Wymagania dotyczące translatora adresów sieciowych w usłudze ExpressRoute

Aby nawiązać połączenie z usługami w chmurze firmy Microsoft przy użyciu usługi ExpressRoute, należy skonfigurować dostęp do sieci i zarządzać nimi. Niektórzy dostawcy połączenia oferują konfigurowanie translatora adresów sieciowych oraz zarządzanie nim jako usługę zarządzaną. Skontaktuj się z dostawcą połączenia, aby sprawdzić, czy taka usługa jest oferowana. Jeśli nie, musisz spełnić wymagania opisane w tym artykule.

Przejrzyj stronę ExpressRoute circuits and routing domains (Obwody i domeny routingu usługi ExpressRoute), która zawiera omówienie różnych domen routingu. Aby spełnić wymagania dotyczące publicznego adresu IP dla publicznej komunikacji równorzędnej Azure i komunikacji równorzędnej Microsoft, warto skonfigurować translator adresów sieciowych między siecią a firmą Microsoft. W tej sekcji przedstawiono szczegółowy opis infrastruktury translatora adresów sieciowych, którego należy skonfigurować.

Wymagania dotyczące translatora adresów sieciowych dla komunikacji równorzędnej firmy Microsoft

Ścieżka komunikacji równorzędnej firmy Microsoft umożliwia łączenie się z usługami w chmurze firmy Microsoft, które nie są obsługiwane za pośrednictwem publicznej ścieżki komunikacji równorzędnej azure. Lista usług obejmuje usługi Platformy Microsoft 365, takie jak Exchange Online, SharePoint Online i Skype dla firm. Firma Microsoft planuje obsługę dwukierunkowej łączności w oparciu o komunikację równorzędną firmy Microsoft. Ruch skierowany usług w chmurze firmy Microsoft musi zostać podłączony do funkcji SNAT i uzyskać prawidłowe publiczne adresy IPv4, zanim wejdzie do sieci firmy Microsoft. Ruch skierowany do Twojej sieci z usług w chmurze firmy Microsoft należy przetworzyć na granicy Internetu, aby zapobiec routingowi asymetrycznemu. Na poniższej ilustracji przedstawiono ogólny obraz sposobu konfigurowania translatora adresów sieciowych na potrzeby komunikacji równorzędnej firmy Microsoft.

Ruch pochodzący z sieci skierowany do firmy Microsoft

• Należy zadbać o to, by ruch wchodził na ścieżkę komunikacji równorzędnej Microsoft z prawidłowym publicznym adresem IPv4. Firma Microsoft musi mieć możliwość weryfikacji właściciela puli adresów translatora adresów sieciowych IPv4 względem regionalnego rejestru internetowego routingu (RIR) lub internetowego rejestru routingu (IRR). Sprawdzanie jest wykonywane na podstawie numeru AS, z którego jest używana komunikacja równorzędna, oraz adresów IP używanych dla translatora adresów sieciowych. Informacje dotyczące rejestrów routingu znajdują się w temacie ExpressRoute routing requirements (Wymagania dotyczące routingu w usłudze ExpressRoute).

• Adresów IP używanych do konfiguracji publicznej komunikacji równorzędnej Azure oraz innych obwodów usługi ExpressRoute nie można anonsować do firmy Microsoft za pośrednictwem sesji protokołu BGP. Nie ma żadnych ograniczeń dotyczących długości prefiksu adresu IP translatora adresów sieciowych anonsowanych za pośrednictwem tej komunikacji równorzędnej.

  Ważne

  Pula adresów IP translatora adresów sieciowych anonsowana do firmy Microsoft nie może być anonsowana do Internetu. Spowodowałoby to przerwanie łączności z innymi usługami firmy Microsoft.

Ruch pochodzący z firmy Microsoft skierowany do sieci

• Niektóre scenariusze wymagają od firmy Microsoft zainicjowania połączenia z punktami końcowymi usługi obsługiwanymi w ramach sieci użytkownika. Typowym przykładem scenariusza jest łączność z serwerami usług AD FS hostowanymi w sieci z platformy Microsoft 365. W takich przypadkach należy przefiltrować odpowiednie prefiksy z sieci użytkownika do komunikacji równorzędnej firmy Microsoft.
• Należy użyć funkcji SNAT względem ruchu z firmy Microsoft na granicy Internetu w punktach końcowych usługi w Twojej sieci, aby zapobiec routingowi asymetrycznemu. Żądania i odpowiedzi z docelowym adresem IP zgodnym z trasą odebraną z usługi ExpressRoute zawsze przechodzą przez usługę ExpressRoute. Routing asymetryczny występuje w przypadku odebrania żądania przez Internet z odpowiedzią wysłaną za pomocą usługi ExpressRoute. Użycie funkcji SNAT względem ruchu przychodzącego z firmy Microsoft na granicy Internetu wymusza zwrócenie ruchu odpowiedzi do granicy Internetu, co rozwiązuje problem.

Wymagania dotyczące translatora adresów sieciowych dla publicznej komunikacji równorzędnej Azure

Uwaga

Publiczna komunikacja równorzędna platformy Azure nie jest dostępna dla nowych obwodów.

Ścieżka publicznej komunikacji równorzędnej Azure umożliwia łączenie ze wszystkimi usługami obsługiwanymi na platformie Azure za pośrednictwem ich publicznych adresów IP. Dotyczy to usług wymienionych w temacie ExpessRoute FAQ (ExpessRoute — często zadawane pytania) i wszystkich usług obsługiwanych przez niezależnych dostawców oprogramowania na platformie Microsoft Azure.

Ważne

Połączenie z usługami Microsoft Azure w publicznej komunikacji równorzędnej jest zawsze inicjowane z sieci użytkownika do sieci Microsoft. Dlatego sesji nie można zainicjować z poziomu usług Microsoft Azure do sieci za pośrednictwem usługi ExpressRoute. Po podjęciu takiej próby pakiety wysłane do anonsowanych adresów IP będą korzystać z Internetu, zamiast z usługi ExpressRoute.

Ruch skierowany do platformy Microsoft Azure w publicznej komunikacji równorzędnej musi zostać podłączony do funkcji SNAT i uzyskać prawidłowe publiczne adresy IPv4, zanim wejdzie do sieci firmy Microsoft. Na poniższej ilustracji przedstawiono ogólny obraz sposobu konfigurowania translatora adresów sieciowych w celu spełnienia powyższych wymagań.

Anonse puli adresów IP translatora adresów sieciowych oraz tras

Należy zadbać o to, by ruch wchodził na ścieżkę publicznej komunikacji równorzędnej Azure z prawidłowym publicznym adresem IPv4. Firma Microsoft musi mieć możliwość weryfikacji własności puli adresów translatora adresów sieciowych IPv4 względem regionalnego rejestru internetowego routingu (RIR) lub internetowego rejestru routingu (IRR). Sprawdzanie jest wykonywane na podstawie numeru AS, z którego jest używana komunikacja równorzędna, oraz adresów IP używanych dla translatora adresów sieciowych. Informacje dotyczące rejestrów routingu znajdują się w temacie ExpressRoute routing requirements (Wymagania dotyczące routingu w usłudze ExpressRoute).

Nie ma żadnych ograniczeń w zakresie długości prefiksu IP translatora adresów sieciowych anonsowanego za pośrednictwem komunikacji równorzędnej. Należy monitorować pulę translatora adresów sieciowych i upewnić się, że nie są zagęszczone sesje translatora adresów sieciowych.

Ważne

Pula adresów IP translatora adresów sieciowych anonsowana do firmy Microsoft nie może być anonsowana do Internetu. Spowodowałoby to przerwanie łączności z innymi usługami firmy Microsoft.

Następne kroki

• Zapoznaj się z wymaganiami dotyczącymi routingu i technologii QoS.

• Informacje o przepływach pracy można znaleźć w artykule ExpressRoute circuit provisioning workflows and circuit states (Przepływy pracy inicjowania obsługi obwodu i stany obwodu usługi ExpressRoute).

• Skonfiguruj połączenie usługi ExpressRoute.

  • Create an ExpressRoute circuit (Tworzenie obwodu usługi ExpressRoute)
  • Configure routing (Konfigurowanie routingu)
  • Link a VNet to an ExpressRoute circuit (Łączenie sieci wirtualnej z obwodem usługi ExpressRoute)