Share via

如何設定 Azure VPN 閘道的 NAT

  • 發行項

本文可協助您使用 Azure 入口網站設定 Azure VPN 閘道的 NAT (網路位址轉譯)。

關於 NAT

NAT 定義將 IP 封包中的一個 IP 位址轉譯為另一個 IP 位址的機制。 它通常用來連接具有重疊 IP 位址範圍的網路。 連線網路的閘道裝置上的 NAT 規則或原則會指定網路上位址轉譯的位址對應。

如需關於 Azure VPN 閘道 NAT 支援的詳細資訊,請參閱關於 NAT 與 Azure VPN 閘道

重要

  • 下列 SKU 支援 NAT:VpnGw2~5、VpnGw2AZ~5AZ。

開始使用

本文的每個部分均構成基本建置組塊,可供在您的網路連線中設定 NAT。 如果您完成上述三個部分,將建置如圖 1 所示的拓撲︰

圖表 1

Diagram showing NAT configuration and rules.

必要條件

驗證您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶,則可以啟用 MSDN 訂戶權益或註冊免費帳戶

第 1 部分:建立 VNet 和閘道

在本節中,您會建立虛擬網路、VPN 閘道和區域網路閘道資源,以對應至圖表 1 中顯示的資源。 若要建立這些資源,請使用站對站教學課程 (部分機器翻譯) 一文中的步驟。 完成本文的下列各節,但不要建立任何連線。

重要

請勿建立任何連線。 如果您嘗試建立連線資源,作業會失敗,因為 VNet、Branch1 和 Branch2 之間的 IP 位址空間相同。 您將在本文稍後建立連線資源。

下列螢幕擷取畫面顯示要建立的資源範例。

  • VNet

    Screenshot showing VNet address space.

  • VPN 閘道

    Screenshot showing the gateway.

  • Branch1 區域網路閘道

    Screenshot showing Branch1 local network gateway.

  • Branch2 區域網路閘道

    Screenshot showing Branch2 local network gateway.

第 2 部分:建立 NAT 規則

建立連線之前,您必須在 VPN 閘道上建立和儲存 NAT 規則。 下表顯示所需的 NAT 規則。 請參閱圖 1 以瞭解拓撲。

NAT 規則資料表

名稱 類型 [模式] 內部 外部 連線
VNet Static EgressSNAT 10.0.1.0/24 100.0.1.0/24 兩個連線
Branch1 Static IngressSNAT 10.0.1.0/24 100.0.2.0/24 Branch1 連線
Branch2 Static IngressSNAT 10.0.1.0/24 100.0.3.0/24 Branch2 連線

使用下列步驟,在 VPN 閘道上建立所有 NAT 規則。 如果您使用 BGP,請針對 [啟用 BGP 路由轉譯] 設定選取 [啟用]

  1. 在 Azure 入口網站中,瀏覽至 [虛擬網路閘道] 資源頁面,然後從左側窗格中選取 [NAT 規則]

  2. 使用 [NAT 規則資料表] 填入值。 如果您使用 BGP,請針對 [啟用 BGP 路由轉譯] 設定選取 [啟用]

    Screenshot showing NAT rules.

  3. 按一下 [儲存],將 NAT 規則儲存至 VPN 閘道資源。 此作業最多可能需要 10 分鐘才能完成。

在本節中,您會建立連線,並在相同步驟中建立 NAT 規則的關聯。 請注意,如果您先建立連線物件,而不同時連結 NAT 規則,作業會失敗,因為 VNet、Branch1 和 Branch2 之間的 IP 位址空間相同。

連線和 NAT 規則是在圖表 1 中所示的範例拓撲中指定。

  1. 移至 VPN 閘道。

  2. 在 [連線] 頁面,選取 [+新增] 以開啟 [新增連線] 頁面。

  3. 在 [新增連線] 頁面上,填入 VNet-Branch1 連線的值,並指定相關聯的 NAT 規則,如以下螢幕擷取畫面所示。 針對 [輸入 NAT 規則] 選取 [Branch1]。 針對 [輸出 NAT 規則] 選取 [VNet]。 如果您使用 BGP,可以選擇 [啟用 BGP]

    Screenshot showing the VNet-Branch1 connection.

  4. 按一下 [確定] 來建立連線。

  5. 重複步驟以建立 VNet-Branch2 連線。 針對 [輸入 NAT 規則] 選取 [Branch2]。 針對 [輸出 NAT 規則] 選取 [VNet]。

  6. 設定這兩個連線之後,您的設定看起來應該類似以下的螢幕擷取畫面。 連線建立好之後,狀態會變更為 [已連線]

    Screenshot showing all connections.

  7. 當您完成設定,NAT 規則看起來會類似以下的螢幕擷取畫面,而且您會有與圖表 1 所示相符的拓撲。 請注意,資料表現在會顯示與每個 NAT 規則連結的連線。

    如果您要為連線啟用 BGP 路由轉譯,請選擇 [啟用],然後按一下 [儲存]

    Screenshot showing the NAT rules.

NAT 限制

重要

NAT 功能有幾項限制。

  • 下列 SKU 支援 NAT:VpnGw2~5、VpnGw2AZ~5AZ。
  • 僅支援 IPsec/IKE 跨單位連線的 NAT。 不支援 VNet 對 VNet 連線或 P2S 連線。
  • 已啟用「使用原則型流量選取器」的連線不支援 NAT 規則。
  • 動態 NAT 支援的最大外部對應子網路大小為 /26。
  • 連接埠對應只能設定靜態 NAT 類型。 動態 NAT 案例不適用於連接埠對應。
  • 連接埠對應目前無法採用範圍。 必須輸入個別連接埠。
  • 連接埠對應可用於 TCP 和 UDP 通訊協定。

下一步

一旦完成您的連接,就可以將虛擬機器加入您的虛擬網路。 請參閱 建立網站的虛擬機器 以取得相關步驟。