Requisiti NAT di ExpressRoute
Per connettersi a servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire NAT. Alcuni provider di connettività offrono la configurazione e la gestione di NAT come servizio gestito. Contattare il provider di connettività per informarsi se viene offerto un servizio di questo tipo. Se questo servizio non è offerto, è necessario soddisfare i requisiti descritti in questo articolo.
Per una panoramica dei diversi domini di routing, vedere la pagina Circuiti e domini di routing ExpressRoute . Per soddisfare i requisiti di indirizzi IP pubblici per i peering Microsoft e pubblico di Azure, è consigliabile configurare un'infrastruttura NAT tra la rete e Microsoft. Questa sezione fornisce una descrizione dettagliata dell'infrastruttura NAT che è necessario configurare.
Requisiti NAT per il peering Microsoft
Il percorso di peering di Microsoft consente di connettersi ai servizi cloud Microsoft. L'elenco dei servizi include servizi Microsoft 365 quali Exchange Online, SharePoint Online e Skype for Busines. Microsoft prevede di supportare la connettività bidirezionale nel peering Microsoft. Il traffico destinato ai servizi cloud Microsoft nel peering pubblico deve essere inviato tramite SNAT a indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft. Il traffico destinato alla propria rete dai servizi cloud Microsoft deve essere inviato tramite SNAT al perimetro Internet per evitare il routing asimmetrico. La figura seguente illustra come eseguire la configurazione della NAT per il peering Microsoft.
Traffico proveniente dalla propria rete e destinato a Microsoft
È necessario assicurarsi che il traffico acceda al percorso di peering Microsoft con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare il proprietario del pool di indirizzi IPv4 NAT a fronte del registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR). Verrà eseguito un controllo in base al numero AS usato per il peering e agli indirizzi IP usati per l'infrastruttura NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Gli indirizzi IP usati per la configurazione del peering Microsoft e altri circuiti ExpressRoute non devono essere annunciati a Microsoft tramite la sessione BGP. Non esiste alcuna restrizione per la lunghezza del prefisso IP NAT annunciato tramite questo peering.
Importante
Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet, altrimenti verrebbe interrotta la connettività con altri servizi Microsoft. È consigliabile usare un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in un Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).
Traffico proveniente da Microsoft e destinato alla propria rete
- Per alcuni scenari è necessario che Microsoft avvii la connettività agli endpoint di servizio ospitati nella propria rete. Un esempio tipico di scenario è rappresentato dalla connettività a server ADFS ospitati nella propria rete da Microsoft 365. In questi casi, è necessario inviare prefissi appropriati dalla propria rete al peering Microsoft.
- È necessario inviare il traffico Microsoft tramite SNAT al perimetro Internet per consentire agli endpoint di servizio della rete di impedire il routing asimmetrico. Le richieste e le risposte con un indirizzo P di destinazione corrispondente a una route ricevuta da ExpressRoute passano sempre attraverso ExpressRoute. Il routing asimmetrico si verifica se la richiesta viene ricevuta tramite Internet con la risposta inviata tramite ExpressRoute. L'invio tramite SNAT del traffico Microsoft in ingresso al perimetro Internet forza il traffico di risposta di nuovo verso il perimetro Internet, risolvendo il problema.
Annunci di route e pool IP di NAT
È necessario assicurarsi che il traffico acceda al percorso di peering Azure Microsoft con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare la proprietà del pool di indirizzi IPv4 NAT a fronte di un registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR). Verrà eseguito un controllo in base al numero AS usato per il peering e agli indirizzi IP usati per l'infrastruttura NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Non esistono restrizioni per la lunghezza del prefisso IP NAT annunciato tramite questo peering. È necessario monitorare il pool di NAT e assicurarsi che le sessioni NAT non siano prive di risorse.
Importante
Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet, altrimenti verrebbe interrotta la connettività con altri servizi Microsoft. È consigliabile usare un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in un Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).
Passaggi successivi
Per informazioni sul flusso di lavoro, vedere Flussi di lavoro e stati di provisioning di un circuito ExpressRoute.
Configurare la connessione ExpressRoute.