à toute adresse qui apparaît sur la partie
externe du réseau.
Types de NAT

La NAT statique utilise un mappage de type un à un des adresses locales et globales. Ces mappages
sont configurés par l'administrateur réseau et restent constants. La NAT statique est particulièrement
utile pour les serveurs Web ou les périphériques qui doivent posséder une adresse permanente
accessible depuis l'internet, notamment les serveurs Web d'entreprise. La NAT statique nécessite qu'il
existe suffisamment d'adresses publiques disponibles pour satisfaire le nombre total de sessions
utilisateur simultanées. La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la
méthode du premier arrivé, premier servi. Lorsqu'un périphérique interne demande l'accès à un
réseau externe, la NAT dynamique attribue une adresse IPv4 publique disponible du pool. Comme la
fonction NAT statique, la NAT dynamique nécessite qu'il existe suffisamment d'adresses publiques
disponibles pour satisfaire le nombre total de sessions utilisateur simultanées. La traduction d'adresses
de port (PAT), également appelée surcharge NAT, mappe plusieurs adresses IPv4 privées à une seule
adresse IPv4 publique unique ou à quelques adresses. C'est la forme la plus courante de NAT pour la
maison et l'entreprise. La PAT garantit que les périphériques utilisent un numéro de port TCP différent
pour chaque session avec un serveur sur l'internet. La fonction PAT tente de conserver le port source
d’origine. Cependant, si le port source d'origine est déjà utilisé, la PAT attribue le premier numéro de
port disponible en commençant au début du groupe de ports approprié. La fonction PAT traduit la
plupart des protocoles communs transportés par IPv4 qui n'utilisent pas le protocole TCP ou UDP
comme protocole de couche transport. Le plus connu de ces derniers est ICMPv4.