Konfigurace pravidel překladu adres (NAT) pro bránu VPN Virtual WAN

Bránu VPN virtual WAN můžete nakonfigurovat pomocí statických pravidel překladu adres (NAT) 1:1. Pravidlo překladu adres (NAT) poskytuje mechanismus pro nastavení překladu IP adres 1:1. Překlad adres (NAT) se dá použít k propojení dvou sítí IP, které nemají nekompatibilní nebo překrývající se IP adresy. Typickým scénářem jsou větve s překrývajícími se IP adresami, které chtějí přistupovat k prostředkům virtuální sítě Azure.

Tato konfigurace používá tabulku toku ke směrování provozu z externí (hostitelské) IP adresy na interní IP adresu přidruženou ke koncovému bodu uvnitř virtuální sítě (virtuální počítač, počítač, kontejner atd.).

Pokud chcete použít překlad adres (NAT), musí zařízení VPN používat selektory provozu typu any-to-any (wildcard). Selektory provozu založené na zásadách (úzké) nejsou ve spojení s konfigurací PŘEKLADU adres (NAT) podporované.

Konfigurace pravidel překladu adres (NAT)

Pravidla překladu adres (NAT) můžete kdykoli nakonfigurovat a zobrazit v nastavení brány VPN.

Typ překladu adres (NAT): statický a dynamický

Překlad adres (NAT) na zařízení brány překládá zdrojové a/nebo cílové IP adresy na základě zásad překladu adres (NAT) nebo pravidel, aby nedocházelo ke konfliktu adres. Existují různé typy pravidel překladu překladu adres (NAT):

• Statický překlad adres( NAT): Statická pravidla definují pevný vztah mapování adres. U dané IP adresy se namapuje na stejnou adresu z cílového fondu. Mapování statických pravidel jsou bezstavová, protože mapování je opravené. Například pravidlo NAT vytvořené pro mapování 10.0.0.0/24 na 192.168.0.0/24 bude mít pevné mapování 1-1. 10.0.0.0 je přeložen na 192.168.0.0, 10.0.0.1 je přeložen na 192.168.0.1 atd.

• Dynamický překlad adres (NAT): U dynamického překladu adres (NAT) lze IP adresu přeložit na různé cílové IP adresy a port TCP/UDP na základě dostupnosti nebo s jinou kombinací IP adresy a portu TCP/UDP. Druhá se také nazývá PŘEKLAD ADRES (NAPT), Network Address (Překlad síťových adres) a Port (Překlad portů). Dynamická pravidla budou mít za následek mapování stavového překladu v závislosti na tocích provozu v daném okamžiku. Vzhledem k povaze dynamického překladu adres (NAT) a kombinace neustále se měnících IP adres a portů musí toky, které využívají pravidla dynamického překladu adres (NAT), inicializovány z rozsahu IP adres interního mapování (Pre-NAT). Dynamické mapování se uvolní, jakmile se tok odpojí nebo řádně ukončí.

Dalším aspektem je velikost fondu adres pro překlad. Pokud je velikost cílového fondu adres stejná jako původní fond adres, pomocí statického pravidla NAT definujte mapování 1:1 v sekvenčním pořadí. Pokud je cílový fond adres menší než původní fond adres, použijte k přizpůsobení rozdílů dynamické pravidlo PŘEKLADU adres.

Poznámka:

Překlad adres (NAT) mezi lokalitami se nepodporuje u připojení site-to-site VPN využívajících selektory provozu na základě zásad.

1. Přejděte do svého virtuálního centra.

2. Vyberte VPN (site-to-site).

3. Vyberte pravidla překladu adres (Upravit).

4. Na stránce Upravit pravidlo překladu adres (NAT) můžete přidat, upravit nebo odstranit pravidlo překladu adres (NAT) pomocí následujících hodnot:

   • Název: Jedinečný název pravidla překladu adres (NAT).
   • Typ: Statické nebo dynamické. Statický překlad adres (NAT) 1:1 vytvoří vztah 1:1 mezi interní a externí adresou, zatímco dynamické překlad adres (NAT) přiřadí IP adresu a port na základě dostupnosti.
   • ID konfigurace PROTOKOLU IP: Pravidlo překladu adres (NAT) musí být nakonfigurované na konkrétní instanci brány VPN. To platí jenom pro dynamické překlad adres (NAT). Statická pravidla překladu adres (NAT) se automaticky použijí pro obě instance brány VPN.
   • Režim: IngressSnat nebo EgressSnat.
     • Režim Příchozí přenos dat (označovaný také jako nat zdroje příchozího přenosu dat) se vztahuje na provoz vstupující do brány VPN typu site-to-site centra Azure.
     • Režim výchozího přenosu dat (označovaný také jako výchozí zdrojový překlad adres (NAT) se vztahuje na provoz, který opouští bránu VPN typu site-to-site centra Azure.
   • Interní mapování: Rozsah předpon adres zdrojových IP adres v síti, který se mapuje na sadu externích IP adres. Jinými slovy, rozsah předpon adres před nat.
   • Externí mapování: Rozsah předpon adres cílových IP adres mimo síť, na kterou se namapují zdrojové IP adresy. Jinými slovy, rozsah předpon adres post-NAT.
   • Propojení Připojení ion: prostředek Připojení ion, který virtuálně připojuje lokalitu VPN k bráně VPN centra Azure Virtual WAN typu site-to-site.

Poznámka:

Pokud chcete, aby brána VPN typu site-to-site inzeruje přeložené (externí mapování) předpony adres prostřednictvím protokolu BGP, klikněte na tlačítko Povolit překlad protokolu BGP, protože místní prostředí automaticky zjistí rozsah pravidel odchozího přenosu dat a Azure (centrum Virtual WAN, připojené virtuální sítě, pobočky VPN a ExpressRoute) automaticky zjistí rozsah příchozího přenosu dat po nat. Nové rozsahy ADRES POST se zobrazí v tabulce Efektivní trasy ve virtuálním centru. Nastavení povolit překlad protokolu Bgp se použije pro všechna pravidla překladu adres (NAT) v bráně VPN centra Virtual WAN.

Vzorové konfigurace

SNAT příchozího přenosu dat (lokalita VPN s povoleným protokolem BGP)

Pravidla příchozího přenosu dat SNAT se použijí u paketů, které do Azure zadávají prostřednictvím brány VPN typu site-to-site virtual WAN. V tomto scénáři chcete k Azure připojit dvě větve VPN typu site-to-site. Vpn Site 1 se připojuje prostřednictvím propojení A a vpn Site 2 se připojuje přes link B. Každý web má stejný adresní prostor 10.30.0.0/24.

V tomto příkladu vytvoříme web NAT 172.30.0.0.0.0/24. Paprskové virtuální sítě a větve virtual WAN ostatní se automaticky naučí tento adresní prostor post-NAT.

Následující diagram znázorňuje předpokládaný výsledek:

1. Zadejte pravidlo překladu adres (NAT).

   Zadejte pravidlo překladu adres (NAT), které zajistí, že brána VPN typu site-to-site dokáže rozlišovat mezi dvěma větvemi s překrývajícími se adresními prostory (například 10.30.0.0/24). V tomto příkladu se zaměříme na propojení A pro lokalitu VPN 1.

   Následující pravidlo překladu adres (NAT) je možné nastavit a přidružit k propojení A. Vzhledem k tomu, že se jedná o statické pravidlo PŘEKLADU adres, adresní prostory interního mapování a externího mapování obsahují stejný počet IP adres.

   • Název: ingressRule01
   • Typ: Statický
   • Režim: Příchozí přenos dat
   • Interní mapování: 10.30.0.0/24
   • Externí mapování: 172.30.0.0/24
   • Propojení Připojení ion: Propojení A

2. Přepněte překlad tras protokolu BGP na Povolit.

   

3. Ujistěte se, že brána VPN typu site-to-site může vytvořit partnerský vztah s místním partnerským vztahem protokolu BGP.

   V tomto příkladu bude potřeba přeložit pravidlo překladu adres NAT 10.30.0.132 na 172.30.0.132. Uděláte to tak, že kliknete na Upravit lokalitu VPN a nakonfigurujete adresu protokolu BGP propojení lokality SÍTĚ A protokolu BGP tak, aby odrážela tuto přeloženou adresu partnerského vztahu protokolu BGP (172.30.0.132).

   

Důležité informace o tom, jestli se lokalita VPN připojuje přes protokol BGP

• Velikost podsítě pro interní i externí mapování musí být stejná pro statický překlad adres (NAT) 1:1.

• Pokud je povolený překlad protokolu BGP, brána VPN typu site-to-site automaticky inzeruje externí mapování pravidel překladu adres (NAT) odchozích přenosů dat do místního prostředí a také externí mapování pravidel PŘEKLADU příchozího přenosu dat do Azure (centrum virtuální sítě WAN, připojené virtuální sítě VPN/ExpressRoute). Pokud je překlad protokolu BGP zakázaný, nebudou se přeložené trasy automaticky inzerovat do místního prostředí. Proto musí být místní mluvčí protokolu BGP nakonfigurovaný tak, aby inzeroval rozsah příchozích adres (externího mapování) pravidel překladu adres příchozího přenosu dat přidružených k připojení k propojení lokality VPN. Podobně musí být na místním zařízení použita trasa pro rozsah odchozích přenosů (externího mapování) odchozích přenosů adres (NAT).

• Brána VPN typu site-to-site automaticky přeloží místní IP adresu partnerského uzlu protokolu BGP, pokud je místní IP adresa partnerského uzlu protokolu BGP obsažená v interním mapování pravidla překladu adres (NAT) příchozího přenosu dat. V důsledku toho musí adresa protokolu BGP propojení lokality VPN s Připojení ionem odrážet přeloženou adresu NAT (součást externího mapování).

  Pokud je například místní IP adresa protokolu BGP 10.30.0.133 a existuje pravidlo překladu adres (NAT) příchozího přenosu dat, které přeloží 10.30.0.0/24 na 172.30.0.0/24, Odkaz na lokalitu VPN Připojení ion BGP Adresa musí být nakonfigurovaná tak, aby byla přeložená adresa (172.30.0.133).

• V dynamickém překladu adres (NAT) nemůže být místní IP adresa partnerského uzlu protokolu BGP součástí rozsahu adres před překladem adres (interního mapování), protože překlady IP adres a portů nejsou opravené. Pokud je potřeba přeložit místní IP adresu partnerského vztahu protokolu BGP, vytvořte samostatné statické pravidlo NAT, které překládá pouze IP adresu partnerského vztahu protokolu BGP.

  Pokud má například místní síť adresní prostor 10.0.0.0.0/24 s místní IP adresou partnerského uzlu protokolu BGP 10.0.0.1 a existuje pravidlo dynamického překladu adres příchozího přenosu dat pro překlad 10.0.0.0/24 na 192.198.0.0/32, Vyžaduje se samostatné pravidlo statického překladu adres NAT příchozího přenosu dat 10.0.0.1/32 na 192.168.0.02/32 a odpovídající adresa BGP Připojení webu VPN musí být aktualizována na adresu přeloženou na překlad adres (součást externího mapování).

Příchozí příchozí přenos dat (SNAT) (lokalita VPN se staticky nakonfigurovanými trasami)

Pravidla příchozího přenosu dat SNAT se použijí u paketů, které do Azure zadávají prostřednictvím brány VPN typu site-to-site virtual WAN. V tomto scénáři chcete k Azure připojit dvě větve VPN typu site-to-site. Vpn Site 1 se připojuje prostřednictvím propojení A a vpn Site 2 se připojuje přes link B. Každý web má stejný adresní prostor 10.30.0.0/24.

V tomto příkladu vytvoříme lokalitu VPN NAT 1 až 172.30.0.0.0/24. Vzhledem k tomu, že lokalita VPN není připojená k bráně VPN typu site-to-site přes protokol BGP, kroky konfigurace se mírně liší od příkladu s povoleným protokolem BGP.

1. Zadejte pravidlo překladu adres (NAT).

   Zadejte pravidlo překladu adres (NAT), které zajistí, že brána VPN typu site-to-site dokáže rozlišovat mezi dvěma větvemi se stejným adresovým prostorem 10.30.0.0/24. V tomto příkladu se zaměříme na propojení A pro lokalitu VPN 1.

   Následující pravidlo překladu adres (NAT) je možné nastavit a přidružit k propojení A jedné z lokalit VPN 1. Vzhledem k tomu, že se jedná o statické pravidlo PŘEKLADU adres, adresní prostory interního mapování a externího mapování obsahují stejný počet IP adres.

   • Název: Příchozí přenos dat001
   • Typ: Statický
   • Režim: Příchozí přenos dat
   • Interní mapování: 10.30.0.0/24
   • Externí mapování: 172.30.0.0/24
   • Propojení Připojení ion: Propojení A

2. Upravte pole Privátní adresní prostor sítě VPN Site 1 a ujistěte se, že brána VPN typu site-to-site zjistí rozsah post-NAT (172.30.0.0/24).

   • Přejděte k prostředku virtuálního centra, který obsahuje bránu VPN typu site-to-site. Na stránce virtuálního centra v části Připojení ivity vyberte VPN (Site-to-Site).

   • Vyberte lokalitu VPN, která je připojená k centru Virtual WAN, prostřednictvím odkazu A. Vyberte Možnost Upravit lokalitu a vstup 172.30.0.0/24 jako privátní adresní prostor pro lokalitu VPN.

     

Důležité informace o tom, jestli jsou lokality VPN staticky nakonfigurované (nepřipojené přes protokol BGP)

• Velikost podsítě pro interní i externí mapování musí být stejná pro statický překlad adres (NAT) 1:1.
• Upravte web VPN na webu Azure Portal a přidejte předpony v externím mapování pravidel překladu adres příchozího přenosu dat do pole Privátní adresní prostor.
• V případě konfigurací zahrnujících pravidla překladu adres (NAT) výchozího přenosu dat je potřeba na místním zařízení použít zásadu směrování nebo statickou trasu s externím mapováním pravidla překladu adres (NAT) výchozího přenosu dat.

Tok paketů

V předchozích příkladech chce místní zařízení oslovit prostředek v paprskové virtuální síti. Tok paketů je následující, přičemž překlady NAT jsou tučné.

1. Provoz z místního prostředí se zahájí.

   • Zdrojová IP adresa: 10.30.0.4
   • Cílová IP adresa: 10.200.0.4

2. Provoz zadá bránu typu site-to-site a přeloží se pomocí pravidla překladu adres (NAT) a pak se odešle do paprsku.

   • Zdrojová IP adresa: 172.30.0.4
   • Cílová IP adresa: 10.200.0.4

3. Zahájí se odpověď z paprsku.

   • Zdrojová IP adresa: 10.200.0.4
   • Cílová IP adresa: 172.30.0.4

4. Provoz vstupuje do brány VPN typu site-to-site a překlad je obrácený a odesílaný do místního prostředí.

   • Zdrojová IP adresa: 10.200.0.4
   • Cílová IP adresa: 10.30.0.4

Kontroly ověření

Tato část ukazuje kontroly, které ověřují, že je vaše konfigurace správně nastavená.

Ověření dynamických pravidel překladu adres (NAT)

• Pravidla dynamického překladu adres použijte, pokud je cílový fond adres menší než původní fond adres.

• Protože kombinace IP adres a portů nejsou pevné v pravidle dynamického překladu adres (NAT), místní IP adresa partnerského vztahu protokolu BGP nemůže být součástí rozsahu adres před překladem adres (interní mapování). Vytvořte konkrétní statické pravidlo překladu adres (NAT), které překládá pouze IP adresu partnerského vztahu protokolu BGP.

  Příklad:

  • Rozsah místních adres: 10.0.0.0/24
  • Místní IP adresa protokolu BGP: 10.0.0.1
  • Pravidlo dynamického překladu adres (NAT) příchozího přenosu dat: 192.168.0.1/32
  • Pravidlo statického překladu adres (NAT) příchozího přenosu dat: 10.0.0.1 –> 192.168.0.2

Ověření výchozí tabulky, pravidel a tras

Větve ve službě Virtual WAN se přidružují k tabulce DefaultRouteTable, což znamená, že všechna připojení větví se učí trasy, které jsou naplněné v tabulce DefaultRouteTable. V efektivních trasách tabulky DefaultRouteTable uvidíte pravidlo PŘEKLADU adres s přeloženou předponou.

Z předchozího příkladu:

• Předpona: 172.30.0.0/24
• Typ dalšího segmentu směrování: VPN_S2S_Gateway
• Další segment směrování: prostředek VPN_S2S_Gateway

Ověření předpon adres

Tento příklad platí pro prostředky ve virtuálních sítích přidružených k tabulce DefaultRouteTable.

Efektivní trasy na kartách síťového rozhraní (NIC) jakéhokoli virtuálního počítače, který se nachází v paprskové virtuální síti připojené k centru virtual WAN, by také měly obsahovat předpony adres externího mapování zadaného v pravidle NAT příchozího přenosu dat.

Místní zařízení by také mělo obsahovat trasy pro předpony obsažené v rámci externího mapování odchozích pravidel překladu adres (NAT).

Běžné vzory konfigurace

Poznámka:

Překlad adres (NAT) mezi lokalitami se nepodporuje u připojení site-to-site VPN využívajících selektory provozu na základě zásad.

Následující tabulka uvádí běžné vzory konfigurace, ke kterým dochází při konfiguraci různých typů pravidel PŘEKLADU adres (NAT) v bráně VPN typu site-to-site.

Typ lokality VPN	Pravidla překladu adres (NAT) příchozího přenosu dat	Výchozí pravidla překladu adres (NAT)
Lokalita VPN se staticky nakonfigurovanými trasami	Upravte privátní adresní prostor v lokalitě VPN tak, aby obsahoval externí mapování pravidla NAT.	Použijte trasy pro externí mapování pravidla NAT na místním zařízení.
Lokalita VPN (povolený překlad protokolu BGP)	Vložte adresu externího mapování partnerského vztahu protokolu BGP do adresy protokolu BGP propojení lokality VPN Připojení ionu.	Žádné zvláštní aspekty.
Lokalita VPN (zakázaný překlad protokolu BGP)	Ujistěte se, že místní mluvčí protokolu BGP inzeruje předpony v externím mapování pravidla NAT. Vložte také adresu externího mapování partnerského uzlu protokolu BGP do adresy protokolu BGP propojení lokality VPN Připojení ionu.	Použijte trasy pro externí mapování pravidla NAT na místním zařízení.

Další kroky

Další informace o konfiguracích typu site-to-site naleznete v tématu Konfigurace připojení site-to-site služby Virtual WAN.