Бөлісу құралы:


Требования ExpressRoute к NAT

Чтобы подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо настроить и управлять ими. Некоторые поставщики услуг подключения предлагают настройку NAT как управляемой службы и управление этой службой. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу. В противном случае необходимо придерживаться требований, описанных в этой статье.

Общие сведения о различных доменах маршрутизации см. в статье Каналы ExpressRoute и домены маршрутизации. Для выполнения требований об открытых IP-адресах для общедоступного пиринга Azure и пиринга Майкрософт рекомендуем настроить NAT между вашей сетью и Майкрософт. В этом разделе подробно описана инфраструктура NAT, которую вам нужно настроить.

Требования NAT для пиринга Майкрософт

Путь пиринга Майкрософт позволяет подключаться к облачным службам Майкрософт. В список этих служб входят службы Microsoft 365, такие как Exchange Online, SharePoint Online и Skype для бизнеса. Корпорация Майкрософт рассчитывает на поддержку двустороннего подключения через пиринг Майкрософт. Прежде чем попасть в сеть Майкрософт, трафик, предназначенный для передачи в облачные службы Майкрософт через общедоступный пиринг, необходимо подвергнуть исходящему преобразованию сетевых адресов в действительные адреса IPv4. Чтобы предотвратить асимметричную маршрутизацию, трафик, передаваемый из облачных служб Майкрософт, необходимо подвергнуть преобразованию исходящих сетевых адресов на границе с Интернетом. На следующем рисунке представлено высокоуровневое представление о настройке NAT для пиринга Майкрософт.

Высокоуровневая схема настройки NAT для пиринга Майкрософт.

Трафик, исходящий из локальной сети и предназначенный для Microsoft

  • Убедитесь, что трафик поступает по пути пиринга Майкрософт с действительным открытым адресом IPv4. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR). Проверка выполняется на основе номера AS, с которым выполняется пиринг, и IP-адресов, используемых для NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.

  • IP-адреса, используемые для установки пиринга Майкрософт и других каналов ExpressRoute, не должны объявляться корпорации Майкрософт через сеанс BGP. Нет ограничений на длину префикса IP-адресов NAT, объявленного через этот пиринг.

    Внимание

    Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете. Это приведет к разрыву подключения к другим службам Microsoft. Мы рекомендуем использовать общедоступный IP-адрес из диапазона, назначенного первичной или вторичной ссылке. Вместо этого следует использовать другой диапазон общедоступных IP-адресов, назначенных вам и зарегистрированных в региональном реестре Интернета (RIR) или реестре маршрутизации Интернета (IRR). В зависимости от тома вызова этот диапазон может быть как небольшой, как один IP-адрес (представленный как "/32" для IPv4 или "/128" для IPv6).

Трафик, исходящий из Майкрософт и предназначенный для вашей сети

  • В некоторых сценариях от Майкрософт требуется запуск подключения к конечным точкам службы, размещенным в вашей сети. В качестве типового примера можно привести подключение Microsoft 365 к серверам ADFS, размещенным в вашей сети. В таких случаях необходима передача соответствующих префиксов из вашей сети в пиринг Майкрософт.
  • Чтобы предотвратить асимметричную маршрутизацию, необходимо подвергнуть преобразованию исходящих сетевых адресов трафик Майкрософт на границе с Интернетом для конечных точек службы в вашей сети. Запросы и ответы с IP-адресом назначения, соответствующим маршруту, полученному из ExpressRoute, всегда проходят через ExpressRoute. Асимметричная маршрутизация будет существовать, если запрос, полученный через Интернет, содержит ответ, отправленный через ExpressRoute. Если подвергнуть преобразованию исходящих сетевых адресов входящий трафик Майкрософт на границе с Интернетом, то для разрешения проблемы необходимо будет отправить ответ обратно на границу с Интернетом.

Асимметричная маршрутизация с помощью ExpressRoute

Пул IP-адресов и объявления маршрутов для NAT

Необходимо убедиться, что трафик вводит путь пиринга Microsoft Azure с допустимым общедоступным IPv4-адресом. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR). Проверка выполняется на основе номера AS, с которым выполняется пиринг, и IP-адресов, используемых для NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.

Длина префиксов IP-адресов для NAT, объявляемых с помощью этого пиринга, не ограничивается. Необходимо отслеживать пул NAT и убедиться, что вы не голодаете сеансов NAT.

Внимание

Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете. Это приведет к разрыву подключения к другим службам Microsoft. Мы рекомендуем использовать общедоступный IP-адрес из диапазона, назначенного первичной или вторичной ссылке. Вместо этого следует использовать другой диапазон общедоступных IP-адресов, назначенных вам и зарегистрированных в региональном реестре Интернета (RIR) или реестре маршрутизации Интернета (IRR). В зависимости от тома вызова этот диапазон может быть как небольшой, как один IP-адрес (представленный как "/32" для IPv4 или "/128" для IPv6).

Следующие шаги