Delen via

Over NAT in Azure VPN Gateway

  • Artikel

In dit artikel vindt u een overzicht van nat-ondersteuning (Network Address Translation) in Azure VPN Gateway. NAT definieert de mechanismen voor het vertalen van het ene IP-adres naar een ander IP-adres in een IP-pakket. Er zijn meerdere scenario's voor NAT:

  • Verbinding maken meerdere netwerken met overlappende IP-adressen
  • Verbinding maken van netwerken met privé-IP-adressen (RFC1918) naar internet (aparte internet)
  • Verbinding maken IPv6-netwerken naar IPv4-netwerken (NAT64)

Belangrijk

Azure VPN Gateway NAT ondersteunt het eerste scenario om on-premises netwerken of filialen te verbinden met een virtueel Azure-netwerk met overlappende IP-adressen. Internetonderbreking en NAT64 worden niet ondersteund.

Overlappende adresruimten

Organisaties gebruiken vaak privé-IP-adressen die zijn gedefinieerd in RFC1918 voor interne communicatie in hun privénetwerken. Wanneer deze netwerken zijn verbonden via VPN via internet of via een privé-WAN, mogen de adresruimten elkaar niet overlappen, anders mislukt de communicatie. Als u twee of meer netwerken wilt verbinden met overlappende IP-adressen, wordt NAT geïmplementeerd op de gatewayapparaten die verbinding maken met de netwerken.

NAT-type: statisch en dynamisch

NAT op een gatewayapparaat vertaalt de bron- en/of doel-IP-adressen op basis van het NAT-beleid of de regels om adresconflicten te voorkomen. Er zijn verschillende typen NAT-vertaalregels:

  • Statische NAT: statische regels definiëren een vaste adrestoewijzingsrelatie. Voor een bepaald IP-adres wordt het toegewezen aan hetzelfde adres uit de doelgroep. De toewijzingen voor statische regels zijn staatloos omdat de toewijzing is opgelost.

  • Dynamische NAT: Voor dynamische NAT kan een IP-adres worden omgezet naar verschillende doel-IP-adressen op basis van beschikbaarheid of met een andere combinatie van IP-adres en TCP/UDP-poort. De laatste wordt ook wel NAPT, Netwerkadres en Poortomzetting genoemd. Dynamische regels resulteren in stateful omzettingstoewijzingen, afhankelijk van de verkeersstromen op een bepaald moment.

Notitie

Wanneer dynamische NAT-regels worden gebruikt, is verkeer unidirectioneel, wat betekent dat communicatie moet worden gestart vanaf de site die wordt weergegeven in het veld Interne toewijzing van de regel. Als verkeer wordt gestart vanuit de externe toewijzing, wordt de verbinding niet tot stand gebracht. Als u bidirectionele verkeersinitiatie nodig hebt, gebruikt u een statische NAT-regel om een 1:1-toewijzing te definiëren.

Een andere overweging is de adresgroepgrootte voor vertaling. Als de grootte van de doeladresgroep hetzelfde is als de oorspronkelijke adresgroep, gebruikt u de statische NAT-regel om een 1:1-toewijzing in een opeenvolgende volgorde te definiëren. Als de doeladresgroep kleiner is dan de oorspronkelijke adresgroep, gebruikt u de dynamische NAT-regel om tegemoet te komen aan de verschillen.

Belangrijk

  • NAT wordt ondersteund op de volgende SKU's: VpnGw2~5, VpnGw2AZ~5AZ.
  • NAT wordt alleen ondersteund voor cross-premises IPsec-verbindingen. VNet-naar-VNet-verbindingen of P2S-verbindingen worden niet ondersteund.
  • Elke dynamische NAT-regel kan aan één verbinding worden toegewezen.

NAT-modus: inkomend en uitgaand verkeer

Elke NAT-regel definieert een adrestoewijzing of vertaalrelatie voor de bijbehorende netwerkadresruimte:

  • Inkomend verkeer: met een regel voor inkomend verkeer wordt een on-premises netwerkadresruimte toegewezen aan een vertaalde adresruimte om overlapping van adressen te voorkomen.

  • Uitgaand verkeer: Een egressSNAT-regel wijst de Azure VNet-adresruimte toe aan een andere vertaalde adresruimte.

Voor elke NAT-regel geven de volgende twee velden de adresruimten voor en na de vertaling op:

  • Interne toewijzingen: de adresruimte vóór de vertaling. Voor een regel voor inkomend verkeer komt dit veld overeen met de oorspronkelijke adresruimte van het on-premises netwerk. Voor een uitgaande regel is dit de oorspronkelijke VNet-adresruimte.

  • Externe toewijzingen: de adresruimte na de vertaling voor on-premises netwerken (inkomend) of VNet (uitgaand verkeer). Voor verschillende netwerken die zijn verbonden met een Azure VPN-gateway, mogen de adresruimten voor alle externe toewijzingen niet met elkaar overlappen en met de netwerken die zijn verbonden zonder NAT.

NAT en routering

Zodra een NAT-regel is gedefinieerd voor een verbinding, wordt de effectieve adresruimte voor de verbinding gewijzigd met de regel. Als BGP is ingeschakeld op de Azure VPN-gateway, selecteert u 'BGP-routeomzetting inschakelen' om automatisch de routes te converteren die zijn geleerd en geadverteerd op verbindingen met NAT-regels:

  • Geleerde routes: de doelvoorvoegsels van de routes die zijn geleerd via een verbinding met de regels voor inkomend verkeer worden vertaald van de voorvoegsels voor interne toewijzing (pre-NAT) naar de voorvoegsels voor externe toewijzing (post-NAT) van deze regels.

  • Geadverteerde routes: Azure VPN-gateway zal de voorvoegsels voor externe toewijzing (post-NAT) van de EgressSNAT-regels voor de VNet-adresruimte en de geleerde routes met post-NAT-adresvoorvoegsels van andere verbindingen adverteren.

  • BGP-peer-IP-adresoverweging voor een on-premises netwerk van NAT:

    • APIPA -adres (169.254.0.1 tot en met 169.254.255.254): NAT wordt niet ondersteund met BGP APIPA-adressen.
    • Niet-APIPA-adres: sluit de BGP-peer-IP-adressen uit van het NAT-bereik.

Notitie

De geleerde routes voor verbindingen zonder inkomendeSNAT-regels worden niet geconverteerd. De VNet-routes die worden geadverteerd naar verbindingen zonder EgressSNAT-regels, worden ook niet geconverteerd.

NAT-voorbeeld

In het volgende diagram ziet u een voorbeeld van Azure VPN NAT-configuraties:

Diagram showing NAT configuration and rules.

In het diagram ziet u een Azure-VNet en twee on-premises netwerken, allemaal met adresruimte 10.0.1.0/24. Als u deze twee netwerken wilt verbinden met het Azure-VNet en de VPN-gateway, maakt u de volgende regels:

  • IngressSNAT-regel 1: Met deze regel wordt de on-premises adresruimte 10.0.1.0/24 omgezet in 100.0.2.0/24.

  • IngressSNAT-regel 2: Met deze regel wordt de on-premises adresruimte 10.0.1.0/24 omgezet in 100.0.3.0/24.

  • EgressSNAT-regel 1: Met deze regel wordt de VNet-adresruimte 10.0.1.0/24 omgezet in 100.0.1.0/24.

In het diagram heeft elke verbindingsresource de volgende regels:

  • Verbinding maken ion 1 (VNet-Branch1):

    • IngressSNAT-regel 1
    • EgressSNAT-regel 1

  • Verbinding maken ion 2 (VNet-Branch2)

    • IngressSNAT-regel 2
    • EgressSNAT-regel 1

Op basis van de regels die aan de verbindingen zijn gekoppeld, zijn dit de adresruimten voor elk netwerk:

Netwerk Oorspronkelijk Vertaald
VNet 10.0.1.0/24 100.0.1.0/24
Vertakking 1 10.0.1.0/24 100.0.2.0/24
Vertakking 2 10.0.1.0/24 100.0.3.0/24

In het volgende diagram ziet u een IP-pakket van Branch 1 naar VNet, vóór en na de NAT-vertaling:

Diagram showing before and after NAT translation.

Belangrijk

Eén SNAT-regel definieert de vertaling voor beide richtingen van een bepaald netwerk:

  • Een ingressSNAT-regel definieert de vertaling van de bron-IP-adressen die binnenkomen in de Azure VPN-gateway vanuit het on-premises netwerk. Het verwerkt ook de omzetting van de doel-IP-adressen die van het VNet naar hetzelfde on-premises netwerk vertrekken.
  • Een EgressSNAT-regel definieert de omzetting van de bron-IP-adressen die de Azure VPN-gateway naar on-premises netwerken verlaten. Het verwerkt ook de omzetting van de doel-IP-adressen voor pakketten die in het VNet binnenkomen via die verbindingen met de EgressSNAT-regel.
  • In beide gevallen zijn er geen DNAT-regels nodig.

NAT-configuratie

Als u de NAT-configuratie wilt implementeren die in de vorige sectie wordt weergegeven, maakt u eerst de NAT-regels in uw Azure VPN-gateway en maakt u vervolgens de verbindingen met de bijbehorende NAT-regels die zijn gekoppeld. Zie NAT configureren in Azure VPN-gateways voor stappen voor het configureren van NAT voor uw cross-premises verbindingen.

NAT-beperkingen en -overwegingen

Belangrijk

Er zijn enkele beperkingen voor de NAT-functie.

  • NAT wordt ondersteund op de volgende SKU's: VpnGw2~5, VpnGw2AZ~5AZ.
  • NAT wordt alleen ondersteund voor cross-premises IPsec-/IKE-verbindingen. VNet-naar-VNet-verbindingen of P2S-verbindingen worden niet ondersteund.
  • NAT-regels worden niet ondersteund voor verbindingen waarvoor op beleid gebaseerde verkeersselectors zijn ingeschakeld.
  • De maximaal ondersteunde subnetgrootte voor externe toewijzing voor Dynamische NAT is /26.
  • Poorttoewijzingen kunnen alleen worden geconfigureerd met statische NAT-typen. Dynamische NAT-scenario's zijn niet van toepassing op poorttoewijzingen.
  • Poorttoewijzingen kunnen op dit moment geen bereiken aannemen. Er moet een afzonderlijke poort worden ingevoerd.
  • Poorttoewijzingen kunnen worden gebruikt voor TCP- en UDP-protocollen.

Veelgestelde vragen over NAT

Wordt NAT ondersteund op alle Azure VPN Gateway-SKU's?

NAT wordt ondersteund op VpnGw2~5 en VpnGw2AZ~5AZ.

Kan ik NAT gebruiken voor VNet-naar-VNet- of P2S-verbindingen?

Nee

Hoeveel NAT-regels kan ik gebruiken op een VPN-gateway?

U kunt maximaal 100 NAT-regels (regels voor inkomend en uitgaand verkeer gecombineerd) maken op een VPN-gateway.

Kan ik /in een NAT-regelnaam gebruiken?

Nee Er wordt een foutmelding weergegeven.

Wordt NAT toegepast op alle verbindingen op een VPN-gateway?

NAT wordt toegepast op de verbindingen met NAT-regels. Als een verbinding geen NAT-regel heeft, wordt NAT niet van kracht op die verbinding. Op dezelfde VPN-gateway kunt u enkele verbindingen met NAT en andere verbindingen hebben zonder NAT samen te werken.

Welke typen NAT worden ondersteund in Azure VPN-gateways?

Alleen statische 1:1 NAT en Dynamische NAT worden ondersteund. NAT64 wordt NIET ondersteund.

Werkt NAT op actief-actieve VPN-gateways?

Ja. NAT werkt op zowel actief-actief als actief-stand-by VPN-gateways. Elke NAT-regel wordt toegepast op één exemplaar van de VPN-gateway. Maak in actief-actieve gateways een afzonderlijke NAT-regel voor elk gateway-exemplaar via het veld IP-configuratie-id.

Werkt NAT met BGP-verbindingen?

Ja, u kunt BGP gebruiken met NAT. Hier volgen enkele belangrijke overwegingen:

  • Selecteer BGP-routeomzetting inschakelen op de configuratiepagina nat-regels om ervoor te zorgen dat de geleerde routes en geadverteerde routes worden vertaald naar voorvoegsels (externe toewijzingen) op basis van de NAT-regels die zijn gekoppeld aan de verbindingen. U moet ervoor zorgen dat de on-premises BGP-routers de exacte voorvoegsels adverteren zoals gedefinieerd in de regels voor inkomend verkeer.

  • Als de on-premises VPN-router gebruikmaakt van een normaal, niet-APIPA-adres en het conflicteert met de adresruimte van het virtuele netwerk of andere on-premises netwerkruimten, moet u ervoor zorgen dat de regel InkomendSNAT het IP-adres van de BGP-peer vertaalt naar een uniek, niet-overlappend adres en het post-NAT-adres in het veld BGP-peer-IP-adres van de lokale netwerkgateway plaatst.

  • NAT wordt niet ondersteund met BGP APIPA-adressen.

Moet ik de overeenkomende DNAT-regels voor de SNAT-regel maken?

Nee Eén SNAT-regel definieert de vertaling voor beide richtingen van een bepaald netwerk:

  • Een ingressSNAT-regel definieert de vertaling van de bron-IP-adressen die binnenkomen in de Azure VPN-gateway vanuit het on-premises netwerk. Het verwerkt ook de vertaling van de doel-IP-adressen die van het virtuele netwerk naar hetzelfde on-premises netwerk vertrekken.

  • Een EgressSNAT-regel definieert de vertaling van de IP-adressen van de bron van het virtuele netwerk, waardoor de Azure VPN-gateway wordt overgelaten aan on-premises netwerken. Het verwerkt ook de vertaling van de doel-IP-adressen voor pakketten die binnenkomen in het virtuele netwerk via die verbindingen met de EgressSNAT-regel.

  • In beide gevallen zijn er geen DNAT-regels nodig.

Wat moet ik doen als mijn VNet- of lokale netwerkgatewayadresruimte twee of meer voorvoegsels heeft? Kan ik NAT toepassen op al deze? Of gewoon een subset?

U moet één NAT-regel maken voor elk voorvoegsel dat u nodig hebt voor NAT, omdat elke NAT-regel slechts één adresvoorvoegsel voor NAT kan bevatten. Als de adresruimte van de lokale netwerkgateway bijvoorbeeld bestaat uit 10.0.1.0/24 en 10.0.2.0/25, kunt u twee regels maken, zoals hieronder wordt weergegeven:

  • IngressSNAT-regel 1: Wijs 10.0.1.0/24 toe aan 100.0.1.0/24
  • IngressSNAT-regel 2: 10.0.2.0/25 toewijzen aan 100.0.2.0/25

De twee regels moeten overeenkomen met de lengte van het voorvoegsel van de bijbehorende adresvoorvoegsels. Hetzelfde geldt voor EgressSNAT-regels voor de adresruimte van het virtuele netwerk.

Belangrijk

Als u slechts één regel koppelt aan de bovenstaande verbinding, wordt de andere adresruimte NIET vertaald.

Welke IP-bereiken kan ik gebruiken voor externe toewijzing?

U kunt elk geschikt IP-bereik gebruiken dat u wilt gebruiken voor externe toewijzing, inclusief openbare en persoonlijke IP-adressen.

Kan ik verschillende EgressSNAT-regels gebruiken om mijn VNet-adresruimte te vertalen naar verschillende voorvoegsels naar verschillende on-premises netwerken?

Ja, u kunt meerdere EgressSNAT-regels maken voor dezelfde VNet-adresruimte en de EgressSNAT-regels toepassen op verschillende verbindingen.

Kan ik dezelfde ingressSNAT-regel gebruiken voor verschillende verbindingen?

Ja, dit wordt meestal gebruikt wanneer de verbindingen voor hetzelfde on-premises netwerk redundantie bieden. U kunt dezelfde regel voor inkomend verkeer niet gebruiken als de verbindingen voor verschillende on-premises netwerken zijn.

Heb ik zowel regels voor inkomend verkeer als uitgaand verkeer nodig voor een NAT-verbinding?

U hebt zowel regels voor inkomend verkeer als uitgaand verkeer nodig voor dezelfde verbinding wanneer de adresruimte van het on-premises netwerk overlapt met de adresruimte van het virtuele netwerk. Als de adresruimte van het virtuele netwerk uniek is voor alle verbonden netwerken, hebt u de EgressSNAT-regel voor deze verbindingen niet nodig. U kunt de regels voor inkomend verkeer gebruiken om te voorkomen dat adressen elkaar overlappen tussen de on-premises netwerken.

Wat kies ik als IP-configuratie-id?

'IP-configuratie-id' is gewoon de naam van het IP-configuratieobject dat u wilt gebruiken met de NAT-regel. Met deze instelling kiest u gewoon welk openbaar IP-adres van de gateway van toepassing is op de NAT-regel. Als u tijdens het maken van de gateway geen aangepaste naam hebt opgegeven, wordt het primaire IP-adres van de gateway toegewezen aan de standaard-IPconfiguration en wordt het secundaire IP-adres toegewezen aan de IPconfiguration 'activeActive'.

Volgende stappen

Zie NAT configureren in Azure VPN-gateways voor stappen voor het configureren van NAT voor uw cross-premises verbindingen.