NAT et usages en entreprise
Définition
Le NAT (Network Address Translation) est un mecanisme qui modifie les adresses IP dans les en-tetes des paquets lorsqu'ils traversent un equipement frontal (routeur ou pare-feu). Il permet aux reseaux prives d'acceder a Internet et offre plusieurs avantages operationnels en entreprise.
Contexte
CCST couvre les cas d'usage du NAT en environnement professionnel : acces Internet, changement de FAI, fusion de reseaux, et conservation des adresses publiques.
Details techniques
Cas d'usage du NAT en entreprise
| Cas d'usage | Description |
|---|---|
| Acces Internet | Permettre aux hotes prives (RFC 1918) d'atteindre des serveurs publics |
| Conservation d'adresses | Partager une ou quelques IPs publiques entre des centaines de postes |
| Changement de FAI | Seule l'adresse NAT publique change, le plan interne reste intact |
| Fusion de reseaux | Deux entreprises avec le meme plan d'adressage interne (ex: 10.0.0.0/8) |
| Serveur public interne | NAT statique pour qu'un serveur interne soit accessible depuis Internet |
| Securite (partielle) | Le NAT masque les adresses internes, mais ce n'est pas un pare-feu |
Placement du NAT
Reseau prive (RFC 1918) Routeur de bordure Internet
[192.168.1.0/24] -------> [NAT: inside | outside] -------> [Public]
^
Traduction ici
Le NAT est configure sur le routeur qui separe le reseau inside (prive) du reseau outside (public).
Configuration des interfaces inside/outside
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip nat inside
Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip nat outside
RFC 1918 et propagation
| Regle | Description |
|---|---|
| Les adresses privees ne doivent pas etre annoncees sur Internet | Les routeurs ISP les rejettent |
| Les filtres anti-spoofing bloquent les adresses privees en sortie | Best practice (BCP 38) |
| Le NAT est la passerelle entre les deux mondes | Prive ↔ public |
Avantages et limites du NAT
| Avantages | Limites |
|---|---|
| Economie d'adresses publiques | Brise le modele de bout en bout |
| Masque la topologie interne | Certains protocoles ne traversent pas le NAT (FTP actif, SIP) |
| Flexibilite lors de changements d'ISP | Ajout de complexite et de latence |
| Permet la fusion de reseaux chevauchants | Difficulte de tracabilite (logs) |
NAT et journalisation
En entreprise, les traductions NAT doivent etre journalisees (compliance, securite) :
Router# show ip nat translations
Chaque entree montre quelle adresse interne correspond a quelle adresse publique, a quel moment. Sans ces logs, il est impossible de remonter d'un evenement Internet a un poste interne.
Exemple concret
Une PME utilise 192.168.10.0/24 pour son LAN. Le routeur de bordure fait du PAT vers l'adresse publique 203.0.113.5. Les 80 postes accedent au Web en partageant cette seule IP. Quand l'entreprise change de FAI et obtient 198.51.100.10, seule la config NAT du routeur est modifiee — les 80 postes conservent leurs adresses internes sans aucune reconfiguration.