Requisitos do NAT do ExpressRoute

Para ligar aos serviços cloud da Microsoft com o ExpressRoute, tem de configurar e gerir NATs. Alguns fornecedores de conectividade oferecem a configuração e a gestão do NAT como um serviço gerido. Contacte o seu fornecedor de conectividade para ver se oferece tal serviço. Caso contrário, tem de cumprir os requisitos descritos neste artigo.

Reveja a página Circuitos ExpressRoute e domínios de encaminhamento para obter uma descrição geral de vários domínios de encaminhamento. Para cumprir os requisitos públicos de endereço IP para o Azure público e peering da Microsoft, recomendamos que configure o NAT entre a sua rede e a Microsoft. Esta secção fornece uma descrição detalhada da infraestrutura do NAT que tem de configurar.

Requisitos do NAT para peering da Microsoft

O caminho do peering da Microsoft permite-lhe ligar-se a serviços cloud da Microsoft que não são suportados através do caminho de peering público do Azure. A lista de serviços inclui serviços do Microsoft 365, como Exchange Online, SharePoint Online e Skype para Empresas. A Microsoft espera suportar uma conetividade bidirecional no peering da Microsoft. O tráfego destinado aos serviços em nuvem da Microsoft tem de realizar um SNAT para endereços IPv4 públicos válidos antes de serem introduzidos na rede da Microsoft. O tráfego destinado à sua rede a partir dos serviços cloud da Microsoft tem de realizar um SNAT no intervalo de Internet para prevenir o encaminhamento assimétrico. A figura seguinte fornece uma imagem de alto nível de como o NAT deve ser configurado para o peering da Microsoft.

Tráfego com origem na sua rede destinado à Microsoft

• Deve garantir que o tráfego está a entrar no caminho de peering da Microsoft com um endereço IPv4 público válido. A Microsoft deve conseguir validar o proprietário do conjunto de endereços IPv4 NAT num registo de Internet de encaminhamento regional (RIR) ou num registo de encaminhamento de Internet (IRR). É efetuada uma verificação com base no número AS em modo de peering e nos endereços IP utilizados para o NAT. Veja a página Requisitos do encaminhamento do ExpressRoute para obter informações sobre os registos do encaminhamento.

• Os endereços IP utilizados para a configuração do peering público Azure e outros circuitos ExpressRoute não devem ser anunciados à Microsoft através da sessão do BGP. Não existe nenhuma restrição ao comprimento do prefixo NAT IP anunciado através deste peering.

  Importante

  O conjunto IP do NAT anunciado para a Microsoft não deve ser anunciado à Internet. Tal irá interromper a conectividade a outros serviços Microsoft.

Tráfego com origem na Microsoft destinado à sua rede

• Determinados cenários requerem que a Microsoft inicie a conectividade com pontos finais de serviço alojados na sua rede. Um exemplo típico do cenário seria a conectividade aos servidores do ADFS alojados na sua rede a partir do Microsoft 365. Nestes casos, deve fornecer prefixos apropriados da sua rede para o peering da Microsoft.
• É necessário realizar SNAT de tráfego Microsoft para o intervalo de Internet dos pontos finais do serviço na rede de modo a impedir o encaminhamento assimétrico. Os pedidos e respostas com um IP de destino que correspondem a uma rota recebida do ExpressRoute passam sempre pelo ExpressRoute. O encaminhamento assimétrico existe se o pedido for recebido através da Internet com a resposta enviada por ExpressRoute. A entrada de SNAT de tráfego Microsoft no intervalo de Internet força o tráfego de resposta de volta para o intervalo de Internet, resolvendo o problema.

Requisitos do NAT para o peering público Azure

Nota

O peering público do Azure não está disponível para novos circuitos.

O caminho de peering público Azure permite-lhe ligar a todos os serviços alojados no Azure ao longo dos respetivos endereços IP públicos. Estes incluem os serviços listados nas FAQ do ExpressRoute e quaisquer serviços alojados pelos ISVs no Microsoft Azure.

Importante

A conectividade aos serviços do Microsoft Azure em peering público é sempre iniciada a partir da sua rede para a rede da Microsoft. Por conseguinte, as sessões não podem iniciar a partir de serviços do Microsoft Azure para a sua rede através do ExpressRoute. Se tentou, os pacotes enviados para estes IPs anunciados irão utilizar a internet, em vez do ExpressRoute.

O tráfego destinado ao Microsoft Azure em peering público tem de realizar um SNAT para endereços IPv4 públicos válidos antes de serem introduzidos na rede da Microsoft. A figura seguinte fornece uma imagem de alto nível de como o NAT pode ser configurado para cumprir o requisito acima.

Conjunto IP do NAT e anúncios de rota

Deve garantir que o tráfego está a entrar no caminho de peering público Azure com um endereço IPv4 público válido. A Microsoft deve conseguir validar a propriedade do conjunto de endereços IPv4 NAT num registo de Internet de encaminhamento regional (RIR) ou num registo de encaminhamento de Internet (IRR). É efetuada uma verificação com base no número AS em modo de peering e nos endereços IP utilizados para o NAT. Veja a página Requisitos do encaminhamento do ExpressRoute para obter informações sobre os registos do encaminhamento.

Não existem restrições ao comprimento do prefixo do IP do NAT anunciado através deste peering. Tem de monitorizar o conjunto NAT e garantir que não está sem sessões NAT.

Importante

O conjunto IP do NAT anunciado para a Microsoft não deve ser anunciado à Internet. Tal irá interromper a conectividade a outros serviços Microsoft.

Passos seguintes

• Veja os requisitos para Encaminhamento e QoS.

• Para obter informações sobre o fluxo de trabalho, veja Circuito ExpressRoute aprovisiona fluxos de trabalho e estados de circuitos.

• Configurar a ligação do ExpressRoute.

  • Criar um circuito do ExpressRoute
  • Configure o encaminhamento
  • Ligar uma VNet a um circuito do ExpressRoute