Persyaratan ExpressRoute NAT
Untuk menyambungkan ke layanan cloud Microsoft menggunakan ExpressRoute, Anda perlu menyiapkan dan mengelola NAT. Beberapa penyedia konektivitas menawarkan pengaturan dan pengelolaan NAT sebagai layanan terkelola. Tanyakan kepada penyedia konektivitas Anda untuk melihat apakah mereka menawarkan layanan seperti itu. Jika tidak, Anda harus mematuhi persyaratan yang dijelaskan dalam artikel ini.
Tinjau halaman domain sirkuit dan perutean ExpressRoute untuk mendapatkan gambaran umum tentang berbagai domain perutean. Untuk memenuhi persyaratan alamat IP publik Azure dan peering Microsoft, kami sarankan Anda menyiapkan NAT antara jaringan Anda dan Microsoft. Bagian ini menyediakan deskripsi terperinci tentang infrastruktur NAT yang perlu disiapkan.
Persyaratan NAT untuk peering Microsoft
Jalur peering Microsoft memungkinkan Anda tersambung ke layanan cloud Microsoft. Daftar layanan ini mencakup layanan Microsoft 365, seperti Exchange Online, SharePoint Online, dan Skype for Business. Microsoft mengharapkan untuk mendukung konektivitas dua arah pada peering Microsoft. Lalu lintas yang ditetapkan untuk layanan cloud Microsoft harus di-SNAT ke alamat IPv4 publik yang valid sebelum mereka memasuki jaringan Microsoft. Lalu lintas yang ditetapkan untuk jaringan Anda dari layanan cloud Microsoft harus di-SNAT di sisi Internet Anda untuk mencegah perutean asimetris. Gambar berikut memberikan gambar tingkat tinggi tentang bagaimana NAT harus disiapkan untuk peering Microsoft.
Lalu lintas yang berasal dari jaringan Anda ditetapkan ke Microsoft
Anda harus memastikan bahwa lalu lintas yang memasuki jalur peering Microsoft beralamat IPv4 publik yang valid. Microsoft harus dapat memvalidasi pemilik kumpulan alamat NAT IPv4 terhadap registri internet perutean regional (RIR) atau registri perutean internet (IRR). Pemeriksaan dilakukan berdasarkan nomor AS yang di-peering dengan dan alamat IP yang digunakan untuk NAT. Lihat halaman persyaratan perutean ExpressRoute untuk informasi tentang registri perutean.
Alamat IP yang digunakan untuk penyiapan peering Microsoft dan sirkuit ExpressRoute lainnya tidak boleh diiklankan ke Microsoft melalui sesi BGP. Tidak ada batasan panjang awalan IP NAT yang diiklankan melalui peering ini.
Penting
Kumpulan NAT IP yang diiklankan ke Microsoft tidak boleh diiklankan ke Internet. Ini akan memutus konektivitas ke layanan Microsoft lainnya.
Lalu lintas yang berasal dari jaringan Anda ditetapkan ke Microsoft
- Skenario tertentu mengharuskan Microsoft memulai konektivitas ke titik akhir layanan yang dihosting dalam jaringan Anda. Contoh umum skenario adalah konektivitas ke server ADFS yang dihosting di jaringan Anda dari Microsoft 365. Dalam kasus seperti itu, Anda harus membocorkan awalan yang sesuai dari jaringan Anda ke dalam peering Microsoft.
- Anda harus melakukan SNAT lalu lintas Microsoft di sisi Internet untuk titik akhir layanan dalam jaringan Anda untuk mencegah perutean asimetris. Permintaan dan balasan dengan IP tujuan yang cocok dengan rute yang diterima dari ExpressRoute selalu melalui ExpressRoute. Perutean asimetris ada jika permintaan diterima melalui Internet dengan balasan yang dikirim melalui ExpressRoute. SNAT lalu lintas Microsoft yang masuk di sisi Internet memaksa lalu lintas balasan kembali ke sisi Internet, untuk menyelesaikan masalah.
Kumpulan IP NAT dan merutekan iklan
Anda harus memastikan bahwa lalu lintas memasuki jalur peering Microsoft Azure dengan alamat IPv4 publik yang valid. Microsoft harus dapat memvalidasi pemilik kumpulan alamat NAT IPv4 terhadap registri internet perutean regional (RIR) atau registri perutean internet (IRR). Pemeriksaan dilakukan berdasarkan nomor AS yang di-peering dengan dan alamat IP yang digunakan untuk NAT. Lihat halaman persyaratan perutean ExpressRoute untuk informasi tentang registri perutean.
Tidak ada batasan panjang awalan IP NAT yang diiklankan melalui peering ini. Anda harus memantau kumpulan NAT dan memastikan bahwa Anda tidak kelaparan sesi NAT.
Penting
Kumpulan NAT IP yang diiklankan ke Microsoft tidak boleh diiklankan ke Internet. Ini akan memutus konektivitas ke layanan Microsoft lainnya.
Langkah berikutnya
Untuk informasi selengkapnya, lihat alur kerja penyediaan sirkuit dan status sirkuit ExpressRoute.
Mengonfigurasi koneksi ExpressRoute.