LE MÉCANISME DE LA NAT (NETWORK ADDRESS

TRANSLATION) ET DE LA PAT (PORT ADDRESS

TRANSLATION)
 Objectifs du COURS :
2
• Ce cours traitera essentiellement les points
suivants :
- IP publique, IP privée
- Principe de la NAT :
- Statique
- Dynamique

- Principe de la PAT (variante de la NAT) :

- Le port Forwarding
 Introduction
3
• Toutes les machines connectées (clients, serveurs, imprimantes
réseau, ...) disposent d'une adresse IP permettant de l'identifier sur le
réseau. Il existe deux sortes d'adresse : les privées et les publiques.
• Une adresse privée est seulement valable sur un réseau privé et ne
peut donc pas être utilisée pour communiquer sur un réseau public
comme Internet. Internet n'accepte de véhiculer que des adresses
publiques.
• Le principal intérêt de l'utilisation d'adresses IP privées est de
disposer d'un grand nombre d'adresses pour bâtir des réseaux privées
(entreprise, lycée, domicile...) et ainsi de palier au cruel manque
d'adresse IP publiques du réseau IPv4 (2^32 adresses possibles soit 4
294 967 296).
 Introduction
4
• Voici des tableaux
représentant l'utilisation des
blocs d'adresses sur Internet,
en 1993, 2000 et 2007.
Chaque chiffre correspond au
premier octet d'un bloc
d'adresses (par exemple la
case 52 représente tous les
réseaux commençant par 52,
soit 52.X.X.X)
 Introduction
5

Utilisation des blocs d'adresses IP en 2000 Utilisation des blocs d'adresses IP en 2007
 Introduction
6

• La version 6 (IPv6) permettra de résoudre en partie ce

problème en proposant plus d’adresses IP possibles.
• En attendant le déploiement d'IPv6, il est indispensable
d'utiliser les technologies de la NAT et de la PAT pour
permettre aux machines disposant d'adresses privées de
pouvoir communiquer sur internet.
 IP publique, IP privée
7
• Le schéma ci-dessous présente un réseau local relié à Internet pare un routeur.
Ce routeur possède deux adresses IP :
• Une IP publique, achetée ou fournie par le FAI.
• Une IP privée, librement paramétrée par l’administrateur du réseau local.
 IP publique, IP privée
8
• L'organisme gérant l'espace d'adressage public (adresses IP routables) est
l'Internet Assigned Number Authority (IANA).
• Un certain nombre de ces adresses IP sont réservées pour un usage interne aux
entreprises (RFC 1918) Elles ne doivent pas être utilisées sur l'internet où elles ne
seront de toute façon pas routées. Il s’agit des adresses :
 de 10.0.0.0 à 10.255.255.255
 de 172.16.0.0 à 172.31.255.255
 de 192.168.0.0 à 192.168.255.255
 les adresses de 127.0.0.0 à 127.255.255.255 sont également interdites.
 Les adresses 127.0.0.0 à 127.255.255.255 s’appellent l’adresse de boucle locale
(loopback en anglais) et désigne la machine locale (localhost).
• En résumé :
• Les adresses publiques sont utilisées sur Internet (et sont donc uniques) alors que
les adresses privées ne peuvent circuler sur Internet.
 IP publique, IP privée
9

• Mais que se passe-t-il si l'on ne respecte pas les plages indiquées

par la RFC ?
• Déjà, ce n'est pas bien de ne pas respecter les normes d'Internet ! 
Cependant, ça fonctionnera... ou presque.
Vous arriverez à aller partout sur Internet, sauf sur les réseaux à
qui appartiennent réellement les adresses que vous avez utilisées.
• Ce n'est pas clair ? Prenons un exemple.
 IP publique, IP privée
10
• Vous venez de recevoir votre tout nouveau routeur, et vous souhaitez connecter
entre elles vos machines chez vous. Au moment de choisir un adressage pour le
réseau, vous prenez arbitrairement le réseau 74.125.230.0/24 (c'est un peu tordu
comme choix, mais bon  )
Vous branchez les machines entre elles et essayez de les pinguer... ça marche !
Vous configurez le routeur comme passerelle par défaut, vous le branchez à
Internet et essayez de naviguer... ça marche encore !
Cool ! Tout semble marcher à merveille.
Vous jouez à vos jeux préférés, envoyez et recevez vos mails, tout va bien.
Puis, vous essayez d'aller sur Google pour faire une recherche et là, patatras, ça ne
marche pas !
Tout fonctionne, sauf Google. 
• Que se passe-t-il ?
 IP publique, IP privée
11
• Sans le savoir, vous avez choisi le même réseau que celui des serveurs de
Google 74.125.230.0/24. C'est ce qui explique que vous ne puissiez plus les
joindre désormais. Nous allons voir ce qui se passe exactement.
• Regardons ce qui se passe au niveau de votre machine.
• Pour mieux comprendre, regardons notre table de routage. Elle doit ressembler
à cela :
 IP publique, IP privée
12
• Ainsi, quand nous essayons de nous connecter à www.google.fr qui a comme
adresse IP 74.125.230.84, notre table de routage nous dit qu'il faut rester sur
le réseau local. Donc notre requête ne partira pas sur Internet et nous n'aurons
jamais de réponse de Google.
• Le fait d'avoir choisi arbitrairement une plage d'adresses en dehors de celles
préconisées par la RFC 1918 nous empêche d'accéder aux vrais réseaux qui
possèdent ces adresses.
À l'inverse, étant donné que les réseaux de la RFC 1918 n'appartiennent à
personne sur Internet, nous sommes sûrs de ne pas nous priver d'accès à
quelque réseau que ce soit en les choisissant.
• Vous saurez donc maintenant choisir proprement vos adresses pour vos
réseaux si vous devez en créer.
 PRINCIPE DE LA NAT (NETWORK
ADDRESS TRANSLATION)
13

• Les traductions NAT peuvent avoir de nombreuses

utilisations et peuvent indifféremment être attribuées
de façon statique ou dynamique.
 PRINCIPE DE LA NAT (NETWORK
ADDRESS TRANSLATION)
14

Mise en œuvre sur les routeurs Cisco Fonctionnement général Un routeur NAT maintient une table
d'équivalence entre l'adresse IP locale interne (ALI) d'une machine et son adresse IP globale interne
(AGI). Si une traduction statique a été définie pour une ALI, une AGI unique lui est associée. Cela est
utile pour les machines devant recevoir des connexions de l'extérieur. Si aucune traduction statique n'a
été définie pour l'ALI source d'un paquet qui se présente sur une interface interne, une AGI est prise
dans un pool, c'est une traduction dynamique.
 PRINCIPE DE LA NAT (NETWORK
ADDRESS TRANSLATION)
15

Admettons que la machine avec l'ALI 10.1.1.1 se connecte sur le serveur WEB ayant l'adresse IP
128.5.3.9. Le routeur réécrit le paquet en changeant l'adresse source. Pour cela, il prend la première
adresse libre dans le pool des AGI, disons l'adresse 193.49.96.64. Il ajoute à la table des traductions
dynamiques la paire (10.1.1.1, 193.49.96.64). Le paquet sortant du site a maintenant pour adresse
source l'AGI 193.49.96.64, il atteint le serveur WEB qui répond à la requête. Le routeur voyant arriver
un paquet à destination de la machine 193.49.96.64 lit la table de correspondance, trouve l'ALI
associée, il réécrit le paquet et envoie le paquet modifié à la machine 10.1.1.1.
 PRINCIPE DE LA PAT (PORT
ADDRESS TRANSLATION)
16
Traduction dynamique étendue ou Port Address Translation (PAT) Pour éviter de tomber en panne
d'adresses dans le pool dans le cas d'un nombre de connexions trop important, on peut valider PAT. Dans
ce mode, ce n'est plus seulement l'ALI qui est traduite, mais aussi le port source de la connexion. Une fois
PAT mis en œuvre et en excluant les ports réservés, un routeur Cisco peut associer environ 4000 ALI à une
même AGI prise dans le pool.

Pour reprendre notre exemple, si la machine ayant l'ALI 10.1.1.1 établit une connexion HTTP (80) vers le
serveur WEB 128.5.3.9 à partir du port 1503, le routeur va associer la paire (10.1.1.1, 1503) à la paire
(193.49.96.64, 1503). Lorsque le serveur renvoie un paquet en retour, le routeur réécrit ce paquet en
remplaçant l'adresse destination et le port destination (193.49.96.64, 1503) en (10.1.1.1, 1503).
 VUE DE LA NAT / PAT
17
 PRINCIPE DE LA NAT (NETWORK
ADDRESSTRANSLATION)
18
• Pour les messages sortants : (inside → outside)
Les adresses locales sont traduites en adresses globales.
• Pour les messages entrants : (inside ← outside)
Les adresses globales sont traduites en adresses locales.
Sur un routeur « CISCO » on définit les adresses publiques
à utiliser pour la traduction dans un pool (groupe).
ip nat pool adrpub 82.3.4.6 82.3.4.10
netmask 255.0.0.0
définit un pool de cinq adresses publiques nommé adrpub.
 PRINCIPE DE LA NAT (NETWORK
ADDRESSTRANSLATION)
19
• Remarque :
• Les machines du LAN n'ont pas connaissance des
adresses publiques du routeur (configuration NAT) et ne
les utilisent pas.
• Rappel : les adresses privées (RFC 1918)

10.0.0.0/8 soit 16 777 216 hôtes (de 10.0.0.0 à 10.255.255.255)

172.16.0.0/12 soit 1 048 576 hôtes (de 172.16.0.0 à 172.31.255.255)
192.168.0.0/16 soit 65 536 hôtes (de 192.168.0.0 à 192.168.255.255)
 LA NAT ET LA DISCUSSION EN
INTERNE
20
 LA NAT ET LA DISCUSSION AVEC
L’EXTÉRIEUR
21

• Le poste 1 veut discuter avec le poste 4 :

• Le poste 1 envoie le datagramme qui parvient au routeur.
• La NAT remplace l’adresse source privée par une adresse publique disponible (82.3.4.6), enregistre une
association (192.168.2.41, 82.3.4.6) dans sa table de traductions, et transmet son datagramme vers le poste
4.
• Le poste 4 répond à l’adresse source du datagramme (82.3.4.6).
• Le routeur reçoit le datagramme, consulte sa table de traductions, trouve l’association (192.168.2.41,
82.3.4.6), remplace la destination par 192.168.2.41 et retransmet le datagramme au poste 1.
 NAT STATIQUE
22
• La NAT statique, se base sur l’association de N adresses
internes avec N adresses externes. C’est à dire qu’à UNE
adresse IP interne, on associe UNE adresse IP externe.
Dans ce cas, la seule action qui sera effectuée par le
routeur sera de remplacer l’adresse source ou
destination par l’adresse correspondante.
• Les correspondances entre les adresses privées
(internes) et publiques (externes) sont stockées dans
une table sous forme de paires (adresse interne, adresse
externe)
 NAT STATIQUE
23
• La NAT statique, se base sur l’association de N adresses
internes avec N adresses externes. C’est à dire qu’à UNE
adresse IP interne, on associe UNE adresse IP externe.
Dans ce cas, la seule action qui sera effectuée par le
routeur sera de remplacer l’adresse source ou
destination par l’adresse correspondante.
• Les correspondances entre les adresses privées
(internes) et publiques (externes) sont stockées dans
une table sous forme de paires (adresse interne, adresse
externe)
 NAT STATIQUE
24

Ces NAT servent à donner accès à des serveurs en interne (DMZ) à partir de l’extérieur
Si l'on s'en tient intrinsèquement à la définition du terme NAT, cela représente la modification
des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur. On parlera de SNAT
quand c'est l'adresse source du paquet qui est modifiée, et de DNAT quand il s'agit de l'adresse
destination.
 NAT DYNAMIQUE
25
 NAT DYNAMIQUE
26
 Principe de la PAT (variante de la NAT)
27
 RÉSUMÉ
28
• Catégories NAT
• NAT statique: 1 adresse IP locale correspond à une seule
adresse IP publique.
• NAT dynamique: Plusieurs adresses IP locales
correspondent à plusieurs adresses IP publiques.
• PAT : Mappe plusieurs adresses privées vers une seule et
même adresse publique en utilisant différents ports pour
permettre de suivre la connexion. 
• Le PAT est également connu sous le nom de NAT
OVERLOAD. C’est une forme de NAT dynamique. Il s’agit de
l’utilisation la plus courante du NAT.
 RÉSUMÉ
29
 RÉSUMÉ
30
• Les 3 types de NAT

• Nat Statique
• Le NAT statique c’est un mappage un à un entre une
adresse interne et une adresse externe.
• On peut comparer l’adresse interne à celle de notre PC à la
maison, et l’adresse externe c’est l’IP public de la box
internet.
• Celle qui vous permet de surfer sur internet.
 RÉSUMÉ
31
• show IP nat translation
• Pour vérifier les configurations NAT du routeur, il faut
utiliser la commande « show IP nat translation ».
• Le NAT statique permet un mappage permanent entre une
adresse interne et une adresse publique. C’est de la
translation de 1 à 1 
 RÉSUMÉ
32
• NAT dynamique
• Le NAT dynamique permet de traduire des IP privés, vers
des adresses publiques qui proviennent d’un pool d’IP !
• Sa configuration diffère un peu du NAT statique, mais il y’a
tout de même beaucoup de similitudes. 
• Comme pour le NAT statique, il faut identifier chaque
interface comme une interface intérieure,
dite « Inside » ou extérieure, dite « Outside ».
• Et ensuite, plutôt que de créer une carte statique d’une seule
adresse IP, la translation se fera sur un groupe d’adresse interne
globale !
 RÉSUMÉ
33
 RÉSUMÉ
34
• PAT
• L’ une des principales formes du NAT est le PAT , qui se fait aussi
appeler « overload ».
• Plusieurs adresses locales internes peuvent être traduites en utilisant le NAT
dans une ou plusieurs adresses globales internes. 
• La plupart des box internet à domicile fonctionnent en PAT. 
• Le fournisseur d’accès à internet attribue une adresse à la box, qui
fonctionne comme un routeur, et plusieurs personnes peuvent surfer
sur Internet à partir d’une seul et même adresse.
• Avec le PAT plusieurs adresses peuvent être traduites en une ou
plusieurs adresses grâce à un numéro de port TCP ou UDP qui seront
attribués automatiquement et aléatoirement sur chaque adresse
privée. 
 RÉSUMÉ
35
• Configuration PAT
• Pour la configuration du PAT, et comme toute sorte de nat,
il faut taguer les interfaces en entrée et sortie !
• Ensuite, comme pour le nat dynamique, il faut créer une
acess-list pour définir les adresses locales qui pourront être
translater.
• Et pour finir, il faut indiquer au routeur de translater notre
access-list, à travers notre interface sortie, la Fast Ethernet
0/1, avec la commande « ip nat inside ».
• Ne pas oublier le petit mot « overload » à la fin de la commande.
 RÉSUMÉ
36