Network Address Translation
Le Network Address Translation (ou Network Address Translator) désigne un mécanisme de virtualisation d’adresses IP qui permet de « traduire » ou de « convertir » des adresses IP en d’autres adresses IP. Le mécanisme contribue à améliorer la sécurité et à diminuer le nombre d'adresses IP nécessaires à une entreprise.
Des passerelles NAT sont souvent installées entre deux réseaux ; le réseau interne et le réseau externe. Les systèmes installés sur le réseau interne se voient généralement attribuer des adresses IP incompatibles avec un acheminement vers les réseaux externes (par exemple, vers des réseaux du bloc 10.0.0.0/8). Un nombre limité d'adresses IP valides sur ces réseaux externes sont donc affectées à la passerelle. La passerelle donne alors au trafic sortant d'un système interne l'apparence d'un trafic provenant d'une de ces adresses valides sur les réseaux externes
En sens inverse, elle récupère le trafic entrant adressé à une des adresses valides sur les réseaux externes, puis le transfère au système interne destinataire.
Ce procédé contribue à garantir la sécurité. En effet, chaque demande entrante ou sortante doit traverser un processus de traduction qui offre une occasion de qualifier ou d'authentifier, par exemple, des flux entrants et de les associer à des demandes sortantes.
Le mécanisme NAT économise le nombre d'adresses IP valides à l'échelon mondial dont une entreprise a besoin. En outre, combiné à un routage inter-domaine sans classe (Classless Inter-Domain Routing), ce processus contribue à prolonger la durée de vie utile du protocole IPv4. Le mécanisme NAT est décrit en termes généraux dans la RFC 1631 de l'IETF.
Le mécanisme NAT est une fonction de routeur. Il est souvent intégré au pare-feu d'une entreprise.
Les passerelles NAT peuvent mettre en correspondance, ou « mapper », les adresses IP de différentes manières :
- de manière statique, d'une adresse IP locale vers une adresse IP mondiale
- d'une adresse IP locale vers toute adresse IP mondiale d'une réserve (ou « pool ») tournante dont une entreprise est susceptible de disposer
- d'une adresse IP locale accompagnée d'un port TCP spécifique vers une adresse IP mondiale ou une adresse IP d'un pool de ports
- d'une adresse IP mondiale vers toute adresse IP locale d'un pool sur une base tournante
Dans certains cas, les administrateurs réseau ne définissent aucun mappage simple. Au lieu de cela, ils établissent des politiques qui permettent à un dispositif passerelle d'affecter des mappages en fonction de différents facteurs, notamment la destination visée (« sélectionner telle adresse externe pour communiquer avec le réseau du partenaire A ; sélectionner telle adresse externe pour communiquer avec celui du partenaire B ») ou les protocoles utilisés (« affecter à partir de ce pool pour le trafic HTTP, et de ce pool pour le trafic HTTPS »).
Un rôle plus récent du mécanisme NAT se concentre sur la traduction d'adresses IPv4 en IPv6, et inversement. Ce rôle permet l'intégration d'une infrastructure et de nœuds terminaux IPv4 à des environnements IPv6, et à des services IPv6 d'interagir avec des systèmes IPv4.