Requisiti NAT di ExpressRoute
Per connettersi ai servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire i nat. Alcuni provider di connettività offrono la configurazione e la gestione di NAT come servizio gestito. Contattare il provider di connettività per informarsi se viene offerto un servizio di questo tipo. In caso contrario, è necessario rispettare i requisiti descritti in questo articolo.
Per una panoramica dei diversi domini di routing, vedere la pagina Circuiti e domini di routing ExpressRoute . Per soddisfare i requisiti di indirizzi IP pubblici per i peering Microsoft e pubblico di Azure, è consigliabile configurare un'infrastruttura NAT tra la rete e Microsoft. Questa sezione fornisce una descrizione dettagliata dell'infrastruttura NAT che è necessario configurare.
Requisiti NAT per il peering Microsoft
Il percorso di peering Microsoft consente di connettersi ai servizi cloud Microsoft non supportati tramite il percorso di peering pubblico di Azure. L'elenco dei servizi include i servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online e Skype for Business. Microsoft prevede di supportare la connettività bidirezionale nel peering Microsoft. Il traffico destinato ai servizi cloud Microsoft nel peering pubblico deve essere inviato tramite SNAT a indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft. Il traffico destinato alla propria rete dai servizi cloud Microsoft deve essere inviato tramite SNAT al perimetro Internet per evitare il routing asimmetrico. La figura seguente fornisce un quadro generale del modo in cui deve essere configurato nat per il peering Microsoft.
Traffico proveniente dalla propria rete e destinato a Microsoft
È necessario assicurarsi che il traffico acceda al percorso di peering Microsoft con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare il proprietario del pool di indirizzi IPv4 NAT a fronte del registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR). Viene eseguito un controllo in base al numero AS con cui viene eseguito il peering e agli indirizzi IP usati per NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Gli indirizzi IP usati per la configurazione del peering pubblico di Azure e altri circuiti ExpressRoute non devono essere annunciati a Microsoft tramite la sessione BGP. Non esiste alcuna restrizione sulla lunghezza del prefisso IP NAT annunciato tramite questo peering.
Importante
Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet, altrimenti verrebbe interrotta la connettività con altri servizi Microsoft.
Traffico proveniente da Microsoft e destinato alla propria rete
- Per alcuni scenari è necessario che Microsoft avvii la connettività agli endpoint di servizio ospitati nella propria rete. Un esempio tipico dello scenario è la connettività ai server ADFS ospitati nella rete da Microsoft 365. In questi casi, è necessario inviare prefissi appropriati dalla propria rete al peering Microsoft.
- È necessario inviare il traffico Microsoft tramite SNAT al perimetro Internet per consentire agli endpoint di servizio della rete di impedire il routing asimmetrico. Le richieste e le risposte con un indirizzo IP di destinazione corrispondente a una route ricevuta da ExpressRoute passano sempre attraverso ExpressRoute. Il routing asimmetrico si verifica se la richiesta viene ricevuta tramite Internet con la risposta inviata tramite ExpressRoute. L'invio tramite SNAT del traffico Microsoft in ingresso al perimetro Internet forza il traffico di risposta di nuovo verso il perimetro Internet, risolvendo il problema.
Requisiti NAT per il peering pubblico di Azure
Nota
Il peering pubblico di Azure non è disponibile per i circuiti nuovi.
Il percorso di peering pubblico di Azure consente di connettersi a tutti i servizi ospitati in Azure tramite i relativi indirizzi IP pubblici. Sono inclusi i servizi elencati nell'articolo Domande frequenti su ExpressRoute e tutti i servizi ospitati da ISV in Microsoft Azure.
Importante
La connettività ai servizi di Microsoft Azure nel peering pubblico viene sempre avviata dalla propria rete nella rete Microsoft. Non è quindi possibile avviare sessioni da servizi di Microsoft Azure alla propria rete tramite ExpressRoute. Se si prova a eseguire questa operazione, i pacchetti inviati a tali indirizzi IP annunciati useranno Internet anziché ExpressRoute.
Il traffico destinato a Microsoft Azure nel peering pubblico deve essere inviato tramite SNAT a indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft. La figura seguente fornisce un quadro generale del modo in cui è possibile configurare NAT per soddisfare il requisito precedente.
Annunci di route e pool IP di NAT
È necessario assicurarsi che il traffico acceda al percorso di peering pubblico di Azure con un indirizzo IPv4 pubblico valido. Microsoft deve essere in grado di convalidare la proprietà del pool di indirizzi IPv4 NAT a fronte di un registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR). Viene eseguito un controllo in base al numero AS con cui viene eseguito il peering e agli indirizzi IP usati per NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .
Non esistono restrizioni per la lunghezza del prefisso IP NAT annunciato tramite questo peering. È necessario monitorare il pool NAT e assicurarsi che le sessioni NAT non siano state disattivate.
Importante
Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet, altrimenti verrebbe interrotta la connettività con altri servizi Microsoft.
Passaggi successivi
Per informazioni sul flusso di lavoro, vedere Flussi di lavoro e stati di provisioning di un circuito ExpressRoute.
Configurare la connessione ExpressRoute.