Partekatu honen bidez:


Requisitos de NAT ExpressRoute

Para conectarse a los servicios en la nube de Microsoft mediante ExpressRoute, necesitará configurar y administrar NAT. Algunos proveedores de conectividad ofrecen la configuración y administración de NAT como un servicio administrado. Consulte a su proveedor de conectividad para saber si ofrece tal servicio. En caso contrario, deberá cumplir los requisitos descritos en este artículo.

Revise la página Circuitos y dominios de enrutamiento ExpressRoute para obtener información general de los distintos dominios de enrutamiento. Para satisfacer los requisitos de dirección IP pública para emparejamiento de Microsoft y público de Azure, se recomienda configurar NAT entre la red y Microsoft. Esta sección proporciona una descripción detallada de la infraestructura NAT que necesita para configurar.

Requisitos NAT para el emparejamiento de Microsoft

La ruta de acceso de emparejamiento de Microsoft le permite conectarse a los servicios en la nube de Microsoft. La lista de servicios incluye servicios de Microsoft 365, como Exchange Online, SharePoint Online y Skype Empresarial. Microsoft espera poder admitir conectividad bidireccional en el emparejamiento de Microsoft. Al tráfico destinado a los Servicios en la nube de Microsoft se le debe aplicar SNAT a direcciones IPv4 públicas válidas antes de que entre en la red de Microsoft. Se debe aplicar SNAT al tráfico destinado a su red desde Servicios en la nube de Microsoft en el perímetro de Internet para evitar el enrutamiento asimétrico. En la ilustración siguiente, se muestra un esquema general acerca de cómo debería configurarse NAT para el emparejamiento de Microsoft.

Diagrama general de cómo debe configurarse NAT para el emparejamiento de Microsoft.

Tráfico procedente de la red destinado a Microsoft

  • Debe asegurarse de que el tráfico se introduce en la ruta de acceso de emparejamiento de Microsoft con una dirección IPv4 pública válida. Microsoft debe poder validar al propietario del grupo de direcciones NAT IPv4 en el registro de Internet de enrutamiento regional (RIR) o en un registro de enrutamiento de Internet (IRR). Se realiza una comprobación basándose en el número AS de emparejamiento y las direcciones IP usadas para NAT. Consulte la página Requisitos de enrutamiento de ExpressRoute para obtener información sobre los registros de enrutamiento.

  • Las direcciones IP usadas para la configuración de emparejamiento público de Azure y otros circuitos ExpressRoute no se deben anunciar a Microsoft a través de la sesión BGP. No hay ninguna restricción en la longitud del prefijo de la dirección IP NAT anunciado a través de este emparejamiento.

    Importante

    El grupo de direcciones IP NAT anunciado a Microsoft no se debe anunciar a Internet. Esto interrumpirá la conectividad con otros servicios de Microsoft. Se recomienda usar una dirección IP pública desde el intervalo asignado al vínculo principal o secundario. En su lugar, use un intervalo diferente de direcciones IP públicas que se le hayan asignado y registrado en un Registro regional de Internet (RIR) o en el Registro de enrutamiento de Internet (IRR). Dependiendo del volumen de llamadas, este intervalo podría ser tan pequeño como una sola dirección IP (representada como "/32" para IPv4 o "/128" para IPv6).

Tráfico procedente de Microsoft destinado a la red

  • Algunos escenarios requieren que Microsoft inicie la conectividad con extremos de servicio hospedados dentro de la red. Un ejemplo típico del escenario sería la conectividad con los servidores ADFS hospedados en la red de Microsoft 365. En tales casos, debe filtrar prefijos adecuados desde la red en el emparejamiento de tráfico de Microsoft.
  • Debe aplicar SNAT al tráfico de Microsoft en el perímetro de Internet para los puntos de conexión de servicio dentro de la red a fin de evitar el enrutamiento asimétrico. Las solicitudes y respuestas con una IP de destino que coinciden con una ruta recibida de ExpressRoute siempre pasan por ExpressRoute. Se produce el enrutamiento asimétrico si la solicitud se recibe a través de Internet y la respuesta se envía a través de ExpressRoute. La aplicación de SNAT al tráfico de Microsoft entrante en el perímetro de Internet fuerza el tráfico de respuesta hacia el perímetro de Internet, lo que resuelve el problema.

Enrutamiento asimétrico con ExpressRoute

Anuncios de ruta y grupo de direcciones IP NAT

Debe asegurarse de que el tráfico se introduce en la ruta de acceso de emparejamiento de Microsoft de Azure con una dirección IPv4 pública válida. Microsoft debe poder validar la propiedad del grupo de direcciones NAT IPv4 en un registro de Internet de enrutamiento regional (RIR) o en un registro de enrutamiento de Internet (IRR). Se realiza una comprobación basándose en el número AS de emparejamiento y las direcciones IP usadas para NAT. Consulte la página Requisitos de enrutamiento de ExpressRoute para obtener información sobre los registros de enrutamiento.

No hay restricciones en la longitud del prefijo de la dirección IP NAT anunciado a través de este emparejamiento. Debe supervisar el grupo NAT y asegurarse de que no tiene necesidad de sesiones NAT.

Importante

El grupo de direcciones IP NAT anunciado a Microsoft no se debe anunciar a Internet. Esto interrumpirá la conectividad con otros servicios de Microsoft. Se recomienda usar una dirección IP pública desde el intervalo asignado al vínculo principal o secundario. En su lugar, use un intervalo diferente de direcciones IP públicas que se le hayan asignado y registrado en un Registro regional de Internet (RIR) o en el Registro de enrutamiento de Internet (IRR). Dependiendo del volumen de llamadas, este intervalo podría ser tan pequeño como una sola dirección IP (representada como "/32" para IPv4 o "/128" para IPv6).

Pasos siguientes