Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Cours 8 Bis NAT

    Hochgeladen von

    tyda20095933
    19 Ansichten6 Seiten

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    19 Ansichten6 Seiten

    Cours 8 Bis NAT

    Hochgeladen von

    tyda20095933

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 6

    Administration Rseau Niveau routage

    Protocole de Transport Frontire du sous-rseau Rseau 2 1 Liaison Physique Physique

    Intrt du NAT (Network Address Translation)


    Possibilit dutilisation dadresses prives dans lIntranet

    Transport

    Tout en rendant possible laccs lextrieur depuis et vers ces machines Au dpart pour conu pour conomiser des adresses Vue de lextrieur: Plage dadresse publique Scurit: Rend invisible la conguration dun Intranet

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 1

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 2

    Principe NAT
    On doit administrer un Intranet On possde une liste dadresse publique qui nous a t attribu Par exemple: 195.0.0.129/25 195.0.0.255/25 (rseau 195.0.0.128/25) Il existe sur notre Intranet un routeur de sortie vers lInternet qui va implmenter la translation dadresse
    Routeur NAT

    Exemple dIntranet
    On donne une adresse prive chaque machine de lIntranet Liste des adresses prives 10.0.0.0 - 10.255.255.255 (10/8 prex) 172.16.0.0 - 172.31.255.255 (172.16/12 prex) 192.168.0.0 - 192.168.255.255 (192.168/16 prex) Une des adresses publiques linterface de sortie du routeur
    Routeur NAT

    195.0.0.254 10.0.0.3
    Vers Internet Intranet

    10.0.0.2

    10.0.0.1

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 3

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 4

    NAT: principe
    Le routeur de sortie va modier lentte IP de tout paquet provenant dune machine interne en remplaant ladresse source IP prive par une adresse publique Vue de lextrieur, le routeur se fait passer pour la machine source Deux types de NAT : statique et dynamique
    Statique la correspondance @ Prive / @ publique est xe Dynamique : elle peut changer dans le temps
    Routeur NAT

    NAT STATIQUE: principe


    Une adresse publique associe chaque adresse prive Plage dadresse publique 195.0.0.248/29 Exemple dassociations Nat:
    10.0.0.1 195.0.0.249 10.0.0.2 195.0.0.250

    Routeur NAT

    Vers Internet paquet @Source 195.0.0.129


    P. Sicard-Cours Rseaux

    Intranet paquet @IPSource 10.0.0.1


    Translation dadresse NAT 5

    195.0.0.254 10.0.0.3

    10.0.0.2

    10.0.0.1

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 6

    NAT STATIQUE: principe


    Problmes et conguration du routage Il faut que le routeur se fasse passer pour lensemble des machines dadresses publiques au niveau des requtes ARP du premier routeur extrieur Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet pour toutes les adresses publiques Au retour dun paquet dans le routeur NAT , il faut quil redirige le paquet vers la bonne machine de lIntranet Il doit donc avoir dans sa table de routage 195.0.0.249 10.0.0.1 (netmask 255.255.255.255) Pour ladresse 195.0.0.249 envoyer 10.0.0.1

    Intret NAT STATIQUE: principe


    Intranet invisible depuis lextrieur Administration en cas de changement de lIntranet seulement sur routeur Economise des adresses en cas de dcoupage de lIntranet en sousrseaux (adresses perdues cause du dcoupage) Mais on nconomise pas dadresses publiques Pour cela il faut alors faire de la NAT dynamique

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 7

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 8

    NAT dynamique ou IP masquerading : principe


    Permet dattribuer dynamiquement lors des connexions des adresses IP publiques aux adresses prives Ladresse source des paquets devient ladresse externe du routeur Problme : comment le routeur se rappelle-t-il des correspondances ?
    Routeur NAT

    Lassociation connexion/@prive
    Se fait au moment du premier paquet qui sort en se rappelant le numro de port source Problme : si plusieurs connexions avec mme port source en mme temps ? Attribution dun port source virtuel unique chaque connexion

    195.0.0.254 Vers Internet


    195.0.0.254 Vers Internet paquet @Source 195.0.0.254 Intranet paquet @IPSource 10.0.0.1 10.0.0.1

    10.0.0.1 Intranet paquet Port source 2354 @IPSource 10.0.0.1

    Port source 5000 @Source 195.0.0.254

    Mmorisation dans la table NAT 5000: 10.0.0.1 2354


    P. Sicard-Cours Rseaux Translation dadresse NAT 10

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 9

    Nat Dynamique
    Une seule adresse publique suft pour un nombre quelconque de machines dans lIntranet On ne peut pas initier une connexion depuis lextrieur Impossibilit davoir un serveur WEB par exemple dans lIntranet (en fait si ! voir plus loin le principe du port forwarding)

    Le port forwarding
    Utiliser dans la NAT dynamique pour rendre une machine accessible depuis lextrieur On mets en dur dans la table NAT du routeur
    port xe: port prive/ adresse prive Par exemple 21: 21/10.0.0.1 (port dun serveur FTP) Les paquets arrivant de lextrieur vers (195.0.0.254, 21) seront redirigs vers (10.0.0.1, 21) Problme si deux serveurs FTP sur 2 machines diffrentes ?

    Le port mapping consiste changer de port sur la machine interne


    Par exemple : 80: 8080/10.0.0.1 Un serveur http est lanc sur 10.0.0.1 sur le port 8080

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 11

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 12

    Problmes NAT Dynamique


    Applications nutilisant pas UDP/TCP
    Exemple ICMP Il faut faire une conguration spciale du routeur pour lui dire de se rfrer autre chose que le port Le numro didentiant du paquet ICMP par exemple

    Problmes NAT Dynamique


    Authentication et cryptage:
    Pas de mcanisme dauthentication de bout en bout puisque le paquet est modi Encryptage de lentte IP la source et vrication larrive Possibilit de tunneling (mise en place de Tunnel IPSEC vers lextrieur)

    Lapplication FTP
    Rappel en mode actif: En cas dune connexion sur un serveur extrieur La connexion pour les donnes est initie depuis le serveur Il ne peut tre utilis quen mode passif dans lequel toutes les connexions sont inities depuis le client Les donnes de FTP contiennent des informations se rapportant aux adresses IP
    P. Sicard-Cours Rseaux Translation dadresse NAT 13

    Le routeur a du travail supplmentaire


    re calcul des checksums IP TCP et UDP modication des donnes FTP... (fait par proxy) limitation de la bande passante si le routeur nest pas assez puissant

    Argument des opposants au NAT: non indpendance des couches


    P. Sicard-Cours Rseaux Translation dadresse NAT 14

    Combinaison NAT Statique et Dynamique


    Statique: Intressant si certaines machines de lIntranet doivent tre visibles depuis lextrieur (serveur WEB ...) Dynamique: Economie dadresse Scurit

    Exercice sur NAT (Network Address Translation)


    NAT STATIQUE: Donnez un plan dadressage pour lIntranet donn dans le transparent suivant avec des adresses prives Donnez les tables de routage des routeurs et des machines pour que lensemble des machines de lIntranet puissent communiquer avec lextrieur (Internet) Donnez la table ARP du routeur de sortie

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 15

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 16

    Exercice sur NAT


    CADRES

    INTRANET
    ADMINISTRATIFS

    NAT STATIQUE/DYNAMIQUE: On utilise de la NAT dynamique pour lensemble des machines de lIntranet On veut mettre sur la machine servant de serveur de chier SF1 un serveur WEB et un serveur SFTP accessibles depuis lextrieur Combien dadresse publique est il ncessaire de possder ? Donnez les tables de routage des routeurs et des machines pour que lensemble des machines de lIntranet puissent communiquer avec lextrieur (Internet)
    SF1 SF2 INTERNET R1 Switch R4 ATELIERS Switch Switch Switch

    R2 R3

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 17

    P. Sicard-Cours Rseaux

    Translation dadresse NAT

    18

    Exercice sur NAT


    NAT STATIQUE/DYNAMIQUE: On ne veut pas utiliser de NAT statique Comment congurer le routeur de sortie (table NAT) pour que les serveurs WEB et Sftp sur SF1 soient accessibles depuis lextrieur ?

    Exercice sur NAT STATIQUE/DYNAMIQUE


    On utilise de la NAT dynamique pour lensemble des machines de Atelier et Administratif On veut utiliser de la NAT statique pour les machines cadres On veut mettre sur la machine servant de serveur de chier SF1 un serveur WEB et un serveur SFTP accessibles depuis lextrieur Combien dadresse publique est il ncessaire de possder ? Donnez les tables de routage des routeurs et des machines pour que lensemble des machines cadres puissent communiquer avec lextrieur (Internet) Peux t-on accder aux machines administratif et atelier depuis Internet ? Et dans lautre sens ?

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 19

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 20

    Exercice sur NAT (Network Address Translation)


    NAT STATIQUE/DYNAMIQUE: Mettre dans le cas de la conguration prcdente les ltres ncessaires sur le routeur de sortie pour que les ateliers et administratif ne puissent pas accder lInternet Mme question si lon veut bloquer toute communication des cadres avec Internet sauf serveur WEB et serveur ssh ?

    P. Sicard-Cours Rseaux

    Translation dadresse NAT 21

    Das könnte Ihnen auch gefallen