Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica del supporto NAT (Network Address Translation) in Gateway VPN di Azure. NAT definisce i meccanismi per convertire un indirizzo IP in un altro in un pacchetto IP. Esistono più scenari per NAT:
- Connettere più reti con indirizzi IP sovrapposti
- Connettersi da reti con indirizzi IP privati (RFC1918) a Internet (breakout Internet)
- Connettere le reti IPv6 alle reti IPv4 (NAT64)
Importante
NAT di Gateway VPN di Azure supporta il primo scenario, ovvero consente di connettere reti locali o succursali a una rete virtuale di Azure con indirizzi IP sovrapposti. Il breakout Internet e NAT64 NON sono supportati.
Spazi indirizzi sovrapposti
Le organizzazioni usano in genere indirizzi IP privati definiti in RFC1918 per le comunicazioni interne nelle reti private. Quando queste reti sono connesse tramite una rete virtuale privata in Internet o tramite una rete WAN privata, gli spazi indirizzi non devono sovrapporsi altrimenti la comunicazione non avrebbe esito positivo. Per consentire la connessione di due o più reti con indirizzi IP sovrapposti, NAT viene distribuito nei dispositivi gateway che connettono le reti.
Tipo di NAT: statico e dinamico
In un dispositivo gateway NAT converte gli indirizzi IP di origine e/o di destinazione, in base ai criteri o alle regole NAT per evitare conflitti di indirizzi. Esistono diversi tipi di regole di conversione NAT:
NAT statico: le regole statiche definiscono una relazione di mapping per gli indirizzi fissi. Per un determinato indirizzo IP, verrà eseguito il mapping allo stesso indirizzo del pool di destinazione. I mapping per le regole statiche sono senza stato perché il mapping è fisso.
NAT dinamico: in questo caso un indirizzo IP può essere convertito in indirizzi IP di destinazione diversi in base alla disponibilità o in una combinazione diversa di indirizzo IP e porta TCP/UDP. Quest'ultima conversione viene anche chiamata NAPT (Network Address and Port Translation). Le regole dinamiche generano mapping di conversione con stato a seconda dei flussi di traffico presenti in qualsiasi momento.
Nota
Quando si usano regole NAT dinamiche, il traffico è unidirezionale, il che significa che la comunicazione deve essere avviata dal sito rappresentato nel campo Mapping interno della regola. Se il traffico viene avviato dal mapping esterno, la connessione non verrà stabilita. Per usare il traffico bidirezionale, usare una regola NAT statica per definire un mapping 1:1.
Un altro elemento da considerare è la dimensione del pool di indirizzi per la conversione. Se le dimensioni del pool di indirizzi di destinazione corrispondono a quelle del pool di indirizzi originale, usare la regola NAT statica per definire un mapping 1:1 in un ordine sequenziale. Se il pool di indirizzi di destinazione è più piccolo del pool di indirizzi originale, usare la regola NAT dinamica per ovviare alle differenze.
Importante
- NAT è supportato negli SKU seguenti: VpnGw2~5, VpnGw2AZ~5AZ.
- NAT è supportato solo nelle connessioni cross-premise IPsec. Le connessioni da rete virtuale a rete virtuale o da punto a sito non sono supportate.
- È possibile assegnare ogni regola NAT dinamica a una singola connessione.
Modalità NAT: in ingresso e in uscita
Ogni regola NAT definisce un mapping degli indirizzi o una relazione di conversione per lo spazio indirizzi di rete corrispondente:
In ingresso: una regola IngressSNAT esegue il mapping di uno spazio indirizzi di una rete locale a uno spazio indirizzi convertito per evitare sovrapposizioni di indirizzi.
In uscita: una regola EgressSNAT esegue il mapping dello spazio indirizzi di una rete virtuale di Azure a un altro spazio indirizzi convertito.
Per ogni regola NAT, i due campi seguenti specificano gli spazi indirizzi prima e dopo la conversione:
Mapping interni: spazio indirizzi prima della conversione. Per una regola di ingresso, questo campo corrisponde allo spazio indirizzi originale della rete locale. Per una regola in uscita, si tratta dello spazio indirizzi della rete virtuale originale.
Mapping esterni: spazio indirizzi dopo la conversione per le reti locali (in ingresso) o la rete virtuale (in uscita). In caso di reti diverse connesse a un gateway VPN di Azure, gli spazi indirizzi per tutti i mapping esterni non devono sovrapporsi tra loro e con le reti connesse senza NAT.
NAT e routing
Dopo la definizione di una regola NAT per una connessione, lo spazio indirizzi effettivo per la connessione cambia in base alla regola. Se BGP è abilitato nel gateway VPN di Azure, selezionare "Abilita conversione delle route BGP" per convertire automaticamente le route apprese e annunciate sulle connessioni usando le regole NAT:
Route apprese: i prefissi di destinazione delle route apprese tramite una connessione con le regole IngressSNAT verranno convertiti dai prefissi di mapping interno (precedenti a NAT) nei prefissi di mapping esterno (successivi a NAT) di tali regole.
Route annunciate: il gateway VPN di Azure annuncia i prefissi di mapping esterno (successivi a NAT) delle regole EgressSNAT per lo spazio indirizzi della rete virtuale e le route apprese con prefissi di indirizzi successivi a NAT da altre connessioni.
Considerazioni sull'indirizzo IP peer BGP per una rete NAT e locale:
- Indirizzo APIPA (da 169.254.0.1 a 169.254.255.254): NAT non supporta gli indirizzi APIPA BGP.
- Indirizzo non APIPA: escludere gli indirizzi IP peer BGP dall'intervallo NAT.
Nota
Le route apprese sulle connessioni senza regole IngressSNAT non vengono convertite. Anche le route della rete virtuale annunciate alle connessioni senza regole EgressSNAT non verranno convertite.
Esempio di NAT
Il diagramma seguente illustra un esempio di configurazioni NAT per una rete VPN di Azure:
Il diagramma mostra una rete virtuale di Azure e due reti locali, tutte con spazio indirizzi 10.0.1.0/24. Per connettere queste due reti alla rete virtuale di Azure e al gateway VPN, creare le regole seguenti:
Regola in ingressoSNAT 1: questa regola converte lo spazio indirizzi locale 10.0.1.0/24 192.168.2.0/24.
Regola di ingressoSNAT 2: questa regola converte lo spazio indirizzi locale 10.0.1.0/24 a 192.168.3.0/24.
Regola EgressSNAT 1: questa regola converte lo spazio indirizzi della rete virtuale 10.0.1.0/24 a 192.168.1.0/24.
Nel diagramma ogni risorsa di connessione è associata alla regole seguenti:
Connessione 1 (VNet-Branch1):
- Regola IngressSNAT 1
- Regola EgressSNAT 1
Connessione 2 (VNet-Branch2)
- Regola IngressSNAT 2
- Regola EgressSNAT 1
In base alle regole associate alle connessioni, questi sono gli spazi indirizzi per ogni rete:
| Rete | Originale | Convertito |
|---|---|---|
| Rete virtuale | 10.0.1.0/24 | 192.168.1.0/24 |
| Ramo 1 | 10.0.1.0/24 | 192.168.2.0/24 |
| Ramo 2 | 10.0.1.0/24 | 192.168.3.0/24 |
Il diagramma seguente mostra un pacchetto IP tramesso dal ramo 1 alla rete virtuale, prima e dopo la conversione NAT:
Importante
Una singola regola SNAT definisce la conversione per entrambe le direzioni di una rete specifica:
- Una regola IngressSNAT definisce la conversione degli indirizzi IP di origine che entrano nel Gateway VPN di Azure dalla rete locale. Gestisce anche la conversione degli indirizzi IP di destinazione che escono dalla rete virtuale alla stessa rete locale.
- Una regola EgressSNAT definisce la conversione degli indirizzi IP di origine che lasciano il gateway VPN di Azure alle reti locali. Gestisce anche la conversione degli indirizzi IP di destinazione per i pacchetti in ingresso nella rete virtuale tramite tali connessioni con la regola EgressSNAT.
- In entrambi i casi, non sono necessarie regole DNAT.
Configurazione NAT
Per implementare la configurazione NAT descritta nella sezione precedente, creare prima le regole NAT nel gateway VPN di Azure, quindi creare le connessioni con le regole NAT corrispondenti associate. Vedere Configurare NAT nei gateway VPN di Azure per la procedura di configurazione di NAT per le connessioni cross-premise.
Limitazioni NAT e considerazioni
Importante
La funzionalità NAT presenta alcuni vincoli.
- NAT è supportato negli SKU seguenti: VpnGw2~5, VpnGw2AZ~5AZ.
- NAT è supportato solo per le connessioni cross-premise IPsec/IKE. Le connessioni da rete virtuale a rete virtuale o da punto a sito non sono supportate.
- Le regole NAT non sono supportate nelle connessioni con selettori di traffico basati su criteri abilitati e VPN basate su criteri. Le regole NAT sono supportate solo nelle VPN basate su route.
- Le dimensioni massime supportate della subnet di mapping esterno per Dynamic NAT sono /26.
- I mapping delle porte possono essere configurati solo con tipi NAT statici. Gli scenari NAT dinamici non sono applicabili per i mapping delle porte.
- I mapping delle porte non possono accettare intervalli al momento. È necessario immettere una porta singola.
- I mapping delle porte possono essere usati sia per i protocolli TCP che UDP.
Domande frequenti su NAT
NAT è supportato in tutti gli SKU di Gateway VPN di Azure?
NAT è supportato nelle connessioni da VpnGw2 a VpnGw25 e da VpnGw2AZ a VpnGw5AZ.
È possibile usare NAT nelle connessioni da rete virtuale a rete virtuale o da punto a sito?
No
Quante regole NAT è possibile usare in un Gateway VPN?
È possibile creare fino a 100 regole NAT (regole di ingresso e uscita combinate) in un gateway VPN.
È possibile usare una barra (/) nel nome di una regola NAT?
No Verrà visualizzato un errore.
NAT viene applicato a tutte le connessioni in un Gateway VPN?
NAT viene applicato alle connessioni con regole NAT. Se una connessione non ha una regola NAT, NAT non avrà effetto su tale connessione. Nello stesso gateway VPN è possibile che alcune connessioni con NAT funzionino insieme ad altre connessioni senza NAT.
Quali tipi di NAT supportano i gateway VPN?
I gateway VPN supportano solo NAT statico 1:1 e NAT dinamico. Non supportano NAT64.
NAT funziona nei Gateway VPN attivo-attivo?
Sì. NAT funziona sia nei Gateway VPN attivo-attivo che attivo-standby. Ogni regola NAT viene applicata a una singola istanza del Gateway VPN. Nei gateway attivo-attivo creare una regola NAT separata per ogni istanza del gateway tramite il campo IP configuration ID.
NAT funziona con le connessioni BGP?
Sì, è possibile usare BGP con NAT. Ecco alcune considerazioni importanti:
Per assicurarsi che le route apprese e le route annunciate vengano convertite in prefissi di indirizzi successivi a NAT (mapping esterni) in base alle regole NAT associate alle connessioni, selezionare Abilita la conversione route BGP nella pagina di configurazione delle regole NAT. È necessario assicurarsi che i router BGP locali annuncino i prefissi esatti, come definito nelle regole IngressSNAT.
Se il router VPN locale usa un indirizzo normale non APIPA ed è in conflitto con lo spazio indirizzi della rete virtuale o con altri spazi di rete locali, assicurarsi che la regola IngressSNAT converta l'indirizzo IP del peer BGP in un indirizzo univoco e non sovrapposto. Inserire l'indirizzo successivo a NAT nel campo Indirizzo IP del peer BGP del gateway di rete locale.
NAT non è supportato con gli indirizzi APIPA BGP.
È necessario creare le regole DNAT corrispondenti per la regola SNAT?
No Una regola SNAT (Source Network Address Translation) definisce la conversione per entrambe le direzioni di una determinata rete:
Una regola IngressSNAT definisce la conversione degli indirizzi IP di origine che entrano nel gateway VPN dalla rete locale. Gestisce anche la conversione degli indirizzi IP di destinazione che escono dalla rete virtuale verso la stessa rete locale.
Una regola EgressSNAT definisce la conversione degli indirizzi IP di origine della rete virtuale che lasciano il gateway VPN verso le reti locali. Gestisce anche la conversione degli indirizzi IP di destinazione per i pacchetti che arrivano nella rete virtuale tramite tali connessioni con la regola EgressSNAT.
In entrambi i casi, non è necessario usare regole DNAT (Destination Network Address Translation).
Cosa fare se lo spazio di indirizzi del gateway di rete locale o della rete virtuale ha due o più prefissi? È possibile applicare NAT a tutti i prefissi o solo a un subset?
È necessario creare una regola NAT per ogni prefisso perché ogni regola NAT può includere un solo prefisso di indirizzo per NAT. Ad esempio, se lo spazio indirizzi del gateway di rete locale è composto da 10.0.1.0/24 e 10.0.2.0/25, è possibile creare due regole:
- Regola di ingressoSNAT 1: eseguire il mapping da 10.0.1.0/24 a 192.168.1.0/24.
- Regola di ingressoSNAT 2: eseguire il mapping da 10.0.2.0/25 a 192.168.2.0/25.
Le due regole devono corrispondere alle lunghezze dei prefissi degli indirizzi corrispondenti. Le stesse linee guida si applicano alle regole EgressSNAT per lo spazio indirizzi della rete virtuale.
Importante
Se si collega una sola regola alla connessione precedente, l'altro spazio indirizzi non verrà convertito.
Quali intervalli IP è possibile usare per il mapping esterno?
È possibile usare qualsiasi intervallo IP appropriato per il mapping esterno, inclusi gli indirizzi IP pubblici e privati.
È possibile usare regole EgressSNAT diverse per convertire lo spazio indirizzi della rete virtuale in prefissi diversi per le reti locali?
Sì. È possibile creare più regole EgressSNAT per lo stesso spazio indirizzi della rete virtuale e applicare le regole EgressSNAT a connessioni diverse.
È possibile usare la stessa regola IngressSNAT in connessioni diverse?
Sì. In genere si usa la stessa regola IngressSNAT quando le connessioni sono destinate alla stessa rete locale per fornire ridondanza. Non è possibile usare la stessa regola di ingresso se le connessioni sono destinate a reti locali diverse.
Sono necessarie regole sia di ingresso e che di uscita per una connessione NAT?
Quando lo spazio indirizzi della rete locale si sovrappone allo spazio indirizzi della rete virtuale sono necessarie sia le regole di ingresso che di uscita nella stessa connessione. Se lo spazio indirizzi della rete virtuale è univoco tra tutte le reti connesse, non è necessaria la regola EgressSNAT su tali connessioni. È possibile usare le regole di ingresso per evitare sovrapposizioni di indirizzi tra le reti locali.
Cosa si sceglie come "ID configurazione indirizzo IP"?
ID configurazione indirizzo IP è semplicemente il nome dell'oggetto di configurazione dell'indirizzo IP che si vuole far usare alla regola NAT. Con questa impostazione, è sufficiente scegliere quale indirizzo IP pubblico del gateway si applica alla regola NAT. Se non è stato specificato alcun nome personalizzato al momento della creazione del gateway, all'indirizzo IP primario del gateway viene assegnato il valore default di Configurazione IP e all'indirizzo IP secondario viene assegnato il valore activeActive di Configurazione IP.
Passaggi successivi
Vedere Configurare NAT nei gateway VPN di Azure per la procedura di configurazione di NAT per le connessioni cross-premise.