NAT : Traducteur d'adresse réseau : mécanisme de correspondance d'adresses IP utilisé pour rendre accessible le réseau Internet à un réseau Intranet (adresses privées réservées).
Sur le routeur, les adresses sources des paquets sont remplacées par l'adresse publique (NAT dynamique) ou les adresses publiques (NAT statique) du routeur pour que le destinataire puisse répondre aux demandes.

La principale fonction de NAT est d’enregistrer les adresses IP en autorisant les réseaux à utiliser des adresses IP privées. NAT traduit les adresses non routables, privées et internes en adresses routables publiques. NAT permet également d’ajouter un niveau de confidentialité et de sécurité à un réseau car il empêche les réseaux externes de voir les adresses IP internes.
Les termes liés à NAT, ont été définis par Cisco :

  • Adresse locale interne : n’est généralement pas une adresse IP attribuée par un organisme d’enregistrement Internet local ou un fournisseur de services et est souvent une adresse privée RFC 1918. 
  • Adresse globale interne – Une adresse IP légitime attribuée par InterNIC ou par le fournisseur d’accès, et qui représente une ou plusieurs adresses IP locales internes pour le monde extérieur.
  • Adresse locale externe – L’adresse IP d’un hôte externe telle que la connaissent les hôtes du réseau interne.
  • Adresse globale externe – L’adresse IP attribuée à un hôte du réseau externe. C’est le propriétaire de l’hôte qui attribue cette adresse.
Principales fonctionnalités NAT et PAT :

Les traductions NAT peuvent avoir de nombreuses utilisations et peuvent indifféremment être attribuées de façon statique ou dynamique.

  • NAT statique est conçue pour permettre le mappage bi-univoque d’adresses locales et globales. Ceci s’avère particulièrement utile pour les hôtes qui doivent disposer d’une adresse permanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs d’entreprise ou des équipements de réseau.
  • NAT dynamique est conçue pour mapper une adresse IP privée sur une adresse publique. Une adresse IP quelconque prise dans un groupe d’adresses IP publiques est attribuée à un hôte du réseau.

Surcharge NAT  = PAT :
La surcharge NAT (parfois appelée traduction d’adresses de port ou PAT) mappe plusieurs adresses IP privées à une seule adresse IP publique ou à quelques adresses. C’est ce que font la plupart des routeurs personnels.
Grâce à la surcharge NAT, plusieurs adresses peuvent être mappées à une ou quelques adresses car chaque adresse privée est également suivie par un numéro de port. Lorsqu’un client ouvre une session TCP/IP, le routeur NAT attribue un numéro de port à son adresse source. La surcharge NAT s’assure que les clients utilisent un numéro de port TCP différent pour chaque session client avec un serveur sur Internet. Lorsqu’une réponse revient du serveur, le numéro de port source, qui devient le numéro de port de destination lors du retour, détermine le client auquel le routeur achemine les paquets. Il confirme également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.
Le numéro de port est encodé sur 16 bits. Le nombre total d’adresses internes pouvant être traduites en une adresse externe peut théoriquement atteindre les 65 536 par adresse IP.

PAT : (Port Address Translation)

  • La fonction PAT tente de conserver le port source d’origine. Si ce port source est déjà utilisé, PAT attribue le premier numéro de port disponible en commençant au début du groupe de ports approprié.
  • Quand il n’y a plus de ports disponibles et que plusieurs adresses IP externes sont configurées, PAT sélectionne l’adresse IP suivante pour tenter d’allouer de nouveau le numéro du port source initial.

Avantages de NAT :
Elle économise du temps et de l’argent. Elle élimine le besoin de réattribuer une nouvelle adresse IP à chaque hôte lors du passage à un nouveau FAI.

  • Elle économise les adresses au moyen d’un multiplexage au niveau du port de l’application.
  • La fonction NAT assure la sécurité du réseau. Les réseaux privés ne divulguant pas leurs adresses ou leur topologie interne, ils restent raisonnablement sécurisés quand ils sont utilisés conjointement à la fonction NAT pour obtenir un accès externe. La fonction NAT ne remplace cependant pas les pare-feu.

Les inconvénients du NAT :

  • Les performances sont affectées.
  • Les fonctionnalités de bout en bout sont affectées.
  • La traçabilité IP de bout en bout est perdue.
  • La transmission tunnel est plus compliquée.
  • L’établissement des connexions TCP peut être perturbé.
  • Les architectures doivent être remodelées pour tenir compte des modifications.

Processus de configuration de NAT :
Statique :
1- Etablir le mappage statique :
     Router(config)#ip nat inside source static {@ IP locale} {@ IP globale}
2-  Spécifiez l’interface interne :     Router(config-if)#ip nat inside
3- Spécifiez l’interface externe :     Router(config-if)#ip nat outside 

Dynamique :
1- Définir une liste d’@IP globales à allouer :
    Router(config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}
2- Définir une ACL standard autorisant les @ qui doivent être traduites.
3- Etablir la traduction dynamique
    Router(config)#ip nat inside source list {n° ACL} pool {nom_pool}

4- Spécifiez l’interface interne :     Router(config-if)#ip nat inside
5- Spécifiez l’interface externe :     Router(config-if)#ip nat outside 

    Surcharge : deux méthodes : 

Configuration de la surcharge NAT pour une adresse IP publique unique :
Définir une ACL standard autorisant les @ qui doivent être traduites.
Etablir la traduction dynamique :
Router(config)#ip nat inside source list {n° ACL} interface {interface} overload
                      Overload active la fonction PAT.

Spécifiez l’interface interne:     Router(config-if)#ip nat inside
Spécifiez l’interface externe :   Router(config-if)#ip nat outside 

Configuration de la surcharge NAT pour un pool d’adresses IP publiques :

1-  Définir une ACL standard autorisant les @ qui doivent être traduites.
2- Spécifier l’@ globale, en tant que pool à utiliser par la surcharge :
               Router(config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}
3- Établissez la traduction de surcharge. 
              Router {config}#ip nat inside source list {numéro-liste-contrôle-d’accès} pool {nom} overload.
4- Spécifiez l’interface interne:     Router(config-if)#ip nat inside
5- Spécifiez l’interface externe :   Router(config-if)#ip nat outside 

Show ip nat statistics : affiche les informations sur le nombre total de traductions actives, les paramètres de configuration NAT, le nombre d’adresses dans le pool et le nombre d’adresses attribuées.
Show ip nat translation {verbose} : (verbose est facultatif) permet d’afficher les informations complémentaires pour chaque entrée de la table de traduction, notamment le temps écoulé depuis la création et l’utilisation de l’entrés. 
Debug ip nat : afficher des informations sur chacun des paquets traduits par le Routeur
Debug ip nat detailed : générer une description individuelle les paquets + erreurs …
Clear ip nat translation * : efface toutes le entrées de traduction dynamique d’adresses de la table de traduction NAT. Par défaut, les entrées de traduction de désactivent au bout de 24 heure, sinon on le Configure manuellement par : Router(config)#ip nat translation timeout {en seconde}
Clear ip nat translation {inside | outside} {ip local} {ip global}: Efface une entrée de traduction dynamique simple contenant une traduction interne ou une traduction à la fois interne et externe.

 
Top