培训
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文可帮助你使用 Azure 门户为 Azure VPN 网关配置 NAT(网络地址转换)。
NAT 定义了在 IP 数据包中将一个 IP 地址转换为另一个 IP 地址的机制。 它通常用于连接具有重叠 IP 地址范围的网络。 连接网络的网关设备上的 NAT 规则或策略指定网络上地址转换的地址映射。
若要详细了解 Azure VPN 网关的 NAT 支持,请参阅关于 NAT 和 Azure VPN 网关。
重要
本文帮助你在网络连接中配置 NAT,其中的每一部分都是一个基本构建基块。 如果完成所有三个部分,则你构建了如图示 1 所示的拓扑:
确保拥有 Azure 订阅。 如果还没有 Azure 订阅,可以激活 MSDN 订户权益或注册获取免费帐户。
在本部分中,创建虚拟网络、VPN 网关和本地网关资源,以与图示 1 中所示的资源对应。 要创建这些资源,可以使用站点到站点教程一文中的步骤。 完成本文中的以下部分,但不要创建任何连接。
重要
不要创建任何连接。 如果尝试创建连接资源,则操作会失败,因为 VNet、Branch1 和 Branch2 之间的 IP 地址空间是相同的。 本文将会在稍后创建连接资源。
以下屏幕截图显示了要创建的资源的示例。
在创建连接之前,必须在 VPN 网关上创建并保存 NAT 规则。 下表显示了必需的 NAT 规则。 对于拓扑,请参阅图示 1。
NAT 规则表
名称 | 类型 | 模型 | 内部 | 外部 | 连接 |
---|---|---|---|---|---|
VNet | 静态 | EgressSNAT | 10.0.1.0/24 | 192.168.1.0/24 | 两个连接 |
Branch1 | 静态 | IngressSNAT | 10.0.1.0/24 | 192.168.2.0/24 | Branch1 连接 |
Branch2 | 静态 | IngressSNAT | 10.0.1.0/24 | 192.168.3.0/24 | Branch2 连接 |
使用以下步骤在 VPN 网关上创建所有 NAT 规则。 如果使用的是 BGP,请为“启用 Bgp 路由转换”设置选择“启用”。
在 Azure 门户中,导航到“虚拟网络网关”资源页,然后在左侧窗格中选择“NAT 规则”。
使用 NAT 规则表,填写值。 如果使用的是 BGP,请为“启用 Bgp 路由转换”设置选择“启用”。
单击“保存”将 NAT 规则保存到 VPN 网关资源。 此操作可能最多需要 10 分钟才能完成。
在本部分中,将会创建连接,并在同一步骤中关联 NAT 规则。 请注意,如果先创建连接对象,而不同时链接 NAT 规则,则操作会失败,因为 VNet、Branch1 和 Branch2 之间的 IP 地址空间是相同的。
连接和 NAT 规则是在如图 1 所示的示例拓扑中指定的。
转到 VPN 网关。
在“连接”页上,选择“+添加”以打开“添加连接”页。
在“添加连接”页上,填写 VNet-Branch1 连接的值,以指定关联的 NAT 规则,如以下屏幕截图所示。 对于“流入量 NAT 规则”,请选择“Branch1”。 对于“流出量 NAT 规则”,请选择“VNet”。 如果使用的是 BGP,则可以选择“启用 BGP”。
单击“确定”创建连接。
重复这些步骤以创建 VNet-Branch2 连接。 对于“流出量 NAT 规则”,选择“Branch2”。 对于“流出量 NAT 规则”,请选择“VNet”。
配置两个连接后,配置的外观应类似于以下屏幕截图。 建立连接后,状态将更改为“已连接”。
完成配置后,NAT 规则的外观将类似于以下屏幕截图,并将具有与 图 1 中显示的拓扑相匹配的拓扑。 请注意,该表目前显示了与每个 NAT 规则链接的连接。
如果要为连接启用 BGP 路由转换,请选择“启用”,然后单击“保存”。
重要
NAT 功能有一些约束。
连接完成后,即可将虚拟机添加到虚拟网络。 请参阅 创建虚拟机 以获取相关步骤。
培训
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。