Bagikan melalui

Tentang NAT di Azure VPN Gateway

  • Artikel

Artikel ini memberikan gambaran umum tentang dukungan NAT (Terjemahan Alamat Jaringan) di Azure VPN Gateway. NAT menentukan mekanisme untuk menerjemahkan satu alamat IP ke alamat IP lain dalam sebuah paket IP. Ada beberapa skenario untuk NAT:

  • Menyambungkan beberapa jaringan dengan alamat IP yang tumpang tindih
  • Menyambungkan dari jaringan dengan alamat IP privat (RFC1918) ke Internet (internet terobosan)
  • Menyambungkan jaringan IPv6 ke jaringan IPv4 (NAT64)

Penting

NAT Azure VPN Gateway mendukung skenario pertama untuk menyambungkan kantor cabang atau jaringan lokal ke jaringan virtual Azure dengan alamat IP yang tumpang tindih. Internet terobosan dan NAT64 TIDAK didukung.

Spasi alamat tumpang tindih

Organisasi biasanya menggunakan alamat IP privat yang ditentukan dalam RFC1918 untuk komunikasi internal di jaringan privat mereka. Bila jaringan ini tersambung menggunakan VPN melalui Internet atau melalui WAN privat, ruang alamat tidak boleh tumpang tindih atau komunikasi akan gagal. Untuk menyambungkan dua atau lebih jaringan dengan alamat IP yang tumpang tindih, NAT disebarkan pada perangkat gateway yang menyambungkan jaringan.

Jenis NAT: statis & dinamis

NAT pada perangkat gateway menerjemahkan alamat IP sumber dan/atau tujuan, berdasarkan kebijakan atau aturan NAT untuk menghindari konflik alamat. Ada berbagai jenis aturan terjemahan NAT:

  • NAT Statis: Aturan statis menentukan hubungan pemetaan alamat tetap. Untuk alamat IP yang diberikan, alamat tersebut akan dipetakan ke alamat yang sama dari kumpulan target. Pemetaan untuk aturan statis tidak memiliki status karena pemetaan sudah diperbaiki.

  • NAT Dinamis: Untuk NAT dinamis, alamat IP dapat diterjemahkan ke alamat IP target yang berbeda berdasarkan ketersediaan, atau dengan kombinasi alamat IP dan port TCP/UDP yang berbeda. Yang terakhir ini juga disebut NAPT, Alamat Jaringan dan Terjemahan Port. Aturan dinamis akan menghasilkan pemetaan terjemahan berstatus tergantung pada arus lalu lintas pada waktu tertentu.

Catatan

Ketika aturan NAT Dinamis digunakan, lalu lintas searah yang berarti komunikasi harus dimulai dari situs yang diwakili dalam bidang Pemetaan Internal aturan. Jika lalu lintas dimulai dari Pemetaan Eksternal, koneksi tidak akan ditetapkan. Jika Anda memerlukan inisiasi lalu lintas dua arah, maka gunakan aturan NAT statis untuk menentukan pemetaan 1: 1.

Pertimbangan lain adalah ukuran kumpulan alamat untuk terjemahan. Jika ukuran kumpulan alamat target sama dengan kumpulan alamat asli, gunakan aturan NAT statis untuk menentukan pemetaan 1:1 secara berurutan. Jika kumpulan alamat target lebih kecil dari kumpulan alamat asli, gunakan aturan NAT dinamis untuk mengakomodasi perbedaan.

Penting

  • NAT didukung pada SKU berikut: VpnGw2~5, VpnGw2AZ~5AZ.
  • NAT hanya didukung pada sambungan lintas lokasi IPsec. Koneksi VNet-ke-VNet atau koneksi P2S tidak didukung.
  • Setiap aturan NAT Dinamis dapat ditetapkan ke satu koneksi.

Mode NAT: ingress & egress

Setiap aturan NAT menentukan pemetaan alamat atau menerjemahkan hubungan untuk ruang alamat jaringan yang sesuai:

  • Ingress: Aturan IngressSNAT memetakan ruang alamat jaringan lokal ke ruang alamat yang diterjemahkan untuk menghindari tumpang tindih alamat.

  • Egress: Aturan EgressSNAT memetakan ruang alamat Azure VNet ke ruang alamat yang diterjemahkan lain.

Untuk setiap aturan NAT, dua bidang berikut menentukan ruang alamat sebelum dan sesudah terjemahan:

  • Pemetaan Internal: Ruang alamat sebelum terjemahan. Untuk aturan ingress, bidang ini sesuai dengan ruang alamat asli jaringan lokal. Untuk aturan egress, ini adalah ruang alamat VNet asli.

  • Pemetaan Eksternal: Ruang alamat setelah terjemahan untuk jaringan lokal (ingress) atau VNet (egress). Untuk jaringan berbeda yang tersambung ke gateway VPN Azure, ruang alamat untuk semua Pemetaan Eksternal tidak boleh tumpang tindih satu sama lain dan dengan jaringan yang tersambung tanpa NAT.

NAT dan perutean

Setelah aturan NAT ditentukan untuk sambungan, ruang alamat efektif untuk sambungan akan berubah sesuai aturan. Jika BGP diaktifkan di gateway VPN Azure, pilih "Aktifkan Terjemahan Rute BGP" untuk secara otomatis mengonversi rute yang dipelajari dan diiklankan pada sambungan dengan aturan NAT:

  • Rute yang dipelajari: Awalan tujuan dari rute yang dipelajari melalui sambungan dengan aturan IngressSNAT akan diterjemahkan dari awalan Pemetaan Internal (pra-NAT) ke awalan Pemetaan Eksternal (pasca-NAT) dari aturan tersebut.

  • Rute yang diiklankan: Gateway VPN Azure akan mengiklankan awalan Pemetaan Eksternal (pasca-NAT) dari aturan EgressSNAT untuk ruang alamat VNet, dan rute yang dipelajari dengan awalan alamat pasca-NAT dari sambungan lain.

  • Pertimbangan alamat IP peer BGP untuk jaringan lokal NAT:

    • Alamat APIPA (169.254.0.1 hingga 169.254.255.254): NAT tidak didukung dengan alamat BGP APIPA.
    • Alamat non-APIPA: Kecualikan alamat IP Peer BGP dari rentang NAT.

Catatan

Rute yang dipelajari pada sambungan tanpa aturan IngressSNAT tidak akan dikonversi. Rute VNet yang diiklankan ke sambungan tanpa aturan EgressSNAT juga tidak akan dikonversi.

Contoh NAT

Diagram berikut menampilkan contoh konfigurasi NAT Azure VPN:

Diagram showing NAT configuration and rules.

Diagram menampilkan Azure VNet dan dua jaringan lokal, semuanya dengan ruang alamat 10.0.1.0/24. Untuk menyambungkan dua jaringan ini ke Azure VNet dan gateway VPN, buat aturan berikut:

  • Aturan IngressSNAT 1: Aturan ini menerjemahkan ruang alamat lokal 10.0.1.0/24 menjadi 100.0.2.0/24.

  • Aturan IngressSNAT 2: Aturan ini menerjemahkan ruang alamat lokal 10.0.1.0/24 menjadi 100.0.3.0/24.

  • Aturan EgressSNAT 1: Aturan ini menerjemahkan ruang alamat VNet 10.0.1.0/24 menjadi 100.0.1.0/24.

Dalam diagram, setiap sumber daya sambungan memiliki aturan berikut:

  • Sambungan 1 (VNet-Branch1):

    • Aturan IngressSNAT 1
    • Aturan EgressSNAT 1

  • Sambungan 2 (VNet-Branch2)

    • Aturan IngressSNAT 2
    • Aturan EgressSNAT 1

Berdasarkan aturan yang terkait dengan sambungan, berikut adalah ruang alamat untuk setiap jaringan:

Jaringan Asli Diterjemahkan
VNet 10.0.1.0/24 100.0.1.0/24
Cabang 1 10.0.1.0/24 100.0.2.0/24
Cabang 2 10.0.1.0/24 100.0.3.0/24

Diagram berikut menunjukkan paket IP dari Cabang 1 ke VNet, sebelum dan sesudah terjemahan NAT:

Diagram showing before and after NAT translation.

Penting

Aturan SNAT tunggal mendefinisikan terjemahan untuk keduanya arah jaringan tertentu:

  • Aturan IngressSNAT menentukan terjemahan alamat IP sumber yang datang ke gateway VPN Azure dari jaringan lokal. Hal ini juga menangani terjemahan alamat IP tujuan yang berangkat dari VNet ke jaringan lokal yang sama.
  • Aturan EgressSNAT menentukan terjemahan alamat IP sumber yang meninggalkan gateway VPN Azure ke jaringan lokal. Hal ini juga menangani terjemahan alamat IP tujuan untuk paket yang masuk ke VNet melalui koneksi tersebut dengan aturan EgressSNAT.
  • Dalam kedua kasus tersebut, tidak ada aturan DNAT yang diperlukan.

Konfigurasi NAT

Untuk mengimplementasikan konfigurasi NAT yang ditampilkan di bagian sebelumnya, pertama-tama buat aturan NAT di gateway Azure VPN Anda, lalu buat koneksi dengan aturan NAT terkait yang terkait. Lihat Mengonfigurasi NAT di gateway VPN Azure untuk langkah-langkah mengonfigurasi NAT untuk sambungan lintas lokasi Anda.

Batasan dan pertimbangan NAT

Penting

Terdapat beberapa batasan untuk fitur NAT.

  • NAT didukung pada SKU berikut: VpnGw2~5, VpnGw2AZ~5AZ.
  • NAT hanya didukung untuk koneksi lintas lokasi IPsec/IKE. Koneksi VNet-ke-VNet atau koneksi P2S tidak didukung.
  • Aturan NAT tidak didukung pada sambungan yang mengaktifkan Gunakan Pemilih Lalu Lintas Berbasis Kebijakan.
  • Ukuran subnet pemetaan eksternal maksimum yang didukung untuk NAT Dinamis adalah /26.
  • Pemetaan port hanya dapat dikonfigurasi dengan jenis NAT Statis. Skenario NAT dinamis tidak berlaku untuk pemetaan port.
  • Pemetaan port tidak dapat mengambil rentang saat ini. Port individual perlu dimasukkan.
  • Pemetaan port dapat digunakan untuk protokol TCP dan UDP.

FAQ NAT

Apakah NAT didukung di semua SKU Azure VPN Gateway?

NAT didukung pada VpnGw2~5 dan VpnGw2AZ~5AZ.

Dapatkah saya menggunakan NAT pada koneksi VNet-ke-VNet atau P2S?

Tidak.

Berapa banyak aturan NAT yang dapat saya gunakan pada gateway VPN?

Anda dapat membuat hingga 100 aturan NAT (gabungan aturan Ingress dan Egress) di gateway VPN.

Dapatkah saya menggunakan / dalam nama aturan NAT?

Tidak. Anda akan menerima kesalahan.

Apakah NAT disebarkan ke semua koneksi di gateway VPN?

NAT disebarkan pada koneksi dengan aturan NAT. Jika koneksi tidak memiliki aturan NAT, NAT tidak akan berpengaruh pada koneksi tersebut. Pada gateway VPN yang sama, Anda dapat memiliki beberapa koneksi dengan NAT, dan koneksi lain tanpa NAT bekerja sama.

Jenis NAT apa yang didukung di gateway VPN Azure?

Hanya NAT 1:1 statik dan NAT Dinamis yang didukung. NAT64 TIDAK didukung.

Apakah NAT berfungsi pada gateway VPN aktif-aktif?

Ya. NAT bekerja pada gateway VPN aktif-aktif dan aktif-siaga. Setiap aturan NAT diterapkan ke satu instans gateway VPN. Di gateway aktif-aktif, buat aturan NAT terpisah untuk setiap instans gateway melalui bidang "ID konfigurasi IP".

Apakah NAT bekerja dengan koneksi BGP?

Ya, Anda dapat menggunakan BGP dengan NAT. Berikut adalah beberapa pertimbangan penting:

  • Pilih Aktifkan Terjemahan Rute BGP pada halaman konfigurasi Aturan NAT untuk memastikan rute yang dipelajari dan rute yang diiklankan diterjemahkan ke awalan alamat pasca-NAT (Pemetaan Eksternal) berdasarkan aturan NAT yang terkait dengan koneksi. Anda perlu memastikan router BGP lokal mengiklankan awalan yang tepat seperti yang ditentukan dalam aturan IngressSNAT.

  • Jika router VPN lokal menggunakan alamat non-APIPA reguler dan bertabrakan dengan ruang alamat jaringan virtual atau ruang jaringan lokal lainnya, pastikan aturan IngressSNAT akan menerjemahkan IP rekan BGP ke alamat unik yang tidak tumpang tindih dan menempatkan alamat pasca-NAT di bidang alamat IP serekan BGP dari gateway jaringan lokal.

  • NAT tidak didukung dengan alamat BGP APIPA.

Apakah saya perlu membuat aturan DNAT yang cocok untuk aturan SNAT?

Nomor. Aturan SNAT tunggal mendefinisikan terjemahan untuk keduanya arah jaringan tertentu:

  • Aturan IngressSNAT menentukan terjemahan alamat IP sumber yang datang ke gateway VPN Azure dari jaringan lokal. Ini juga menangani terjemahan alamat IP tujuan yang berangkat dari jaringan virtual ke jaringan lokal yang sama.

  • Aturan EgressSNAT menentukan terjemahan alamat IP sumber jaringan virtual yang meninggalkan gateway AZURE VPN ke jaringan lokal. Ini juga menangani terjemahan alamat IP tujuan untuk paket yang masuk ke jaringan virtual melalui koneksi tersebut dengan aturan EgressSNAT.

  • Dalam kedua kasus tersebut, tidak ada aturan DNAT yang diperlukan.

Apa yang harus saya lakukan jika VNet atau ruang alamat gateway jaringan lokal saya memiliki dua atau lebih awalan? Bisakah saya menerapkan NAT ke semuanya? Atau hanya sebagian saja?

Anda perlu membuat satu aturan NAT untuk setiap awalan yang Anda perlukan untuk NAT karena setiap aturan NAT hanya dapat menyertakan satu awalan alamat untuk NAT. Misalnya, jika ruang alamat gateway jaringan lokal terdiri dari 10.0.1.0/24 dan 10.0.2.0/25, Anda dapat membuat dua aturan seperti yang ditunjukkan di bawah ini:

  • Aturan IngressSNAT 1: Memetakan 10.0.1.0/24 hingga 100.0.1.0/24
  • Aturan IngressSNAT 2: Memetakan 10.0.2.0/25 hingga 100.0.2.0/25

Kedua aturan harus cocok dengan panjang prefiks dari awalan alamat yang sesuai. Hal yang sama berlaku untuk aturan EgressSNAT untuk ruang alamat jaringan virtual.

Penting

Jika Anda hanya menautkan satu aturan ke koneksi di atas, ruang alamat lainnya TIDAK akan diterjemahkan.

Rentang IP apa yang dapat saya gunakan untuk Pemetaan Eksternal?

Anda dapat menggunakan rentang IP yang sesuai yang Anda inginkan untuk Pemetaan Eksternal, termasuk IP publik dan privat.

Dapatkah saya menggunakan aturan EgressSNAT yang berbeda untuk menerjemahkan ruang alamat VNet saya ke awalan yang berbeda ke jaringan lokal yang berbeda?

Ya, Anda dapat membuat beberapa aturan EgressSNAT untuk ruang alamat VNet yang sama, dan menerapkan aturan EgressSNAT ke koneksi yang berbeda.

Bisakah saya menggunakan aturan IngressSNAT yang sama pada koneksi yang berbeda?

Ya, ini biasanya digunakan saat koneksi untuk jaringan lokal yang sama untuk menyediakan redundansi. Anda tidak dapat menggunakan aturan Ingress yang sama jika koneksi untuk jaringan lokal yang berbeda.

Apakah saya memerlukan aturan Ingress dan Egress pada koneksi NAT?

Anda memerlukan aturan Ingress dan Egress pada koneksi yang sama ketika ruang alamat jaringan lokal tumpang tindih dengan ruang alamat jaringan virtual. Jika ruang alamat jaringan virtual unik di antara semua jaringan yang terhubung, Anda tidak memerlukan aturan EgressSNAT pada koneksi tersebut. Anda dapat menggunakan aturan Ingress untuk menghindari tumpang tindih alamat di antara jaringan lokal.

Apa yang harus saya pilih sebagai "ID konfigurasi IP"?

"ID konfigurasi IP" hanyalah nama dari objek konfigurasi IP yang Anda inginkan untuk digunakan oleh aturan NAT. Dengan pengaturan ini, Anda hanya memilih alamat IP publik gateway mana yang berlaku untuk aturan NAT. Jika Anda belum menentukan nama kustom apa pun pada waktu pembuatan gateway, alamat IP utama gateway ditetapkan ke IPconfiguration "default", dan IP sekunder ditetapkan ke IPconfiguration "activeActive".

Langkah berikutnya

Lihat Mengonfigurasi NAT di gateway VPN Azure untuk langkah-langkah mengonfigurasi NAT untuk sambungan lintas lokasi Anda.