Поделиться через

Настройка целевого NAT (DNAT) для виртуального сетевого устройства в центре Виртуальная глобальная сеть Azure

  • Статья

В следующей статье описывается, как настроить NAT назначения для брандмауэра следующего поколения, развернутых с помощью центра Виртуальная глобальная сеть.

Внимание

Целевой NAT (DNAT) для Виртуальная глобальная сеть интегрированных сетевых виртуальных устройств в настоящее время находится в общедоступной предварительной версии и предоставляется без соглашения об уровне обслуживания. Он не должен использоваться для рабочих нагрузок. Некоторые функции могут не поддерживаться, иметь ограничения и быть доступными не во всех расположениях Azure. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Общие сведения

Сетевые виртуальные устройства (NVAs) с возможностями брандмауэра следующего поколения, интегрированными с Виртуальная глобальная сеть позволяют клиентам защищать и проверять трафик между частными сетями, подключенными к Виртуальная глобальная сеть.

Конечный NAT для сетевых виртуальных устройств в центре Виртуальная глобальная сеть позволяет публиковать приложения пользователям в Интернете без прямого предоставления общедоступного IP-адреса приложения или сервера. Потребители получают доступ к приложениям через общедоступный IP-адрес, назначенный виртуальному устройству брандмауэра. NVA настроен для фильтрации и преобразования трафика и управления доступом к внутренним приложениям.

Управление инфраструктурой и программирование для варианта использования DNAT в Виртуальная глобальная сеть выполняется автоматически. Программирование правила DNAT на NVA с помощью программного обеспечения оркестрации NVA или командной строки NVA автоматически программизирует инфраструктуру Azure для принятия и маршрутизации трафика DNAT для поддерживаемых партнеров NVA. См. раздел ограничений для списка поддерживаемых партнеров NVA.

Основные понятия

Чтобы включить вариант использования DNAT, свяжите один или несколько ресурсов общедоступного IP-адреса Azure с ресурсом виртуального сетевого устройства. Эти IP-адреса называются входящий интернет или IP-адреса входящего интернета и являются целевыми IP-адресами, которые пользователи инициируют запросы на подключение для доступа к приложениям за NVA. После настройки правила DNAT в программном обеспечении оркестратора и управления сетевыми виртуальными устройствами (см. руководство партнера), программное обеспечение управления NVA автоматически:

  • Программы NVA устройства, работающие в Виртуальная глобальная сеть для проверки и перевода соответствующего трафика (настройка правил NAT и правил брандмауэра на устройстве NVA). Правила, программируемые на NVA, называются правилами DNAT NVA.
  • Взаимодействует с API Azure для создания и обновления правил безопасности для входящего трафика. Виртуальная глобальная сеть плоскости управления обрабатывает правила безопасности входящего трафика и программы, Виртуальная глобальная сеть и компоненты инфраструктуры NVA, управляемые Azure, для поддержки варианта использования NAT назначения.

Пример

В следующем примере пользователи получают доступ к приложению, размещенного в виртуальная сеть Azure (IP-адрес приложения 10.60.0.4), подключаются к общедоступному IP-адресу DNAT (198.51.100.4), назначенному NVA через порт 443.

Выполняются следующие конфигурации:

  • Ip-адреса входящего интернета, назначенные NVA, — 198.51.100.4 и 192.0.2.4.
  • Правило DNAT NVA запрограммировано для перевода трафика с назначением 198.51.100.4:443 на 10.60.0.4:443.
  • Интерфейсы оркестратора NVA с API Azure для создания правил безопасности входящего трафика и инфраструктуры программ уровня управления Виртуальная глобальная сеть соответствующим образом для поддержки потока трафика.

Поток входящего трафика

Снимок экрана: поток входящего трафика.

Следующий список соответствует приведенной выше схеме и описывает поток пакетов для входящего подключения:

  1. Пользователь инициирует подключение к одному из общедоступных IP-адресов, используемых для DNAT, связанного с NVA.
  2. Azure load balances the connection request to one of the Firewall NVA instances. Трафик отправляется во внешний или ненадежный интерфейс NVA.
  3. NVA проверяет трафик и преобразует пакет на основе конфигурации правила. В этом случае NVA настраивается для NAT и перенаправки входящего трафика до 10.60.0.4:443. Источник пакета также преобразуется в частный IP-адрес (IP-адрес доверенного или внутреннего интерфейса) выбранного экземпляра брандмауэра, чтобы обеспечить симметрию потока. NVA перенаправляет пакет и Виртуальная глобальная сеть направляет пакет в конечное место назначения.

Исходящий поток трафика

Снимок экрана: исходящий поток трафика.

Следующий список соответствует приведенной выше схеме и описывает поток пакетов для исходящего ответа:

  1. Сервер отвечает и отправляет пакеты ответа экземпляру брандмауэра NVA через частный IP-адрес брандмауэра брандмауэра.
  2. Преобразование NAT обратно, а ответ отправляется ненадежным интерфейсом. Затем Azure отправляет пакет пользователю напрямую.

Известные проблемы, ограничения и рекомендации

В следующем разделе описываются известные проблемы, ограничения и рекомендации, связанные с функцией входящего трафика в Интернете.

Известные проблемы

В следующей таблице описываются известные проблемы, связанные с функцией входящего и DNAT в Интернете.

Проблема Описание Меры по снижению риска
Трафик DNAT не пересылается в NVA после связывания дополнительного IP-адреса. После связывания дополнительных IP-адресов с NVA, который уже имеет активные правила безопасности для входящего трафика, трафик DNAT не перенаправляется должным образом в NVA из-за дефекта кода. Используйте программное обеспечение оркестрации и управления партнерами, чтобы изменить (создать или удалить существующие) настроенные правила безопасности для входящего трафика для восстановления подключения.
Масштабируемость конфигурации правила безопасности для входящего трафика Конфигурация правила безопасности для входящего трафика может завершиться ошибкой, если настроено большое число (приблизительно 100) правил. Нет устранения рисков, обратитесь в службу поддержки Azure для исправления временных шкал.

Ограничения

  • NAT назначения поддерживается только для следующих NVA: контрольная точка, fortinet-sdwan-and-ngfw и fortinet-ngfw.
  • Общедоступные IP-адреса, используемые для целевого NAT, должны соответствовать следующим требованиям:
    • Общедоступные IP-адреса NAT назначения должны находиться в том же регионе, что и ресурс NVA. Например, если NVA развертывается в регионе "Восточная часть США", общедоступный IP-адрес должен быть также из региона "Восточная часть США".
    • Общедоступные IP-адреса NAT назначения не могут использоваться другим ресурсом Azure. Например, нельзя использовать IP-адрес, используемый IP-адресом ip-адреса сетевого интерфейса виртуальной машины или конфигурацией интерфейса Load Balancer (цен. категория .
    • Общедоступные IP-адреса должны быть из адресных пространств IPv4. Виртуальная глобальная сеть не поддерживает IPv6-адреса.
    • Общедоступные IP-адреса должны быть развернуты с помощью номера SKU уровня "Стандартный". Общедоступные IP-адреса SKU уровня "Базовый" не поддерживаются.
  • Целевой NAT поддерживается только в новых развертываниях NVA, созданных по крайней мере с одним общедоступным IP-адресом назначения NAT. Существующие развертывания NVA или развертывания NVA, которые не имели общедоступного IP-адреса назначения NAT, связанного во время создания NVA, не могут использовать целевой NAT.
  • Программирование компонентов инфраструктуры Azure для поддержки сценариев DNAT выполняется автоматически программным обеспечением оркестрации NVA при создании правила DNAT. Таким образом, нельзя программровать правила NVA с помощью портал Azure. Однако можно просмотреть правила безопасности для входящего трафика, связанные с каждым общедоступным IP-адресом Интернета.
  • Трафик DNAT в Виртуальная глобальная сеть можно направлять только к подключениям к тому же концентратору, что и NVA. Шаблоны трафика между концентраторами с DNAT не поддерживаются.

Рекомендации

  • Входящий трафик автоматически распределяется по всем здоровым экземплярам сетевого виртуального устройства.
  • В большинстве случаев NVA должны выполнять исходный NAT для частного IP-адреса брандмауэра в дополнение к целевому NAT, чтобы обеспечить симметрию потока. Для некоторых типов NVA может не потребоваться источник-NAT. Обратитесь к поставщику NVA, чтобы получить рекомендации по источнику NAT.
  • Время ожидания для потоков простоя автоматически устанавливается на 4 минуты.
  • Отдельные ресурсы IP-адресов, созданные префиксом IP-адреса, можно назначить NVA в качестве ip-адресов, входящих в Интернет. Назначьте каждый IP-адрес из префикса по отдельности.

Управление конфигурациями DNAT/Internet Inbound

В следующем разделе описывается управление конфигурациями NVA, связанными с входящий интернет и DNAT.

  1. Перейдите к центру Виртуальная глобальная сеть. Выберите сетевые виртуальные устройства в разделе "Сторонние поставщики". Щелкните " Управление конфигурациями " рядом с NVA.

  2. В разделе "Параметры" выберите "Входящий интернет", чтобы открыть страницу "Входящий интернет".

Связывание IP-адреса с NVA для входящего интернета

  1. Если NVA имеет право на входящий трафик в Интернет и нет текущих IP-адресов входящего интернета, связанных с NVA, выберите "Включить входящий интернет" (NAT назначения), связав общедоступный IP-адрес с этим сетевым виртуальным устройством. Если IP-адреса уже связаны с этим NVA, нажмите кнопку "Добавить".

  2. Выберите группу ресурсов и ресурс IP-адреса, который вы хотите использовать для входящего интернета в раскрывающемся списке.

  3. Щелкните Сохранить.

Просмотр активных правил безопасности для входящего трафика с помощью общедоступного IP-адреса для входящего интернета

  1. Найдите общедоступный IP-адрес, который вы хотите просмотреть, и нажмите кнопку "Просмотреть правила".
  2. Просмотрите правила, связанные с общедоступным IP-адресом.

Удаление общедоступного IP-адреса через Интернет из существующего NVA

Примечание.

IP-адреса можно удалить только в том случае, если нет правил, связанных с этим IP-адресом, равно 0. Удалите все правила, связанные с IP-адресом, удалив правила DNAT, назначенные данному IP-адресу из программного обеспечения управления NVA.

Выберите IP-адрес, который нужно удалить из сетки, и нажмите кнопку "Удалить". Снимок экрана: удаление IP-адреса из NVA.

Правила DNAT программирования

В следующем разделе содержатся инструкции по настройке правил DNAT с помощью NVA в Виртуальная глобальная сеть

Партнер Instructions
checkpoint Документация по Check Point
fortinet-sdwan-and-ngfw; Документация по SD-WAN и NGFW fortinet
fortinet-ngfw. Документация по Fortinet NGFW

Устранение неполадок

В следующем разделе описаны некоторые распространенные сценарии устранения неполадок.

Связь с общедоступными IP-адресами и разъединение

  • Параметр связывания IP-адресов с ресурсом NVA, недоступным через портал Azure: только сетевые сети, созданные с использованием ip-адресов DNAT/Internet Inbound IP во время развертывания, могут использовать возможности DNAT. Удалите и повторно создайте NVA с IP-адресом входящего интернет-трафика, назначенным во время развертывания.
  • IP-адрес, не отображаемый в раскрывающемся списке портал Azure: общедоступные IP-адреса отображаются только в раскрывающемся меню, если IP-адрес — IPv4, в том же регионе, что и NVA и не используется или не назначен другому ресурсу Azure. Убедитесь, что IP-адрес, который вы пытаетесь использовать, соответствует указанным выше требованиям, или создайте новый IP-адрес.
  • Не удается удалить или отключить общедоступный IP-адрес из NVA: можно удалить только IP-адреса, не связанные с ними правила. Используйте программное обеспечение оркестрации NVA, чтобы удалить все правила DNAT, связанные с этим IP-адресом.
  • Состояние подготовки NVA не выполнено: если существуют текущие операции с NVA или если состояние подготовки NVA не выполнено, связь IP-адресов завершается ошибкой. Дождитесь завершения всех существующих операций.

Пробы работоспособности Load Balancer

NVA с возможностями подключения к Интернету или DNAT зависит от NVA, отвечающего на три разных пробы работоспособности Azure Load Balancer, чтобы обеспечить работу NVA как ожидалось и маршрутизации трафика. Запросы проб работоспособности всегда выполняются из неопубликованной routable Azure IP-адрес 168.63.129.16. Вы увидите трехстороннее подтверждение TCP, выполненное с 168.63.129.16 в журналах NVA.

Дополнительные сведения о пробах работоспособности Azure Load Balancer см . в документации по пробе работоспособности.

Требуется проверка работоспособности Виртуальная глобальная сеть:

  • Проба работоспособности подключения к Интернету или DNAT: используется для пересылки входящего трафика Через Интернет в NVA ненадежные или внешние интерфейсы. Эта проба работоспособности проверяет работоспособность ненадежного или внешнего интерфейса только NVA.

    Поставщик NVA Порт
    fortinet 8008
    checkpoint 8117

  • Проба работоспособности datapath: используется для пересылки частного (виртуальной сети или локального) трафика в доверенные или внутренние интерфейсы NVA. Требуется для политик частной маршрутизации. Эта проба работоспособности проверяет работоспособность доверенного или внутреннего интерфейса только NVA.

    Поставщик NVA Порт
    fortinet 8008
    checkpoint 8117

  • Проба работоспособности NVA: используется для определения работоспособности масштабируемого набора виртуальных машин под управлением программного обеспечения NVA. Эта проба работоспособности проверяет работоспособность всех интерфейсов NVA (как ненадежных, так и внешних и внутренних).

    Поставщик NVA Порт
    fortinet 8008
    checkpoint 8117

Убедитесь, что NVA настроен для правильного реагирования на 3 пробы работоспособности. Общие проблемы:

  • Ответ пробы работоспособности установлен на неправильный порт.
  • Ответ пробы работоспособности неправильно задан только во внутреннем или доверенном интерфейсе.
  • Правила брандмауэра, предотвращающие ответ пробы работоспособности.

Создание правила DNAT

  • Создание правила DNAT завершается ошибкой: убедитесь, что состояние подготовки NVA выполнено успешно, и все экземпляры NVA являются работоспособными. Обратитесь к документации по поставщику NVA, чтобы узнать о том, как устранить неполадки, или обратитесь к поставщику за дополнительной поддержкой.

    Кроме того, убедитесь, что NVA отвечает на пробы работоспособности NVA во всех интерфейсах. Дополнительные сведения см. в разделе проб работоспособности .

Datapath

  • NVA не отображает пакеты после того, как пользователь инициирует подключение к общедоступному IP-адресу: убедитесь, что NVA отвечает на пробы работоспособности DNAT только во внешнем или недоверенном интерфейсе. Дополнительные сведения см. в разделе проб работоспособности .

  • Конечный сервер не видит пакеты после преобразования NVA: рассмотрите следующие механизмы устранения неполадок, если пакеты не пересылаются на конечный конечный сервер.

    • Проблема с маршрутизацией Azure: используйте портал Azure Виртуальная глобальная сеть, чтобы проверить действующие маршруты по умолчаниюRouteTable или действующие маршруты виртуального устройства сети. Вы должны увидеть подсеть целевого приложения в эффективных маршрутах.
    • Проблема маршрутизации операционной системы NVA: проверьте внутреннюю таблицу маршрутизации операционной системы NVA. Вы должны увидеть маршруты, соответствующие целевым подсетям, полученным динамически из NVA. Убедитесь, что нет фильтров маршрутов/карт, которые удаляют соответствующие префиксы.
    • Назначения между концентраторами недоступны: маршрутизация между концентраторами для вариантов использования DNAT не поддерживается. Убедитесь, что ресурс, к которому вы пытаетесь получить доступ, подключен к тому же концентратору, что и NVA с настроенным правилом DNAT.
    • Запись пакетов в интерфейсах NVA: выполнение записи пакетов в ненадежных и доверенных интерфейсах NVA. В ненадежном интерфейсе вы увидите исходный пакет с исходным IP-адресом, который является общедоступным IP-адресом пользователя и IP-адресом назначения входящего интернет-трафика, который назначен NVA. В доверенном интерфейсе должны отображаться переведенные после NAT пакеты (применяются исходные NAT и целевые NAT). Сравните записи пакетов до и после применения правил брандмауэра, чтобы обеспечить правильную конфигурацию правила брандмауэра.
    • Исчерпание портов SNAT. Для каждого экземпляра NVA подключение к одному внутреннему приложению должно использовать уникальный порт для трафика NAT к частному IP-адресу экземпляра NVA. В результате каждый экземпляр NVA может обрабатывать примерно 65 000 одновременных подключений к одному месту назначения. Для крупномасштабных вариантов использования убедитесь, что NVA настроен для перенаправления нескольких IP-адресов приложений для упрощения повторного использования портов.

  • Возврат трафика, не возвращающегося в NVA:

    • Приложение, размещенное в Azure: используйте портал Azure для проверки эффективных маршрутов сервера приложений. Адресное пространство концентратора должно отображаться в эффективных маршрутах сервера приложений.
    • Приложение, размещенное в локальной среде: убедитесь, что на локальной стороне нет фильтров маршрутов, отфильтровывающих маршруты, соответствующие адресной области концентратора. Так как трафик источника NAT от NVA направляется к частному IP-адресу брандмауэра, локальная среда должна принять диапазон адресов концентратора.
    • Меж концентратор приложений: маршрутизация между концентраторами для вариантов использования DNAT не поддерживается. Убедитесь, что ресурс, к которому вы пытаетесь получить доступ, подключен к тому же концентратору, что и NVA с настроенным правилом DNAT.
    • Запись пакетов в интерфейсе NVA: выполнение записей пакетов в доверенном интерфейсе NVA. Вы увидите, что сервер приложений отправляет обратный трафик непосредственно в экземпляр NVA. Убедитесь, что вы сравниваете сборы пакетов до и после применения правил брандмауэра, чтобы обеспечить правильную конфигурацию правил брандмауэра.

Следующие шаги

Дополнительные сведения о Виртуальная глобальная сеть см. в разделе Виртуальная глобальная сеть вопросы и ответы