Требования ExpressRoute к NAT
Чтобы подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо настроить NAT и управлять ими. Некоторые поставщики услуг подключения предлагают настройку NAT как управляемой службы и управление этой службой. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу. В противном случае необходимо соблюдать требования, описанные в этой статье.
Общие сведения о различных доменах маршрутизации см. в статье Каналы ExpressRoute и домены маршрутизации. Для выполнения требований об открытых IP-адресах для общедоступного пиринга Azure и пиринга Майкрософт рекомендуем настроить NAT между вашей сетью и Майкрософт. В этом разделе подробно описана инфраструктура NAT, которую вам нужно настроить.
Требования NAT для пиринга Майкрософт
Путь пиринга Майкрософт позволяет подключаться к облачным службам Майкрософт, которые не поддерживаются через общедоступный путь пиринга Azure. В список этих служб входят службы Microsoft 365, такие как Exchange Online, SharePoint Online и Skype для бизнеса. Корпорация Майкрософт рассчитывает на поддержку двустороннего подключения через пиринг Майкрософт. Прежде чем попасть в сеть Майкрософт, трафик, предназначенный для передачи в облачные службы Майкрософт через общедоступный пиринг, необходимо подвергнуть исходящему преобразованию сетевых адресов в действительные адреса IPv4. Чтобы предотвратить асимметричную маршрутизацию, трафик, передаваемый из облачных служб Майкрософт, необходимо подвергнуть преобразованию исходящих сетевых адресов на границе с Интернетом. На следующем рисунке показано общее представление о настройке NAT для пиринга Майкрософт.
Трафик, исходящий из локальной сети и предназначенный для Microsoft
Убедитесь, что трафик поступает по пути пиринга Майкрософт с действительным открытым адресом IPv4. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR). Проверка выполняется на основе номера AS, с которым выполняется пиринг, и IP-адресов, используемых для NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.
IP-адреса, используемые для настройки общедоступного пиринга Azure и других каналов ExpressRoute .нельзя объявлять Майкрософт в сеансе BGP. Нет ограничений на длину префикса IP-адреса NAT, объявленного через этот пиринг.
Важно!
Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете. Это приведет к разрыву подключения к другим службам Microsoft.
Трафик, исходящий из Майкрософт и предназначенный для вашей сети
- В некоторых сценариях от Майкрософт требуется запуск подключения к конечным точкам службы, размещенным в вашей сети. В качестве типового примера можно привести подключение Microsoft 365 к серверам ADFS, размещенным в вашей сети. В таких случаях необходима передача соответствующих префиксов из вашей сети в пиринг Майкрософт.
- Чтобы предотвратить асимметричную маршрутизацию, необходимо подвергнуть преобразованию исходящих сетевых адресов трафик Майкрософт на границе с Интернетом для конечных точек службы в вашей сети. Запросы и ответы с IP-адресом назначения, которые соответствуют маршруту, полученному от ExpressRoute, всегда проходят через ExpressRoute. Асимметричная маршрутизация будет существовать, если запрос, полученный через Интернет, содержит ответ, отправленный через ExpressRoute. Если подвергнуть преобразованию исходящих сетевых адресов входящий трафик Майкрософт на границе с Интернетом, то для разрешения проблемы необходимо будет отправить ответ обратно на границу с Интернетом.
Требования к NAT для общедоступного пиринга Azure
Примечание
Общедоступный пиринг Azure не рекомендуется для новых каналов.
Путь общедоступного пиринга Azure позволяет подключаться ко всем службам, размещенным в Azure, по их открытым IP-адресам. Сюда входят службы, перечисленные в статье Вопросы и ответы по ExpessRoute, а также все службы, размещенные независимыми поставщиками программного обеспечения в Microsoft Azure.
Важно!
Подключение к службам Microsoft Azure через общедоступный пиринг всегда осуществляется от локальной сети к сети Microsoft. Таким образом, через ExpressRoute невозможно инициировать сеансы из служб Microsoft Azure к вашей сети. При попытке это сделать пакеты, отправляемые по объявленным IP-адресам, вместо ExpressRoute будут использовать Интернет.
Прежде чем попасть в сеть Майкрософт, трафик, предназначенный для передачи в Microsoft Azure через общедоступный пиринг, необходимо подвергнуть исходящему преобразованию сетевых адресов в действительные адреса IPv4. На следующем рисунке показано общее представление о том, как можно настроить NAT в соответствии с указанным выше требованием.
Пул IP-адресов и объявления маршрутов для NAT
Убедитесь, что трафик поступает в Azure по пути общедоступного пиринга с действительным открытым адресом IPv4. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR). Проверка выполняется на основе номера AS, с которым выполняется пиринг, и IP-адресов, используемых для NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.
Длина префиксов IP-адресов для NAT, объявляемых с помощью этого пиринга, не ограничивается. Вы должны отслеживать пул NAT и убедиться, что вы не голодаете от сеансов NAT.
Важно!
Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете. Это приведет к разрыву подключения к другим службам Microsoft.
Дальнейшие действия
См. сведения о требованиях к маршрутизации и качеству обслуживания.
Сведения о рабочем процессе см. в статье Процедуры ExpressRoute для подготовки каналов и состояний каналов.
Настройте подключение ExpressRoute.