network address translation tutorial with examples
Qu'est-ce que la traduction d'adresses réseau (NAT):
Dans ce Série de didacticiels de formation à la mise en réseau explicite , nous avons exploré le Différences entre modem et routeur en détail dans notre tutoriel précédent.
Dans ce tutoriel, nous explorerons le concept de traduction d'adresses réseau (NAT) en analysant la nécessité de l'introduire, les avantages, les types et les méthodes de mise en œuvre.
Dans le système de réseau informatique, NAT est introduit comme une méthodologie de sauvetage lorsque l'espace d'adressage IPv4 était épuisé.
Ce que vous apprendrez:
Qu'est-ce que le NAT?
NAT est le processus de réaffectation de l'espace d'adresse IP unique dans un autre en modifiant les données d'adresse réseau dans l'en-tête IP du paquet de données pendant qu'ils voyagent à travers un réseau vers le nœud de destination.
Généralement, NAT fonctionne sur un routeur ou une passerelle et interconnecte deux réseaux entre eux en traduisant les adresses privées en adresses enregistrées avant que les données ne soient transmises à un autre réseau.
meilleur logiciel espion pour les téléphones portables Android
NAT a le potentiel de diffuser une seule adresse IP sur le réseau public au nom de l'ensemble du réseau interne. Cela fournit la fonctionnalité de sécurité en masquant efficacement l'adresse IP globale du réseau privé derrière cette adresse solo.
Ainsi, NAT offre la double fonctionnalité de traduction d'adresses et de sécurité pour les systèmes de réseau.
Pourquoi NAT?
Dans tout système de réseau pour la communication entre les PC et les serveurs Web via Internet, nous avons besoin d’une adresse IP unique à chaque fois, qui est un nombre 32 bits utilisé pour localiser le PC ou l’appareil réseau que vous souhaitez contacter sur le réseau.
Au cours des dernières décennies, alors que nous utilisions le schéma d'adressage IPV4, il y avait 2 ^ 32 moyens que 4,3 milliards d'adresses uniques pouvaient être attribuées aux appareils à des fins de communication. Mais les adresses réellement disponibles étaient inférieures à cela, car certaines étaient exemptées parce qu'elles étaient utilisées pour la diffusion, les tests et certaines fins militaires réservées.
Par conséquent, les adresses restantes se situaient autour de 3,2 milliards. Cela semble être un nombre énorme, mais en raison de l'augmentation de l'utilisation d'Internet dans tous les domaines tels que les réseaux domestiques, les objectifs commerciaux, le visionnage de vidéos en ligne; partage de données, etc., les adresses étaient presque épuisées.
La solution à cette limitation du schéma d'adressage IPV4 est de recréer le système d'adressage afin qu'il puisse y avoir plus d'options pour l'allocation d'adresses. Cela peut être fait en introduisant le schéma d'adressage IPV6.
Mais le processus de mise en œuvre de ceci a pris plusieurs années car cela nécessite une modification de l'infrastructure globale du système de réseau.
En attendant, le NAT est introduit et largement déployé partout, ce qui permet à un périphérique réseau comme un routeur de se comporter comme un agent entre Internet et le réseau privé. Cela signifie qu'une adresse IP unique peut être utilisée pour symboliser la classe globale des périphériques réseau tels que les PC.
Types de NAT
# 1) NAT statique : Il est également connu sous le nom de NAT un à un. Dans ce type de NAT, seules les adresses IP et la somme de contrôle de l'en-tête sont modifiées parmi l'adresse réseau globale. Ceux-ci sont mis en œuvre pour l'interconnexion de deux réseaux IP distincts ayant un adressage incompatible.
[ image la source ]
# 2) NAT dynamique : Dans ce type de NAT, le mappage d'IP à partir d'un réseau privé non enregistré est effectué avec l'adresse IP unique du réseau enregistré de la classe des adresses IP enregistrées.
# 3) Surcharge NAT : C'est également un type de NAT dynamique qui est également appelé NAT un-à-plusieurs.
Dans ce type de NAT, les paquets voyageant dans le réseau du réseau privé vers un réseau public signifient qu'Internet aura une modification de l'adresse source du paquet de données et lorsque les paquets seront retournés du réseau public au réseau privé ils auront une modification des adresses IP de destination.
En plus de la source ou de l'adresse IP, les paquets ont des numéros de port modifiés ou différents avec chacun des paquets de données afin d'éviter toute imprécision dans la traduction. Ainsi, cette combinaison de numéro de port et d'adresse IP modifiée est mappée avec l'adresse IP du réseau privé enregistré.
# 4) NAT qui se chevauchent: Parfois, dans un système de réseau, les adresses IP enregistrées utilisées par le réseau interne sont également utilisées par un autre réseau et sont des adresses IP enregistrées de ce réseau.
Par conséquent, dans ce cas, le routeur conserve une table de consultation avec lui-même afin de pouvoir capturer de tels cas et de les échanger avec les adresses IP enregistrées uniques.
Le routeur NAT traduit les adresses IP pour les adresses IP enregistrées internes et externes pour le réseau privé.
Comment fonctionne NAT?
Avant de commencer le travail, comprenons la terminologie utilisée dans NAT:
- À l'intérieur de l'adresse locale : C'est l'adresse IP privée du réseau privé.
- Adresse globale interne : Il s'agit de l'adresse IP publique enregistrée allouée à l'hôte du réseau privé lorsqu'il initie la communication avec le réseau extérieur.
- Adresse globale extérieure : C'est l'adresse IP enregistrée allouée à l'hôte sur Internet.
- En dehors de l'adresse locale : C'est l'adresse IP locale allouée à l'hôte dans le domaine public.
- L'adresse utilisée par les périphériques réseau internes pour communiquer entre eux en interne est appelée adresse locale interne.
- L'adresse utilisée par les périphériques sur le réseau interne pour communiquer avec les périphériques réseau externes est appelée adresse locale externe.
- L'adresse utilisée par les périphériques réseau externes pour communiquer avec les périphériques sur le réseau privé est l'adresse globale interne.
- L'adresse utilisée par les périphériques externes pour communiquer entre eux est en dehors de l'adresse globale.
- Chaque fois qu'une organisation a construit un système de mise en réseau, le fournisseur de services Internet leur attribuera le pool d'adresses IP. La plage d'adresses attribuée comprend des adresses IP enregistrées et uniques, appelées adresses globales internes.
- La classe non enregistrée d'adresses IP privées est constituée d'adresses locales externes qui sont déployées par les routeurs NAT et d'adresses locales internes qui sont utilisées par le réseau local également connu sous le nom de domaine stub.
- L'adresse locale externe sert à traduire les adresses IP uniques des périphériques réseau pour le réseau public.
- La plupart des périphériques réseau du réseau LAN utilisent des adresses locales internes pour la communication entre eux et ne nécessitent généralement pas de traduction. Désormais, lorsqu'un périphérique du domaine de stub doit communiquer avec un autre réseau, le paquet voyage via le routeur NAT.
- Maintenant, le routeur NAT recherchera dans la table de routage pour découvrir qu'il a l'entrée pour l'adresse de destination ou non. Si oui, il traduit le paquet et fait une entrée pour celui-ci dans la table de traduction d'adresses. Si l'adresse n'est pas trouvée, le paquet est refusé.
- En utilisant l'adresse globale interne, le routeur acheminera le paquet de données vers la destination.
- Désormais, l'hôte final, comme le PC sur le réseau public, transmet un paquet de données au réseau privé. Cette fois, l'adresse d'origine est en dehors de l'adresse globale et l'adresse de réception est un type d'adresse globale interne.
- Encore une fois, le routeur NAT recherchera dans la table de traduction et découvrira que l'adresse de destination est dans la table ou non, puis tracera l'adresse IP dans ce domaine de stub auquel il appartient.
- La traduction de l'adresse globale interne du paquet en adresse locale interne est effectuée et elle est livrée à l'hôte de destination.
- Comme déjà mentionné précédemment, le NAT utilise la fonctionnalité de protocole TCP / IP d'utilisation du paquet IP avec des ports TCP ou UDP avec le champ d'en-tête IP modifié à des fins de traduction.
Ainsi, l'en-tête du paquet IP portera les champs suivants:
Adresse source - L'adresse IP du PC hôte initiateur comme 192.178.120.10
Port source - Le numéro de port TCP ou UDP alloué par le PC initiateur comme le port 1020
Adresse de destination - L'adresse IP du PC récepteur comme 172.145.57.20
Le port de destination - Le port TCP ou UDP que l'hôte initiateur a demandé à l'hôte récepteur d'ouvrir comme 4281.
L’attribution du numéro de port est nécessaire car elle garantit que la corrélation entre les deux PC possède l’identifiant unique.
Exemple de NAT
Dans l'exemple ci-dessous, l'hôte interne (172.168.20.10) souhaite communiquer avec le monde extérieur et l'adresse du serveur Web de destination est 192.100.20.2. Ensuite, il enverra un paquet de données au routeur de passerelle compatible NAT du réseau pour une communication ultérieure.
Le routeur de passerelle apprend l'adresse IP source du paquet et recherche dans le tableau si le paquet remplit la condition de traduction. Le routeur passerelle maintient une liste de contrôle d'accès (ACL) qui localise les hôtes authentifiés à des fins de traduction du réseau interne.
Ainsi, il traduira l'adresse IP locale interne en une adresse IP globale interne qui est ici 192.100.10.25. Il sauvegardera ensuite cette traduction dans la table NAT et le routeur de passerelle acheminera le paquet vers la destination.
Lorsque le serveur Web d'Internet revient à la demande, le paquet revient à l'adresse IP globale 192.100.10.25 du routeur.
Maintenant, le routeur de passerelle recherchera à nouveau dans la table NAT pour trouver l'adresse IP traduite correspondant à l'adresse globale. Il le traduit ensuite en adresse locale interne, puis le paquet de données est livré à l'hôte à l'adresse IP 172.168.20.10. Si aucune correspondance n'est trouvée dans le tableau, le paquet est rejeté.
Comment fonctionne le NAT image:
Surcharge NAT ou traduction d'adresse de port
Ceci est essentiellement utilisé par les routeurs haut débit domestiques pour mapper l'adresse IP non enregistrée du réseau privé à une adresse IP enregistrée en solo du domaine public.
La traduction d'adresse de port trace les différentes adresses IP privées non enregistrées dans une adresse IP solo publique enregistrée en utilisant des ports distinctifs. Pour différencier les différentes traductions effectuées dans le réseau domestique, le PAT déploiera des numéros de port exclusifs vers les adresses IP globales internes.
Supposons que pour un réseau domestique, lorsqu'un PC hôte essaie d'accéder à Internet, le routeur NAT attribuera le numéro de port à son adresse IP source.
Il peut y avoir plus d'un PC à la fois du réseau domestique utilisant Internet, ainsi le PAT garantit que le PC client utilisera un numéro de port distinct à chaque fois qu'il initiera une nouvelle session avec le serveur sur Internet.
Maintenant, en réponse, le routeur acheminera le paquet de données sur la base du numéro de port source qui est maintenant devenu le numéro de port de destination. L'ensemble de ce phénomène assure également la sécurité de la session de communication car le paquet est retourné dans la réponse à une requête émise par le client.
Table de surcharge NAT
À l'intérieur de l'adresse IP locale | À l'intérieur de l'adresse IP globale | L'adresse IP globale extérieure | L'adresse IP locale extérieure |
---|---|---|---|
10.20.10.2:1666 | 192.134.30.4:1666 | 192.134.20.2:80 | 192.134.20.2:80 |
10.20.10.3:2444 | 192.134.30.4:2444 | 192.134.40.3:80 | 192.134.40.3:80 |
À partir de la figure ci-dessus, il est montré que la surcharge NAT utilise les numéros de port source exclusifs sur les adresses IP globales intérieures pour distinguer les traductions, car les numéros de port 1666 et 2444 sont utilisés respectivement pour repérer le paquet de données.
Ici, l'adresse source est l'adresse IP locale interne qui est mentionnée dans le tableau et l'adresse de destination est l'adresse IP locale externe avec le numéro de port 80 car elle accède à Internet via HTTP.
À l'extrémité du routeur NAT, la surcharge NAT modifie l'adresse source en l'adresse IP globale interne comme indiqué dans le tableau ci-dessus et l'adresse de destination est maintenant connue sous le nom d'adresse IP globale externe.
Double NAT
Le double NAT est une situation dans laquelle plusieurs périphériques réseau, comme un routeur dans un réseau privé, effectuent une traduction d'adresses réseau.
L'exemple le plus simple est celui où un modem DSL et un routeur Wi-Fi sont connectés dans un réseau avec NAT activé dans chacun d'eux. Les appareils hôtes connectés au réseau public via un routeur Wi-Fi.
Dans ce scénario, les Pc ne pourront pas accéder à Internet car le routeur n’a aucune de ses propres adresses IP publiques alors qu’il a une adresse IP privée limitée dans la portée du réseau du modem DSL.
Comment résoudre le problème du double NAT
Il existe différentes manières de résoudre le problème du double NAT, mais la solution qui fonctionnera exactement dépendra du type de configuration du réseau.
# 1) Réglez le routeur sans fil en mode ponté : Cela signifie que vous accédez à l'interface Web du routeur et désactivez manuellement la fonction NAT et DHCP du routeur sans fil.
Si les deux fonctions seront désactivées lorsque le mode est appelé mode ponté, puis configurer la redirection de port fonction sur le modem pour résoudre le problème Double NAT.
La capture d'écran ci-dessous montre l'activation du mode ponté dans le routeur pour surmonter le problème de double NAT.
[ image la source ]
# 2) Créez une connexion PPPoE entre le routeur et le modem: Ce n'est pas pris en charge par tous les FAI, mais c'est l'un des meilleurs moyens de résoudre le problème du double NAT. Accédez aux paramètres WAN dans l'interface Web du routeur, puis cochez la case PPPoE pour configurer la connexion WAN. Cela contournera le NAT du modem.
# 3) Activez DMZ dans le modem: Cela connectera votre routeur doté de la fonction DMZ directement à Internet et contournera les paramètres de connexion IP, pare-feu et DHCP du routeur NAT et ainsi les appareils obtiendront automatiquement les valeurs du routeur.
Les étapes sont les suivantes:
- Connectez-vous d'abord à l'interface Web du routeur et découvrez l'adresse IP WAN du routeur.
- Ensuite, connectez-vous aux paramètres administratifs du modem et dans les paramètres DMZ du modem, définissez l'adresse WAN du routeur comme adresse IP. Cela activera la redirection de port et le trafic sera acheminé vers l'hôte client défini.
Routeur NAT
Un routeur NAT génère un réseau d'adresses IP pour le réseau local et il relie ce réseau LAN au réseau public qu'est Internet. Le NAT exécuté par le routeur permettra à plusieurs PC ou périphériques hôtes sur le réseau LAN à l’arrière du routeur de communiquer avec le réseau WAN, c’est-à-dire Internet.
Les routeurs NAT sont utilisés à des fins domestiques et à petite échelle, car le routeur émerge sur Internet en tant qu'hôte solo avec une adresse IP solo. Cela traduit efficacement le fait que les PC sur le réseau local du routeur se verront attribuer une seule adresse IP au même intervalle de temps.
Routeur NAT [ image la source ]
Sécurité intrinsèque du routeur NAT
Les routeurs NAT ont cette caractéristique qu'ils fonctionneront comme un dispositif de pare-feu matériel dans le réseau et ils protègent le réseau LAN contre tout type de trafic indésirable et inhabituel qui peut nuire au réseau.
Ainsi, il agit comme un filtre entre Internet et le réseau LAN privé et ne permet que le trafic à travers lequel sont autorisés à entrer dans le réseau.
Comment ça marche? Étant donné que le routeur interconnecte le réseau LAN à Internet, il détecte tous les paquets de données envoyés à Internet à partir du réseau LAN. Le routeur conserve une table de connexion interne avec lui-même et enregistre chacune des adresses IP de destination des paquets sortants et le numéro de port qui y est alloué. Il attribue ensuite sa propre adresse IP et son propre numéro de port au paquet pour accuser réception du trafic de retour.
Enfin, il enregistre les informations finales du paquet de données avec l'adresse IP et le numéro de port dans sa table de connexion actuelle. Lorsque l'un des paquets de données atterrit sur le routeur à partir d'Internet, le routeur l'examinera dans la table de connexion actuelle à laquelle le paquet arrivé est souhaité pour le réseau LAN en vérifiant dans la table.
Si l'adresse IP et le numéro de port équivalents sont trouvés, il les dirige vers le PC de destination du réseau LAN. Et si la correspondance n'est pas trouvée, le routeur rejettera le paquet de données et le marquera comme trafic indésirable.
De cette façon, le routeur NAT protège votre connexion avec le réseau extérieur et également dans le cas où un seul appareil est connecté dans un réseau LAN. Ainsi, avec le routeur NAT configuré sur le réseau, aucun des vers et des virus malveillants ne peut nuire à votre réseau.
Fonctions de sécurité du routeur NAT
Avantages NAT:
- En gérant et en réutilisant les adresses IP, le NAT peut empêcher l'épuisement du schéma d'adressage IPV4.
- Il assure la sécurité du réseau privé depuis le monde extérieur en préservant la confidentialité des adresses IP source et de destination du réseau externe.
- Il fournit un système de réseau flexible.
- Les organisations de réseau privé utilisant NAT peuvent utiliser la plage IP de leur choix pour construire le réseau interne, quel que soit le fournisseur de services de l'interface publique.
Limitations de NAT:
- Étant donné que le NAT examinera tous les paquets de données entrants et sortants pour maintenir la table de connexion et un autre enregistrement de données dans la mémoire du processeur, le processus global nécessitera une capacité de stockage énorme et prend du temps.
- Tous les périphériques réseau et les systèmes réseau ne sont pas compatibles avec la technologie NAT, elle ne fonctionnera donc pas partout dans tous les scénarios.
- En raison de la modification des adresses IP de l'appareil à plusieurs reprises au cours du processus NAT, il devient parfois très difficile de retracer l'accessibilité IP de bout en bout des composants du réseau.
- NAT provoque des retards inattendus dans le système de communication.
Quel protocole sécurisé est recommandé pour NAT: Il n'existe aucun ensemble de protocoles spécifié qui soit spécifiquement utilisé pour NAT. Mais la traduction relève de la suite IP (Internet Protocol). De plus, le protocole TCP est utilisé pour la traduction lors de l'exécution du NAT par les routeurs.
En dehors de ces protocoles, selon le scénario de réseau, les différents ensembles de protocoles sont utilisés comme ICMP, UDP et IPSec, qui sont déjà expliqués dans les tutoriels précédents.
Conclusion
À partir de ce didacticiel, nous avons compris la raison de l'introduction du processus de traduction d'adresses réseau dans le système de réseau informatique et son importance.
Nous avons également appris à l'aide de divers exemples et figures, les types et le fonctionnement du NAT.
Tutoriel PREV | Tutoriel SUIVANT
lecture recommandée
- LAN sans fil IEEE 802.11 et 802.11i et normes d'authentification 802.1x
- 7 façons de corriger l'erreur «La passerelle par défaut n'est pas disponible»
- Modem vs routeur: connaître la différence exacte
- Guide d'évaluation et de gestion de la vulnérabilité du réseau
- Qu'est-ce que la clé de sécurité réseau: comment la trouver pour un routeur, Windows ou Android
- Qu'est-ce que la virtualisation? Exemples de virtualisation du réseau, des données, des applications et du stockage
- Étapes et outils de dépannage de base du réseau
- Qu'est-ce que la sécurité réseau: ses types et sa gestion