Annexe D Translation des adresses réseau

Cette annexe décrit les problèmes liés à l'utilisation de Sun Management Center 4.0 dans un environnement Network Address Translation (NAT) et souligne les facteurs ayant un impact sur l'approche globale à adopter pour une solution NAT Sun Management Center.

Cette annexe aborde les sujets suivants.

• Principes de la NAT

• Complexité de la solution NAT

• Configuration de la NAT

• Solution NAT

• Limites de la NAT

• Exemples de NAT

Principes de la NAT

La NAT (Network Address Translation) permet à des serveurs, des hôtes et des consoles se trouvant sur différents réseaux de communiquer entre eux via un réseau interne commun. Une solution NAT met en correspondance un domaine d'adresses locales privées avec un domaine d'adresses publiques. Les mappages peuvent être statiques ou dynamiques.

La NAT prend une importance grandissante dans les environnements clients Sun Management Center. En l'utilisant, les clients atteignent une utilisation plus efficace des adresses réseau et, dans certains cas, permettent d'accéder de façon sécurisée à des réseaux externes depuis des environnements internes sensibles.

Le terme hôte NAT Sun Management Center fait référence à tout hôte exécutant un composant de Sun Management Center (agent, serveur ou console) et devant communiquer avec d'autres composants de Sun Management Center à travers un environnement NAT.

Utilisation des adresses IP avec la NAT

Sun Management Center 4.0 assume que l'adresse IP et le port d'un noeud géré peuvent être utilisés pour identifier de façon unique ce noeud géré au sein d'un contexte serveur et y accéder. En outre, le logiciel assume que l'adresse IP locale et le port d'un noeud géré font autorité.

Le résultat de ces hypothèses est que Sun Management Center utilise de façon intensive les adresses IP pour à la fois ses activités de base et ses activités de gestion. Plus précisément, les adresses réseau sont utilisées dans les domaines suivants :

• communication (SNMP, RMI, Probe, MCP HTTP, ICMP) ;

• découverte d'entités du réseau ;

• gestion d'événements ;

• identification des contextes serveur ;

• identification des noeuds, des objets et des propriétés gérés en utilisant les URL ;

• gestion du contenu des propriétés, par exemple, le module MIB-II ;

• indices des tables de propriétés gérées telles que la table Interfaces MIB-II ;

• génération de clés USEC localisées ;

• divers navigateurs et affichages de console.

Dans les environnements où les composants de Sun Management Center travaillent sur à travers un ou plusieurs traducteurs NAT, les hypothèses relatives à l'unicité et à l'accessibilité des adresses IP locales et des ports des noeuds ne tiennent pas. Par ailleurs, étant donné que les administrateurs peuvent être plus habitués à utiliser l'adresse IP publique d'un noeud, l'utilisation des adresses IP locales pour identifier les noeuds gérés dans un environnement NAT risque de ne plus être intuitive.

Fonctionnement de la NAT

La figure suivante illustre le principe de la translation NAT.

Figure D–1 Schéma illustrant les principes de la NAT

Le sous-réseau privé 10.1.1.0 comporte une machine appelée Machine 1 exécutée derrière NAT 1, lequel utilise l'adresse IP translatée 129.146.63.100 pour toutes les communications partant de la Machine 1 vers des hôtes situés en dehors de NAT 1. Les communications provenant d'hôtes situés en dehors de NAT 1 et en direction de la Machine 1 (129.146.63.100) sont redirigées vers la Machine 1 (10.1.1.1) par NAT 1.

Un second sous-réseau privé (100.1.1.1) comprend une machine appelée Machine 3 (100.1.1.1) exécutée derrière NAT 2, laquelle utilise l'adresse translatée 129.146.63.101 pour assurer les communications en provenance de la Machine 3 vers les hôtes situés en dehors de NAT 2. Les communications partant des hôtes situés à l'extérieur de NAT 2 en direction de la Machine 3 (129.146.63.101) sont redirigées vers l'adresse 100.1.1.1 par NAT 2.

Complexité de la solution NAT

L'utilisation extensive des adresses IP dans Sun Management Center complique le déploiement dans les environnements qui requièrent des traductions d'adresses simples ou proxy. Les adresses apparaissent aux différents niveaux d'intégration : pilotes, bibliothèques, applications et consoles. La solution est encore compliquée par les types des communications qui ont lieu dans Sun Management Center.

Ce logiciel est une application distribuée qui présente les couches suivantes :

• Console

• serveur multicomposant ;

• agent multicomposant.

Les couches du logiciel peuvent résider sur un hôte différent ou sur différents réseaux, qui peuvent être soumis à des règles de routage ou de NAT.

Par ailleurs, les composants console, serveur ou agent d'un système Sun Management Center peuvent potentiellement communiquer avec les composants d'un autre système Sun Management Center sur un autre réseau. Ces aspects accentuent la complexité de la solution.

La NAT permet à Sun Management Center 4.0 de fonctionner dans un environnement réseau où les consoles, les serveurs et les agents sont déployés dans un ou plusieurs domaines d'adressage réseau. Résultat, les consoles, les serveurs et les agents doivent communiquer à travers un ou plusieurs environnements NAT.

La fonctionnalité prend également en charge les opérations entre contextes serveur telles que les domaines de référence distants entre environnements NAT. Avec la NAT, les composants de Sun Management Center peuvent également communiquer avec d'autres composants de Sun Management Center qui font partie du même domaine d'adressage. Sans la NAT, les consoles, les serveurs et les agents de Sun Management Center ne peuvent pas fonctionner à travers plusieurs environnements NAT.

Configuration de la NAT

Les mappages NAT statiques doivent être définis pour chaque hôte NAT Sun Management Center.

Les mappages NAT dynamiques ne sont pas pris en charge pour le fonctionnement de Sun Management Center 4.0 à travers la NAT.

Étant donné que plusieurs ports on définis sont utilisés par Sun Management Center, Sun Management Center ne prend pas en charge la capacité de spécifier des restrictions de port pour la compatibilité NAT par Sun Management Center. Ces ports incluent SNMP, probe, RMI et l'intégration de la console.

Pour assurer la prise en charge des opérations dans un environnement NAT, la NAT permet au logiciel Sun Management Center 4.0 d'utiliser des noms à la place des adresses IP afin d'identifier les autres hôtes Sun Management Center et de communiquer avec eux. Un nom de ce type doit être un alias d'hôte qui puisse être résolu en une adresse IP valide par le biais de services de noms standard. Ce nom doit aussi pouvoir être résolu en une adresse IP appropriée dans les domaines d'adressage pertinents dans lesquels les composants de Sun Management Center sont déployés.

Par conséquent, vous devez définir des alias d'hôtes communs pour tous les hôtes NAT Sun Management Center des mappages d'hôtes faisant partie des domaines d'adressage dans lesquels les composants de Sun Management Center sont installés.

Les alias d'hôte doivent être définis dans les mappages d'hôtes système standard pouvant inclure des éléments tels que des fichiers, (/etc/hosts , NIS, NIS+ et DNS, par exemple). Dans le reste de ce chapitre, il est fait référence à l'alias d'hôte courant comme au nom d'hôte NAT.

Solution NAT

La solution NAT de Sun Management Center est axée sur la cohérence interne afin d'éviter des mécanismes de traduction complexes ou propices à erreurs. Cette solution satisfait l'hypothèse fondamentale relative à l'utilisation des adresses IP dans le logiciel.

Sun Management Center 4.0 fait appel à des identificateurs logiques plutôt qu'à des adresses IP pour identifier de manière unique les noeuds gérés par le logiciel dans les environnements NAT et y accéder. Ces identificateurs peuvent être le nom d'hôte complet d'un noeud géré. Cette méthode permet à Sun Management Center 4.0 d'exploiter l'infrastructure de mappage « nom d'hôte à adresse IP» qui existe dans les systèmes basés sur IP.

Dans les environnements où l'utilisation de noms d'hôtes complets n'est pas appropriée ou pas réalisable, tout nom logique unique et résoluble depuis le domaine d'adressage des couches serveur et agent peut être utilisé. Dans les environnements non-NAT, les identificateurs logiques peuvent être par défaut convertis en adresses IP pour des raisons de compatibilité avec des versions précédentes.

Cette solution requiert que l'identificateur logique soit unique au sein d'un contexte serveur. Les identificateurs logiques doivent pouvoir être résolus en adresses IP valides qui puissent être utilisées pour accéder au noeud géré à travers un environnement NAT. Vous devez pouvoir utiliser les identificateurs logiques pour identifier de façon intuitive les noeuds gérés.

Gardez à l'esprit les points suivants quand vous utilisez la solution NAT de Sun Management Center 4.0 :

• Les mappages NAT statiques doivent être spécifiés pour tous les hôtes NAT de Sun Management Center.

• Vous devez spécifier des entrées de mappage d'hôtes pour tous les hôtes NAT faisant partie des domaines d'adressage réseau au sein desquels les composants de Sun Management Center sont déployés.

• La découverte basée sur les tables de routage utilisant plus d'un saut n'est pas prise en charge par les environnements NAT.

• Une console déployée derrière un traducteur NAT ne fonctionne pas avec un serveur situé au-delà de ce traducteur NAT.

Limites de la NAT

La NAT présente les limites suivantes :

• L'adresse IP doit être unique pour les serveurs de Sun Management Center et les hôtes des agents de Sun Management Center.

• Le nom de l'hôte doit être unique aux hôtes de Sun Management Center. Si le nom d'hôte n'est pas unique, vous aurez la possibilité de choisir l'alias de l'hôte pendant la configuration du logiciel.

• Si le serveur de Sun Management Center est configuré en utilisant la NAT, le nom d'hôte ou l'alias de l'hôte ne doit pas comporter de tirets. Par exemple, n'utilisez pas serveur-un en tant que nom d'un serveur de Sun Management Center si ce serveur est configuré en utilisant la NAT.

Exemples de NAT

Cette section présente des exemples d'environnements NAT simple et double.

Environnement NAT simple

L'exemple NAT de base est un environnement NAT simple où un unique contexte serveur est déployé sur les deux côtés du traducteur NAT.

Figure D–2 Exemple de configuration d'un réseau NAT simple

La figure ci-après représente la console, une couche serveur et un agent déployés dans le réseau 192.168.0.0. Une console et trois agents sont déployés dans le réseau 192.168.1.0 derrière la NAT. Tous les agents, agents distants compris, font partie du contexte serveur géré par la couche serveur sur Hôte B.

Sun Management Center assume que ces composants sont configurés pour fonctionner en mode d'adressage logique des noms d'hôtes. Tous les agents sont, par conséquent, configurés avec Hôte B en tant que destination des trappes et des événements.

Pour prendre en charge cette configuration, les mappes d'hôtes du réseau et NAT répertoriées à la Figure D–2 doivent être complètes. Les trois agents distants situés sur les hôtes E, F et G sont accessibles à partir du réseau 192.168.0.0 via des mappages NAT statiques. Par ailleurs, les identifiants logiques des Hôtes E, F et G doivent aussi être résolus en adresses IP valides dans le réseau 192.168.0.0. Cette étape est effectuée par le biais des mappages d'hôtes pour les Hôtes E, F et G dans le réseau 192.168.0.0.

Pour autoriser les agents distants à nommer Hôte B en tant que destination des trappes et événements, une entrée de mappe d'hôte pour Hôte B est spécifiée dans la mappe des hôtes du réseau 192.168.1.0.

Environnement NAT double

La figure qui suit illustre un exemple plus complexe. Elle représente un environnement NAT double avec trois contextes serveur Sun Management Center avec des domaines de référence distants.

Figure D–3 Exemple de configuration d'un réseau NAT complexe

Dans cette figure, le réseau 192.168.0.0se trouve devant les environnements NAT, tandis que les réseaux 192.168.1.0 et 192.168.2.0 sont derrière ces mêmes environnements NAT. SunScreen 1 fournit au réseau 192.168.0.0 un accès aux hôtes situés sur le réseau 192.168.1.0. SunScreen 2 fournit au réseau 192.168.0.0 l'accès aux hôtes du réseau192.168.2.0. On assume que les mappages NAT sont statiques.

Les mappages d'hôtes dans les trois domaines d'adressage assurent la résolution des noms pour tous les hôtes sur lesquels les composants serveur et agent de Sun Management Center sont déployés. On assume que tous les composants de Sun Management Center ont été configurés avec le mode d'adressage logique des noms d'hôtes.