ترجمة عنوان الشبكة المصدر (SNAT) باستخدام بوابة Azure NAT
تسمح ترجمة عناوين الشبكة المصدر (SNAT) لنسبة استخدام الشبكة من شبكة ظاهرية خاصة بالاتصال بالإنترنت مع البقاء خاصا بالكامل. يعيد SNAT كتابة IP المصدر ومنفذ الحزمة الأصلية إلى مجموعة IP ومنفذ عام. تستخدم المنافذ كمعرفات فريدة لتمييز الاتصالات المختلفة عن بعضها البعض. يستخدم الإنترنت تجزئة من خمس مجموعات (بروتوكول، IP/منفذ المصدر، عنوان IP/منفذ الوجهة) لتوفير هذا التمييز.
يسمح SNAT أيضا لمثيلات خاصة متعددة داخل شبكة ظاهرية باستخدام نفس عنوان IP العام الواحد أو مجموعة عناوين IP (البادئة) للاتصال بالإنترنت.
تتيح بوابة NAT إمكانية SNAT من متعدد إلى واحد. يمكن للعديد من المثيلات الخاصة في شبكة فرعية SNAT إلى عنوان IP عام مرفق ببوابة NAT من أجل الاتصال بالإنترنت. عندما تقوم بوابة NAT بإجراء اتصالات متعددة إلى نفس نقطة النهاية الوجهة، يستخدم كل اتصال جديد منفذ SNAT مختلف بحيث يمكن تمييز الاتصالات عن بعضها البعض.
يحدث استنفاد منفذ ترجمة عنوان شبكة المصدر عند نفاد نقطة نهاية المصدر من منافذ ترجمة عنوان شبكة المصدر المتوفرة للتمييز بين الاتصالات الجديدة. عند حدوث استنفاد منفذ SNAT، تفشل الاتصالات.
مقياس SNAT لبوابة NAT
يعد توسيع نطاق بوابة ترجمة عناوين الشبكة في المقام الأول وظيفة لإدارة مخزون منفذ ترجمة عنوان شبكة المصدر المشترك والمتاح.
يتم توفير مخزون منفذ SNAT بواسطة عناوين IP العامة أو بادئات IP العامة أو كليهما مرفق ببوابة NAT. يتم توفير مخزون منفذ SNAT عند الطلب لجميع المثيلات داخل شبكة فرعية متصلة ببوابة NAT. نظرا لأن حمل العمل الخاص بمقياس مثيلات الشبكة الفرعية، تخصص بوابة NAT منافذ SNAT حسب الحاجة.
عند إرفاق شبكات فرعية متعددة داخل شبكة ظاهرية بنفس مورد بوابة NAT، تتم مشاركة مخزون منفذ SNAT الذي توفره بوابة NAT عبر جميع الشبكات الفرعية.
يمكن لبوابة ترجمة عناوين شبكة واحدة توسيع نطاق ما يصل إلى 16 عنوان IP. يوفر كل عنوان IP عام لبوابة ترجمة عناوين الشبكة 64,512 منفذ SNAT لإجراء اتصالات صادرة. يمكن لبوابة NAT توسيع نطاقها إلى أكثر من 1 مليون منفذ SNAT. TCP وUDP مخزونان منفصلان لمنفذ ترجمة عنوان شبكة المصدر ولا علاقة لهما ببوابة ترجمة عناوين الشبكة.
تقوم بوابة ترجمة عناوين الشبكة بتخصيص منافذ ترجمة عنوان شبكة المصدر ديناميكياً
تخصص بوابة NAT منافذ SNAT ديناميكيا عبر الموارد الخاصة للشبكة الفرعية، مثل الأجهزة الظاهرية. يتم استخدام جميع منافذ SNAT المتوفرة عند الطلب من قبل أي جهاز ظاهري في الشبكات الفرعية التي تم تكوينها باستخدام بوابة NAT.
الشكل: تخصيص منفذ SNAT
يلزم تخصيص منافذ SNAT مسبقا لكل جهاز ظاهري لأساليب SNAT الأخرى. يمكن أن يؤدي هذا التخصيص المسبق لمنافذ SNAT إلى استنفاد منفذ SNAT على بعض الأجهزة الظاهرية بينما لا يزال لدى البعض الآخر منافذ SNAT المتوفرة للاتصال الصادر.
باستخدام بوابة NAT، لا يلزم التخصيص المسبق لمنافذ SNAT، مما يعني أن منافذ SNAT لا تترك غير مستخدمة من قبل الأجهزة الظاهرية التي لا تحتاج إليها بنشاط.
بعد إصدار منفذ SNAT، يكون متاحا للاستخدام من قبل أي جهاز ظاهري داخل الشبكات الفرعية التي تم تكوينها باستخدام بوابة NAT. يسمح التخصيص عند الطلب لأحمال العمل الديناميكية والمتباينة على الشبكات الفرعية باستخدام منافذ ترجمة عنوان شبكة المصدر حسب الحاجة. طالما تتوفر منافذ SNAT، تنجح تدفقات SNAT.
الشكل: استنفاد منفذ SNAT
تحديد منفذ SNAT لبوابة NAT وإعادة استخدامه
تحدد بوابة NAT منفذ SNAT عشوائيا من المخزون المتوفر من المنافذ لإجراء اتصالات صادرة جديدة. إذا لم تعثر بوابة NAT على أي منافذ SNAT متوفرة، فإنها تعيد استخدام منفذ SNAT. يمكن استخدام نفس منفذ SNAT للاتصال وجهات مختلفة متعددة في نفس الوقت.
يمكن إعادة استخدام منفذ SNAT للاتصال بنفس نقطة النهاية الوجهة. قبل إعادة استخدام المنفذ، تضع بوابة NAT مؤقت إعادة استخدام منفذ SNAT لتهدئة المنفذ بعد إغلاق الاتصال.
يساعد مؤقت إعادة استخدام منفذ SNAT على منع تحديد المنافذ بسرعة كبيرة جدا للاتصال بنفس الوجهة. هذه العملية مفيدة عندما تحتوي نقاط النهاية الوجهة على جدران حماية أو خدمات أخرى تم تكوينها تضع مؤقت تهدئة على منافذ المصدر. تختلف مؤقتات إعادة استخدام منفذ SNAT استنادا إلى كيفية إغلاق تدفق الاتصال. لمعرفة المزيد، راجع مؤقتات إعادة استخدام المنفذ.
الشكل: إعادة استخدام منفذ SNAT
مثال على تدفقات ترجمة عنوان شبكة المصدر لبوابة ترجمة عناوين الشبكة
العديد من SNAT إلى واحد مع بوابة NAT
توفر بوابة NAT تكوينا متعددا إلى واحد حيث يمكن لمثيلات خاصة متعددة داخل الشبكة الفرعية المكونة لبوابة NAT استخدام نفس عنوان IP العام للاتصال الصادر.
في الجدول التالي، يقوم جهازان ظاهريان مختلفان (10.0.0.1 و10.2.0.1) بإجراء اتصالات ب https://microsoft.com IP الوجهة 23.53.254.142. عند تكوين بوابة NAT بعنوان IP العام 65.52.1.1، تتم ترجمة عناوين IP المصدر لكل جهاز ظاهري إلى عنوان IP العام لبوابة NAT ومنفذ SNAT:
| سير العمل | مجموعة المصدر | مجموعة المصدر بعد ترجمة عنوان شبكة المصدر | مجموعة الوجهة |
|---|---|---|---|
| 1 | 10.0.0.1:4283 | 65.52.1.1:1234 | 23.53.254.142:80 |
| 2 | 10.0.0.1:4284 | 65.52.1.1:1235 | 23.53.254.142:80 |
| 3 | 10.2.0.1:5768 | 65.52.1.1:1236 | 23.53.254.142:80 |
تنكر IP أو تنكر المنفذ هو عمل استبدال IP الخاص والمنفذ ب IP العام والمنفذ قبل الاتصال بالإنترنت. يمكن تنكر موارد خاصة متعددة خلف نفس IP العام لبوابة NAT.
تعيد بوابة NAT استخدام منفذ SNAT للاتصال بوجهة جديدة
كما ذكرنا سابقا، يمكن لبوابة NAT إعادة استخدام نفس منفذ SNAT للاتصال في وقت واحد بنقطة نهاية وجهة جديدة. في الجدول التالي، تترجم بوابة NAT التدفق 4 إلى منفذ SNAT قيد الاستخدام بالفعل لوجهات أخرى (راجع التدفق 1 من الجدول السابق).
| سير العمل | مجموعة المصدر | مجموعة المصدر بعد ترجمة عنوان شبكة المصدر | مجموعة الوجهة |
|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 |
تهدئة منفذ SNAT لبوابة NAT لإعادة استخدامها إلى نفس الوجهة
في سيناريو حيث تعيد بوابة NAT استخدام منفذ SNAT لإجراء اتصالات جديدة بنفس نقطة النهاية الوجهة، يتم وضع منفذ SNAT أولا في مرحلة إعادة استخدام منفذ SNAT للتهدئة. تساعد فترة إعادة استخدام منفذ SNAT على ضمان عدم إعادة استخدام منافذ SNAT بسرعة كبيرة عند الاتصال بنفس الوجهة. تعد إعادة استخدام منفذ SNAT لتهدئة بوابة NAT مفيدة في السيناريوهات التي تحتوي فيها نقطة النهاية الوجهة على جدار حماية مع مؤقت منفذ المصدر الخاص بها للتهدئة في مكانها.
لإظهار سلوك إعادة استخدام منفذ SNAT هذا، دعنا نلقي نظرة فاحصة على التدفق 4 من الجدول السابق. كان التدفق 4 يتصل بنقطة نهاية وجهة أمام جدار حماية بمنفذ مصدر 20 ثانية يبرد المؤقت.
| سير العمل | مجموعة المصدر | مجموعة المصدر بعد ترجمة عنوان شبكة المصدر | مجموعة الوجهة | يتم إغلاق اتصال نوع الحزمة باستخدام | مؤقت جدار الحماية الوجهة لتهدئة المنفذ المصدر |
|---|---|---|---|---|---|
| 4 | 10.0.0.1:4285 | 65.52.1.1:1234 | 26.108.254.155:80 | TCP FIN | 20 ثانية |
يتم إغلاق تدفق الاتصال ion 4 مع حزمة TCP FIN. نظرا لأن الاتصال مغلق مع حزمة TCP FIN، تضع بوابة NAT منفذ SNAT 1234 في حالة تهدئة لمدة 65 ثانية قبل أن يمكن إعادة استخدامها. نظرا لأن المنفذ 1234 في حالة تهدئة لفترة أطول من منفذ مصدر جدار الحماية يبرد مدة المؤقت البالغة 20 ثانية، يستمر تدفق الاتصال 5 في إعادة استخدام منفذ SNAT 1234 دون مشكلة.
| سير العمل | مجموعة المصدر | مجموعة المصدر بعد ترجمة عنوان شبكة المصدر | مجموعة الوجهة |
|---|---|---|---|
| 5 | 10.2.0.1:5769 | 65.52.1.1:1234 | 26.108.254.155:80 |
ضع في اعتبارك أن بوابة NAT تضع منافذ SNAT ضمن إعادة استخدام منفذ SNAT مختلفة لتهدئة المؤقتات اعتمادا على كيفية إغلاق الاتصال السابق. لمزيد من المعلومات حول مؤقتات إعادة استخدام منفذ SNAT، راجع مؤقتات إعادة استخدام المنفذ.
لا تعتمد على الطريقة المحددة التي يتم بها تعيين منافذ المصدر في الأمثلة أعلاه. التوضيحات السابقة هي توضيحات للمفاهيم الأساسية فقط.