Megosztás a következőn keresztül:

A NAT Azure VPN Gateway-átjárókon való használatának ismertetése

Ez a cikk áttekintést nyújt az Azure VPN Gateway NAT (hálózati címfordítás) támogatásáról. A NAT meghatározza azokat a mechanizmusokat, amelyekkel az IP-csomagokban az egyik IP-cím egy másikra fordítható. A NAT-hoz több forgatókönyv is létezik:

  • Több hálózat összekapcsolása átfedésben lévő IP-címekkel
  • Csatlakozás privát IP-címekkel (RFC1918) rendelkező hálózatokról az internethez (internetes szakítás)
  • IPv6-hálózatok csatlakoztatása IPv4-hálózatokhoz (NAT64)

Fontos

Az Azure VPN Gateway NAT támogatja a helyszíni hálózatok vagy fiókirodák összekapcsolásának első forgatókönyvét egy átfedésben lévő IP-címekkel rendelkező Azure-beli virtuális hálózathoz. Az internet-hozzáférés kivezetése és a NAT64 nem támogatott.

Átfedésben lévő címtartományok

A szervezetek általában a RFC1918 által meghatározott privát IP-címeket használják a magánhálózataikon belüli belső kommunikációhoz. Ha ezek a hálózatok VPN-sel csatlakoznak az interneten keresztül vagy a magánhálózaton keresztül, a címterek nem fedhetők át, különben a kommunikáció meghiúsulna. Ha két vagy több, egymást átfedő IP-címmel rendelkező hálózatot szeretne csatlakoztatni, a NAT a hálózatokat összekötő átjáróeszközökön van üzembe helyezve.

NAT-típus: statikus & dinamikus

Az átjáróeszköz nat-azonosítója lefordítja a forrás- és/vagy cél IP-címeket a NAT-szabályzatok vagy szabályok alapján a címütközés elkerülése érdekében. A NAT-fordítási szabályoknak különböző típusai vannak:

  • Statikus NAT: A statikus szabályok rögzített címleképezési kapcsolatot határoznak meg. Egy adott IP-cím esetében az ugyanarra a címre lesz leképezve a célcímkészletből. A statikus szabályok leképezései állapot nélküliek, mert a megfeleltetés rögzítve van.

  • Dinamikus NAT: Dinamikus NAT esetén egy IP-cím lefordítható különböző cél IP-címekre a rendelkezésre állás alapján, vagy az IP-cím és a TCP/UDP-port eltérő kombinációjával. Az utóbbit NAPT-nak, hálózati címnek és portfordításnak is nevezik. A dinamikus szabályok állapotalapú fordítási leképezéseket eredményeznek a forgalmi folyamatoktól függően bármikor.

Feljegyzés

Dinamikus NAT-szabályok használata esetén a forgalom egyirányú, ami azt jelenti, hogy a kommunikációt a szabály belső leképezési mezőjében szereplő helyről kell kezdeményezni. Ha a forgalom a külső leképezésből indul ki, a kapcsolat nem jön létre. Ha kétirányú forgalom kezdeményezésére van szükség, akkor egy statikus NAT-szabály használatával definiáljon egy 1:1-alapú leképezést.

Egy másik szempont a fordításhoz használt címtartomány mérete. Ha a célcímkészlet mérete megegyezik az eredeti címkészletével, statikus NAT-szabály használatával szekvenciális sorrendben definiáljon egy 1:1-es leképezést. Ha a célcímkészlet kisebb az eredeti címkészletnél, a különbségeket dinamikus NAT-szabály használatával oldhatja meg.

Fontos

  • A NAT a következő termékváltozatokon támogatott: VpnGw2~5, VpnGw2AZ~5AZ.
  • A NAT csak a helyszíni IPsec-kapcsolatokon támogatott. A virtuális hálózatok közötti kapcsolatok és a P2S-kapcsolatok nem támogatottak.
  • Minden dinamikus NAT-szabály hozzárendelhető egyetlen kapcsolathoz.

NAT mód: bejövő és kimenő forgalom

Minden NAT-szabály címleképezést vagy fordítási kapcsolatot határoz meg a megfelelő hálózati címtérhez:

  • Bejövő forgalom: Az IngressSNAT-szabály lefordít egy helyszíni hálózati címteret egy másik cím térre, hogy elkerülje a címek átfedését.

  • Kimenő forgalom: Egy EgressSNAT-szabály leképozza az Azure VNet címterét egy másik lefordított címtérre.

Minden NAT-szabály esetében a következő két mező adja meg a címtereket a fordítás előtt és után:

  • Belső leképezések: A fordítás előtti címtér. Bejövőforgalom-szabály esetén ez a mező a helyszíni hálózat eredeti címterének felel meg. Kimenő szabály esetén ez az eredeti VNet címtere.

  • Külső leképezések: A helyszíni hálózatok (bejövő forgalom) vagy a virtuális hálózat (kimenő forgalom) fordítása utáni címtér. Az Azure VPN-átjáróhoz csatlakoztatott különböző hálózatok esetében az összes külső leképezés címterei nem fedhetők át egymással és a NAT nélkül csatlakoztatott hálózatokkal.

NAT és útválasztás

Miután definiált egy NAT-szabályt egy kapcsolathoz, a kapcsolat érvényes címtere megváltozik a szabvánnyal. Ha a BGP engedélyezve van az Azure VPN-átjárón, válassza a "BGP-útvonalfordítás engedélyezése" lehetőséget a NAT-szabályokkal való kapcsolatokon tanult és meghirdetett útvonalak automatikus konvertálásához:

  • Tanult útvonalak: Az IngressSNAT-szabályokkal való kapcsolaton keresztül tanult útvonalak célelőtagjait a rendszer lefordítja a belső leképezési előtagokról (NAT előtti) a szabályok külső leképezési előtagjaira (NAT után).

  • Meghirdetett útvonalak: Az Azure VPN-átjáró továbbítja a virtuális hálózat címterére vonatkozó EgressSNAT-szabályok külső leképezési (NAT utáni) előtagjait, valamint a tanult útvonalakat, amelyek más kapcsolatok NAT utáni címelőtagjaiból származnak.

  • BGP-társ IP-cím megfontolása egy NAT-olt helyi hálózat esetében.

    • APIPA (169.254.0.1–169.254.255.254) cím: A NAT nem támogatott BGP APIPA-címekkel.
    • Nem APIPA-cím: Zárja ki a BGP-társ IP-címeit a NAT-tartományból.

Feljegyzés

Az IngressSNAT-szabályok nélküli kapcsolatok tanult útvonalai nem lesznek konvertálva. Az EgressSNAT-szabályok nélküli kapcsolatokra meghirdetett VNet-útvonalak szintén nem lesznek konvertálva.

NAT példa

Az alábbi ábra az Azure VPN NAT-konfigurációk példáját mutatja be:

Nat-konfigurációt és szabályokat bemutató ábra.

Az ábrán egy Azure-beli virtuális hálózat és két helyszíni hálózat látható, amelyek címtere 10.0.1.0/24. A két hálózat azure-beli virtuális hálózathoz és VPN-átjáróhoz való csatlakoztatásához hozza létre a következő szabályokat:

  • IngressSNAT szabály 1: Ez a szabály lefordítja a helyszíni címteret 10.0.1.0/24 192.168.2.0/24.

  • IngressSNAT szabály 2: Ez a szabály lefordítja a 10.0.1.0/24 helyszíni címteret 192.168.3.0/24-re.

  • EgressSNAT szabály 1: Ez a szabály a 10.0.1.0/24 virtuális hálózat címterét 192.168.1.0/24-re fordítja.

A diagramban minden kapcsolati erőforrás a következő szabályokkal rendelkezik:

  • 1. kapcsolat (VNet-Branch1):

    • IngressSNAT szabály 1
    • EgressSNAT szabály 1

  • Kapcsolat 2 (VNet-Branch2)

    • IngressSNAT szabály 2
    • EgressSNAT szabály 1

A kapcsolatokhoz társított szabályok alapján az egyes hálózatok címterei a következők:

Network (Hálózat) Eredeti Fordította
Virtuális hálózat 10.0.1.0/24 192.168.1.0/24
1. fiók 10.0.1.0/24 192.168.2.0/24
2. fiók 10.0.1.0/24 192.168.3.0/24

Az alábbi ábrán egy IP-csomag látható az 1. ágtól a virtuális hálózatig a NAT-fordítás előtt és után:

Nat-fordítás előtti és utáni diagram.

Fontos

Egyetlen SNAT-szabály határozza meg egy adott hálózat mindkét irányának fordítását:

  • Az IngressSNAT-szabály a helyszíni hálózatról az Azure VPN Gatewaybe érkező forrás IP-címek fordítását határozza meg. A VNet-ből a helyhez kötött hálózatra távozó cél-IP-címek fordítását is kezeli.
  • Az EgressSNAT-szabály meghatározza az Azure VPN-átjáróból a helyszíni hálózatokba elmenő forrás IP-címek fordítását. Az EgressSNAT szabállyal rendelkező kapcsolatokon keresztül a VNet-be érkező csomagok cél IP-címének fordítását is kezeli.
  • Mindkét esetben nincs szükség DNST-szabályokra .

NAT-konfiguráció

Az előző szakaszban bemutatott NAT-konfiguráció implementálásához először hozza létre a NAT-szabályokat az Azure VPN-átjáróban, majd hozza létre a kapcsolatokat a kapcsolódó NAT-szabályokkal. A NAT helyszíni kapcsolatokhoz való konfigurálásának lépéseit az Azure VPN-átjárók nat-jának konfigurálása című témakörben találja.

NAT-korlátozások és -megfontolások

Fontos

A NAT-funkciónak van néhány korlátozása.

  • A NAT a következő termékváltozatokon támogatott: VpnGw2~5, VpnGw2AZ~5AZ.
  • A NAT csak az IPsec/IKE helyiségek közötti kapcsolatok esetében támogatott. A VNet-to-VNet kapcsolatok vagy P2S kapcsolatok nem támogatottak.
  • A NAT-szabályok nem támogatottak olyan kapcsolatokon, amelyeken engedélyezve van a szabályzatalapú forgalomválasztók és a házirendalapú VPN-ek használata. A NAT-szabályok csak útvonalalapú VPN-eken támogatottak.
  • A dinamikus NAT maximális támogatott külső leképezési alhálózati mérete a /26.
  • A port hozzárendelések csak a Statikus NAT típusok esetében konfigurálhatók. A dinamikus NAT forgatókönyvek nem alkalmazhatóak port hozzárendelésekre.
  • A port-hozzárendelések jelenleg nem tudnak tartományokat kezelni. Egyedi portot kell megadni.
  • A port hozzárendeléseket TCP és UDP protokollokhoz egyaránt lehet használni.

NAT GYIK

A NAT minden Azure VPN Gateway-termékváltozaton támogatott?

A NAT a VpnGw2 és VpnGw25, vpnGw2AZ és VpnGw5AZ között támogatott.

Használhatom a NAT-t virtuális hálózatok közötti vagy P2S-kapcsolatokon?

sz.

Hány NAT-szabályt használhatok EGY VPN-átjárón?

Egy VPN-átjárón legfeljebb 100 NAT-szabályt (bejövő és kimenő szabályokat kombinálva) hozhat létre.

Használhatok perjelet (/) NAT-szabálynévben?

sz. Hibaüzenet jelenik meg.

A NAT a VPN-átjáró összes kapcsolatára vonatkozik?

A NAT a NAT-szabályokkal rendelkező kapcsolatokra lesz alkalmazva. Ha egy kapcsolatnak nincs NAT-szabálya, a NAT nem lép érvénybe erre a kapcsolatra. Ugyanazon a VPN-átjárón lehetnek olyan kapcsolatok, amelyek NAT-ot használnak, és mások, amelyek NAT nélkül működnek együtt.

Milyen típusú NAT-okat támogatnak a VPN-átjárók?

A VPN-átjárók csak statikus 1:1 NAT-ot és dinamikus NAT-t támogatnak. Nem támogatják a NAT64-et.

Működik a NAT aktív-aktív VPN-átjárókon?

Igen. A NAT aktív-aktív és aktív-készenléti VPN-átjárókon is működik. Minden NAT-szabály a VPN-átjáró egyetlen példányára lesz alkalmazva. Az aktív-aktív átjárókban hozzon létre egy külön NAT-szabályt minden átjárópéldányhoz az IP-konfigurációazonosító mezőn keresztül.

A NAT működik BGP-kapcsolatokkal?

Igen, használhatja a BGP-t NAT-tal. Íme néhány fontos szempont:

  • Ha biztosítani szeretné, hogy a tanult útvonalak és a meghirdetett útvonalak nat utáni címelőtagokra (külső leképezésekre) legyenek lefordítva a kapcsolatokhoz társított NAT-szabályok alapján, válassza a BGP-útvonalfordítás engedélyezése lehetőséget a NAT-szabályok konfigurációs lapján. A helyben lévő BGP-útválasztóknak pontosan az IngressSNAT szabályokban meghatározott előtagokat kell meghirdetniük.

  • Ha a helyszíni VPN-útválasztó normál, nem APIPA-címet használ, és ütközik a virtuális hálózat címterével vagy más helyszíni hálózati terekkel, győződjön meg arról, hogy az IngressSNAT szabály a BGP-társ IP-címét egyedi, nem átfedésben lévő címre fordítja le. Helyezze a NAT utáni címet a helyi hálózati átjáró BGP-társ IP-cím mezőjébe.

  • A NAT nem támogatott BGP APIPA-címekkel.

Létre kell hoznom a megfelelő DNST-szabályokat az SNAT-szabályhoz?

sz. Egy egyetlen forrás hálózati címfordítási (SNAT) szabály határozza meg egy adott hálózat mindkét irányának fordítását:

  • Az IngressSNAT-szabály a helyszíni hálózatról a VPN-átjáróba érkező forrás IP-címek fordítását határozza meg. Emellett kezeli a virtuális hálózatról ugyanahhoz a helyszíni hálózathoz távozó cél IP-címek fordítását is.

  • Az EgressSNAT-szabály határozza meg a virtuális hálózat forrás IP-címeinek fordítását, amelyek a VPN-átjárón keresztül lépnek ki a helyszíni hálózatokra. Emellett kezeli a virtuális hálózatba érkező csomagok cél IP-címeinek fordítását az EgressSNAT-szabályt tartalmazó kapcsolatokon keresztül.

Mindkét esetben nincs szükség célhálózati címfordítási (DNAT) szabályokra.

Mit tegyek, ha a virtuális hálózatom vagy a helyi hálózati átjáró címterének két vagy több előtagja van? Alkalmazhatok NAT-t mindegyikre, vagy csak egy részhalmazra?

Minden előtaghoz létre kell hoznia egy NAT-szabályt, mivel minden NAT-szabály csak egy címelőtagot tartalmazhat a NAT-hoz. Ha például a helyi hálózati átjáró címtere 10.0.1.0/24-es és 10.0.2.0/25-ös, akkor két szabályt hozhat létre:

  • IngressSNAT szabály 1: Képezze le 10.0.1.0/24-et 192.168.1.0/24-re.
  • IngressSNAT szabály 2: A 10.0.2.0/25 leképezése a 192.168.2.0/25-re.

A két szabálynak meg kell egyeznie a megfelelő címelőtagok előtaghosszával. Ugyanez az útmutató vonatkozik a virtuális hálózat címterére vonatkozó EgressSNAT-szabályokra is.

Fontos

Ha csak egy szabályt csatol az előző kapcsolathoz, a másik címtér nem lesz lefordítva.

Milyen IP-tartományokat használhatok külső leképezéshez?

Bármilyen megfelelő IP-címtartományt használhat a külső leképezéshez, beleértve a nyilvános és a privát IP-címeket is.

Használhatok különböző EgressSNAT-szabályokat a virtuális hálózat címterének lefordításához a helyszíni hálózatok különböző előtagjaira?

Igen. Ugyanahhoz a virtuális hálózat címteréhez több EgressSNAT-szabályt is létrehozhat, majd alkalmazhatja az EgressSNAT-szabályokat a különböző kapcsolatokra.

Használhatom ugyanazt az IngressSNAT-szabályt a különböző kapcsolatokon?

Igen. A redundancia biztosításához általában ugyanazt az IngressSNAT-szabályt használja, ha a kapcsolatok ugyanazon helyszíni hálózathoz tartoznak. Nem használhatja ugyanazt a bejövő szabályt, ha a kapcsolatok különböző helyszíni hálózatokhoz tartoznak.

Szükségem van mind a bejövő, mind a kimenő szabályokra a NAT-kapcsolaton?

Ha a helyszíni hálózati címtér átfedésben van a virtuális hálózat címterével, akkor ugyanazon a kapcsolaton bejövő és kimenő szabályokra is szükség van. Ha a virtuális hálózat címtere egyedi az összes csatlakoztatott hálózat között, nincs szükség az EgressSNAT-szabályra ezeken a kapcsolatokon. A bejövő forgalom szabályaival elkerülheti a cím átfedését a helyszíni hálózatok között.

Mit választok IP-konfigurációazonosítóként?

Az IP-konfiguráció azonosítója egyszerűen annak az IP-konfigurációs objektumnak a neve, amelyet a NAT-szabály használni szeretne. Ezzel a beállítással egyszerűen kiválaszthatja, hogy melyik átjáró nyilvános IP-címe vonatkozik a NAT-szabályra. Ha nem adott meg egyéni nevet az átjáró létrehozásakor, az átjáró elsődleges IP-címe az alapértelmezett IP-konfigurációhoz lesz hozzárendelve, a másodlagos IP-cím pedig az activeActive IP-konfigurációhoz van rendelve.

Következő lépések

A NAT helyszíni kapcsolatokhoz való konfigurálásának lépéseit az Azure VPN-átjárók nat-jának konfigurálása című témakörben találja.