Udostępnij za pośrednictwem

Informacje o NAT w usłudze Azure VPN Gateway

Ten artykuł zawiera omówienie obsługi NAT (Network Address Translation - tłumaczenie adresów sieciowych) w usłudze Azure VPN Gateway. NAT definiuje mechanizmy translacji jednego adresu IP do innego w pakiecie IP. Istnieje wiele scenariuszy dla NAT.

  • Łączenie wielu sieci z nakładającymi się adresami IP
  • Łączenie z sieciami używając prywatnych adresów IP (RFC1918) do Internetu (przełom internetowy)
  • Łączenie sieci IPv6 z sieciami IPv4 (NAT64)

Ważne

Translator adresów sieciowych usługi Azure VPN Gateway obsługuje pierwszy scenariusz połączenia sieci lokalnych lub oddziałów z wirtualną siecią Azure z nakładającymi się adresami IP. Przełączanie się do Internetu i NAT64 nie są obsługiwane.

Nakładające się przestrzenie adresowe

Organizacje często używają prywatnych adresów IP zdefiniowanych w RFC1918 do komunikacji wewnętrznej w swoich sieciach prywatnych. Gdy te sieci są połączone przy użyciu sieci VPN przez Internet lub przez prywatną sieć WAN, przestrzenie adresowe nie mogą nakładać się w przeciwnym razie komunikacja zakończy się niepowodzeniem. Aby połączyć co najmniej dwie sieci z nakładającymi się adresami IP, NAT jest wdrażany na urządzeniach bramowych łączących sieci.

Typ NAT: statyczny i dynamiczny

NAT na urządzeniu bramy tłumaczy źródłowe i/lub docelowe adresy IP na podstawie zasad lub reguł NAT, aby uniknąć konfliktu adresów. Istnieją różne typy reguł NAT:

  • Statyczny NAT: Reguły statyczne ustalają stałą relację mapowania adresów. Dla danego adresu IP zostanie on zamapowany na ten sam adres z puli docelowej. Mapowania reguł statycznych są bezstanowe, ponieważ mapowanie jest stałe.

  • Dynamiczny translator adresów sieciowych: w przypadku dynamicznego translatora adresów sieciowych adres IP można przetłumaczyć na różne docelowe adresy IP na podstawie dostępności lub z inną kombinacją adresu IP i portu TCP/UDP. Ten ostatni jest również nazywany NAPT, Translacja adresów sieciowych i portów. Reguły dynamiczne będą skutkować stanowymi mapowaniami tłumaczeń w zależności od przepływów ruchu w danym momencie.

Uwaga

Gdy są używane dynamiczne reguły NAT, ruch jest jednokierunkowy, co oznacza, że komunikacja musi być inicjowana z lokacji reprezentowanej w polu Wewnętrzne mapowanie reguły. Jeśli ruch jest inicjowany z mapowania zewnętrznego, połączenie nie zostanie nawiązane. Jeśli potrzebujesz dwukierunkowej inicjacji ruchu, użyj statycznej reguły NAT, aby zdefiniować mapowanie 1:1.

Innym zagadnieniem jest rozmiar puli adresów do tłumaczenia. Jeśli rozmiar puli adresów docelowych jest taki sam jak oryginalna pula adresów, użyj statycznej reguły translatora adresów sieciowych, aby zdefiniować mapowanie 1:1 w kolejności sekwencyjnej. Jeśli docelowa pula adresów jest mniejsza niż oryginalna pula adresów, użyj dynamicznej reguły NAT, aby uwzględnić różnice.

Ważne

  • NAT jest obsługiwany w następujących SKU: VpnGw2~5, VpnGw2AZ~5AZ.
  • Obsługa NAT jest dostępna tylko w przypadku połączeń międzylokalizacyjnych IPsec. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-do-sieci (P2S) nie są obsługiwane.
  • Każda dynamiczna reguła NAT może być przypisana do jednego połączenia.

Tryb NAT: ruch przychodzący i wychodzący

Każda reguła NAT definiuje mapowanie lub tłumaczenie adresów dla odpowiedniej przestrzeni adresowej sieci.

  • Ingress: Reguła IngressSNAT mapuje przestrzeń adresową sieci lokalnej na przetłumaczoną przestrzeń adresową, aby uniknąć nakładania się adresów.

  • Ruch wychodzący: reguła EgressSNAT mapuje przestrzeń adresową VNet platformy Azure na inną przetłumaczoną przestrzeń adresową.

Dla każdej reguły NAT następujące dwa pola określają przestrzenie adresowe przed i po tłumaczeniu:

  • Wewnętrzne mapowania: przestrzeń adresowa przed tłumaczeniem. W przypadku reguły ruchu przychodzącego to pole odpowiada oryginalnej przestrzeni adresowej sieci lokalnej. W przypadku reguły wychodzącej jest to oryginalna przestrzeń adresowa VNet.

  • Mapowania zewnętrzne: przestrzeń adresowa po tłumaczeniu sieci lokalnych (ruchu przychodzącego) lub sieci wirtualnej (ruchu wychodzącego). W przypadku różnych sieci połączonych z bramą VPN Azure, przestrzenie adresowe dla wszystkich mapowań zewnętrznych nie mogą pokrywać się ze sobą i z sieciami połączonymi bez NAT.

Translacja adresów sieciowych i routing

Po zdefiniowaniu reguły NAT dla połączenia, efektywna przestrzeń adresowa dla tego połączenia zmieni się zgodnie z regułą. Jeśli protokół BGP jest włączony w bramie sieci VPN platformy Azure, wybierz opcję "Włącz translację tras BGP", aby automatycznie przekonwertować trasy poznane i ogłaszane na połączeniach z regułami NAT.

  • Poznane trasy: prefiksy docelowe tras poznanych za pośrednictwem połączenia z regułami IngressSNAT zostaną przetłumaczone z prefiksów mapowania wewnętrznego (pre-NAT) do prefiksów mapowania zewnętrznego (post-NAT) tych reguł.

  • Reklamowane trasy: brama sieci VPN Azure reklamuje zewnętrzne prefiksy mapowania (post-NAT) zestawów reguł EgressSNAT dla przestrzeni adresowej sieci VNet oraz nauczone trasy z prefiksami adresów post-NAT z innych połączeń.

  • Uwagi dotyczące adresu IP równorzędnego protokołu BGP dla lokalnej sieci z translacją adresów sieciowych (NAT):

    • Translacja adresów sieciowych (NAT) nie jest obsługiwana w przypadku adresów APIPA (169.254.0.1 do 169.254.255.254) w protokole BGP.
    • Adres inny niż APIPA: wyklucz adresy IP peerów BGP z zakresu NAT.

Uwaga

Poznane trasy połączeń bez reguł IngressSNAT nie zostaną przekonwertowane. Trasy VNet reklamowane w połączeniach bez reguł EgressSNAT również nie zostaną przekonwertowane.

Przykład translatora adresów sieciowych

Na poniższym diagramie przedstawiono przykład konfiguracji VPN NAT platformy Azure.

Diagram przedstawiający konfigurację NAT i reguły.

Na diagramie przedstawiono sieć wirtualną platformy Azure i dwie sieci lokalne z przestrzenią adresową 10.0.1.0/24. Aby połączyć te dwie sieci z siecią wirtualną platformy Azure i bramą sieci VPN, utwórz następujące reguły:

  • Reguła IngressSNAT 1: ta reguła tłumaczy lokalną przestrzeń adresową 10.0.1.0/24 192.168.2.0/24.

  • Reguła IngressSNAT 2: ta reguła tłumaczy lokalną przestrzeń adresową 10.0.1.0/24 na 192.168.3.0/24.

  • Reguła EgressSNAT 1: ta reguła tłumaczy przestrzeń adresową sieci wirtualnej 10.0.1.0/24 na 192.168.1.0/24.

Na diagramie każdy zasób połączenia ma następujące reguły:

  • Połączenie 1 (VNet-Branch1):

    • Reguła IngressSNAT 1
    • Reguła EgressSNAT 1

  • Połączenie 2 (VNet-Branch2)

    • Reguła IngressSNAT 2
    • Reguła EgressSNAT 1

Na podstawie reguł skojarzonych z połączeniami oto przestrzenie adresowe dla każdej sieci:

Sieć Oryginalne Przetłumaczony
Sieć wirtualna (VNet) 10.0.1.0/24 192.168.1.0/24
Gałąź 1 10.0.1.0/24 192.168.2.0/24
Gałąź 2 10.0.1.0/24 192.168.3.0/24

Na poniższym diagramie przedstawiono pakiet IP z gałęzi 1 do VNet przed translacją NAT i po niej.

Diagram przedstawiający przed i po translacji NAT.

Ważne

Pojedyncza reguła SNAT definiuje tłumaczenie dla obu kierunków określonej sieci:

  • Reguła IngressSNAT definiuje tłumaczenie źródłowych adresów IP przychodzących do bramy sieci VPN platformy Azure z sieci lokalnej. Obsługuje również translację docelowych adresów IP opuszczających sieć wirtualną do tej samej sieci lokalnej.
  • Reguła EgressSNAT definiuje translację źródłowych adresów IP opuszczających bramę sieci VPN platformy Azure do sieci lokalnych. Obsługuje również translację docelowych adresów IP dla pakietów przychodzących do sieci wirtualnej za pośrednictwem połączeń z regułą EgressSNAT.
  • W obu przypadkach nie są potrzebne żadne reguły DNAT .

Konfiguracja NAT

Aby zaimplementować konfigurację NAT pokazaną w poprzedniej sekcji, najpierw utwórz reguły NAT w bramie VPN Azure, a następnie utwórz połączenia z odpowiednimi regułami NAT. Zobacz Konfigurowanie NAT w bramach VPN Azure dla kroków konfigurowania NAT dla połączeń między lokacjami.

Ograniczenia i uwagi dotyczące NAT

Ważne

Istnieje kilka ograniczeń dotyczących funkcji NAT.

  • NAT jest obsługiwany w następujących SKU: VpnGw2~5, VpnGw2AZ~5AZ.
  • Technologia NAT jest obsługiwana tylko dla połączeń IPsec/IKE między różnymi lokalizacjami. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-do-sieci nie są obsługiwane.
  • Reguły NAT nie są obsługiwane w przypadku połączeń z włączonym ustawieniem selektorów ruchu opartych na zasadach oraz w przypadku sieci VPN opartych na zasadach. Reguły NAT są obsługiwane tylko w przypadku VPN z trasowaniem.
  • Maksymalny obsługiwany rozmiar podsieci mapowania zewnętrznego dla Dynamic NAT to /26.
  • Mapowania portów można skonfigurować tylko przy użyciu statycznego NAT. Dynamiczne scenariusze translatora adresów sieciowych nie mają zastosowania do mapowania portów.
  • Mapowanie portów nie akceptuje obecnie zakresów. Należy wprowadzić pojedynczy port.
  • Mapowania portów mogą być używane zarówno dla protokołów TCP, jak i UDP.

Translator adresów sieciowych — często zadawane pytania

Czy NAT jest obsługiwany we wszystkich SKU usług Azure VPN Gateway?

Obsługa NAT jest dostępna w modelach VpnGw2 do VpnGw25 oraz VpnGw2AZ do VpnGw5AZ.

Czy można używać NAT w połączeniach typu sieć wirtualna-sieć wirtualna lub od punktu do lokacji?

Nr

Ile reguł NAT można używać na bramie VPN?

W bramie sieci VPN można utworzyć maksymalnie 100 reguł NAT (reguły ruchu przychodzącego i ruchu wychodzącego).

Czy mogę użyć ukośnika (/) w nazwie reguły NAT?

Nr Zostanie wyświetlony błąd.

Czy NAT jest stosowany do wszystkich połączeń w bramie VPN?

NAT jest stosowany do połączeń z regułami NAT. Jeśli połączenie nie ma reguły NAT, NAT nie będzie miało wpływu na to połączenie. W tej samej bramce VPN można mieć niektóre połączenia z NAT i inne połączenia bez NAT działające razem.

Jakie typy NAT obsługują bramy VPN?

Bramy sieci VPN obsługują tylko statyczny NAT 1:1 i dynamiczny NAT. Nie obsługują NAT64.

Czy NAT funkcjonuje na bramach sieci VPN aktywna-aktywna?

Tak. NAT działa zarówno na bramach sieci VPN w trybie active-active, jak i active-standby. Każda reguła NAT jest stosowana do jednostkowego wystąpienia bramy VPN. W aktywnych-aktywnych bramach utwórz oddzielną regułę NAT dla każdego wystąpienia bramy przez pole Identyfikator konfiguracji adresu IP.

Czy NAT działa z połączeniami BGP?

Tak, możesz użyć protokołu BGP z NAT. Oto kilka ważnych zagadnień:

  • Aby upewnić się, że wyuczone trasy i reklamowane trasy są tłumaczone na prefiksy adresów post-NAT (mapowania zewnętrzne) na podstawie reguł NAT związanych z połączeniami, wybierz Włącz tłumaczenie tras BGP na stronie konfiguracji reguł NAT. Lokalnie zainstalowane routery protokołu BGP muszą rozgłaszać precyzyjne prefiksy określone w regułach IngressSNAT.

  • Jeśli lokalny router sieci VPN używa zwykłego, innego niż APIPA adresu i koliduje z przestrzenią adresową sieci wirtualnej lub innymi lokalnymi przestrzeniami sieciowymi, upewnij się, że reguła IngressSNAT przetłumaczy adres IP elementu równorzędnego BGP na unikatowy, nienakładujący się adres. Umieść adres post-NAT w polu adres IP równorzędnego protokołu BGP bramy sieci lokalnej.

  • NAT nie jest obsługiwany z adresami APIPA protokołu BGP.

Czy muszę utworzyć pasujące reguły DNAT dla reguły SNAT?

Nr Jedna reguła translacji adresów sieciowych (SNAT) definiuje tłumaczenie dla obu kierunków określonej sieci:

  • Reguła IngressSNAT definiuje tłumaczenie źródłowych adresów IP przychodzących do bramy sieci VPN z sieci lokalnej. Obsługuje również tłumaczenie docelowych adresów IP wychodzących z sieci wirtualnej do tej samej sieci lokalnej.

  • Reguła EgressSNAT definiuje tłumaczenie źródłowych adresów IP sieci wirtualnej wychodzących z bramy sieci VPN do sieci lokalnych na miejscu. Obsługuje również tłumaczenie docelowych adresów IP dla pakietów przychodzących do sieci wirtualnej za pośrednictwem połączeń mających regułę EgressSNAT .

W obu przypadkach nie potrzebujesz reguł tłumaczenia adresów sieciowych (DNAT).

Co zrobić, jeśli przestrzeń adresowa bramy sieci wirtualnej lub sieci lokalnej ma co najmniej dwa prefiksy? Czy mogę zastosować NAT do wszystkich z nich, czy tylko do podzestawu?

Należy utworzyć jedną regułę translatora adresów sieciowych dla każdego prefiksu, ponieważ każda reguła translatora adresów sieciowych może zawierać tylko jeden prefiks adresu dla translatora adresów sieciowych. Jeśli na przykład przestrzeń adresowa bramy sieci lokalnej składa się z 10.0.1.0/24 i 10.0.2.0/25, można utworzyć dwie reguły:

  • Reguła IngressSNAT 1: Mapa 10.0.1.0/24 do 192.168.1.0/24.
  • Reguła IngressSNAT 2: Mapa 10.0.2.0/25 do 192.168.2.0/25.

Dwie reguły muszą zgadzać się z długościami odpowiednich prefiksów adresów. Te same wytyczne dotyczą reguł EgressSNAT dla przestrzeni adresowej sieci wirtualnej.

Ważne

Jeśli połączysz tylko jedną regułę z poprzednim połączeniem, druga przestrzeń adresowa nie zostanie przetłumaczona.

Jakich zakresów adresów IP można używać do mapowania zewnętrznego?

Możesz użyć dowolnego odpowiedniego zakresu adresów IP do mapowania zewnętrznego, w tym publicznych i prywatnych adresów IP.

Czy mogę użyć różnych reguł EgressSNAT, aby przetłumaczyć przestrzeń adresową sieci wirtualnej na różne prefiksy dla sieci lokalnych?

Tak. Można utworzyć wiele reguł EgressSNAT dla tej samej przestrzeni adresowej sieci wirtualnej, a następnie zastosować reguły EgressSNAT do różnych połączeń.

Czy mogę użyć tej samej reguły IngressSNAT w różnych połączeniach?

Tak. Zazwyczaj używasz tej samej reguły IngressSNAT , gdy połączenia są dla tej samej sieci lokalnej, aby zapewnić nadmiarowość. Nie można użyć tej samej reguły ruchu przychodzącego, jeśli połączenia dotyczą różnych sieci lokalnych.

Czy potrzebuję zarówno reguł ruchu przychodzącego, jak i wychodzącego w połączeniu NAT?

Potrzebujesz zarówno reguł ruchu przychodzącego, jak i wychodzącego w tym samym połączeniu, gdy lokalna przestrzeń adresowa sieci nakłada się na przestrzeń adresową sieci wirtualnej. Jeśli przestrzeń adresowa sieci wirtualnej jest unikatowa we wszystkich połączonych sieciach, nie potrzebujesz reguły EgressSNAT dla tych połączeń. Reguły ruchu przychodzącego umożliwiają uniknięcie nakładania się adresów między sieciami lokalnymi.

Co mogę wybrać jako identyfikator konfiguracji adresu IP?

Identyfikator konfiguracji adresu IP to po prostu nazwa obiektu konfiguracji adresu IP, który ma być używany przez regułę NAT. W tym ustawieniu wybierasz publiczny adres IP bramy, który ma zastosowanie do reguły NAT. Jeśli w czasie tworzenia bramy nie określono żadnej niestandardowej nazwy, podstawowy adres IP bramy zostanie przypisany do domyślnej konfiguracji adresu IP, a pomocniczy adres IP zostanie przypisany do konfiguracji activeActive IP.

Następne kroki

Zobacz Konfigurowanie NAT w bramach VPN Azure dla kroków konfigurowania NAT dla połączeń między lokacjami.