NAT-Ausführung auf MCR

Network Address Translation (NAT) spart IPv4-Adressraum, indem es die nicht registrierten privaten IP-Adressen, die für das private innere Netzwerk einer Organisation verwendet werden, in eine einzige registrierte öffentliche IP-Adresse übersetzt. Diese einzelne öffentliche IP-Adresse wird dann für die Verbindung mit externen Netzwerken wie dem Internet verwendet.

Unter diesem Thema wird beschrieben, wie NAT auf dem MCR speziell für die Unterstützung öffentlicher Peering-Typen zu Cloud Service Providern ausgelegt ist.

n:1-NAT mit unterschiedlichen Ports

NAT wird vom MCR an der Grenze durchgeführt, an der zwei Netzwerke miteinander verbunden sind. Bevor Pakete vom inneren Netzwerk an das äußere Netzwerk weitergeleitet werden, übersetzt MCR die privaten, nicht eindeutigen IP-Adressen in eine einzige, weltweit eindeutige öffentliche IP-Adresse. Diese n:1-Übersetzung ermöglicht es dem MCR, nur eine IP-Adresse nach außen hin bekannt zu geben, während er hinter der IP-Adresse der MCR-Schnittstelle mehrere private Quell-IP-Adressen versteckt. Um eine eindeutige Sitzung zu erstellen, weist MCR der öffentlichen IP-Adresse eine andere TCP- oder UDP-Quellportnummer zu.

Um mehrere IP-Adressen auf eine einzige IP-Adresse abzubilden, verwendet MCR-NAT eine Kombination aus Source-NAT (SNAT) und Port Address Translation (PAT).

Hinweis

NAT auf dem MCR ist vergleichbar mit NAT-Overload von Cisco oder Hide NAT-Funktionalität von Checkpoint.

MCR behält den Überblick über jede IP-Adressübersetzung und Portzuweisung in einer NAT-Tabelle, die Tausende von gleichzeitigen Übersetzungen verarbeiten kann. Wenn ein Port nicht mehr verwendet wird, gibt MCR ihn frei und gibt ihn an den Pool der verfügbaren Ports zurück.

Die folgende Abbildung zeigt einen MCR am Rechenzentrums-Edge, der sich privat mit der Azure Platform as a Service (PaaS) und einer Virtual Cross Connect (VXC)-Verbindung in das öffentliche Azure-Peering, bekannt als Microsoft Peering, verbindet. Da Microsoft nur öffentliche IPv4-Adressen über Microsoft Peering akzeptiert, übersetzt der MCR die privaten IP-Adressen mit NAT in öffentliche Adressen. Der MCR bietet den zusätzlichen Vorteil, dass er für diese Verbindung die Nummer des autonomen Systems (ASN) und den öffentlich registrierten IP-Raum von Megaport verwendet.

NAT

Beispiel für MCR-NAT

In diesem Beispiel befindet sich der MCR logischerweise zwischen dem Rechenzentrum eines Kunden (10.100.0.0/16) und Azure (West US 13.100.0.0/16). Pakete, die für 13.100.0.0/16 bestimmt sind, werden vom Rechenzentrum an den MCR gesendet.

  1. Das Rechenzentrum sendet ein Paket mit einer Quell-IP von 10.100.20.10 und einer Ziel-IP von 13.100.12.136 in Richtung des MCR.
    NAT-Beispiel

  2. MCR empfängt das Paket auf seiner internen Schnittstelle. Beim Austritt führt MCR eine SNAT durch, um die Quell-IP-Adresse (10.100.20.10) in die lokale IP-Adresse seiner äußeren Schnittstelle (117.18.84.113) zu übersetzen. Um eine eindeutige Sitzung zu erstellen, führt MCR auch eine Portadressübersetzung (PAT) durch und weist der Sitzung einen eindeutigen TCP- oder UDP-Quellport zu. Die Ziel-IP und der Port werden beibehalten.
    NAT-Beispiel

  3. Wenn Azure das Paket empfängt, hat es eine Quell-IP von 117.18.84.113. Azure leitet das Paket an das Ziel 13.100.12.136 weiter und antwortet zurück an die Quelle unter 117.18.84.113.

  4. Angenommen, Azure empfängt ein weiteres Paket von MCR mit einer Quell-IP von 10.100.5.16 und einer Ziel-IP von 13.100.14.27. MCR führt eine SNAT an die gleiche IP-Adresse 117.18.84.113 durch. Der einzige Unterschied ist der TCP/UDP-Quellport, der von MCR automatisch zugewiesen wurde.

Verifizierung der NAT-Zuweisung

MCR konfiguriert die für privates und öffentliches Peering verwendeten VLAN-IDs automatisch, nachdem Sie den Peering-Typ konfiguriert haben. Bei der Bereitstellung von VXCs vom MCR für einen Dienstanbieter konfiguriert der MCR das private Peering standardmäßig mit VLAN 100 und das öffentliche Peering mit VLAN 200.

Die folgende Abbildung zeigt den MCR mit einer VXC, die sich mit Azure verbindet. Bei der anfänglichen VXC-Konfiguration wurden die beiden Peering-Typen „Private“ und „Public Microsoft“ ausgewählt. Für diese Konfiguration wird MCR automatisch für VLAN 100 zur Unterstützung des privaten Peering und VLAN 200 zur Unterstützung des öffentlichen Microsoft-Peering konfiguriert.
NAT-Verifizierung

Auf der Registerkarte „VLAN 200“ wird unten auf der Seite unter den Verbindungsdetails das Feld „NAT IP Address“ angezeigt. Dies ist die IP-Adresse der externen Schnittstelle des MCR, an die alle Pakete übersetzt werden.

Hinweis

Wenn mehrere Azure VXCs auf einem MCR dasselbe VLAN 100-Tag (privates Peering) und dasselbe VLAN 200-Tag (öffentliches Peering) verwenden, verwaltet MCR den 802.1Q-Tunnel, der auch als Q-in-Q-Tunnel bezeichnet wird, für jede Azure VXC, die auf dem MCR endet. Jedes Azure-VLAN ist weiterhin eine separate logische Schnittstelle. Weitere Informationen dazu finden Sie unter Konfigurieren von Q-in-Q.

Die folgende Tabelle fasst die unterstützten MCR-NAT-Konfigurationen und Anwendungsfälle zusammen, die durch ein gekennzeichnet sind. Sie enthält auch Konfigurationen, die nicht gut passen, was durch ein X angezeigt wird.

MCR-NAT-Typ MCR-NAT-Anwendungsfall
NAT Overload Verbindung zu öffentlichen Diensten von Cloud Service Providern
Hide NAT Verbindung zu SaaS- und PaaS-Diensten
Source NAT X Verbindung zu Megaport Marketplace-Partnern
Destination NAT X Reserviert den IP-Adressraum für ausgehenden Datenverkehr
Static NAT Pool X Erlaubt eingehenden Zugriff aus dem Internet X
Dynamic NAT Pool X Routing zwischen sich überlappenden Netzwerken X

Letztes Update: