Comprendre les Différents Types de NAT et le Poinçonnage

by Posted on

S’applique à…

  • DxConnect 19.5
  • DxConnect 20.0
  • DxOdyssey 19.5
  • DxOdyssey 20.0
  • DxEnterprise 19.5
  • DxEnterprise 20.0

Résumé

Une brève explication des types de traduction d’adresses réseau (NAT), comment ils fonctionnent avec le poinçonnage et peuvent affecter la possibilité de rejoindre des groupes de passerelles et de créer des tunnels.

Information

Toutes les définitions NAT ci-dessous sont tirées de l’Internet Society RFC 3489.

NAT normal (Cône complet)

Un NAT à cône complet est un NAT où toutes les demandes provenant de la même adresse IP interne et du même port sont mappées sur la même adresse IP externe et le même port. De plus, tout hôte externe peut envoyer un paquet à l’hôte interne, en envoyant un paquet à l’adresse externe mappée.

NAT à cône restreint

Un NAT à cône restreint est un NAT dans lequel toutes les demandes provenant de la même adresse IP interne et du même port sont mappées vers la même adresse IP externe et le même port. Contrairement à un NAT à cône complet, un hôte externe (avec l’adresse IP X) ne peut envoyer un paquet à l’hôte interne que si l’hôte interne avait précédemment envoyé un paquet à l’adresse IP X.

NAT à cône restreint au port

Un NAT à cône restreint au port est comme un NAT à cône restreint, mais la restriction inclut les numéros de port. Plus précisément, un hôte externe peut envoyer un paquet, avec l’adresse IP source X et le port source P, à l’hôte interne uniquement si l’hôte interne avait précédemment envoyé un paquet à l’adresse IP X et au port P.

NAT symétrique

Une NAT symétrique est une NAT où toutes les demandes provenant de la même adresse IP interne et du même port, vers une adresse IP et un port de destination spécifiques, sont mappées sur la même adresse IP externe et le même port. Si le même hôte envoie un paquet avec la même adresse source et le même port, mais vers une destination différente, un mappage différent est utilisé. De plus, seul l’hôte externe qui reçoit un paquet peut renvoyer un paquet UDP à l’hôte interne.

Perforation

L’utilisation d’une association précédemment établie pour permettre à une adresse/port externe arbitraire d’envoyer des données à une adresse/port interne est appelée perforation. La perforation est possible avec des NAT normaux (à cône complet), restreints et restreints par port, qui mappent la même adresse /port interne de manière cohérente à une adresse /port externe.

REMARQUE: La perforation n’est pas possible avec des NAT purement symétriques, en raison de leur comportement de mappage de port spécifique à la destination incohérent.

La perforation peut être utilisée pour le trafic TCP et UDP. Pour que le perforation fonctionne, l’association doit être créée en initiant une connexion sortante à partir d’un système interne, puis en réutilisant le port sur le système interne en tant qu’auditeur. Les systèmes externes autres que la cible de la connexion d’origine pourront se connecter au système interne via l’association.

Le poinçonnage peut être utilisé lorsque les deux parties du chemin de communication souhaité sont derrière les NAT, tant qu’au moins un côté est capable de déterminer l’association dynamique attribuée à l’autre partie par le NAT et d’envoyer des données via l’association.

Test NAT

Cliquez sur le lien ci-dessous pour exécuter le test NAT DH2i afin de déterminer si votre site se trouve derrière un périphérique NAT symétrique.
Test NAT DH2i

REMARQUE: Le test NAT DH2i ne fait pas la différence entre le Cône Plein, le Cône Restreint et le Cône Restreint de Port NAT. Ces trois types donneront tous un résultat “NAT normal”. Par conséquent, si un site est derrière un “NAT symétrique” et que l’autre site est derrière un “NAT normal”, une connexion peut ou non être possible avec le logiciel DH2i en fonction du type de “NAT normal” en jeu. Le NAT symétrique associé au NAT restreint par port est une combinaison non routable.

Matrice de support de type NAT

Published by admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.