Comment le MCR réalise la NAT

La traduction d’adresse réseau (NAT) permet de conserver l’espace d’adressage IPv4 en traduisant les adresses IP privées non enregistrées utilisées pour le réseau interne privé d’une entreprise en une seule adresse IP publique enregistrée. Cette adresse IP publique unique est ensuite utilisée pour se connecter à des réseaux externes, comme Internet.

Cette rubrique décrit comment la NAT sur le MCR est conçue pour prendre en charge spécifiquement les types de peering public vers les fournisseurs de services cloud.

NAT plusieurs-à-un en utilisant différents ports

La NAT est effectuée par le MCR à la limite où deux réseaux sont connectés. Avant de transmettre les paquets du réseau interne au réseau externe, MCR traduit les adresses IP privées et non uniques en une adresse IP publique et globalement unique. Cette traduction plusieurs-à-un permet au MCR de communiquer une seule adresse IP au monde extérieur, tout en cachant plusieurs adresses IP privées derrière l’adresse IP de l’interface MCR. Pour créer une session unique, le MCR attribue un numéro de port source TCP ou UDP différent à l’adresse IP publique.

Pour faire correspondre plusieurs adresses IP à une seule adresse IP, la NAT MCR utilise une combinaison de NAT source (SNAT) et de traduction d’adresse du port (PAT).

Remarque

La NAT sur le MCR est similaire à la NAT overload de Cisco ou à la fonctionnalité Hide NAT de Checkpoint.

Le MCR conserve la trace de chaque traduction d’adresse IP et de chaque attribution de port dans une table NAT qui peut gérer des milliers de traductions simultanées. Lorsqu’un port n’est plus utilisé, le MCR le libère et le renvoie dans le pool des ports disponibles.

Cette illustration montre un MCR en périphérie du centre de données, se connectant de manière privée à la Platform as a Service (PaaS) Azure avec une connexion transversale virtuelle (VXC) dans le peering public Azure, connu sous le nom de peering Microsoft. Étant donné que Microsoft n’accepte que les adresses IPv4 publiques via le peering Microsoft, le MCR traduit les adresses IP privées en adresses publiques en utilisant la NAT. Le MCR offre l’avantage supplémentaire d’utiliser le numéro de système autonome (ASN) de Megaportet l’espace IP enregistré publiquement pour cette connexion.

NAT

Exemple de NAT MCR

Dans cet exemple, le MCR se trouve logiquement entre le centre de données d’un client (10.100.0.0/16) et Azure (West US 13.100.0.0/16). Les paquets destinés à 13.100.0.0/16 sont envoyés du centre de données au MCR.

  1. Le centre de données envoie un paquet avec une adresse IP source de 10.100.20.10 et une adresse IP de destination de 13.100.12.136 vers le MCR.
    Exemple de NAT

  2. Le MCR reçoit le paquet sur son interface intérieure. Lors de la sortie, le MCR effectue une SNAT pour traduire l’adresse IP source (10.100.20.10) en adresse IP locale de son interface extérieure (117.18.84.113). Pour créer une session unique, le MCR effectue également une traduction d’adresse du port (PAT) et attribue à la session un port source TCP ou UDP unique. L’adresse IP et le port de destination sont laissés intacts.
    Exemple de NAT

  3. Lorsqu’Azure reçoit le paquet, il a une adresse IP source de 117.18.84.113. Azure fait suivre le paquet à la destination 13.100.12.136 et répond à la source, 117.18.84.113.

  4. Supposons qu’Azure reçoive un autre paquet du MCR avec une adresse IP source de 10.100.5.16 et une adresse IP de destination de 13.100.14.27. Le MCR effectue une SNAT à la même adresse IP de 117.18.84.113. La seule différence est le port source TCP/UDP qui a été automatiquement attribué par le MCR.

Vérification de l’affectation NAT

MCR configure automatiquement les ID VLAN utilisés pour le peering privé et public après que vous avez configuré le type de peering. Lors du provisionnement des VXC du MCR à un fournisseur de services, le MCR configure le peering privé avec l’ID VLAN 100 et le peering public avec l’ID VLAN 200, par défaut.

Cette illustration montre le MCR avec une VXC se connectant à Azure. Lors de la configuration initiale de la VXC, les types de peering Microsoft privé et public ont été sélectionnés. Pour cette configuration, le MCR a automatiquement configuré VLAN 100 pour prendre en charge le peering privé et VLAN 200 pour prendre en charge le peering public Microsoft.
Vérification NAT

Le champ NAT IP Address (Adresse IP NAT) apparaît à droite des adresses IP d’interface. Il s’agit de l’adresse IP NAT source de l’interface extérieure du MCR, vers laquelle les paquets seront traduits.

Remarque

Lorsque plusieurs VXC Azure sur un MCR remplissent la même balise VLAN 100 (peering privé) et la même balise VLAN 200 (peering public), le MCR gère le tunnel 802.1Q, également connu sous le nom de tunnel Q-in-Q, pour chaque VXC Azure qui se termine sur le MCR. Chaque VLAN Azure restera une interface logique distincte. Pour plus de détails, voir Configuration de Q-in-Q.

Ce tableau résume les configurations NAT MCR et cas d’utilisation pris en charge, indiqués par un . Il comprend également les configurations qui ne correspondent pas, indiquées par un X.

Type de NAT MCR Cas d’utilisation NAT MCR
NAT Overload Connectivité aux services publics des fournisseurs de services cloud
Hide NAT Connectivité aux services SaaS et PaaS
NAT source X Connectivité avec les partenaires Megaport Marketplace
NAT Destination X Préserver l’espace d’adressage IP pour le trafic sortant
Pool NAT statique X Permettre l’accès entrant depuis Internet X
Pool NAT dynamique X Routage entre réseaux se chevauchant X

Dernière mise à jour: