Compartilhar via


Como configurar o NAT para Gateway de VPN do Azure

Este artigo ajuda você a configurar a Conversão de Endereços de Rede (NAT) para o Gateway de VPN do Azure usando o portal do Azure.

Sobre o NAT

O NAT define os mecanismos para converter um endereço IP em outro em um pacote IP. Normalmente, ela é usada para conectar redes com intervalos de endereços IP sobrepostos. As regras ou políticas NAT nos dispositivos de gateway que conectam as redes especificam os mapeamentos de endereço da conversão de endereços nas redes.

Para obter mais informações sobre o suporte do NAT para o Gateway de VPN do Azure, consulte Sobre NAT e Gateway de VPN do Azure.

Importante

  • Há suporte para o NAT nos seguintes SKUs: VpnGw2~5, VpnGw2AZ~5AZ.

Introdução

Cada parte deste artigo ajuda a criar um bloco de construção básico para configurar o NAT na sua conectividade de rede. Se você concluir todas as três partes, criará a topologia conforme mostrado no Diagrama 1.

Diagrama 1

Diagrama mostrando a configuração e as regras do NAT.

Pré-requisitos

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

Parte 1: criar VNet e gateways

Nesta seção, você cria uma rede virtual, um gateway de VPN e os recursos de gateway de rede local para corresponder aos recursos mostrados no Diagrama 1. Para criar esses recursos, você pode usar as etapas no artigo Tutorial de Site a Site. Conclua as seções a seguir do artigo, mas não crie nenhuma conexão.

Importante

Não crie conexões. Se você tentar criar recursos de conexão, a operação falhará porque os espaços de endereço IP são os mesmos entre VNet, Branch1 e Branch2. Você criará recursos de conexão posteriormente neste artigo.

As capturas de tela a seguir mostram exemplos dos recursos a serem criados.

  • VNET

    Captura de tela mostrando o espaço de endereço da VNet.

  • Gateway de VPN

    Captura de tela mostrando o gateway.

  • Gateway de rede local do Branch1

    Captura de tela mostrando o gateway de rede local do Branch1.

  • Gateway de rede local do Branch2

    Captura de tela mostrando o gateway de rede local do Branch2.

Parte 2: criar regras NAT

Antes de criar conexões, você precisa criar e salvar regras NAT no gateway de VPN. A tabela a seguir mostra as regras NAT necessárias. Confira o Diagrama 1 para obter a topologia.

Tabela de regras NAT

Nome Tipo Modo Interna Externo Conexão
VNET Estático EgressSNAT 10.0.1.0/24 192.168.1.0/24 Ambas as conexões
Branch1 Estático IngressSNAT 10.0.1.0/24 192.168.2.0/24 Conexão do Branch1
Branch2 Estático IngressSNAT 10.0.1.0/24 192.168.3.0/24 Conexão do Branch2

Siga as etapas a seguir para criar todas as regras NAT no gateway de VPN. Se você estiver usando o BGP, selecione Habilitar para configurar Habilitar Conversão de Rota Bgp.

  1. No portal do Azure, navegue até a página do recurso Gateway de Rede Virtual e selecione Regras NAT a partir do painel esquerdo.

  2. Usando a Tabela de regras NAT, preencha os valores. Se você estiver usando o BGP, selecione Habilitar para configurar Habilitar Conversão de Rota Bgp.

    Captura de tela mostrando as regras NAT.

  3. Clique em Salvar para salvar as regras NAT no recurso de gateway de VPN. Essa operação pode levar até dez minutos para ser concluída.

Nesta seção, você cria as conexões e associa as regras NAT na mesma etapa. Observe que se você criar os objetos de conexão primeiro, sem vincular as regras NAT ao mesmo tempo, a operação falhará porque os espaços de endereço IP são os mesmos entre VNet, Branch1 e Branch2.

As conexões e as regras NAT são especificadas na topologia de amostra mostrada no Diagrama 1.

  1. Vá até o gateway de VPN.

  2. Na página Conexões, selecione +Adicionar para abrir a página Adicionar conexão.

  3. Na página Adicionar conexão, preencha os valores da conexão VNet-Branch1, especificando as regras NAT associadas, conforme mostrado na seguinte captura de tela. Para Regras NAT de entrada, selecione Branch1. Para Regras NAT de saída, selecione VNet. Se você estiver usando o BGP, você pode selecionar Habilitar BGP.

    Captura de tela mostrando a conexão VNet-Branch1.

  4. Clique em OK para criar a conexão.

  5. Repita as etapas para criar a conexão VNet-Branch2. Para Regras NAT de entrada, selecione Branch2. Para Regras NAT de saída, selecione VNet.

  6. Após configurar ambas as conexões, sua configuração deve ser semelhante à seguinte captura de tela. O status altera para Conectado quando a conexão é estabelecida.

    Captura de tela mostrando todas conexões.

  7. Depois de concluir a configuração, as regras NAT serão semelhantes à seguinte captura de tela, e você terá uma topologia que corresponde à topologia mostrada no Diagrama 1. Observe que a tabela agora mostra as conexões que estão vinculadas a cada regra NAT.

    Se você quiser habilitar a Conversão de Rota BGP para suas conexões, selecione Habilitar e depois clique em Salvar.

    Captura de tela mostrando as regras NAT.

Limitações da NAT

Importante

Há algumas restrições para o recurso NAT.

  • Há suporte para o NAT nos seguintes SKUs: VpnGw2~5, VpnGw2AZ~5AZ.
  • Há suporte para o NAT somente em conexões entre locais IPsec/IKE. Não há suporte para conexões VNet a VNet nem para conexões P2S.
  • Não há suporte para regras NAT em conexões com a opção Usar Seletores de Tráfego Baseados em Política habilitada.
  • O tamanho máximo da sub-rede de mapeamento externo com suporte para NAT Dinâmica é /26.
  • Os mapeamentos de portas podem ser configurados apenas com tipos de NAT estáticos. Cenários de NAT dinâmico não são aplicáveis para mapeamentos de porta.
  • No momento, os mapeamentos de porta não podem usar intervalos. A porta individual precisa ser inserida.
  • Mapeamentos de porta podem ser usados para os protocolos TCP e UDP.

Próximas etapas

Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Veja Criar uma máquina virtual para obter as etapas.