Mengonfigurasi aturan NAT untuk gateway VPN Virtual WAN Anda

  • Artikel

Anda dapat mengonfigurasi gateway VPN Virtual WAN Anda dengan aturan NAT statis satu-ke-satu. Aturan NAT menyediakan mekanisme untuk menyiapkan terjemahan satu ke satu alamat IP. NAT dapat digunakan untuk menghubungkan dua jaringan IP yang memiliki alamat IP yang tidak kompatibel atau tumpang tindih. Skenario umumnya adalah cabang dengan IP tumpang tindih yang ingin mengakses sumber daya Azure VNet.

Konfigurasi ini menggunakan tabel alur untuk merutekan lalu lintas dari Alamat IP eksternal (host) ke alamat IP internal yang terkait dengan titik akhir di dalam jaringan virtual (komputer virtual, komputer, kontainer, dll.).

Diagram yang menampilkan arsitektur.

Untuk menggunakan NAT, perangkat VPN perlu menggunakan pemilih lalu lintas apa pun (wildcard). Pemilih lalu lintas Berbasis Kebijakan (dipersempit) tidak didukung bersamaan dengan konfigurasi NAT.

Konfigurasikan aturan NAT

Anda dapat mengonfigurasi dan melihat aturan NAT di pengaturan gateway VPN Kapan saja.

Jenis NAT: statis & dinamis

NAT pada perangkat gateway menerjemahkan alamat IP sumber dan/atau tujuan, berdasarkan kebijakan atau aturan NAT untuk menghindari konflik alamat. Ada berbagai jenis aturan terjemahan NAT:

  • NAT Statis: Aturan statis menentukan hubungan pemetaan alamat tetap. Untuk alamat IP yang diberikan, alamat tersebut akan dipetakan ke alamat yang sama dari kumpulan target. Pemetaan untuk aturan statis tidak memiliki status karena pemetaan sudah diperbaiki. Misalnya, aturan NAT yang dibuat untuk memetakan 10.0.0.0/24 hingga 192.168.0.0/24 akan memiliki pemetaan 1-1 tetap. 10.0.0.0 diterjemahkan ke 192.168.0.0, 10.0.0.1 diterjemahkan ke 192.168.0.1, dan seterusnya.

  • NAT Dinamis: Untuk NAT dinamis, alamat IP dapat diterjemahkan ke alamat IP target dan port TCP/UDP yang berbeda berdasarkan ketersediaan, atau dengan kombinasi alamat IP dan port TCP/UDP yang berbeda. Yang terakhir ini juga disebut NAPT, Alamat Jaringan dan Terjemahan Port. Aturan dinamis akan menghasilkan pemetaan terjemahan berstatus tergantung pada arus lalu lintas pada waktu tertentu. Karena sifat NAT Dinamis dan kombinasi IP/Port yang terus berubah, alur yang menggunakan aturan NAT Dinamis harus dimulai dari Rentang IP Pemetaan Internal (Pra-NAT). Pemetaan dinamis dilepaskan setelah aliran terputus atau dihentikan dengan anggun.

Pertimbangan lain adalah ukuran kumpulan alamat untuk terjemahan. Jika ukuran kumpulan alamat target sama dengan kumpulan alamat asli, gunakan aturan NAT statis untuk menentukan pemetaan 1:1 secara berurutan. Jika kumpulan alamat target lebih kecil dari kumpulan alamat asli, gunakan aturan NAT dinamis untuk mengakomodasi perbedaan.

Catatan

NAT situs-ke-situs tidak didukung dengan koneksi VPN situs-ke-situs di mana pemilih lalu lintas berbasis kebijakan digunakan.

Cuplikan layar yang menampilkan cara mengedit aturan.

  1. Arahkan ke hub virtual Anda.

  2. Pilih VPN (Situs ke Situs)

  3. Pilih aturan NAT (Edit).

  4. Pada halaman Edit Aturan NAT, Anda bisa Menambahkan/Mengedit/Menghapus aturan NAT menggunakan nilai berikut ini:

    • Nama: Nama unik untuk aturan NAT Anda.
    • Jenis: Statis atau dinamis. NAT satu-ke-satu statis menetapkan hubungan satu-ke-satu antara alamat internal dan alamat eksternal sementara Dynamic NAT menetapkan IP dan port berdasarkan ketersediaan.
    • ID Konfigurasi IP: Aturan NAT harus dikonfigurasi ke instans gateway VPN tertentu. Ini hanya berlaku untuk Dynamic NAT. Aturan NAT statis secara otomatis diterapkan ke kedua instans gateway VPN.
    • Mode: IngressSnat atau EgressSnat.
      • Mode IngressSnat (juga dikenal sebagai NAT Sumber Ingress) berlaku untuk lalu lintas yang memasuki gateway VPN situs ke situs hub Azure.
      • Mode EgressSnat (juga dikenal sebagai NAT Sumber Egress) berlaku untuk lalu lintas yang meninggalkan gateway VPN situs ke situs hub Azure.
    • InternalMapping: Rentang prefiks alamat IP sumber di jaringan dalam yang akan dipetakan ke set IP eksternal. Dengan kata lain, rentang awalan alamat pra-NAT Anda.
    • ExternalMapping: Rentang prefiks alamat IP tujuan di jaringan luar tempat IP sumber akan dipetakan. Dengan kata lain, rentang awalan alamat pra-NAT Anda.
    • Koneksi Tautan: Sumber daya koneksi yang secara virtual menyambungkan situs VPN ke gateway VPN situs ke situs hub Azure Virtual WAN.

Catatan

Jika Anda ingin gateway VPN situs ke situs mengiklankan prefiks alamat yang diterjemahkan(Pemetaan Eksternal)melalui BGP, klik tombol Aktifkan Terjemahan BGP, karena berada di lokal akan secara otomatis mempelajari rentang pasca-NAT Aturan Egress dan Azure (hub Virtual WAN, jaringan virtual yang tersambung, VPN dan cabang ExpressRoute) akan secara otomatis mempelajari rentang pasca-NAT aturan Ingress. Rentang POST NAT baru akan ditampilkan pada tabel Rute Efektif di hub virtual. Pengaturan Aktifkan Terjemahan Bgp diterapkan ke semua aturan NAT di gateway VPN situs ke situs hub Virtual WAN.

Contoh konfigurasi

Ingress SNAT (situs VPN dengan dukungan BGP)

Aturan Ingress SNAT diterapkan pada paket yang memasuki Azure melalui gateway VPN situs ke situs Virtual WAN. Dalam skenario ini, Anda ingin menyambungkan dua cabang VPN situs ke situs ke Azure. VPN Situs 1 terhubung melalui Tautan A, dan VPN Situs 2 terhubung melalui Tautan B. Setiap situs memiliki ruang alamat yang sama 10.30.0.0/24.

Dalam contoh ini, kita akan NAT site1 ke 172.30.0.0.0/24. Virtual WAN melakukan spoke jaringan virtual dan cabang lainnya akan secara otomatis mempelajari ruang alamat pasca-NAT ini.

Diagram berikut menunjukkan hasil yang diproyeksikan:

Diagram yang menampilkan NAT mode Ingress untuk Situs yang didukung BGP.

  1. Tentukan aturan NAT.

    Tentukan aturan NAT untuk memastikan gateway VPN situs-ke-situs dapat membedakan antara dua cabang dengan ruang alamat yang tumpang tindih (seperti 10.30.0.0/24). Dalam contoh ini, kami fokus pada Tautan A untuk Situs VPN 1.

    Aturan NAT berikut dapat disiapkan dan dikaitkan dengan Link A. Karena ini adalah aturan NAT statis, ruang alamat Pemetaan Internal dan Pemetaan Eksternal berisi jumlah alamat IP yang sama.

    • Nama: ingressRule01
    • Jenis: Statis
    • Mode: IngressSnat
    • Pemetaan Internal: 10.30.0.0/24
    • Pemetaan Eksternal: 172.30.0.0/24
    • Sambungan Tautan: Tautan A

  2. Alihkan Terjemahan Rute BGP ke 'Aktifkan'.

    Cuplikan layar menampilkan cara mengaktifkan terjemahan BGP.

  3. Pastikan gateway VPN situs-ke-situs dapat melakukan peering dengan serekan BGP lokal.

    Dalam contoh ini, Aturan NAT Ingress perlu menerjemahkan 10.30.0.132 ke 172.30.0.132. Untuk melakukannya, klik 'Edit situs VPN' untuk mengonfigurasi situs VPN Tautkan alamat BGP untuk mencerminkan alamat serekan BGP yang diterjemahkan ini (172.30.0.132).

    Cuplikan layar yang menampilkan cara mengubah IP peering BGP.

Pertimbangan jika situs VPN terhubung melalui BGP

  • Ukuran subnet untuk pemetaan internal dan eksternal harus sama untuk NAT satu-ke-satu statis.

  • Jika Terjemahan BGP diaktifkan, gateway VPN situs ke situs akan secara otomatis mengiklankan Pemetaan Eksternalaturan NAT Egress ke lokal serta Pemetaan Eksternalaturan NAT Ingress ke Azure (hub WAN virtual, jaringan virtual spoke yang tersambung, VPN/ExpressRoute yang tersambung). Jika Terjemahan BGP dinonaktifkan, rute yang diterjemahkan tidak secara otomatis diiklankan ke lokal. Dengan demikian, speaker BGP lokal harus dikonfigurasi untuk mengiklankan rentang pasca-NAT (Pemetaan Eksternal) dari aturan NAT Ingress yang terkait dengan koneksi tautan situs VPN tersebut. Demikian pula, rute untuk rentang pasca-NAT (Pemetaan Eksternal) dari aturan NAT Egress harus diterapkan pada perangkat lokal.

  • Gateway VPN situs ke situs secara otomatis menerjemahkan alamat IP rekan BGP lokal jika alamat IP rekan BGP lokal terkandung dalam Pemetaan InternalAturan NAT Ingress. Akibatnya, alamat BGP Koneksi Tautan situs VPN harus mencerminkan alamat yang diterjemahkan NAT (bagian dari Pemetaan Eksternal).

    Misalnya, jika alamat IP BGP lokal adalah 10.30.0.133 dan ada Aturan NAT Masuk yang menerjemahkan 10.30.0.0/24 ke 172.30.0.0/24, Alamat BGP Link Koneksi ion situs VPN harus dikonfigurasi menjadi alamat yang diterjemahkan (172.30.0.133).

  • Di NAT Dinamis, IP rekan BGP lokal tidak dapat menjadi bagian dari rentang alamat pra-NAT (Pemetaan Internal) karena terjemahan IP dan port tidak diperbaiki. Jika ada kebutuhan untuk menerjemahkan IP peering BGP lokal, harap buat Aturan NAT Statis terpisah yang hanya menerjemahkan alamat IP Peering BGP.

    Misalnya, jika jaringan lokal memiliki ruang alamat 10.0.0.0/24 dengan IP rekan BGP lokal 10.0.0.1 serta ada Aturan NAT Dinamis Ingress untuk menerjemahkan 10.0.0.0/24 ke 192.198.0.0/32, Aturan NAT Statis Ingress terpisah yang menerjemahkan 10.0.0.1/32 ke 192.168.0.02/32 diperlukan dan alamat Link Connection BGP situs VPN yang sesuai harus diperbarui ke alamat yang diterjemahkan NAT (bagian dari Pemetaan Eksternal).

Ingress SNAT (situs VPN dengan rute yang dikonfigurasi secara statis)

Aturan Ingress SNAT diterapkan pada paket yang memasuki Azure melalui gateway VPN situs ke situs Virtual WAN. Dalam skenario ini, Anda ingin menyambungkan dua cabang VPN situs ke situs ke Azure. VPN Situs 1 terhubung melalui Tautan A, dan VPN Situs 2 terhubung melalui Tautan B. Setiap situs memiliki ruang alamat yang sama 10.30.0.0/24.

Dalam contoh ini, kita akan melakukan NAT VPN situs 1 ke 172.30.0.0.0/24. Namun, karena Situs VPN tidak tersambung ke gateway VPN situs ke situs melalui BGP, langkah-langkah konfigurasi sedikit berbeda dari contoh yang didukung BGP.

Cuplikan layar memperlihatkan konfigurasi diagram untuk situs VPN yang menggunakan perutean statis.

  1. Tentukan aturan NAT.

    Tentukan aturan NAT untuk memastikan gateway VPN situs-ke-situs dapat membedakan antara dua cabang dengan ruang alamat yang sama 10.30.0.0/24. Dalam contoh ini, kami fokus pada Tautan A untuk Situs VPN 1.

    Aturan NAT berikut dapat disiapkan dan dikaitkan dengan Tautan A dari salah satu situs VPN 1. Karena ini adalah aturan NAT statis, ruang alamat Pemetaan Internal dan Pemetaan Eksternal berisi jumlah alamat IP yang sama.

    • Nama: IngressRule01
    • Jenis: Statis
    • Mode: IngressSnat
    • Pemetaan Internal: 10.30.0.0/24
    • Pemetaan Eksternal: 172.30.0.0/24
    • Sambungan Tautan: Tautan A

  2. Edit bidang 'Ruang Alamat Pribadi' VPN Situs 1 untuk memastikan gateway VPN situs ke situs mempelajari rentang pasca-NAT (172.30.0.0/24).

    • Buka sumber daya hub virtual yang berisi gateway VPN situs ke situs. Pada halaman hub virtual, di bagian Konektivitas, pilih VPN (Situs ke situs).

    • Pilih situs VPN yang tersambung ke hub Virtual WAN melalui Tautan A. Pilih Edit Situs dan masukkan 172.30.0.0/24 sebagai ruang alamat privat untuk situs VPN.

      Cuplikan layar yang menampilkan cara mengedit ruang Alamat Privat situs VPN

Pertimbangan jika situs VPN dikonfigurasi secara statis (tidak terhubung melalui BGP)

  • Ukuran subnet untuk pemetaan internal dan eksternal harus sama untuk NAT satu-ke-satu statis.
  • Edit situs VPN di portal Azure untuk menambahkan prefiks di Pemetaan Eksternal dari Aturan NAT Ingress di bidang 'Ruang Alamat Privat'.
  • Untuk konfigurasi yang melibatkan Aturan NAT Egress, Kebijakan Rute atau Rute Statis dengan Pemetaan Eksternal dari aturan NAT Egress perlu diterapkan pada perangkat lokal.

Aliran paket

Dalam contoh sebelumnya, perangkat lokal ingin menjangkau sumber daya di jaringan virtual spoke. Aliran paket adalah sebagai berikut, dengan terjemahan NAT dalam huruf tebal.

  1. Lalu lintas dari tempat dimulai.

    • Alamat IP Sumber: 10.30.0.4
    • Alamat IP Tujuan: 10.200.0.4

  2. Lalu lintas memasuki gateway situs ke situs dan diterjemahkan menggunakan aturan NAT lalu dikirim ke Spoke.

    • Alamat IP Sumber: 172.30.0.4
    • Alamat IP Tujuan: 10.200.0.4

  3. Balasan dari Spoke dimulai.

    • Alamat IP Sumber: 10.200.0.4
    • Alamat IP Tujuan: 172.30.0.4

  4. Lalu lintas memasuki gateway VPN situs-ke-situs, dan terjemahan dibalik dan dikirim ke lokal.

    • Alamat IP Sumber: 10.200.0.4
    • Alamat IP Tujuan: 10.30.0.4

Pemeriksaan verifikasi

Bagian ini memperlihatkan pemeriksaan untuk memverifikasi bahwa konfigurasi Anda telah disiapkan dengan benar.

Memvalidasi Aturan NAT Dinamis

  • Gunakan Aturan NAT Dinamis jika kumpulan alamat target lebih kecil dari kumpulan alamat asli.

  • Karena kombinasi IP/Port tidak diperbaiki dalam Aturan NAT Dinamis, IP Rekan BGP lokal tidak dapat menjadi bagian dari rentang alamat (Pemetaan Internal) pra-NAT. Buat Aturan NAT Statis tertentu yang hanya menerjemahkan alamat IP Peering BGP.

    Contohnya:

    • Rentang alamat lokal: 10.0.0.0/24
    • IP BGP Lokal: 10.0.0.1
    • Aturan NAT Dinamis Ingress: 192.168.0.1/32
    • Aturan NAT Statis Ingress: 10.0.0.1 -> 192.168.0.2

Memvalidasi DefaultRouteTable, aturan, dan rute

Cabang di Virtual WAN mengasosiasikan ke DefaultRouteTable, menyiratkan semua koneksi cabang mempelajari rute yang diisi dalam DefaultRouteTable. Anda akan melihat aturan NAT dengan prefiks yang diterjemahkan dalam rute efektif DefaultRouteTable.

Dari contoh sebelumnya:

  • Awalan: 172.30.0.0/24
  • Jenis Hop Berikutnya: VPN_S2S_Gateway
  • Hop berikutnya: VPN_S2S_Gateway Resource

Memvalidasi awalan alamat

Contoh ini berlaku untuk sumber daya di jaringan virtual yang terkait dengan DefaultRouteTable.

Rute Efektif pada Kartu Antarmuka Jaringan (NIC) dari komputer virtual apa pun yang duduk di jaringan virtual spoke yang terhubung ke hub WAN virtual juga harus berisi awalan alamat Pemetaan Eksternal yang ditentukan dalam aturan Ingress NAT.

Perangkat lokal juga harus berisi rute untuk prefiks yang terkandung dalam Pemetaan Eksternal dari Aturan NAT Egress.

Masalah konfigurasi umum

Catatan

NAT situs-ke-situs tidak didukung dengan koneksi VPN situs-ke-situs di mana pemilih lalu lintas berbasis kebijakan digunakan.

Tabel berikut ini menampilkan pola konfigurasi umum yang muncul saat mengonfigurasi berbagai jenis aturan NAT di gateway VPN situs ke situs.

Jenis situs VPN Aturan NAT Ingress Aturan NAT Egress
Situs VPN dengan rute yang dikonfigurasi secara statis Edit 'Ruang Alamat Privat' di Situs VPN agar berisi Pemetaan Eksternal dari aturan NAT. Terapkan rute untuk Pemetaan Eksternal dari aturan NAT pada perangkat lokal.
Situs VPN (Terjemahan BGP diaktifkan) Letakkan alamatPemetaan Eksternal dari rekan BGP di alamat BGP Koneksi Tautan situs VPN. Pertimbangan khusus
Situs VPN (Terjemahan BGP dinonaktifkan) Pastikan Speaker BGP lokal mengiklankan prefiks di Pemetaan Eksternal dari aturan NAT. Juga letakkan alamat Pemetaan Eksternal dari rekan BGP di alamat BGP Koneksi Tautan situs VPN. Terapkan rute untuk Pemetaan Eksternal dari aturan NAT pada perangkat lokal.

Langkah berikutnya

Untuk informasi selengkapnya tentang konfigurasi situs ke situs, lihat Mengonfigurasi koneksi situs ke situs Virtual WAN.