Partilhar via


ExpressRoute NAT requirements (Requisitos de NAT do ExpressRoute)

Para se conectar aos serviços de nuvem da Microsoft usando a Rota Expressa, você precisa configurar e gerenciar NATs. Alguns fornecedores de conectividade oferecem a configuração e a gestão do NAT como um serviço gerido. Contacte o seu fornecedor de conectividade para ver se oferece tal serviço. Caso contrário, você deve aderir aos requisitos descritos neste artigo.

Reveja a página Circuitos ExpressRoute e domínios de encaminhamento para obter uma descrição geral de vários domínios de encaminhamento. Para cumprir os requisitos públicos de endereço IP para o Azure público e peering da Microsoft, recomendamos que configure o NAT entre a sua rede e a Microsoft. Esta secção fornece uma descrição detalhada da infraestrutura do NAT que tem de configurar.

Requisitos do NAT para peering da Microsoft

O caminho de peering da Microsoft permite-lhe lugar aos serviços cloud da Microsoft. A lista de serviços inclui serviços do Microsoft 365, como Exchange Online, SharePoint Online e Skype for Business. A Microsoft espera suportar uma conetividade bidirecional no peering da Microsoft. O tráfego destinado aos serviços em nuvem da Microsoft tem de realizar um SNAT para endereços IPv4 públicos válidos antes de serem introduzidos na rede da Microsoft. O tráfego destinado à sua rede a partir dos serviços cloud da Microsoft tem de realizar um SNAT no intervalo de Internet para prevenir o encaminhamento assimétrico. A figura a seguir fornece uma imagem de alto nível de como o NAT deve ser configurado para emparelhamento da Microsoft.

Diagrama de alto nível de como o NAT deve ser configurado para emparelhamento da Microsoft.

Tráfego com origem na sua rede destinado à Microsoft

  • Deve garantir que o tráfego está a entrar no caminho de peering da Microsoft com um endereço IPv4 público válido. A Microsoft deve conseguir validar o proprietário do conjunto de endereços IPv4 NAT num registo de Internet de encaminhamento regional (RIR) ou num registo de encaminhamento de Internet (IRR). Uma verificação é realizada com base no número AS que está sendo emparelhado e nos endereços IP usados para o NAT. Veja a página Requisitos do encaminhamento do ExpressRoute para obter informações sobre os registos do encaminhamento.

  • Os endereços IP usados para a configuração de emparelhamento da Microsoft e outros circuitos de Rota Expressa não devem ser anunciados à Microsoft por meio da sessão BGP. Não há nenhuma restrição quanto ao comprimento do prefixo IP NAT anunciado através deste emparelhamento.

    Importante

    O conjunto IP do NAT anunciado para a Microsoft não deve ser anunciado à Internet. Tal irá interromper a conectividade a outros serviços Microsoft. Desaconselhamos um endereço IP público do intervalo atribuído ao link primário ou secundário. Em vez disso, você deve usar um intervalo diferente de endereços IP públicos que foram atribuídos a você e registrados em um Registro Regional da Internet (RIR) ou Registro de Roteamento da Internet (IRR). Dependendo do volume de chamadas, esse intervalo pode ser tão pequeno quanto um único endereço IP (representado como '/32' para IPv4 ou '/128' para IPv6).

Tráfego com origem na Microsoft destinado à sua rede

  • Determinados cenários requerem que a Microsoft inicie a conectividade com pontos finais de serviço alojados na sua rede. Um exemplo típico do cenário seria a conectividade com servidores ADFS hospedados em sua rede a partir do Microsoft 365. Nestes casos, deve fornecer prefixos apropriados da sua rede para o peering da Microsoft.
  • É necessário realizar SNAT de tráfego Microsoft para o intervalo de Internet dos pontos finais do serviço na rede de modo a impedir o encaminhamento assimétrico. As solicitações e respostas com um IP de destino que correspondem a uma rota recebida da Rota Expressa sempre passam pela Rota Expressa. O encaminhamento assimétrico existe se o pedido for recebido através da Internet com a resposta enviada por ExpressRoute. A entrada de SNAT de tráfego Microsoft no intervalo de Internet força o tráfego de resposta de volta para o intervalo de Internet, resolvendo o problema.

Encaminhamento assimétrico com o ExpressRoute

Conjunto IP do NAT e anúncios de rota

Você deve garantir que o tráfego esteja entrando no caminho de emparelhamento da Microsoft do Azure com um endereço IPv4 público válido. A Microsoft deve conseguir validar a propriedade do conjunto de endereços IPv4 NAT num registo de Internet de encaminhamento regional (RIR) ou num registo de encaminhamento de Internet (IRR). Uma verificação é realizada com base no número AS que está sendo emparelhado e nos endereços IP usados para o NAT. Veja a página Requisitos do encaminhamento do ExpressRoute para obter informações sobre os registos do encaminhamento.

Não existem restrições ao comprimento do prefixo do IP do NAT anunciado através deste peering. Você deve monitorar o pool de NAT e garantir que você não está faminto de sessões de NAT.

Importante

O conjunto IP do NAT anunciado para a Microsoft não deve ser anunciado à Internet. Tal irá interromper a conectividade a outros serviços Microsoft. Desaconselhamos um endereço IP público do intervalo atribuído ao link primário ou secundário. Em vez disso, você deve usar um intervalo diferente de endereços IP públicos que foram atribuídos a você e registrados em um Registro Regional da Internet (RIR) ou Registro de Roteamento da Internet (IRR). Dependendo do volume de chamadas, esse intervalo pode ser tão pequeno quanto um único endereço IP (representado como '/32' para IPv4 ou '/128' para IPv6).

Próximos passos