MCR が NAT を実行する方法

ネットワーク アドレス変換(NAT)は、組織のプライベート内部ネットワークに使用される未登録のプライベート IP アドレスを単一の登録済みパブリック IP アドレスに変換することにより、IPv4 アドレス空間を節約します。この単一のパブリック IP アドレスは、インターネットなどの外部ネットワークへの接続に使用されます。

このトピックでは、MCR 上の NAT が、どのようにクラウド サービス プロバイダーへのパブリック ピアリング タイプを具体的にサポートするように設計されているかについて説明します。

異なるポートを使用する多対 1 の NAT

NAT は、2 つのネットワークが接続されている境界で MCR によって実行されます。MCR は、内部ネットワークから外部ネットワークにパケットを転送する前に、一意ではないプライベート IP アドレスを単一のグローバルに一意のパブリック IP アドレスに変換します。この多対 1 の変換により、MCR は 1 つの IP アドレスのみを外部にアドバタイズし、複数のプライベート送信元 IP アドレスを MCR インターフェイスの IP アドレスの背後に隠すことができます。一意のセッションを作成するために、MCR は異なる TCP または UDP 送信元ポート番号をパブリック IP アドレスに割り当てます。

複数の IP アドレスを単一の IP アドレスにマップするために、MCR NAT は送信元 NAT(SNAT)とポートアドレス変換(PAT)の組み合わせを使用します。

注意

MCR の NAT は、Cisco の NAT オーバーロードまたは Checkpoint の Hide NAT 機能に似ています。

MCR は、数千の同時変換を処理できる NAT テーブルで各 IP アドレス変換とポート割り当てを追跡します。ポートが使用されなくなると、MCR はポートを解放し、使用可能なポートのプールに戻します。

この図は、データセンターのエッジにある MCR を示しており、仮想クロスコネクト(VXC)を使用して Azure Platform as a Service(PaaS)にプライベート接続し、Microsoft ピアリングと呼ばれる Azure パブリック ピアリングに接続しています。Microsoft は Microsoft ピアリングを介してのみパブリック IPv4 アドレスを受け入れるため、MCR は NAT を使用してプライベート IP アドレスをパブリック アドレスに変換します。MCR は、この接続に Megaport の自律システム番号(ASN)と公的に登録された IP スペースを使用するという追加の利点を提供します。

NAT

MCR NAT の例

この例では、MCR は顧客のデータ センター(10.100.0.0/16)と Azure(West US 13.100.0.0/16)の間に論理的に配置されています。13.100.0.0/16 宛てのパケットは、データ センターから MCR に送信されます。

  1. データ センターは、送信元 IP が 10.100.20.10、宛先 IP が 13.100.12.136 のパケットを MCR に送信します。
    NAT の例

  2. MCR は、内部インターフェイスでパケットを受信します。出力時に、MCR は SNAT を実行して、送信元 IP アドレス(10.100.20.10)を外部インターフェイス(117.18.84.113)のローカル IP アドレスに変換します。一意のセッションを作成するために、MCR はポートアドレス変換(PAT)も実行し、セッションに一意の TCP または UDP 送信元ポートを割り当てます。宛先 IP とポートはそのまま残ります。
    NAT の例

  3. Azure が受信するパケットの送信元 IP は 117.18.84.113 です。Azure はパケットを宛先 13.100.12.136 に転送し、送信元のアドレスである 117.18.84.113 に返信します。

  4. Azure が MCR から送信元 IP が 10.100.5.16、宛先 IP が 13.100.14.27 の別のパケットを受信するとします。MCR は、同じ IP アドレスの 117.18.84.113 に対して SNAT を実行します。.MCR によって自動的に割り当てられた TCP / UDP 送信元ポートが違うだけです。

NAT 割り当ての確認

MCR は、ピアリング タイプを設定した後、プライベート ピアリングとパブリック ピアリングに使用される VLAN ID を自動的に設定します。MCR からサービス プロバイダーに VXC をプロビジョニングする場合、MCR はデフォルトで VLAN 100 を使用したプライベート ピアリングと VLAN 200 を使用したパブリック ピアリングを構成します。

この図は、VXC が Azure に接続している MCR を示しています。VXC の初期構成時に、プライベートとパブリックの両方の Microsoft ピアリング タイプが選択されました。この構成では、MCR はプライベート ピアリングをサポートするように VLAN 100 を自動的に構成し、パブリック Microsoft ピアリングをサポートするように VLAN 200 を構成しました。
NAT 検証

[VLAN 200] タブの [NAT IP Address(NAT IP アドレス)] フィールドは、ページ下部の [Connection Details(接続の詳細)] の下に表示されます。これは、パケットが変換される MCR の外部インターフェイスの IP アドレスです。

注意

MCR 上の複数の Azure VXC が同じ VLAN 100 タグ(プライベート ピアリング)と同じ VLAN 200 タグ(パブリックピアリング)にデータを入力する場合、MCR は MCR で終了する各 Azure VXC ごとに、802.1Q トンネル(Q-in-Q トンネルとも呼ばれます)を管理します。各 Azure VLAN は、引き続き個別の論理インターフェイスになります。詳細については、 Q-in-Q の構成 を参照してください。

この表は、サポートされている MCR NAT 構成と使用例をまとめたものです。 で示されています。また、 X で示される、適切ではない構成も含まれます。

MCR NAT タイプ MCR NAT ユース ケース
NAT オーバーロード クラウド サービス プロバイダー パブリック サービスへの接続性
Hide NAT SaaS および PaaS サービスへの接続性
ソース NAT X Megaport Marketplace パートナーへの接続
宛先 NAT X アウトバウンド トラフィック用に IP アドレス空間を保持する
静的 NAT プール X インターネットからのインバウンド アクセスを許可する X
動的 NAT プール X 重複するネットワーク間のルーティング X

最後の更新: