Configurare le regole NAT per il gateway VPN rete WAN virtuale

È possibile configurare il gateway VPN rete WAN virtuale con regole NAT statiche uno-a-uno. Una regola NAT fornisce un meccanismo per configurare la conversione uno-a-uno degli indirizzi IP. NAT può essere usato per interconnettere due reti IP con indirizzi IP incompatibili o sovrapposti. Uno scenario tipico è costituito da rami con indirizzi IP sovrapposti che vogliono accedere alle risorse della rete virtuale di Azure.

Questa configurazione usa una tabella di flusso per instradare il traffico da un indirizzo IP esterno (host) a un indirizzo IP interno associato a un endpoint all'interno di una rete virtuale (macchina virtuale, computer, contenitore e così via).

Diagram showing architecture.

Per usare NAT, i dispositivi VPN devono usare selettori di traffico any-to-any (con caratteri jolly). I selettori di traffico basati su criteri (ristretti) non sono supportati in combinazione con la configurazione NAT.

Configurare regole NAT

È possibile configurare e visualizzare le regole NAT nelle impostazioni del gateway VPN in qualsiasi momento.

Tipo NAT: statico & dinamico

NAT in un dispositivo gateway converte gli indirizzi IP di origine e/o di destinazione, in base ai criteri NAT o alle regole per evitare conflitti di indirizzi. Esistono diversi tipi di regole di conversione NAT:

  • NAT statico: le regole statiche definiscono una relazione di mapping degli indirizzi fissi. Per un determinato indirizzo IP, verrà eseguito il mapping allo stesso indirizzo dal pool di destinazione. I mapping per le regole statiche sono senza stato perché il mapping è fisso. Ad esempio, una regola NAT creata per eseguire il mapping di 10.0.0.0/24 a 192.168.0.0/24 avrà un mapping 1-1 fisso. 10.0.0.0 viene convertito in 192.168.0.0, 10.0.0.1 viene convertito in 192.168.0.1 e così via.

  • NAT dinamico: per NAT dinamico, un indirizzo IP può essere convertito in indirizzi IP di destinazione diversi e porta TCP/UDP in base alla disponibilità o con una combinazione diversa di indirizzo IP e porta TCP/UDP. Quest'ultimo è chiamato anche NAPT, Network Address e Port Translation. Le regole dinamiche generano mapping di conversione con stato a seconda dei flussi di traffico in qualsiasi momento. A causa della natura di NAT dinamico e delle combinazioni di porte/IP in continua evoluzione, i flussi che usano regole NAT dinamiche devono essere avviati dall'intervallo IP pre-NAT ( Internal Mapping ). Il mapping dinamico viene rilasciato dopo che il flusso viene disconnesso o terminato normalmente.

Un'altra considerazione è la dimensione del pool di indirizzi per la conversione. Se le dimensioni del pool di indirizzi di destinazione corrispondono al pool di indirizzi originale, usare la regola NAT statica per definire un mapping 1:1 in un ordine sequenziale. Se il pool di indirizzi di destinazione è inferiore al pool di indirizzi originale, usare la regola NAT dinamica per soddisfare le differenze.

Nota

NAT da sito a sito non è supportato con connessioni VPN da sito a sito in cui vengono usati selettori di traffico basati su criteri.

Screenshot showing how to edit rules.

  1. Passare all'hub virtuale.

  2. Selezionare VPN (da sito a sito).

  3. Selezionare Regole NAT (Modifica) .

  4. Nella pagina Modifica regola NAT è possibile aggiungere/modificare/eliminare una regola NAT usando i valori seguenti:

    • Nome: Nome univoco per la regola NAT.
    • Digitare: Statico o dinamico. Nat uno-a-uno statico stabilisce una relazione uno-a-uno tra un indirizzo interno e un indirizzo esterno, mentre NAT dinamico assegna un INDIRIZZO IP e una porta in base alla disponibilità.
    • ID configurazione IP: Una regola NAT deve essere configurata per un'istanza specifica del gateway VPN. Questa opzione è applicabile solo a NAT dinamico. Le regole NAT statiche vengono applicate automaticamente a entrambe le istanze del gateway VPN.
    • Modalità: IngressSnat o EgressSnat.
      • La modalità IngressSnat (nota anche come NAT di origine in ingresso) è applicabile al traffico che entra nel gateway VPN da sito a sito dell'hub di Azure.
      • La modalità EgressSnat (nota anche come NAT di origine Egress) è applicabile al traffico che lascia il gateway VPN da sito a sito dell'hub di Azure.
    • Mapping interno: Intervallo di prefissi degli indirizzi ip di origine nella rete interna di cui verrà eseguito il mapping a un set di indirizzi IP esterni. In altre parole, l'intervallo di prefissi degli indirizzi NAT.
    • Mapping esterno: Intervallo di prefissi degli indirizzi ip di destinazione nella rete esterna a cui verrà eseguito il mapping degli indirizzi IP di origine. In altre parole, l'intervallo di prefissi degli indirizzi POST-NAT.
    • Connessione collegamento: Risorsa di connessione che connette virtualmente un sito VPN al gateway VPN da sito a sito dell'hub di Azure rete WAN virtuale.

Nota

Se si vuole che il gateway VPN da sito a sito annunci i prefissi di indirizzi tradotti (mapping esterno) tramite BGP, fare clic sul pulsante Abilita traduzione BGP, a causa del quale in locale apprenderà automaticamente l'intervallo post-NAT di regole di Egress Regole e Azure (hub rete WAN virtuale, reti virtuali connesse, VPN ed ExpressRoute rami) apprenderà automaticamente l'intervallo post-NAT di regole di ingresso. I nuovi intervalli NAT POST verranno visualizzati nella tabella Route valide in un hub virtuale. L'impostazione Abilita conversione Bgp viene applicata a tutte le regole NAT nel gateway VPN da sito a sito dell'hub rete WAN virtuale.

Configurazioni di esempio

Ingresso SNAT (sito VPN abilitato per BGP)

Le regole SNAT in ingresso vengono applicate ai pacchetti che entrano in Azure tramite il gateway VPN da sito a sito rete WAN virtuale. In questo scenario si vogliono connettere due rami VPN da sito a sito ad Azure. Il sito VPN 1 si connette tramite collegamento A e il sito VPN 2 si connette tramite il collegamento B. Ogni sito ha lo stesso spazio indirizzi 10.30.0.0/24.

In questo esempio verrà nat site1 a 127.30.0.0.0/24. Le reti virtuali spoke rete WAN virtuale e gli altri rami apprenderanno automaticamente questo spazio di indirizzi post-NAT.

Il diagramma seguente mostra il risultato finale proiettato:

Diagram showing Ingress mode NAT for Sites that are BGP-enabled.

  1. Specificare una regola NAT.

    Specificare una regola NAT per assicurarsi che il gateway VPN da sito a sito sia in grado di distinguere tra i due rami con spazi di indirizzi sovrapposti, ad esempio 10.30.0.0/24. In questo esempio ci concentriamo sul collegamento A per il sito VPN 1.

    La regola NAT seguente può essere configurata e associata al collegamento A. Poiché si tratta di una regola NAT statica, gli spazi indirizzi del mapping interno e del mapping esterno contengono lo stesso numero di indirizzi IP.

    • Nome: ingressRule01
    • Digitare: Statico
    • Modalità: IngressoSnat
    • Mapping interno: 10.30.0.0/24
    • Mapping esterno: 172.30.0.0/24
    • Connessione collegamento: Collegamento A
  2. Attiva/Disattiva conversione route BGP su 'Abilita'.

    Screenshot showing how to enable BGP translation.

  3. Assicurarsi che il gateway VPN da sito a sito sia in grado di eseguire il peering con il peer BGP locale.

    In questo esempio, la regola NAT in ingresso dovrà convertire 10.30.0.132 in 127.30.0.132. A tale scopo, fare clic su "Modifica sito VPN" per configurare l'indirizzo BGP collegamento sito VPN per riflettere questo indirizzo peer BGP convertito (127.30.0.132).

    Screenshot showing how to change the BGP peering IP.

Considerazioni sulla connessione del sito VPN tramite BGP

  • Le dimensioni della subnet per il mapping interno ed esterno devono essere uguali per NAT uno-a-uno statico.

  • Se BGP Translation è abilitato, il gateway VPN da sito a sito annuncia automaticamente il mapping esterno delle regole NAT Egress in locale e il mapping esterno delle regole NAT in ingresso ad Azure (hub WAN virtuale, reti virtuali spoke connesse, VPN/ExpressRoute connesse). Se la traduzione BGP è disabilitata, le route tradotte non vengono annunciate automaticamente in locale. Di conseguenza, l'altoparlante BGP locale deve essere configurato per annunciare l'intervallo post-NAT (mapping esterno) delle regole NAT in ingresso associate alla connessione al collegamento al sito VPN. Analogamente, è necessario applicare una route per l'intervallo post-NAT (mapping esterno) di Egress regole NAT nel dispositivo locale.

  • Il gateway VPN da sito a sito converte automaticamente l'indirizzo IP peer BGP locale se l'indirizzo IP peer BGP locale è contenuto nel mapping interno di una regola NAT in ingresso. Di conseguenza, l'indirizzo BGP della connessione di collegamento del sito VPN deve riflettere l'indirizzo convertito nat (parte del mapping esterno).

    Ad esempio, se l'indirizzo IP BGP locale è 10.30.0.133 ed è presente una regola NAT in ingresso che converte 10.30.0.0/24 in 127.30.0.0/24, L'indirizzo BGP della connessione al collegamento del sito VPN deve essere configurato in modo che sia l'indirizzo convertito (127.30.0.133).

  • In NAT dinamico, l'ip peer BGP locale non può far parte dell'intervallo di indirizzi PRE-NAT (mapping interno) perché le traduzioni ip e porte non sono fisse. Se è necessario tradurre l'indirizzo IP del peering BGP locale, creare una regola NAT statica separata che converte solo l'indirizzo IP del peering BGP.

    Ad esempio, se la rete locale ha uno spazio indirizzi 10.0.0.0/24 con un indirizzo IP peer BGP locale pari a 10.0.0.1 ed è presente una regola NAT dinamica in ingresso per convertire 10.0.0.0/24 a 192.198.0.0/32, È necessaria una regola NAT statica in ingresso separata che converte da 10.0.0.1/32 a 192.168.0.02/32 e l'indirizzo BGP di connessione al collegamento del sito VPN corrispondente deve essere aggiornato all'indirizzo convertito nat (parte del mapping esterno).

SNAT in ingresso (sito VPN con route configurate in modo statico)

Le regole SNAT in ingresso vengono applicate ai pacchetti che entrano in Azure tramite il gateway VPN da sito a sito rete WAN virtuale. In questo scenario si vogliono connettere due rami VPN da sito a sito ad Azure. Il sito VPN 1 si connette tramite collegamento A e il sito VPN 2 si connette tramite il collegamento B. Ogni sito ha lo stesso spazio indirizzi 10.30.0.0/24.

In questo esempio verrà visualizzato il sito VPN NAT da 1 a 172.30.0.0.0/24. Tuttavia, poiché il sito VPN non è connesso al gateway VPN da sito a sito tramite BGP, i passaggi di configurazione sono leggermente diversi dall'esempio abilitato per BGP.

Screenshot showing diagram configurations for VPN sites that use static routing.

  1. Specificare una regola NAT.

    Specificare una regola NAT per assicurarsi che il gateway VPN da sito a sito sia in grado di distinguere tra i due rami con lo stesso spazio indirizzi 10.30.0.0/24. In questo esempio ci concentriamo sul collegamento A per il sito VPN 1.

    La regola NAT seguente può essere configurata e associata al collegamento A di uno dei siti VPN 1. Poiché si tratta di una regola NAT statica, gli spazi indirizzi del mapping interno e del mapping esterno contengono lo stesso numero di indirizzi IP.

    • Nome: IngressRule01
    • Tipo: Statico
    • Modalità: IngressoSnat
    • Mapping interno: 10.30.0.0/24
    • Mapping esterno: 172.30.0.0/24
    • Connessione collegamento: collegare A
  2. Modificare il campo "Spazio indirizzi privati" del sito VPN 1 per assicurarsi che il gateway VPN da sito a sito impari l'intervallo post-NAT (172.30.0.0/24).

    • Passare alla risorsa hub virtuale che contiene il gateway VPN da sito a sito. Nella pagina dell'hub virtuale selezionare VPN (da sito a sito) in Connettività.

    • Selezionare il sito VPN connesso all'hub rete WAN virtuale tramite collegamento A. Selezionare Modifica sito e input 172.30.0.0/24 come spazio indirizzi privato per il sito VPN.

      Screenshot showing how to edit the Private Address space of a VPN site

Considerazioni se i siti VPN sono configurati in modo statico (non connessi tramite BGP)

  • Le dimensioni della subnet per il mapping interno ed esterno devono essere uguali per NAT uno-a-uno statico.
  • Modificare il sito VPN in portale di Azure per aggiungere i prefissi nel mapping esterno delle regole NAT in ingresso nel campo "Spazio indirizzi privati".
  • Per le configurazioni che coinvolgono Egress regole NAT, è necessario applicare un criterio di route o una route statica con il mapping esterno della regola NAT Egress nel dispositivo locale.

Flusso di pacchetti

Negli esempi precedenti un dispositivo locale vuole raggiungere una risorsa in una rete virtuale spoke. Il flusso di pacchetti è il seguente, con le traduzioni NAT in grassetto.

  1. Il traffico proveniente dall'ambiente locale viene avviato.

    • Indirizzo IP di origine: 10.30.0.4
    • Indirizzo IP di destinazione: 10.200.0.4
  2. Il traffico entra nel gateway da sito a sito e viene convertito usando la regola NAT e quindi inviato allo spoke.

    • Indirizzo IP di origine: 172.30.0.4
    • Indirizzo IP di destinazione: 10.200.0.4
  3. Viene avviata la risposta da Spoke.

    • Indirizzo IP di origine: 10.200.0.4
    • Indirizzo IP di destinazione: 172.30.0.4
  4. Il traffico entra nel gateway VPN da sito a sito e la traduzione viene invertita e inviata in locale.

    • Indirizzo IP di origine: 10.200.0.4
    • Indirizzo IP di destinazione: 10.30.0.4

Controlli di verifica

Questa sezione mostra i controlli per verificare che la configurazione sia configurata correttamente.

Convalidare le regole NAT dinamiche

  • Usare regole NAT dinamiche se il pool di indirizzi di destinazione è inferiore al pool di indirizzi originale.

  • Poiché le combinazioni ip/porta non sono fisse in una regola NAT dinamica, l'ip peer BGP locale non può far parte dell'intervallo di indirizzi pre-NAT (Mapping interno). Creare una regola NAT statica specifica che converte solo l'indirizzo IP del peering BGP.

    Ad esempio:

    • Intervallo di indirizzi locale: 10.0.0.0/24
    • IP BGP locale: 10.0.0.1
    • Regola NAT dinamica in ingresso: 192.168.0.1/32
    • Regola NAT statica in ingresso: 10.0.0.1 -> 192.168.0.2

Convalidare DefaultRouteTable, regole e route

I rami in rete WAN virtuale associati a DefaultRouteTable, implicando che tutte le connessioni di ramo apprendono le route popolate all'interno di DefaultRouteTable. La regola NAT verrà visualizzata con il prefisso convertito nelle route valide di DefaultRouteTable.

Nell'esempio precedente:

  • Prefisso: 172.30.0.0/24
  • Tipo hop successivo: VPN_S2S_Gateway
  • Hop successivo: risorsa VPN_S2S_Gateway

Convalidare i prefissi degli indirizzi

Questo esempio si applica alle risorse nelle reti virtuali associate a DefaultRouteTable.

Le route valide nelle schede di interfaccia di rete (NIC) di qualsiasi macchina virtuale che si trova in una rete virtuale spoke connessa all'hub della rete WAN virtuale devono contenere anche i prefissi degli indirizzi del mapping esterno specificato nella regola NAT in ingresso.

Il dispositivo locale deve contenere anche route per i prefissi contenuti nel mapping esterno delle regole NAT Egress.

Modelli di configurazione comuni

Nota

NAT da sito a sito non è supportato con connessioni VPN da sito a sito in cui vengono usati selettori di traffico basati su criteri.

La tabella seguente illustra i modelli di configurazione comuni che si verificano durante la configurazione di diversi tipi di regole NAT nel gateway VPN da sito a sito.

Tipo di sito VPN Regole NAT in ingresso regole NAT Egress
Sito VPN con route configurate in modo statico Modificare "Spazio indirizzi privato" nel sito VPN per contenere il mapping esterno della regola NAT. Applicare route per il mapping esterno della regola NAT nel dispositivo locale.
Sito VPN (traduzione BGP abilitata) Inserire l'indirizzo mapping esterno del peer BGP nell'indirizzo BGP della connessione del sito VPN. Nessuna considerazione speciale.
Sito VPN (traduzione BGP disabilitata) Verificare che l'altoparlante BGP locale annunci i prefissi nel mapping esterno della regola NAT. Inserire anche l'indirizzo mapping esterno del peer BGP nell'indirizzo BGP della connessione collegamento del sito VPN. Applicare route per il mapping esterno della regola NAT nel dispositivo locale.

Passaggi successivi

Per altre informazioni sulle configurazioni da sito a sito, vedere Configurare una connessione da sito a sito rete WAN virtuale.