Retour à la page d'accueil

Mise en oeuvre par certains sites

Ces sites ont présenté leur expérience dans l'implémentation de ce mécanisme et ont exposé les problèmes et limitations rencontrés tout en soulignant les avantages que cette solution a apportés. Ces diverses questions ont conduit à la rédaction d'une FAQ.
  

Université de Lille (Dominique Marant)

NAT est mis en oeuvre sur 2 Cisco 760 interconnectant 2 sites distants via RNIS au site principal via un Cisco 2500. Ces sites utilisent les services de messagerie, Web, News et possèdent quelques serveurs accessibles de l'Internet

Utilisation de 2 subnets (1 pour chaque site : 254 adresses statiques possibles) de la classe B attribuée au réseau universitaire principal

La traduction dynamique n'est pas utilisée, par manque de logs pour auditer en cas de problèmes de sécurité. Seul l'adressage statique est utilisé et concerne les serveurs déportés sur ces sites (environ une dizaine de machines?). Les postes clients accèdent aux divers serveurs du Campus qui sont utilisés en tant que proxy pour sortir sur l'Internet.

Pas de problèmes de migration, car il s'agit de petits sites nouveaux.

Université de La Rochelle (Frédéric Bret- Jean-Marc Coris)

La mise en place d'un réseau haut débit commuté à 100 Mb/s sur le site de La Rochelle a mis en évidence, entre autres, le besoin d'adresses. Celui-ci a d'abord été résolu par l'installation d'un PIX (pour ses fonctions de traduction d'adresses et non de sécurité) qui s ést révélé insuffisant. L'upgrade financier nécessaire trop important a conduit à utiliser la fonctionnalité logicielle NAT sur le routeur d'accès au réseau (série 7000)

Le réseau du Campus comporte environ 600 machines, deux réseaux logiques et des sites distants.

Certains services sont déclarés en statique. De même la traduction dynamique n'est pas utilisée pour X-Window.

La migration s'est effectuée en douceur (une dizaine de jours avec perturbation minimale) , compte tenu d'une préparation préalable:

  • mise en place d'un DNS interne
  • mise en place des tables utilisées par BOOT, DHCP, Windows etc..

Les réseaux des étudiants sont limités via l'utilisation de proxy.

L'administration allégée,le plan d'adressage facilité par l'utilisation d'une classe A privée en interne constituent des avantages considérables.

Université de Tours (Didier Pin, Bruno Nicolas)

Le réseau universitaire de Tours est constitué d'une multitude de sites répartis interconnectés. Chaque site contient trois réseaux physiques différents (Pédagogie, Gestion, Recherche) . Un besoin important d'adresses IP a conduit à mettre en oeuvre le NAT. Une classe A privée a été choisie pour les adresses locales ainsi que 8 blocs d'adresses classe C pour les adresses statiques.

Le réseau comporte aujourd'hui environ 1600 machines. L'adressage dynamique est utilisé pour les réseaux de la Gestion, Pédagogie et Recherche tourné vers l'intérieur. L'adressage statique est utilisé pour la Recherche tournée vers l'extérieur.

Quelques problèmes ont éte rencontrés lors de la mise en oeuvre , en particulier la nécessite de configurer un DNS Interne et un DNS externe, et la nécessité de donner une adresse statique à des machines utilisant des services vérifiant l'adresse d'origine.

D'autre part, la mise en oeuvre de ce mécanisme a une mauviase image auprès des spécialistes "réseaux" du fait de l'accès restrictif imposé qui va a l'encontre de l'esprit d'ouverture de l'Internet.

Université de Brest (Michel Blanchard, Alain Coustance)

Le NAT a été mis en oeuvre sur deux sites distants dont un des sites utilisent un réseau commuté 100 Mb/s avec Vlans (origine Cabletron) comportant trois réseaux logiques (recherche, gestion, management).

Deux classe B privées contigues (172.16 et 172.17) ont été utilisées pour l'adressage local interne. La traduction dynamique est utilisée sauf pour:

  • les serveurs et micros utilisant NFS à travers le réseau régional
  • une station sur le MBone
  • les postes de client dédiés à la gestion (car installation de tcp_wrapper qui demande des adresses IP globales)
  • les serveurs DNS secondaire, WWW, FTP, Mail du Campus

Ces adresses IP globales sont d'ailleurs déclarées sur l'interface (pas d'utilisation de l'adressage statique). On n'utilise pas la fonctionnalité d'overloading pour permettre les accès X distants.

Un upgrade mémoire de 16 MB du Cisco 4500 a dû être effectué pour installer le NAT avec la version 11.2 (coût global : 9KF HT)

Présentation du site

INSA-Rennes (Marc Leroux)

Le NAT a été installé sur une plate-forme de tests pour étude d'une solution permettant de répondre à 2 soucis::

  • en finir avec les problèmes liés à la limitation des adresses IP
  • améliorer la sécurité de manière sensible avec des investissements humains et financiers minimes.

Pour la mise en exploitation du NAT, deux problèmes importants n'ont pas encore trouvé de solution:

  • la nécessité d'un log des translations pour les recherches éventuelles de piratage en provenance de notre site
  • comment faire cohabiter le NAT et les échanges historiques nombreux (NFS et autres) existants entre l'INSA et les composantes de l'Université de Rennes1.

Université de Toulon (Didier Benza)

Le réseau de l'Université de Toulon et du Var est architecturé autour d'un routeur central Cisco 4500 auquel sont raccordés les sites extérieurs au campus principal, le réseau Gestion, le réseau Enseignement/Recherche et le réseau d'interconnexion Renater (environ 900 machines)

L'adressage statique est utilisé pour une dizaine de machines accèdées de l'extérieur. Les autres machines utilisent la translation dynamique étendue (overloading). Une classe A privée est utilisée pour les machines locales, une classe C est utilisée pour les adresses globales.

La migration s'est effectuée très rapidement (une heure environ) et sans aucun problème, moyennant une préparation importante et un mode d'emploi préalables.

Quelques problèmes ont été rencontrés : surcharge des adresses statiques, routage (voir FAQ). Reste la limitation des applications multicast pour lesquelles une parade doit être trouvée en attendant la prise en compte par le logiciel.

Le NAT a apporté une grande souplesse pour la renumérotation des machines internes, permettant de définir le réseau idéal. Le NAT apporte aussi une impression de sécurité renforcée (en masquant les adresses internes) ce qui a pour conséquence négative , de diminuer la vigilance des administrateurs dans ce domaine.
© Unité RÉseaux du CNRS Écrivez nous