Azure NAT Ağ Geçidi ile Kaynak Ağ Adresi Çevirisi (SNAT)

Kaynak Ağ Adresi Çevirisi (SNAT), özel bir sanal ağdan gelen trafiğin tamamen özel kalırken İnternet'e bağlanmasına izin verir. SNAT, kaynak paketin kaynak IP'sini ve bağlantı noktasını bir genel IP ve bağlantı noktası bileşimine yeniden yazar. Bağlantı noktaları, birbirinden farklı bağlantıları ayırt etmek için benzersiz tanımlayıcılar olarak kullanılır. İnternet, bu ayrımı sağlamak için beş tanımlama grubu karması (protokol, kaynak IP/bağlantı noktası, hedef IP/bağlantı noktası) kullanır.

SNAT ayrıca bir sanal ağ içindeki birden çok özel örneğin İnternet'e bağlanmak için aynı tek genel IP adresini veya IP adresleri kümesini (ön ek) kullanmasına da izin verir.

NAT ağ geçidi, çoka bir SNAT özelliğini etkinleştirir. Bir alt ağdaki birçok özel örnek, İnternet'e bağlanmak için NAT ağ geçidine bağlı bir genel IP adresine SNAT yapabilir. NAT ağ geçidi aynı hedef uç noktaya birden çok bağlantı yaptığında, bağlantıların birbirinden ayırt edilebilmesi için her yeni bağlantı farklı bir SNAT bağlantı noktası kullanır.

SNAT bağlantı noktası tükenmesi, bir kaynak uç noktanın yeni bağlantılar arasında ayrım yapmak için kullanılabilir SNAT bağlantı noktaları tükendiği zaman oluşur. SNAT bağlantı noktası tükenmesi oluştuğunda bağlantılar başarısız olur.

NAT ağ geçidi için SNAT'i ölçeklendirme

NAT ağ geçidini ölçeklendirme, öncelikle paylaşılan, kullanılabilir SNAT bağlantı noktası envanterini yönetmenin bir işlevidir.

SNAT bağlantı noktası envanteri genel IP adresleri, genel IP ön ekleri veya NAT ağ geçidine eklenmiş her ikisi tarafından sağlanır. SNAT bağlantı noktası envanteri, NAT ağ geçidine bağlı bir alt ağ içindeki tüm örnekler için isteğe bağlı olarak kullanılabilir hale getirilmiştir. Bir alt ağın özel örneklerinin iş yükü ölçeklendirildikçe NAT ağ geçidi gerektiğinde SNAT bağlantı noktalarını ayırır.

Bir sanal ağ içindeki birden çok alt ağ aynı NAT ağ geçidi kaynağına bağlandığında, NAT ağ geçidi tarafından sağlanan SNAT bağlantı noktası envanteri tüm alt ağlarda paylaşılır.

Tek bir NAT ağ geçidi 16 IP adresine kadar ölçeklendirilebilir. Her NAT ağ geçidi genel IP adresi, giden bağlantılar yapmak için 64.512 SNAT bağlantı noktası sağlar. NAT ağ geçidi 1 milyondan fazla SNAT bağlantı noktasının ölçeğini artırabilir. TCP ve UDP ayrı SNAT bağlantı noktası envanterleridir ve NAT ağ geçidiyle ilgisizdir.

NAT ağ geçidi SNAT bağlantı noktalarını dinamik olarak ayırır

NAT ağ geçidi, sanal makineler gibi bir alt ağın özel kaynakları arasında SNAT bağlantı noktalarını dinamik olarak ayırır. Kullanılabilir tüm SNAT bağlantı noktaları, NAT ağ geçidi ile yapılandırılmış alt ağlardaki herhangi bir sanal makine tarafından isteğe bağlı olarak kullanılır.

SNAT bağlantı noktası ayırma diyagramı.

Şekil: SNAT bağlantı noktası ayırma

SNAT bağlantı noktalarının her sanal makineye önceden yerleştirilmesi, diğer SNAT yöntemleri için gereklidir. SNAT bağlantı noktalarının bu önceden yerleştirilmesi bazı sanal makinelerde SNAT bağlantı noktası tükenmesine neden olurken, diğerleri giden bağlantı noktalarına bağlanmak için kullanılabilir SNAT bağlantı noktalarına sahip olabilir.

NAT ağ geçidinde, SNAT bağlantı noktalarının önceden yüklenmesi gerekli değildir; bu da SNAT bağlantı noktalarının etkin olarak ihtiyaç duymayan sanal makineler tarafından kullanılmadan bırakılmadığı anlamına gelir.

Bir SNAT bağlantı noktası yayımlandıktan sonra, NAT ağ geçidi ile yapılandırılmış alt ağlarda herhangi bir sanal makine tarafından kullanılabilir. İsteğe bağlı ayırma, alt ağlardaki dinamik ve ayrık iş yüklerinin gerektiğinde SNAT bağlantı noktalarını kullanmasına olanak tanır. SNAT bağlantı noktaları kullanılabilir olduğu sürece SNAT akışları başarılı olur.

SNAT bağlantı noktası tükenme diyagramı.

Şekil: SNAT bağlantı noktası tükenmesi

NAT ağ geçidi SNAT bağlantı noktası seçimi ve yeniden kullanma

NAT ağ geçidi, yeni giden bağlantılar oluşturmak için kullanılabilir bağlantı noktaları envanterinin dışında rastgele bir SNAT bağlantı noktası seçer. NAT ağ geçidi kullanılabilir SNAT bağlantı noktası bulamazsa bir SNAT bağlantı noktasını yeniden kullanır. Aynı SNAT bağlantı noktası aynı anda birden çok farklı hedefe bağlanmak için kullanılabilir.

SNAT bağlantı noktası aynı hedef uç noktaya bağlanmak için yeniden kullanılabilir. Bağlantı noktası yeniden kullanmadan önce NAT ağ geçidi, bağlantı kapatıldıktan sonra bağlantı noktasında seyrek erişim için bir SNAT bağlantı noktası yeniden kullanım zamanlayıcısı yerleştirir.

SNAT bağlantı noktası yeniden kullanım zamanlayıcısı, bağlantı noktalarının aynı hedefe bağlanmak için çok hızlı seçilmesini önlemeye yardımcı olur. Bu işlem, hedef uç noktalarda kaynak bağlantı noktalarına bekleme süreölçeri yerleştiren güvenlik duvarları veya başka hizmetler yapılandırılmışsa yararlıdır. SNAT bağlantı noktası yeniden kullanım zamanlayıcıları, bağlantı akışının nasıl kapatıldığına bağlı olarak değişir. Daha fazla bilgi edinmek için bkz . Bağlantı Noktası Yeniden Kullanım Zamanlayıcıları.

SNAT bağlantı noktası yeniden kullanımı diyagramı.

Şekil: SNAT bağlantı noktasını yeniden kullanma

NAT ağ geçidi için örnek SNAT akışları

NAT ağ geçidi ile çoka bir SNAT

NAT ağ geçidi, NAT ağ geçidi yapılandırılmış alt ağındaki birden çok özel örneğin giden ağa bağlanmak için aynı genel IP adresini kullanabileceği çok-bir yapılandırma sağlar.

Aşağıdaki tabloda iki farklı sanal makine (10.0.0.1 ve 10.2.0.1) hedef IP 23.53.254.142'ye https://microsoft.com bağlantı oluşturur. NAT ağ geçidi genel IP adresi 65.52.1.1 ile yapılandırıldığında, her sanal makinenin kaynak IP'leri NAT ağ geçidinin genel IP adresine ve bir SNAT bağlantı noktasına çevrilir:

Akış Kaynak tanımlama grubu SNAT'nin ardından kaynak tanımlama grubu Hedef tanımlama grubu
1 10.0.0.1:4283 65.52.1.1:1234 23.53.254.142:80
2 10.0.0.1:4284 65.52.1.1:1235 23.53.254.142:80
3 10.2.0.1:5768 65.52.1.1:1236 23.53.254.142:80

IP maskeleme veya bağlantı noktası maskeleme , internete bağlanmadan önce özel IP ve bağlantı noktasını genel IP ve bağlantı noktasıyla değiştirme işlemidir. Nat ağ geçidinin aynı genel IP'sinin arkasında birden çok özel kaynak gizlenebilir.

NAT ağ geçidi, yeni bir hedefe bağlanmak için bir SNAT bağlantı noktasını yeniden kullanır

Daha önce belirtildiği gibi NAT ağ geçidi aynı SNAT bağlantı noktasını yeni bir hedef uç noktaya aynı anda bağlanmak için yeniden kullanabilir. Aşağıdaki tabloda NAT ağ geçidi, 4. akışı diğer hedefler için zaten kullanımda olan bir SNAT bağlantı noktasına çevirir (bkz. önceki tablodan 1. akış).

Akış Kaynak tanımlama grubu SNAT'nin ardından kaynak tanımlama grubu Hedef tanımlama grubu
4 10.0.0.1:4285 65.52.1.1:1234 26.108.254.155:80

NAT ağ geçidi SNAT bağlantı noktası aynı hedefe yeniden kullanım için beklemede

NAT ağ geçidinin aynı hedef uç noktaya yeni bağlantılar oluşturmak için bir SNAT bağlantı noktasını yeniden kullanacağı bir senaryoda, SNAT bağlantı noktası ilk olarak seyrek kullanım için bir SNAT bağlantı noktası yeniden kullanma aşamasına yerleştirilir. SNAT bağlantı noktası yeniden kullanım süresi, aynı hedefe bağlanırken SNAT bağlantı noktalarının çok hızlı bir şekilde yeniden kullanılamamasını sağlamaya yardımcı olur. NAT ağ geçidinde seyrek erişim için bu SNAT bağlantı noktası yeniden kullanımı, hedef uç noktanın bekleme için kendi kaynak bağlantı noktası zamanlayıcısına sahip bir güvenlik duvarına sahip olduğu senaryolarda faydalıdır.

Bu SNAT bağlantı noktası yeniden kullanım seyrek kullanım davranışını göstermek için önceki tablodan 4. akışa daha yakından bakalım. Flow 4, 20 saniyelik kaynak bağlantı noktası seyrek erişim süreölçerine sahip bir güvenlik duvarının önündeki hedef uç noktaya bağlanıyordu.

Akış Kaynak tanımlama grubu SNAT'nin ardından kaynak tanımlama grubu Hedef tanımlama grubu Paket türü bağlantısı ile kapatıldı Kaynak bağlantı noktası için seyrek erişim için hedef güvenlik duvarı zamanlayıcısı
4 10.0.0.1:4285 65.52.1.1:1234 26.108.254.155:80 TCP FIN 20 saniye

Bağlan ion flow 4 bir TCP FIN paketiyle kapatıyor. Bağlantı bir TCP FIN paketiyle kapatıldığı için NAT ağ geçidi, yeniden kullanılabilmesi için SNAT bağlantı noktası 1234'ün 65 saniye boyunca beklemeye alınmasına neden olur. 1234 numaralı bağlantı noktası güvenlik duvarı kaynak bağlantı noktasının 20 saniyelik süreölçer süresinden daha uzun süre beklemede olduğundan, bağlantı akışı 5, SNAT bağlantı noktası 1234'ün sorunsuz bir şekilde yeniden kullanılmaya devam eder.

Akış Kaynak tanımlama grubu SNAT'nin ardından kaynak tanımlama grubu Hedef tanımlama grubu
5 10.2.0.1:5769 65.52.1.1:1234 26.108.254.155:80

NAT ağ geçidinin SNAT bağlantı noktalarını, önceki bağlantının nasıl kapatıldığını bağlı olarak farklı SNAT bağlantı noktası yeniden kullanma süreölçerlerinin altına yerleştirdiğini unutmayın. SNAT bağlantı noktası yeniden kullanım zamanlayıcıları hakkında daha fazla bilgi için bkz . Bağlantı Noktası Yeniden Kullanma Zamanlayıcıları.

Yukarıdaki örneklerde kaynak bağlantı noktalarının atanma yöntemine bağımlılığı almayın. Yukarıdakiler yalnızca temel kavramların çizimleridir.