Požadavky na překlad adres (NAT) služby ExpressRoute

Pokud se chcete připojit ke cloudovým službám Microsoftu pomocí ExpressRoute, musíte nastavit a spravovat překlad adres (NAT). Někteří poskytovatelé připojení nabízejí nastavení a správu NAT jako spravovanou službu. Zeptejte se svého poskytovatele připojení, jestli tuto službu nabízí. Pokud ne, musíte dodržet požadavky popsané v tomto článku.

Přehled různých domén směrování získáte na stránce Okruhy ExpressRoute a domény směrování. Pokud chcete splnit požadavky na veřejné IP adresy pro veřejný partnerský vztah Azure a partnerský vztah Microsoftu, doporučujeme mezi vaší sítí a Microsoftem zřídit překlad adres NAT. Tato část poskytuje podrobný popis infrastruktury NAT, kterou je potřeba nastavit.

Požadavky NAT pro partnerský vztah Microsoftu

Cesta partnerského vztahu Microsoftu umožňuje připojit se ke cloudovým službám Microsoftu, které nejsou podporované prostřednictvím cesty veřejného partnerského vztahu Azure. Seznam služeb zahrnuje služby Microsoft 365, jako jsou Exchange Online, SharePoint Online a Skype pro firmy. Microsoft v partnerském vztahu Microsoftu očekává podporu obousměrného připojení. Přenosy určené cloudovým službám Microsoftu musí být před jejich vstupem do sítě Microsoftu platné IPv4 adresy přeložené pomocí překladu SNAT. Přenosy určené do vaší sítě z cloudových služeb Microsoftu musí být před vstupem do vaší sítě z internetu přeložené pomocí překladu SNAT, aby se zabránilo asymetrickému směrování. Následující obrázek poskytuje celkový přehled o tom, jak by se překlad adres (NAT) měl nastavit pro partnerský vztah Microsoftu.

Přenosy pocházející z vaší sítě určené do Microsoftu

• Je nutné zajistit, aby provoz vstupující do cesty partnerského vztahu Microsoftu měl platnou veřejnou IPv4 adresu. Microsoft musí být schopný ověřit vlastníka fondu IPv4 adres NAT proti regionálnímu registru RIR nebo registru IRR. Kontrola se provádí na základě čísla AS, se kterým je partnerský vztah, a IP adres použitých pro překlad adres (NAT). Informace o registrech směrování najdete na stránce Požadavky na směrování služby ExpressRoute.

• Adresy IP použité pro nastavení veřejného partnerského vztahu Azure a jiné okruhy ExpressRoute nesmí být inzerované Microsoftu prostřednictvím relace protokolu BGP. Délka předpony IP adresy NAT inzerované prostřednictvím tohoto partnerského vztahu není nijak omezena.

  Důležité

  Fond IP adres NAT inzerovaný Microsoftu nesmí být inzerovaný do internetu. Tím by došlo k přerušení připojení k jiným službám Microsoftu.

Přenosy pocházející z Microsoftu určené do vaší sítě

• Některé scénáře vyžadují, aby Microsoft zahájil připojení ke koncovým bodům služby hostovaným v rámci vaší sítě. Typickým příkladem scénáře je připojení k serverům ADFS hostovaným ve vaší síti z Microsoftu 365. V takových případech musíte nechat uniknout příslušné předpony z vaší sítě do partnerského vztahu Microsoftu.
• Přenosy z Microsoftu je nutné před vstupem z internetu do koncových bodů služby v rámci vaší sítě přeložit pomocí překladu SNAT, aby se zabránilo asymetrickému směrování. Žádosti a odpovědi s cílovou IP adresou, která odpovídá trase přijaté z ExpressRoute, vždy procházejí přes ExpressRoute. K asymetrickému směrování dochází v případě, že je požadavek obdržen přes internet a odpověď odeslaná přes ExpressRoute. Překlad příchozích přenosů z Microsoftu před vstupem z internetu do vaší sítě pomocí překladu SNAT tento problém řeší tím, že vynutí odeslání přenosu s odpovědí zpět do internetu.

Požadavky NAT pro veřejný partnerský vztah Azure

Poznámka

Veřejný partnerský vztah Azure není k dispozici pro nové okruhy.

Cesta veřejného partnerského vztahu Azure vám umožňuje připojení ke všem službám, které jsou hostovány v Azure, přes jejich veřejné IP adresy. Sem patří služby uvedené v tématu ExpressRoute – nejčastější dotazy a všechny služby hostované nezávislými dodavateli softwaru v Microsoft Azure.

Důležité

Připojení ke službám Microsoft Azure ve veřejném partnerském vztahu je vždycky iniciováno z vaší sítě do sítě Microsoftu. Proto relace nelze inicializovat ze služeb Microsoft Azure směrem k vaší síti přes ExpressRoute. Pokud dojde k takovému pokusu, pakety odeslané na tyto inzerované IP adresy použijí internet místo ExpressRoute.

Přenosy určené do Microsoft Azure ve veřejném partnerském vztahu musí být před jejich vstupem do sítě Microsoftu platné IPv4 adresy přeložené pomocí překladu SNAT. Následující obrázek poskytuje celkový přehled o tom, jak by se překlad adres (NAT) dal nastavit tak, aby splňoval výše uvedený požadavek.

Inzerování tras a fondu IP adres NAT

Je nutné zajistit, aby provoz vstupující do cesty veřejného partnerského vztahu Azure měl platnou veřejnou IPv4 adresu. Microsoft musí být schopný ověřit vlastnictví fondu IPv4 adres NAT proti regionálnímu registru RIR nebo registru IRR. Kontrola se provádí na základě čísla AS, se kterým je partnerský vztah, a IP adres použitých pro překlad adres (NAT). Informace o registrech směrování najdete na stránce Požadavky na směrování služby ExpressRoute.

Neexistují žádná omezení délky předpon adres IP pro NAT inzerovaných prostřednictvím tohoto partnerského vztahu. Musíte monitorovat fond překladu adres (NAT) a zajistit, abyste neměli hlad z relací NAT.

Důležité

Fond IP adres NAT inzerovaný Microsoftu nesmí být inzerovaný do internetu. Tím by došlo k přerušení připojení k jiným službám Microsoftu.

Další kroky

• Přečtěte si požadavky pro směrování a technologii QoS.

• Informace o pracovním postupu najdete v tématu Pracovní postupy zřizování okruhů ExpressRoute a stavy okruhu.

• Nakonfigurujte připojení ExpressRoute.

  • Vytvoření okruhu ExpressRoute
  • Konfigurace směrování
  • Propojení virtuální sítě s okruhem ExpressRoute