Come MCR esegue NAT

La Network Address Translation (NAT)La Network Address Translation (NAT) è il processo che traduce gli indirizzi IP privati non registrati utilizzati per la rete interna privata di un’organizzazione in un singolo indirizzo IP pubblico registrato prima che i pacchetti vengano inviati a una rete esterna. La NAT consente alle reti IP private di utilizzare internet e il cloud.
conserva lo spazio degli indirizzi IPv4 traducendo gli indirizzi IP privati non registrati utilizzati per la rete interna privata di un’organizzazione in un singolo indirizzo IP pubblico registrato. Questo singolo indirizzo IP pubblico viene quindi utilizzato per connettersi a reti esterne, come Internet.

Questo argomento descrive come il NAT su MCR è progettato specificamente per supportare tipi di peering pubblici con i fornitori di servizi cloud.

NAT da molti ad uno utilizzando porte differenti

MCR supporta Overload NAT, noto anche come Source Overload NAT o NAT Overload, che è una forma di NAT da molti ad uno. Funziona nel seguente modo:

• Origine NAT (SNAT) – Traduce più indirizzi IP privati in un singolo indirizzo IP pubblico.
• Port Address Translation (PAT) – Assegna porte di origine uniche per garantire che ogni connessione rimanga distinta.

Questa configurazione supporta il traffico in uscita (connettività in uscita) verso i partner di Megaport Marketplace e altre reti esterne, come Internet o servizi cloud.

MCR esegue comunemente NAT al confine dove due reti sono collegate. Ad esempio, prima di inoltrare i pacchetti dalla rete interna alla rete esterna, MCR traduce gli indirizzi IP privati, non unici, in un singolo indirizzo IP pubblico globalmente unico. Questo tipo di traduzione da molti ad uno consente a MCR di pubblicizzare solo un indirizzo IP al mondo esterno nascondendo diversi indirizzi IP sorgente privati dietro l’indirizzo IP dell’interfaccia di MCR.

Sebbene un caso tipico di utilizzo implichi la traduzione degli indirizzi IP privati sulla rete interna in un indirizzo IP pubblico sulla rete esterna, questo non è un requisito rigoroso. MCR può tradurre qualsiasi indirizzo IP, sia privato che pubblico, su entrambe le interfacce secondo necessità.

MCR tiene traccia di ciascuna traduzione degli indirizzi IP e dell’assegnazione delle porte in una tabella NAT che può gestire migliaia di traduzioni simultanee. Quando una porta non è più in uso, MCR la rilascia e la restituisce al pool di porte disponibili.

Quest’immagine mostra un MCR al limite del data center, che si connette privatamente alla piattaforma Azure come Servizio (PaaSI fornitori di Platform as a Service offrono un ambiente di sviluppo ai programmatori di applicazioni. Il fornitore sviluppa tipicamente toolkit e standard per lo sviluppo e canali per la distribuzione e il pagamento. Nei modelli PaaS, i fornitori di cloud forniscono una piattaforma di calcolo, che include tipicamente sistema operativo, ambiente di esecuzione del linguaggio di programmazione, database e server web senza la necessità di gestire alcuno dei sistemi operativi sottostanti o dell’architettura host.
) con un Virtual Cross Connect (VXC) in Azure public peering, noto come Microsoft Peering. Poiché Microsoft accetterà solo indirizzi IPv4 pubblici attraverso Microsoft Peering, MCR traduce gli indirizzi IP privati in indirizzi pubblici utilizzando NAT. MCR offre il vantaggio aggiunto di utilizzare il numero di sistema autonomo (ASN) di Megaport e lo spazio IP pubblicamente registrato per questa connessione.

Esempio di NAT MCR

In questo esempio, MCR si posiziona logicamente tra il data center di un cliente (10.100.0.0/16) e Azure (West US 13.100.0.0/16). I pacchetti destinati a 13.100.0.0/16 vengono inviati dal data center al MCR.

1. Il data center invia un pacchetto con un indirizzo IP di origine 10.100.20.10 e un indirizzo IP di destinazione 13.100.12.136 verso MCR.
   

2. MCR riceve il pacchetto sulla sua interfaccia interna. All’uscita, MCR esegue un SNAT per tradurre l’indirizzo IP di origine (10.100.20.10) in l’indirizzo IP locale della sua interfaccia esterna (117.18.84.113). Per creare una sessione unica, MCR esegue anche un PAT e assegna alla sessione una porta sorgente TCP o UDP unica. L’indirizzo IP di destinazione e la porta rimangono inalterati.
   

3. Quando Azure riceve il pacchetto, ha un indirizzo IP di origine 117.18.84.113. Azure inoltra il pacchetto alla destinazione 13.100.12.136 e risponde alla sorgente al 117.18.84.113.

4. Supponiamo che Azure riceva un altro pacchetto da MCR con un indirizzo IP di origine 10.100.5.16 e un indirizzo IP di destinazione 13.100.14.27. MCR esegue un SNAT allo stesso indirizzo IP 117.18.84.113. L’unica differenza è la porta sorgente TCP/UDP che è stata assegnata automaticamente da MCR.

Verifica dell’assegnazione NAT

MCR configura automaticamente gli ID VLAN utilizzati per il peering privato e pubblico dopo aver configurato il tipo di peering. Quando si approvvigiona VXC da MCR a un fornitore di servizi, MCR configura il peering privato con VLAN 100 e il peering pubblico con VLAN 200, di default.

Questa immagine mostra MCR con un VXC che si connette ad Azure. Durante la configurazione iniziale di VXC, sono stati selezionati sia i tipi di peering privato che pubblico di Microsoft. Per questa configurazione, MCR ha configurato automaticamente VLAN 100 per supportare il peering privato e VLAN 200 per supportare il peering pubblico di Microsoft.

Il campo Network Address Translation (NAT) appare a destra del campo Indirizzi IP dell’interfaccia. L’indirizzo IP sorgente NAT è l’indirizzo IP dell’interfaccia esterna di MCR, a cui verranno tradotti eventuali pacchetti.