Testez-nous

NAT

February 12, 2021
Date de mise à jour: November 24, 2025

Qu’est-ce que le NAT ?

Le NAT (Network Address Translation) est une technologie permettant de traduire les adresses réseau au sein d’un réseau NAT. Un routeur remplace les adresses IP locales des appareils par des adresses IP publiques et inversement, garantissant ainsi que tous les appareils d’un bureau ou d’un domicile se connectent à Internet via une seule adresse publique fournie par le fournisseur d’accès. Le routeur y parvient en maintenant une table de correspondance pour assurer une transmission correcte des réponses. Cela permet à des milliers d’appareils d’être connectés simultanément.

La technologie NAT a été développée pour prévenir l’épuisement des adresses IPv4, un terme désignant l’épuisement complet des adresses IPv4 32 bits disponibles, initialement au nombre d’environ 4,3 milliards.

Ce problème d’épuisement des adresses est apparu en raison de la généralisation d’Internet dans la vie quotidienne et de l’augmentation exponentielle du nombre d’appareils connectés, ce qui a conduit à l’attribution de la quasi-totalité des adresses IPv4 disponibles.

Types de NAT

Le NAT fonctionne de différentes manières. Le routeur sélectionne le type de NAT en fonction des besoins du réseau : attribution d’adresses fixes pour plus de stabilité ou partage d’une même adresse entre les ports pour économiser de la bande passante. Voici quelques exemples :

NAT statique (BiNAT, NAT 1:1)

L’administrateur associe une adresse locale à une adresse publique pour garantir un accès stable. Un serveur de base de données sur 10.0.0.50 apparaît comme 203.0.113.50 : les employés de la succursale se connectent via RDP et les clients accèdent à l’application web via une adresse IP fixe. L’entreprise utilise une adresse publique pour chaque appareil, mais bénéficie d’une connexion fiable et ininterrompue.

NAT dynamique

Le routeur alloue une adresse publique à partir d’un pool pour la durée de la session, puis la libère pour une réutilisation. Imaginons un bureau de 50 postes de travail disposant d’un pool de 10 adresses IP (203.0.113.1 à 203.0.113.10). Un responsable ouvre le CRM dans un navigateur, occupant ainsi une adresse libre. En fermant l’onglet, il met fin à sa session et libère l’adresse pour un collègue. Lorsque les 10 adresses sont occupées, le onzième employé attend qu’un autre utilisateur ferme le navigateur. Le bureau utilise ainsi un nombre limité d’adresses IP publiques au lieu d’en acheter 50.

PAT (Traduction d’adresses de port)

Le routeur masque plusieurs adresses locales sous une seule adresse globale, en distinguant le trafic par ports TCP/UDP. Dans un espace de coworking comptant 200 utilisateurs, le routeur utilise l’adresse IP 203.0.113.1 : un ordinateur portable (192.168.1.10:49152) apparaît sous l’adresse 203.0.113.1:60000, et une tablette (192.168.1.20:49153) sous l’adresse 203.0.113.1:60001. Le routeur vérifie la table de correspondance et fournit les réponses correctement ; une seule adresse prend en charge des milliers de sessions ; le fournisseur connecte l’ensemble du centre d’affaires à une seule adresse IP ; et les clients téléchargent des fichiers ou passent des appels sans conflit.

Fonctionnement du NAT

Voici comment fonctionne le NAT. Le processus comprend plusieurs étapes :

  1. Un appareil envoie une requête. Un smartphone dont l’adresse locale est 192.168.0.3 crée un paquet pour le serveur 208.135.15.7. Ce paquet contient l’adresse source, le port (par exemple, 49152) et les données. Le routeur le reçoit lorsqu’il quitte le réseau.
  2. Le routeur modifie l’adresse source. Il remplace l’adresse locale par une adresse globale, par exemple 203.0.113.1. Grâce à la PAT (Port Address Translation), il ajoute un port unique, par exemple 60000. Il stocke cette paire port/adresse dans la table NAT pour le chemin de retour.
  3. Le paquet est envoyé sur Internet. Le serveur reçoit la requête de 203.0.113.1:60000. Il la traite et envoie une réponse à cette adresse et à ce port.
  4. Le routeur reçoit la réponse et vérifie l’adresse de destination dans la table NAT. Il trouve un enregistrement correspondant à l’adresse globale et au port, puis le remplace par l’adresse locale 192.168.0.3:49152.
  5. La réponse est transmise au périphérique. Le smartphone reçoit les données sans remarquer la substitution. La table NAT supprime l’enregistrement à la fin de la session.
Adresse locale (inside local) Adresse globale (inside global) Adresse globale externe (outside global)
192.168.0.3:49152 203.0.113.1:60000 208.135.15.7:443

Dans ce tableau :

  • adresse IP locale interne – l’adresse IP locale (privée) d’un appareil, comme un ordinateur portable sur votre réseau ;
  • adresse IP publique interne – l’adresse IP publique de ce même appareil, utilisée par le routeur pour communiquer avec Internet dans le cadre d’une traduction d’adresses réseau (NAT) ;
  • adresse IP publique externe – l’adresse IP publique du serveur ou de l’appareil sur Internet auquel vous vous connectez.

Sur un réseau réel, un routeur traite simultanément des milliers de ces entrées. La technologie NAT est utilisée pour remplacer les adresses dans les en-têtes des paquets, et le routeur effectue cette opération pour chaque requête. Si les ports ou les adresses sont saturés, les nouvelles connexions sont bloquées jusqu’à ce que des ressources soient libérées.

NAT Example

Configuration NAT

Configurer le NAT sur un routeur domestique implique généralement d’activer cette option dans l’interface web de l’appareil.

Configurer un NAT de niveau opérateur (CG NAT) pour gérer les connexions de millions d’abonnés est une tâche confiée aux ingénieurs du fournisseur. La configuration comprend plusieurs étapes :

  • Un profil avec des adresses IP publiques est créé sur la passerelle de services Stingray, les ports sont répartis entre les utilisateurs et les délais d’expiration de session sont configurés ;
  • Le profil créé est connecté à un pool d’adresses IP privées.
  • L’ingénieur d’implémentation, en collaboration avec le client (fournisseur d’accès Internet), vérifie le bon fonctionnement du CG-NAT.

Les spécialistes techniques de VAS Experts vous aideront à sélectionner et à déployer une solution adaptée à l’architecture réseau et aux exigences de performance du fournisseur.

Exemples d’applications NAT

Les réseaux NAT s’adaptent à des scénarios variés, du Wi-Fi domestique aux infrastructures d’entreprise avec succursales.

Réseaux privés

Un fournisseur NAT attribue une adresse IP publique unique, et un routeur avec PAT masque les adresses locales 192.168.1.x afin qu’un smartphone, un ordinateur portable et une télévision puissent accéder simultanément à Internet. Une famille connecte 10 appareils : les enfants regardent des vidéos sur une tablette, les parents consultent leurs e-mails sur un ordinateur, et le routeur différencie tout le trafic par port. Les appareils échangent des fichiers au sein du réseau sans accès Internet, ce qui permet d’économiser des adresses IP supplémentaires. Les utilisateurs ne redémarrent le routeur manuellement qu’en cas de panne, ce qui est rare.

Réseaux d’entreprise

Une entreprise déploie la traduction d’adresses réseau (NAT) pour un accès Internet sécurisé et connecte ses succursales à l’aide de la traduction d’adresses dynamique (NAT) ou du PAT. Un bureau de 200 employés crée un pool de 50 adresses : les responsables accèdent au CRM, les développeurs téléchargent du code, et le NAT protège le domaine 10.0.0.x des attaques. Lors d’une fusion, les entreprises changent de fournisseur sans rediriger les PC, configurent l’accès distant et peuvent évoluer sans avoir besoin de milliers d’adresses IP.

Redirection de ports pour les serveurs internes

Les administrateurs ouvrent des ports via NAT pour connecter les clients aux services internes. L’entreprise héberge un serveur web sur 192.168.0.100 : la règle redirige le port IP externe 80 vers l’adresse IP interne, et les clients accèdent au site web via l’adresse IP publique.

NAT de niveau opérateur (Carrier Grade NAT, Large Scale NAT)

Les fournisseurs utilisent la NAT de niveau opérateur pour desservir des millions d’abonnés lorsque les adresses IPv4 publiques sont rares. VAS Experts développe des solutions CG-NAT qui répartissent une seule adresse IP externe entre des centaines d’utilisateurs grâce à une allocation dynamique des ports. Le système gère automatiquement les pools d’adresses, enregistre les sessions pour se conformer aux exigences SORM et évolue sans interruption de service. La solution CG-NAT de VAS Experts traite jusqu’à 100 Gbit/s de trafic sur un seul serveur, s’intègre à la facturation et maintient les performances du réseau malgré la croissance du nombre de clients.

Avantages de l’utilisation du NAT

Examinons les avantages du NAT :

  • Économie d’adresses IP publiques. Une seule adresse IP publique dessert des milliers d’appareils au sein de l’entreprise, ce qui évite d’acheter des adresses IP supplémentaires auprès du fournisseur et réduit les coûts d’infrastructure.
  • Masquage des adresses internes. Seul le routeur est visible de l’extérieur, empêchant ainsi les pirates informatiques d’analyser les appareils locaux des succursales et réduisant les risques d’attaques.
  • Flexibilité accrue du réseau. De nouvelles machines peuvent être ajoutées au centre de données sans nécessiter d’adresses IP supplémentaires ; une start-up peut ainsi faire évoluer son réseau jusqu’à 50 serveurs automatiquement.
  • Sécurité de base. Les connexions entrantes sont bloquées par défaut ; le pare-feu du routeur filtre le trafic de 200 employés sans équipement supplémentaire.
  • Réduction des coûts d’administration. Gérez une seule adresse IP externe au lieu de milliers ; un intégrateur système peut configurer les règles pour le client en quelques minutes.

Inconvénients de l’utilisation du NAT

Examinons les inconvénients du NAT dans des cas concrets :

  • Augmentation de la latence du trafic. Le routeur traite chaque paquet en remplaçant les adresses, ce qui ralentit les appels VoIP du centre d’appels de 50 à 100 ms.
  • Il dégrade les performances des applications. Les connexions FTP ou SIP peuvent être interrompues par l’usurpation de port, et les développeurs passent des heures à configurer le contrôle d’accès au réseau (ALG) dans la messagerie d’entreprise.
  • Le traçage de bout en bout est impossible. Les administrateurs ne peuvent plus suivre le cheminement des paquets à travers plusieurs NAT, et le débogage des pannes dans le cloud prend trois fois plus de temps.
  • Il perturbe le tunneling. Les VPN IPsec peuvent être interrompus par des modifications d’en-tête, obligeant les employés distants à se reconnecter manuellement toutes les 10 minutes.
  • Il limite le nombre de sessions simultanées. Une seule adresse IP publique ne peut pas diffuser plus de 65 000 sessions pour les connexions UDP et TCP. Les nouvelles requêtes sont bloquées jusqu’à la fermeture des sessions existantes.
Vote:
5 sur 5
Note moyenne : 5
Évalué par: 1
VoLTE IPv4