ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توفر هذه المقالة نظرة عامة حول دعم ترجمة عناوين الشبكة (NAT) في بوابة Azure VPN. تحدد NAT آليات ترجمة عنوان IP إلى عنوان آخر في حزمة IP. توجد سيناريوهات متعددة لـ NAT:
- توصيل شبكات متعددة بعناوين IP متداخلة
- الاتصال من الشبكات ذات عناوين IP الخاصة (RFC1918) بالإنترنت (اختراق الإنترنت)
- توصيل شبكات IPv6 بشبكات IPv4 (NAT64)
هام
تدعم NAT الخاصة ببوابة Azure VPN السيناريو الأول لتوصيل الشبكات المحلية أو المكاتب الفرعية بشبكة Azure ظاهرية باستخدام عناوين IP المتداخلة. اختراق الإنترنت وNAT64 غير مدعومين.
نطاقات العناوين المتداخلة
تستخدم المؤسسات بشكل عام عناوين IP الخاصة المحددة في RFC1918 للاتصالات الداخلية في شبكاتها الخاصة. عندما تكون هذه الشبكات متصلة باستخدام VPN عبر الإنترنت أو عبر WAN خاص، يجب ألا تتداخل مساحات العناوين وإلا سيفشل الاتصال. لتوصيل شبكتين أو أكثر باستخدام عناوين IP متداخلة، يتم نشر NAT على جهاز البوابة الذي يربط الشبكات.
نوع NAT: ثابت وديناميكي
تقوم NAT الموجودة على جهاز بوابة بترجمة عناوين IP المصدر و/ أو الوجهة، بناءً على نُهُج أو قواعد NAT لتجنب تعارض العناوين. هناك أنواع مختلفة من قواعد ترجمة NAT:
NAT الثابتة: تحدد القواعد الثابتة علاقة تعيين عناوين ثابتة. بالنسبة لأي عنوان IP معين، سيتم تعيينه إلى نفس العنوان من التجمع الهدف. تكون التعيينات الخاصة بالقواعد الثابتة بدون حالة لأن التعيين ثابت.
NAT الديناميكية: بالنسبة إلى NAT الديناميكية، فيمكن ترجمة عنوان IP إلى عناوين IP مستهدفة مختلفة بناءً على التوافر، أو باستخدام مزيج مختلف من عنوان IP ومنفذ TCP/UDP. وهذا الأخير يسمى أيضاً NAPT وعنوان الشبكة وترجمة المنفذ. ستؤدي القواعد الديناميكية إلى تعيينات ترجمة محددة الحالة اعتماداً على تدفقات حركة المرور في أي وقت.
إشعار
عند استخدام قواعد NAT الديناميكية، تكون حركة المرور أحادية الاتجاه، ما يعني أنه يجب بدء الاتصال من الموقع الممثل في حقل التعيين الداخلي للقاعدة. إذا تم بدء حركة المرور من التعيين الخارجي، فلن يتم إنشاء الاتصال. إذا كنت تحتاج إلى بدء حركة مرور ثنائية الاتجاه، فاستخدم قاعدة NAT ثابتة لتحديد تعيين بنسبة 1:1.
هناك اعتبار آخر ويتمثل في حجم قائمة العناوين للترجمة. إذا كان حجم قائمة العناوين المستهدفة هو نفس حجم قائمة العناوين الأصلية، فاستخدم قاعدة NAT الثابتة لتحديد تعيين بنسبة 1:1 بترتيب تسلسلي. إذا كانت قائمة العناوين المستهدفة أصغر من قائمة العناوين الأصلية، فاستخدم قاعدة NAT الديناميكية لاستيعاب الاختلافات.
هام
- يتم دعم NAT على وحدات SKU التالية: VpnGw2 ~ 5، وVpnGw2AZ ~ 5AZ.
- يتم دعم NAT في اتصالات IPsec متعددة الأماكن فقط. لا يتم دعم الاتصالات من شبكة ظاهرية إلى شبكة ظاهرية، أو الاتصالات من نقطة إلى موقع.
- يمكن تعيين كل قاعدة ترجمة عناوين الشبكة الديناميكية إلى اتصال واحد.
وضع NAT: الدخول والخروج
تحدد كل قاعدة NAT تعيين عنوان أو علاقة ترجمة لمساحة عنوان الشبكة المقابلة:
الدخول: تقوم قاعدة IngressSNAT بتعيين مساحة عنوان شبكة محلية إلى مساحة عنوان مترجمة لتجنب تداخل العناوين.
الخروج: تقوم قاعدة EgressSNAT بتعيين مساحة عنوان شبكة Azure الظاهرية إلى مساحة عنوان مترجمة أخرى.
يحدد الحقلان التاليان مساحات العناوين لكل قاعدة NAT قبل الترجمة وبعدها:
التعيينات الداخلية: مساحة العنوان قبل الترجمة. بالنسبة لقاعدة الدخول، يتوافق هذا الحقل مع مساحة العنوان الأصلية للشبكة المحلية. بالنسبة لقاعدة الخروج، هذه هي مساحة عنوان الشبكة الظاهرية الأصلية.
التعيينات الخارجية: مساحة العنوان بعد الترجمة للشبكات المحلية (الدخول) أو VNet (الخروج). بالنسبة إلى الشبكات المختلفة المتصلة ببوابة Azure VPN، يجب ألا تتداخل مساحات العناوين لجميع التعيينات الخارجية مع بعضها البعض ومع الشبكات المتصلة بدون NAT.
ترجمة عناوين الشبكة (NAT) والتوجيه
بمجرد تعريف قاعدة NAT للاتصال، ستتغير مساحة العنوان الفعالة للاتصال باستخدام القاعدة. إذا تم تمكين BGP على بوابة Azure VPN، فحدد "تمكين ترجمة مسار BGP" لتحويل المسارات التي تم التعرف عليها والإعلان عنها تلقائياً على الاتصالات بقواعد NAT:
المسارات التي تم التعرف عليها: ستتم ترجمة بادئات الوجهة للمسارات التي تم التعرف عليها عبر إجراء عملية اتصال بقواعد IngressSNAT من بادئات التعيين الداخلية (pre-NAT) إلى بادئات التعيين الخارجية (post-NAT) لتلك القواعد.
المسارات المعلن عنها: ستقوم بوابة Azure VPN بالإعلان عن بادئات التعيين الخارجي (ما بعد NAT) لقواعد EgressSNAT لمساحة عنوان VNet، والمسارات المستفادة مع بادئات عنوان ما بعد NAT من الاتصالات الأخرى.
النظر في عنوان IP النظير لـ BGP لشبكة NAT'ed محلية:
- عنوان APIPA (169.254.0.1 إلى 169.254.255.254): NAT غير مدعوم بعناوين BGP APIPPA.
- عنوان لا ينتمي إلى APIPA: استبعاد عناوين IP النظيرة لـ BGP من نطاق NAT.
إشعار
لن يتم تحويل المسارات التي تم التعرف عليها في الاتصالات بدون قواعد IngressSNAT. لن يتم أيضاً تحويل مسارات الشبكة الظاهرية المعلن عنها إلى اتصالات بدون قواعد EgressSNAT.
مثال على NAT
يوضح الرسم التخطيطي التالي مثالاً على تكوينات Azure VPN NAT:
يوضح الرسم البياني Azure VNet وشبكتين محليتين، وجميعها بمساحة عنوان تبلغ 10.0.1.0/24. لتوصيل هاتين الشبكتين ببوابة Azure VNet وVPN، قم بإنشاء القواعد التالية:
قاعدة IngressSNAT 1: تترجم هذه القاعدة مساحة العنوان المحلية 10.0.1.0/24 192.168.2.0/24.
قاعدة IngressSNAT 2: تترجم هذه القاعدة مساحة العنوان المحلية 10.0.1.0/24 إلى 192.168.3.0/24.
قاعدة EgressSNAT 1: تترجم هذه القاعدة مساحة عنوان VNet 10.0.1.0/24 إلى 192.168.1.0/24.
في الرسم التخطيطي، يحتوي كل مورد اتصال على القواعد التالية:
الاتصال 1 (VNet-Branch1):
- قاعدة IngressSNAT 1
- قاعدة EgressSNAT 1
الاتصال 2 (VNet-Branch2)
- قاعدة IngressSNAT 2
- قاعدة EgressSNAT 1
استنادا إلى القواعد المرتبطة بالاتصالات، فيما يلي مساحات العناوين لكل شبكة:
| الشبكة | الأصل | مُترجَم |
|---|---|---|
| الشبكة الظاهرية | 10.0.1.0/24 | 192.168.1.0/24 |
| الفرع 1 | 10.0.1.0/24 | 192.168.2.0/24 |
| الفرع 2 | 10.0.1.0/24 | 192.168.3.0/24 |
يوضح الرسم التخطيطي التالي حزمة IP من الفرع 1 إلى VNet، قبل ترجمة NAT وبعدها:
هام
تحدد قاعدة SNAT واحدة الترجمة لكلا اتجاهي شبكة معينة:
- تحدد قاعدة IngressSNAT ترجمة عناوين IP المصدر القادمة إلى بوابة Azure VPN من الشبكة المحلية. كما تتعامل مع ترجمة عناوين IP الوجهة المغادرة من الشبكة الظاهرية إلى نفس الشبكة المحلية.
- تحدد قاعدة EgressSNAT ترجمة عناوين IP المصدر المغادرة من بوابة Azure VPN إلى الشبكات المحلية. كما أنه يتعامل مع ترجمة عناوين IP الوجهة للحزم القادمة إلى VNet عبر تلك الاتصالات مع قاعدة EgressSNAT.
- في كلتا الحالتين، لا توجد حاجة إلى قواعد DNAT.
تكوين NAT
لتنفيذ تكوين NAT الموضح في القسم السابق، قم أولا بإنشاء قواعد NAT في بوابة Azure VPN، ثم قم بإنشاء الاتصالات بقواعد NAT المقابلة المقترنة. راجع تكوين NAT على بوابات Azure VPN للتعرف على خطوات تكوين NAT للاتصالات متعددة الأماكن الخاصة بك.
قيود واعتبارات NAT
هام
هناك بضعة قيود على ميزة NAT.
- يتم دعم NAT على وحدات SKU التالية: VpnGw2 ~ 5، وVpnGw2AZ ~ 5AZ.
- يتم دعم NAT للاتصالات عبر المباني من خلال بروتوكول أمان برتوكول الإنترنت/مفتاح إنترنت التبادلي فقط. لا يتم دعم الاتصالات من شبكة ظاهرية إلى شبكة ظاهرية، أو الاتصالات من نقطة إلى موقع.
- قواعد NAT غير مدعومة على الاتصالات التي تم تمكين محددات نسبة استخدام الشبكة المستندة إلى النهج والشبكات الظاهرية الخاصة المستندة إلى النهج. يتم دعم قواعد NAT فقط على الشبكات الظاهرية الخاصة المستندة إلى المسار.
- الحد الأقصى لحجم الشبكة الفرعية لتعيين خارجي مدعوم لـ Dynamic NAT هو /26.
- يمكن تكوين تعيينات المنفذ باستخدام أنواع NAT الثابتة فقط. لا تنطبق سيناريوهات NAT الديناميكية على تعيينات المنفذ.
- لا يمكن أن تأخذ تعيينات المنفذ نطاقات في الوقت الحالي. يجب إدخال المنفذ الفردي.
- يمكن استخدام تعيينات المنفذ لكل من بروتوكولات TCP وUDP.
الأسئلة الشائعة حول NAT
هل NAT مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN؟
يتم دعم NAT على VpnGw2 إلى VpnGw25 وعلى VpnGw2AZ إلى VpnGw5AZ.
هل يمكنني استخدام NAT في اتصالات شبكة ظاهرية إلى شبكة ظاهرية أو نقطة إلى موقع؟
لا.
كم عدد قواعد NAT التي يمكنني استخدامها على بوابة VPN؟
يمكنك إنشاء ما يصل إلى 100 قاعدة NAT (قواعد الدخول والخروج مجتمعة) على بوابة VPN.
هل يمكنني استخدام شرطة مائلة (/) في اسم قاعدة NAT؟
لا. ستتلقى خطأ.
هل يتم تطبيق NAT على جميع الاتصالات على بوابة VPN؟
يتم تطبيق NAT على الاتصالات التي تحتوي على قواعد NAT. إذا كان الاتصال لا يحتوي على قاعدة ترجمة عناوين الشبكة (NAT)، فلن يتم تفعيل ترجمة عناوين الشبكة (NAT) على هذا الاتصال. على نفس بوابة VPN، يمكنك الحصول على بعض الاتصالات مع NAT والاتصالات الأخرى دون عمل NAT معا.
ما أنواع NAT التي تدعمها بوابات VPN؟
تدعم بوابات VPN ترجمة عناوين الشبكة الثابتة 1:1 NAT و NAT الديناميكية فقط. لا يدعمون NAT64.
هل تعمل NAT على بوابات VPN النشطة والنشطة؟
نعم. تعمل NAT على كل من بوابات VPN النشطة النشطة والاحتياطية النشطة. يتم تطبيق كل قاعدة NAT على مثيل واحد من بوابة VPN. في البوابات النشطة-النشطة، قم بإنشاء قاعدة NAT منفصلة لكل مثيل بوابة من خلال حقل معرف تكوين IP.
هل تعمل NAT مع اتصالات BGP؟
نعم، يمكنك استخدام BGP مع NAT. فيما يلي بعض الاعتبارات المهمة:
للتأكد من ترجمة المسارات المستفادة والمسارات المعلن عنها إلى بادئات عناوين ما بعد NAT (التعيينات الخارجية) استنادا إلى قواعد NAT المقترنة بالاتصالات، حدد Enable BGP Route Translation في صفحة التكوين لقواعد NAT. يجب أن تعلن أجهزة توجيه BGP المحلية عن البادئات الدقيقة كما هو محدد في قواعد IngressSNAT .
إذا كان موجه VPN المحلي يستخدم عنوانا عاديا غير APIPA ويصطدم بمساحة عنوان VNet أو مساحات شبكة محلية أخرى، فتأكد من أن قاعدة IngressSNAT ستترجم عنوان IP النظير BGP إلى عنوان فريد غير متداخل. ضع عنوان ما بعد NAT في حقل عنوان IP النظير BGP لبوابة الشبكة المحلية.
NAT غير مدعوم مع عناوين BGP APIPA.
هل أحتاج إلى إنشاء قواعد DNAT المطابقة لقاعدة SNAT؟
لا. تحدد قاعدة ترجمة عنوان الشبكة المصدر الواحد (SNAT) الترجمة لكلا اتجاهي شبكة معينة:
تحدد قاعدة IngressSNAT ترجمة عناوين IP المصدر الواردة إلى بوابة VPN من الشبكة المحلية. كما أنه يعالج ترجمة عناوين IP الوجهة التي تغادر من الشبكة الظاهرية إلى نفس الشبكة المحلية.
تحدد قاعدة EgressSNAT ترجمة عناوين IP المصدر للشبكة الظاهرية التي تغادر بوابة VPN إلى الشبكات المحلية. كما أنه يعالج ترجمة عناوين IP الوجهة للحزم الواردة إلى الشبكة الظاهرية عبر الاتصالات التي تحتوي على قاعدة EgressSNAT .
في كلتا الحالتين، لا تحتاج إلى قواعد ترجمة عنوان الشبكة الوجهة (DNAT).
ماذا أفعل إذا كانت مساحة عنوان VNet أو بوابة الشبكة المحلية تحتوي على بادئتين أو أكثر؟ هل يمكنني تطبيق NAT عليهم جميعا أو على مجموعة فرعية فقط؟
تحتاج إلى إنشاء قاعدة NAT واحدة لكل بادئة، لأن كل قاعدة NAT يمكن أن تتضمن بادئة عنوان واحدة فقط ل NAT. على سبيل المثال، إذا كانت مساحة العنوان لبوابة الشبكة المحلية تتكون من 10.0.1.0/24 و10.0.2.0/25، يمكنك إنشاء قاعدتين:
- قاعدة IngressSNAT 1: الخريطة 10.0.1.0/24 إلى 192.168.1.0/24.
- قاعدة IngressSNAT 2: الخريطة 10.0.2.0/25 إلى 192.168.2.0/25.
يجب أن تتطابق القاعدتان مع أطوال بادئة بادئات العناوين المقابلة. ينطبق نفس المبدأ التوجيهي على قواعد EgressSNAT لمساحة عنوان VNet.
هام
إذا قمت بربط قاعدة واحدة فقط بالاتصال السابق، فلن تتم ترجمة مساحة العنوان الأخرى.
ما نطاقات IP التي يمكنني استخدامها للت تعيين خارجي؟
يمكنك استخدام أي نطاق IP مناسب تريد تعيينه خارجيا، بما في ذلك عناوين IP العامة والخاصة.
هل يمكنني استخدام قواعد EgressSNAT مختلفة لترجمة مساحة عنوان VNet إلى بادئات مختلفة للشبكات المحلية؟
نعم. يمكنك إنشاء قواعد EgressSNAT متعددة لنفس مساحة عنوان VNet، ثم تطبيق قواعد EgressSNAT على اتصالات مختلفة.
هل يمكنني استخدام نفس قاعدة IngressSNAT في اتصالات مختلفة؟
نعم. عادة ما تستخدم نفس قاعدة IngressSNAT عندما تكون الاتصالات لنفس الشبكة المحلية، لتوفير التكرار. لا يمكنك استخدام نفس قاعدة الدخول إذا كانت الاتصالات لشبكات محلية مختلفة.
هل أحتاج إلى قواعد الدخول والخروج على اتصال NAT؟
تحتاج إلى قواعد الدخول والخروج على نفس الاتصال عندما تتداخل مساحة عنوان الشبكة المحلية مع مساحة عنوان VNet. إذا كانت مساحة عنوان VNet فريدة بين جميع الشبكات المتصلة، فلن تحتاج إلى قاعدة EgressSNAT على تلك الاتصالات. يمكنك استخدام قواعد الدخول لتجنب تداخل العنوان بين الشبكات المحلية.
ما الذي أختاره كمعرف تكوين IP؟
معرف تكوين IP هو ببساطة اسم كائن تكوين IP الذي تريد أن تستخدمه قاعدة NAT. باستخدام هذا الإعداد، يمكنك ببساطة اختيار عنوان IP العام للبوابة الذي ينطبق على قاعدة NAT. إذا لم تحدد أي اسم مخصص في وقت إنشاء البوابة، يتم تعيين عنوان IP الأساسي للبوابة إلى تكوين IP الافتراضي ، ويتم تعيين IP الثانوي إلى تكوين IP النشط النشط .
الخطوات التالية
راجع تكوين NAT على بوابات Azure VPN للتعرف على خطوات تكوين NAT للاتصالات متعددة الأماكن الخاصة بك.