Le service d'adressage IP NAT

Objectifs spécifiques :

• savoir expliquer les principales caractéristiques et le fonctionnement de NAT et de la surcharge NAT

************

1- Qu'est ce que le NAT?

La fonction NAT agit comme la réceptionniste d’une grande société. Supposons que vous avez demandé à la réceptionniste de ne vous transférer aucun appel sauf contre-indication de votre part. Plus tard, vous appelez un client potentiel et vous lui laissez un message en lui demandant de vous rappeler. Vous dites à la réceptionniste que vous attendez un appel de ce client ; vous lui demandez de transférer l’appel à votre bureau.

Le client appelle le standard de la société car il s’agit du seul numéro qu’il connaît. Lorsque le client indique à la réceptionniste le nom de la personne qu’il souhaite contacter, la réceptionniste consulte une table de recherche dans laquelle votre nom est associé à votre extension. La réceptionniste sait que vous attendez cet appel ; elle transfère donc l’appel à votre extension.

Ainsi, pendant que le serveur DHCP attribue des adresses IP dynamiques aux périphériques du réseau, les routeurs compatibles NAT retiennent une ou plusieurs adresses IP Internet valides hors du réseau. Lorsque le client envoie des paquets en dehors du réseau, la fonction NAT traduit l’adresse IP interne du client en adresse externe. Pour les utilisateurs externes, l’ensemble du trafic depuis et vers le réseau a la même adresse IP ou provient du même pool d’adresses.

La principale fonction de NAT est d’enregistrer les adresses IP en autorisant les réseaux à utiliser des adresses IP privées. NAT traduit les adresses non routables, privées et internes en adresses routables publiques.

NAT permet également d’ajouter un niveau de confidentialité et de sécurité à un réseau car il empêche les réseaux externes de voir les adresses IP internes.

Un périphérique compatible NAT fonctionne généralement à la périphérie d’un réseau d’extrémité.

Dans notre exemple, R2 est le routeur périphérique. Un réseau d’extrémité est un réseau ayant une connexion unique vers son réseau voisin. Pour le FAI, R2 forme un réseau d’extrémité.

Lorsqu’un hôte interne au réseau d’extrémité, par exemple PC1, PC2 ou PC 3, souhaite transmettre à un hôte externe, le paquet est transféré à R2, le routeur de passerelle frontière. R2 effectue le processus NAT, c’est-à-dire qu’il traduit l’adresse privée interne de l’hôte en adresse publique externe routable.

Dans la terminologie NAT, le réseau interne désigne l’ensemble des réseaux soumis à la traduction. Le réseau externe désigne toutes les autres adresses. Les désignations des adresses IP sont différentes si ces adresses sont sur réseau privé ou public (Internet) et si le trafic est entrant ou sortant.

La figure montre comment désigner les interfaces lors de la configuration de NAT. Supposons que le routeur R2 a été configuré pour offrir des fonctionnalités NAT. Il dispose d’un pool d’adresses publiques disponibles à louer aux hôtes internes.

Voici les termes relatifs à la fonction NAT :

• Adresse locale interne : n’est généralement pas une adresse IP attribuée par un organisme d’enregistrement Internet local ou un fournisseur de services et est souvent une adresse privée. Dans la figure, l’adresse IP 192.168.10.10 est attribuée à l’hôte PC1 sur le réseau interne.
• Adresse globale interne : adresse publique valide attribuée à l’hôte interne lorsque ce dernier quitte le routeur NAT. Lorsque le trafic de PC1 est destiné au serveur Web à l’adresse 209.165.201.1, le routeur R2 doit traduire l’adresse. Dans ce cas, l’adresse IP 209.165.200.226 est utilisée comme adresse globale interne pour PC1.
• Adresse globale externe : adresse IP accessible attribuée à un hôte sur Internet. Par exemple, le serveur Web est accessible à l’adresse IP 209.165.201.1.

2- Comment fonctionne NAT ? 

Dans cet exemple, un hôte interne (192.168.10.10) souhaite communiquer avec un serveur Web externe (209.165.200.1). Il envoie un paquet à R2, qui est la passerelle frontière configurée NAT pour le réseau.

R2 lit l’adresse IP de destination du paquet et vérifie si le paquet correspond aux critères spécifiés pour la traduction. R2 dispose d’une liste de contrôle d’accès qui identifie le réseau interne comme hôtes valides pour la traduction. Il traduit donc une adresse IP locale interne en adresse IP globale interne, à savoir 209.165.200.226. Il stocke ce mappage de l’adresse locale sur l’adresse globale dans la table NAT.

Le routeur envoie ensuite le paquet vers sa destination. Lorsque le serveur Web répond, le paquet revient à l’adresse globale de R2 (209.165.200.226).

R2 consulte sa table NAT et s’aperçoit que cette adresse IP a été précédemment traduite. Il traduit donc l’adresse globale interne en adresse locale interne ; le paquet est ensuite transféré à PC1 à l’adresse IP 192.168.10.10. Si aucun mappage n’est trouvé, le paquet est abandonné.

Mappage dynamique et mappage statique

Il existe deux types de traduction NAT : dynamique et statique.

• La fonction NAT dynamique utilise un pool d’adresses publiques et les attribue selon la méthode du premier arrivé, premier servi. Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, la fonction NAT dynamique choisit dans le pool une adresse IP qui n’est pas encore utilisée par un autre hôte. Cette description est celle du mappage.

• La fonction NAT statique utilise un mappage biunivoque des adresses locales et globales ; ces mappages restent constants. Cette fonction s’avère particulièrement utile pour les serveurs Web ou les hôtes qui doivent disposer d’une adresse permanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs d’entreprise ou des périphériques réseau.

Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe suffisamment d’adresses publiques disponibles pour satisfaire le nombre total de sessions utilisateur simultanées.

3- Surcharge NAT

La surcharge NAT (parfois appelée traduction d’adresses de port ou PAT) mappe plusieurs adresses IP privées à une seule adresse IP publique ou à quelques adresses. C’est ce que font la plupart des routeurs personnels. Votre FAI attribue une adresse à votre routeur et pourtant, plusieurs membres de votre famille peuvent surfer simultanément sur Internet.

Grâce à la surcharge NAT, plusieurs adresses peuvent être mappées à une ou quelques adresses car chaque adresse privée est également suivie par un numéro de port. Lorsqu’un client ouvre une session TCP/IP, le routeur NAT attribue un numéro de port à son adresse source. La surcharge NAT s’assure que les clients utilisent un numéro de port TCP différent pour chaque session client avec un serveur sur Internet. Lorsqu’une réponse revient du serveur, le numéro de port source, qui devient le numéro de port de destination lors du retour, détermine le client auquel le routeur achemine les paquets. Il confirme également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.

La surcharge NAT utilise des numéros de port source uniques sur l’adresse IP globale interne de façon à assurer une distinction entre les traductions. NAT traitant chaque paquet, il utilise un numéro de port (1331 et 1555 dans cet exemple) pour identifier le client d’où provient le paquet. L’adresse source correspond à l’adresse IP locale interne avec le numéro de port TCP/IP attribué lié. L’adresse de destination correspond à l’adresse IP locale externe avec le numéro de port de service lié, dans ce cas le port 80 : HTTP.

Au niveau du routeur de passerelle frontière (R2), la surcharge NAT utilise comme adresse source l’adresse IP globale interne du client, toujours avec le numéro de port lié. L’adresse de destination reste la même, mais s’appelle désormais adresse IP globale externe. Lorsque le serveur Web répond, le même chemin est suivi, mais en sens inverse.

Les numéros de port sont codés en 16 bits. Le nombre total d’adresses internes pouvant être traduites en une adresse externe peut théoriquement atteindre 65 536 par adresse IP. Cependant, pour être réaliste, le nombre d’adresses internes pouvant se voir attribuer une adresse IP unique se situe aux environs de 4 000.

Dans l’exemple précédent, les numéros de port client des deux adresses de destination, 1331 et 1555, ne changent pas au niveau de la passerelle frontière. Ce scénario est peu probable car il y a de fortes chances que ces numéros soient déjà liés à d’autres sessions sortantes.

La surcharge NAT essaye de conserver le port source d’origine. Cependant, si ce port source est déjà utilisé, la surcharge NAT attribue le premier numéro de port disponible en commençant au début du groupe de ports approprié, à savoir 0-511, 512-1023 ou 1024-65535. Lorsqu’il n’y a plus de ports disponibles et que plusieurs adresses IP externes sont configurées, la surcharge NAT sélectionne l’adresse IP suivante pour essayer d’allouer de nouveau le port source initial. Ce processus se poursuit jusqu’à ce qu’il n’y ait plus de ports ni d’adresses IP externes disponibles.

Dans la figure, les deux hôtes ont choisi le même numéro de port : 1444. Cette situation est acceptable pour l’adresse interne car ils disposent tous deux d’une adresse IP privée unique. Cependant, au niveau de la passerelle frontière, les numéros de port doivent changer car sinon, deux paquets provenant de deux hôtes laisseraient R2 avec la même adresse source. La surcharge NAT a attribué à la deuxième adresse le premier numéro de port disponible, à savoir dans ce cas 1445.

 4- Différences entre NAT et la surcharge NAT

NAT ne traduit en général que des adresses IP sur une base de 1 pour 1 entre des adresses IP publiques et des adresses IP privées.	La surcharge NAT modifie à la fois l’adresse IP privée et le numéro de port de l’expéditeur.
NAT achemine les paquets entrants vers leur destination interne en faisant référence à l’adresse IP source entrante donnée par l’hôte sur le réseau public.	La surcharge NAT choisit les numéros de port vus par les hôtes sur le réseau public.
	Avec la surcharge NAT, il n’y a généralement qu’une ou que très peu d’adresses IP exposées au public. Les paquets entrants provenant du réseau public sont acheminés vers leur destination sur le réseau privé en faisant référence à une table dans le périphérique de surcharge NAT qui suit les associations entre ports publics et privés. On appelle cela le suivi de connexions.