Variantes NAT
Lors de l'utilisation d'un pare-feu propre ou d'une passerelle de sécurité derrière un Centro Business, différents modes de fonctionnement sont disponibles. Le choix du bon mode est crucial pour la stabilité du réseau, la compatibilité VPN et l'utilisation des services supplémentaires de Swisscom tels que blue TV ou le backup Internet.
Ce guide compare les cinq méthodes disponibles : IP Passthrough, PPP Passthrough, DMZ, NAT 1:1 et Transfert de port. Il sert de base de décision aux spécialistes IT pour assurer une connexion optimale de leur propre infrastructure au réseau Swisscom.
Aperçu
| Fonctionnalité | IP Passthrough | PPP Passthrough | DMZ | NAT 1:1 | Transfert de port |
|---|---|---|---|---|---|
| Hôte IP WAN | 172.31.255.6 | IP publique | IP publique | IP LAN privée | IP LAN privée |
| Taille MTU | 1500 | 1492 | 1500 | 1500 | 1500 |
| Login (PPPoE) | Centro Business | Pare-feu propre | Centro Business | Centro Business | Centro Business |
| Pare-feu Centro Business | Inactif | Inactif | Pare-feu DMZ | Pare-feu LAN | Pare-feu LAN |
| Affectation des ports | Port 1*/5** | Port 1*/5** | Port 1*/5** | Au choix | Au choix |
| Nombre d'IP fixes requis | Aucun | Min. 1 IP fixe | Min. 4 IP fixes | Min. 4 IP fixes | Min. 4 IP fixes |
| Backup Internet | Oui | Non | Oui | Oui | Oui |
| Blue TV | Oui | Oui avec restrictions*** | Oui | Oui | Oui |
* Centro Business 2.0 / ** Centro Business 3.0
*** La radio ainsi que toutes les applications comme Netflix, Youtube, etc. ne fonctionnent pas.
IP Passthrough (Cas particulier Swisscom)
Dans ce procédé, le Centro Business termine la connexion Internet, mais transmet le trafic au pare-feu en aval via un réseau de transfert dédié.
-
Mise en œuvre technique : Swisscom utilise à cet effet un sous-réseau de transfert (172.31.255.4/30). Le pare-feu en aval est configuré avec l'IP statique 172.31.255.6, tandis que le Centro Business effectue un NAT 1:1 automatique de l'IP publique vers cette adresse.
-
Avantages : Support complet de la MTU standard de 1500. De plus, tous les services basés sur le routeur comme la VoIP et blue TV restent pleinement fonctionnels sans configuration supplémentaire.
-
Particularité : Contrairement aux implémentations standard, le pare-feu ne voit pas l'IP publique sur l'interface WAN, mais l'IP du réseau de transfert. Cela doit être pris en compte lors de la configuration du VPN (NAT Traversal).
Cliquez ici pour la page IP Passthrough.
PPP Passthrough (PPPoE)
Annonce
L'utilisation du PPP Passthrough sera progressivement abandonnée au cours des deux à trois prochaines années, car la procédure PPPoE est considérée comme obsolète et est de moins en moins prise en charge par les infrastructures réseau modernes.
Notre recommandation :
Remplacer ce besoin à moyen terme par la fonction DMZ ou IP Passthrough.
Dans ce mode, le Centro Business agit comme un médiateur transparent pour le protocole PPPoE (Point-to-Point Protocol over Ethernet).
-
Configuration : Le pare-feu en aval se charge de la connexion active au réseau Swisscom en utilisant les identifiants du FAI (nom d'utilisateur/mot de passe).
-
Avantage : Le pare-feu reçoit l'adresse IP publique directement sur son interface WAN, ce qui simplifie la gestion des points de terminaison VPN et des ouvertures de ports.
-
Inconvénient : La taille des paquets utilisables est réduite à une MTU de 1492 en raison de l'encapsulation du protocole. Sans ajustement correct (MSS Clamping), cela peut entraîner des pertes de performance importantes ou des interruptions de connexion.
-
Statut : Cette procédure est considérée comme obsolète et ne sera plus prise en charge à moyen terme dans le cadre d'un retrait progressif.
Cliquez ici pour la page PPP Passthrough.
DMZ / Adresses publiques
Ce mode permet l'attribution directe d'adresses IP publiques à des terminaux internes sans aucune intervention NAT.
-
Condition préalable : Nécessite l'option payante « Adresses IP fixes » avec un sous-réseau d'au moins 4 adresses IP statiques (par ex. un réseau /30).
-
Fonctionnement : Une adresse IP publique du sous-réseau loué est attribuée à un appareil spécifique (par ex. serveur ou pare-feu). Le Centro Business agit alors comme un routeur de couche 3 transparent pour ce sous-réseau.
-
Sécurité : Pour protéger le réseau interne, l'accès de la DMZ vers le LAN local (sous-réseau par défaut du routeur) est bloqué par défaut.
-
Avantages : Pas de conflits de paquets liés au NAT, MTU complète de 1500 octets et support complet du backup Internet Swisscom (failover LTE).
Cliquez ici pour la page DMZ (Adresses publiques).
NAT 1:1 (Standard)
Le NAT 1:1 associe de manière fixe une adresse IP privée interne à eine adresse IP publique externe. Contrairement au transfert de port classique (PAT), tous les ports et protocoles sont transmis de manière transparente.
-
Communication bidirectionnelle : L'association entre l'adresse privée et l'adresse publique reste permanente :
-
Inbound : Le trafic entrant vers l'IP publique est entièrement redirigé vers l'IP interne spécifique.
-
Outbound : Le trafic sortant de l'hôte interne apparaît sur Internet de manière cohérente sous l'IP publique attribuée.
-
Cliquez ici pour la page NAT 1:1.
Transfert de port
Le transfert de port est la méthode la plus courante pour rendre des services spécifiques d'un hôte interne (par ex. serveur web sur le port 80/443) accessibles via l'IP publique du Centro Business.
-
Fonctionnement : Les demandes de connexion entrantes vers l'adresse IP publique du routeur sont redirigées vers une adresse IP privée interne spécifique sur la base d'un numéro de port défini.
-
Sécurité : Contrairement aux modes DMZ ou Passthrough, le pare-feu du Centro Business reste actif. Seul le port explicitement autorisé est ouvert ; le reste du trafic vers l'hôte interne reste bloqué.
-
Restriction : Comme l'adresse IP publique est partagée (Port Address Translation - PAT), un port spécifique (par ex. TCP 443) ne peut être redirigé que vers un seul appareil interne à la fois.
Cliquez ici pour la page Transfert de port.
Il vous manque quelque chose ? Donnez-nous votre avis ! pilot@swisscom.com Veuillez décrire dans quel domaine vous attendriez quelque chose ou ce que nous pourrions améliorer.