Udostępnij za pośrednictwem

Jak skonfigurować translator adresów sieciowych dla usługi Azure VPN Gateway

  • Artykuł

Ten artykuł ułatwia skonfigurowanie translatora adresów sieciowych (translatora adresów sieciowych) dla usługi Azure VPN Gateway przy użyciu witryny Azure Portal.

Informacje o translatorze adresów sieciowych

Translator adresów sieciowych definiuje mechanizmy translacji jednego adresu IP na inny w pakiecie IP. Często służy do łączenia sieci z nakładającymi się zakresami adresów IP. Reguły translatora adresów sieciowych lub zasady na urządzeniach bramy łączących sieci określają mapowania adresów na potrzeby translacji adresów w sieciach.

Aby uzyskać więcej informacji na temat obsługi translatora adresów sieciowych dla usługi Azure VPN Gateway, zobacz Informacje o translatorze adresów sieciowych i usłudze Azure VPN Gateway.

Ważne

  • Translator adresów sieciowych jest obsługiwany w następujących jednostkach SKU: VpnGw2~5, VpnGw2AZ~5AZ.

Wprowadzenie

Każda część tego artykułu ułatwia utworzenie podstawowego bloku konstrukcyjnego służącego do konfigurowania translatora adresów sieciowych w łączności sieciowej. Jeśli ukończysz wszystkie trzy części, utworzysz topologię, jak pokazano na diagramie 1.

Diagram 1

Diagram przedstawiający konfigurację translatora adresów sieciowych i reguły.

Wymagania wstępne

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Część 1. Tworzenie sieci wirtualnej i bram

W tej sekcji utworzysz sieć wirtualną, bramę sieci VPN i zasoby bramy sieci lokalnej, aby odpowiadały zasobom przedstawionym na diagramie 1. Aby utworzyć te zasoby, możesz wykonać kroki opisane w artykule Samouczek lokacja-lokacja. Wykonaj poniższe sekcje artykułu, ale nie twórz żadnych połączeń.

Ważne

Nie twórz żadnych połączeń. Jeśli spróbujesz utworzyć zasoby połączenia, operacja zakończy się niepowodzeniem, ponieważ przestrzenie adresów IP są takie same między sieciami wirtualnymi, Branch1 i Branch2. Utworzysz zasoby połączenia zgodnie z późniejszymi krokami w tym artykule.

Na poniższych zrzutach ekranu przedstawiono przykłady zasobów do utworzenia.

  • Sieć wirtualna

    Zrzut ekranu przedstawiający przestrzeń adresową sieci wirtualnej.

  • VPN Gateway

    Zrzut ekranu przedstawiający bramę.

  • Brama sieci lokalnej Branch1

    Zrzut ekranu przedstawiający bramę sieci lokalnej Branch1.

  • Brama sieci lokalnej Branch2

    Zrzut ekranu przedstawiający bramę sieci lokalnej branch2.

Część 2. Tworzenie reguł translatora adresów sieciowych

Przed utworzeniem połączeń należy utworzyć i zapisać reguły NAT w bramie sieci VPN. W poniższej tabeli przedstawiono wymagane reguły NAT. Zapoznaj się z diagramem 1 , aby zapoznać się z topologią.

Tabela reguł translatora adresów sieciowych

Nazwisko Typ Tryb Wewnętrzny Zewnętrzne Connection
Sieć wirtualna Static EgressSNAT 10.0.1.0/24 100.0.1.0/24 Oba rodzaje połączeń
Gałąź 1 Static IngressSNAT 10.0.1.0/24 100.0.2.0/24 Połączenie z gałęzią 1
Gałąź 2 Static IngressSNAT 10.0.1.0/24 100.0.3.0/24 Połączenie z gałęzią 2

Wykonaj poniższe kroki, aby utworzyć wszystkie reguły NAT w bramie sieci VPN. Jeśli używasz protokołu BGP, wybierz pozycję Włącz dla ustawienia Włącz translacja tras Bgp.

  1. W witrynie Azure Portal przejdź do strony zasobu bramy sieci wirtualnej i wybierz pozycję Reguły TRANSLATOR adresów sieciowych w okienku po lewej stronie.

  2. Korzystając z tabeli reguł NAT, wypełnij wartości. Jeśli używasz protokołu BGP, wybierz pozycję Włącz dla ustawienia Włącz translacja tras Bgp.

    Zrzut ekranu przedstawiający reguły NAT.

  3. Kliknij przycisk Zapisz , aby zapisać reguły translatora adresów sieciowych w zasobie bramy sieci VPN. Wykonanie tej operacji może potrwać do 10 minut.

W tej sekcji utworzysz połączenia i skojarzysz reguły NAT w tym samym kroku. Należy pamiętać, że jeśli najpierw tworzysz obiekty połączenia bez łączenia reguł NAT w tym samym czasie, operacja kończy się niepowodzeniem, ponieważ przestrzenie adresów IP są takie same między sieciami wirtualnymi, Branch1 i Branch2.

Połączenia i reguły NAT są określone w przykładowej topologii pokazanej na diagramie 1.

  1. Przejdź do bramy sieci VPN.

  2. Na stronie Połączenia wybierz pozycję +Dodaj, aby otworzyć stronę Dodaj połączenie.

  3. Na stronie Dodawanie połączenia wypełnij wartości dla połączenia VNet-Branch1, określając skojarzone reguły NAT, jak pokazano na poniższym zrzucie ekranu. W obszarze Reguły NAT ruchu przychodzącego wybierz pozycję Branch1. W przypadku reguł NAT ruchu wychodzącego wybierz pozycję Sieć wirtualna. Jeśli używasz protokołu BGP, możesz wybrać pozycję Włącz protokół BGP.

    Zrzut ekranu przedstawiający połączenie VNet-Branch1.

  4. Kliknij przycisk OK , aby utworzyć połączenie.

  5. Powtórz kroki tworzenia połączenia VNet-Branch2. W obszarze Reguły NAT ruchu przychodzącego wybierz pozycję Branch2. W przypadku reguł NAT ruchu wychodzącego wybierz pozycję Sieć wirtualna.

  6. Po skonfigurowaniu obu połączeń konfiguracja powinna wyglądać podobnie do poniższego zrzutu ekranu. Stan zmieni się na Połączono po nawiązaniu połączenia.

    Zrzut ekranu przedstawiający wszystkie połączenia.

  7. Po zakończeniu konfiguracji reguły NAT wyglądają podobnie jak na poniższym zrzucie ekranu, a topologia będzie zgodna z topologią pokazaną na diagramie 1. Zwróć uwagę, że w tabeli są teraz wyświetlane połączenia połączone z każdą regułą NAT.

    Jeśli chcesz włączyć translacja tras BGP dla połączeń, wybierz pozycję Włącz , a następnie kliknij przycisk Zapisz.

    Zrzut ekranu przedstawiający reguły NAT.

Ograniczenia translatora adresów sieciowych

Ważne

Istnieje kilka ograniczeń dotyczących funkcji translatora adresów sieciowych.

  • Translator adresów sieciowych jest obsługiwany w następujących jednostkach SKU: VpnGw2~5, VpnGw2AZ~5AZ.
  • Translator adresów sieciowych jest obsługiwany tylko w przypadku połączeń obejmujących wiele lokalizacji IPsec/IKE. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-lokacja nie są obsługiwane.
  • Reguły translatora adresów sieciowych nie są obsługiwane w przypadku połączeń z włączonymi selektorami ruchu opartymi na zasadach.
  • Maksymalny obsługiwany rozmiar podsieci mapowania zewnętrznego dla dynamicznego translatora adresów sieciowych to /26.
  • Mapowania portów można skonfigurować tylko przy użyciu statycznych typów translacji adresów sieciowych. Dynamiczne scenariusze translatora adresów sieciowych nie mają zastosowania do mapowania portów.
  • Mapowanie portów nie akceptuje obecnie zakresów. Należy wprowadzić pojedynczy port.
  • Mapowania portów mogą być używane zarówno dla protokołów TCP, jak i UDP.

Następne kroki

Po zakończeniu procesu nawiązywania połączenia można dodać do sieci wirtualnych maszyny wirtualne. Kroki opisano w sekcji Tworzenie maszyny wirtualnej.