Udostępnij za pośrednictwem


Jak skonfigurować NAT dla usługi Azure VPN Gateway

Ten artykuł pomaga skonfigurować translację adresów sieciowych (NAT) dla usługi Azure VPN Gateway, korzystając z portalu Azure.

Informacje o translatorze adresów sieciowych

NAT definiuje mechanizmy translacji jednego adresu IP do innego w pakiecie IP. Często służy do łączenia sieci z nakładającymi się zakresami adresów IP. Reguły NAT lub zasady na urządzeniach bramowych łączących sieci określają mapowania adresów dla tłumaczenia adresów w sieciach.

Aby uzyskać więcej informacji na temat obsługi translatora adresów sieciowych dla usługi Azure VPN Gateway, zobacz Informacje o translatorze adresów sieciowych i usłudze Azure VPN Gateway.

Ważne

  • NAT jest obsługiwany w następujących SKU: VpnGw2~5, VpnGw2AZ~5AZ.

Wprowadzenie

Każda część tego artykułu ułatwia utworzenie podstawowego elementu służącego do konfigurowania NAT w sieci. Jeśli ukończysz wszystkie trzy części, utworzysz topologię, jak pokazano na diagramie 1.

Diagram 1

Diagram przedstawiający konfigurację NAT i reguły.

Wymagania wstępne

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Część 1. Tworzenie sieci wirtualnej i bram

W tej sekcji utworzysz sieć wirtualną, bramę sieci VPN i zasoby bramy sieci lokalnej, aby odpowiadały zasobom przedstawionym na diagramie 1. Aby utworzyć te zasoby, możesz wykonać kroki opisane w artykule Samouczek Site-to-Site. Wykonaj poniższe sekcje artykułu, ale nie twórz żadnych połączeń.

Ważne

Nie twórz żadnych połączeń. Jeśli spróbujesz utworzyć zasoby połączenia, operacja zakończy się niepowodzeniem, ponieważ przestrzenie adresowe IP są takie same w sieci wirtualnej (VNet), Branch1 i Branch2. W dalszej części tego artykułu utworzysz zasoby połączenia.

Na poniższych zrzutach ekranu przedstawiono przykłady zasobów do utworzenia.

  • Sieć wirtualna

    Zrzut ekranu przedstawiający przestrzeń adresową sieci wirtualnej.

  • Brama sieci VPN

    Zrzut ekranu przedstawiający bramę.

  • Brama sieci lokalnej Branch1

    Zrzut ekranu przedstawiający bramę sieci lokalnej Branch1.

  • Brama sieci lokalnej Branch2

    Zrzut ekranu przedstawiający bramę sieci lokalnej branch2.

Część 2: Tworzenie reguł NAT

Przed utworzeniem połączeń należy utworzyć i zapisać reguły NAT w bramie sieci VPN. W poniższej tabeli przedstawiono wymagane reguły NAT. Zapoznaj się z diagramem 1 , aby zapoznać się z topologią.

Tabela reguł NAT

Nazwa Typ Tryb Wewnętrzny Zewnętrzne Połączenie
VNet (sieć wirtualna) Statyczny EgressSNAT 10.0.1.0/24 192.168.1.0/24 Oba połączenia
Gałąź 1 Statyczny IngressSNAT 10.0.1.0/24 192.168.2.0/24 Połączenie z gałęzią nr 1
Gałąź 2 Statyczny IngressSNAT 10.0.1.0/24 192.168.3.0/24 Połączenie gałęzi 2

Wykonaj poniższe kroki, aby utworzyć wszystkie reguły NAT w bramie sieci VPN. Jeśli używasz protokołu BGP, wybierz Włącz dla ustawienia Włącz translację tras BGP.

  1. W portalu Azure przejdź do strony zasobu bramy sieci wirtualnej i wybierz Reguły NAT z lewego panelu.

  2. Korzystając z tabeli reguł NAT, wypełnij wartości. Jeśli używasz protokołu BGP, wybierz opcję Włącz dla ustawienia Włącz tłumaczenie tras BGP.

    Zrzut ekranu przedstawiający reguły NAT.

  3. Kliknij Zapisz, aby zapisać reguły NAT w zasobie bramy sieci VPN. Wykonanie tej operacji może potrwać do 10 minut.

W tej sekcji utworzysz połączenia i skojarzysz reguły NAT w tym samym kroku. Należy pamiętać, że jeśli najpierw tworzysz obiekty połączenia bez łączenia reguł NAT w tym samym czasie, operacja kończy się niepowodzeniem, ponieważ przestrzenie adresów IP są takie same między sieciami wirtualnymi, Branch1 i Branch2.

Połączenia i reguły NAT są określone w przykładowej topologii pokazanej na diagramie 1.

  1. Przejdź do bramy sieci VPN.

  2. Na stronie Połączenia wybierz pozycję +Dodaj , aby otworzyć stronę Dodaj połączenie .

  3. Na stronie Dodawanie połączenia wypełnij wartości dla połączenia VNet-Branch1, określając skojarzone reguły NAT, jak pokazano na poniższym zrzucie ekranu. Wybierz Branch1 w obszarze Reguły NAT Ingress. Dla reguł NAT ruchu wychodzącego wybierz VNet. Jeśli używasz protokołu BGP, możesz wybrać pozycję Włącz protokół BGP.

    Zrzut ekranu przedstawiający połączenie VNet-Branch1.

  4. Kliknij przycisk OK , aby utworzyć połączenie.

  5. Powtórz kroki, aby utworzyć połączenie VNet-Branch2. Dla reguł NAT ruchu przychodzącego wybierz Branch2. Dla reguł NAT ruchu wychodzącego wybierz VNet.

  6. Po skonfigurowaniu obu połączeń konfiguracja powinna wyglądać podobnie do poniższego zrzutu ekranu. Stan zmieni się na Połączono po nawiązaniu połączenia.

    Zrzut ekranu przedstawiający wszystkie połączenia.

  7. Po zakończeniu konfiguracji reguły NAT wyglądają podobnie jak na poniższym zrzucie ekranu, a topologia będzie zgodna z topologią pokazaną na diagramie 1. Zwróć uwagę, że w tabeli są teraz wyświetlane połączenia połączone z każdą regułą NAT.

    Jeśli chcesz włączyć translację tras BGP dla Twoich połączeń, wybierz Włącz, a następnie kliknij Zapisz.

    Zrzut ekranu przedstawiający reguły NAT.

Ograniczenia translatora adresów sieciowych

Ważne

Istnieje kilka ograniczeń dotyczących funkcji NAT.

  • NAT jest obsługiwany w następujących SKU: VpnGw2~5, VpnGw2AZ~5AZ.
  • Technologia NAT jest obsługiwana tylko dla połączeń IPsec/IKE między różnymi lokalizacjami. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-do-sieci nie są obsługiwane.
  • Reguły NAT nie są obsługiwane w przypadku połączeń z włączonym ustawieniem selektorów ruchu opartych na zasadach oraz w przypadku sieci VPN opartych na zasadach. Reguły NAT są obsługiwane tylko w przypadku VPN z trasowaniem.
  • Maksymalny obsługiwany rozmiar podsieci mapowania zewnętrznego dla Dynamic NAT to /26.
  • Mapowania portów można skonfigurować tylko przy użyciu statycznego NAT. Dynamiczne scenariusze translatora adresów sieciowych nie mają zastosowania do mapowania portów.
  • Mapowanie portów nie akceptuje obecnie zakresów. Należy wprowadzić pojedynczy port.
  • Mapowania portów mogą być używane zarówno dla protokołów TCP, jak i UDP.

Dalsze kroki

Po zakończeniu procesu nawiązywania połączenia można dodać do sieci wirtualnych maszyny wirtualne. Kroki opisano w sekcji Tworzenie maszyny wirtualnej.