跳轉到
Megaport 技術文件
MCR 的 NAT 運作原理
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

MCR 如何執行 NAT

網路位址轉換 (NAT)網路位址轉換(NAT)是在封包送往外部網路之前,將組織的內部私有網路所使用的未註冊的私有 IP 位址轉換為單一已註冊的公用 IP 位址的過程。 NAT 允許私有 IP 網路使用網際網路與雲端。
 透過將組織私有內部網路所使用的未註冊私有 IP 位址轉換為單一已註冊的公用 IP 位址來節省 IPv4 位址空間。此單一公用 IP 位址接著用於連線到外部網路,例如網際網路。

本主題說明 MCR 上的 NAT 如何特別支援對雲端服務供應商的 public Peering 類型。

使用不同連接埠的多對一 NAT

MCR 支援 Overload NAT(亦稱 Source Overload NAT 或 NAT Overload),這是一種多對一 NAT。其運作方式如下:

  • Source NAT (SNAT) – 將多個私有 IP 位址轉換為單一公用 IP 位址。
  • Port Address Translation (PAT) – 指派唯一的來源連接埠,確保每個連線皆可區分。

此組態支援往 Megaport Marketplace 合作夥伴與其他外部網路(例如網際網路或雲端服務)的輸出流量(出站連線)。

MCR 通常會在兩個網路連接的邊界執行 NAT。舉例來說,在將封包從內部網路轉送到外部網路之前,MCR 會將私有、非唯一的 IP 位址轉換為單一、全球唯一的公用 IP 位址。此多對一轉換可讓 MCR 對外只公告一個 IP 位址,同時將多個私有來源 IP 位址隱藏在 MCR 介面的 IP 位址後方。

雖然典型案例是將內部網路的私有 IP 位址轉換為外部網路的公用 IP 位址,但這並非絕對必要。MCR 可依需要在任一介面上轉換任何 IP 位址—無論是私有或公用。

備註

MCR 上的 NAT 與 Cisco 的 NAT overload 或 Checkpoint 的 Hide NAT 功能類似。

MCR 會在 NAT 表中追蹤每個 IP 位址轉換與連接埠指派,該表可處理數千個同時進行的轉換。當某個連接埠不再使用時,MCR 會將其釋放並歸還至可用連接埠集區。

此圖片顯示位於資料中心邊界的 MCR,透過一條 Virtual Cross Connect(VXC)以私有方式連線到 Azure Platform as a Service (PaaS平台即服務(PaaS)供應商為應用程式開發人員提供開發環境。
供應商通常會為開發打造工具組與制定標準,並提供發佈與付費的管道。
在 PaaS 模式中,雲端服務供應商提供運算平台,通常包含作業系統、程式語言執行環境、資料庫與 Web 伺服器,而無需管理任何底層的作業系統或主機架構。
),並進入 Azure 的 public Peering(稱為 Microsoft Peering)。由於 Microsoft 只會透過 Microsoft Peering 接受公用 IPv4 位址,MCR 會使用 NAT 將私有 IP 位址轉換為公用位址。MCR 另有一項優勢:此連線可使用 Megaport 的 自治系統號碼 (ASN) 與公開註冊的 IP 位址空間

NAT

MCR NAT 範例

在此範例中,MCR 邏輯上位於客戶資料中心(10.100.0.0/16)與 Azure(West US 13.100.0.0/16)之間。目的地為 13.100.0.0/16 的封包會從資料中心送往 MCR。

  1. 資料中心傳送一個來源 IP 為 10.100.20.10、目的地 IP 為 13.100.12.136 的封包到 MCR。
    NAT 範例

  2. MCR 於其內部介面收到該封包。在送出(egress)時,MCR 執行 SNAT,將來源 IP 位址(10.100.20.10)轉換為其外部介面的本機 IP 位址(117.18.84.113)。為建立唯一的工作階段,MCR 亦執行 PAT,並為該工作階段指派一個唯一的 TCP 或 UDP 來源連接埠。目的地 IP 與連接埠保持不變。
    NAT 範例

  3. 當 Azure 收到該封包時,其來源 IP 為 117.18.84.113。Azure 會將封包轉送至目的地 13.100.12.136,並回覆至來源 117.18.84.113。

  4. 假設 Azure 從 MCR 收到另一個封包,其來源 IP 為 10.100.5.16、目的地 IP 為 13.100.14.27。MCR 會 SNAT 至相同的 IP 位址 117.18.84.113。唯一的差異是由 MCR 自動指派的 TCP/UDP 來源連接埠。

驗證 NAT 指派

在您設定 Peering 類型之後,MCR 會自動設定用於私有與公用 Peering 的 VLAN ID。當從 MCR 佈建到服務供應商的 VXC 時,MCR 會預設將 private Peering 設為 VLAN 100,並將 public Peering 設為 VLAN 200。

此圖片顯示 MCR 透過一條 VXC 連線到 Azure。在初始 VXC 設定期間,同時選取了 Private 與 Public 的 Microsoft Peering 類型。針對此設定,MCR 會自動將 VLAN 100 設定為支援 private Peering,並將 VLAN 200 設定為支援 public 的 Microsoft Peering。
NAT 驗證

Network Address Translation (NAT) (網路位址轉換 (NAT)) 欄位會出現在「介面 IP 位址」欄位的右側。NAT 來源 IP 位址為 MCR 外部介面的 IP 位址,所有封包都會被轉換為該位址。

備註

當一個 MCR 上的多個 Azure VXC 使用相同的 VLAN 100 標記(private Peering)與相同的 VLAN 200 標記(public Peering)時,MCR 會為每條終止於該 MCR 的 Azure VXC 管理 802.1Q 隧道(亦稱 Q-in-Q 隧道)。每個 Azure VLAN 仍會是個別的邏輯介面。詳情請參閱 設定 Q-in-Q