I.    Partie I : Les Protocoles IP de la couche réseau           Forme des adresses IP           Masque de réseau       ...
I.     Le protocole IP de la couche RéseauLe rôle fondamental de la couche réseau (niveau 3 du modèle OSI) est de détermin...
Chaque réseau possède une adresse particulière dite de diffusion. Tous les paquets avec cetteadresse de destination sont t...
   Cette classe détermine ainsi (127 - 0 + 1 =) 128 réseaux.      Le nombre de bits restant pour ladressage des hôtes es...
La notion de classe dadresses a été rendue obsolète pour ladressage des nœuds du réseau Internet carelle induisait une res...
Les termes ci-dessous, liés à NAT, ont été définis par Cisco :    Adresse locale interne – L’adresse IP attribuée à un hô...
Router (config-if)#ip nat inside L’interface connectée à l’intérieurRouter (config-if)#ip nat outside L’interface connecté...
III. Statique ou dynamique ?    Quand faire du NAT statique ?Nous avons vu que la NAT statique permettait de rendre dispo...
 La NAT est-elle compatible avec IPSEC ?Si on veut être précis, la réponse est oui. Cependant, la norme IPSEC ayant diffé...
 Mise en œuvreArchitectureNAT statique (Routeur CISCO 3700, IOS : c3745-ipvoicek9-mz.124-9.T)Sur le Routeur NAT (RouteurN...
Sur le Routeur Internet (RouteurInternet)hostname RouteurInternet!interface FastEthernet0/0!interface Serial0/0 ip address...
Vérification    Visualiser les translations dadresses :    Activer le debug NAT :Dimitri LEMBOKOLO                      ...
ArchitectureNAT statique (Routeur CISCO 7200, IOS : c7200-advipservicesk9-mz.124-2.T)Sur le Routeur NAT (RouteurNAT)hostna...
!!--- Déclarer le PAT sur linterface de sortie ---ip nat inside source list 7 interface Serial2/0 overload!!ip nat transla...
Vérification    Ping routeur R1 vers les machinesDimitri LEMBOKOLO                        15
 Ping machine vers routeurs    Ping routeur R2 vers R1Dimitri LEMBOKOLO                 16
 Afficher les statistiques de traductionConclusionLa NAT est aujourdhui un élément important en réseau étant donné son én...
Prochain SlideShare
Chargement dans…5
×

Tutoriel nat pat

5 260 vues

Publié le

ben! pour avoir reck une idée en NAT, PAT et routage

Publié dans : Technologie
2 commentaires
1 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
5 260
Sur SlideShare
0
Issues des intégrations
0
Intégrations
0
Actions
Partages
0
Téléchargements
304
Commentaires
2
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Tutoriel nat pat

  1. 1. I. Partie I : Les Protocoles IP de la couche réseau  Forme des adresses IP  Masque de réseau  Les classes d’adresses Partie II : Les réseaux privées et la traduction d’adresses (NAT)  Présentation des fonctions NAT et PAT  Principes fonctionnalités de NAT et PAT  NAT statique  NAT dynamique  PAT Partie III : Statique ou Dynamique  Quand faire du NAT statique ?  Quand faire du NAT dynamique  Puis-je combiner ces deux méthodes  Description horaire Partie IV : La sécurité et la NAT  La NAT dynamique permet-elle d’améliorer ma sécurité ?  Est-ce utile pour la sécurité d’utiliser un proxy  La NAT est-elle compatible avec IPSEC  Utilitaire pour faire du NAT ConclusionDimitri LEMBOKOLO 1
  2. 2. I. Le protocole IP de la couche RéseauLe rôle fondamental de la couche réseau (niveau 3 du modèle OSI) est de déterminer la route quedoivent emprunter les paquets. Cette fonction de recherche de chemin nécessite une identification detous les hôtes connectés au réseau.Le modèle TCP/IP utilise un système particulier dadressage qui porte le nom de la couche réseau dece modèle : ladressage IP. Le but de ce rapport est de présenter le fonctionnement de cet adressagedans sa version la plus utilisée IPv4.De façon académique, on débute avec le format des adresses IP. On définit ensuite les classesdadresses IP, le premier mode de découpage de lespace dadressage. Comme ce mode de découpagene convenait pas du tout au développement de lInternet, on passe en revue aux améliorationsapportées depuis 1980 : les sous-réseaux ou subnetting, la traduction dadresses ou Native AddressTranslation (NAT).  Le format des adresses IPLes adresses IP sont composées de 4 octets. Par convention, on note ces adresses sous forme de 4nombres décimaux de 0 à 255 séparés par des points.Loriginalité de ce format dadressage réside dans lassociation de lidentification du réseau aveclidentification de lhôte.  La partie réseau est commune à lensemble des hôtes dun même réseau ;  La partie hôte est unique à lintérieur dun même réseau.Prenons un exemple dadresse IP pour en identifier les différentes parties :Tableau 1. Exemple : adresse IP 192.168.1.1 Adresse complète 192.168. 1. 1Masque de réseau 255.255.255. 0Partie réseau 192.168. 1.Partie hôte 1Adresse Réseau 192.168. 1. 0Adresse de diffusion 192.168. 1.255  Le masque de réseau Le masque de réseau sert à séparer les parties réseau et hôte dune adresse. On retrouve ladresse duréseau en effectuant un ET logique bit à bit entre une adresse complète et le masque de réseau.Ladresse de diffusionDimitri LEMBOKOLO 2
  3. 3. Chaque réseau possède une adresse particulière dite de diffusion. Tous les paquets avec cetteadresse de destination sont traités par tous les hôtes du réseau local. Certaines informations telles queles annonces de service ou les messages dalerte sont utiles à lensemble des hôtes du réseau.Voici le même exemple obtenu avec laffichage de la configuration des interfaces réseau dun hôteavec un système GNU/Linux : 1. Les informations qui nous intéressent sont placées sur cette ligne. Ladresse 10.10.1.4 est ladresse IP affectée à linterface Ethernet eth1 ; 2. Ladresse de diffusion est 10.255.255.255 compte tenu du masque réseau ; 3. Le masque réseau à pour valeur : 255.0.0.0.  Les classes dadressesÀ lorigine, plusieurs groupes dadresses ont été définis dans le but doptimiser le cheminement (ou leroutage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes dadresses IP.Ces classes correspondent à des regroupements en réseaux de même taille. Les réseaux de la mêmeclasse ont le même nombre dhôtes maximum.Deux adresses interditesIl est interdit d’attribuer à une machine d’un réseau IP, l’adresse du réseau et l’adresse de broadcast.Ce qui, pour le réseau 192.168.1.0/24, nous donne :  adresse du réseau : 192.168.1.0  adresse de broadcast : 192.168.1.255Les classes A, B et C (obsolète)Historiquement, le réseau Internet était découpé en classes dadresses : Classe A :  Le premier bit de ces adresses IP est à 0.  Le masque décimal associé est 255.0.0.0, soit les 8 premiers bits à 1.  Les adresses de ces réseaux ont la forme décimale a.0.0.0 avec a variant 0 à (27-1 =) 127.Dimitri LEMBOKOLO 3
  4. 4.  Cette classe détermine ainsi (127 - 0 + 1 =) 128 réseaux.  Le nombre de bits restant pour ladressage des hôtes est de (32 - 8 =) 24.  Chaque réseau de cette classe peut donc contenir jusquà 224-2 = 16 777 214 machines.  L’adresse de classe A 127 est réservée pour les tests de bouclage et les fonctions de diagnostic. Classe B :  Les 2 premiers bits de ces adresses IP sont à 1 et 0 respectivement.  Le masque décimal associé est 255.255.0.0, soit les 16 premiers bits à 1.  Les adresses de ces réseaux ont la forme décimale a.b.0.0 avec a variant de (27 =) 128 à (27 + 26-1 =) 191 et b variant de 0 à 255.  Cette classe détermine ainsi [(191 - 128 + 1) × (255 - 0 + 1)]= 16 384 réseaux.  Le nombre de bits restant pour ladressage des hôtes est de (32 - 16 )= 16.  Chaque réseau de cette classe peut donc contenir jusquà 216-2 = 65 534 machines. Classe C :  Les 3 premiers bits de ces adresses IP sont à 1, 1 et 0 respectivement.  Le masque décimal associé est 255.255.255.0, soit les 24 premiers bits à 1.  Les adresses de ces réseaux ont la forme décimale a.b.c.0 avec a variant de (27 + 26)= 192 à (27 + 26 + 25-1)= 223, b et c variant de 0 et 255 chacun.  Cette classe détermine ainsi [(223 - 192 + 1) × (255 - 0 + 1) × (255 - 0 + 1)] = 2 097 152 réseaux.  Le nombre de bits restant pour ladressage des hôtes est de (32 - 24 =) 8.  Chaque réseau de cette classe peut donc contenir jusquà 28-2 = 254 machines. Classe D :  Les 4 premiers bits de ces adresses IP sont à 1, 1, 1 et 0 respectivement.  Le masque décimal associé par défaut est 240.0.0.0, soit les 4 premiers bits à 1.  Les adresses de cette classe ont la forme décimale a.b.c.d avec a variant de (27 + 26 + 25) = 224 à (27 + 26 + 25 + 24-)1 = 239, b, c et d variant de 0 et 255 chacun.  Cette classe est spéciale : elle est réservée à ladressage de groupes de diffusion multicast. Classe E :  Les 4 premiers bits de ces adresses IP sont (tous) à 1.  Le masque décimal associé par défaut est 240.0.0.0, soit les 4 premiers bits à 1.  Les adresses de cette classe ont la forme décimale a.b.c.d avec a variant de (27 + 26 + 25 + 24)= 240 à (28-1) = 255, b, c et d variant de 0 et 255 chacun.  Cette classe est également spéciale : elle est actuellement réservée à un adressage de réseaux de recherche.Calcul  Nombre total de sous-réseaux = 2nombre de bits empruntés  Nombre total dhôtes = 2nombre de bits restants  Sous-réseaux utilisables = 2nombre de bits empruntés - 2  Hôtes utilisables = 2nombre de bits restants - 2Dimitri LEMBOKOLO 4
  5. 5. La notion de classe dadresses a été rendue obsolète pour ladressage des nœuds du réseau Internet carelle induisait une restriction notable des adresses IP affectables par lutilisation de masquesspécifiques. Les documents RFC 1518 et RFC 1519 publiés en 1993 spécifient une nouvelle norme :ladressage CIDR (cf. supra). Ce nouvel adressage précise quil est possible dutiliser un masquequelconque appliqué à une adresse quelconque. Il organise par ailleurs le regroupement géographiquedes adresses IP pour diminuer la taille des tables de routage des principaux routeurs du réseauInternet. II. Les réseaux privés et la traduction dadresses (NAT)Les réseaux privés se sont développés en «réaction» à deux évolutions de lInternet : la mauvaiseutilisation de lespace dadressage IPv4 et les besoins de sécurisation des réseaux dentreprises.Ces évolutions on conduit à la conception de réseaux dits privés nayant que peu ou pas dinterfacesexposées sur le réseau public lInternet.Pour planifier ladressage dun réseau privé, il faut distinguer deux cas de figure :  Si le réseau privé nest jamais interconnecté avec dautres réseaux (notamment lInternet), on peut utiliser nimporte quelle adresse.  Si le réseau privé peut être interconnecté avec dautres réseaux via un routeur, on doit utiliser les adresses réservées à cet usage. Ces adresses sont données dans le document RFC1918.Dans la pratique, cest le second cas de figure que lon retrouve le plus souvent.Tableau 2. Réseaux privésClasse Masque réseau Plage d’dresses internes RFC 1918 Notation CIDRA 255.0.0.0 10.0.0.0 - 10.255.255.255 10.0.0.0/8B 255.240.0.0 172.16.0.0 - 172.31.255.255 172.16.0.0/12C 255.255.0.0 192.168.0.0 - 192.168.255.255 192.168.0.0/16Généralement, les FAI configurent généralement les routeurs périphériques de façon à empêcher letransfert du trafic privé. Avec NAT, les sociétés individuelles peuvent attribuer des adresses privées àcertains ou tous leurs hôtes, et utiliser NAT pour leur procurer un accès à Internet.  Présentation des fonctions NAT et PATNAT est conçu pour conserver des adresses IP et permettre aux réseaux d’utiliser des adresses IPprivées sur les réseaux internes. Ces adresses internes privées sont traduites en adresses publiquesroutables.Un matériel compatible NAT fonctionne généralement à la périphérie d’un réseau d’extrémité. Quandun hôte situé à l’intérieur du réseau d’extrémité souhaite émettre vers un hôte de l’extérieur, iltransfère le paquet au routeur périphérique frontière. Ce routeur périphérique frontière effectue leprocessus NAT et traduit l’adresse privée interne d’un hôte en une adresse publique externe routable.Dimitri LEMBOKOLO 5
  6. 6. Les termes ci-dessous, liés à NAT, ont été définis par Cisco :  Adresse locale interne – L’adresse IP attribuée à un hôte du réseau interne. Il s’agit généralement d’une adresse privée RFC 1918.  Adresse globale interne – Une adresse IP légitime attribuée par InterNIC ou par le fournisseur d’accès, et qui représente une ou plusieurs adresses IP locales internes pour le monde extérieur.  Adresse locale externe – L’adresse IP d’un hôte externe telle que la connaisse les hôtes du réseau interne.  Adresse globale externe – L’adresse IP attribuée à un hôte du réseau externe. C’est le propriétaire de l’hôte qui attribue cette adresse.  Principales fonctionnalités NAT et PATLes traductions NAT peuvent avoir de nombreuses utilisations et peuvent indifféremment êtreattribuées de façon statique ou dynamique.  NAT statiqueLa fonction NAT statique est conçue pour permettre le mappage biunivoque d’adresses locales etglobales. Ceci s’avère particulièrement utile pour les hôtes qui doivent disposer d’une adressepermanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs d’entreprise oudes équipements de réseau.  Configuration Traduction statique :  Etablir le mappage statique : Router (config)#ip nat inside source static {@ IP locale} {@ IP globale}  Définir les interfaces : Router (config-if)#ip nat inside L’interface connectée à l’intérieur Router (config-if)#ip nat outside L’interface connectée à l’extérieur  NAT dynamiqueLa fonction NAT dynamique est conçue pour mapper une adresse IP privée sur une adresse publique.Une adresse IP quelconque prise dans un groupe d’adresses IP publiques est attribuée à un hôte duréseau.  Configuration Définir une liste d’adresses IP globales à allouer :Router (config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}  Définir une ACL standard autorisant les adresses qui doivent être traduites.  Etablir la traduction dynamiqueRouter (config)#ip nat inside source list {n° ACL} pool {nom_pool}  Définir les interfaces :Dimitri LEMBOKOLO 6
  7. 7. Router (config-if)#ip nat inside L’interface connectée à l’intérieurRouter (config-if)#ip nat outside L’interface connectée à l’extérieurRemarque :Cisco recommande de ne pas configurer les listes d’accès référencées par des commandesNAT à l’aide de la commande permit any. En effet, permit any peut mener la fonction NAT àconsommer trop de ressources routeur, ce qui peut occasionner des problèmesSurcharge :Il existe deux façons de configurer la surcharge, en fonction de la manière dont les adresses IPpubliques ont été allouées.  Un FAI ne peut allouer qu’une adresse IP publique à un réseau.  Définir une ACL standard autorisant les @ qui doivent être traduites.  Spécifier l’@ globale, en tant que groupe à utiliser par la surcharge :Router (config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}  Etablir la traduction dynamique : Router (config)#ip nat inside source list {n° ACL} interface {interface} overload  Définir les interfaces :Router (config-if)#ip nat inside L’interface connectée à l’intérieurRouter (config-if)#ip nat outside L’interface connectée à l’extérieur  PATAvec la traduction d’adresses de ports (Port Address Translation - PAT), plusieurs adressesIP privées peuvent être mappées sur une adresse IP publique unique.La fonction PAT utilise des numéros de port source uniques sur l’adresse IP globale interne, de façonà assurer une distinction entre les traductions.Le numéro de port est encodé sur 16 bits. Le nombre total d’adresses internes pouvant êtretraduites en une adresse externe peut théoriquement atteindre les 65 536 par adresse IP.De façon plus réaliste, le nombre de port pouvant être attribués à une adresse IP uniqueavoisine les 4000.déjà utilisé, PAT attribue le premier numéro de port disponible en commençant audébut du groupe de ports approprié.configurées, PAT sélectionne l’adresse IP suivante pour tenter d’allouer denouveau le numéro du port source initial.Dimitri LEMBOKOLO 7
  8. 8. III. Statique ou dynamique ?  Quand faire du NAT statique ?Nous avons vu que la NAT statique permettait de rendre disponible une machine sur Internet, maisquil fallait par contre une adresse IP pour que ce serveur soit joignable.Il est donc utile dutiliser la NAT statique quand vous voulez rendre une application disponible surInternet, comme un serveur web, mail ou un serveur FTP.  Quand faire du NAT dynamique ?La NAT dynamique permet dune part de donner un accès à Internet à des machines possédant desadresses privées, et dautre part dapporter un petit plus en terme de sécurité.Elle est donc utile pour économiser les adresse IP, donner un accès à Internet à des machines qui nontpas besoin dêtre joignables de lextérieur (comme la plupart des utilisateurs). Dautre part, mêmequand on possède assez dadresses IP, il est souvent préférable de faire de la NAT dynamique pourrendre les machines injoignables directement de lextérieur.Par exemple, pour un usage personnel de partage de lADSL ou du câble, on utilise souvent laNAT dynamique pour partager son accès, étant donné que les machines nont pas besoin dêtre jointesde lextérieur.  Puis-je combiner ces deux méthodes ?Oui, et cest même souvent la meilleure solution lorsque lon a à la fois des machines offrant unservice, et dautres qui nont besoin que de se connecter à Internet.Ainsi, on économisera les adresses IP grâce aux machines NATtées dynamiquement, et on utiliseraexactement le bon nombre dadresses IP publiques dont on a besoin.Il est donc très intéressant de combiner ces deux méthodes. IV. La sécurité et la NAT  La NAT dynamique permet-elle daméliorer ma sécurité ?La NAT dynamique permet de rendre les machines dun réseau local inaccessibles directement delextérieur, on peut donc voir cela comme une sécurité supplémentaire. Mais cela nest pas suffisant etil est indispensable dutiliser un filtrage si lon veut obtenir un bon niveau de sécurité.La NAT dynamique seule ne peut pas être considéré comme une sécurité suffisante  Est-ce utile pour la sécurité dutiliser un proxy ?Un proxy travaille au niveau 7 du modèle OSI, cest à dire quil est capable dinterpréter et de modifierles informations du protocole sur lequel il travaille. Ainsi, il peut vérifier le contenu de ce qui est reçude la part du serveur et en interdire ou modifier le contenu selon la politique choisie.Lutilisation dun proxy pour des protocoles critiques est donc souvent utile si on veut avoir une bonnevision de ce qui se passe.Dimitri LEMBOKOLO 8
  9. 9.  La NAT est-elle compatible avec IPSEC ?Si on veut être précis, la réponse est oui. Cependant, la norme IPSEC ayant différentesimplémentations, ce nest pas toujours le cas. Dailleurs la plupart des constructeurs ont créé leurspropres solutions IPSEC pour traverser de la NAT.Le problème vient de lencryptions de len-tête IP par les participants au tunnel IPSEC. Si ladresse IPest modifiée pendant le trajet du paquet, elle ne sera pas la même à larrivée que celle qui a étéencryptée au départ, et après comparaison, le paquet sera détruit.Cependant, en se plaçant en mode ESP et en faisant du tunneling, cest la totalité du paquet qui estencryptée, et un nouvel en-tête est ajouté à celui-ci. Ainsi, la comparaison ne se fera pas sur len-têtemodifiée, mais sur celle contenue dans les données du paquet.  Utilitaires pour faire de la NAT  10.1 10.1 - Sous WindowsVoici quelques noms de produits qui permettent entre autres de faire de la NAT, une présentation plusprécise sera peut-être faite par la suite si cela savère utile.Je nai pas testés ces produits, ;-)Wingate, winroute lite, NAT32, TCPrelay...  10.2 10.2 - Sous UnixIPchains, ipfilter, netfilter...Dimitri LEMBOKOLO 9
  10. 10.  Mise en œuvreArchitectureNAT statique (Routeur CISCO 3700, IOS : c3745-ipvoicek9-mz.124-9.T)Sur le Routeur NAT (RouteurNAT)hostname RouteurNAT!interface FastEthernet0/0 ip address 10.10.1.254 255.255.255.0 ip nat inside! --- Définit Ethernet 0/0 avec une adresse IP et déclarer l’interface interne du NAT!interface Serial0/0 ip address 192.1.95.241 255.255.255.240 ip nat outside clock rate 56000! --- Définit Serial 0/0 avec une adresse IP et déclarer l’interface externe du NAT!ip nat inside source static 10.10.1.3 192.1.95.243ip nat inside source static 10.10.1.4 192.1.95.244!! ---Etats --- que tout paquet reçu sur linterface à lintérieur avec une adresse IPsource de --- 10.10.1.3 est traduit par 192.1.95.243.! ---Etats --- que tout paquet reçu sur linterface à lintérieur avec une adresse IPsource de --- 10.10.1.4 est traduit par 192.1.95.244Dimitri LEMBOKOLO 10
  11. 11. Sur le Routeur Internet (RouteurInternet)hostname RouteurInternet!interface FastEthernet0/0!interface Serial0/0 ip address 192.1.95.242 255.255.255.240Sur les MachinesDimitri LEMBOKOLO 11
  12. 12. Vérification  Visualiser les translations dadresses :  Activer le debug NAT :Dimitri LEMBOKOLO 12
  13. 13. ArchitectureNAT statique (Routeur CISCO 7200, IOS : c7200-advipservicesk9-mz.124-2.T)Sur le Routeur NAT (RouteurNAT)hostname R1!interface FastEthernet1/0 ip address 10.10.1.1 255.0.0.0 ip nat inside !---- Déclarer l’interface interne du NAT---:!interface Serial2/0 ip address 192.1.65.241 255.255.255.240 ip nat outside !----Déclarer l’interface externe du NAT---! clock rate 54120!!!---- Déclaration de votre pool dadresses publiques---ip nat pool tpnat 192.1.65.243 192.1.65.254 netmask 255.255.255.240!!!---- Configurer lACL qui autorise les réseaux internes à utiliser le NAT----ip nat inside source list 7 pool tpnataccess-list 7 permit 10.0.0.0 0.255.255.255Dimitri LEMBOKOLO 13
  14. 14. !!--- Déclarer le PAT sur linterface de sortie ---ip nat inside source list 7 interface Serial2/0 overload!!ip nat translation timeout 7200 !--- Temps en seconde ---Sur le Routeur Internet (RouteurInternet)hostname R2!interface Serial1/0 ip address 192.1.65.242 255.255.255.240!Sur les machinesDimitri LEMBOKOLO 14
  15. 15. Vérification  Ping routeur R1 vers les machinesDimitri LEMBOKOLO 15
  16. 16.  Ping machine vers routeurs  Ping routeur R2 vers R1Dimitri LEMBOKOLO 16
  17. 17.  Afficher les statistiques de traductionConclusionLa NAT est aujourdhui un élément important en réseau étant donné son énorme déploiement àtravers le monde suite à lannonce de la pénurie dadresses IPv4. Certes, il y a le IPv6 pour palier à ceproblème mais très peu l’utilise dans la sous régions.Jai essayé de rendre la compréhension de cette technique la plus accessible possible.Cependant, il faut impérativement avoir quelques notions en réseau pour pouvoir bien comprendre lespoints délicats quelle comporte.Il y a et il y aura sûrement encore beaucoup de choses à dire sur le sujet. Vos remarques sont doncencore et toujours les bienvenues, aussi bien pour y ajouter des idées, que pour enlever le superflu.Dimitri LEMBOKOLO 17

×