Pular para conteúdo
Documentação da Megaport
Como o MCR Realiza NAT
PDF

Como o MCR realiza o NAT

A tradução de endereços de rede (Network Address Translation - NAT) economiza espaço de endereços IPv4 ao traduzir os endereços IP privados não registrados usados na rede interna privada de uma organização em um único endereço IP público registrado. Esse único endereço IP público é então usado para se conectar a redes externas, como a internet.

Este tópico descreve como o NAT no MCR é projetado especificamente para suportar tipos de peering público para Provedores de Serviços em Nuvem (CSPs).

NAT de muitos-para-um usando diferentes Portas

O NAT é realizado pelo MCR na fronteira onde duas redes estão conectadas. Antes de encaminhar pacotes da rede interna para a rede externa, o MCR traduz os endereços IP privados, não exclusivos, para um único endereço IP público globalmente exclusivo. Essa tradução de muitos-para-um permite que o MCR anuncie apenas um endereço IP para o mundo externo, ocultando vários endereços IP privados de origem por trás do endereço IP da interface do MCR. Para criar uma sessão única, o MCR atribui um número de Porta de origem TCP ou UDP diferente ao endereço IP público.

Para mapear vários endereços IP para um único endereço IP, o NAT do MCR usa uma combinação de source NAT (SNAT) e tradução de endereços de Porta (PAT).

Aviso

O NAT no MCR é semelhante ao NAT overload da Cisco ou à funcionalidade Hide NAT da Checkpoint.

O MCR rastreia cada tradução de endereço IP e atribuição de Porta em uma tabela NAT que pode lidar com milhares de traduções simultâneas. Quando uma Porta não está mais em uso, o MCR a libera e a retorna ao pool de Portas disponíveis.

Esta imagem mostra um MCR na borda do data center, conectando-se de forma privada à plataforma Azure como um serviço (PaaS) com um Virtual Cross Connect (VXC) no peering público da Azure, conhecido como Peering Microsoft. Como a Microsoft aceitará apenas endereços IPv4 públicos através do Peering Microsoft, o MCR traduz os endereços IP privados para endereços públicos usando NAT. O MCR fornece o benefício adicional de usar o número de sistema autônomo (ASN) da Megaport e o espaço de endereços IP registrados publicamente para essa conexão.

NAT

Exemplo de NAT no MCR

Neste exemplo, o MCR está logicamente posicionado entre o data center do cliente (10.100.0.0/16) e a Azure (West US 13.100.0.0/16). Pacotes destinados a 13.100.0.0/16 são enviados do data center para o MCR.

  1. O data center envia um pacote com um IP de origem de 10.100.20.10 e um IP de destino de 13.100.12.136 em direção ao MCR. NAT example

  2. O MCR recebe o pacote em sua interface interna. Na saída, o MCR realiza um SNAT para traduzir o endereço IP de origem (10.100.20.10) para o endereço IP local de sua interface externa (117.18.84.113). Para criar uma sessão única, o MCR também realiza uma tradução de endereço de Porta (PAT) e atribui à sessão uma Porta TCP ou UDP de origem única. O IP e a Porta de destino permanecem intactos. NAT example

  3. Quando a Azure recebe o pacote, ele tem um IP de origem de 117.18.84.113. A Azure encaminha o pacote ao destino 13.100.12.136 e responde de volta para a origem em 117.18.84.113.

  4. Suponha que a Azure receba outro pacote do MCR com um IP de origem de 10.100.5.16 e um IP de destino de 13.100.14.27. O MCR realiza um SNAT para o mesmo endereço IP de 117.18.84.113. A única diferença é a Porta de origem TCP/UDP que foi atribuída automaticamente pelo MCR.

Verificando a atribuição de NAT

O MCR configura automaticamente os IDs de VLAN usados para peering privado e público após você configurar o tipo de peering. Ao provisionar os VXCs do MCR para um provedor de serviços, o MCR configura o peering privado com VLAN 100 e o peering público com VLAN 200, por padrão.

Esta imagem mostra o MCR com um VXC conectando-se à Azure. Durante a configuração inicial do VXC, ambos os tipos de peering Microsoft, Privado e Público, foram selecionados. Para essa configuração, o MCR configurou automaticamente a VLAN 100 para suportar o peering privado e a VLAN 200 para suportar o peering público da Microsoft. NAT verification

O campo de endereço IP de NAT aparece à direita dos endereços IP da interface. O endereço IP de origem NAT é o endereço IP da interface externa do MCR, para o qual quaisquer pacotes serão traduzidos.

Aviso

Quando vários VXCs da Azure em um MCR usam a mesma tag VLAN 100 (peering privado) e a mesma tag VLAN 200 (peering público), o MCR gerencia o túnel 802.1Q, também conhecido como túnel Q-in-Q, para cada VXC da Azure que termina no MCR. Cada VLAN da Azure ainda será uma interface lógica separada. Para mais informações, veja Configurando Q-in-Q.

Esta tabela resume as configurações de NAT suportadas pelo MCR e casos de uso, indicados por um ✓. Também inclui configurações que não são adequadas, indicadas por um X.

Tipo de NAT do MCR Caso de Uso de NAT do MCR
NAT Overload Conectividade com serviços públicos de Provedores de Serviços em Nuvem
Hide NAT Conectividade com serviços SaaS e PaaS
Source NAT X Conectividade com parceiros do Megaport Marketplace
Destination NAT X Preservar o espaço de endereços IP para tráfego de saída
Static NAT Pool X Permitir acesso de entrada a partir da internet X
Dynamic NAT Pool X Roteamento entre redes sobrepostas X

Aviso

Um único MCR é limitado a 131.072 traduções NAT e está configurado com um tempo limite de sessão TCP estabelecida de 24 horas.