Forráshálózati címfordítás (SNAT) az Azure NAT Gateway használatával
A forráshálózati címfordítás (SNAT) lehetővé teszi, hogy a magánhálózatról érkező forgalom csatlakozzon az internethez, miközben teljes mértékben privát maradjon. Az SNAT egy nyilvános IP-címre és portkombinációra írja át az eredeti csomag forrás IP-címét és portját. A portok egyedi azonosítóként szolgálnak a különböző kapcsolatok egymástól való megkülönböztetéséhez. Az internet ötrekordos kivonatot (protokoll, forrás IP/port, cél IP/port) használ a különbségtétel biztosításához.
Az SNAT azt is lehetővé teszi, hogy egy virtuális hálózaton belül több privát példány ugyanazt az egyetlen nyilvános IP-címet vagy IP-címkészletet (előtagot) használja az internethez való csatlakozáshoz.
A NAT-átjáró több az egyhez SNAT-képességet tesz lehetővé. Az alhálózat számos privát példánya képes a NAT-átjáróhoz csatolt nyilvános IP-címre SNAT-t adni az internethez való csatlakozáshoz. Ha a NAT-átjáró több kapcsolatot létesít ugyanahhoz a célvégponthoz, minden új kapcsolat más SNAT-portot használ, hogy a kapcsolatok megkülönböztethetők legyenek egymástól.
Az SNAT-portok kimerülése akkor fordul elő, ha egy forrásvégpont elfogy a rendelkezésre álló SNAT-portok közül, hogy különbséget tegyen az új kapcsolatok között. Az SNAT-portok kimerülése esetén a kapcsolatok meghiúsulnak.
SNAT méretezése NAT-átjáróhoz
A NAT-átjáró skálázása elsősorban a megosztott, elérhető SNAT-portleltár kezelésének függvénye.
Az SNAT-portleltárat a nyilvános IP-címek, a nyilvános IP-előtagok vagy mindkettő a NAT-átjáróhoz csatolva biztosítja. Az SNAT-portleltár igény szerint elérhetővé válik a NAT-átjáróhoz csatolt alhálózat összes példánya számára. Az alhálózat privát példányainak számítási feladatainak méretezése során a NAT-átjáró szükség szerint lefoglalja az SNAT-portokat.
Ha egy virtuális hálózaton belül több alhálózat csatlakozik ugyanahhoz a NAT-átjáró-erőforráshoz, a NAT-átjáró által biztosított SNAT-portleltár minden alhálózaton meg van osztva.
Egyetlen NAT-átjáró legfeljebb 16 IP-címet méretezhet. Minden NAT-átjáró nyilvános IP-címe 64 512 SNAT-portot biztosít a kimenő kapcsolatok létrehozásához. A NAT-átjáró akár több mint 1 millió SNAT-portot is képes méretezni. A TCP és az UDP különálló SNAT-portkészletek, és nem kapcsolódnak a NAT-átjáróhoz.
A NAT Gateway dinamikusan foglal le SNAT-portokat
A NAT-átjáró dinamikusan lefoglalja az SNAT-portokat az alhálózat magánerőforrásai között, például virtuális gépeken. Minden rendelkezésre álló SNAT-portot igény szerint használnak a NAT-átjáróval konfigurált alhálózatokban lévő virtuális gépek.
Ábra: SNAT-portok lefoglalása
Az SNAT-portok előretelepítése minden virtuális gépre más SNAT-metódusokhoz szükséges. Az SNAT-portok ezen előretelepítése SNAT-portok kimerülését okozhatja egyes virtuális gépeken, míg mások továbbra is rendelkezésre álló SNAT-portokkal rendelkeznek a kimenő csatlakozáshoz.
A NAT-átjáró esetében az SNAT-portok előtelepítése nem szükséges, ami azt jelenti, hogy az SNAT-portokat nem hagyják használaton kívül az olyan virtuális gépek, amelyeknek aktívan szükségük van rájuk.
Az SNAT-port kiadása után a NAT-átjáróval konfigurált alhálózatokon belül bármely virtuális gép használhatja. Az igény szerinti kiosztás lehetővé teszi, hogy az alhálózatok dinamikus és eltérő számítási feladatai szükség szerint SNAT-portokat használjanak. Amíg az SNAT-portok elérhetők, az SNAT-folyamatok sikeresek lesznek.
Ábra: SNAT-portok kimerülése
NAT-átjáró SNAT-portjának kiválasztása és újrafelhasználása
A NAT-átjáró véletlenszerűen kiválaszt egy SNAT-portot a portok rendelkezésre álló készletéből új kimenő kapcsolatok létrehozásához. Ha a NAT-átjáró nem talál elérhető SNAT-portokat, akkor újra felhasznál egy SNAT-portot. Ugyanaz az SNAT-port használható egyszerre több különböző célhelyhez való csatlakozáshoz.
Az SNAT-portok újra felhasználhatók ugyanahhoz a célvégponthoz való csatlakozáshoz. A port újbóli használata előtt a NAT-átjáró egy SNAT-port újrafelhasználási időzítőt helyez el a porton a kapcsolat bezárása után történő lehűléshez.
Az SNAT-port újrafelhasználási időzítője segít megakadályozni, hogy a portok túl gyorsan legyenek kiválasztva ahhoz, hogy ugyanahhoz a célhoz csatlakozzanak. Ez a folyamat akkor hasznos, ha a célvégpontok tűzfalakat vagy más olyan szolgáltatásokat konfiguráltak, amelyek lehűlési időzítőt helyeznek el a forrásportokon. Az SNAT-portok újrafelhasználási időzítői a kapcsolati folyamat lezárásától függően változnak. További információ: Port újrafelhasználási időzítők.
Ábra: SNAT-port újrafelhasználása
Példa SNAT-folyamatokra a NAT-átjáróhoz
Több-egy SNAT NAT-átjáróval
A NAT-átjáró több-egy konfigurációt biztosít, amelyben a NAT-átjáró által konfigurált alhálózaton belül több privát példány is ugyanazt a nyilvános IP-címet használhatja a kimenő csatlakozáshoz.
Az alábbi táblázatban két különböző virtuális gép (10.0.0.1 és 10.2.0.1) létesít kapcsolatot https://microsoft.com a cél IP 23.53.254.142-es címével. Ha a NAT-átjáró a 65.52.1.1 nyilvános IP-címmel van konfigurálva, az egyes virtuális gépek forrás IP-címei a NAT-átjáró nyilvános IP-címére és egy SNAT-portra lesznek lefordítva:
| Folyamat | Forrásrekord | Forrásrekord az SNAT után | Célrekord |
|---|---|---|---|
| 0 | 10.0.0.1:4283 | 65.52.1.1:1234 | 23.53.254.142:80 |
| 2 | 10.0.0.1:4284 | 65.52.1.1:1235 | 23.53.254.142:80 |
| 3 | 10.2.0.1:5768 | 65.52.1.1:1236 | 23.53.254.142:80 |
Az IP-maszkolás vagy a portok maszkolása a magánhálózati IP-címet és portot a nyilvános IP-címre és portra cseréli, mielőtt csatlakozik az internethez. A NAT-átjáró ugyanazon nyilvános IP-címe mögött több privát erőforrás is álcázható.
A NAT-átjáró újra felhasznál egy SNAT-portot egy új célhelyhez való csatlakozáshoz
Ahogy korábban említettük, a NAT-átjáró ugyanazt az SNAT-portot újra felhasználhatja egy új célvégponthoz való egyidejű csatlakozáshoz. A következő táblázatban a NAT-átjáró lefordítja a 4. folyamatot egy olyan SNAT-portra, amely már használatban van más célokhoz (lásd az előző táblázat 1. folyamatát).
| Folyamat | Forrásrekord | Forrásrekord az SNAT után | Célrekord |
|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 |
A NAT-átjáró SNAT-portja lehűl ugyanahhoz a célhelyhez való újrafelhasználáshoz
Abban az esetben, ha a NAT-átjáró újra felhasznál egy SNAT-portot, hogy új kapcsolatokat létesítsen ugyanahhoz a célvégponthoz, az SNAT-port először egy SNAT-port újrafelhasználási fázisába kerül a lehűlés érdekében. Az SNAT-portok újrafelhasználási időszaka segít biztosítani, hogy az SNAT-portok ne legyenek túl gyorsan újra felhasználva, amikor ugyanahhoz a célhelyhez csatlakoznak. Ez az SNAT-port újra felhasználható a NAT-átjárón történő lehűléshez olyan esetekben, amikor a célvégpont rendelkezik egy tűzfallal, amely saját forrásport időzítőjével rendelkezik a lehűléshez.
Az SNAT-portok visszahűtési viselkedésének bemutatásához tekintsük át közelebbről a 4. folyamatot az előző táblázatból. A Flow 4 egy 20 másodperces forrásport-lehűlési időzítővel rendelkező tűzfal által megnyitott célvégponthoz kapcsolódott.
| Folyamat | Forrásrekord | Forrásrekord az SNAT után | Célrekord | A csomagtípus-kapcsolat a | A cél tűzfal időzítője a forrásport lehűlése érdekében |
|---|---|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 | TCP FIN | 20 másodperc |
Csatlakozás 4. folyamat egy TCP FIN-csomaggal záródik. Mivel a kapcsolat TCP FIN-csomaggal van lezárva, a NAT-átjáró 65 másodpercig lehűti az 1234-es SNAT-portot, mielőtt újra felhasználható lenne. Mivel az 1234-ös port lehűlése hosszabb ideig tart, mint a tűzfal forrásportjának 20 másodperces lehűlési időmérője, az 5. kapcsolati folyamat az 1234-s SNAT-port problémamentes újrafelhasználásával folytatódik.
| Folyamat | Forrásrekord | Forrásrekord az SNAT után | Célrekord |
|---|---|---|---|
| 5 | 10.2.0.1:5769 | 65.52.1.1:1234 | 26.108.254.155:80 |
Ne feledje, hogy a NAT-átjáró különböző SNAT-portok alá helyezi az SNAT-portokat, és az előző kapcsolat bezárásától függően újra felhasználja a lehűlési időzítőket. Az SNAT-portok újrafelhasználási időzítőiről további információt a Port újrafelhasználási időzítői című témakörben talál.
Ne függjön a forrásportok hozzárendelésének adott módjától a fenti példákban. Az előbbiek csak az alapvető fogalmakat szemléltetik.