تكوين قواعد NAT لبوابة WAN VPN الظاهرية الخاصة بك
يمكنك تكوين بوابة WAN VPN الظاهرية الخاصة بك باستخدام قواعد NAT واحدة لواحد. توفر قاعدة NAT آلية لإعداد ترجمة فردية لعناوين IP. يمكن استخدام NAT لربط شبكتي IP لهما عناوين IP غير متوافقة أو متداخلة. السيناريو المعتاد هو الفروع ذات عناوين IP المتداخلة التي تريد الوصول إلى موارد Azure VNet.
يستخدم هذا التكوين جدول تدفق لتوجيه نسبة استخدام الشبكة من عنوان IP خارجي (مضيف) إلى عنوان IP داخلي مرتبط بنقطة نهاية داخل شبكة ظاهرية (جهاز ظاهري، كمبيوتر، حاوية، وما إلى ذلك).
لاستخدام NAT، تحتاج أجهزة VPN إلى استخدام محددات نسبة استخدام الشبكة من أي إلى أي (حرف بدل). محددات نسبة استخدام الشبكة (الضيقة) المستندة إلى النهج غير مدعومة بالاقتران مع تكوين NAT.
تكوين قواعد NAT
يمكنك تكوين وعرض قواعد NAT على إعدادات بوابة VPN في أي وقت.
نوع NAT: ثابت وديناميكي
تقوم NAT الموجودة على جهاز بوابة بترجمة عناوين IP المصدر و/ أو الوجهة، بناءً على نُهُج أو قواعد NAT لتجنب تعارض العناوين. هناك أنواع مختلفة من قواعد ترجمة NAT:
NAT الثابتة: تحدد القواعد الثابتة علاقة تعيين عناوين ثابتة. بالنسبة لأي عنوان IP معين، سيتم تعيينه إلى نفس العنوان من التجمع الهدف. تكون التعيينات الخاصة بالقواعد الثابتة بدون حالة لأن التعيين ثابت. على سبيل المثال، قاعدة NAT التي تم إنشاؤها لتعيين 10.0.0.0/24 إلى 192.168.0.0/24 سيكون لها تعيين ثابت من 1 إلى 1. ترجمة 10.0.0.0 إلى 192.168.0.0، 10.0.0.1 مترجمة إلى 192.168.0.1، وهكذا.
NAT الديناميكية: بالنسبة إلى NAT الديناميكية، فيمكن ترجمة عنوان IP إلى عناوين IP مستهدفة مختلفة ومنفذ TCP/UDP بناءً على التوافر، أو باستخدام مزيج مختلف من عنوان IP ومنفذ TCP/UDP. وهذا الأخير يسمى أيضاً NAPT وعنوان الشبكة وترجمة المنفذ. ستؤدي القواعد الديناميكية إلى تعيينات ترجمة محددة الحالة اعتماداً على تدفقات حركة المرور في أي وقت. نظرا لطبيعة ترجمة عناوين الشبكة الديناميكية ومجموعات IP/المنفذ المتغيرة باستمرار، يجب بدء التدفقات التي تستخدم قواعد Nat الديناميكية من نطاق IP التعيين الداخلي (ما قبل NAT). يتم إصدار التعيين الديناميكي بمجرد قطع اتصال التدفق أو إنهائه بأمان.
هناك اعتبار آخر ويتمثل في حجم قائمة العناوين للترجمة. إذا كان حجم قائمة العناوين المستهدفة هو نفس حجم قائمة العناوين الأصلية، فاستخدم قاعدة NAT الثابتة لتحديد تعيين بنسبة 1:1 بترتيب تسلسلي. إذا كانت قائمة العناوين المستهدفة أصغر من قائمة العناوين الأصلية، فاستخدم قاعدة NAT الديناميكية لاستيعاب الاختلافات.
إشعار
NAT من موقع إلى موقع غير مدعوم مع اتصالات VPN من موقع إلى موقع حيث يتم استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.
انتقل إلى خدمة المركز الظاهري الخاص بك.
حدد VPN (موقع إلى موقع).
حدد قواعد NAT (تحرير).
في صفحة تحرير قاعدة NAT، يمكنك إضافة/ تحرير/ حذف قاعدة NAT باستخدام القيم التالية:
- Name: اسم فريد لقاعدة NAT الخاصة بك.
- النوع: ثابت أو ديناميكي. NAT الثابتة من واحد إلى واحد تنشئ علاقة واحد لواحد بين عنوان داخلي وعنوان خارجي بينما تقوم ترجمة عناوين الشبكة الديناميكية بتعيين عنوان IP ومنفذ استنادا إلى التوفر.
- معرف تكوين IP: يجب تكوين قاعدة NAT إلى مثيل بوابة VPN محدد. هذا ينطبق على Dynamic NAT فقط. يتم تطبيق قواعد NAT الثابتة تلقائيًا على كل من مثيلات بوابة VPN.
- الوضع: IngressSnat أو EgressSnat.
- ينطبق وضع IngressSnat (المعروف أيضاً باسم Ingress Source NAT) على نسبة استخدام الشبكة التي تدخل بوابة VPN من موقع إلى موقع لمركز Azure.
- ينطبق وضع EgressSnat (المعروف أيضاً باسم Egress Source NAT) على نسبة استخدام الشبكة التي تغادر بوابة VPN من موقع إلى موقع لمركز Azure.
- التعيين الداخلي: نطاق بادئة العنوان لعناوين IP المصدر على الشبكة الداخلية التي سيتم تعيينها إلى مجموعة من عناوين IP الخارجية. بمعنى آخر، نطاق بادئة عنوان pre-NAT الخاص بك.
- التعيين الخارجي: نطاق بادئة العنوان لعناوين IP الوجهة على الشبكة الخارجية التي سيتم تعيين عناوين IP المصدر إليها. بمعنى آخر، نطاق بادئة عنوان post-NAT الخاص بك.
- اتصال الارتباط: مورد الاتصال الذي يربط فعلياً موقع VPN ببوابة VPN من موقع إلى موقع لمركز Azure Virtual WAN.
إشعار
إذا كنت تريد أن تعلن بوابة VPN من موقع إلى موقع عن بادئات عناوين مترجمة (تعيين خارجي) عبر BGP، فانقر فوق الزر تمكين ترجمة BGP، والذي سيتعلم بسببه محليًا تلقائيًا نطاق ما بعد NAT من قواعد الخروج وAzure (مركز شبكة الاتصال واسعة النطاق الظاهرية والشبكات الظاهرية المتصلة وفروع VPN وExpressRoute) تلقائيا نطاق ما بعد NAT لقواعد الدخول. سيتم عرض نطاقات POST NAT الجديدة على جدول المسارات الفعالة في مركز ظاهري. يتم تطبيق إعداد تمكين ترجمة Bgp على جميع قواعد NAT على بوابة VPN من موقع إلى موقع لمركز Virtual WAN.
أمثلة على التكوينات
Ingress SNAT (موقع VPN الذي يدعم BGP)
قواعد الدخول SNAT يتم تطبيقها على الحزم التي تدخل Azure من خلال بوابة VPN من موقع إلى موقع Virtual WAN. في هذا السيناريو، تريد توصيل فرعين من شبكة ظاهرية خاصة من موقع إلى موقع بـ Azure. موقع VPN 1 يتصل عبر Link A، وموقع VPN 2 يتصل عبر Link B. يحتوي كل موقع على نفس مساحة العنوان 10.30.0.0/24.
في هذا المثال، سنقوم ب NAT site1 إلى 172.30.0.0.0/24. ستتعلم الشبكات الظاهرية Virtual WAN والفروع الأخرى تلقائيًا مساحة عنوان ما بعد NAT هذه.
يوضح الرسم التخطيطي التالي النتيجة المتوقعة:
حدد قاعدة NAT.
حدد قاعدة NAT لضمان إمكانية تمييز بوابة VPN من موقع إلى موقع بين الفرعين مع مسافات عناوين متداخلة (مثل 10.30.0.0/24). في هذا المثال، نركز على الارتباط A لموقع VPN 1.
يمكن إعداد قاعدة NAT التالية وإقرانها بالارتباط A. نظرا لأن هذه قاعدة NAT ثابتة، تحتوي مساحات العناوين الخاصة ب "التعيين الداخلي" و "التعيين الخارجي" على نفس عدد عناوين IP.
- Name: ingressRule01
- النوع: ثابت
- Mode: IngressSnat
- التعيين الداخلي: 10.30.0.0/24
- التعيين الخارجي: 172.30.0.0/24
- اتصال الرابط: الرابط A
قم بتبديل ترجمة مسار BGP إلى "تمكين".
تأكد من أن بوابة VPN من موقع إلى موقع يمكن أن تتناظر مع نظير BGP المحلي.
في هذا المثال، ستحتاج قاعدة Ingress NAT إلى ترجمة 10.30.0.132 إلى 172.30.0.132. للقيام بذلك، انقر فوق "تحرير موقع VPN" لتكوين موقع VPN ربط عنوان BGP ليعكس عنوان نظير BGP المترجم هذا (172.30.0.132).
اعتبارات إذا كان موقع VPN يتصل عبر BGP
يجب أن يكون حجم الشبكة الفرعية لكل من التعيين الداخلي والخارجي هو نفسه بالنسبة لتعيين NAT الثابت من واحد إلى واحد.
إذا تم تمكين ترجمة BGP، فإن بوابة VPN من موقع إلى موقع ستعلن تلقائيا عن التعيين الخارجيلقواعد Egress NAT إلى أماكن العمل بالإضافة إلى التعيين الخارجيلقواعد Ingress NAT إلى Azure (مركز WAN الظاهري، الشبكات الظاهرية المتصلة، VPN/ExpressRoute المتصل). إذا تم تعطيل ترجمة BGP، فلن يتم الإعلان عن المسارات المترجمة تلقائيا إلى الموقع. على هذا النحو، يجب تكوين مكبر صوت BGP المحلي للإعلان عن نطاق ما بعد NAT (التعيين الخارجي) لقواعد Ingress NAT المقترنة باتصال ارتباط موقع VPN هذا. وبالمثل، يجب تطبيق مسار لنطاق ما بعد NAT (التعيين الخارجي) لقواعد Egress NAT على الجهاز المحلي.
بوابة VPN من موقع إلى موقع تترجم تلقائيًا عنوان IP لنظير BGP المحلي إذا كان عنوان IP لنظير BGP المحلي مضمنا في التعيين الداخليلقاعدة NAT للدخول. ونتيجة لذلك، عنوان BGP لاتصال ارتباط موقع VPN يجب أن يعكس العنوان المترجم من NAT (جزء من التعيين الخارجي).
على سبيل المثال، إذا كان عنوان IP BGP المحلي هو 10.30.0.133 وكانت هناك قاعدة NAT للدخول التي تترجم 10.30.0.0/24 إلى 172.30.0.0/24، يجب تكوين Link الاتصال ion BGP Address لموقع VPN ليكون العنوان المترجم (172.30.0.133).
في Dynamic NAT، لا يمكن أن يكون IP نظير BGP المحلي جزءًا من نطاق عناوين ما قبل NAT (التعيين الداخلي) حيث لا يتم إصلاح ترجمات IP والمنفذ. إذا كانت هناك حاجة لترجمة IP نظير BGP المحلي، يرجى إنشاء قاعدة NAT ثابتة منفصلة تترجم عنوان IP الخاص بتناظر BGP فقط.
على سبيل المثال، إذا كانت الشبكة المحلية تحتوي على مساحة عنوان 10.0.0.0/24 مع IP نظير BGP محلي من 10.0.0.1 وكانت هناك قاعدة NAT ديناميكية للدخول لترجمة 10.0.0.0/24 إلى 192.198.0.0/32، مطلوب قاعدة NAT ثابتة للدخول منفصلة تترجم 10.0.0.1/32 إلى 192.168.0.02/32 ويجب تحديث عنوان BGP لاتصال ارتباط موقع VPN المقابل إلى العنوان المترجم NAT (جزء من التعيين الخارجي).
دخول SNAT (موقع VPN مع مسارات تم تكوينها بشكل ثابت)
قواعد الدخول SNAT يتم تطبيقها على الحزم التي تدخل Azure من خلال بوابة VPN من موقع إلى موقع Virtual WAN. في هذا السيناريو، تريد توصيل فرعين من شبكة ظاهرية خاصة من موقع إلى موقع بـ Azure. موقع VPN 1 يتصل عبر Link A، وموقع VPN 2 يتصل عبر Link B. يحتوي كل موقع على نفس مساحة العنوان 10.30.0.0/24.
في هذا المثال، سنقوم بموقع NAT VPN من 1 إلى 172.30.0.0.0/24. ومع ذلك، نظرًا لأن موقع VPN غير متصل ببوابة VPN من موقع إلى موقع عبر BGP، فإن خطوات التكوين مختلفة قليلا عن المثال الذي يدعم BGP.
حدد قاعدة NAT.
حدد قاعدة NAT للتأكد من أن بوابة VPN من موقع إلى موقع يمكنها التمييز بين الفرعين بنفس مساحة العنوان 10.30.0.0/24. في هذا المثال، نركز على الارتباط A لموقع VPN 1.
يمكن إعداد قاعدة NAT التالية وإقرانها ب Link A من أحد مواقع VPN 1. نظرًا لأن هذه قاعدة NAT ثابتة، فإن مساحات العناوين في التعيين الداخلي والتعيين الخارجي تحتوي على نفس عدد عناوين IP.
- Name: IngressRule01
- النوع: ثابت
- Mode: IngressSnat
- التعيين الداخلي: 10.30.0.0/24
- التعيين الخارجي: 172.30.0.0/24
- اتصال الرابط: الرابط A
قم بتحرير حقل "مساحة العنوان الخاص" لموقع VPN 1 للتأكد من أن بوابة VPN من موقع إلى موقع تتعلم نطاق ما بعد NAT (172.30.0.0/24).
انتقل إلى مورد المركز الظاهري الذي يحتوي على بوابة VPN من موقع إلى موقع. في صفحة المركز الظاهري، ضمن Connectivity، حدد VPN (من موقع إلى موقع).
حدد موقع VPN المتصل بمركز شبكة Virtual WAN عبر الارتباط A. حدد تحرير الموقع والإدخال 172.30.0.0/24 كمساحة عنوان خاصة لموقع VPN.
اعتبارات إذا تم تكوين مواقع VPN بشكل ثابت (غير متصلة عبر BGP)
- يجب أن يكون حجم الشبكة الفرعية لكل من التعيين الداخلي والخارجي هو نفسه بالنسبة لتعيين NAT الثابت من واحد إلى واحد.
- حرر موقع VPN في مدخل Microsoft Azure لإضافة البادئات في التعيين الخارجي لـ قواعد NAT للدخول في حقل "مساحة العنوان الخاص".
- بالنسبة للتكوينات التي تتضمن قواعد Egress NAT، يجب تطبيق نهج التوجيه أو المسار الثابت مع التعيين الخارجي لـ قاعدة Egress NAT على الجهاز المحلي.
تدفق الحزمة
في الأمثلة السابقة، يريد جهاز محلي الوصول إلى مورد في شبكة ظاهرية محورية. تدفق الحزمة كما يلي، مع ترجمات NAT بخط غامق.
يتم بدء حركة المرور من أماكن العمل.
- عنوان IP الخاص بالمصدر: 10.30.0.4
- عنوان IP الخاص بالوجهة: 10.200.0.4
حركة المرور تدخل بوابة من موقع إلى موقع ويتم ترجمتها باستخدام قاعدة NAT ثم يتم إرسالها إلى Spoke.
- عنوان IP الخاص بالمصدر: 172.30.0.4
- عنوان IP الخاص بالوجهة: 10.200.0.4
يتم بدء الرد من Spoke.
- عنوان IP الخاص بالمصدر: 10.200.0.4
- عنوان IP الخاص بالوجهة: 172.30.0.4
تدخل نسبة استخدام الشبكة بوابة VPN من موقع إلى موقع، ويتم عكس الترجمة وإرسالها إلى أماكن العمل.
- عنوان IP الخاص بالمصدر: 10.200.0.4
- عنوان IP الخاص بالوجهة: 10.30.0.4
عمليات التحقق من الصحة
هذا القسم يعرض عمليات التحقق للتحقق من إعداد التكوين بشكل صحيح.
التحقق من صحة قواعد NAT الديناميكية
استخدم قواعد NAT الديناميكية إذا كان تجمع العناوين الهدف أصغر من تجمع العناوين الأصلي.
نظرًا لأن مجموعات IP/Port غير ثابتة في قاعدة NAT الديناميكية، لا يمكن أن يكون IP نظير BGP المحلي جزءا من نطاق عناوين ما قبل NAT (التعيين الداخلي). أنشئ قاعدة NAT ثابتة معينة تترجم عنوان IP نظير BGP فقط.
على سبيل المثال:
- نطاق بادئات العناوين المحلية: 10.0.0.0/24
- IP BGP المحلي: 10.0.0.1
- قاعدة Ingress Dynamic NAT: 192.168.0.1/32
- قاعدة Ingress Static NAT: 10.0.0.1 -> 192.168.0.2
التحقق من صحة DefaultRouteTable والقواعد والمسارات
ترتبط الفروع في Virtual WAN بـ DefaultRouteTable، مما يعني أن جميع اتصالات الفرع تتعلم المسارات التي يتم ملؤها داخل DefaultRouteTable. سترى قاعدة NAT مع البادئة المترجمة في المسارات الفعالة لـ DefaultRouteTable.
من المثال السابق:
- البادئة: 172.30.0.0/24
- نوع الوثب التالي: VPN_S2S_Gateway
- الوثبة التالية: مورد VPN_S2S_Gateway
التحقق من صحة بادئات العنوان
ينطبق هذا المثال على الموارد في الشبكات الظاهرية المقترنة ب DefaultRouteTable.
يجب أن تحتوي المسارات الفعالة على بطاقات واجهة الشبكة (NIC) لأي جهاز ظاهري موجود في شبكة ظاهرية محورية متصلة بمركز WAN الظاهري أيضا على بادئات العنوان الخاصة ب التعيين الخارجي المحدد في قاعدة Ingress NAT.
الجهاز المحلي يجب أن يحتوي أيضًا على مسارات للبادئات المضمنة في التعيين الخارجي لـ قواعد Egress NAT.
أنماط التكوين الشائعة
إشعار
NAT من موقع إلى موقع غير مدعوم مع اتصالات VPN من موقع إلى موقع حيث يتم استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.
الجدول التالي يعرض أنماط التكوين الشائعة التي تنشأ عند تكوين أنواع مختلفة من قواعد NAT على بوابة VPN من موقع إلى موقع.
| نوع موقع VPN | قواعد الدخول NAT | قواعد Egress NAT |
|---|---|---|
| موقع VPN مع مسارات تم تكوينها بشكل ثابت | حرر "مساحة العنوان الخاص" في موقع VPN لاحتواء التعيين الخارجي لقاعدة NAT. | قم بتطبيق المسارات على التعيين الخارجي لقاعدة NAT على الجهاز المحلي. |
| موقع VPN (ترجمة BGP ممكنة) | ضع عنوان التعيين الخارجي لنظير BGP في عنوان BGP لاتصال ارتباط موقع VPN. | لا توجد اعتبارات خاصة. |
| موقع VPN (ترجمة BGP معطلة) | تأكد من أن متحدث BGP المحلي يعلن عن البادئات في التعيين الخارجي لقاعدة NAT. ضع أيضًا عنوان External Mapping لنظير BGP في عنوان BGP لاتصال ارتباط موقع VPN. | قم بتطبيق المسارات على التعيين الخارجي لقاعدة NAT على الجهاز المحلي. |
الخطوات التالية
لمزيد من المعلومات حول التكوينات من موقع إلى موقع، راجع تكوين اتصال ظاهري من موقع إلى موقع لشبكة WAN.