Annexe D Traduction des adresses réseau

Cette annexe décrit les points relatifs à l'utilisation de Sun Management Center 3.6 dans un environnement NAT, et souligne les facteurs qui affectent l'approche globale à adopter pour une solution NAT Sun Management Center NAT.

Ce chapitre présente les points suivants.

• Principes de la NAT

• Complexité de la solution NAT

• Configuration de la NAT

• Solution NAT

• Limites de la NAT

• Exemples de NAT

Principes de la NAT

La traduction des adresses réseau (NAT) permet à des serveurs, des hôtes et des consoles se trouvant sur différents réseaux de communiquer les uns avec les autres à travers un réseau interne commun. Une solution NAT met en correspondance un domaine d'adresses locales privées avec un domaine d'adresses publiques. Les mappages peuvent être statiques ou dynamiques.

La NAT prend une importance grandissante dans les environnements clients Sun Management Center. En l'utilisant, les clients atteignent une utilisation plus efficace des adresses réseau et, dans certains cas, permettent d'accéder de façon sécurisée à des réseaux externes depuis des environnements internes sensibles.

Le terme hôte NAT Sun Management Center fait référence à tout hôte exécutant un composant de Sun Management Center (agent, serveur ou console) et devant communiquer avec d'autres composants de Sun Management Center à travers un environnement NAT.

Utilisation des adresses IP avec la NAT

Sun Management Center 3.6 assume que l'adresse IP et le port d'un noeud géré peuvent être utilisés pour identifier de façon unique ce noeud géré au sein d'un contexte serveur et y accéder. En sus, le logiciel assume que l'adresse IP locale et le port d'un noeud géré font autorité.

Le résultat de ces hypothèses est que Sun Management Center utilise de façon intensive les adresses IP pour à la fois ses activités de base et ses activités de gestion. Plus précisément, les adresses réseau sont utilisées dans les domaines suivants :

• communication (SNMP, RMI, Probe, MCP HTTP, ICMP) ;

• découverte d'entités du réseau ;

• gestion d'événements ;

• identification des contextes serveur ;

• identification des noeuds, des objets et des propriétés gérés en utilisant les URL ;

• gestion du contenu des propriétés, par exemple, le module MIB-II ;

• indices des tables de propriétés gérées telles que la table Interfaces MIB-II ;

• génération de clés USEC localisées ;

• divers navigateurs et affichages de console.

Dans les environnements où les composants de Sun Management Center travaillent sur à travers un ou plusieurs traducteurs NAT, les hypothèses relatives à l'unicité et à l'accessibilité des adresses IP locales et des ports des noeuds ne tiennent pas. Par ailleurs, étant donné que les administrateurs peuvent être plus habitués à utiliser l'adresse IP publique d'un noeud, l'utilisation des adresses IP locales pour identifier les noeuds gérés dans un environnement NAT risque de ne plus être intuitive.

Fonctionnement de la NAT

La figure suivante illustre le principe de fonctionnement de la NAT.

Figure D–1 Schéma illustrant les principes de la NAT

Le sous-réseau privé 10.1.1.0 a une machine appelée Machine 1 exécutée derrière NAT 1, qui utilise l'adresse IP traduite 129.146.63.100 pour toutes les communications de la Machine 1vers des hôtes situés au-delà de NAT 1. Les communications provenant d'hôtes situés au-delà de NAT 1en direction de la Machine 1 (129.146.63.100) sont réacheminées sur la Machine 1 (10.1.1.1) par NAT 1.

Un second sous-réseau privé (100.1.1.1) a une machine Machine 3 (100.1.1.1) exécutée derrière NAT 2, qui utilise l'adresse 129.146.63.101 (une adresse IP traduite) pour les communications de la Machine 3 vers des hôtes situés au-delà de NAT 2. Les communications émanant d'hôtes situés au-delà de NAT 2 vers la Machine 3 (129.146.63.101) sont réacheminées sur 100.1.1.1 par NAT 2.

Complexité de la solution NAT

L'utilisation extensive des adresses IP dans Sun Management Center complique le déploiement dans les environnements qui requièrent des traductions d'adresses simples ou proxy. Les adresses apparaissent aux différents niveaux d'intégration : pilotes, bibliothèques, applications et consoles. La solution est encore compliquée par les types des communications qui ont lieu dans Sun Management Center.

Ce logiciel est une application distribuée qui présente les couches suivantes :

• Console

• serveur multicomposant ;

• agent multicomposant.

Les couches du logiciel peuvent résider sur un hôte différent ou sur différents réseaux, qui peuvent être soumis à des règles de routage ou de NAT.

Par ailleurs, les composants console, serveur ou agent d'un système Sun Management Center peuvent potentiellement communiquer avec les composants d'un autre système Sun Management Center sur un autre réseau. Ces aspects accentuent la complexité de la solution.

La NAT permet à Sun Management Center 3.6 de fonctionner dans un environnement réseau où les consoles, les serveurs et les agents sont déployés dans un ou plusieurs domaines d'adressage réseau. Résultat, les consoles, les serveurs et les agents doivent communiquer à travers un ou plusieurs environnements NAT.

La fonctionnalité prend également en charge les opérations entre contextes serveur telles que les domaines de référence distants entre environnements NAT. Avec la NAT, les composants de Sun Management Center peuvent également communiquer avec d'autres composants de Sun Management Center qui font partie du même domaine d'adressage. Sans la NAT, les consoles, les serveurs et les agents de Sun Management Center ne peuvent pas fonctionner à travers plusieurs environnements NAT.

Configuration de la NAT

Les mappages NAT statiques doivent être définis pour chaque hôte NAT Sun Management Center.

Les mappages NAT dynamiques ne sont pas pris en charge pour le fonctionnement de Sun Management Center 3.6 à travers la NAT.

Etant donné que plusieurs ports non-définis sont utilisés par Sun Management Center, Sun Management Center ne prend pas en charge la capacité de spécifier des restrictions de port pour la prise en charge de la NAT par Sun Management Center NAT. Ces ports incluent SNMP, probe, RMI et l'intégration de la console.

Pour prendre en charge le fonctionnement dans un environnement NAT, la NAT permet au logiciel Sun Management Center 3.6 d'utiliser des noms à la place des adresses IP pour identifier d'autres hôtes de Sun Management Center et communiquer avec eux. Un nom de ce type doit être un alias d'hôte qui puisse être résolu en une adresse IP valide par le biais de services de noms standard. Ce nom doit aussi pouvoir être résolu en une adresse IP appropriée dans les domaines d'adressage pertinents dans lesquels les composants de Sun Management Center sont déployés.

Par conséquent, les alias d'hôte communs pour tous les hôtes NAT de Sun Management Center doivent être définis dans les mappes d'hôtes de tous les domaines d'adressage dans lesquels les composants de Sun Management Center sont installés.

Les alias des hôtes doivent être définis dans les mappes d'hôte système standard qui peuvent inclure des éléments tels que, par exemple, les fichiers /etc/hosts , NIS, NIS+ et DNS. Dans le reste de ce chapitre, il est fait référence à l'alias d'hôte courant comme au nom d'hôte NAT.

Solution NAT

La solution NAT de Sun Management Center est axée sur la cohérence interne afin d'éviter des mécanismes de traduction complexes ou propices à erreurs. Cette solution satisfait l'hypothèse fondamentale relative à l'utilisation des adresses IP dans le logiciel.

Sun Management Center 3.6 utilise des identifiants logiques, à la place des adresses IP, pour identifier de façon unique les noeuds gérés par le logiciel dans les environnements NAT et y accéder. Ces identifiants peuvent être le nom d'hôte complet d'un noeud géré. Cette méthode permet à Sun Management Center 3.6 d'exploiter l'infrastructure de mappage « nom d'hôte à adresse IP» qui existe dans les systèmes basés sur IP.

Dans les environnements où l'utilisation de noms d'hôtes complets n'est pas appropriée ou pas réalisable, tout nom logique unique et résoluble depuis le domaine d'adressage des couches serveur et agent peut être utilisé. Dans les environnements non-NAT, les identifiants logiques peuvent être par défaut convertis en adresses IP pour des raisons de compatibilité avec des versions précédentes.

Cette solution requiert que l'identifiant logique soit unique au sein d'un contexte serveur. Les identifiants logiques doivent pouvoir être résolus en adresses IP valides qui puissent être utilisées pour accéder au noeud géré à travers un environnement NAT. Vous devez pouvoir utiliser les identifiants logiques pour identifier de façon intuitive les noeuds gérés.

Gardez à l'esprit les points suivants quand vous utilisez la solution NAT de Sun Management Center 3.6 :

• Les mappages NAT statiques doivent être spécifiés pour tous les hôtes NAT de Sun Management Center.

• Des entrées de mappe d'hôtes doivent être spécifiées pour tous les hôtes NAT dans tous les domaines d'adressage réseau dans lesquels les composants de Sun Management Center sont déployés.

• La découverte basée sur les tables de routage utilisant plus de un saut n'est pas prise en charge à travers les environnements NAT.

• Une console déployée derrière un traducteur NAT ne fonctionne pas avec un serveur situé au-delà de ce traducteur NAT.

Limites de la NAT

La NAT présente les limites suivantes :

• L'adresse IP doit être unique pour les serveurs de Sun Management Center et les hôtes des agents de Sun Management Center.

• Le nom de l'hôte doit être unique aux hôtes de Sun Management Center. Si le nom d'hôte n'est pas unique, vous aurez la possibilité de choisir l'alias de l'hôte pendant la configuration du logiciel.

• Si le serveur de Sun Management Center est configuré en utilisant la NAT, le nom d'hôte ou l'alias de l'hôte ne doit pas comporter de tirets. Par exemple, n'utilisez passerveur-un comme nom de serveur de Sun Management Center si ce serveur est configuré en utilisant la NAT.

• Exécuter la console sur des hôtes situés derrière le traducteur NAT et exécuter le serveur au-delà du traducteur NAT n'est pas pris en charge.

Exemples de NAT

Cette section contient un exemple d'environnement NAT simple et un exemple d'environnement NAT double.

Environnement NAT simple

L'exemple NAT de base est un environnement NAT simple où un unique contexte serveur est déployé sur les deux côtés du traducteur NAT.

Figure D–2 Exemple de configuration d'un réseau NAT simple

La figure ci-après représente la console, une couche serveur et un agent déployés dans le réseau 192.168.0.0. Une console et trois agents sont déployés dans le réseau 192.168.1.0 derrière la NAT. Tous les agents, agents distants compris, font partie du contexte serveur géré par la couche serveur sur Hôte B.

Sun Management Center assume que ces composants sont configurés pour fonctionner en mode d'adressage logique des noms d'hôtes. Tous les agents sont, par conséquent, configurés avec Hôte B en tant que destination des trappes et des événements.

Pour prendre en charge cette configuration, les mappes d'hôtes du réseau et NAT répertoriées à la Figure D–2 doivent être complètes. Les trois agents distants sur les Hôtes E, F et G sont accessibles depuis le réseau 192.168.0.0 en utilisant les mappages NAT statiques. Par ailleurs, les identifiants logiques des Hôtes E, F et G doivent aussi être résolus en adresses IP valides dans le réseau 192.168.0.0. Cette étape est effectuée par le biais des mappages d'hôtes pour les Hôtes E, F et G dans le réseau 192.168.0.0.

Pour autoriser les agents distants à nommer Hôte B en tant que destination des trappes et événements, une entrée de mappe d'hôte pour Hôte B est spécifiée dans la mappe des hôtes du réseau 192.168.1.0.

Environnement NAT double

La figure qui suit illustre un exemple plus complexe. Elle représente un environnement NAT double avec trois contextes serveur Sun Management Center avec des domaines de référence distants.

Figure D–3 Exemple de configuration d'un réseau NAT complexe

Dans cette figure, le réseau 192.168.0.0se trouve devant les environnements NAT, tandis que les réseaux 192.168.1.0 et 192.168.2.0 sont derrière ces mêmes environnements NAT. SunScreen 1 fournit au réseau 192.168.0.0 l'accès aux hôtes du réseau 192.168.1.0. SunScreen 2 fournit au réseau 192.168.0.0 l'accès aux hôtes du réseau192.168.2.0. On assume que les mappages NAT sont statiques.

Les mappes d'hôtes dans les trois domaines d'adressage assurent la résolution des noms pour tous les hôtes sur lesquels les composants serveur et agent de Sun Management Center sont déployés. On assume que tous les composants de Sun Management Center ont été configurés avec le mode d'adressage logique des noms d'hôtes.