Par
Pourquoi la NAT n'est pas nécessaire pour l'IPv6 ? La NAT n'est pas nécessaire pour les adresses IPv6 car l'IPv6 dispose d'un vaste espace d'adressage. Cela permet une communication directe entre les appareils, ce qui simplifie les réseaux et améliore la sécurité.
Vous voulez en savoir plus ?
Alors continuez à lire !
Dans cet article, nous étudierons la NAT dans le contexte de l'IPv4, son fonctionnement et ce que l'IPv6 fait pour en éliminer le besoin. Nous étudierons également quelques solutions pour ceux qui ont besoin d'IPv6 mais qui continuent à utiliser la NAT.
Table des matières
- Comprendre la NAT dans le contexte de l'IPv4
- Pourquoi la NAT n'est pas nécessaire pour l'IPv6 ?
- Large espace d'adressage
- Sécurité renforcée
- Connectivité et conception de réseaux simples
- Solutions alternatives au NAT dans IPv6
- Questions fréquentes
- Conclusion
1. Comprendre la NAT dans le contexte de l'IPv4
L'IPv4 a une structure d'adresses de 32 bits, ce qui permet d'avoir 4,3 milliards d'adresses uniques. Un chiffre assez important si l'on y réfléchit bien. Mais malheureusement, à ce jour, ce nombre (que fournit l'IPv4) n'est pas suffisant pour répondre à la croissance d'internet. Les scientifiques de l'IP des années 80 en étaient conscients de ce fait et ont donc introduit IPv6 pour remplacer "un jour" l'IPv4.
L'IPv6 a donc été créé avec un système d'adresses de 128 bits. Cela signifie que l'IPv6 couvre un espace d'adressage beaucoup plus grand que l'IPv4 (IPv6 vs IPv4). Pour l'instant (et pour longtemps), l'IPv6 résoudra le problème de la pénurie d'adresses et facilitera l'acheminement et la gestion des réseaux.
Mais déployer l'IPv6 sur l'ensemble d'internet est plus facile à dire qu'à faire (La migration vers IPv6 et ses avantages). Il existe des milliards de services, d'appareils et d'applications qui communiquent encore entre eux avec l'IPv4. Ainsi, NAT (Network Address Translation) ou également connu sous le nom de NAT44, et d'autres solutions de contournement ont été créées à titre temporaire.
a. Quel problème la NAT résout-il ?
La NAT (Network Address Translation) est un élément important pour les réseaux IPv4. Il est utilisé par les routeurs ou les serveurs pour traduire les adresses IP locales privées en adresses IP publiques et vice versa. En d'autres termes, la NAT permet de partager une adresse IP publique avec plusieurs appareils sur un réseau local. Ainsi, une maison (plusieurs appareils, plusieurs IP privées) = une IP publique. Il existe également la NAT de qualité transporteur (CGNAT) ; qui permet cela à une échelle beaucoup plus grande. Des communautés, des quartiers et des zones entières partagent une IP publique unique par l'intermédiaire d'un CGNAT.
Comme nous l'avons déjà dit, la raison d'être du NAT était (comme une sorte de solution de fortune) pour remédier à la pénurie d'adresses IPv4. Cette conception intelligente permet non seulement d'économiser des adresses IPv4, mais aussi d'ajouter une couche de sécurité en dissimulant les adresses IP internes des appareils locaux à internet.
b. Comment fonctionne la NAT pour IPv4 ?
L'image suivante illustre le processus du NAT en IPv4 :
Communication locale : Un hôte au sein d'un réseau privé, avec une adresse IPv4 privée (10.0.0.1), souhaite envoyer des données à un serveur sur internet. Le routeur est configuré avec NAT pour gérer le trafic entre le réseau privé et internet.
- Traduction des paquets sortants : Lorsque l'hôte envoie des données au serveur, le paquet contient l'adresse IP source (10.0.0.1, qui est l'adresse privée de l'hôte) et l'adresse IP de destination (200.100.10.1, qui est l'adresse publique du serveur). Lorsque le paquet atteint le routeur avec NAT, le routeur traduit l'adresse IP source de l'adresse privée (10.0.0.1) en adresse IP publique du routeur (150.150.0.1). Cette traduction permet au paquet d'être acheminé sur internet jusqu'au serveur.
- Traduction des paquets entrants : Lorsque le serveur répond, le paquet entrant a pour source l'adresse IP du serveur (200.100.10.1) et pour destination l'adresse IP publique du routeur (150.150.0.1). Lorsque ce paquet atteint le routeur NAT, celui-ci traduit l'adresse IP de destination en adresse IP privée de l'hôte (10.0.0.1). Ainsi, l'hôte du réseau privé reçoit la réponse du serveur.
c. Quelles sont les limites de la NAT dans l'IPv4 ?
Bien que la NAT dans les réseaux IPv4 présente des avantages, elle a aussi son lot d'inconvénients, notamment la complexité, l'entrave à la communication de bout en bout et les problèmes de compatibilité. Ces limitations soulignent la nécessité de solutions plus évolutives comme l'IPv6.
2. Pourquoi la NAT n'est-elle pas nécessaire dans IPv6 ?
a. Large espace d'adressage
La principale raison pour laquelle la NAT n'est pas nécessaire dans l'IPv6 est que l'IPv6 dispose d'un immense espace d'adressage (340 milliards d'adresses, pour être précis), ce qui signifie que nous n'avons plus besoin de la NAT. La NAT a été explicitement conçu pour cela, afin de préserver le nombre limité d'adresses IPv4. Ainsi, grâce à ce grand nombre d'adresses IPv6 disponibles, n'importe quel hôte ou utilisateur peut obtenir une adresse réseau IPv6 publique.
b. Sécurité renforcée
Contrairement à l'IPv4, l'IPv6 a été conçu de manière à ce que la sécurité soit un élément fondamental, et non une réflexion après coup. L'IPv6 inclut nativement la sécurité (IPsec, cryptage de bout en bout et découverte sécurisée des voisins), ce qui renforce la sécurité globale du réseau et élimine le besoin de NAT. Et, comme nous l'avons déjà dit, la NAT a été conçu pour répondre aux limites de l'IPv4, et la sécurité qu'il apporte est un sous-produit de sa conception. Les gens utilisent simplement la NAT comme un pare-feu de fait, parce qu'il cache les adresses IP internes aux menaces externes.
Remarque : N'oubliez pas que la sécurité intégrée d'IPv6 ne remplace pas vraiment la NAT, car la NAT IPv4 cache les véritables adresses IP et l'IPSec (qui est également disponible pour IPv4) assure le cryptage et l'authentification. En bref, du point de vue de la conception du réseau, IPSec et NAT pourraient même se compléter.
c. Connectivité et conception de réseau simples
L'accent mis par l'IPv6 sur l'amélioration de la connectivité de bout en bout et la simplification de la conception des réseaux rend inutile le recours à la NAT. Cette approche améliore les voies de communication, facilite les transferts en temps réel et les connexions directes d'appareil à appareil sur internet, en éliminant les intermédiaires tels que les dispositifs NAT (ou d'autres solutions de contournement). L'IPv6 simplifie la conception du réseau en utilisant des adresses globales uniques pour les appareils, ce qui évite les complexités de la traduction d'adresses présentes dans l'IPv4, qui peuvent entraîner des problèmes tels que la double NAT et des difficultés accrues de dépannage.
3. Solutions alternatives au NAT dans IPv6 ?
Bien que la NAT ne soit pas nécessaire pour la plupart des déploiements IPv6, il existe certains cas d'utilisation ou configurations de réseau où une fonctionnalité de type NAT est toujours utile. Dans ce cas, des solutions telles que la traduction de préfixes de réseau (NPTv6) ou le protocole de contrôle de port (PCP) peuvent être utilisées pour atteindre des objectifs similaires sans les inconvénients de la NAT traditionnelle en IPv4.
Remarque : Ces solutions doivent être utilisées avec prudence et parcimonie dans les réseaux IPv6, car l'approche par défaut consiste à s'appuyer sur le vaste espace d'adresses du protocole et sur la connectivité de bout en bout. Ces solutions ne remplacent pas la NAT44, elles visent simplement à faciliter l'interopérabilité entre IPv6 et IPv4.
- NPTv6 : Il est utilisé lorsque les réseaux doivent changer le préfixe de leurs adresses IPv6 sans modifier l'identifiant de l'interface. NPTv6 peut être utilisé dans des situations telles que la renumérotation de réseau, le multi-homing et l'application de politiques.
- NAT64: Il traduit les adresses IPv6 en adresses IPv4. Cela permet aux réseaux exclusivement IPv6 d'accéder aux ressources des réseaux IPv4.
- PCP: Le protocole de contrôle de port peut être utilisé dans les réseaux IPv6 pour gérer la manière dont les paquets entrants sont transmis par un dispositif NAT, tel qu'un NAT64.
Le diagramme suivant illustre les différences entre la NAT en IPv4 et deux scénarios IPv6.
- NAT en IPv4
- IPv6 sans NAT
- Traduction de préfixes de réseau (NPTv6).
Voici ce que représente chaque partie du diagramme :
- NAT en IPv4 : Le premier diagramme de réseau montre un hôte local derrière un réseau privé qui est connecté à un réseau IPv4 public par l'intermédiaire d'un routeur/pare-feu mettant en œuvre la NAT. La ligne rouge en pointillés avec des flèches indique le processus de traduction, et l'hôte distant sur le réseau public est représenté comme la cible de la communication.
- IPv6 sans NAT : La deuxième partie montre un hôte local avec une adresse IPv6 connecté directement à internet IPv6 sans NAT, car l'IPv6 permet un grand nombre d'adresses, ce qui rend la NAT inutile pour la conservation des adresses. La ligne verte avec les flèches indique un chemin direct, non traduit, entre l'hôte local et l'hôte distant. Dans ce scénario, chaque appareil dispose généralement d'une adresse IPv6 unique au niveau mondial, ce qui permet une communication directe de bout en bout sans qu'il soit nécessaire de traduire l'adresse.
- NPTv6 : La troisième partie montre un hôte local au sein d'un intranet IPv6 derrière un routeur/pare-feu qui met en œuvre NPTv6 et qui est connecté à internet IPv6. NPTv6 est un mécanisme de traduction du préfixe d'une adresse IPv6, similaire au fonctionnement de la NAT en IPv4, mais qui conserve la partie hôte de l'adresse inchangée. La ligne violette en pointillés indique le processus de traduction du préfixe.
4. FAQ
a. Pouvez-vous fournir un exemple concret illustrant l'efficacité accrue du réseau sans NAT ?
Un bon exemple est Comcast (aujourd'hui Xfinity), l'un des plus grands fournisseurs de services internet des États-Unis. Il est passé à l'IPv6 et a constaté une nette amélioration des performances et de la gestion du réseau. Sans NAT dans son architecture IPv6, le routage était plus simple, la latence réduite et la connectivité améliorée pour ses clients. Cela montre les avantages pratiques de l'IPv6 dans les réseaux à grande échelle et de l'absence de NAT44.
b. Qu'est-ce que la NAT64 ?
NAT64 traduit les adresses IPv6 en adresses IPv4, ce qui permet la communication entre les appareils IPv6 et IPv4. Ce protocole permet aux appareils exclusivement IPv6 d'accéder aux ressources IPv4. NAT64 assure la transition entre IPv4 et IPv6, permettant aux réseaux exclusivement IPv6 d'accéder aux ressources IPv4. Cependant, il peut introduire des complexités telles que la compatibilité des applications et l'épuisement des adresses.
c. Comment le trafic IPv6 peut-il contourner la NAT lors de la connexion aux réseaux IPv4 et préserver la connectivité de bout en bout ?
Il existe des mécanismes dans IPv6, tels que Teredo et 6to4, qui permettent au trafic IPv6 de traverser les dispositifs NAT lors de la connexion aux réseaux IPv4. Ces mécanismes permettent de préserver la connectivité de bout en bout sans recourir à la NAT dans les réseaux IPv6.
5. Conclusion
Bien que la NAT ait joué un rôle essentiel dans la survie du protocole IPv4, il devient désormais obsolète dans l'environnement IPv6, où chaque appareil peut avoir sa propre adresse globale. Ce changement ne se limite pas à rationaliser la connectivité, il marque également le début d'une nouvelle ère d'architecture internet plus efficace, plus sûre et prête à gérer le nombre sans cesse croissant d'appareils connectés.
Avec des exemples de réseaux à grande échelle et des solutions alternatives pour les scénarios de transition, le passage à l'IPv6 n'est pas seulement une mise à jour technique, mais une évolution nécessaire pour l'avenir de la connectivité mondiale.
Je ne suis pas du tout d'accord avec l'idée que tous les hôtes IPv4 sont censés être publiquement connectés à internet. À ma connaissance, aucune disposition de l'IPv6 n'est directement applicable aux réseaux RFC1918 qui ne doivent être connectés que de manière limitée à l'internet. Un autre problème avec IPv6 est que la plupart des personnes qui se connectent à l'internet n'y ont qu'un accès limité, voire aucun accès. Alors pourquoi ne suis-je pas censé désactiver IPv6 alors que je ne le comprends pas correctement et que je n'y ai pas accès ?
Il y a beaucoup de discrimination sur le web à propos de la transition d'IPv4 à IPv6, pourquoi voudriez-vous désactiver IPv6 est commun, et il y a une incapacité d'IPv6 à répondre raisonnablement, à mon avis, aux besoins des réseaux privés. Il y a beaucoup de discrimination sur le fait de vouloir désactiver IPv6 sur un serveur parce qu'il ne peut pas être mis en œuvre correctement, alors que dans de nombreux cas, il ne peut pas être mis en œuvre correctement.
À première vue, un espace d'adressage de 128 bits vers 32 bits semble être une bonne chose. Pas si vite, il y a des problèmes pour supporter un espace d'adressage aussi grand sur une grande partie de l'infrastructure qui fait fonctionner l'Internet. Malheureusement, il n'existe pas d'alternative comme IPX qui soit librement disponible pour les réseaux locaux privés. Novell ne veut même pas prendre en charge IPX ces jours-ci, même si l'on peut dire qu'il serait très raisonnable de migrer les réseaux privés IPv4 en utilisant la NAT pour permettre une connectivité Internet limitée et contrôlée vers IPX et de déployer une passerelle IPX vers IPV6 en cas de besoin, IPv4 vers IPX lorsque IPV6 n'est pas disponible.
L'IPv6 a été développé dans un climat où tout le monde a besoin d'être sur le serveur d'une entreprise accessible par l'internet public. Bien que l'informatique dématérialisée puisse être utilisée à bon escient, je ne veux pas payer mes impôts, conserver mes informations financières ou d'autres informations privées sensibles sur le serveur non sécurisé de quelqu'un qui est accessible à l'échelle mondiale. L'IPv6 n'a jamais été conçu pour répondre à ce problème de protection de la vie privée. Pour autant que je sache, la plus grande force de l'IPv6 est aussi son plus grand inconvénient. Un quintillion d'adresses ? Tout n'a pas besoin d'être sur l'internet. De nouvelles infrastructures sont nécessaires et il faudra beaucoup de temps pour que la plupart des gens disposent de l'infrastructure nécessaire pour avoir accès à l'IPv6 ou même se le voir proposer. Il y a aussi un problème de formation, beaucoup de gens ne savent pas comment déployer l'IPv6 même s'ils y ont accès. J'aimerais que Linux ne l'active pas par défaut. Il est plus difficile qu'il ne devrait l'être de le désactiver. Il y a beaucoup de bogues si vous n'êtes pas connecté à IPv6 ou si vous essayez de le désactiver en faveur d'IPv4, ou les deux.