Megosztás a következőn keresztül:

NAT-szabályok konfigurálása a Virtual WAN VPN-átjáróhoz

  • Cikk

A Virtual WAN VPN-átjárót statikus egy-az-egyhez NAT-szabályokkal konfigurálhatja. A NAT-szabályok az IP-címek egy-az-egyhez fordításának beállítására szolgálnak. A NAT két olyan IP-hálózat összekapcsolására használható, amelyek nem kompatibilisek vagy átfedésben vannak az IP-címekkel. Egy tipikus forgatókönyv az olyan, átfedésben lévő IP-címekkel rendelkező ágak, amelyek hozzá szeretnének férni az Azure VNet-erőforrásokhoz.

Ez a konfiguráció egy folyamattáblával irányítja át a forgalmat egy külső (gazdagép) IP-címről a virtuális hálózaton belüli végponthoz (virtuális gép, számítógép, tároló stb.) társított belső IP-címre.

Architektúra ábrája.

A NAT használatához a VPN-eszközöknek bármilyen (helyettesítő) forgalomválasztót kell használniuk. A házirendalapú (keskeny) forgalomválasztók nem támogatottak a NAT-konfigurációval együtt.

NAT-szabályok konfigurálása

A VPN-átjáró beállításain bármikor konfigurálhatja és megtekintheti a NAT-szabályokat.

NAT-típus: statikus & dinamikus

Az átjáróeszköz nat-azonosítója lefordítja a forrás- és/vagy cél IP-címeket a NAT-szabályzatok vagy szabályok alapján a címütközés elkerülése érdekében. A NAT-fordítási szabályoknak különböző típusai vannak:

  • Statikus NAT: A statikus szabályok rögzített címleképezési kapcsolatot határoznak meg. Egy adott IP-cím esetében a rendszer ugyanarra a címre lesz leképezve a célkészletből. A statikus szabályok leképezései állapot nélküliek, mert a megfeleltetés javítva van. A 10.0.0.0/24-ről 192.168.0.0/24-re leképezésre létrehozott NAT-szabály például rögzített 1-1 leképezéssel rendelkezik. A 10.0.0.0 a 192.168.0.0-ra, a 10.0.0.1-et a 192.168.0.1-re fordítja le, és így tovább.

  • Dinamikus NAT: Dinamikus NAT esetén egy IP-cím lefordítható különböző cél IP-címekre és TCP/UDP-portra a rendelkezésre állás alapján, vagy az IP-cím és a TCP/UDP-port eltérő kombinációjával. Az utóbbit NAPT-nak, hálózati címnek és portfordításnak is nevezik. A dinamikus szabályok állapotalapú fordítási leképezéseket eredményeznek a forgalmi folyamatoktól függően bármikor. A dinamikus NAT jellege és a folyamatosan változó IP-/portkombinációk miatt a dinamikus NAT-szabályokat használó folyamatokat a belső leképezési (NAT előtti) IP-tartományból kell elindítani. A dinamikus leképezés a folyamat leválasztása vagy kecses leállása után szabadul fel.

Egy másik szempont a címkészlet mérete a fordításhoz. Ha a célcímkészlet mérete megegyezik az eredeti címkészletével, statikus NAT-szabály használatával szekvenciális sorrendben definiáljon egy 1:1-es leképezést. Ha a célcímkészlet kisebb az eredeti címkészletnél, a különbségeket dinamikus NAT-szabály használatával oldhatja meg.

Feljegyzés

A helyek közötti NAT nem támogatott olyan helyek közötti VPN-kapcsolatoknál, amelyek szabályzatalapú forgalomválasztókat használnak.

  1. Navigáljon a virtuális központjához.

  2. Válassza ki a VPN-t (webhelyről webhelyre).

  3. Válassza ki a NAT-szabályokat (Szerkesztés).

  4. A NAT-szabály szerkesztése lapon a következő értékekkel adhat hozzá/szerkeszthet/törölhet NAT-szabályt:

    • Név: A NAT-szabály egyedi neve.
    • Típus: Statikus vagy Dinamikus. A statikus egy-az-egyhez NAT egy-az-egyhez kapcsolatot hoz létre egy belső cím és egy külső cím között, míg a dinamikus NAT egy IP-címet és portot rendel hozzá a rendelkezésre állás alapján.
    • IP-konfiguráció azonosítója: Egy NAT-szabályt egy adott VPN Gateway-példányra kell konfigurálni. Ez csak a dinamikus NAT-ra vonatkozik. A statikus NAT-szabályokat a rendszer automatikusan alkalmazza mindkét VPN Gateway-példányra.
    • Mód: IngressSnat vagy EgressSnat.
      • Az IngressSnat mód (más néven bejövő forrás NAT) az Azure Hub helyek közötti VPN-átjáróját bejáró forgalomra vonatkozik.
      • Az EgressSnat mód (más néven kimenő forrás NAT) az Azure Hub helyek közötti VPN-átjáróját elhagyó forgalomra vonatkozik.
    • Belső megfeleltetés: A belső hálózaton található forrás IP-címek címelőtag-tartománya, amely külső IP-címek készletére lesz leképezve. Más szóval a NAT előtti címelőtag tartománya.
    • Külső megfeleltetés: A külső hálózaton található cél IP-címek címelőtagtartománya, amellyel a forrás IP-címek le lesznek képezve. Más szóval a NAT utáni címelőtagtartomány.
    • Kapcsolatkapcsolat: Olyan kapcsolati erőforrás, amely virtuálisan csatlakoztat egy VPN-helyet az Azure Virtual WAN Hub helyek közötti VPN-átjáróhoz.

Feljegyzés

Ha azt szeretné, hogy a helyek közötti VPN-átjáró lefordított (külső leképezési) címelőtagokat hirdessen a BGP-n keresztül, kattintson a BGP-fordítás engedélyezése gombra, amely miatt a helyszíniek automatikusan megtanulják a kimenő szabályok NAT utáni tartományát, és az Azure (Virtual WAN hub, csatlakoztatott virtuális hálózatok, VPN- és ExpressRoute-ágak) automatikusan megtanulja a bejövő szabályok NAT utáni tartományát. Az új POST NAT-tartományok megjelennek egy virtuális központban az Érvényes útvonalak táblában. A Bgp-fordítás engedélyezése beállítás a Virtual WAN hub helyek közötti VPN-átjáró összes NAT-szabályára érvényes.

Példakonfigurációk

Bejövő SNAT (BGP-kompatibilis VPN-hely)

A bejövő SNAT-szabályok olyan csomagokra vonatkoznak, amelyek a Virtual WAN helyek közötti VPN-átjárón keresztül lépnek be az Azure-ba. Ebben a forgatókönyvben két helyek közötti VPN-ágat szeretne csatlakoztatni az Azure-hoz. Az 1. VPN-hely az A kapcsolaton keresztül csatlakozik, a 2. VPN-hely pedig a B kapcsolaton keresztül csatlakozik. Minden webhelynek ugyanaz a címtere 10.30.0.0/24.

Ebben a példában a NAT-webhely1-ről 172.30.0.0.0/24-re megyünk. A Virtual WAN küllős virtuális hálózatai és más ágai automatikusan elsajátítják ezt a NAT utáni címteret.

Az alábbi ábrán a tervezett eredmény látható:

BGP-kompatibilis webhelyek bejövő módú NAT-jának ábrája.

  1. Adjon meg egy NAT-szabályt.

    Adjon meg egy NAT-szabályt, amely biztosítja, hogy a helyek közötti VPN-átjáró különbséget tud tenni az egymást átfedő címterekkel rendelkező két ág között (például 10.30.0.0/24). Ebben a példában az 1. VPN-webhely A hivatkozására összpontosítunk.

    Az alábbi NAT-szabály beállítható és társítható az A csatolással. Mivel ez egy statikus NAT-szabály, a belső leképezés és a külső megfeleltetés címterei azonos számú IP-címet tartalmaznak.

    • Név: ingressRule01
    • Típus: Statikus
    • Mód: IngressSnat
    • Belső leképezés: 10.30.0.0/24
    • Külső leképezés: 172.30.0.0/24
    • Kapcsolat csatolása: A csatolása

  2. A BGP-útvonalfordítás kapcsolója az "Engedélyezés" lehetőségre.

  3. Győződjön meg arról, hogy a helyek közötti VPN-átjáró társviszonyt létesíthet a helyszíni BGP-társsal.

    Ebben a példában a bejövő NAT-szabálynak a 10.30.0.132-ről 172.30.0.132-re kell lefordítania. Ehhez kattintson a "VPN-hely szerkesztése" gombra a VPN-hely Kapcsolat A BGP-címének konfigurálásához, hogy tükrözze ezt a lefordított BGP-társcímet (172.30.0.132).

    Képernyőkép a BGP társviszony-létesítési IP-címének módosításáról.

Megfontolandó szempontok, ha a VPN-hely BGP-vel csatlakozik

  • A belső és a külső leképezés alhálózati méretének azonosnak kell lennie a statikus egy-az-egyhez NAT esetében.

  • Ha a BGP-fordítás engedélyezve van, a helyek közötti VPN-átjáró automatikusan meghirdeti a kimenő NAT-szabályok külső leképezését a helyszínen, valamint a bejövő NAT-szabályok Azure-ba történő külső leképezését(virtuális WAN-központ, csatlakoztatott küllős virtuális hálózatok, csatlakoztatott VPN/ExpressRoute). Ha a BGP-fordítás le van tiltva, a lefordított útvonalak nem lesznek automatikusan meghirdetve a helyszínen. Ezért a helyszíni BGP-hangszórót úgy kell konfigurálni, hogy meghirdetje az adott VPN-hely kapcsolatához társított bejövő NAT-szabályok nat utáni (külső leképezési) tartományát. Hasonlóképpen a kimenő NAT-szabályok nat utáni (külső leképezési) tartományának útvonalát is alkalmazni kell a helyszíni eszközön.

  • A helyek közötti VPN-átjáró automatikusan lefordítja a helyszíni BGP társ IP-címét, ha a helyszíni BGP társ IP-címe egy bejövő NAT-szabály belső leképezésében található. Ennek eredményeképpen a VPN-hely kapcsolati BGP-címének tükröznie kell a NAT által lefordított címet (a külső leképezés része).

    Ha például a helyszíni BGP IP-címe 10.30.0.133, és van egy bejövő NAT-szabály , amely a 10.30.0.0/24-et 172.30.0.0/24-re fordítja, a VPN-hely kapcsolati BGP-címét lefordított címként (172.30.0.133) kell konfigurálni.

  • A dinamikus NAT-ban a helyszíni BGP-társ IP-címe nem lehet része a NAT előtti címtartománynak (belső leképezés), mivel az IP- és portfordítások nincsenek javítva. Ha le kell fordítani a helyszíni BGP társviszony-létesítési IP-címét, hozzon létre egy külön statikus NAT-szabályt , amely csak a BGP társviszony-létesítési IP-címét fordítja le.

    Ha például a helyszíni hálózat címtere 10.0.0.0/24, és a helyszíni BGP-társ IP-címe 10.0.0.1, és van egy bejövő dinamikus NAT-szabály , amely a 10.0.0.0/24-et 192.198.0.0/32-re fordítja le, a 10.0.0.1/32-ről 192.168.0.02/32-re lefordított külön bejövő statikus NAT-szabály szükséges, és a megfelelő VPN-hely kapcsolati BGP-címét frissíteni kell a NAT által lefordított címre (a külső leképezés részeként).

Bejövő SNAT (statikusan konfigurált útvonalakkal rendelkező VPN-hely)

A bejövő SNAT-szabályok olyan csomagokra vonatkoznak, amelyek a Virtual WAN helyek közötti VPN-átjárón keresztül lépnek be az Azure-ba. Ebben a forgatókönyvben két helyek közötti VPN-ágat szeretne csatlakoztatni az Azure-hoz. Az 1. VPN-hely az A kapcsolaton keresztül csatlakozik, a 2. VPN-hely pedig a B kapcsolaton keresztül csatlakozik. Minden webhelynek ugyanaz a címtere 10.30.0.0/24.

Ebben a példában az 1–172.30.0.0.0/24 közötti NAT VPN-webhelyet fogjuk létrehozni. Mivel azonban a VPN-hely nem csatlakozik a helyek közötti VPN-átjáróhoz a BGP-vel, a konfigurációs lépések kissé eltérnek a BGP-kompatibilis példától.

Képernyőkép a statikus útválasztást használó VPN-webhelyek diagramkonfigurációiról.

  1. Adjon meg egy NAT-szabályt.

    Adjon meg egy NAT-szabályt, amely biztosítja, hogy a helyek közötti VPN-átjáró különbséget tud tenni a 10.30.0.0/24 címtérrel rendelkező két ág között. Ebben a példában az 1. VPN-webhely A hivatkozására összpontosítunk.

    Az alábbi NAT-szabály beállítható és társítható az 1. VPN-hely egyikének A hivatkozásával. Mivel ez egy statikus NAT-szabály, a belső leképezés és a külső megfeleltetés címterei azonos számú IP-címet tartalmaznak.

    • Név: IngressRule01
    • Típus: Statikus
    • Mód: IngressSnat
    • Belső leképezés: 10.30.0.0/24
    • Külső leképezés: 172.30.0.0/24
    • Kapcsolat csatolása: A csatolása

  2. Szerkessze az 1. VPN-hely "Privát címterület" mezőjét, hogy a helyek közötti VPN-átjáró megismerje a NAT utáni tartományt (172.30.0.0/24).

    • Nyissa meg a helyek közötti VPN-átjárót tartalmazó virtuális központ-erőforrást. A virtuális központ lap Kapcsolatok területén válassza a VPN (Helyek közötti) lehetőséget.

    • Válassza ki azt a VPN-helyet, amely az A hivatkozáson keresztül csatlakozik a Virtual WAN hubhoz. Válassza a Webhely szerkesztése lehetőséget, és adja meg a 172.30.0.0/24-et a VPN-hely magáncímtereként.

Megfontolandó szempontok, ha a VPN-helyek statikusan vannak konfigurálva (nem BGP-n keresztül csatlakoznak)

  • A belső és a külső leképezés alhálózati méretének azonosnak kell lennie a statikus egy-az-egyhez NAT esetében.
  • Szerkessze a VPN-webhelyet az Azure Portalon, és adja hozzá az előtagokat a bejövő NAT-szabályok külső leképezéséheza "Privát címtér" mezőben.
  • A kimenő nat-szabályokat tartalmazó konfigurációk esetében egy útvonalszabályzatot vagy statikus útvonalat kell alkalmazni a kimenő NAT-szabály külső leképezésével a helyszíni eszközön.

Csomagfolyamat

Az előző példákban egy helyszíni eszköz egy küllős virtuális hálózaton lévő erőforrást szeretne elérni. A csomagfolyamat a következő, a NAT-fordítások félkövér betűvel.

  1. A helyszíni forgalom elindul.

    • Forrás IP-címe: 10.30.0.4
    • Cél IP-címe: 10.200.0.4

  2. A forgalom a helyek közötti átjáróba kerül, és a NAT-szabály alapján lesz lefordítva, majd elküldi a Küllőnek.

    • Forrás IP-címe: 172.30.0.4
    • Cél IP-címe: 10.200.0.4

  3. A küllős válasz kezdeményezése.

    • Forrás IP-címe: 10.200.0.4
    • Cél IP-címe: 172.30.0.4

  4. A forgalom a helyek közötti VPN-átjáróba kerül, és a fordítás fordított, és a helyszínen lesz elküldve.

    • Forrás IP-címe: 10.200.0.4
    • Cél IP-címe: 10.30.0.4

Ellenőrzési ellenőrzések

Ez a szakasz ellenőrzi, hogy a konfiguráció megfelelően van-e beállítva.

Dinamikus NAT-szabályok érvényesítése

  • Dinamikus NAT-szabályokat akkor használjon, ha a célcímkészlet kisebb, mint az eredeti címkészlet.

  • Mivel a dinamikus NAT-szabály nem rögzíti az IP-/portkombinációkat, a helyszíni BGP-társ IP-címe nem lehet része a NAT előtti (belső leképezési) címtartománynak. Hozzon létre egy adott statikus NAT-szabályt, amely csak a BGP társviszony-létesítési IP-címét fordítja le.

    Példa:

    • Helyszíni címtartomány: 10.0.0.0/24
    • Helyszíni BGP IP-címe: 10.0.0.1
    • Bejövő dinamikus NAT-szabály: 192.168.0.1/32
    • Bejövő statikus NAT-szabály: 10.0.0.1 –> 192.168.0.2

DefaultRouteTable, szabályok és útvonalak ellenőrzése

A Virtual WAN-ágak a DefaultRouteTable-hoz vannak társítva, ami azt jelenti, hogy az összes ágkapcsolat a DefaultRouteTable-ban kitöltött útvonalakat tanulja meg. A Nat-szabály és a lefordított előtag a DefaultRouteTable érvényes útvonalaiban jelenik meg.

Az előző példából:

  • Előtag: 172.30.0.0/24
  • Következő ugrás típusa: VPN_S2S_Gateway
  • Következő ugrás: VPN_S2S_Gateway erőforrás

Címelőtagok ellenőrzése

Ez a példa a DefaultRouteTable-hoz társított virtuális hálózatok erőforrásaira vonatkozik.

A virtuális WAN-központhoz csatlakoztatott küllős virtuális hálózaton ülő virtuális gépek hálózati adaptereinek érvényes útvonalainak tartalmazniuk kell a bejövő NAT-szabályban megadott külső megfeleltetés címelőtagjait is.

A helyszíni eszköznek tartalmaznia kell a kimenő NAT-szabályok külső leképezésében található előtagok útvonalait is.

Gyakori konfigurációs minták

Feljegyzés

A helyek közötti NAT nem támogatott olyan helyek közötti VPN-kapcsolatoknál, amelyek szabályzatalapú forgalomválasztókat használnak.

Az alábbi táblázat a helyek közötti VPN-átjáró különböző NAT-szabályainak konfigurálásakor felmerülő gyakori konfigurációs mintákat mutatja be.

A VPN-hely típusa Bejövő NAT-szabályok Kimenő NAT-szabályok
VPN-hely statikusan konfigurált útvonalakkal Szerkessze a VPN-hely "Privát címterét", hogy tartalmazza a NAT-szabály külső leképezését . Útvonalak alkalmazása a NAT-szabály külső leképezéséhez a helyszíni eszközön.
VPN-hely (A BGP-fordítás engedélyezve van) Helyezze a BGP-társ külső leképezési címét a VPN-hely kapcsolatkapcsolatának BGP-címére. Nincsenek különös szempontok.
VPN-webhely (A BGP-fordítás le van tiltva) Győződjön meg arról, hogy a helyszíni BGP-hangszóró meghirdeti az előtagokat a NAT-szabály külső leképezésében . A BGP-társ külső leképezési címét is helyezze a VPN-hely kapcsolati kapcsolat BGP-címére. Útvonalak alkalmazása a NAT-szabály külső leképezéséhez a helyszíni eszközön.

Következő lépések

A helyek közötti konfigurációkról további információt a Virtual WAN helyek közötti kapcsolat konfigurálása című témakörben talál.