Megosztás a következőn keresztül:


Forráshálózati címfordítás (SNAT) az Azure NAT Gateway használatával

A forráshálózati címfordítás (SNAT) lehetővé teszi, hogy a magánhálózatról érkező forgalom csatlakozzon az internethez, miközben teljes mértékben privát maradjon. Az SNAT egy nyilvános IP-címre és portkombinációra írja át az eredeti csomag forrás IP-címét és portját. A portok egyedi azonosítóként szolgálnak a különböző kapcsolatok egymástól való megkülönböztetéséhez. Az internet ötrekordos kivonatot (protokoll, forrás IP/port, cél IP/port) használ a különbségtétel biztosításához.

Az SNAT azt is lehetővé teszi, hogy egy virtuális hálózaton belül több privát példány ugyanazt az egyetlen nyilvános IP-címet vagy IP-címkészletet (előtagot) használja az internethez való csatlakozáshoz.

A NAT-átjáró több az egyhez SNAT-képességet tesz lehetővé. Az alhálózat számos privát példánya képes a NAT-átjáróhoz csatolt nyilvános IP-címre SNAT-t adni az internethez való csatlakozáshoz. Ha a NAT-átjáró több kapcsolatot létesít ugyanahhoz a célvégponthoz, minden új kapcsolat más SNAT-portot használ, hogy a kapcsolatok megkülönböztethetők legyenek egymástól.

Az SNAT-portok kimerülése akkor fordul elő, ha egy forrásvégpont elfogy a rendelkezésre álló SNAT-portok közül, hogy különbséget tegyen az új kapcsolatok között. Az SNAT-portok kimerülése esetén a kapcsolatok meghiúsulnak.

SNAT méretezése NAT-átjáróhoz

A NAT-átjáró skálázása elsősorban a megosztott, elérhető SNAT-portleltár kezelésének függvénye.

Az SNAT-portleltárat a nyilvános IP-címek, a nyilvános IP-előtagok vagy mindkettő a NAT-átjáróhoz csatolva biztosítja. Az SNAT-portleltár igény szerint elérhetővé válik a NAT-átjáróhoz csatolt alhálózat összes példánya számára. Az alhálózat privát példányainak számítási feladatainak méretezése során a NAT-átjáró szükség szerint lefoglalja az SNAT-portokat.

Ha egy virtuális hálózaton belül több alhálózat csatlakozik ugyanahhoz a NAT-átjáró-erőforráshoz, a NAT-átjáró által biztosított SNAT-portleltár minden alhálózaton meg van osztva.

Egyetlen NAT-átjáró legfeljebb 16 IP-címet méretezhet. Minden NAT-átjáró nyilvános IP-címe 64 512 SNAT-portot biztosít a kimenő kapcsolatok létrehozásához. A NAT-átjáró akár több mint 1 millió SNAT-portot is képes méretezni. A TCP és az UDP különálló SNAT-portkészletek, és nem kapcsolódnak a NAT-átjáróhoz.

A NAT Gateway dinamikusan foglal le SNAT-portokat

A NAT-átjáró dinamikusan lefoglalja az SNAT-portokat az alhálózat magánerőforrásai között, például virtuális gépeken. Minden rendelkezésre álló SNAT-portot igény szerint használnak a NAT-átjáróval konfigurált alhálózatokban lévő virtuális gépek.

Az SNAT-portok lefoglalásának diagramja.

Ábra: SNAT-portok lefoglalása

Az SNAT-portok előretelepítése minden virtuális gépre más SNAT-metódusokhoz szükséges. Az SNAT-portok ezen előretelepítése SNAT-portok kimerülését okozhatja egyes virtuális gépeken, míg mások továbbra is rendelkezésre álló SNAT-portokkal rendelkeznek a kimenő csatlakozáshoz.

A NAT-átjáró esetében az SNAT-portok előtelepítése nem szükséges, ami azt jelenti, hogy az SNAT-portokat nem hagyják használaton kívül az olyan virtuális gépek, amelyeknek aktívan szükségük van rájuk.

Az SNAT-port kiadása után a NAT-átjáróval konfigurált alhálózatokon belül bármely virtuális gép használhatja. Az igény szerinti kiosztás lehetővé teszi, hogy az alhálózatok dinamikus és eltérő számítási feladatai szükség szerint SNAT-portokat használjanak. Amíg az SNAT-portok elérhetők, az SNAT-folyamatok sikeresek lesznek.

Az SNAT-portok kimerülésének diagramja.

Ábra: SNAT-portok kimerülése

NAT-átjáró SNAT-portjának kiválasztása és újrafelhasználása

A NAT-átjáró véletlenszerűen kiválaszt egy SNAT-portot a portok rendelkezésre álló készletéből új kimenő kapcsolatok létrehozásához. Ha a NAT-átjáró nem talál elérhető SNAT-portokat, akkor újra felhasznál egy SNAT-portot. Ugyanaz az SNAT-port használható egyszerre több különböző célhelyhez való csatlakozáshoz.

Az SNAT-portok újra felhasználhatók ugyanahhoz a célvégponthoz való csatlakozáshoz. A port újbóli használata előtt a NAT-átjáró egy SNAT-port újrafelhasználási időzítőt helyez el a porton a kapcsolat bezárása után történő lehűléshez.

Az SNAT-port újrafelhasználási időzítője segít megakadályozni, hogy a portok túl gyorsan legyenek kiválasztva ahhoz, hogy ugyanahhoz a célhoz csatlakozzanak. Ez a folyamat akkor hasznos, ha a célvégpontok tűzfalakat vagy más olyan szolgáltatásokat konfiguráltak, amelyek lehűlési időzítőt helyeznek el a forrásportokon. Az SNAT-portok újrafelhasználási időzítői a kapcsolati folyamat lezárásától függően változnak. További információ: Port újrafelhasználási időzítők.

Az SNAT-portok újrafelhasználásának diagramja.

Ábra: SNAT-port újrafelhasználása

Példa SNAT-folyamatokra a NAT-átjáróhoz

Több-egy SNAT NAT-átjáróval

A NAT-átjáró több-egy konfigurációt biztosít, amelyben a NAT-átjáró által konfigurált alhálózaton belül több privát példány is ugyanazt a nyilvános IP-címet használhatja a kimenő csatlakozáshoz.

Az alábbi táblázatban két különböző virtuális gép (10.0.0.1 és 10.2.0.1) létesít kapcsolatot https://microsoft.com a cél IP 23.53.254.142-es címével. Ha a NAT-átjáró a 65.52.1.1 nyilvános IP-címmel van konfigurálva, az egyes virtuális gépek forrás IP-címei a NAT-átjáró nyilvános IP-címére és egy SNAT-portra lesznek lefordítva:

Folyamat Forrásrekord Forrásrekord az SNAT után Célrekord
0 10.0.0.1:4283 65.52.1.1:1234 23.53.254.142:80
2 10.0.0.1:4284 65.52.1.1:1235 23.53.254.142:80
3 10.2.0.1:5768 65.52.1.1:1236 23.53.254.142:80

Az IP-maszkolás vagy a portok maszkolása a magánhálózati IP-címet és portot a nyilvános IP-címre és portra cseréli, mielőtt csatlakozik az internethez. A NAT-átjáró ugyanazon nyilvános IP-címe mögött több privát erőforrás is álcázható.

A NAT-átjáró újra felhasznál egy SNAT-portot egy új célhelyhez való csatlakozáshoz

Ahogy korábban említettük, a NAT-átjáró ugyanazt az SNAT-portot újra felhasználhatja egy új célvégponthoz való egyidejű csatlakozáshoz. A következő táblázatban a NAT-átjáró lefordítja a 4. folyamatot egy olyan SNAT-portra, amely már használatban van más célokhoz (lásd az előző táblázat 1. folyamatát).

Folyamat Forrásrekord Forrásrekord az SNAT után Célrekord
4 10.0.0.1:4285 65.52.1.1:1234 26.108.254.155:80

A NAT-átjáró SNAT-portja lehűl ugyanahhoz a célhelyhez való újrafelhasználáshoz

Abban az esetben, ha a NAT-átjáró újra felhasznál egy SNAT-portot, hogy új kapcsolatokat létesítsen ugyanahhoz a célvégponthoz, az SNAT-port először egy SNAT-port újrafelhasználási fázisába kerül a lehűlés érdekében. Az SNAT-portok újrafelhasználási időszaka segít biztosítani, hogy az SNAT-portok ne legyenek túl gyorsan újra felhasználva, amikor ugyanahhoz a célhelyhez csatlakoznak. Ez az SNAT-port újra felhasználható a NAT-átjárón történő lehűléshez olyan esetekben, amikor a célvégpont rendelkezik egy tűzfallal, amely saját forrásport időzítőjével rendelkezik a lehűléshez.

Az SNAT-portok visszahűtési viselkedésének bemutatásához tekintsük át közelebbről a 4. folyamatot az előző táblázatból. A Flow 4 egy 20 másodperces forrásport-lehűlési időzítővel rendelkező tűzfal által megnyitott célvégponthoz kapcsolódott.

Folyamat Forrásrekord Forrásrekord az SNAT után Célrekord A csomagtípus-kapcsolat a A cél tűzfal időzítője a forrásport lehűlése érdekében
4 10.0.0.1:4285 65.52.1.1:1234 26.108.254.155:80 TCP FIN 20 másodperc

Csatlakozás 4. folyamat egy TCP FIN-csomaggal záródik. Mivel a kapcsolat TCP FIN-csomaggal van lezárva, a NAT-átjáró 65 másodpercig lehűti az 1234-es SNAT-portot, mielőtt újra felhasználható lenne. Mivel az 1234-ös port lehűlése hosszabb ideig tart, mint a tűzfal forrásportjának 20 másodperces lehűlési időmérője, az 5. kapcsolati folyamat az 1234-s SNAT-port problémamentes újrafelhasználásával folytatódik.

Folyamat Forrásrekord Forrásrekord az SNAT után Célrekord
5 10.2.0.1:5769 65.52.1.1:1234 26.108.254.155:80

Ne feledje, hogy a NAT-átjáró különböző SNAT-portok alá helyezi az SNAT-portokat, és az előző kapcsolat bezárásától függően újra felhasználja a lehűlési időzítőket. Az SNAT-portok újrafelhasználási időzítőiről további információt a Port újrafelhasználási időzítői című témakörben talál.

Ne függjön a forrásportok hozzárendelésének adott módjától a fenti példákban. Az előbbiek csak az alapvető fogalmakat szemléltetik.