Configuration NAT requise pour ExpressRoute
Pour vous connecter aux services cloud Microsoft à l’aide d’ExpressRoute, vous devez configurer et gérer les NAT. Certains fournisseurs de connectivité proposent la configuration et la gestion NAT comme un service géré. Vérifiez auprès de votre fournisseur de connectivité s’il offre un tel service. Si ce n’est pas le cas, vous devez respecter les conditions décrites dans cet article.
Examinez la page Circuits ExpressRoute et domaines de routage pour obtenir une vue d'ensemble des différents domaines de routage. Pour répondre aux exigences en matière d'adresses IP publiques pour les peerings publics Azure et Microsoft, nous vous recommandons de configurer un NAT entre votre réseau et Microsoft. Cette section fournit une description détaillée de l'infrastructure NAT que vous devez configurer.
Configuration NAT requise pour le peering Microsoft
Le chemin de peering Microsoft vous permet de vous connecter aux services cloud Microsoft non pris en charge par le chemin de peering public Azure. La liste des services inclut les services Microsoft 365, notamment Exchange Online, SharePoint Online et Skype Entreprise. Microsoft prévoit la prise en charge de la connectivité bidirectionnelle sur le peering Microsoft. Le trafic destiné aux services de cloud Microsoft doit être configuré en SNAT avec des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft. Le trafic provenant des services de cloud Microsoft doit être configuré en SNAT dans votre session Internet pour éviter un routage asymétrique. L’illustration suivante indique de façon sommaire comment configurer un NAT pour le peering Microsoft.
Trafic en provenance de votre réseau et destiné à Microsoft
Vous devez vous assurer que le trafic qui entre via le chemin d'accès de peering Microsoft utilise une adresse IPv4 publique valide. Microsoft doit être en mesure de valider le propriétaire du pool d'adresses NAT IPv4 par rapport au Registre Internet de routage régional (RIR) ou à un Registre de routage Internet (IRR). Une vérification est effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour la traduction d’adresses réseau. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.
Les adresses IP utilisées pour la configuration du peering public Azure et d’autres circuits ExpressRoute ne doivent pas être proposées à Microsoft via la session BGP. Il n’existe aucune restriction concernant la longueur du préfixe IP NAT publié par ce peering.
Important
Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet. Cela interromprait la connectivité avec d'autres services Microsoft.
Trafic en provenance de Microsoft et destiné à votre réseau
- Certains scénarios exigent que Microsoft initie la connectivité aux points de terminaison de service hébergés au sein de votre réseau. Un exemple typique de ce scénario est la connectivité avec des serveurs ADFS hébergés sur votre réseau à partir de Microsoft 365. Dans ce cas, vous devez transférer les préfixes appropriés de votre réseau vers le peering Microsoft.
- Vous devez configurer en SNAT le trafic Microsoft dans votre session Internet pour les points de terminaison de service au sein de votre réseau pour éviter un routage asymétrique. Les requêtes et réponses, avec une adresse IP de destination correspondant à un itinéraire reçu d’ExpressRoute, passent toujours par ExpressRoute. Un routage asymétrique se produit si la requête est reçue via Internet avec la réponse envoyée via ExpressRoute. La configuration en SNAT du trafic Microsoft entrant dans la session Internet force le trafic de réponse vers Internet, résolvant ainsi le problème.
Configuration NAT requise pour le peering public Azure
Notes
Le peering public Azure n’est pas disponible pour les nouveaux circuits.
Le chemin de peering public Azure vous permet de vous connecter à tous les services hébergés dans Azure en utilisant leurs adresses IP publiques. Cela inclut les services répertoriés dans le FAQ sur ExpressRoute et tous les services hébergés par les éditeurs de logiciels sur Microsoft Azure.
Important
La connectivité aux services Microsoft Azure sur le peering public est toujours lancée de votre réseau vers le réseau Microsoft. Par conséquent, les sessions ne peut pas être lancées à partir des services Microsoft Azure vers votre réseau via ExpressRoute. En cas de tentative, les paquets envoyés à ces adresses IP publiées utiliseront Internet au lieu d’ExpressRoute.
Le trafic destiné à Microsoft Azure sur le peering public doit être configuré en SNAT avec des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft. L’illustration suivante indique de façon sommaire comment configurer un NAT pour répondre à cette exigence.
Pool d’adresses IP NAT et publications de routage
Vous devez vous assurer que le trafic qui entre via le chemin d'accès de peering public Azure utilise une adresse IPv4 publique valide. Microsoft doit être en mesure de valider la propriété du pool d'adresses NAT IPv4 par rapport à un Registre Internet de routage régional (RIR) ou un Registre de routage Internet (IRR). Une vérification est effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour la traduction d’adresses réseau. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.
Il n'existe aucune restriction concernant la longueur du préfixe IP NAT publié via ce peering. Vous devez surveiller le pool NAT et vous assurer de ne pas être à court de sessions NAT.
Important
Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet. Cela interromprait la connectivité avec d'autres services Microsoft.
Étapes suivantes
Reportez-vous aux conditions requises pour le routage et la qualité de service.
Pour plus d’informations sur les workflows, consultez Workflows d’approvisionnement du circuit ExpressRoute et états du circuit.
Configurez votre connexion ExpressRoute.