Share via

كيفية تكوين NAT لبوابة Azure VPN

  • مقالة

تساعدك هذه المقالة على تكوين NAT (ترجمة عنوان الشبكة) لبوابة Azure VPN باستخدام مدخل Microsoft Azure.

حول ترجمة عناوين الشبكة (NAT)

تحدد NAT آليات ترجمة عنوان IP إلى عنوان آخر في حزمة IP. يستخدم عادة لتوصيل الشبكات بنطاقات عناوين IP المتداخلة. تحدد قواعد أو نهج NAT على أجهزة البوابة التي تربط الشبكات تعيينات العناوين لترجمة العنوان على الشبكات.

لمزيد من المعلومات حول دعم NAT لبوابة Azure VPN، راجع حول NAT وAzure VPN Gateway.

هام

  • يتم دعم NAT على وحدات SKU التالية: VpnGw2 ~ 5، وVpnGw2AZ ~ 5AZ.

الشروع في العمل

يساعدك كل جزء من هذه المقالة على تكوين لبنة أساسية لتكوين NAT في اتصال الشبكة. إذا أكملت جميع الأجزاء الثلاثة، فإنك تبني الهيكل كما هو موضح في الرسم التخطيطي 1.

الرسم التخطيطي 1

Diagram showing NAT configuration and rules.

المتطلبات الأساسية

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

الجزء 1: إنشاء شبكة ظاهرية وبوابات

في هذا القسم، يمكنك إنشاء شبكة ظاهرية وبوابة VPN وموارد بوابة الشبكة المحلية لتتوافق مع الموارد الموضحة في الرسم التخطيطي 1. لإنشاء هذه الموارد، يمكنك استخدام الخطوات الواردة في مقالة البرنامج التعليمي من موقع إلى موقع. أكمل الأقسام التالية من المقالة، ولكن لا تنشئ أي اتصالات.

هام

لا تقم بإنشاء أي اتصالات. إذا حاولت إنشاء موارد اتصال، تفشل العملية لأن مسافات عناوين IP هي نفسها بين VNet و Branch1 و Branch2. ستقوم بإنشاء موارد الاتصال لاحقا في هذه المقالة.

تعرض لقطات الشاشة التالية أمثلة على الموارد المطلوب إنشاؤها.

  • الشبكة الظاهرية

    Screenshot showing VNet address space.

  • بوابة VPN

    Screenshot showing the gateway.

  • بوابة الشبكة المحلية Branch1

    Screenshot showing Branch1 local network gateway.

  • بوابة الشبكة المحلية Branch2

    Screenshot showing Branch2 local network gateway.

الجزء 2: إنشاء قواعد NAT

قبل إنشاء اتصالات، يجب عليك إنشاء قواعد NAT وحفظها على بوابة VPN. يوضح الجدول التالي قواعد NAT المطلوبة. ارجع إلى الرسم التخطيطي 1 للاطلاع على تخطيط الشبكة.

جدول قواعد NAT

الاسم النوع وضع ‏‏داخلي مستند Connection
الشبكة الظاهرية ثابت EgressSNAT 10.0.1.0/24 100.0.1.0/24 كلا الاتصالين
Branch1 ثابت IngressSNAT 10.0.1.0/24 100.0.2.0/24 اتصال Branch1
Branch2 ثابت IngressSNAT 10.0.1.0/24 100.0.3.0/24 اتصال Branch2

اتبع الخطوات التالية لإنشاء كافة قواعد NAT على بوابة VPN. إذا كنت تستخدم BGP، فحدد تمكين لإعداد تمكين ترجمة مسار Bgp.

  1. في مدخل Microsoft Azure، انتقل إلى صفحة مورد بوابة الشبكة الظاهرية وحدد قواعد NAT من الجزء الأيمن.

  2. باستخدام جدول قواعد NAT، املأ القيم. إذا كنت تستخدم BGP، فحدد تمكين لإعداد تمكين ترجمة مسار Bgp.

    Screenshot showing NAT rules.

  3. انقر فوق حفظ لحفظ قواعد NAT في مورد بوابة VPN. قد تستغرق هذه العملية ما يصل إلى 10 دقائق لإكمالها.

في هذا القسم، يمكنك إنشاء الاتصالات وربط قواعد NAT في نفس الخطوة. لاحظ أنه إذا قمت بإنشاء كائنات الاتصال أولا، دون ربط قواعد NAT في نفس الوقت، تفشل العملية لأن مساحات عناوين IP هي نفسها بين VNet و Branch1 و Branch2.

يتم تحديد الاتصالات وقواعد NAT في مخطط العينة الموضح في الرسم التخطيطي 1.

  1. انتقل إلى بوابة VPN.

  2. في صفحة الاتصال ions، حدد +Add لفتح صفحة Add connection.

  3. في صفحة إضافة اتصال ، املأ قيم اتصال VNet-Branch1، مع تحديد قواعد NAT المقترنة، كما هو موضح في لقطة الشاشة التالية. بالنسبة ل Ingress NAT rules، حدد Branch1. بالنسبة لقواعد Egress NAT، حدد VNet. إذا كنت تستخدم BGP، يمكنك تحديد تمكين BGP.

    Screenshot showing the VNet-Branch1 connection.

  4. انقر فوق موافق لإنشاء الاتصال.

  5. كرر الخطوات لإنشاء اتصال VNet-Branch2. بالنسبة ل Ingress NAT rules، حدد Branch2. بالنسبة لقواعد Egress NAT، حدد VNet.

  6. بعد تكوين كلا الاتصالين، يجب أن يبدو التكوين مشابها للقطة الشاشة التالية. تتغير الحالة إلى الاتصال عند تأسيس الاتصال.

    Screenshot showing all connections.

  7. عند الانتهاء من التكوين، تبدو قواعد NAT مشابهة للقطة الشاشة التالية، وسيتوفر لديك مخطط يطابق المخطط الموضح في الرسم التخطيطي 1. لاحظ أن الجدول يعرض الآن الاتصالات المرتبطة بكل قاعدة NAT.

    إذا كنت تريد تمكين ترجمة مسار BGP للاتصالات الخاصة بك، فحدد تمكين ثم انقر فوق حفظ.

    Screenshot showing the NAT rules.

قيود NAT

هام

هناك بضعة قيود على ميزة NAT.

  • يتم دعم NAT على وحدات SKU التالية: VpnGw2 ~ 5، وVpnGw2AZ ~ 5AZ.
  • يتم دعم NAT للاتصالات عبر المباني من خلال بروتوكول أمان برتوكول الإنترنت/مفتاح إنترنت التبادلي فقط. لا يتم دعم الاتصالات من شبكة ظاهرية إلى شبكة ظاهرية، أو الاتصالات من نقطة إلى موقع.
  • لا يتم دعم قواعد NAT على الاتصالات التي تم عليها تمكين استخدام محددات نسبة استخدام الشبكة المستندة إلى النهج.
  • الحد الأقصى لحجم الشبكة الفرعية لتعيين خارجي مدعوم لـ Dynamic NAT هو /26.
  • يمكن تكوين تعيينات المنفذ باستخدام أنواع NAT الثابتة فقط. لا تنطبق سيناريوهات NAT الديناميكية على تعيينات المنفذ.
  • لا يمكن أن تأخذ تعيينات المنفذ نطاقات في الوقت الحالي. يجب إدخال المنفذ الفردي.
  • يمكن استخدام تعيينات المنفذ لكل من بروتوكولات TCP وUDP.

الخطوات التالية

بمجرد اكتمال الاتصال، يمكنك إضافة الأجهزة الظاهرية إلى الشبكات الظاهرية. راجع إنشاء جهاز ظاهري لمعرفة الخطوات.