 |
|
|
| |
|
|
|
| La translation d'adresse réseau ou NAT |
| Très utilisé pour pallier l'engorgement des adresses IP sur Internet, ce mécanisme réseau est au cœur de l'infrastructure IPv4. Il apporte de la souplesse et davantage de sécurité aux réseaux d'entreprise.
(31/05/2006) |
|
A quoi correspond le sigle NAT et quelle est son utilité ?
NAT désigne la technique de translation d'adresse réseau pour le protocole IP. Il réalise la correspondance entre une adresse IP privée et une adresse IP publique. Cette correspondance permet de donner accès sur Internet à une machine appartenant à un réseau privé.
Elle est également utile à des fins de sécurisation du réseau, étant donné que la translation d'adresse permet de masquer à l'extérieur l'adresse de connexion d'une ou plusieurs machines de son réseau. Enfin, la NAT évite l'engorgement des adresses IP publiques en créant des sous-réseaux d'entreprise visibles de l'extérieur par le biais d'une seule adresse Web.
Comment fonctionne la translation d'adresse ?
Le protocole IP désigne l'emplacement d'une machine sur un réseau d'entreprise en allouant des numéros d'adresses qui vont de 0.0.0.0 à 255.255.255.255 pour un total de plus de 4 milliards d'adresses destinées à Internet. Cependant, pour des questions de sécurité, certaines plages d'adresses sont réservées à un usage purement privé, c'est-à-dire non visible de l'extérieur. Ce sont les plages 192.168.0.0 à 192.168.255.55 par exemple.
Avec la translation d'adresse réseau, une machine dont le numéro est 192.168.0.1 passe par un routeur doté de fonctions NAT. Ce dernier conserve en mémoire l'adresse privée de la machine et adresse les informations émises par la machine en utilisant une adresse publique disponible par exemple 193.2.2.1.
Il effectue la modification entre adresse privée et publique par l'intermédiaire de l'en-tête des paquets IP qui contiennent l'adresse source et l'adresse de destination de chaque trame. Le procédé est identique dans le sens inverse, c'est-à-dire lorsqu'un serveur Web veut communiquer avec la machine du réseau privé. Le routeur reçoit les messages et remplace dans l'entête du message IP l'adresse publique par l'adresse privée de la machine.
Qu'est-ce que la NAT statique ?
Dans le cas d'une NAT statique, une adresse publique est associée à une seule adresse privée. Le routeur dispose d'une plage d'adresses publiques disponibles qu'il attribue à la machine du réseau privé qui souhaite se connecter. Cela permet à un serveur Web distante d'accéder par Internet à la machine du réseau privé car à cette adresse il retrouve. Par contre, cela oblige l'entreprise a disposé d'autant d'adresses publiques qu'elle souhaite ouvrir de machine à Internet.
Qu'apporte la NAT dynamique ?
Cette fois, lorsqu'une machine du réseau privée envoie un message sur Internet, le routeur mémorise son numéro d'adresse IP et son port TCP/UDP. Il utilise ensuite sa propre adresse IP publique pour communiquer les messages et non plus une adresse IP publique disponible. Ainsi, pas de multiplication des adresses IP publiques, tous les messages utiliseront une même adresse de sortie.
Par contre, toutes les réponses des serveurs Web auront pour adresse de destination celle du routeur. Ainsi, pour ne pas que le routeur s'emmêle entre les messages qui lui sont adressés et ceux qui sont destinés aux machines de son réseau privé, il dispose de l'historique des messages avec pour chacun les coordonnées (en l'occurrence l'adresses IP et le port TCP/UDP pour retrouver l'émetteur).
Seul inconvénient, si l'entreprise limite ses adresses publiques, les machines de son réseau privé ne peuvent plus dialoguer sur Internet qu'après avoir émis un premier message vers une adresse de destination, ce qui ne convient pas à des tâches de serveurs Web par exemple.
Quels produits proposent de la NAT ?
Les proxy, les passerelles, les routeurs disposent de fonctions NAT. Les systèmes d'exploitation Windows, Linux et Unix en fournissent également, elles doivent alors être activées par l'utilisateur. Les réseaux privés virtuels ou VPN peuvent aussi travailler avec des fonctions NAT si la version du protocole de cryptage IPSec tolère la gestion de la NAT.
|
|
|
|
|
|
|
Dossier 
