Compartir vía


Solución de problemas con Azure NAT Gateway

En este artículo se proporcionan instrucciones sobre cómo configurar correctamente la puerta de enlace NAT y solucionar problemas comunes relacionados con la configuración y la implementación.

Conceptos básicos de configuración de la puerta de enlace NAT

Compruebe las siguientes configuraciones para asegurarse de que se puede usar la puerta de enlace NAT para dirigir el tráfico de salida:

  1. Se ha adjuntado al menos una dirección IP pública o un prefijo IP público a la puerta de enlace NAT. Para proporcionar conectividad de salida, debe estar asociada al menos una dirección IP pública con la puerta de enlace NAT.

  2. Se ha adjuntado al menos una subred a una puerta de enlace NAT. Puede adjuntar varias subredes a una puerta de enlace NAT para la salida, pero esas subredes deben existir dentro de la misma red virtual. La puerta de enlace NAT no se puede extender más allá de una única red virtual.

  3. Ninguna regla de grupo de seguridad de red (NSG) ni rutas definidas por el usuario (UDR) impiden que la puerta de enlace NAT dirija el tráfico saliente a Internet.

Procedimientos para validar la conectividad

La puerta de enlace NAT admite los protocolos IPv4 de protocolo de datagramas de usuario (UDP) y protocolo de control de transmisión (TCP).

Nota:

NAT Gateway no admite el protocolo ICMP. No se admite el ping con el protocolo ICMP y se espera que se produzca un error.

Para validar la conectividad integral de la puerta de enlace NAT, siga estos pasos:

  1. Valide que se esté utilizando la dirección IP pública de la puerta de enlace NAT.

  2. Realice pruebas de conexión TCP y pruebas de capa de aplicaciones específicas de UDP.

  3. Examine los registros de flujo del NSG para analizar los flujos de tráfico de salida de la puerta de enlace NAT.

Consulte la tabla siguiente para ver las herramientas que se van a usar para validar la conectividad de la puerta de enlace NAT.

Sistema operativo Prueba de conexión TCP genérica Prueba de la capa de la aplicación de TCP UDP
Linux nc (prueba de conexión genérica) curl (prueba de capa de aplicación TCP) específica de la aplicación
Windows PsPing Invoke-WebRequest de PowerShell específica de la aplicación

Análisis de la conectividad saliente

Para analizar el tráfico saliente de la puerta de enlace NAT, use los registros de flujo de red virtual (VNet). Los registros de flujo de VNet proporcionan información de conexión para las máquinas virtuales. La información de conexión contiene la dirección IP de origen y el puerto, la dirección IP, el puerto de destino y el estado de la conexión. También se registra la dirección del flujo de tráfico y el tamaño del tráfico en el número de paquetes y bytes enviados. La dirección IP de origen y el puerto especificados en el registro de flujo de VNet es para la máquina virtual y no para la puerta de enlace NAT.

Puerta de enlace NAT en un estado de error

Es posible que experimente un error de conectividad saliente si el recurso de puerta de enlace NAT tiene un estado de error. Para que la puerta de enlace NAT salga de un estado con errores, siga estas instrucciones:

  1. Identifique el recurso que está en estado de error. Vaya Azure Resource Explorer e identifique el recurso en este estado.

  2. Actualice el control de alternancia de la esquina superior derecha para que sea de lectura y escritura.

  3. Seleccione Editar en el recurso con estado erróneo.

  4. Seleccione PUT seguido de GET para asegurarse de que el estado de aprovisionamiento se haya actualizado a Correcto.

  5. Luego puede continuar con otras acciones, ya que el recurso ya no está en estado erróneo.

Incorporación o eliminación de una puerta de enlace NAT

No se puede eliminar una puerta de enlace NAT

La puerta de enlace NAT debe desasociarse de todas las subredes de una red virtual antes de poder quitar o eliminar el recurso. Consulte Eliminación de la puerta de enlace NAT de una subred existente y eliminación del recurso para obtener instrucciones paso a paso.

Incorporación o eliminación de una subred

La puerta de enlace NAT no se puede asociar a una subred que ya está asociada a otra puerta de enlace NAT.

Una subred dentro de una red virtual no puede tener más de una puerta de enlace NAT asociada para conectarse a Internet. Un recurso de puerta de enlace NAT individual se puede asociar a varias subredes dentro de la misma red virtual. La puerta de enlace NAT no se puede extender más allá de una única red virtual.

Los recursos básicos no pueden existir en la misma subred que la puerta de enlace NAT

Los recursos básicos, como Load Balancer Básico o una dirección IP pública básica, no son compatibles con la puerta de enlace NAT. Los recursos básicos se deben colocar en una subred no asociada a una puerta de enlace NAT. El equilibrador de carga básico y la dirección IP pública básica se pueden actualizar al nivel Estándar para que funcionen con la puerta de enlace NAT.

No se puede conectar la puerta de enlace NAT a la subred de la puerta de enlace

No se puede implementar una puerta de enlace NAT en una subred de puerta de enlace. Una puerta de enlace de VPN usa una subred de puerta de enlace para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local. Consulte Introducción a VPN Gateway para más información sobre cómo usa VPN Gateway las subredes de puerta de enlace.

No se puede conectar la puerta de enlace NAT a una subred que contiene una interfaz de red de máquina virtual en un estado fallido

Al asociar una puerta de enlace NAT a una subred que contiene una interfaz de red de máquina virtual (interfaz de red) en un estado fallido, recibe un mensaje de error que indica que esta acción no se puede realizar. Primero debe resolver el estado fallido de la interfaz de red de la máquina virtual antes de poder conectar una puerta de enlace NAT a la subred.

Para sacar la interfaz de red de su máquina virtual de un estado fallido, puede utilizar uno de los dos métodos siguientes.

Utilice PowerShell para sacar la interfaz de red de su máquina virtual de un estado fallido

  1. Determine el estado de aprovisionamiento de sus interfaces de red mediante el comando de PowerShell Get-AzNetworkInterface y establezca el valor de "provisioningState" en "Succeeded".

  2. Realice comandos GET/SET de PowerShell en la interfaz de red. Los comandos de PowerShell actualizan el estado de aprovisionamiento.

  3. Compruebe los resultados de esta operación comprobando de nuevo el estado de aprovisionamiento de las interfaces de red (siga los comandos del paso 1).

Usar Azure Resource Explorer para sacar la interfaz de red de la máquina virtual fuera de un estado con errores

  1. Vaya a Azure Resource Explorer (recomendado para usar el explorador Microsoft Edge)

  2. Expandir la opción Suscripciones (tarda unos segundos en aparecer a la izquierda).

  3. Expanda la suscripción que contiene la interfaz de red de la máquina virtual en estado de error.

  4. Expanda resourceGroups.

  5. Expanda el grupo de recursos correcto que contiene la interfaz de red de la máquina virtual en estado de error.

  6. Expanda los proveedores.

  7. Expanda Red de Microsoft.

  8. Expanda networkInterfaces.

  9. Seleccione en la interfaz de red que se encuentra en el estado de aprovisionamiento con errores.

  10. Seleccione el botón Lectura/escritura de la parte superior.

  11. Seleccione el botón GET verde.

  12. Seleccione el botón EDIT azul.

  13. Seleccione el botón PUT verde.

  14. Seleccione el botón Solo lectura en la parte superior.

  15. La interfaz de red de la máquina virtual debe estar ahora en un estado de aprovisionamiento correcto. Puede cerrar el explorador.

Incorporación o eliminación de IP públicas

No se pueden superar las 16 direcciones IP públicas en una puerta de enlace NAT

Una puerta de enlace NAT no se puede asociar a más de 16 direcciones IP públicas. Puede usar cualquier combinación de direcciones IP públicas y prefijos con la puerta de enlace NAT, hasta llegar a un total de 16 direcciones IP. Para agregar o quitar una dirección IP pública, consulte Agregar o quitar una dirección IP pública.

Los siguientes tamaños de prefijo IP se pueden usar con la puerta de enlace NAT:

  • /28 (16 direcciones)

  • /29 (8 direcciones)

  • /30 (4 direcciones)

  • /31 (2 direcciones)

Coexistencia de IPv6

La puerta de enlace de NAT admite los protocolos UDP y TCP IPv4. La puerta de enlace NAT no se puede asociar a una dirección IP pública IPv6 ni a un prefijo IP público IPv6. La puerta de enlace NAT se puede implementar en una subred de doble pila, pero solo utiliza direcciones IP públicas IPv4 para dirigir el tráfico saliente. Implemente la puerta de enlace NAT en una subred de pila doble cuando necesite que los recursos IPv6 existan en la misma subred que los recursos IPv4. Para obtener más información sobre cómo proporcionar conectividad saliente IPv4 e IPv6 desde su subred de pila dual, consulte Conectividad saliente de pila dual con puerta de enlace NAT y balanceador de carga público.

No se pueden usar direcciones IP públicas básicas con la puerta de enlace NAT

La puerta de enlace NAT es un recurso estándar y no se puede usar con recursos básicos, incluidas las direcciones IP públicas básicas. Puede actualizar la dirección IP pública básica para usarla con la puerta de enlace NAT mediante las instrucciones siguientes: Actualizar una dirección IP pública.

No se pueden usar direcciones IP públicas con preferencia de enrutamiento de Internet junto con NAT Gateway

Cuando NAT Gateway está configurado con una dirección IP pública, el tráfico se enruta a través de la red de Microsoft. NAT Gateway no se puede asociar a direcciones IP públicas con la opción de preferencia de enrutamiento Internet. NAT Gateway solo se puede asociar a direcciones IP públicas con la opción de preferencia de enrutamiento Red global de Microsoft. Consulte los servicios admitidos para obtener una lista de todos los servicios de Azure que admiten direcciones IP públicas con la preferencia de enrutamiento de Internet.

No se pueden desajustar zonas de direcciones IP públicas y puertas de enlace NAT

La puerta de enlace NAT es un recurso zonal y puede designarse a una zona específica o a "ninguna zona". Cuando una puerta de enlace NAT se coloca en la opción "sin zona", Azure coloca la puerta de enlace NAT en una zona, pero no sabrá en qué zona se encuentra la puerta de enlace NAT.

La puerta de enlace NAT se puede usar con direcciones IP públicas designadas para una zona específica, sin zona, todas las zonas (con redundancia de zona) en función de su propia configuración de zona de disponibilidad.

Designación de la zona de disponibilidad de una puerta de enlace NAT Designación de una dirección IP pública o un prefijo que se puede usar
Sin zona Con redundancia de zona, sin zona o zonal (la designación de zona de IP pública puede ser cualquier zona de una región, para poder trabajar con una puerta de enlace NAT sin zona).
Designado para una zona específica Se pueden usar direcciones IP públicas zonales o con redundancia de zona

Nota:

Si necesita conocer la zona en la que reside la puerta de enlace NAT, asegúrese de designarla en una zona de disponibilidad específica.

Consulte la guía de solución de problemas.

Si el problema que experimenta no está cubierto por este artículo, consulte los otros artículos de solución de problemas de puerta de enlace NAT:

Pasos siguientes

Si tiene problemas con la puerta de enlace NAT no enumerada o resuelta por este artículo, envíe comentarios a través de GitHub a través de la parte inferior de esta página. Abordamos sus comentarios lo antes posible para mejorar la experiencia de nuestros clientes.

Para obtener más información sobre NAT Gateway, consulte: