Ministère de l'enseignement supérieur et de la recherche scientifique

École supérieure en informatique de Sidi Bel Abbès

Module: RÉSEAUX II
Chapitre 2 Cours Operateurs Réseaux
Evolutivité des réseaux avec NAT
Network address translation
Objectifs
 Configurer la fonction NAT sur un routeur Cisco.
 2.1 Adressage IP privé et public
 Les adresses publiques doivent être enregistrées auprès d’un organisme
d’enregistrement Internet local. Les organisations peuvent louer des adresses
publiques auprès d’un FAI.
 Les adresse privées ne sont pas routables.
 Avant NAT, un hôte doté d’une adresse privée ne pouvait pas accéder à Internet.
2.2 Qu’est-ce que la fonction NAT ?
 Il existe deux types de traduction NAT : dynamique et
statique.
 Le NAT dynamique utilise un pool d’adresses publiques et
les attribue selon la méthode du premier arrivé, premier
servi.
 Le NAT statique utilise un mappage manuelle et permanent (
pour les serveur et périphériques réseaux).
2.3 Surcharge NAT ou PAT
 La surcharge NAT (traduction d’adresses de port ou PAT) mappe
plusieurs adresses IP privées à une seule adresse IP publique ou à
quelques adresses.
 Le routeur NAT attribue un numéro de port unique à l’adresse source
des clients pour chaque session client/serveur sur Internet.
 Le nombre total d’adresses internes pouvant être traduites peut
théoriquement atteindre 65 536 par adresse IP (4000 en réalité).
 Le PAT essaye de conserver le port source d’origine. Cependant, si ce
port source est déjà utilisé, le PAT attribue le premier numéro de port
disponible en commençant au début du groupe de ports approprié: 0-
511, 512-1023 ou 1024-65535.
 Lorsqu’il n’y a plus de ports disponibles et que plusieurs adresses IP
externes sont configurées, le PAT sélectionne l’adresse IP suivante pour
essayer d’allouer de nouveau le port source initial.
2.4 Avantages et Inconvénients de la fonction NAT
 Avantages :
1. Le NAT économise les adresses publiques au moyen d’un
multiplexage au niveau du port de l’application.
2. Le NAT augmente la souplesse des connexions au réseau
public en mettant mettre en œuvre des pools multiples, des
pools de sauvegarde et des pools d’équilibrage de la
charge pour assurer des connexions plus fiables au réseau
public.
3. Le NAT assure la cohérence des schémas d’adressage du
réseau interne. En changeant de FAI le NAT permet de
conserver le schéma existant, tout en prenant en charge un
nouveau schéma d’adressage public.
4. Le NAT assure la sécurité du réseau en cachant la topologie
interne.
 Inconvénients :
1. Le NAT augmente les délais de commutation car la traduction de
chaque adresse IP des en-têtes de paquet prend du temps.
2. Les fonctionnalités de bout en bout sont affectées. En modifiant
les adresses de bout en bout, la fonction NAT bloque certaines
applications qui utilisent l’adressage IP. Par exemple, les
signatures numériques, échouent car l’adresse IP source change.(
sol: NAT statique).
3. La traçabilité IP de bout en bout est également perdue. Il devient
bien plus difficile de suivre les paquets qui subissent de nombreux
changements d’adresse sur plusieurs sauts NAT.
4. Le NAT complique également les protocoles de transmission
tunnel, tels que IPsec, créant un échec de contrôles d’intégrité
effectués par IPsec et par d’autres protocoles de transmission
tunnel.
5. Perturbation des services nécessitant l’établissement de
connexions TCP depuis le réseau externe ou des protocoles
statiques tels que ceux utilisant UDP à cause des changement
d’adresse et de port.
2.5 Configuration du NAT statique
 La fonction NAT statique permet d’établir les connexions initiées par des
périphériques externes avec des périphériques internes comme des
serveurs.
 2.6. Configuration du NAT dynamique
 La fonction NAT dynamique mappe temporairement les adresses IP privées aux
adresses publiques.
 Utilise une ACL pour spécifier les adresses privées et une pool d’adresses
publiques.
2.7 Configuration de la surcharge NAT pour une
adresse IP publique unique
2.8 Configuration de la surcharge NAT pour un
pool d’adresses IP publiques
2.9 Configuration d’un Transfert de port
 Le problème est que la fonction NAT n’autorise pas les
requêtes provenant de l’extérieur.
 Le transfert de port est également appelé transmission tunnel.
 Le transfert de port permet aux utilisateurs d’Internet
d’accéder à des serveurs internes en utilisant l’adresse de
l’interface WAN et le numéro de port externe correspondant.
 La fonction NAT masquant les adresses internes, l’opération
peer to peer ne fonctionne que de l’intérieur vers l’extérieur
 Le transfert de port permet d’identifier des ports spécifiques
qui peuvent être transférés à des hôtes internes et de les
ouvrir pour l’accès de Internet.
 les routeurs à large bande n’autorisent pas par défaut le
transfert d’une requête réseau externe vers un hôte interne.
2.10 Vérification des configurations NAT et PAT
2.11 Dépannage des configurations NAT et PAT

 Étape 1:Définissez clairement ce que la fonction NAT est censée

faire. Cela peut permettre d’identifier un problème de configuration.
 Étape 2: Assurez-vous que les bonnes traductions existent dans la
table de traduction à l’aide de la commande show ip nat translations.
 Étape 3: Utilisez les commandes clear et debug pour vous assurer
que NAT fonctionne correctement. Regardez si les entrées
dynamiques sont recréées après avoir été effacées.
 Étape 4: Analysez de façon détaillée ce qui arrive au paquet et
assurez-vous que les routeurs disposent des informations de routage
adéquates pour le déplacer.
 La commande debug ip nat detailed génère une description
individuelle des paquets dont la traduction est envisagée. Elle renvoie
des informations sur certaines erreurs par exemple l’impossibilité
d’allouer une adresse globale.
 * : l’astérisque en regard de NAT indique que la traduction s’effectue sur le chemin à
commutation rapide. Le premier paquet d’une conversation est toujours commuté
par le processus, ce qui est plus lent. Les paquets restants passent par le chemin à
commutation rapide s’il existe une entrée de cache.
 s= : indique l’adresse IP source.
 a.b.c.d--->w.x.y.z : indique que l’adresse source a.b.c.d est traduite par w.x.y.z.
 d= : indique l’adresse IP de destination.
 [xxxx] : représente le numéro d’identification IP. Ces informations peuvent être utiles
pour le débogage car elles permettent d’établir une corrélation avec d’autres traces
de paquets provenant d’analyseurs de protocole.