II.6.3.5. NAT « Network
Address Translation »
II.6.3.5.1. Principe
Le mécanisme de translation d'adresses
« NAT » a été mis au point
afin de répondre à la pénurie d'adresses IP avec le
protocole IPv4 (le protocole IPv6 répondra à terme à ce
problème).
En effet, en adressage IPv4 le nombre d'adresses IP routables
(donc uniques sur la planète) n'est pas suffisant pour permettre
à toutes les machines nécessitant d'être connectées
à internet de l'être.
Le principe du NAT consiste donc à utiliser une adresse
IP routable (ou un nombre limité d'adresses IP) pour connecter
l'ensemble des machines du réseau en réalisant, au niveau de la
passerelle de connexion à internet, une translation
(littéralement une « traduction ») entre l'adresse
interne (non routable) de la machine souhaitant se connecter et l'adresse IP de
la passerelle. Cette passerelle peut être un routeur tel que
montré dans la figure suivante.
Figure 8 :
Fonctionnement de NAT
D'autre part, le mécanisme de translation d'adresses
permet de sécuriser le réseau interne
étant donné qu'il camoufle complètement l'adressage
interne. En effet, pour un observateur externe au réseau, toutes les
requêtes semblent provenir de la même adresse IP.
II.6.3.5.2. Espaces d'adressages
L'organisme gérant l'espace d'adressage public
(adresses IP routables) est l'IANA. La RFC 1918 définit
un espace d'adressage privé permettant à toute organisation
d'attribuer des adresses IP aux machines de son réseau interne sans
risque d'entrer en conflit avec une adresse IP publique allouée par
l'IANA. Ces adresses dites non-routables correspondent aux plages d'adresses
suivantes :
Classe A : plage de 10.0.0.0 à
10.255.255.255 ;
Classe B : plage de 172.16.0.0 à
172.31.255.255 ;
Classe C : plage de 192.168.0.0 à
192.168.255.55 ;
Toutes les machines d'un réseau interne,
connectées à internet par l'intermédiaire d'un routeur et
ne possédant pas d'adresse IP publique doivent utiliser une adresse
contenue dans l'une de ces plages. Pour les petits réseaux domestiques,
la plage d'adresses de 192.168.0.1 à 192.168.0.255 est
généralement utilisée.
II.6.3.5.3. Translation statique
Le principe du NAT statique consiste à
associer une adresse IP publique à une adresse IP privée interne
au réseau. Le routeur (ou plus exactement la passerelle) permet donc
d'associer à une adresse IP privée (par exemple 192.168.0.1) une
adresse IP publique routable sur Internet et de faire la traduction, dans un
sens comme dans l'autre, en modifiant l'adresse dans le paquet IP.
La translation d'adresse statique permet ainsi de connecter
des machines du réseau interne à internet de manière
transparente mais ne résout pas le problème de la pénurie
d'adresse dans la mesure où n adresses IP routables sont
nécessaires pour connecter n machines du réseau interne.
Avantages et inconvénients du NAT statique
En associant une adresse IP publique à une adresse IP
privée, nous avons pu rendre une machine accessible sur Internet. Par
contre, on remarque qu'avec ce principe, on est obligé d'avoir une
adresse publique par machine voulant accéder à Internet. Cela ne
va pas régler notre problème de pénurie d'adresses IP...
D'autre part, tant qu'à donner une adresse publique par machine,
pourquoi ne pas leur donner cette adresse directement plutôt que de
passer par un intermédiaire ? A cette question, on peut apporter
plusieurs éléments de réponse. D'une part, il est souvent
préférable de garder un adressage uniforme en interne et de ne
pas mêler les adresses publiques aux adresses privées. Ainsi, si
on doit faire des modifications, changements, interventions sur le
réseau local, on peut facilement changer la correspondance entre les
adresses privées et les adresses publiques pour rediriger les
requêtes vers un serveur en état de marche.
D'autre part, on gâche un certain nombre d'adresses
lorsqu'on découpe un réseau en sous-réseaux (adresse de
réseau, adresse de broadcast...), comme lorsqu'on veut créer une
DMZ pour rendre ses serveurs publiques disponibles. Avec le NAT statique, on
évite de perdre ces adresses. Malgré ces quelques avantages, le
problème de pénurie d'adresses n'a toujours pas été
réglé. Pour cela, on va se pencher sur la NAT dynamique.
| 
