5.1 Introduction au NAT
Un autre sujet très intéressant est le NAT. NAT signifie Network Address Translation et est généralement présent dans chaque routeur en tant que service. Alors qu'est-ce que c'est et pourquoi est-ce nécessaire?
NAT est un point par lequel les réseaux locaux peuvent être connectés à des réseaux mondiaux, comme Internet, par exemple.
Comme vous le savez déjà, sur les réseaux locaux, tous les ordinateurs (et autres appareils connectés au réseau) ont leurs propres adresses IP locales. Et pour échanger des données avec un serveur sur Internet, il faut que notre ordinateur puisse envoyer une requête au serveur et que le serveur puisse nous envoyer une réponse. Et où doit-il envoyer une réponse si notre adresse IP est inconnue en dehors de notre réseau local ?
Imaginez que vous écrivez une lettre papier à Donald Trump. Trump est une personnalité publique, il est le seul - c'est notre serveur public. Et vous indiquez Masha comme adresse de retour dans la lettre. Ecrasez beaucoup. À quelle Masha doit-on envoyer la réponse ?
Vous envoyez donc une lettre à votre connaissance à Washington, également une personnalité publique, avec des instructions strictes pour l'envoyer à Trump. Votre ami reçoit une lettre, l'envoie à Trump et donne son adresse à Washington comme adresse de retour.
Puis, après avoir reçu une réponse de Trump, la connaissance vous la transmet. Idem pour les paquets IP...
Pour permettre à un appareil avec une adresse IPv4 privée d'accéder aux appareils et aux ressources en dehors du réseau local, l'adresse privée doit d'abord être remplacée par une adresse publique publique.
Juste NAT traduit les adresses privées en adresses publiques. Cela permet à un appareil avec une adresse IP locale d'accéder à des ressources en dehors de son réseau privé. Le NAT, combiné aux adresses IP locales, s'est avéré être une méthode utile pour maintenir les adresses IPv4 publiques.
Il y a 8 milliards de personnes dans le monde, et il y a déjà beaucoup plus d'appareils réseau : téléphones, ordinateurs portables, montres intelligentes, serveurs, tout appareil intelligent. Et il n'y a que 4 milliards d'adresses IP. Auparavant, cela semblait beaucoup, mais avec la croissance rapide d'Internet, il est devenu clair pour tout le monde que cela ne suffisait pas.
Ici, NAT vient à la rescousse : une adresse IPv4 publique peut être utilisée par des centaines, voire des milliers d'appareils, chacun ayant une adresse IPv4 locale. NAT a l'avantage supplémentaire d'ajouter un degré de confidentialité et de sécurité à un réseau car il masque les adresses IPv4 internes des réseaux externes.
5.2 Sous-réseaux dans NAT
Les réseaux locaux sont généralement conçus avec des adresses IP privées. Ce sont des adresses de sous-réseaux privés 10.0.0.0/8, 172.16.0.0/12et 192.168.0.0/16. Ces adresses IP sont utilisées en interne par une organisation ou un site pour permettre aux appareils de communiquer localement, elles ne sont pas routables sur Internet.
Les routeurs compatibles NAT peuvent être configurés avec une ou plusieurs adresses IPv4 publiques valides. Ces adresses publiques sont appelées pool NAT.
Lorsqu'un appareil sur le réseau interne envoie du trafic du réseau vers l'extérieur, le routeur compatible NAT traduit l'adresse IP interne de l'appareil en adresse IP publique à partir du pool NAT. Pour les périphériques externes, tout le trafic entrant et sortant du réseau semble avoir une adresse IP publique.
Un routeur NAT fonctionne généralement à la périphérie d'un réseau Stub. Un réseau de bout est un terme de la théorie des réseaux : un réseau de bout qui a une connexion à un réseau voisin, une entrée et une sortie du réseau.
Lorsqu'un appareil à l'intérieur du réseau Stub veut communiquer avec un appareil en dehors de son réseau, le paquet est transmis au routeur et il exécute un processus NAT, traduisant l'adresse privée interne de l'appareil en une adresse publique, externe et routable.
5.3 Terminologie NAT
Si vous vous plongez dans la théorie des réseaux, alors NAT est un réseau interne, qui est un ensemble de sous-réseaux à traduire. Le réseau externe fait référence à tous les autres réseaux.
Lors de l'utilisation de NAT, les adresses IP ont des désignations différentes selon qu'elles se trouvent sur un réseau privé ou sur un réseau public (sur Internet) et selon que le trafic est entrant ou sortant.
NAT comprend quatre types d'adresses :
- Adresse locale interne (Adresse locale interne) ;
- Adresse globale interne (Adresse globale interne) ;
- Adresse locale extérieure ;
- Adresse globale externe (Adresse globale externe) ;
Lors de la détermination du type d'adresse utilisé, il est important de se rappeler que la terminologie NAT est toujours appliquée du point de vue de l'appareil avec l'adresse traduite :
- Adresse interne (adresse interne) - adresse de l'appareil traduite par NAT ;
- Adresse extérieure – adresse de l'appareil de destination ;
- Une adresse locale est toute adresse qui apparaît en interne sur le réseau ;
- Une adresse globale est une adresse qui apparaît à l'extérieur du réseau.
Regardons cela avec un exemple de diagramme.
L'ordinateur de l'image de gauche a une adresse interne locale ( Inside local ) 192.168.1.5et, de son point de vue, le serveur Web a une adresse externe ( outside208.141.17.4 ) . Lorsque des paquets de données sont envoyés de l'ordinateur à l'adresse globale du serveur Web, l'adresse interne locale ( Inside local ) du PC est traduite en 208.141.16.5( inside global ). L'adresse du périphérique externe n'est généralement pas traduite car il s'agit d'une adresse IPv4 publique.
Il convient de noter qu'un ordinateur a, pour ainsi dire, deux adresses : une adresse locale et une adresse globale, tandis qu'un serveur Web a la même adresse IP publique. De son point de vue, le trafic qui provient de l'ordinateur provient de l'adresse globale interne 208.141.16.5. Un routeur NAT est le point de séparation entre les réseaux internes et externes, et entre les adresses locales et globales.
Les termes intérieur et extérieur sont combinés avec les termes local et global pour faire référence à des adresses spécifiques. Dans la figure, le routeur est configuré pour fournir NAT et dispose d'un pool d'adresses publiques à attribuer aux hôtes internes.
5.4 Chemin de paquet
Si vous êtes déjà fatigué, passez à la conférence suivante. Si vous êtes toujours intéressé, alors bienvenue plus loin dans le trou de ver.
La figure ci-dessous montre comment le trafic est envoyé d'un ordinateur interne à un serveur Web externe via un routeur compatible NAT, envoyé et retransmis.
| tableau NAT du routeur | |||
|---|---|---|---|
| PC | serveur Web | ||
| À l'intérieur du monde | À l'intérieur de la section locale | à l'extérieur du local | En dehors du monde |
| 208.141.17.4 | 192.168.1.5 | 208.141.16.5 | 208.141.16.5 |
Adresse locale intérieure - L'adresse source vue du réseau interne. Dans la figure, l'adresse 192.168.1.5est attribuée à l'ordinateur - il s'agit de son adresse locale interne.
Adresse globale intérieure - L'adresse source vue du réseau extérieur. Dans la figure, lorsque le trafic de l'ordinateur est envoyé au serveur Web à 208.141.17.4, le routeur traduit l'adresse locale interne (adresse locale) en adresse globale interne (Adresse globale interne). Dans ce cas, le routeur modifie l' adresse source IPv4 de 192.168.1.5à 208.141.16.5.
Adresse globale extérieure - l'adresse de la destination vue du réseau extérieur. Il s'agit d'une adresse IP globalement routable attribuée à un hôte sur Internet. Dans le schéma, le serveur Web est disponible sur 208.141.17.4. Le plus souvent, les adresses externes locales et externes globales sont les mêmes.
Adresse locale extérieure - L'adresse du destinataire telle qu'elle apparaît sur le réseau interne. Dans cet exemple, l'ordinateur envoie le trafic au serveur Web à208.141.17.4
Examinons maintenant l'intégralité du chemin du package. L'ordinateur avec l'adresse 192.168.1.5essaie de communiquer avec le serveur Web 208.141.17.4. Lorsqu'un paquet arrive sur un routeur compatible NAT, il lit l'adresse IP de destination du paquet pour déterminer si le paquet correspond aux critères spécifiés pour la traduction. Dans cet exemple, l'adresse source correspond aux critères et est traduite de 192.168.1.5(Adresse locale interne) à 208.141.16.5(Adresse globale interne).
Le routeur ajoute ce mappage d'adresse local à global à la table NAT et envoie le paquet avec l'adresse source traduite à la destination. Le serveur Web répond par un paquet adressé à l'adresse globale interne du PC ( 208.141.16.5).
Le routeur reçoit un paquet avec une adresse de destination 208.141.16.5et vérifie la table NAT pour une entrée pour ce mappage. Il utilise ces informations et retraduit l'adresse globale interne ( 208.141.16.5) en adresse locale interne ( 192.168.1.5), le paquet est redirigé vers le PC.
5.5 Avantages et inconvénients du NAT
Le service NAT est une solution très puissante qui est utilisée partout. NAT offre de nombreux avantages , notamment :
- NAT maintient un schéma d'adressage enregistré, offrant un fonctionnement LAN flexible. Avec NAT, les hôtes internes peuvent partager une adresse IP publique pour toutes les communications externes. Ce type de configuration nécessite très peu d'adresses externes pour prendre en charge de nombreux hôtes internes.
- NAT augmente la flexibilité des connexions Internet. Plusieurs pools, pools de sauvegarde et pools d'équilibrage de charge peuvent être implémentés pour fournir des connexions de réseau public fiables.
- NAT assure la cohérence des schémas d'adressage internes du réseau. Sur un réseau qui n'utilise pas d'adresses IP privées ni de NAT, la modification du schéma d'adresse IP général nécessite la redirection de tous les hôtes du réseau existant. Le coût du transfert de l'hôte peut être important. NAT permet de conserver le schéma d'adressage privé IPv4 existant tout en permettant de modifier facilement le nouveau schéma d'adressage public. Cela signifie qu'une organisation peut changer de fournisseur et n'a pas besoin de changer l'un de ses clients internes.
- NAT assure la sécurité du réseau . Étant donné que les réseaux privés n'annoncent pas leurs adresses ou leur topologie interne, ils restent raisonnablement fiables lorsqu'ils sont utilisés conjointement avec NAT pour obtenir un accès externe contrôlé. Cependant, vous devez comprendre que NAT ne remplace pas les pare-feu.
Mais NAT a quelques inconvénients . Le fait que les hôtes sur Internet semblent parler directement à un appareil compatible NAT plutôt qu'à un hôte réel à l'intérieur du réseau privé crée un certain nombre de problèmes :
- L'un des inconvénients de l'utilisation de NAT est lié aux performances du réseau, en particulier pour les protocoles en temps réel tels que la VoIP. NAT augmente les délais de commutation car la traduction de chaque adresse IP dans les en-têtes de paquet prend du temps.
- Un autre inconvénient de l'utilisation de NAT est que l'adressage de bout en bout est perdu. De nombreux protocoles et applications Internet reposent sur un adressage de bout en bout de la source à la destination. Certaines applications ne fonctionnent pas avec NAT. Les applications qui utilisent des adresses physiques plutôt qu'un nom de domaine qualifié ne parviennent pas à atteindre les destinations traduites via un routeur NAT. Cela peut parfois être évité en implémentant des mappages NAT statiques.
- Le traçage IPv4 de bout en bout est également perdu. Il est plus difficile de suivre les paquets qui subissent plusieurs changements d'adresse de paquet sur plusieurs sauts NAT, ce qui rend le dépannage difficile.
- L'utilisation de NAT rend également difficiles les protocoles de tunnellisation tels qu'IPsec car NAT modifie les valeurs dans les en-têtes qui interfèrent avec les contrôles d'intégrité effectués par IPsec et d'autres protocoles de tunnellisation.
- Les services qui nécessitent que les connexions TCP soient lancées à partir du réseau externe, ou des protocoles sans état tels que ceux utilisant UDP, peuvent être interrompus. Si le routeur NAT n'est pas configuré pour prendre en charge ces protocoles, les paquets entrants ne peuvent pas atteindre leur destination.
GO TO FULL VERSION