Informacje o translatorze adresów sieciowych w usłudze Azure VPN Gateway
Ten artykuł zawiera omówienie obsługi translatora adresów sieciowych (translatora adresów sieciowych) w usłudze Azure VPN Gateway. Translator adresów sieciowych definiuje mechanizmy translacji jednego adresu IP na inny w pakiecie IP. Istnieje wiele scenariuszy translatora adresów sieciowych:
- Łączenie wielu sieci z nakładającymi się adresami IP
- Nawiązywanie połączenia z sieci przy użyciu prywatnych adresów IP (RFC1918) z Internetem (połączenie internetowe)
- Łączenie sieci IPv6 z sieciami IPv4 (NAT64)
Ważne
Translator adresów sieciowych usługi Azure VPN Gateway obsługuje pierwszy scenariusz łączenia sieci lokalnych lub oddziałów z siecią wirtualną platformy Azure z nakładającymi się adresami IP. Przerwy internetowe i NAT64 nie są obsługiwane.
Nakładające się przestrzenie adresowe
Organizacje często używają prywatnych adresów IP zdefiniowanych w RFC1918 do komunikacji wewnętrznej w swoich sieciach prywatnych. Gdy te sieci są połączone przy użyciu sieci VPN przez Internet lub przez prywatną sieć WAN, przestrzenie adresowe nie mogą nakładać się w przeciwnym razie komunikacja zakończy się niepowodzeniem. Aby połączyć co najmniej dwie sieci z nakładającymi się adresami IP, translator adresów sieciowych jest wdrażany na urządzeniach bramy łączących sieci.
Typ translatora adresów sieciowych: statyczny i dynamiczny
Translator adresów sieciowych na urządzeniu bramy tłumaczy źródłowe i/lub docelowe adresy IP na podstawie zasad translatora adresów sieciowych lub reguł, aby uniknąć konfliktu adresów. Istnieją różne typy reguł tłumaczenia translatora adresów sieciowych:
Statyczny translator adresów sieciowych: reguły statyczne definiują stałą relację mapowania adresów. Dla danego adresu IP zostanie on zamapowany na ten sam adres z puli docelowej. Mapowania reguł statycznych są bezstanowe, ponieważ mapowanie jest stałe.
Dynamiczny translator adresów sieciowych: w przypadku dynamicznego translatora adresów sieciowych adres IP można przetłumaczyć na różne docelowe adresy IP na podstawie dostępności lub z inną kombinacją adresu IP i portu TCP/UDP. Ten ostatni jest również nazywany NAPT, Adres sieciowy i Translacja portów. Reguły dynamiczne będą powodować mapowania tłumaczenia stanowego w zależności od przepływów ruchu w danym momencie.
Uwaga
Gdy są używane dynamiczne reguły NAT, ruch jest jednokierunkowy, co oznacza, że komunikacja musi być inicjowana z lokacji reprezentowanej w polu Wewnętrzne mapowanie reguły. Jeśli ruch jest inicjowany z mapowania zewnętrznego, połączenie nie zostanie nawiązane. Jeśli potrzebujesz dwukierunkowej inicjacji ruchu, użyj statycznej reguły NAT, aby zdefiniować mapowanie 1:1.
Innym zagadnieniem jest rozmiar puli adresów do tłumaczenia. Jeśli rozmiar puli adresów docelowych jest taki sam jak oryginalna pula adresów, użyj statycznej reguły translatora adresów sieciowych, aby zdefiniować mapowanie 1:1 w kolejności sekwencyjnej. Jeśli docelowa pula adresów jest mniejsza niż oryginalna pula adresów, użyj dynamicznej reguły TRANSLATOR adresów sieciowych, aby uwzględnić różnice.
Ważne
- Translator adresów sieciowych jest obsługiwany w następujących jednostkach SKU: VpnGw2~5, VpnGw2AZ~5AZ.
- Translator adresów sieciowych jest obsługiwany tylko w przypadku połączeń obejmujących wiele lokalizacji IPsec. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-lokacja nie są obsługiwane.
- Każda dynamiczna reguła NAT może być przypisana do jednego połączenia.
Tryb NAT: ruch przychodzący i wychodzący
Każda reguła translatora adresów definiuje mapowanie adresów lub tłumaczenie relacji dla odpowiedniej przestrzeni adresowej sieci:
Ruch przychodzący: Reguła ruchu przychodzącegoSNAT mapuje lokalną przestrzeń adresową sieci na przetłumaczoną przestrzeń adresową, aby uniknąć nakładania się adresów.
Ruch wychodzący: reguła EgressSNAT mapuje przestrzeń adresową sieci wirtualnej platformy Azure na inną przetłumaczoną przestrzeń adresową.
Dla każdej reguły translatora adresów sieciowych następujące dwa pola określają przestrzenie adresowe przed tłumaczeniem i po nim:
Wewnętrzne mapowania: przestrzeń adresowa przed tłumaczeniem. W przypadku reguły ruchu przychodzącego to pole odpowiada oryginalnej przestrzeni adresowej sieci lokalnej. W przypadku reguły ruchu wychodzącego jest to oryginalna przestrzeń adresowa sieci wirtualnej.
Mapowania zewnętrzne: przestrzeń adresowa po tłumaczeniu sieci lokalnych (ruchu przychodzącego) lub sieci wirtualnej (ruchu wychodzącego). W przypadku różnych sieci połączonych z bramą sieci VPN platformy Azure przestrzenie adresowe dla wszystkich mapowań zewnętrznych nie mogą pokrywać się ze sobą i z sieciami połączonymi bez translatora adresów sieciowych.
Translator adresów sieciowych i routing
Po zdefiniowaniu reguły translatora adresów sieciowych dla połączenia efektywna przestrzeń adresowa dla połączenia zmieni się przy użyciu reguły. Jeśli protokół BGP jest włączony w bramie sieci VPN platformy Azure, wybierz opcję "Włącz translacja tras protokołu BGP", aby automatycznie przekonwertować trasy poznane i anonsowane na połączenia z regułami translatora adresów sieciowych:
Poznane trasy: prefiksy docelowe tras poznanych za pośrednictwem połączenia z regułami IngressSNAT zostaną przetłumaczone z prefiksów mapowania wewnętrznego (pre-NAT) do prefiksów mapowania zewnętrznego (post-NAT) tych reguł.
Anonsowane trasy: brama sieci VPN platformy Azure anonsuje prefiksy prefiksów mapowania zewnętrznego (post-NAT) reguł EgressSNAT dla przestrzeni adresowej sieci wirtualnej oraz poznane trasy z prefiksami adresów post-NAT z innych połączeń.
Zagadnienia dotyczące adresu IP elementu równorzędnego protokołu BGP dla sieci lokalnej translatora adresów sieciowych:
- ADRES APIPA (169.254.0.1 do 169.254.255.254): translator adresów sieciowych nie jest obsługiwany w przypadku adresów APIPA protokołu BGP.
- Adres inny niż APIPA: wyklucz adresy IP elementu równorzędnego BGP z zakresu translatora adresów sieciowych.
Uwaga
Poznane trasy połączeń bez reguł IngressSNAT nie zostaną przekonwertowane. Trasy sieci wirtualnej anonsowane do połączeń bez reguł EgressSNAT również nie zostaną przekonwertowane.
Przykład translatora adresów sieciowych
Na poniższym diagramie przedstawiono przykład konfiguracji translatora adresów sieciowych sieci VPN platformy Azure:
Na diagramie przedstawiono sieć wirtualną platformy Azure i dwie sieci lokalne z przestrzenią adresową 10.0.1.0/24. Aby połączyć te dwie sieci z siecią wirtualną platformy Azure i bramą sieci VPN, utwórz następujące reguły:
Reguła IngressSNAT 1: ta reguła tłumaczy lokalną przestrzeń adresową 10.0.1.0/24 192.168.2.0/24.
Reguła IngressSNAT 2: ta reguła tłumaczy lokalną przestrzeń adresową 10.0.1.0/24 na 192.168.3.0/24.
Reguła EgressSNAT 1: ta reguła tłumaczy przestrzeń adresową sieci wirtualnej 10.0.1.0/24 na 192.168.1.0/24.
Na diagramie każdy zasób połączenia ma następujące reguły:
Połączenie 1 (VNet-Branch1):
- Reguła IngressSNAT 1
- Reguła EgressSNAT 1
Połączenie 2 (VNet-Branch2)
- Reguła IngressSNAT 2
- Reguła EgressSNAT 1
Na podstawie reguł skojarzonych z połączeniami oto przestrzenie adresowe dla każdej sieci:
| Sieć | Oryginalne | Przetłumaczony |
|---|---|---|
| Sieć wirtualna | 10.0.1.0/24 | 192.168.1.0/24 |
| Gałąź 1 | 10.0.1.0/24 | 192.168.2.0/24 |
| Gałąź 2 | 10.0.1.0/24 | 192.168.3.0/24 |
Na poniższym diagramie przedstawiono pakiet IP z gałęzi 1 do sieci wirtualnej przed tłumaczeniem translatora adresów sieciowych i po nim:
Ważne
Pojedyncza reguła SNAT definiuje tłumaczenie dla obu kierunków określonej sieci:
- Reguła IngressSNAT definiuje tłumaczenie źródłowych adresów IP przychodzących do bramy sieci VPN platformy Azure z sieci lokalnej. Obsługuje również translację docelowych adresów IP opuszczających sieć wirtualną do tej samej sieci lokalnej.
- Reguła EgressSNAT definiuje translację źródłowych adresów IP opuszczających bramę sieci VPN platformy Azure do sieci lokalnych. Obsługuje również translację docelowych adresów IP dla pakietów przychodzących do sieci wirtualnej za pośrednictwem połączeń z regułą EgressSNAT.
- W obu przypadkach nie są potrzebne żadne reguły DNAT .
Konfiguracja translatora adresów sieciowych
Aby zaimplementować konfigurację translatora adresów sieciowych pokazaną w poprzedniej sekcji, najpierw utwórz reguły NAT w bramie sieci VPN platformy Azure, a następnie utwórz połączenia z odpowiednimi skojarzonymi regułami NAT. Zobacz Konfigurowanie translatora adresów sieciowych w bramach sieci VPN platformy Azure, aby uzyskać instrukcje konfigurowania translatora adresów sieciowych dla połączeń obejmujących wiele lokalizacji.
Ograniczenia i istotne zagadnienia translatora adresów sieciowych
Ważne
Istnieje kilka ograniczeń dotyczących funkcji translatora adresów sieciowych.
- Translator adresów sieciowych jest obsługiwany w następujących jednostkach SKU: VpnGw2~5, VpnGw2AZ~5AZ.
- Translator adresów sieciowych jest obsługiwany tylko w przypadku połączeń obejmujących wiele lokalizacji IPsec/IKE. Połączenia między sieciami wirtualnymi lub połączenia typu punkt-lokacja nie są obsługiwane.
- Reguły translatora adresów sieciowych nie są obsługiwane w przypadku połączeń z włączonymi selektorami ruchu opartymi na zasadach.
- Maksymalny obsługiwany rozmiar podsieci mapowania zewnętrznego dla dynamicznego translatora adresów sieciowych to /26.
- Mapowania portów można skonfigurować tylko przy użyciu statycznych typów translacji adresów sieciowych. Dynamiczne scenariusze translatora adresów sieciowych nie mają zastosowania do mapowania portów.
- Mapowanie portów nie akceptuje obecnie zakresów. Należy wprowadzić pojedynczy port.
- Mapowania portów mogą być używane zarówno dla protokołów TCP, jak i UDP.
Translator adresów sieciowych — często zadawane pytania
Czy translator adresów sieciowych jest obsługiwany we wszystkich jednostkach SKU usługi Azure VPN Gateway?
Translator adresów sieciowych jest obsługiwany w sieci VpnGw2 do sieci VpnGw25 i w sieci VpnGw2AZ do sieci VpnGw5AZ.
Czy można używać translatora adresów sieciowych w połączeniach typu sieć wirtualna-sieć wirtualna lub połączenia typu punkt-lokacja?
L.p.
Ile reguł translatora adresów sieciowych można używać w bramie sieci VPN?
W bramie sieci VPN można utworzyć maksymalnie 100 reguł NAT (reguły ruchu przychodzącego i ruchu wychodzącego).
Czy mogę użyć ukośnika (/) w nazwie reguły translatora adresów sieciowych?
L.p. Zostanie wyświetlony błąd.
Czy translator adresów sieciowych jest stosowany do wszystkich połączeń w bramie sieci VPN?
Translator adresów sieciowych jest stosowany do połączeń z regułami NAT. Jeśli połączenie nie ma reguły translatora adresów sieciowych, translator adresów sieciowych nie będzie mieć wpływu na to połączenie. W tej samej bramie sieci VPN można mieć pewne połączenia z translatorem adresów sieciowych i innymi połączeniami bez współpracy translatora adresów sieciowych.
Jakie typy translatora adresów sieciOWYCH obsługują bramy sieci VPN?
Bramy sieci VPN obsługują tylko statyczny translator adresów sieciowych 1:1 i dynamiczny translator adresów sieciowych. Nie obsługują translatora adresów sieciowych NAT64.
Czy translator adresów sieciowych działa na bramach sieci VPN aktywne-aktywne?
Tak. Translator adresów sieciowych działa zarówno na bramach sieci VPN active-active-active-standby. Każda reguła translatora adresów sieciowych jest stosowana do pojedynczego wystąpienia bramy sieci VPN. W bramach aktywnych-aktywnych utwórz oddzielną regułę translatora adresów sieciowych dla każdego wystąpienia bramy za pomocą pola Identyfikator konfiguracji adresu IP.
Czy translator adresów sieciowych działa z połączeniami BGP?
Tak, możesz użyć protokołu BGP z translatorem adresów sieciowych. Oto kilka ważnych zagadnień:
Aby upewnić się, że poznane trasy i anonsowane trasy są tłumaczone na prefiksy adresów post-NAT (mapowania zewnętrzne) na podstawie reguł NAT skojarzonych z połączeniami, wybierz pozycję Włącz tłumaczenie tras BGP na stronie konfiguracji reguł NAT. Lokalne routery protokołu BGP muszą anonsować dokładne prefiksy zgodnie z definicją w regułach IngressSNAT .
Jeśli lokalny router sieci VPN używa zwykłego, innego niż APIPA adresu i koliduje z przestrzenią adresową sieci wirtualnej lub innymi lokalnymi przestrzeniami sieciowymi, upewnij się, że reguła IngressSNAT przetłumaczy adres IP elementu równorzędnego BGP na unikatowy, nienakładujący się adres. Umieść adres post-NAT w polu adres IP równorzędnego adresu IP protokołu BGP bramy sieci lokalnej.
Translator adresów sieciowych nie jest obsługiwany w przypadku adresów APIPA protokołu BGP.
Czy muszę utworzyć pasujące reguły DNAT dla reguły SNAT?
L.p. Jedna reguła translacji adresów sieciowych (SNAT) definiuje tłumaczenie dla obu kierunków określonej sieci:
Reguła IngressSNAT definiuje tłumaczenie źródłowych adresów IP przychodzących do bramy sieci VPN z sieci lokalnej. Obsługuje również tłumaczenie docelowych adresów IP wychodzących z sieci wirtualnej do tej samej sieci lokalnej.
Reguła EgressSNAT definiuje tłumaczenie źródłowych adresów IP sieci wirtualnej, pozostawiając bramę sieci VPN do sieci lokalnych. Obsługuje również tłumaczenie docelowych adresów IP dla pakietów przychodzących do sieci wirtualnej za pośrednictwem połączeń mających regułę EgressSNAT .
W obu przypadkach nie potrzebujesz reguł tłumaczenia adresów sieciowych (DNAT).
Co zrobić, jeśli przestrzeń adresowa bramy sieci wirtualnej lub sieci lokalnej ma co najmniej dwa prefiksy? Czy mogę zastosować translator adresów sieciowych do wszystkich z nich, czy tylko do podzestawu?
Należy utworzyć jedną regułę translatora adresów sieciowych dla każdego prefiksu, ponieważ każda reguła translatora adresów sieciowych może zawierać tylko jeden prefiks adresu dla translatora adresów sieciowych. Jeśli na przykład przestrzeń adresowa bramy sieci lokalnej składa się z 10.0.1.0/24 i 10.0.2.0/25, można utworzyć dwie reguły:
- Reguła IngressSNAT 1: Mapa 10.0.1.0/24 do 192.168.1.0/24.
- Reguła IngressSNAT 2: Mapa 10.0.2.0/25 do 192.168.2.0/25.
Dwie reguły muszą odpowiadać długości prefiksów odpowiednich prefiksów adresów. Te same wytyczne dotyczą reguł EgressSNAT dla przestrzeni adresowej sieci wirtualnej.
Ważne
Jeśli połączysz tylko jedną regułę z poprzednim połączeniem, druga przestrzeń adresowa nie zostanie przetłumaczona.
Jakich zakresów adresów IP można używać do mapowania zewnętrznego?
Możesz użyć dowolnego odpowiedniego zakresu adresów IP do mapowania zewnętrznego, w tym publicznych i prywatnych adresów IP.
Czy mogę użyć różnych reguł EgressSNAT, aby przetłumaczyć przestrzeń adresową sieci wirtualnej na różne prefiksy dla sieci lokalnych?
Tak. Można utworzyć wiele reguł EgressSNAT dla tej samej przestrzeni adresowej sieci wirtualnej, a następnie zastosować reguły EgressSNAT do różnych połączeń.
Czy mogę użyć tej samej reguły IngressSNAT w różnych połączeniach?
Tak. Zazwyczaj używasz tej samej reguły IngressSNAT , gdy połączenia są dla tej samej sieci lokalnej, aby zapewnić nadmiarowość. Nie można użyć tej samej reguły ruchu przychodzącego, jeśli połączenia dotyczą różnych sieci lokalnych.
Czy potrzebuję zarówno reguł ruchu przychodzącego, jak i wychodzącego w połączeniu translatora adresów sieciowych?
Potrzebujesz zarówno reguł ruchu przychodzącego, jak i wychodzącego w tym samym połączeniu, gdy lokalna przestrzeń adresowa sieci nakłada się na przestrzeń adresową sieci wirtualnej. Jeśli przestrzeń adresowa sieci wirtualnej jest unikatowa we wszystkich połączonych sieciach, nie potrzebujesz reguły EgressSNAT dla tych połączeń. Reguły ruchu przychodzącego umożliwiają uniknięcie nakładania się adresów między sieciami lokalnymi.
Co mogę wybrać jako identyfikator konfiguracji adresu IP?
Identyfikator konfiguracji adresu IP to po prostu nazwa obiektu konfiguracji adresu IP, który ma być używany przez regułę translatora adresów sieciowych. W przypadku tego ustawienia wystarczy wybrać publiczny adres IP bramy, który ma zastosowanie do reguły translatora adresów sieciowych. Jeśli w czasie tworzenia bramy nie określono żadnej niestandardowej nazwy, podstawowy adres IP bramy zostanie przypisany do domyślnej konfiguracji adresu IP, a pomocniczy adres IP zostanie przypisany do konfiguracji activeActive IP.
Następne kroki
Zobacz Konfigurowanie translatora adresów sieciowych w bramach sieci VPN platformy Azure, aby uzyskać instrukcje konfigurowania translatora adresów sieciowych dla połączeń obejmujących wiele lokalizacji.