NAT-T

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

En réseau informatique, NAT-T (NAT traversal dans le cadre de l'IKE) est une méthode permettant aux datagrammes IPsec de traverser un réseau utilisant du NAT.

En effet, le PAT, type de NAT ne s'applique qu'aux protocoles UDP et TCP (couche 4 du modèle OSI) pour discriminer les différents flux IP. Or IPSec (Internet Protocol Security) est un protocole de couche 3 uniquement, il ne possède pas de couche 4. De ce fait, il n'est pas compatible avec le PAT.

Cependant, il est toujours possible d'utiliser le protocole NAT-T qui encapsule les paquets IPsec dans des paquets UDP permettant à ces derniers de traverser un réseau « natté » avec du PAT. La négociation du NAT-T durant l'IKE est définie par la RFC 3947 et l'encapsulation proprement dite est quant à elle définie dans la RFC 3948.

Cisco a développé son propre protocole de tunnel pour traverser un réseau naté. Il permet d'utiliser IPSec sur TCP ou bien UDP.

Les principaux constructeurs de matériel réseau supportent le NAT-T pour l'IKEv1. En outre, cette fonctionnalité existe aussi dans Microsoft Windows XP avec le SP2, mais elle doit être activée volontairement[1], en raison de problèmes de sécurité[2].

Références[modifier | modifier le code]

  • RFC 3715: IPsec-Network Address Translation (NAT) Compatibility Requirements
  • RFC 3947: Negotiation of NAT-Traversal in IKE
  • RFC 3948: UDP Encapsulation of IPsec ESP Packets
  1. http://support.microsoft.com/kb/818043/en-us
  2. http://support.microsoft.com/kb/885348/en-us