<< Retour au Glossaire technique
Définition de la traduction d’adresses réseau
La traduction d’adresses réseau (NAT) est un processus qui permet à une adresse IP unique de représenter un groupe entier d’ordinateurs. Dans la traduction d’adresses réseau, un périphérique réseau, souvent un routeur ou un pare-feu NAT, attribue une adresse publique à un ou plusieurs ordinateurs d’un réseau privé. De cette manière, la traduction d’adresses réseau permet au périphérique unique d’agir comme intermédiaire ou agent entre le réseau local privé et le réseau public qu’est Internet. L’objectif principal de NAT est de conserver le nombre d’adresses IP publiques utilisées, à des fins de sécurité et d’économie.
Faq sur la Traduction d’adresses réseau
Qu’est-ce que la Traduction d’adresses réseau ?
La traduction d’adresses réseau (NAT) conserve les adresses IP en permettant aux réseaux IP privés utilisant des adresses IP non enregistrées de se connecter. Avant que NAT transfère des paquets entre les réseaux qu’il connecte, il traduit les adresses de réseau internes privées en adresses légales, uniques au monde.
Les configurations NAT peuvent révéler une seule adresse IP pour un réseau entier au monde extérieur dans le cadre de cette fonctionnalité, masquant efficacement l’ensemble du réseau interne et offrant une sécurité supplémentaire. La traduction d’adresses réseau est généralement implémentée dans des environnements d’accès à distance, car elle offre la double fonction de conservation des adresses et de sécurité renforcée.
Quel est le but de la traduction d’adresses réseau ?
Pour communiquer avec Internet, un système de réseau nécessite une adresse IP unique. Ce numéro 32 bits identifie et localise le périphérique réseau afin qu’un utilisateur puisse communiquer avec lui.
Le schéma d’adressage IPV4 des dernières décennies rendait techniquement disponibles des milliards de ces adresses uniques, mais toutes ne pouvaient pas être attribuées à des périphériques pour la communication. Au lieu de cela, certains ont été exemptés et utilisés à des fins de test, de diffusion et à certaines fins militaires réservées. Alors qu’il en restait plus de 3 milliards pour la communication, la prolifération d’Internet a fait que les adresses étaient presque épuisées.
Le schéma d’adressage IPv6 a été introduit comme solution à cette faiblesse du schéma d’adressage IPv4. IPv6 recrée le système d’adressage afin qu’il y ait plus d’options pour allouer des adresses, mais il a fallu plusieurs années pour modifier l’infrastructure du système de réseau et la mettre en œuvre. NAT a été introduit par Cisco entre-temps et largement déployé.
Fonctionnement de la traduction d’adresses réseau
La traduction d’adresses réseau permet à un seul périphérique, tel qu’un pare—feu NAT ou un routeur NAT ou tout autre périphérique de traduction d’adresses réseau, d’agir en tant qu’agent entre le réseau public et les réseaux privés – Internet et tous les réseaux locaux. Cela permet à un groupe entier de périphériques d’être représenté par une seule adresse IP unique lorsqu’ils font quelque chose en dehors de leur réseau.
NAT fonctionne comme le réceptionniste d’une grande entreprise, avec des instructions spécifiques sur les appels et les visiteurs à garder, à attendre ou à envoyer, et où ils doivent aller. Par exemple, vous pouvez dire à la réceptionniste de ne pas transmettre de visiteurs ou d’appels sans votre demande jusqu’à ce que vous attendiez quelque chose de spécifique; vous pouvez ensuite laisser des instructions pour laisser passer cette communication client particulière.
Le client appelle le numéro principal de l’entreprise, car ce numéro public est le seul que l’on connaisse. Ils disent à la réceptionniste qu’ils doivent vous parler, et la réceptionniste a) vérifie les instructions et sait que vous souhaitez que l’appel soit transféré, et b) fait correspondre votre poste avec une liste pour envoyer les informations au bon endroit. L’appelant ne reçoit jamais votre ligne privée.
La traduction d’adresses réseau fonctionne de la même manière. La demande arrive à l’adresse IP et au port publics, et les instructions NAT l’envoient où elle devrait aller sans révéler les adresses IP privées des destinations.Exemple de traduction d’adresses réseau NAT
Exemple de traduction d’adresses réseau NAT
En tant qu’exemple de traduction d’adresses réseau NAT, un hôte interne peut vouloir communiquer avec une adresse de serveur Web de traduction d’adresses réseau de destination dans le monde extérieur. Pour une communication ultérieure, il enverra un paquet de données au routeur de passerelle NAT du réseau.
Le routeur de passerelle NAT détermine si le paquet remplit la condition de traduction en apprenant l’adresse IP source du paquet et en la recherchant dans le tableau. Il peut localiser les hôtes authentifiés à des fins de traduction réseau interne sur sa liste de contrôle d’accès (ACL), puis terminer la traduction, en produisant une adresse IP globale interne à partir de l’adresse IP locale interne.
Enfin, le routeur de passerelle NAT acheminera le paquet vers la destination après avoir enregistré la traduction dans la table NAT. Le paquet revient à l’adresse IP globale du routeur lorsque le serveur Web d’Internet revient à la demande. En se référant à la table NAT, le routeur peut déterminer quelle adresse IP traduite correspond à quelle adresse globale, la traduire vers l’adresse locale interne et délivrer le paquet de données à l’hôte à leur adresse IP. Le paquet de données est rejeté si aucune correspondance n’est trouvée.
Types de traduction d’adresses réseau
Il existe de nombreuses formes de NAT et il peut fonctionner de plusieurs manières.
SNAT de traduction d’adresse réseau statique. SNAT mappe les adresses IP non enregistrées en utilisant une traduction d’adresse réseau de 1 à 1 pour faire correspondre les adresses IP enregistrées. Il est particulièrement utile lorsqu’un appareil doit être accessible depuis l’extérieur du réseau.
Traduction dynamique d’adresses réseau DNAT. Cette forme de NAT sélectionne une cible parmi un groupe d’adresses IP enregistrées et mappe une adresse IP non enregistrée à la version enregistrée.
Traduction inverse des adresses réseau RNAT. RNAT permet aux utilisateurs de se connecter à eux-mêmes en utilisant Internet ou un réseau public.
Surcharge de la traduction d’adresses réseau NAT. Ceci est également connu sous le nom de surcharge NAT, NAT multiplexé au niveau du port, NAT à adresse unique ou traduction d’adresse de port (PAT). Cette forme de NAT dynamique utilise différents ports pour mapper plusieurs adresses IP privées, locales et non enregistrées à une seule adresse IP enregistrée et distinguer quel trafic appartient à quelle adresse IP NAT. En termes de traduction d’adresse de port par rapport à la traduction d’adresse réseau, PAT est souvent le plus rentable lorsque de nombreux utilisateurs sont connectés à Internet via une seule adresse IP publique.
Traduction d’adresses réseau chevauchante NAT. Le chevauchement du NAT peut se produire lorsque deux organisations dont les réseaux utilisent tous deux des adresses IP RFC 1918 fusionnent, ou lorsque des adresses IP enregistrées sont attribuées à plusieurs périphériques ou utilisées sur plus d’un réseau interne. Dans les deux cas, les réseaux doivent communiquer, et la ou les organisations utilisent un NAT qui se chevauche pour y parvenir sans réajuster tous les périphériques.
Le routeur NAT intercepte les adresses et en maintient une table afin de pouvoir les remplacer par des adresses IP uniques enregistrées. Le routeur de traduction d’adresses réseau doit à la fois traduire les adresses IP externes enregistrées en adresses uniques au réseau privé et traduire les adresses IP internes en adresses uniques enregistrées. Il peut y parvenir soit en utilisant DNS pour implémenter un NAT dynamique, soit via un NAT statique.
Dans le contexte de traduction d’adresses réseau, le réseau interne, communément appelé domaine stub, est généralement un réseau local LAN qui utilise des adresses IP en interne. La plupart du trafic réseau de domaine stub est local, restant à l’intérieur du réseau interne. Un domaine stub peut inclure à la fois des adresses IP non enregistrées et des adresses IP enregistrées.
Configuration de traduction d’adresses réseau
Une configuration NAT traditionnelle nécessite au moins une interface sur un routeur (NAT à l’extérieur) ; une autre interface sur le routeur (NAT à l’intérieur) ; et un ensemble configuré de règles pour traduire les adresses IP dans les en-têtes de paquets et éventuellement des charges utiles.
Dans cet exemple de configuration de traduction d’adresses réseau, IL configure le routeur NAT comme suit. Chaque fois qu’un périphérique à l’intérieur avec une adresse IP non enregistrée (interne, locale) doit communiquer avec le réseau (extérieur, public), le routeur traduit les adresses non enregistrées résidant sur le réseau privé (interne) en adresses IP enregistrées.
- L’organisation reçoit une plage d’adresses IP uniques enregistrées attribuées par le FAI. La liste d’adresses assignée est appelée à l’intérieur d’adresses globales.
- L’équipe divise les adresses privées non enregistrées en un petit groupe et un groupe beaucoup plus important. Le domaine stub utilisera le plus grand groupe, appelé à l’intérieur des adresses locales. Les routeurs NAT utiliseront le petit groupe, appelé adresses locales extérieures, pour traduire les adresses globales extérieures ou les adresses IP uniques des périphériques du réseau public.
- La plupart des ordinateurs de domaine stub communiquent entre eux en utilisant des adresses locales internes. Il existe des adresses globales internes pour les ordinateurs de domaine stub qui communiquent largement en dehors du réseau, ce qui signifie qu’ils ne nécessitent pas de traduction.
- Cependant, lorsqu’un ordinateur de domaine stub typique avec une adresse locale interne doit communiquer en dehors du réseau, il envoie le paquet à un routeur NAT.
- Le routeur NAT vérifie l’adresse de destination dans la table de routage. S’il a une entrée pour cette adresse, le routeur NAT traduit le paquet et entre cette action dans la table de traduction d’adresses. Le routeur NAT abandonne le paquet si l’adresse de destination n’est pas dans la table de routage.
- Le routeur envoie le paquet en utilisant une adresse globale interne.
- Un ordinateur du réseau public envoie un paquet au réseau privé. L’adresse de destination du paquet est une adresse globale interne et son adresse source est une adresse globale externe.
- Le routeur NAT confirme que l’adresse de destination correspond à un ordinateur de domaine stub en vérifiant la table de traduction d’adresses.
- Le routeur NAT envoie le paquet à l’ordinateur de destination après avoir traduit l’adresse globale interne du paquet en adresse locale interne.
La surcharge NAT utilise le multiplexage, une fonctionnalité de pile de protocoles TCP/IP. Le multiplexage permet à un ordinateur de maintenir plusieurs connexions avec un ou plusieurs ordinateurs distants simultanément en utilisant différents ports. L’en-tête d’un paquet IP contient :
Adresse source. L’adresse IP de l’ordinateur d’origine, par exemple, le port source 123.123.12.1
. Le numéro de port TCP ou UDP attribué pour ce paquet, par exemple, l’adresse de destination du port 1060
. L’adresse IP de l’ordinateur récepteur, par exemple, le port de destination 52.220.51.237
. Le numéro de port de traduction d’adresse réseau TCP ou UDP que l’ordinateur de destination doit ouvrir, par exemple le port 2170
Ces quatre nombres combinés représentent une seule connexion TCP/IP. Les adresses clarifient les deux ordinateurs à chaque extrémité, et les numéros de port fournissent un identifiant unique pour la connexion entre les deux ordinateurs. Bien qu’il y ait 65 536 valeurs possibles ici puisque chaque numéro de port utilise 16 bits, différents ports sont mappés de manière légèrement différente, donc environ 4 000 ports disponibles sont réalistes.
NAT dynamique et Configuration de surcharge NAT
Dans la traduction dynamique d’adresses réseau:
- L’IANA (Internet Assigned Numbers Authority), l’autorité mondiale qui attribue les adresses IP, est la seule source d’adresses IP uniques. Lorsqu’un domaine stub ou un réseau interne a été configuré avec des adresses IP que l’IANA ne leur a pas spécifiquement allouées, les adresses ne sont pas uniques et ne sont donc pas routables.
- L’organisation configure un routeur activé pour le NAT qui contient une plage d’adresses IP uniques de l’IANA.
- Un ordinateur de domaine stub tente de se connecter à un ordinateur extérieur.
- Le routeur reçoit le paquet de l’ordinateur de domaine stub.
- Le routeur compatible NAT enregistre l’adresse IP non routable de l’ordinateur d’envoi vers une table de traduction d’adresses. Le routeur mappe la première adresse IP disponible en dehors de la zone d’adresses IP uniques à l’ordinateur d’envoi pour remplacer l’adresse IP non routable.
- Le routeur vérifie maintenant l’adresse de destination de chaque paquet lorsqu’il arrive de l’ordinateur de destination et vérifie à quel ordinateur de domaine stub appartient le paquet avec la table de traduction d’adresses. S’il ne trouve aucune correspondance, il supprime le paquet. Sinon, il localise l’alternative pour l’adresse de destination enregistrée dans la table de traduction d’adresses et l’envoie.
- L’ordinateur reçoit le paquet et le processus se poursuit tant que le système externe et l’ordinateur communiquent.
En surcharge NAT:
- Comme dans l’exemple de NAT dynamique précédent, un domaine stub ou un réseau interne a été configuré avec des adresses IP non routables et non uniques qui ne leur sont pas spécifiquement allouées, de sorte que l’organisation configure un routeur activé pour NAT qui contient une adresse IP unique de l’IANA.
- Un ordinateur de domaine stub tente de se connecter à un ordinateur extérieur.
- Le routeur compatible NAT reçoit le paquet de l’ordinateur de domaine stub.
- Le routeur NAT enregistre l’adresse IP non routable et le numéro de port de l’ordinateur d’envoi vers une table de traduction d’adresses. Le routeur mappe un numéro de port et l’adresse IP du routeur sur l’ordinateur d’envoi pour remplacer l’adresse IP et le numéro de port non routables.
- Le routeur vérifie les ports de destination des paquets qui reviennent de l’ordinateur de destination et confirme à quel ordinateur de domaine stub appartient le paquet. Il remplace le port et l’adresse de destination par les versions enregistrées de la table de traduction d’adresses et les envoie.
- L’ordinateur reçoit le paquet et le processus se poursuit tant que le système externe et l’ordinateur communiquent.
- Le routeur NAT continuera à utiliser le même numéro de port tout au long de la connexion, car le port source et l’adresse de l’ordinateur sont enregistrés dans la table de traduction d’adresses. Si la communication se termine sans que l’entrée soit à nouveau accessible, le routeur supprime l’entrée de la table.
Contrairement à l’ordinateur décrit ci-dessus dans la configuration NAT traditionnelle, voici comment les ordinateurs de domaine stub peuvent apparaître aux réseaux externes:
Ordinateur source 1
Adresse IP: 192.168.24.11
Port de l’ordinateur: 620
Adresse IP du routeur NAT: 215.37.32.203
Numéro de Port du Routeur NAT: 1
Ordinateur Source 2
Adresse IP: 192.168.24.12
Port de l’ordinateur: 80
Adresse IP du Routeur NAT: 215.37.32.203
Numéro de Port du Routeur NAT: 2
Ordinateur source 3
Adresse IP: 192.168.24.13
Port de l’ordinateur: 1560
Adresse IP du routeur NAT: 215.37.32.203
Numéro de port du routeur NAT: 3
Le routeur compatible NAT stocke l’adresse IP et le numéro de port de chaque ordinateur source. Il utilise sa propre adresse IP et ses propres numéros de port enregistrés pour remplacer l’adresse IP et le numéro de port qui correspondent à l’ordinateur source de ce paquet dans la table. À la place des informations de l’ordinateur source sur chaque paquet, tout réseau externe voit l’adresse IP du routeur NAT et le numéro de port attribué.
Certains ordinateurs de domaine stub utilisent des adresses IP dédiées. Dans ces situations, leurs adresses IP peuvent passer par le routeur NAT non traduit si vous créez une liste d’accès d’adresses IP qui clarifie pour le routeur les ordinateurs réseau nécessitant NAT.
La mémoire vive dynamique (DRAM) d’un routeur est le facteur principal qui détermine le nombre de traductions simultanées qu’il peut prendre en charge. Une entrée de table de traduction d’adresses typique nécessite environ 160 octets, donc pour la plupart des applications, un routeur avec 4 Mo de DRAM est suffisant.
Selon l’IANA et la RFC 1918, il existe des plages spécifiques d’adresses IP à utiliser comme adresses réseau internes qui ne sont pas routables. Ces adresses ne sont pas enregistrées, ce qui signifie qu’aucune agence ou entreprise ne peut les utiliser sur des ordinateurs publics ou en revendiquer la propriété. Au lieu de transférer des adresses non enregistrées, les routeurs sont conçus pour les supprimer. Par conséquent, un paquet provenant d’une adresse d’ordinateur d’envoi non enregistrée pourrait atteindre sa destination d’ordinateur enregistrée, mais le premier routeur auquel la réponse est parvenue le rejetterait.
Pour réduire le risque de conflit d’adresses IP, il est utile de suivre la plage de chacune des trois classes d’adresses IP de votre réseau interne:
- Gamme 1: Classe A – 10.0.0.0 à 10.255.255
- Gamme 2: Classe B- 172.16.0.0 à 172.31.255.255
- Gamme 3: Classe C–192.168.0.0 à travers 192.168.255.255
Cependant, il s’agit d’une meilleure pratique et non d’une exigence.
Routeur NAT
À l’aide d’une surcharge NAT, un routeur NAT crée un réseau d’adresses IP pour un réseau local LAN et connecte le réseau public Internet à ce réseau LAN. Le routeur exécute le NAT permettant la communication entre le WAN ou Internet et les périphériques hôtes ou les ordinateurs du réseau LAN. Parce que les routeurs NAT semblent être un hôte solo avec une adresse IP solo sur Internet, ils sont utilisés pour les petites industries et à des fins domestiques.
Avantages de la traduction d’adresses réseau
Avantages de la conservation d’adresses NAT
. NAT conserve les adresses IP légalement enregistrées et empêche leur épuisement.
Sécurité de la traduction d’adresses réseau. NAT offre la possibilité d’accéder à Internet avec plus de sécurité et de confidentialité en masquant l’adresse IP de l’appareil du réseau public, même lors de l’envoi et de la réception de trafic. La limitation de débit NAT permet aux utilisateurs de limiter le nombre maximal d’opérations NAT simultanées sur un routeur et de limiter le nombre de traductions NAT. Cela permet de mieux contrôler l’utilisation des adresses NAT, mais peut également être utilisé pour limiter les effets des vers, des virus et des attaques par déni de service (DoS). L’implémentation NAT dynamique crée automatiquement un pare-feu entre le réseau interne et Internet. Certains routeurs NAT offrent la journalisation et le filtrage du trafic.
Flexibilité. Le NAT offre une flexibilité ; par exemple, il peut être déployé dans un environnement LAN sans fil public. Le mappage entrant ou le NAT statique permet aux périphériques externes d’initier des connexions aux ordinateurs du domaine stub dans certains cas.
Simplicité. Élimine le besoin de renuméroter les adresses lorsqu’un réseau change ou fusionne.
La traduction d’adresses réseau vous permet de créer un hôte virtuel à l’intérieur du réseau pour coordonner l’équilibrage de charge TCP pour les serveurs réseau internes.
Vitesse. Comparé aux serveurs proxy, le NAT est transparent pour les ordinateurs de destination et les ordinateurs sources, ce qui permet une transaction directe plus rapide. De plus, les serveurs proxy fonctionnent généralement au niveau de la couche de transport ou de la couche 4 du modèle de référence OSI ou supérieur, ce qui les rend plus lents que la traduction d’adresses réseau, qui est une couche réseau ou un protocole de couche 3.
Évolutivité. Le protocole NAT et le protocole DHCP (dynamic host configuration protocol) fonctionnent bien ensemble, le serveur DHCP distribuant des adresses IP non enregistrées pour le domaine stub de la liste si nécessaire. La mise à l’échelle est plus facile, car vous pouvez augmenter la plage d’adresses IP disponibles que le DHCP configure pour faire de la place pour des ordinateurs réseau supplémentaires immédiatement au lieu de demander plus d’adresses IP à l’IANA à mesure que les besoins augmentent.
Multi-homing. Les connexions multiples à Internet, appelées multi-homing, aident à maintenir une connexion fiable et réduisent les risques d’arrêt en cas d’échec de la connexion. Cela permet également d’équilibrer la charge en réduisant le nombre d’ordinateurs utilisant une connexion unique. Les réseaux multi-foyers se connectent souvent à plusieurs FAI, chacun attribuant une plage d’adresses IP ou une seule adresse IP à l’organisation. Les routeurs utilisent la traduction d’adresses réseau pour router entre les réseaux en utilisant différents protocoles de traduction d’adresses réseau. Dans un réseau à plusieurs foyers, le routeur utilise une partie de la suite de protocoles TCP/IP, le protocole BGP (border gateway protocol), pour communiquer ; le côté du domaine stub utilise BGP ou IBGP interne, et les routeurs communiquent entre eux à l’aide de BGP ou EBGP externe. Le multi-homing redirige toutes les données via un autre routeur si l’une des connexions à un FAI échoue.
Inconvénients de la consommation de ressources NAT
. La traduction d’adresses réseau est une technologie qui consomme des ressources mémoire et de l’espace processeur, car elle doit traduire les adresses IPv4 pour tous les datagrammes IPv4 sortants et entrants et conserver les détails de la traduction en mémoire.
Retards. Les retards de chemin sont causés par les résultats de traduction dans les retards de chemin de commutation.
Fonctionnalité. Certaines applications et technologies ne fonctionneront pas comme prévu avec NAT activé.
Traçabilité. La traduction d’adresses réseau complique les protocoles de tunneling. IPSec est le protocole sécurisé recommandé pour la traduction d’adresses réseau.
Problème de couche. Un routeur est un périphérique pour la couche réseau, mais en tant que périphérique NAT, il est nécessaire d’altérer la couche de transport sous la forme de numéros de port.
Avi Offre-t-il une Solution Logicielle de Traduction d’Adresses Réseau ?
La plate-forme Avi Vantage d’Avi Networks, une structure de services d’application définie par logiciel, applique des politiques de contrôle d’accès et capture et analyse le trafic applicatif de bout en bout, fournissant des services bien au-delà de l’équilibrage de charge.
Lorsque de nouveaux serveurs d’applications sont déployés, les serveurs ont besoin d’une connectivité externe pour faciliter la gestion. En l’absence de routeur dans les réseaux de serveurs, l’Avi SE peut être utilisé pour router le trafic des réseaux de serveurs en utilisant la fonction de routage IP des moteurs de service. La fonctionnalité NAT du moteur de service Avi (SE) couvre cela et sert de passerelle NAT pour l’ensemble du réseau privé de serveurs.
NAT fonctionnera soit via le routage IP sur le moteur de service, la fonctionnalité de passerelle par défaut SE, soit dans la phase de post-routage du chemin de paquet. Pour utiliser la fonctionnalité NAT sortante, il est nécessaire d’activer le routage IP sur le moteur de service et d’utiliser le SE comme passerelle.
Avi prend en charge le NAT sortant pour les flux TCP/ UDP et ICMP.
Il existe trois options de cas d’utilisation NAT sortant:
- Flux NAT (afficher les informations de flux NAT)
- Statistiques de stratégie NAT (afficher les statistiques de stratégie NAT)
- Statistiques NAT (afficher les statistiques NAT)
La plate-forme permet également le NAT source ou le SNAT pour l’identification des applications. L’adresse IP source utilisée par Avi SEs pour les connexions back-end du serveur peut être remplacée par une adresse explicite spécifiée par l’utilisateur – l’adresse IP NAT source (SNAT). L’adresse IP SNAT peut être spécifique dans le cadre de la configuration du service virtuel.
Dans certains déploiements, pour fournir un traitement différencié en fonction de l’application, il est essentiel d’identifier le trafic en fonction de l’adresse IP source. Par exemple, dans les déploiements DMZ, la sécurité, le pare-feu, la visibilité et d’autres types de solutions peuvent avoir besoin de valider les clients utilisant l’adresse IP source avant de transmettre le trafic à une application.