Share via

Konfigurowanie reguł translatora adresów sieciowych dla bramy sieci VPN usługi Virtual WAN

  • Artykuł

Bramę sieci VPN usługi Virtual WAN można skonfigurować przy użyciu statycznych reguł NAT typu jeden do jednego. Reguła translatora adresów sieciowych udostępnia mechanizm konfigurowania translacji jeden do jednego adresów IP. Translator adresów sieciowych może służyć do łączenia dwóch sieci IP, które mają niezgodne lub nakładające się adresy IP. Typowy scenariusz to gałęzie z nakładającymi się adresami IP, które chcą uzyskać dostęp do zasobów sieci wirtualnej platformy Azure.

Ta konfiguracja używa tabeli przepływu do kierowania ruchu z zewnętrznego (hosta) adresu IP do wewnętrznego adresu IP skojarzonego z punktem końcowym wewnątrz sieci wirtualnej (maszyny wirtualnej, komputera, kontenera itp.).

Diagram przedstawiający architekturę.

Aby korzystać z translatora adresów sieciOWYCH, urządzenia sieci VPN muszą używać selektorów ruchu dowolne-dowolne (wieloznaczne). Selektory ruchu oparte na zasadach (wąskie) nie są obsługiwane w połączeniu z konfiguracją translatora adresów sieciowych.

Konfigurowanie reguł translatora adresów sieciowych

Reguły NAT można konfigurować i wyświetlać w ustawieniach bramy sieci VPN w dowolnym momencie.

Typ translatora adresów sieciowych: statyczny i dynamiczny

Translator adresów sieciowych na urządzeniu bramy tłumaczy źródłowe i/lub docelowe adresy IP na podstawie zasad translatora adresów sieciowych lub reguł, aby uniknąć konfliktu adresów. Istnieją różne typy reguł tłumaczenia translatora adresów sieciowych:

  • Statyczny translator adresów sieciowych: reguły statyczne definiują stałą relację mapowania adresów. Dla danego adresu IP zostanie on zamapowany na ten sam adres z puli docelowej. Mapowania reguł statycznych są bezstanowe, ponieważ mapowanie jest stałe. Na przykład reguła NAT utworzona do mapowania 10.0.0.0/24 na 192.168.0.0/24 będzie miała stałe mapowanie 1–1. 10.0.0.0 jest tłumaczona na 192.168.0.0, 10.0.0.1 jest tłumaczona na 192.168.0.1 itd.

  • Dynamiczny translator adresów sieciowych: w przypadku dynamicznego translatora adresów sieciowych adres IP można przetłumaczyć na różne docelowe adresy IP i port TCP/UDP na podstawie dostępności lub z inną kombinacją adresu IP i portu TCP/UDP. Ten ostatni jest również nazywany NAPT, Adres sieciowy i Translacja portów. Reguły dynamiczne będą powodować mapowania tłumaczenia stanowego w zależności od przepływów ruchu w danym momencie. Ze względu na charakter dynamicznych translatorów adresów sieciowych i stale zmieniających się kombinacji adresów IP/portów przepływy korzystające z dynamicznych reguł NAT muszą być inicjowane z zakresu adresów IP mapowania wewnętrznego (pre-NAT). Mapowanie dynamiczne jest zwalniane po rozłączeniu lub bezproblemowo zakończeniu przepływu.

Innym zagadnieniem jest rozmiar puli adresów do tłumaczenia. Jeśli rozmiar puli adresów docelowych jest taki sam jak oryginalna pula adresów, użyj statycznej reguły translatora adresów sieciowych, aby zdefiniować mapowanie 1:1 w kolejności sekwencyjnej. Jeśli docelowa pula adresów jest mniejsza niż oryginalna pula adresów, użyj dynamicznej reguły TRANSLATOR adresów sieciowych, aby uwzględnić różnice.

Uwaga

Międzylokacyjny translator adresów sieciowych nie jest obsługiwany w przypadku połączeń przez międzylokacyjną sieć VPN, w których są używane selektory ruchu oparte na zasadach.

Zrzut ekranu przedstawiający sposób edytowania reguł.

  1. Przejdź do koncentratora wirtualnego.

  2. Wybierz pozycję VPN (lokacja-lokacja).

  3. Wybierz pozycję Reguły translatora adresów sieciowych (Edytuj).

  4. Na stronie Edytowanie reguły translatora adresów sieciowych możesz dodać/edytować/usunąć regułę translatora adresów sieciowych przy użyciu następujących wartości:

    • Nazwa: unikatowa nazwa reguły translatora adresów sieciowych.
    • Typ: statyczny lub dynamiczny. Statyczny translator adresów sieciowych typu jeden do jednego ustanawia relację jeden do jednego między adresem wewnętrznym a adresem zewnętrznym, podczas gdy dynamiczny translator adresów sieciowych przypisuje adres IP i port w oparciu o dostępność.
    • Identyfikator konfiguracji adresu IP: reguła translatora adresów sieciowych musi być skonfigurowana do określonego wystąpienia bramy sieci VPN. Dotyczy to tylko dynamicznego translatora adresów sieciowych. Statyczne reguły NAT są automatycznie stosowane do obu wystąpień bramy sieci VPN.
    • Tryb: IngressSnat lub EgressSnat.
      • Tryb ingressSnat (znany również jako translator adresów sieciowych źródła ruchu przychodzącego) ma zastosowanie do ruchu przychodzącego do bramy sieci VPN typu lokacja-lokacja centrum platformy Azure.
      • Tryb EgressSnat (znany również jako translator adresów sieciowych źródła ruchu wychodzącego) ma zastosowanie do ruchu opuszczającego bramę sieci VPN typu lokacja-lokacja centrum platformy Azure.
    • Wewnętrzne mapowanie: zakres prefiksów adresów źródłowych adresów IP w sieci wewnętrznej, który zostanie zamapowany na zestaw zewnętrznych adresów IP. Innymi słowy, zakres prefiksów adresów NAT.
    • Mapowanie zewnętrzne: zakres prefiksów adresów docelowych adresów IP w sieci zewnętrznej, do którego będą mapowane źródłowe adresy IP. Innymi słowy, zakres prefiksów adresów post-NAT.
    • Łącze Połączenie ion: zasób Połączenie ion, który praktycznie łączy lokację sieci VPN z bramą sieci VPN koncentratora usługi Azure Virtual WAN typu lokacja-lokacja.

Uwaga

Jeśli chcesz, aby brama sieci VPN typu lokacja-lokacja anonsował przetłumaczone (mapowanie zewnętrzne) prefiksy adresów za pośrednictwem protokołu BGP, kliknij przycisk Włącz tłumaczenie BGP, ze względu na to, że lokalnie automatycznie poznasz zakres reguł ruchu przychodzącego po translatorze adresów sieciowych i platformy Azure (koncentrator usługi Virtual WAN, połączone sieci wirtualne, sieci VPN i gałęzie usługi ExpressRoute) automatycznie poznaje zakres reguł ruchu przychodzącego po translatorze adresów sieciowych. Nowe zakresy NAT POST zostaną wyświetlone w tabeli Obowiązujące trasy w koncentratonie wirtualnym. Ustawienie Włącz tłumaczenie Bgp jest stosowane do wszystkich reguł NAT w bramie sieci VPN koncentratora usługi Virtual WAN typu lokacja-lokacja.

Przykładowe konfiguracje

SNAT ruchu przychodzącego (lokacja sieci VPN z obsługą protokołu BGP)

Reguły SNAT ruchu przychodzącego są stosowane w pakietach, które wchodzą na platformę Azure za pośrednictwem bramy sieci VPN typu lokacja-lokacja usługi Virtual WAN. W tym scenariuszu chcesz połączyć dwie gałęzie sieci VPN typu lokacja-lokacja z platformą Azure. Lokacja sieci VPN 1 łączy się za pośrednictwem linku A, a lokacja SIECI VPN 2 łączy się za pośrednictwem łącza B. Każda witryna ma tę samą przestrzeń adresową 10.30.0.0/24.

W tym przykładzie utworzymy witrynę NAT1 do 172.30.0.0.0/24. Wirtualne sieci wirtualne będące szprychami usługi Virtual WAN i inne gałęzie automatycznie poznają tę przestrzeń adresową po translatorze adresów sieciowych.

Na poniższym diagramie przedstawiono przewidywany wynik:

Diagram przedstawiający translator adresów sieciowych trybu ruchu przychodzącego dla witryn z włączoną obsługą protokołu BGP.

  1. Określ regułę translatora adresów sieciowych.

    Określ regułę translatora adresów sieciowych, aby upewnić się, że brama sieci VPN typu lokacja-lokacja może odróżnić dwie gałęzie z nakładającymi się przestrzeniami adresowymi (na przykład 10.30.0.0/24). W tym przykładzie skoncentrujemy się na linku A dla lokacji sieci VPN 1.

    Poniższa reguła TRANSLATOR adresów sieciowych może zostać skonfigurowana i skojarzona z linkiem A. Ponieważ jest to statyczna reguła NAT, przestrzenie adresowe mapowania wewnętrznego i mapowania zewnętrznego zawierają taką samą liczbę adresów IP.

    • Nazwa: ingressRule01
    • Typ: statyczny
    • Tryb: IngressSnat
    • Wewnętrzne mapowanie: 10.30.0.0/24
    • Mapowanie zewnętrzne: 172.30.0.0/24
    • Link Połączenie ion: łącze A

  2. Przełącz translowanie tras protokołu BGP na wartość "Włącz".

    Zrzut ekranu przedstawiający sposób włączania tłumaczenia BGP.

  3. Upewnij się, że brama sieci VPN typu lokacja-lokacja może być równorzędna z lokalnym elementem równorzędnym protokołu BGP.

    W tym przykładzie reguła NAT ruchu przychodzącego będzie musiała przetłumaczyć 10.30.0.132 na 172.30.0.132. W tym celu kliknij pozycję "Edytuj lokację sieci VPN", aby skonfigurować adres protokołu BGP połączenia sieci VPN, aby odzwierciedlić przetłumaczony adres równorzędny protokołu BGP (172.30.0.132).

    Zrzut ekranu przedstawiający sposób zmiany adresu IP komunikacji równorzędnej BGP.

Zagadnienia dotyczące łączenia lokacji sieci VPN za pośrednictwem protokołu BGP

  • Rozmiar podsieci zarówno dla mapowania wewnętrznego, jak i zewnętrznego musi być taki sam w przypadku statycznego translatora adresów sieciowych typu jeden do jednego.

  • Jeśli tłumaczenie protokołu BGP jest włączone, brama sieci VPN typu lokacja-lokacja będzie automatycznie anonsować zewnętrzne mapowanie reguł NAT ruchu wychodzącego do środowiska lokalnego, a także zewnętrzne mapowanie reguł NAT ruchu przychodzącego na platformę Azure (koncentrator wirtualnej sieci WAN, połączone sieci wirtualne szprychy, połączona sieć VPN/ExpressRoute). Jeśli tłumaczenie protokołu BGP jest wyłączone, przetłumaczone trasy nie są automatycznie anonsowane do środowiska lokalnego. W związku z tym lokalny głośnik BGP musi być skonfigurowany tak, aby anonsować zakres reguł NAT ruchu przychodzącego skojarzonych z tym połączeniem łącza lokacji sieci VPN po translatorze adresów sieciOWYCH (mapowanie zewnętrzne). Podobnie należy zastosować trasę dla zakresu nat po translatorze adresów sieciowych (mapowanie zewnętrzne) reguł NAT ruchu wychodzącego na urządzeniu lokalnym.

  • Brama sieci VPN typu lokacja-lokacja automatycznie tłumaczy lokalny adres IP elementu równorzędnego BGP, jeśli lokalny adres IP elementu równorzędnego BGP znajduje się w wewnętrznym mapowaniu reguły nat ruchu przychodzącego. W związku z tym adres BGP połączenia Połączenie ion lokacji sieci VPN musi odzwierciedlać adres tłumaczony translatora adresów sieciowych (część mapowania zewnętrznego).

    Jeśli na przykład lokalny adres IP protokołu BGP to 10.30.0.133 i istnieje reguła NAT ruchu przychodzącego, która tłumaczy 10.30.0.0/24 na 172.30.0.0/24, Adres BGP Połączenie ion lokacji sieci VPN musi być skonfigurowany jako przetłumaczony adres (172.30.0.133).

  • W przypadku dynamicznego translatora adresów sieciowych lokalny adres IP elementu równorzędnego BGP nie może być częścią zakresu adresów wstępnych NAT (wewnętrzne mapowanie), ponieważ translacje adresów IP i portów nie są stałe. Jeśli istnieje potrzeba tłumaczenia lokalnego adresu IP komunikacji równorzędnej BGP, utwórz oddzielną statyczną regułę translatora adresów sieciowych, która tłumaczy tylko adres IP komunikacji równorzędnej BGP.

    Jeśli na przykład sieć lokalna ma przestrzeń adresową 10.0.0.0/24 z lokalnym adresem IP elementu równorzędnego BGP 10.0.0.1 i istnieje reguła dynamicznego nat ruchu przychodzącego do tłumaczenia 10.0.0.0/24 na 192.198.0.0/32, Wymagana jest oddzielna reguła nat statycznego ruchu przychodzącego tłumaczona 10.0.0.1/32 do 192.168.0.02/32, a odpowiedni adres BGP Połączenie ion lokacji sieci VPN należy zaktualizować adres translatora adresów sieciowych (część mapowania zewnętrznego).

Ruch przychodzący SNAT (lokacja sieci VPN ze statycznie skonfigurowanymi trasami)

Reguły SNAT ruchu przychodzącego są stosowane w pakietach, które wchodzą na platformę Azure za pośrednictwem bramy sieci VPN typu lokacja-lokacja usługi Virtual WAN. W tym scenariuszu chcesz połączyć dwie gałęzie sieci VPN typu lokacja-lokacja z platformą Azure. Lokacja sieci VPN 1 łączy się za pośrednictwem linku A, a lokacja SIECI VPN 2 łączy się za pośrednictwem łącza B. Każda witryna ma tę samą przestrzeń adresową 10.30.0.0/24.

W tym przykładzie lokacja sieci VPN translatora adresów sieciOWYCH od 1 do 172.30.0.0.0/24. Jednak ze względu na to, że lokacja sieci VPN nie jest połączona z bramą sieci VPN typu lokacja-lokacja za pośrednictwem protokołu BGP, kroki konfiguracji są nieco inne niż w przykładzie Z włączonym protokołem BGP.

Zrzut ekranu przedstawiający konfiguracje diagramu dla lokacji sieci VPN korzystających z routingu statycznego.

  1. Określ regułę translatora adresów sieciowych.

    Określ regułę translatora adresów sieciowych, aby upewnić się, że brama sieci VPN typu lokacja-lokacja może odróżnić dwie gałęzie z tą samą przestrzenią adresową 10.30.0.0/24. W tym przykładzie skoncentrujemy się na linku A dla lokacji sieci VPN 1.

    Poniższa reguła TRANSLATOR adresów sieciowych może zostać skonfigurowana i skojarzona z usługą Link A z jedną z lokacji sieci VPN 1. Ponieważ jest to statyczna reguła NAT, przestrzenie adresowe mapowania wewnętrznego i mapowania zewnętrznego zawierają taką samą liczbę adresów IP.

    • Nazwa: IngressRule01
    • Typ: statyczny
    • Tryb: IngressSnat
    • Wewnętrzne mapowanie: 10.30.0.0/24
    • Mapowanie zewnętrzne: 172.30.0.0/24
    • Link Połączenie ion: Łącze A

  2. Zmodyfikuj pole "Prywatna przestrzeń adresowa" lokacji SIECI VPN 1, aby upewnić się, że brama sieci VPN typu lokacja-lokacja uczy się zakresu po translatorze adresów sieciowych (172.30.0.0/24).

    • Przejdź do zasobu koncentratora wirtualnego, który zawiera bramę sieci VPN typu lokacja-lokacja. Na stronie koncentratora wirtualnego w obszarze Połączenie ivity wybierz pozycję VPN (lokacja-lokacja).

    • Wybierz lokację sieci VPN połączoną z koncentratorem usługi Virtual WAN za pośrednictwem łącza A. Wybierz pozycję Edytuj lokację i wprowadź dane wejściowe 172.30.0.0/24 jako prywatną przestrzeń adresową lokacji sieci VPN.

      Zrzut ekranu przedstawiający sposób edytowania prywatnej przestrzeni adresowej lokacji sieci VPN

Zagadnienia dotyczące statycznego konfigurowania lokacji sieci VPN (bez połączenia za pośrednictwem protokołu BGP)

  • Rozmiar podsieci zarówno dla mapowania wewnętrznego, jak i zewnętrznego musi być taki sam w przypadku statycznego translatora adresów sieciowych typu jeden do jednego.
  • Edytuj witrynę sieci VPN w witrynie Azure Portal, aby dodać prefiksy w zewnętrznym mapowaniureguł NAT ruchu przychodzącego w polu "Prywatna przestrzeń adresowa".
  • W przypadku konfiguracji obejmujących reguły NAT ruchu wychodzącego należy zastosować zasady tras lub trasę statyczną z zewnętrznym mapowaniemreguły NAT ruchu wychodzącego na urządzeniu lokalnym.

Przepływ pakietów

W poprzednich przykładach urządzenie lokalne chce uzyskać dostęp do zasobu w sieci wirtualnej będącej szprychą. Przepływ pakietów jest następujący, a translacje TRANSLATOR adresów sieciowych są pogrubione.

  1. Ruch ze środowiska lokalnego jest inicjowany.

    • Źródłowy adres IP: 10.30.0.4
    • Docelowy adres IP: 10.200.0.4

  2. Ruch przechodzi do bramy typu lokacja-lokacja i jest tłumaczony przy użyciu reguły translatora adresów sieciowych, a następnie wysyłany do szprychy.

    • Źródłowy adres IP: 172.30.0.4
    • Docelowy adres IP: 10.200.0.4

  3. Odpowiedź od szprychy jest inicjowana.

    • Źródłowy adres IP: 10.200.0.4
    • Docelowy adres IP: 172.30.0.4

  4. Ruch przechodzi do bramy sieci VPN typu lokacja-lokacja, a tłumaczenie jest odwracane i wysyłane do środowiska lokalnego.

    • Źródłowy adres IP: 10.200.0.4
    • Docelowy adres IP: 10.30.0.4

Sprawdzanie weryfikacji

W tej sekcji przedstawiono testy umożliwiające sprawdzenie, czy konfiguracja jest prawidłowo skonfigurowana.

Weryfikowanie dynamicznych reguł NAT

  • Użyj dynamicznych reguł NAT, jeśli pula adresów docelowych jest mniejsza niż oryginalna pula adresów.

  • Ponieważ kombinacje adresów IP/portów nie są stałe w regule dynamicznego translatora adresów sieciowych, lokalny adres IP elementu równorzędnego BGP nie może być częścią zakresu adresów pre-NAT (wewnętrzne mapowanie). Utwórz określoną statyczną regułę translatora adresów sieciowych, która tłumaczy tylko adres IP komunikacji równorzędnej BGP.

    Na przykład:

    • Zakres adresów lokalnych: 10.0.0.0/24
    • Lokalny adres IP protokołu BGP: 10.0.0.1
    • Reguła nat ruchu przychodzącego dynamicznego: 192.168.0.1/32
    • Reguła nat statycznego ruchu przychodzącego: 10.0.0.1 —> 192.168.0.2

Weryfikowanie tabeli DefaultRouteTable, reguł i tras

Gałęzie w wirtualnej sieci WAN są skojarzone z tabelą DefaultRouteTable, co oznacza, że wszystkie połączenia gałęzi uczą się tras wypełnionych w tabeli DefaultRouteTable. Reguła translatora adresów sieciowych z przetłumaczonym prefiksem zostanie wyświetlona w obowiązujących trasach tabeli DefaultRouteTable.

Z poprzedniego przykładu:

  • Prefiks: 172.30.0.0/24
  • Typ następnego przeskoku: VPN_S2S_Gateway
  • Następny przeskok: zasób VPN_S2S_Gateway

Weryfikowanie prefiksów adresów

Ten przykład dotyczy zasobów w sieciach wirtualnych skojarzonych z tabelą DefaultRouteTable.

Obowiązujące trasy na kartach interfejsu sieciowego (NIC) dowolnej maszyny wirtualnej, która znajduje się w sieci wirtualnej będącej szprychą połączoną z koncentratorem wirtualnej sieci WAN, powinna również zawierać prefiksy adresów mapowania zewnętrznego określone w regule NAT ruchu przychodzącego.

Urządzenie lokalne powinno również zawierać trasy dla prefiksów zawartych w zewnętrznym mapowaniu reguł NAT ruchu wychodzącego.

Typowe wzorce konfiguracji

Uwaga

Międzylokacyjny translator adresów sieciowych nie jest obsługiwany w przypadku połączeń przez międzylokacyjną sieć VPN, w których są używane selektory ruchu oparte na zasadach.

W poniższej tabeli przedstawiono typowe wzorce konfiguracji występujące podczas konfigurowania różnych typów reguł NAT w bramie sieci VPN typu lokacja-lokacja.

Typ lokacji sieci VPN Reguły NAT ruchu przychodzącego Reguły NAT ruchu wychodzącego
Lokacja sieci VPN ze statycznie skonfigurowanymi trasami Edytuj "prywatną przestrzeń adresową" w lokacji sieci VPN, aby zawierać zewnętrzne mapowanie reguły TRANSLATOR adresów sieciowych. Zastosuj trasy do zewnętrznego mapowania reguły translatora adresów sieciowych na urządzeniu lokalnym.
Lokacja sieci VPN (włączono tłumaczenie protokołu BGP) Umieść adres mapowania zewnętrznego elementu równorzędnego protokołu BGP w adresie protokołu BGP Połączenie ion linku sieci VPN. Brak specjalnych zagadnień.
Lokacja sieci VPN (tłumaczenie protokołu BGP jest wyłączone) Upewnij się, że lokalny głośnik BGP anonsuje prefiksy w zewnętrznym mapowaniu reguły NAT. Umieść również adres mapowania zewnętrznego elementu równorzędnego protokołu BGP w adresie BGP Połączenie ion linku sieci VPN. Zastosuj trasy do zewnętrznego mapowania reguły translatora adresów sieciowych na urządzeniu lokalnym.

Następne kroki

Aby uzyskać więcej informacji na temat konfiguracji lokacja-lokacja, zobacz Konfigurowanie połączenia lokacja-lokacja usługi Virtual WAN.