Ejecución de la NAT en el MCR

La traducción de direcciones de red (NAT) conserva el espacio de direcciones IPv4, ya que traduce las direcciones IP privadas sin registrar que se usan en la red interna privada de una organización a una única dirección IP pública registrada. Esta dirección IP pública se utiliza para conectarse a redes externas, como internet.

Este tema describe cómo la NAT del MCR se ha diseñado para admitir concretamente tipos de emparejamiento público a los proveedores de servicios en la nube.

NAT de varios a uno mediante puertos diferentes

El MCR ejecuta NAT en la frontera donde se conectan dos redes. Antes de reenviar los paquetes de la red interna a la externa, MCR traduce las direcciones IP privadas no únicas a una única dirección IP pública global. Esta traducción de varios a uno permite que el MCR anuncie solo una dirección IP al mundo exterior y oculte una serie de direcciones IP de origen privadas tras la dirección IP de la interfaz del MCR. Para crear una sesión única, el MCR asigna un número de puerto de origen TCP o UDP diferente a la dirección IP pública.

Para asignar varias direcciones IP a una única dirección IP, la NAT en el MCR utiliza una combinación de NAT de origen (SNAT) y traducción de direcciones de puerto (PAT).

Nota

La NAT en el MCR es similar a la sobrecarga NAT de Cisco o a la funcionalidad Hide NAT (Ocultar NAT) de Checkpoint.

El MCR mantiene un registro de la traducción de direcciones IP y la asignación de puertos en una tabla NAT, que puede gestionar miles de traducciones concurrentes. Cuando un puerto deja de usarse, el MCR lo libera y lo devuelve al conjunto de puertos disponibles.

Esta figura muestra un MCR en el perímetro del centro de datos, que se conecta de forma privada a la plataforma como servicio (PaaS) de Azure mediante una conexión cruzada virtual (VXC) en el emparejamiento público de Azure, denominado «emparejamiento de Microsoft». Dado que Microsoft solo acepta direcciones IPv4 públicas a través del emparejamiento Microsoft, el MCR traduce las direcciones IP privadas a direcciones públicas con la NAT. El MCR proporciona la ventaja añadida de utilizar el número de sistema autónomo (ASN) de Megaporty el espacio IP registrado públicamente para esta conexión.

NAT

Ejemplo de NAT en el MCR

En este ejemplo, MCR se ubica de forma lógica entre el centro de datos de un cliente (10.100.0.0/16) y Azure (West US 13.100.0.0/16). Los paquetes destinados a 13.100.0.0/16 se envían del centro de datos al MCR.

  1. El centro de datos envía un paquete con una IP de origen 10.100.20.10 y una IP de destino 13.100.12.136 al MCR.
    Ejemplo de NAT

  2. El MCR recibe el paquete en su interfaz interior. Al salir, el MCR ejecuta una SNAT para traducir la dirección IP de origen (10.100.20.10) a la dirección IP local de su interfaz exterior (117.18.84.113). Para crear una sesión única, el MCR también ejecuta una traducción de direcciones de puerto (PAT) y asigna a la sesión un puerto de origen TCP o UDP único. La IP y el puerto de destino no se modifican.
    Ejemplo de NAT

  3. Cuando Azure recibe el paquete, este último tiene una IP de origen 117.18.84.113. Azure reenvía el paquete al destino 13.100.12.136 y responde al origen en 117.18.84.113.

  4. Supongamos que Azure recibe otro paquete del MCR con una IP de origen 10.100.5.16 y una IP de destino 13.100.14.27. El MCR ejecuta una SNAT a la misma dirección IP 117.18.84.113. La única diferencia es el puerto de origen TCP/UDP, que el MCR ha asignado automáticamente.

Comprobación de la asignación de NAT

El MCR configura automáticamente los ID de VLAN utilizados para los emparejamientos privado y público después de configurar el tipo de emparejamiento. Cuando se aprovisionan VXC desde el MCR a un proveedor de servicios, el MCR configura el emparejamiento privado con VLAN 100 y el emparejamiento público con VLAN 200 de forma predeterminada.

Esta figura muestra el MCR con una VXC que se conecta a Azure. Durante la configuración inicial de VXC, se seleccionaron los tipos de emparejamiento de Microsoft Private (Privado) y Public (Público). Para esta configuración, el MCR configuró automáticamente la VLAN 100 para que admitiera el emparejamiento privado y la VLAN 200 para que admitiera el emparejamiento público de Microsoft.
Comprobación de la NAT

El campo NAT IP Address (Dirección IP de NAT) aparece a la derecha de Interface IP Addresses (Direcciones IP de la Interfaz). La dirección IP de origen de la NAT es la dirección IP de la interfaz exterior del MCR a la que se traducirán los paquetes.

Nota

Si varias VXC de Azure en un MCR completan la misma etiqueta VLAN 100 (emparejamiento privado) y la misma etiqueta VLAN 200 (emparejamiento público), el MCR administrará el túnel 802.1Q, también denominado «túnel de Q-in-Q», para cada VXC de Azure que termina en el MCR. Cada VLAN de Azure seguirá siendo una interfaz lógica independiente. Para obtener más detalles, consulte Configuración de Q-in-Q.

Esta tabla resume las configuraciones admitidas de NAT en el MCR y los casos de uso, que se indican con . También incluye las configuraciones cuyo ajuste es incorrecto, que se indican con X.

Tipo de NAT en el MCR Caso de uso de NAT en el MCR
NAT Overload (Sobrecarga de la NAT) Conectividad a los servicios públicos de los proveedores de servicios en la nube
Hide NAT (Ocultar NAT) Conectividad a servicios SaaS y PaaS
Source NAT (NAT de Origen) X Conectividad con los asociados del Marketplace de Megaport
Destination NAT (NAT de Destino) X Reserva del espacio de direcciones IP para el tráfico saliente
Static NAT Pool (Conjunto de NAT Estático) X Mantenimiento del acceso entrante desde internet X
Dynamic NAT Pool (Conjunto de NAT Dinámico) X Enrutamiento entre redes superpuestas X

Última actualización: