action.skip
Megaport Documentation
Funktionsweise von NAT auf MCR
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Wie MCR NAT ausführt

Network Address Translation (NAT)Network Address Translation (NAT) ist der Prozess, der die nicht registrierten privaten IP-Adressen, die im privaten internen Netzwerk einer Organisation verwendet werden, in eine einzelne registrierte öffentliche IP-Adresse übersetzt, bevor Pakete an ein externes Netzwerk gesendet werden. NAT ermöglicht privaten IP-Netzen die Nutzung des Internets und der Cloud.
 spart IPv4-Adressraum, indem die nicht registrierten privaten IP-Adressen, die für das private interne Netzwerk einer Organisation verwendet werden, in eine einzelne registrierte öffentliche IP-Adresse übersetzt werden. Diese einzelne öffentliche IP-Adresse wird dann verwendet, um eine Verbindung zu externen Netzwerken herzustellen, wie dem Internet.

Dieses Thema beschreibt, wie NAT auf dem MCR speziell darauf ausgelegt ist, öffentliche Peering-Typen zu Cloud Service Providern zu unterstützen.

Many-to-one NAT mit unterschiedlichen Ports

MCR unterstützt Overload NAT, auch bekannt als Source Overload NAT oder NAT Overload, was eine Form von Many-to-one-NAT ist. Es funktioniert wie folgt:

  • Source NAT (SNAT) – Übersetzt mehrere private IP-Adressen in eine einzelne öffentliche IP-Adresse.
  • Port Address Translation (PAT) – Weist eindeutige Quellports zu, um sicherzustellen, dass jede Verbindung eindeutig bleibt.

Diese Konfiguration unterstützt Egress-Traffic (ausgehende Konnektivität) zu Megaport Marketplace-Partnern und anderen externen Netzwerken, wie dem Internet oder Cloud-Diensten.

Der MCR führt NAT üblicherweise an der Grenze aus, an der zwei Netzwerke verbunden sind. Zum Beispiel übersetzt der MCR die privaten, nicht eindeutigen IP-Adressen vor dem Weiterleiten von Paketen vom internen in das externe Netzwerk in eine einzelne, global eindeutige öffentliche IP-Adresse. Diese Many-to-one-Übersetzung ermöglicht es dem MCR, nach außen nur eine IP-Adresse anzukündigen, während mehrere private Quell-IP-Adressen hinter der IP-Adresse der MCR-Schnittstelle verborgen werden.

Obwohl ein typischer Anwendungsfall darin besteht, private IP-Adressen im internen Netzwerk in eine öffentliche IP-Adresse im externen Netzwerk zu übersetzen, ist dies keine strikte Voraussetzung. Der MCR kann bei Bedarf jede IP-Adresse—privat oder öffentlich—auf beiden Schnittstellen übersetzen.

Hinweis

NAT auf dem MCR ähnelt Ciscos NAT overload oder Checkpoints Hide NAT-Funktionalität.

MCR protokolliert jede IP-Adressübersetzung und Port-Zuweisung in einer NAT-Tabelle, die Tausende gleichzeitiger Übersetzungen verarbeiten kann. Wenn ein Port nicht mehr verwendet wird, gibt MCR ihn frei und führt ihn in den Pool verfügbarer Ports zurück.

Dieses Bild zeigt einen MCR am Rand des Rechenzentrums, der privat mit der Azure Platform as a Service (PaaSPlatform as a Service (PaaS)-Anbieter stellen Anwendungsentwicklern eine Entwicklungsumgebung bereit. Der Anbieter entwickelt in der Regel Toolkits und Standards für die Entwicklung sowie Kanäle für Vertrieb und Zahlung. In den PaaS-Modellen liefern Cloud-Anbieter eine Computing-Plattform, die typischerweise Betriebssystem, Ausführungsumgebung für Programmiersprachen, Datenbank und Webserver umfasst, ohne dass das zugrunde liegende Betriebssystem oder die Host-Architektur verwaltet werden müssen.
) über einen Virtual Cross Connect (VXC) in das öffentliche Azure Peering, bekannt als Microsoft Peering, verbunden ist. Da Microsoft über Microsoft Peering nur öffentliche IPv4-Adressen akzeptiert, übersetzt der MCR die privaten IP-Adressen mithilfe von NAT in öffentliche Adressen. Der MCR bietet den zusätzlichen Vorteil, für diese Verbindung die autonome Systemnummer (ASN) und den öffentlich registrierten IP-Adressraum von Megaport zu verwenden.

NAT

MCR NAT-Beispiel

In diesem Beispiel sitzt MCR logisch zwischen dem Rechenzentrum eines Kunden (10.100.0.0/16) und Azure (West US 13.100.0.0/16). Pakete, die für 13.100.0.0/16 bestimmt sind, werden vom Rechenzentrum an den MCR gesendet.

  1. Das Rechenzentrum sendet ein Paket mit der Quell-IP 10.100.20.10 und der Ziel-IP 13.100.12.136 in Richtung MCR.
    NAT-Beispiel

  2. MCR empfängt das Paket an seiner Inside-Schnittstelle. Beim Egress führt MCR ein SNAT durch, um die Quell-IP-Adresse (10.100.20.10) in die lokale IP-Adresse seiner Outside-Schnittstelle (117.18.84.113) zu übersetzen. Um eine eindeutige Session zu erstellen, führt MCR außerdem ein PAT durch und weist der Session einen eindeutigen TCP- oder UDP-Quellport zu. Die Ziel-IP und der Port bleiben unverändert.
    NAT-Beispiel

  3. Wenn Azure das Paket empfängt, hat es die Quell-IP 117.18.84.113. Azure leitet das Paket an das Ziel 13.100.12.136 weiter und antwortet an die Quelle 117.18.84.113.

  4. Angenommen, Azure erhält ein weiteres Paket von MCR mit der Quell-IP 10.100.5.16 und der Ziel-IP 13.100.14.27. MCR führt ein SNAT auf dieselbe IP-Adresse 117.18.84.113 durch. Der einzige Unterschied ist der TCP/UDP-Quellport, der automatisch von MCR zugewiesen wurde.

Überprüfen der NAT-Zuweisung

MCR konfiguriert die für privates und öffentliches Peering verwendeten VLAN-IDs automatisch, nachdem Sie den Peering-Typ konfiguriert haben. Beim Bereitstellen von VXCs vom MCR zu einem Service Provider konfiguriert MCR standardmäßig das private Peering mit VLAN 100 und das öffentliche Peering mit VLAN 200.

Dieses Bild zeigt MCR mit einem VXC, der eine Verbindung zu Azure herstellt. Während der anfänglichen VXC-Konfiguration wurden sowohl Private als auch Public Microsoft Peering-Typen ausgewählt. Für diese Konfiguration hat MCR automatisch VLAN 100 für privates Peering und VLAN 200 für das öffentliche Microsoft Peering konfiguriert.
NAT-Überprüfung

Das Feld Network Address Translation (NAT) erscheint rechts neben dem Feld Interface IP Addresses. Die NAT Source IP address ist die IP-Adresse der Outside-Schnittstelle des MCR, auf die alle Pakete übersetzt werden.

Hinweis

Wenn mehrere Azure-VXCs auf einem MCR denselben VLAN-100-Tag (privates Peering) und denselben VLAN-200-Tag (öffentliches Peering) nutzen, verwaltet MCR den 802.1Q-Tunnel, auch als Q-in-Q-Tunnel bekannt, für jeden Azure-VXC, der auf dem MCR terminiert. Jedes Azure-VLAN bleibt weiterhin eine eigene logische Schnittstelle. Weitere Informationen finden Sie unter Konfigurieren von Q-in-Q.