Informace o překladu adres (NAT) v Azure VPN Gateway
Tento článek obsahuje přehled podpory překladu adres (NAT) ve službě Azure VPN Gateway. NAT definuje mechanismy pro překlad jedné IP adresy do druhé v paketu IP. Pro překlad adres (NAT) existuje několik scénářů:
- Propojení více sítí s překrývajícími se IP adresami
- Připojení z sítí s privátními IP adresami (RFC1918) k internetu (přerušení internetu)
- Připojení sítí IPv6 k sítím IPv4 (NAT64)
Důležité
Překlad adres (NAT) služby Azure VPN Gateway podporuje první scénář připojení místních sítí nebo poboček k virtuální síti Azure s překrývajícími se IP adresami. Breakout na internetu a NAT64 nejsou podporovány.
Překrývající se adresní prostory
Organizace běžně používají privátní IP adresy definované v RFC1918 pro interní komunikaci ve svých privátních sítích. Pokud jsou tyto sítě připojené přes síť VPN přes internet nebo přes privátní síť WAN, adresní prostory se nesmí překrývat, jinak by komunikace selhala. Pokud chcete propojit dvě nebo více sítí s překrývajícími se IP adresami, nasadí se překlad adres (NAT) na zařízeních brány připojujících sítě.
Typ překladu adres (NAT): statický a dynamický
Překlad adres (NAT) na zařízení brány překládá zdrojové a/nebo cílové IP adresy na základě zásad překladu adres (NAT) nebo pravidel, aby nedocházelo ke konfliktu adres. Existují různé typy pravidel překladu překladu adres (NAT):
Statický překlad adres( NAT): Statická pravidla definují pevný vztah mapování adres. U dané IP adresy se namapuje na stejnou adresu z cílového fondu. Mapování statických pravidel jsou bezstavová, protože mapování je opravené.
Dynamický překlad adres (NAT): U dynamického překladu adres (NAT) je možné IP adresu přeložit na jiné cílové IP adresy na základě dostupnosti nebo s jinou kombinací IP adresy a portu TCP/UDP. Druhá se také nazývá PŘEKLAD ADRES (NAPT), Network Address (Překlad síťových adres) a Port (Překlad portů). Dynamická pravidla budou mít za následek mapování stavového překladu v závislosti na tocích provozu v daném okamžiku.
Poznámka:
Při použití dynamických pravidel PŘEKLADU adres je provoz jednosměrný, což znamená, že komunikace musí být inicializována z lokality, která je reprezentována v poli Interní mapování pravidla. Pokud se provoz zahájí z externího mapování, připojení se nenaváže. Pokud potřebujete obousměrné zahájení provozu, použijte statické pravidlo NAT k definování mapování 1:1.
Dalším aspektem je velikost fondu adres pro překlad. Pokud je velikost cílového fondu adres stejná jako původní fond adres, pomocí statického pravidla NAT definujte mapování 1:1 v sekvenčním pořadí. Pokud je cílový fond adres menší než původní fond adres, použijte k přizpůsobení rozdílů dynamické pravidlo PŘEKLADU adres.
Důležité
- Překlad adres (NAT) se podporuje v následujících SKU: VpnGw2~5, VpnGw2AZ~5AZ.
- Překlad adres (NAT) se podporuje jenom u připojení IPsec mezi místními sítěmi. Připojení typu VNet-to-VNet nebo připojení typu P2S nejsou podporována.
- Každé pravidlo dynamického překladu adres (NAT) se dá přiřadit k jednomu připojení.
Režim překladu adres (NAT): příchozí a výchozí přenos dat
Každé pravidlo překladu adres definuje mapování adres nebo vztah překladu pro odpovídající adresní prostor sítě:
Příchozí přenos dat: Pravidlo Příchozí přenos datSNAT mapuje adresní prostor místní sítě na přeložený adresní prostor, aby se zabránilo překrývání adres.
Výchozí přenos dat: Pravidlo EgressSNAT mapuje adresní prostor virtuální sítě Azure na jiný přeložený adresní prostor.
Pro každé pravidlo překladu adres zadejte následující dvě pole adresní prostory před a za překladem:
Interní mapování: Adresní prostor před překladem. V případě pravidla příchozího přenosu dat odpovídá toto pole původnímu adresního prostoru místní sítě. V případě pravidla výchozího přenosu dat se jedná o původní adresní prostor virtuální sítě.
Externí mapování: Adresní prostor po překladu místních sítí (příchozí přenos dat) nebo virtuální sítě (výchozí přenos dat). V případě různých sítí připojených ke službě Azure VPN Gateway se adresní prostory pro všechna externí mapování nesmí navzájem překrývat a se sítěmi připojenými bez překladu adres (NAT).
Překlad adres (NAT) a směrování
Jakmile je pro připojení definováno pravidlo překladu adres (NAT), změní se s pravidlem efektivní adresní prostor připojení. Pokud je ve službě Azure VPN Gateway povolený protokol BGP, vyberte možnost Povolit překlad tras protokolu BGP a automaticky převeďte trasy získané a inzerované na připojení s pravidly překladu adres (NAT):
Naučené trasy: Cílové předpony tras, které se naučily přes připojení k pravidlům Příchozí přenos dat, se přeloží z předpon interního mapování (pre-NAT) na předpony externího mapování (post-NAT) těchto pravidel.
Inzerované trasy: Azure VPN Gateway bude inzerovat předpony externího mapování (post-NAT) pravidel EgressSNAT pro adresní prostor virtuální sítě a naučené trasy s předponami adres post-NAT z jiných připojení.
Důležité informace o IP adrese partnerského uzlu protokolu BGP pro místní síť s překladem adres (NAT):
- Adresa APIPA (169.254.0.1 až 169.254.255.254): Překlad adres (NAT) se u adres BGP APIPA nepodporuje.
- Adresa jiného typu než APIPA: Vylučte IP adresy partnerského uzlu protokolu BGP z rozsahu překladu adres (NAT).
Poznámka:
Naučené trasy u připojení bez pravidel příchozího přenosu dat se nepřevedou. Trasy virtuální sítě inzerované pro připojení bez pravidel výchozího přenosu dat se také nepřevedou.
Příklad překladu adres (NAT)
Následující diagram znázorňuje příklad konfigurací Azure VPN NAT:
Diagram znázorňuje virtuální síť Azure a dvě místní sítě s adresními prostory 10.0.1.0/24. Pokud chcete tyto dvě sítě připojit k virtuální síti Azure a bráně VPN, vytvořte následující pravidla:
Pravidlo příchozího přenosu dat 1: Toto pravidlo překládá místní adresní prostor 10.0.1.0/24 192.168.2.0/24.
Pravidlo příchozího přenosu dat 2: Toto pravidlo překládá místní adresní prostor 10.0.1.0/24 na 192.168.3.0/24.
Pravidlo výchozího přenosu dat 1: Toto pravidlo přeloží adresní prostor virtuální sítě 10.0.1.0/24 na 192.168.1.0/24.
V diagramu má každý prostředek připojení následující pravidla:
Připojení 1 (VNet-Branch1):
- Pravidlo příchozího přenosu dat 1
- Pravidlo výchozího přenosu dat 1
Připojení 2 (VNet-Branch2)
- Pravidlo příchozího přenosu dat 2
- Pravidlo výchozího přenosu dat 1
Na základě pravidel přidružených k připojením jsou adresní prostory pro každou síť:
| Síť | Původní | Přeloženo |
|---|---|---|
| Virtuální síť | 10.0.1.0/24 | 192.168.1.0/24 |
| Větev 1 | 10.0.1.0/24 | 192.168.2.0/24 |
| Větev 2 | 10.0.1.0/24 | 192.168.3.0/24 |
Následující diagram znázorňuje paket IP z větve 1 do virtuální sítě před překladem překladu adres (NAT):
Důležité
Jedno pravidlo SNAT definuje překlad pro oba směry konkrétní sítě:
- Pravidlo příchozího přenosu dat definuje překlad zdrojových IP adres přicházejících do brány Azure VPN z místní sítě. Zpracovává také překlad cílových IP adres odcházejících z virtuální sítě do stejné místní sítě.
- Pravidlo výchozího přenosu dat definuje překlad zdrojových IP adres, které opustí bránu Azure VPN Gateway do místních sítí. Zpracovává také překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím těchto připojení s pravidlem EgressSNAT.
- V obou případech nejsou potřeba žádná pravidla DNAT .
Konfigurace překladu adres (NAT)
Pokud chcete implementovat konfiguraci překladu adres (NAT) zobrazenou v předchozí části, nejprve vytvořte pravidla překladu adres (NAT) ve službě Azure VPN Gateway a pak vytvořte připojení s odpovídajícími přidruženými pravidly překladu adres (NAT). Postup konfigurace překladu adres (NAT) pro připojení mezi místními sítěmi najdete v tématu Konfigurace překladu adres (NAT) ve službě Azure VPN Gateway.
Omezení a důležité informace ohledně NAT
Důležité
Pro funkci NAT existuje několik omezení.
- Překlad adres (NAT) se podporuje v následujících SKU: VpnGw2~5, VpnGw2AZ~5AZ.
- NAT je podporován jen pro připojení mezi více lokalitami IPsec/IKE. Připojení mezi virtuálními sítěmi nebo připojení typu P2S nejsou podporována.
- Pravidla NAT nejsou podporována u připojení s aktivovanými selektory provozu na základě zásad použití.
- Maximální podporovaná velikost podsítě externího mapování pro dynamický NAT je /26.
- Mapování portů je možné nakonfigurovat pouze se statickými typy NAT. Scénáře dynamického NAT se nevztahují na mapování portů.
- Mapování portů v tuto chvíli nepřijímá rozsahy. Je potřeba zadat jednotlivé porty.
- Mapování portů lze použít pro protokoly TCP i UDP.
Nejčastější dotazy k překladu adres (NAT)
Podporuje se překlad adres (NAT) u všech skladových položek služby Azure VPN Gateway?
Překlad adres (NAT) se podporuje na VpnGw2 až VpnGw25 a vpnGw2AZ do VpnGw5AZ.
Můžu použít překlad adres (NAT) u připojení typu VNet-to-VNet nebo P2S?
Ne.
Kolik pravidel překladu adres (NAT) můžu použít ve službě VPN Gateway?
Ve službě VPN Gateway můžete vytvořit až 100 pravidel překladu adres (příchozích a odchozích přenosů).
Můžu v názvu pravidla PŘEKLADU adres použít lomítko (/)?
Ne. Zobrazí se chyba.
Používá se překlad adres (NAT) u všech připojení ve službě VPN Gateway?
Překlad adres (NAT) se použije u připojení s pravidly překladu adres (NAT). Pokud připojení nemá pravidlo překladu adres (NAT), neprojeví se na toto připojení. Na stejné bráně VPN můžete mít některá připojení s překladem adres (NAT) a dalšími připojeními bez spolupráce překladu adres (NAT).
Jaké typy překladu adres (NAT) podporují brány VPN?
Brány VPN podporují pouze statické překlady adres (NAT) 1:1 a dynamické překlad adres (NAT). Nepodporují překlad adres (NAT64).
Funguje překlad adres (NAT) na branách VPN typu aktivní-aktivní?
Ano. Překlad adres (NAT) funguje na branách VPN typu aktivní-aktivní i aktivní-pohotovostní. Každé pravidlo překladu adres (NAT) se použije na jednu instanci brány VPN. V branách aktivní-aktivní vytvořte samostatné pravidlo NAT pro každou instanci brány prostřednictvím pole ID konfigurace PROTOKOLU IP.
Funguje překlad adres (NAT) s připojeními protokolu BGP?
Ano, můžete použít protokol BGP s překladem adres (NAT). Tady je několik důležitých aspektů:
Pokud chcete zajistit, aby se naučené trasy a inzerované trasy překládaly na předpony adres post-NAT (externí mapování) na základě pravidel překladu adres (NAT) přidružených k připojením, vyberte Povolit překlad tras protokolu BGP na stránce konfigurace pro pravidla překladu adres (NAT). Místní směrovače protokolu BGP musí inzerovat přesné předpony definované v pravidlech příchozího přenosu dat.
Pokud místní směrovač VPN používá běžnou adresu, která není adresou APIPA a koliduje s adresními prostory virtuální sítě nebo jinými místními síťovými prostory, ujistěte se, že pravidlo příchozího přenosu dat přeloží IP adresu partnerského uzlu protokolu BGP na jedinečnou nepřekryvnou adresu. Adresu post-NAT umístěte do pole IP adresy partnerského uzlu protokolu BGP brány místní sítě.
Překlad adres (NAT) se nepodporuje s adresami protokolu APIPA protokolu BGP.
Musím vytvořit odpovídající pravidla DNAT pro pravidlo SNAT?
Ne. Pravidlo SNAT (Single Source Network Address Translation) definuje překlad pro oba směry konkrétní sítě:
Pravidlo příchozího přenosu dat definuje překlad zdrojových IP adres přicházejících do brány VPN z místní sítě. Zpracovává také překlad cílových IP adres odcházejících z virtuální sítě do stejné místní sítě.
Pravidlo výchozího přenosu dat definuje překlad zdrojových IP adres virtuální sítě, které bránu VPN opustí do místních sítí. Zpracovává také překlad cílových IP adres pro pakety přicházející do virtuální sítě prostřednictvím připojení, která mají pravidlo EgressSNAT .
V obou případech nepotřebujete pravidla překladu cílových síťových adres (DNAT).
Co mám dělat, když má adresní prostor brány virtuální sítě nebo místní sítě dvě nebo více předpon? Můžu použít překlad adres (NAT) u všech nebo jenom pro podmnožinu?
Pro každou předponu je potřeba vytvořit jedno pravidlo překladu adres, protože každé pravidlo PŘEKLADU adres může obsahovat pouze jednu předponu adresy pro překlad adres .NAT. Pokud se například adresní prostor pro bránu místní sítě skládá z 10.0.1.0/24 a 10.0.2.0/25, můžete vytvořit dvě pravidla:
- Pravidlo příchozího přenosu dat 1: Mapování 10.0.1.0/24 na 192.168.1.0/24
- Pravidlo příchozího přenosu dat 2: Mapování 10.0.2.0/25 na 192.168.2.0/25
Tato dvě pravidla musí odpovídat délce předpon odpovídajících předpon adres. Stejné pokyny platí pro pravidla výchozího přenosu dat pro adresní prostor virtuální sítě.
Důležité
Pokud propočítáte pouze jedno pravidlo s předchozím připojením, druhý adresní prostor se nepřeloží.
Jaké rozsahy IP adres můžu použít pro externí mapování?
Můžete použít libovolný vhodný rozsah IP adres, který chcete použít pro externí mapování, včetně veřejných a privátních IP adres.
Můžu k překladu adresního prostoru virtuální sítě na různé předpony místních sítí použít různá pravidla výchozího přenosu dat?
Ano. Můžete vytvořit více pravidel EgressSNAT pro stejný adresní prostor virtuální sítě a pak použít pravidla EgressSNAT na různá připojení.
Můžu pro různá připojení použít stejné pravidlo Příchozí přenos datSNAT?
Ano. K zajištění redundance obvykle používáte stejné pravidlo Příchozí přenos dat ANAT , pokud jsou připojení pro stejnou místní síť. Stejné pravidlo příchozího přenosu dat nemůžete použít, pokud jsou připojení pro různé místní sítě.
Potřebuji pravidla příchozího i výchozího přenosu dat pro připojení NAT?
Když se místní adresní prostor místní sítě překrývají s adresními prostory virtuální sítě, potřebujete pravidla příchozího i výchozího přenosu dat na stejném připojení. Pokud je adresní prostor virtuální sítě jedinečný mezi všemi připojenými sítěmi, nepotřebujete u těchto připojení pravidlo EgressSNAT . Pravidla příchozího přenosu dat můžete použít k zabránění překrývání adres mezi místními sítěmi.
Co zvolím jako ID konfigurace PROTOKOLU IP?
ID konfigurace PROTOKOLU IP je jednoduše název objektu konfigurace PROTOKOLU IP, který má pravidlo překladu adres (NAT) používat. V tomto nastavení jednoduše zvolíte, která veřejná IP adresa brány se vztahuje na pravidlo překladu adres (NAT). Pokud jste při vytváření brány nezadali žádný vlastní název, primární IP adresa brány se přiřadí k výchozí konfiguraci IP adresy a sekundární IP adresa se přiřadí ke konfiguraci activeActive IP.
Další kroky
Postup konfigurace překladu adres (NAT) pro připojení mezi místními sítěmi najdete v tématu Konfigurace překladu adres (NAT) ve službě Azure VPN Gateway.