Configure as regras da NAT para o seu gateway VPN WAN Virtual

Pode configurar o seu WAN Virtual gateway VPN com regras estáticas de um para um NAT. Uma regra NAT fornece um mecanismo para configurar a tradução um-para-um dos endereços IP. O NAT pode ser usado para interligar duas redes IP que têm endereços IP incompatíveis ou sobrepostos. Um cenário típico são os ramos com iPs sobrepostos que querem aceder aos recursos do Azure VNet.

Esta configuração utiliza uma tabela de fluxo para encaminhar o tráfego de um endereço IP externo (anfitrião) para um endereço IP interno associado a um ponto final dentro de uma rede virtual (máquina virtual, computador, contentor, etc.).

Diagram showing architecture.

Para utilizar o NAT, os dispositivos VPN precisam de utilizar todos os seletores de tráfego (wildcard). Os seletores de tráfego baseados em políticas (estreitos) não são suportados em conjunto com a configuração NAT.

Regras DE CONFIGURAÇÃO NAT

Pode configurar e ver as regras DA NAT nas definições de gateway VPN a qualquer momento.

Tipo NAT: dinâmica estática &

O NAT num dispositivo de gateway traduz os endereços IP de origem e/ou destino, com base nas políticas ou regras do NAT para evitar resolver conflitos. Existem diferentes tipos de regras de tradução NAT:

  • ESTÁtica NAT: Regras estáticas definem uma relação fixa de mapeamento de endereço. Para um determinado endereço IP, será mapeado para o mesmo endereço a partir do pool alvo. Os mapeamentos para regras estáticas são apátridas porque o mapeamento é fixo. Por exemplo, uma regra NAT criada para mapear 10.0.0.0/24 a 192.168.0.0/24 terá um mapeamento fixo de 1-1. 10.0.0.0.0 é traduzido para 192.168.0.0, 10.0.0.1 é traduzido para 192.168.0.1, e assim por diante.

  • Nat dinâmico: Para o NAT dinâmico, um endereço IP pode ser traduzido para diferentes endereços IP alvo e porta TCP/UDP com base na disponibilidade, ou com uma combinação diferente de endereço IP e porta TCP/UDP. Este último também é chamado DE NAPT, Discurso de Rede e Tradução Portuária. As regras dinâmicas resultarão em mapeamentos de tradução imponente, dependendo dos fluxos de tráfego a qualquer momento. Devido à natureza do NAT dinâmico e às combinações IP/Port em constante mudança, os fluxos que utilizam as regras dinâmicas do NAT têm de ser iniciados a partir da gama IP de Mapeamento Interno (Pre-NAT). O mapeamento dinâmico é libertado uma vez que o fluxo é desligado ou terminada graciosamente.

Outra consideração é o tamanho da piscina de endereço para tradução. Se o tamanho da piscina do endereço alvo for o mesmo que o conjunto de endereços original, utilize a regra estática do NAT para definir um mapeamento de 1:1 numa ordem sequencial. Se o conjunto de endereços-alvo for menor do que o conjunto de endereços original, utilize a regra NAT dinâmica para acomodar as diferenças.

Nota

O NAT site-to-site não é suportado com ligações VPN site-to-site onde são utilizados seletores de tráfego baseados em políticas.

Screenshot showing how to edit rules.

  1. Navegue para o seu centro virtual.

  2. Selecione VPN (Site para site).

  3. Selecione as regras NAT (Editar).

  4. Na página 'Regra 'Editar' NAT , pode adicionar/editar/eliminar uma regra NAT utilizando os seguintes valores:

    • Nome: Um nome único para a sua regra NAT.
    • Tipo: Estática ou Dinâmica. O NAT estático de um para um estabelece uma relação um-para-um entre um endereço interno e um endereço externo, enquanto o Dynamic NAT atribui um IP e uma porta com base na disponibilidade.
    • ID de configuração IP: Uma regra NAT deve ser configurada para uma instância específica de gateway VPN. Isto é aplicável apenas ao Dynamic NAT. As regras estáticas da NAT são automaticamente aplicadas em ambas as instâncias de gateway VPN.
    • Modo: IngresssSna ou Egressnat.
      • O modo IngressSNat (também conhecido como Ingress Source NAT) é aplicável ao tráfego que entra no gateway VPN do hub de Azure.
      • O modo EgressSnat (também conhecido como Egress Source NAT) é aplicável ao tráfego que sai do gateway VPN do hub de Azure.
    • Mapeamento interno: Uma gama de IPs de prefixo de endereço na rede interna que será mapeada para um conjunto de IPs externos. Por outras palavras, o seu prefixo de endereço pré-NAT.
    • Mapeamento externo: Uma gama de IPs de destino pré-fixação de endereços na rede externa para a que os IPs de origem serão mapeados. Por outras palavras, o seu prefixo de endereço pós-NAT.
    • Ligação de ligação: Recurso de ligação que liga virtualmente um site VPN ao gateway VPN do Azure WAN Virtual do hub.

Nota

Se pretender que a porta de entrada VPN site-site para anunciar prefixos de endereços traduzidos (Mapa Externo) via BGP, clique no botão Enable BGP Translation, devido ao qual as regras pós-NAT aprenderão automaticamente a gama pós-NAT de Regras de Egress e Azure (hub WAN Virtual, redes virtuais conectadas, filiais VPN e ExpressRoute) aprenderá automaticamente a gama pós-NAT de regras Ingress. As novas gamas POST NAT serão mostradas na tabela Rotas Eficazes num hub virtual. A definição de Tradução Enable Bgp é aplicada a todas as regras NAT no WAN Virtual gateway VPN do hub-site.

Configurações de exemplo

Ingress SNAT (site VPN habilitado para BGP)

As regras ingress snat são aplicadas em pacotes que estão entrando em Azure através do WAN Virtual gateway VPN site-to-site. Neste cenário, pretende ligar dois balcões VPN site-to-site ao Azure. O VPN Site 1 liga-se através do Link A e o VPN Site 2 liga-se através do Link B. Cada site tem o mesmo espaço de endereço 10.30.0.0/24.

Neste exemplo, vamos nat site1 a 127.30.0.0.0/24. O WAN Virtual redes virtuais e ramos outros aprenderão automaticamente este espaço de endereço pós-NAT.

O diagrama seguinte mostra o resultado final projetado:

Diagram showing Ingress mode NAT for Sites that are BGP-enabled.

  1. Especifique uma regra NAT.

    Especifique uma regra NAT para garantir que o gateway VPN local é capaz de distinguir entre os dois ramos com espaços de endereço sobrepostos (tais como 10.30.0.0/24). Neste exemplo, focamo-nos no Link A para o VPN Site 1.

    A seguinte regra NAT pode ser configurada e associada ao Link A. Por se tratar de uma regra estática do NAT, os espaços de endereço do Mapeamento Interno e do Mapeamento Externo contêm o mesmo número de endereços IP.

    • Nome: ingressrule01
    • Tipo: Estática
    • Modo: IngresssSna
    • Mapeamento Interno: 10.30.0.0/24
    • Mapeamento Externo: 172.30.0.0/24
    • Ligação de ligação: Ligação A
  2. Toggle BGP Route Translation para 'Enable'.

    Screenshot showing how to enable BGP translation.

  3. Certifique-se de que o gateway VPN local-to-site é capaz de espreitar com o par BGP no local.

    Neste exemplo, a Regra de Ingress NAT terá de traduzir 10.30.0.132 para 127.30.0.132. Para isso, clique em 'Editar site VPN' para configurar o endereço VPN site Link A BGP para refletir este endereço de pares BGP traduzido (127.30.0.132).

    Screenshot showing how to change the BGP peering IP.

Considerações se o site VPN se ligar via BGP

  • O tamanho da sub-rede para mapeamento interno e externo deve ser o mesmo para um NAT estático.

  • Se a tradução BGP estiver ativa, o gateway VPN site-to-site anunciará automaticamente o Mapeamento Externo de Egress regras NAT para as instalações, bem como o Mapeamento Externo das regras de INGRESS NAT para Azure (hub virtual WAN, redes virtuais ligadas, VPN/ExpressRoute conectado). Se a tradução BGP for desativada, as rotas traduzidas não são automaticamente publicitadas no local. Como tal, o altifalante BGP no local deve ser configurado para anunciar a gama pós-NAT (Mapa Externo) das regras do INGRESS NAT associadas a essa ligação de ligação ao site VPN. Do mesmo modo, deve ser aplicada no local uma rota para a gama pós-NAT (External Mapping) de Egress Regras NAT.

  • O gateway VPN local-to-site traduz automaticamente o endereço IP peer peer no local se o endereço IP peer peer no local estiver contido no Mapeamento Interno de uma Regra NAT ingressa. Como resultado, o endereço BGP de ligação de ligação do site VPN deve refletir o endereço traduzido pela NAT (parte do Mapeamento Externo).

    Por exemplo, se o endereço IP BGP no local for de 10.30.0.133 e existir uma Regra INgress NAT que traduz 10.30.0.0/24 para 127.30.0.0/24, o endereço BGP de ligação de ligação do site VPN deve ser configurado para ser o endereço traduzido (127.30.0.133).

  • No Dynamic NAT, o BGP peer IP não pode fazer parte da gama de endereços pré-NAT (Internal Mapping) uma vez que as traduções IP e porta não são fixadas. Se houver necessidade de traduzir o IP de observação de BGP no local, por favor, crie uma Regra DE NAT Estática separada que traduz apenas o endereço IP de peering BGP.

    Por exemplo, se a rede no local tiver um espaço de endereço de 10.0.0.0/24 com um IP de pares BGP de 10.0.0.0.1 e houver uma Regra NAT Dinâmica ingressa para traduzir 10.0.0.0/24 a 192.198.0.0/32, é necessária uma regra nat estática separada que traduza 10.0.0.1/32 a 192.168.0.02/32 e o endereço BGP de ligação de ligação do site correspondente deve ser atualizado para o endereço traduzido pelo NAT (parte do Mapeamento Externo).

Ingress SNAT (site VPN com rotas estáticas configuradas)

As regras ingress snat são aplicadas em pacotes que estão entrando em Azure através do WAN Virtual gateway VPN site-to-site. Neste cenário, pretende ligar dois balcões VPN site-to-site ao Azure. O VPN Site 1 liga-se através do Link A e o VPN Site 2 liga-se através do Link B. Cada site tem o mesmo espaço de endereço 10.30.0.0/24.

Neste exemplo, vamos site NAT VPN 1 a 172.30.0.0.0/24. No entanto, como o Site VPN não está ligado ao gateway VPN site-to-site via BGP, os passos de configuração são ligeiramente diferentes do exemplo ativado pelo BGP.

Screenshot showing diagram configurations for VPN sites that use static routing.

  1. Especifique uma regra NAT.

    Especifique uma regra NAT para garantir que o gateway VPN local é capaz de distinguir entre os dois ramos com o mesmo espaço de endereço 10.30.0.0/24. Neste exemplo, focamo-nos no Link A para o VPN Site 1.

    A seguinte regra NAT pode ser configurada e associada ao Link A de um dos VPN site 1. Por se tratar de uma regra estática do NAT, os espaços de endereço do Mapeamento Interno e do Mapeamento Externo contêm o mesmo número de endereços IP.

    • Nome: IngressRule01
    • Tipo: Estático
    • Modo: IngressSnat
    • Mapeamento Interno: 10.30.0.0/24
    • Mapeamento Externo: 172.30.0.0/24
    • Ligação de ligação: Link A
  2. Editar o campo 'Espaço endereço privado' do VPN Site 1 para garantir que o gateway VPN local-site aprende a gama pós-NAT (172.30.0.0/24).

    • Aceda ao recurso do hub virtual que contém o gateway VPN site-to-site. Na página do hub virtual, em Conectividade, selecione VPN (Site-to-site).

    • Selecione o site VPN que está ligado ao hub WAN Virtual via Link A. Selecione Site de Edição e introduza 172.30.0.0/24 como espaço de endereço privado para o site VPN.

      Screenshot showing how to edit the Private Address space of a VPN site

Considerações se os sites VPN estiverem estáticamente configurados (não ligados via BGP)

  • O tamanho da sub-rede para mapeamento interno e externo deve ser o mesmo para um NAT estático.
  • Edite o site VPN em portal do Azure para adicionar os prefixos no Mapeamento Externo das Regras NAT de Entrada no campo "Espaço de Endereço Privado".
  • Para configurações que envolvam Egress regras NAT, uma Política de Rota ou Rota Estática com o Mapeamento Externo da regra NAT Egress tem de ser aplicada no dispositivo no local.

Fluxo de pacotes

Nos exemplos anteriores, um dispositivo no local quer chegar a um recurso numa rede virtual falada. O fluxo de pacote é o seguinte, com as traduções NAT em negrito.

  1. O trânsito no local é iniciado.

    • Endereço IP fonte: 10.30.0.4
    • Endereço IP destino: 10.200.0.4
  2. O tráfego entra no portal local-local e é traduzido usando a regra NAT e depois enviado para o Spoke.

    • Endereço IP fonte: 172.30.0.4
    • Endereço IP destino: 10.200.0.4
  3. A resposta de Spoke é iniciada.

    • Endereço IP fonte: 10.200.0.4
    • Endereço IP destino: 172.30.0.4
  4. O tráfego entra no portal VPN site-to-site e a tradução é invertida e enviada para o local.

    • Endereço IP fonte: 10.200.0.4
    • Endereço IP destino: 10.30.0.4

Verificação de verificação

Esta secção mostra verificações para verificar se a sua configuração está corretamente configurada.

Validar regras dinâmicas de NAT

  • Utilize regras dinâmicas de NAT se o conjunto de endereços-alvo for menor do que o conjunto de endereços original.

  • Como as combinações IP/Port não são fixadas numa Regra Dinâmica NAT, o BGP Peer IP no local não pode fazer parte da gama de endereços pré-NAT (Internal Mapping). Crie uma regra de NAT estática específica que traduz apenas o endereço IP de peering BGP.

    Por exemplo:

    • Intervalo de endereços no local: 10.0.0.0/24
    • No local BGP IP: 10.0.0.1
    • Regra ingress Dynamic NAT: 192.168.0.1/32
    • Regra de INgress Static NAT: 10.0.0.1 -> 192.168.0.2

Validar DefaultRouteTable, regras e rotas

Os balcões em WAN Virtual associar-se à DefaultRouteTable, implicando que todas as ligações de ramo aprendem rotas que são povoadas dentro da DefaultRouteTable. Verá a regra NAT com o prefixo traduzido nas rotas eficazes da DefaultRouteTable.

Do exemplo anterior:

  • Prefixo: 172.30.0.0/24
  • Próximo tipo de lúpulo: VPN_S2S_Gateway
  • Próximo salto: Recurso VPN_S2S_Gateway

Validar prefixos de endereço

Este exemplo aplica-se a recursos em redes virtuais que estão associados à DefaultRouteTable.

As Rotas Eficazes nos Cartões de Interface de Rede (NIC) de qualquer máquina virtual que esteja sentada numa rede virtual falada ligada ao hub virtual WAN também devem conter os prefixos de endereço do Mapeamento Externo especificados na regra Ingress NAT.

O dispositivo no local também deve conter rotas para prefixos contidos no Mapeamento Externo das regras NAT Egress.

Padrões de configuração comuns

Nota

O NAT site-to-site não é suportado com ligações VPN site-to-site onde são utilizados seletores de tráfego baseados em políticas.

A tabela a seguir mostra padrões de configuração comuns que surgem ao configurar diferentes tipos de regras NAT no gateway VPN local-to-site.

Tipo de site VPN Regras de Ingress NAT Egress regras nat
Site VPN com rotas estáticas configuradas Editar 'Private Address Space' no Site VPN para conter o Mapeamento Externo da regra NAT. Aplicar rotas para o Mapeamento Externo da regra NAT no dispositivo no local.
Site VPN (tradução BGP ativada) Coloque o endereço de Mapeamento Externo do par BGP no endereço BGP do site VPN Link Connection. Sem considerações especiais.
Site VPN (tradução BGP desativada) Certifique-se de que o altifalante BGP no local anuncia os prefixos no Mapeamento Externo da regra NAT. Coloque também o endereço de Mapeamento Externo do par BGP no endereço BGP do site VPN Link Connection. Aplicar rotas para o Mapeamento Externo da regra NAT no dispositivo no local.

Passos seguintes

Para obter mais informações sobre as configurações site-to-site, consulte configurar uma WAN Virtual ligação site-to-site.