MCR が NAT を実行する方法

ネットワーク アドレス変換(NAT)は、組織のプライベート内部ネットワークに使用される未登録のプライベート IP アドレスを単一の登録済みパブリック IP アドレスに変換することにより、IPv4 アドレス空間を節約します。この単一のパブリック IP アドレスは、インターネットなどの外部ネットワークへの接続に使用されます。

このトピックでは、MCR 上の NAT が、どのようにクラウド サービス プロバイダーへのパブリック ピアリング タイプを具体的にサポートするように設計されているかについて説明します。

異なるポートを使用する多対 1 の NAT

NAT は、2 つのネットワークが接続されている境界で MCR によって実行されます。MCR は、内部ネットワークから外部ネットワークにパケットを転送する前に、一意ではないプライベート IP アドレスを単一のグローバルに一意のパブリック IP アドレスに変換します。この多対 1 の変換により、MCR は 1 つの IP アドレスのみを外部にアドバタイズし、複数のプライベート送信元 IP アドレスを MCR インターフェイスの IP アドレスの背後に隠すことができます。一意のセッションを作成するために、MCR は異なる TCP または UDP 送信元ポート番号をパブリック IP アドレスに割り当てます。

複数の IP アドレスを単一の IP アドレスにマップするために、MCR NAT は送信元 NAT(SNAT)とポートアドレス変換(PAT)の組み合わせを使用します。

注意

MCR の NAT は、Cisco の NAT オーバーロードまたは Checkpoint の Hide NAT 機能に似ています。

MCR は、数千の同時変換を処理できる NAT テーブルで各 IP アドレス変換とポート割り当てを追跡します。ポートが使用されなくなると、MCR はポートを解放し、使用可能なポートのプールに戻します。

この図は、データセンターのエッジにある MCR を示しており、仮想クロスコネクト(VXC)を使用して Azure Platform as a Service(PaaS)にプライベート接続し、Microsoft ピアリングと呼ばれる Azure パブリック ピアリングに接続しています。Microsoft は Microsoft ピアリングを介してのみパブリック IPv4 アドレスを受け入れるため、MCR は NAT を使用してプライベート IP アドレスをパブリック アドレスに変換します。MCR は、この接続に Megaport の自律システム番号(ASN)と公的に登録された IP スペースを使用するという追加の利点を提供します。

NAT

MCR NAT の例

この例では、MCR は顧客のデータ センター(10.100.0.0/16)と Azure(West US 13.100.0.0/16)の間に論理的に配置されています。13.100.0.0/16 宛てのパケットは、データ センターから MCR に送信されます。

  1. データ センターは、送信元 IP が 10.100.20.10、宛先 IP が 13.100.12.136 のパケットを MCR に送信します。
    NAT の例

  2. MCR は、内部インターフェイスでパケットを受信します。出力時に、MCR は SNAT を実行して、送信元 IP アドレス(10.100.20.10)を外部インターフェイス(117.18.84.113)のローカル IP アドレスに変換します。一意のセッションを作成するために、MCR はポートアドレス変換(PAT)も実行し、セッションに一意の TCP または UDP 送信元ポートを割り当てます。宛先 IP とポートはそのまま残ります。
    NAT の例

  3. Azure が受信するパケットの送信元 IP は 117.18.84.113 です。Azure はパケットを宛先 13.100.12.136 に転送し、送信元のアドレスである 117.18.84.113 に返信します。

  4. Azure が MCR から送信元 IP が 10.100.5.16、宛先 IP が 13.100.14.27 の別のパケットを受信するとします。MCR は、同じ IP アドレスの 117.18.84.113 に対して SNAT を実行します。.MCR によって自動的に割り当てられた TCP / UDP 送信元ポートが違うだけです。

NAT 割り当ての確認

MCR は、ピアリング タイプを設定した後、プライベート ピアリングとパブリック ピアリングに使用される VLAN ID を自動的に設定します。MCR からサービス プロバイダーに VXC をプロビジョニングする場合、MCR はデフォルトで VLAN 100 を使用したプライベート ピアリングと VLAN 200 を使用したパブリック ピアリングを構成します。

この図は、VXC が Azure に接続している MCR を示しています。VXC の初期構成時に、プライベートとパブリックの両方の Microsoft ピアリング タイプが選択されました。この構成では、MCR はプライベート ピアリングをサポートするように VLAN 100 を自動的に構成し、パブリック Microsoft ピアリングをサポートするように VLAN 200 を構成しました。
NAT 検証

「Interface IP Addresses(インターフェイスIPアドレス)」の右側に「NAT IP Address(NAT IPアドレス)」フィールドが表示されます。NAT 送信元IPアドレスは、パケットが変換される MCR の外部インターフェイスの IP アドレスです。

注意

MCR 上の複数の Azure VXC が同じ VLAN 100 タグ(プライベート ピアリング)と同じ VLAN 200 タグ(パブリックピアリング)にデータを入力する場合、MCR は MCR で終了する各 Azure VXC ごとに、802.1Q トンネル(Q-in-Q トンネルとも呼ばれます)を管理します。各 Azure VLAN は、引き続き個別の論理インターフェイスになります。詳細については、 Q-in-Q の構成 を参照してください。

この表は、サポートされている MCR NAT 構成と使用例をまとめたものです。 で示されています。また、 X で示される、適切ではない構成も含まれます。

MCR NAT タイプ MCR NAT ユース ケース
NAT オーバーロード クラウド サービス プロバイダー パブリック サービスへの接続性
Hide NAT SaaS および PaaS サービスへの接続性
ソース NAT X Megaport Marketplace パートナーへの接続
宛先 NAT X アウトバウンド トラフィック用に IP アドレス空間を保持する
静的 NAT プール X インターネットからのインバウンド アクセスを許可する X
動的 NAT プール X 重複するネットワーク間のルーティング X

最後の更新: