Partager via


Configuration NAT requise pour ExpressRoute

Pour vous connecter aux services cloud Microsoft à l’aide d’ExpressRoute, vous devez configurer et gérer les NAT. Certains fournisseurs de connectivité proposent la configuration et la gestion NAT comme un service géré. Vérifiez auprès de votre fournisseur de connectivité s’il offre un tel service. Si ce n’est pas le cas, vous devez respecter les conditions décrites dans cet article.

Examinez la page Circuits ExpressRoute et domaines de routage pour obtenir une vue d'ensemble des différents domaines de routage. Pour répondre aux exigences en matière d'adresses IP publiques pour les peerings publics Azure et Microsoft, nous vous recommandons de configurer un NAT entre votre réseau et Microsoft. Cette section fournit une description détaillée de l'infrastructure NAT que vous devez configurer.

Configuration NAT requise pour le peering Microsoft

Le chemin d’accès de peering Microsoft vous permet de vous connecter aux services de cloud computing Microsoft. La liste des services inclut les services Microsoft 365, notamment Exchange Online, SharePoint Online et Skype Entreprise. Microsoft prévoit la prise en charge de la connectivité bidirectionnelle sur le peering Microsoft. Le trafic destiné aux services de cloud Microsoft doit être configuré en SNAT avec des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft. Le trafic provenant des services de cloud Microsoft doit être configuré en SNAT dans votre session Internet pour éviter un routage asymétrique. L’illustration suivante indique de façon sommaire comment configurer un NAT pour le peering Microsoft.

Diagramme de haut niveau de la façon dont la traduction d’adresses réseau doit être configurée pour Microsoft Peering.

Trafic en provenance de votre réseau et destiné à Microsoft

  • Vous devez vous assurer que le trafic qui entre via le chemin d'accès de peering Microsoft utilise une adresse IPv4 publique valide. Microsoft doit être en mesure de valider le propriétaire du pool d'adresses NAT IPv4 par rapport au Registre Internet de routage régional (RIR) ou à un Registre de routage Internet (IRR). Une vérification est effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour la traduction d’adresses réseau. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.

  • Les adresses IP utilisées pour la configuration du Peering Microsoft et d’autres circuits ExpressRoute ne doivent pas être publiées à Microsoft par la session BGP. Il n’existe aucune restriction concernant la longueur du préfixe IP NAT publié par ce peering.

    Important

    Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet. Cela interromprait la connectivité avec d'autres services Microsoft. Nous vous déconseillons de choisir une adresse IP publique dans la plage affectée à la liaison principale ou secondaire. Au lieu de cela, vous devez utiliser une plage différente d’adresses IP publiques qui vous ont été attribuées et qui sont inscrites dans un registre Internet régional (RIR) ou un registre de routage Internet (IRR). En fonction de votre volume d’appels, cette plage peut être très petite, jusqu’à une adresse IP unique (représentée par « /32 » pour IPv4 ou « /128 » pour IPv6).

Trafic en provenance de Microsoft et destiné à votre réseau

  • Certains scénarios exigent que Microsoft initie la connectivité aux points de terminaison de service hébergés au sein de votre réseau. Un exemple typique de ce scénario est la connectivité avec des serveurs ADFS hébergés sur votre réseau à partir de Microsoft 365. Dans ce cas, vous devez transférer les préfixes appropriés de votre réseau vers le peering Microsoft.
  • Vous devez configurer en SNAT le trafic Microsoft dans votre session Internet pour les points de terminaison de service au sein de votre réseau pour éviter un routage asymétrique. Les requêtes et réponses, avec une adresse IP de destination correspondant à un itinéraire reçu d’ExpressRoute, passent toujours par ExpressRoute. Un routage asymétrique se produit si la requête est reçue via Internet avec la réponse envoyée via ExpressRoute. La configuration en SNAT du trafic Microsoft entrant dans la session Internet force le trafic de réponse vers Internet, résolvant ainsi le problème.

Routage asymétrique avec ExpressRoute

Pool d’adresses IP NAT et publications de routage

Vous devez vous assurer que le trafic entre par le chemin d’accès du Peering Microsoft Azure en utilisant une adresse IPv4 publique valide. Microsoft doit être en mesure de valider la propriété du pool d'adresses NAT IPv4 par rapport à un Registre Internet de routage régional (RIR) ou un Registre de routage Internet (IRR). Une vérification est effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour la traduction d’adresses réseau. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.

Il n'existe aucune restriction concernant la longueur du préfixe IP NAT publié via ce peering. Vous devez surveiller le pool NAT et vous assurer de ne pas être à court de sessions NAT.

Important

Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet. Cela interromprait la connectivité avec d'autres services Microsoft. Nous vous déconseillons de choisir une adresse IP publique dans la plage affectée à la liaison principale ou secondaire. Au lieu de cela, vous devez utiliser une plage différente d’adresses IP publiques qui vous ont été attribuées et qui sont inscrites dans un registre Internet régional (RIR) ou un registre de routage Internet (IRR). En fonction de votre volume d’appels, cette plage peut être très petite, jusqu’à une adresse IP unique (représentée par « /32 » pour IPv4 ou « /128 » pour IPv6).

Étapes suivantes