NAT multi-adresse

office/home office) utilise la plage d’adresses 192.168.0 classe C et, bien entendu,
cet espace ne m’appartient pas. Beaucoup d’autres personnes utilisent la même
plage, mais NAT empêche toute interférence entre nous.

Une fois votre réseau IP privé en place, faites vous attribuer par votre ISP une
plage d’adresses IP Internet publiques. Ce peut être un sous-réseau traditionnel,
comme une classe C, une plage CIDR, comme un bloc de 32 adresses, ou même une
poignée d’adresses distinctes non contiguà«s (tous les dispositifs NAT ne supportent
pas cette option). Une fois le réseau interne opérationnel et les attributions
d’adresses IP externes obtenues, il faut placer un routeur NAT multi-adresses
entre le réseau interne et l’ISP.

Quand l’un de vos systèmes veut accéder à  Internet, le routeur NAT multi-adresses
consulte une table d’adresses IP publiques disponibles (celles que vous a données
l’ISP) et attribue temporairement une adresse externe au système demandeur. Bien
que le système interne ne perçoive aucune différence, le routeur NAT substitue
en fait l’adresse IP publique à  l’adresse IP privée dans le message et l’introduit
dans Internet.

Supposons par exemple que vous utilisiez l’espace d’adresses 192.168.0 pour le
réseau interne et les adresses 206.247.72.1 à  206.247.72.32 pour l’accès externe
à  Internet. Si un système possédant l’adresse 192.168.0.12 soumet une requête
à  Internet (lancement d’une connexion browser, par exemple), le routeur NAT multi-adresses
examine sa table pour voir si elle contient des adresses externes disponibles.
Supposons que 206.247.72.2 soit disponible. Le routeur NAT prend le message du
système 192.168.0.12, substitue l’adresse 206.247.72.2 dans l’en-tête IP, puis
envoie le message à  Internet. La figure 1 illustre ce processus.

Le routeur NAT multi-adresses maintient l’association entre les adresses IP internes
et externes. Quand un message revient d’Internet, le routeur NAT remet l’adresse
IP interne initiale en place et transmet le message au système interne. L’association
entre adresses IP internes et externes reste en vigueur jusqu’à  ce qu’une déconnexion
ou un timer d’inactivité libère l’adresse externe.

L’intérêt de NAT multi-adresses est qu’il ne nécessite pas de modifier un réseau
IP privé existant ni de construire un nouveau réseau IP en utilisant des adresses
IP « réelles ». Toutefois, NAT souffre d’un sérieux inconvénient: il est facile
de manquer d’adresses IP externes. Ainsi, si vous possédez 32 adresses IP externes
et que 32 systèmes sont en train de surfer sur le Web, vous voilà  à  court d’adresses.
Dans cette situation, certains routeurs NAT multi-adresses commencent à  utiliser
NAT mono-adresse, tandis que d’autres font attendre les nouvelles requêtes jusqu’à 
ce qu’une adresse IP externe soit libérée.

NAT multi-adresses ne permet pas des attributions d’adresses IP « permanentes ».
Si, par exemple, l’un des systèmes de votre réseau est un serveur Web, vous voulez
que ce serveur soit toujours disponible à  la même adresse IP externe. Une simple
entrée du routeur NAT peut créer une entrée de table permanente associant l’adresse
IP externe à  l’adresse IP interne du serveur. La plupart des routeurs NAT permettent
de faire des entrées permanentes multiples, et l’on peut donc équilibrer harmonieusement
les attributions statiques et dynamiques.

NAT multi-adresses présente aussi un autre avantage: la sécurité. Comme la plupart
des adresses IP externes sont attribuées dynamiquement aux systèmes internes,
les étrangers (pirates, par exemple) ne peuvent pas se concentrer sur une adresse
IP précise et essayer de la casser (la fenêtre d’opportunité est vraiment trop
étroite). Soyons clair: je ne prétends pas qu’un routeur NAT est aussi efficace
qu’un firewall. Je dis simplement que NAT améliore la sécurité, sans pour autant
la faire oublier.