Protocoles

NAT: Network Address

Translation
Plan

1. Introduction

2. NAT statique

3. NAT dynamique : Masquerading

4. Proxy
 Pourquoi avoir des adresses privées?

 Gérer la pénurie (manque) d’adresses au sein d’un réseau.

 Masquer l’intérieur du réseau par rapport à l’extérieur (le réseau
peut être vu comme une seule et même machine).
 Améliorer la sécurité pour le réseau interne.
 Assouplir la gestion des adresses du réseau interne.
 Faciliter la modification de l’architecture du réseau interne.

Mécanisme de translation d’adresses (NAT: Network Address Translation)

Deux types de NAT :

Statique: association entre n adresses publiques et n adresses privées.
Dynamique: association entre 1 adresse publique et n adresses privées.
 NAT statique
Association entre une adresse publique et une adresse
privée.
 NAT statique

Intérêt :

 Uniformité de l’adressage dans la partie privée du réseau

(modification de la correspondance @publique/@privée facile)

 Sécurité accrue (tous les flux passent par la passerelle NAT)

Inconvénient :

 Problème de pénurie d’adresses IP publiques non-résolu

 NAT statique: Principe
Pour chaque paquet sortant (resp entrant), la passerelle modifie
l’adresse source (resp destination).
 NAT dynamique : Masquerading
Association entre m adresses publiques et n adresses privées (m < n)
 NAT dynamique : Masquerading

Intérêt :

 Plusieurs machines utilisent la même adresse IP publique pour sortir du

réseau privé

 Sécurité accrue (tous les flux passent par la passerelle NAT)

Inconvénient :

 Les machines du réseau interne ne sont pas accessibles de l’extérieur

(impossibilité d’initier une connexion de l’extérieur)

 NAT dynamique : Principe

L’association de n adresses privées à 1 adresse publique

nécessite, au niveau de la passerelle, de :

 modifier l’adresse source (destination) des paquets sortant

(entrants).

 changer le numéro de port source pour les flux sortant.

NAT dynamique : Principe
 NAT dynamique : Principe
Comment est ce que le routeur différencie les paquets qui lui sont
destinés?

Le routeur gère toutes les associations ⇒ Unicité de

l’association
 Problèmes liés à NAT dynamique

Comment rendre joignables des machines du réseau local?

 Nécessité de faire de la redirection de port (port
forwarding/mapping).
Principe: Toutes les connexions entrantes sur un
port donné sont redirigée vers une machine du
réseau privé sur un port.
 Problèmes liés à NAT dynamique

Comment faire la translation d’adresse sur des protocoles qui ne sont

pas basés sur TCP ou UDP (pas de numéro de port)?
Nécessité d’implémenter une méthode spécifique aux autres
protocoles.
Dans le cas des protocoles dont les paquets contiennent des
données relatives aux adresses IP, il est nécessaire de mettre
en place des “proxy”.
 Proxy ou mandataire

Définition :
 Un proxy est un intermédiaire dans une connexion entre le
client et le serveur.
Le client s’adresse toujours au proxy.
Le proxy est spécifique à une application donnée (HTTP, FTP)
→ Possibilité de modification des informations échangées entre le
client et le serveur.
Proxy ou mandataire
 Exercice
Une entreprise pratique la translation d’adresses statique avec un
ensemble de quatre adresses IP (193.49.96.60, 193.49.96.61,
193.49.96.62, 193.49.96.63). Quatre stations du réseau (A, B, C et D)
souhaitent accéder au site WEB (numéro de port 80) dont l’adresse IP est
128.178.50.93. Les adresses internes des stations A, B, C et D sont
respectivement 192.168.10.1, 192.168.10.2, 192.168.10.3 et
192.168.10.4. Les quatre machines utilisent le même port source 3001.
Compléter la table de translation de la passerelle NAT pendant la
connexion.
Le service DHCP
 Dynamic Host Configuration Protocol

Le service DHCP (Dynamic Host Configuration Protocol) permet aux périphériques

d’un réseau d’obtenir d’un serveur DHCP des adresses IP et autres informations. Ce
service automatise l’affectation des adresses IP, des masques de sous-réseau, des
paramètres de passerelle et autres paramètres de réseau IP.

Il permet à un hôte d’obtenir une adresse IP dynamiquement lorsqu’il se connecte au

réseau. Le serveur DHCP est contacté et une adresse est demandée. Le serveur DHCP
choisit une adresse dans une plage d’adresses configurée (nommée pool) et affecte
cette adresse à l’hôte pour une durée définie.
Dynamic Host Configuration Protocol
 Fonctionnement du protocole DHCP

La principale fonction d’un serveur DHCP est d’offrir aux clients des
adresses IP. Le protocole DHCP comprend trois mécanismes
d’allocation d’adresses, offrant ainsi de la souplesse lors de
l’attribution d’adresses IP :

Allocation manuelle : l’administrateur attribue une adresse IP pré

allouée au client et le protocole DHCP communique uniquement
l’adresse IP au périphérique.
 Fonctionnement du protocole DHCP

Allocation automatique : le protocole DHCP attribue de façon automatique

et permanente une adresse IP statique à un périphérique en sélectionnant cette
adresse dans un pool d’adresses disponibles. Il n’y a pas de bail et l’adresse
est attribuée de façon permanente au périphérique.

Allocation dynamique : le protocole DHCP attribue, ou loue, de façon

automatique et dynamique une adresse IP à partir d’un pool d’adresses pour
une durée limitée définie par le serveur ou jusqu’à ce que le client indique au
serveur DHCP qu’il n’a plus besoin de cette adresse.
 Fonctionnement du protocole DHCP
• Lorsque le client démarre ou lorsqu’il souhaite se connecter à un réseau, il doit suivre
quatre étapes pour obtenir un bail. Au cours de la première étape, le client diffuse un
message DHCPDISCOVER. Le message DHCPDISCOVER détecte les serveurs DHCP
sur le réseau. L’hôte n’ayant pas d’informations IP valides au démarrage, il utilise les
adresses de diffusion L2 et L3 pour communiquer avec le serveur.

• Lorsque le serveur DHCP reçoit un message DHCPDISCOVER, il trouve une adresse

IP disponible à louer, crée une entrée ARP comprenant l’adresse MAC de l’hôte
demandeur et l’adresse IP louée, puis transmet une offre de liaison via un message
DHCPOFFER. Le message DHCPOFFER est envoyé en monodiffusion, utilisant
l’adresse MAC L2 du serveur comme adresse source et l’adresse L2 du client comme
destination.

• Lorsque le client reçoit le message DHCPOFFER du serveur, il renvoie un message

DHCPREQUEST. La fonction de ce message est double : émettre le bail ainsi que le
renouveler et le vérifier.

• Après réception du message DHCPREQUEST, le serveur vérifie les informations sur le

bail, crée une entrée ARP pour le bail du client, puis répond par un message DHCPACK
en monodiffusion.
Fonctionnement du protocole DHCP
 Configuration d’un serveur DHCP

La configuration d’un routeur comme serveur DHCP comprend les

étapes suivantes :

Étape 1. Définissez une plage d’adresses que le protocole DHCP ne

doit pas allouer. Il s’agit généralement d’adresses statiques réservées
à l’interface de routeur, à l’adresse IP de gestion de commutateur,
aux serveurs et aux imprimantes réseau locales.

Étape 2. Créez le pool DHCP à l’aide de la commande ip dhcp pool.

Étape 3. Configurez le pool.

 Configuration d’un serveur DHCP
Étape 1.
Indiquez les adresses IP que le serveur DHCP ne doit pas attribuer aux clients. En
règle générale, certaines adresses IP appartiennent à des périphériques réseau
statiques, tels que des serveurs ou des imprimantes. Le protocole DHCP ne doit
pas attribuer ces adresses IP à d’autres périphériques. Pour exclure certaines
adresses, utilisez la commande ip dhcp excluded-address.
excluded-address
 Configuration d’un serveur DHCP
Étape 2. Lorsque vous configurez un serveur DHCP, vous devez définir un pool
d’adresses à attribuer. La commande ip dhcp pool permet de créer un pool dont
vous spécifiez le nom et fait passer le routeur en mode de configuration DHCP,
reconnaissable par l’invite Router(dhcp-config)#.
 Configuration d’un serveur DHCP
Étape 3. Configurez le pool.
 Configuration d’un serveur DHCP
Exemple :
Configuration d’un serveur DHCP
Configuration d’un serveur DHCP
Exercices
Administration réseau
Le service DNS
 Sur les réseaux de données, les périphériques sont
étiquetés par des adresses IP numériques, ce qui leur permet
de participer à l’envoi et à la réception de messages via le
réseau. Cependant, la plupart des utilisateurs mémorisent très
difficilement ces adresses numériques. Pour cette raison, des
noms de domaine ont été créés pour convertir les adresses
numériques en noms simples et explicites.
 Sur Internet, ces noms de domaine (par exemple, www.google.com)
www.google.com sont
beaucoup plus faciles à mémoriser que leurs équivalents numériques (par
exemple, 198.233.219.35). De plus, si Google décide de changer d’adresse
numérique, ce changement est transparent pour l’utilisateur car le nom de
domaine demeure www.google.com.
www.google.com La nouvelle adresse est simplement
liée au nom de domaine existant et la connectivité est maintenue. Lorsque
les réseaux étaient de petite taille, il était simple de maintenir le mappage
entre les noms de domaine et les adresses qu’ils représentaient. Cependant,
les réseaux étant aujourd’hui de plus grande taille et le nombre de
périphériques plus élevé, ce système manuel ne fonctionne plus.
 Le protocole DNS (Domain Name
System) a été créé afin de permettre la
résolution de nom pour ces réseaux. Le
protocole DNS utilise un ensemble

distribué de serveurs pour convertir les

noms associés à ces adresses en

numéros.
 Le protocole DNS définit un service automatisé qui
associe les noms de ressource à l'adresse réseau numérique
requise. Il comprend le format des demandes et des réponses
ainsi que des formats de données.
Les communications via le protocole DNS utilisent un
format unique nommé message. Ce format de message est utilisé
pour tous les types de demandes client et de réponses serveur,
pour les messages d’erreur et pour le transfert des informations
d'enregistrement de ressource entre les serveurs.
 Le protocole DNS utilise un système hiérarchique pour créer une
base de données afin d’assurer la résolution de noms. La hiérarchie
ressemble à une arborescence inversée dont la racine se situe au sommet
et les branches en dessous.

Un espace de noms DNS comprend le domaine racine, des

domaines de niveau supérieur, des domaines de niveau secondaire et
(éventuellement) des sous domaines.
 Chaque unité de donnée dans la base DNS est indexée par un nom
 Les noms constituent un chemin dans un arbre inversé appelé l’espace
Nom de domaine

• Chaque nœud est identifié par un nom

• Racine appelée root, identifiée par «.»
• 127 niveaux au maximum
 L’espace de noms de domaine est une arborescence hiérarchisée
de noms utilisée par DNS pour identifier et trouver un hôte donné
dans un domaine donné, par rapport à la racine de l’arborescence.

 On appelle domaine toute arborescence ou sous arborescence se

trouvant dans l’espace de noms de domaine.

 Le domaine racine n’a pas de nom. Il est parfois représenté dans

les noms DNS par un point final (.) indiquant que le nom est à la
racine, c’est-à-dire au plus haut niveau, de la hiérarchie des
domaines.
 Les domaines se trouvant immédiatement sous la racine sont
appelés domaine de premier niveau (
niveau TLD :
TLD Top Level Domain). Les noms
de domaines ne correspondant pas à une extension de pays sont appelés des
domaines génériques (gTLD),
gTLD par exemple .org ou .com. S'ils correspondent
à des codes de pays (fr, ma), on les appelle ccTLD (country code TLD).
TLD
-Les domaines génériques (gTLD) -country code TLD
 com – Commerciaux  ly - Libyan Arab Jamahiriya
 edu - Organismes d'éducation américaine  ma – Maroc
 net - Organismes de gestion de réseaux  mc – Monaco
 org - Organismes non-commerciaux  ml - Mali
 int - Organismes internationaux  eg – Egypte
 gov - Organismes gouvernementaux USA  es – Espagne
 mil
mi - Organismes militaires USA fi – Finlande
 arpa - Transition ARPAnet-> Internet +  fr – France
traduction inverse  ga - Gabo

 On entend par Fully qualified domain name (FQDN), ou Nom de domaine pleinement
qualifié un
qualifié nom de domaine écrit de façon absolue, y compris tous les domaines jusqu'au
domaine de premier niveau (TLD), il est ponctué par un point final.
Les logiciels qui gèrent les données de l’espace des noms de domaine
sont appelés des serveurs de nom.
Les serveurs de nom enregistrent les données propres à une partie de
l’espace des noms de domaine dans une ZONE.
Le serveur de nom à autorité administrative sur cette zone.
Un serveur de noms peut avoir autorité sur plusieurs zones.
Un nom de domaine peut utiliser plusieurs serveurs DNS.
Généralement, les noms de domaines en utilisent au moins deux : un
primaire et un secondaire. Il peut y avoir plusieurs serveurs
secondaires
Les serveurs racine sont gérés par douze organisations différentes :
deux sont européennes, une japonaise et les neuf autres sont
américaines.
 Un enregistrement de ressource est une structure de base de données
DNS standard qui contient des informations utilisées pour traiter les
requêtes DNS
Les types d’enregistrements de ressources que vous créez dans le système
DNS dépendent de vos besoins en matière de résolution de noms.

A : fait correspondre un nom d'hôte à une adresse IPv4

AAAA : fait correspondre un nom d'hôte à une adresse IPv6
CNAME ( Canonique Name) : permet de faire d'un domaine un alias vers un
autre. Cet alias hérite de tous les sous-domaines de l'original ;
MX (Mail eXchange) : définit les serveurs de courriel pour ce domaine ;
PTR : associe une adresse IP à un enregistrement de nom de domaine, aussi dit
« reverse » puisqu'il fait exactement le contraire du A
NS ( Name Server): définit les serveurs DNS de ce domaine ;
SOA (Start Of Autority) : donne les informations générales de la zone : serveur
principal, courriel de contact, différentes durées, numéro de série de la zone ;
 Avant d’ajouter des enregistrements de ressources, vous devez créer dans le système
DNS la structure qui va les accueillir. Dans DNS, ces conteneurs logiques sont
appelés des zones.
Une fois que les zones DNS sont créées, il faut les remplir avec des enregistrements
de ressources.
Une zone est également la représentation physique d’un ou plusieurs domaines DNS.