Dela via


ExpressRoutes NAT-krav

Om du vill ansluta till Microsofts molntjänster med ExpressRoute måste du konfigurera och hantera NATs. Vissa anslutningsleverantörer erbjuder konfigurering och hantering av NAT som en hanterad tjänst. Fråga din anslutningsleverantör om de erbjuder denna tjänst. Annars måste du följa de krav som beskrivs i den här artikeln.

Läs sidan ExpressRoute-kretsar och routningsdomäner om du vill få en översikt över de olika routningsdomänerna. För att uppfylla de offentliga IP-adresskraven för Azures offentliga och Microsofts peering, rekommenderar vi att du konfigurerar NAT mellan nätverket och Microsoft. Det här avsnittet innehåller en detaljerad beskrivning av den NAT-infrastruktur som du måste konfigurera.

NAT-krav för Microsoft-peering

Med Microsoft peeringsökväg kan du ansluta till Microsofts molntjänster. Listan över tjänster innehåller Microsoft 365-tjänster, till exempel Exchange Online, SharePoint Online och Skype za posao. Microsoft förväntas stödja dubbelriktad anslutning i Microsofts peering. Trafik till Microsofts molntjänster måste vara SNATed till giltiga offentliga IPv4-adresser innan de kommer in i Microsoft-nätverket. Trafik som är avsedd för ditt nätverk från Microsofts molntjänster måste vara SNATed i din Internet-anslutning för att förhindra asymmetrisk routning. Följande bild ger en övergripande bild av hur NAT ska konfigureras för Microsoft-peering.

Diagram på hög nivå över hur NAT ska konfigureras för Microsoft-peering.

Trafik från nätverket till Microsoft

  • Du måste se till att trafiken som kommer till Microsofts peeringsökväg har en giltig offentlig IPv4-adress. Microsoft måste kunna verifiera ägaren till IPv4 NAT-adresspoolen mot ett regionalt RIR (Routing Internet Registry) eller ett IRR (Internet Routing Registry). En kontroll utförs baserat på det AS-nummer som peerkopplas med och de IP-adresser som används för NAT. Se sidan ExpressRoute-routningskrav för information om routningsregister.

  • IP-adresser som används för Konfiguration av Microsoft-peering och andra ExpressRoute-kretsar får inte annonseras till Microsoft via BGP-sessionen. Det finns ingen begränsning för längden på NAT IP-prefixet som annonseras via den här peeringen.

    Viktigt!

    NAT:s IP-pool som annonseras till Microsoft får inte annonseras till Internet. Detta bryter anslutningen till andra Microsoft-tjänster. Vi avråder från en offentlig IP-adress från det intervall som tilldelats till den primära eller sekundära länken. I stället bör du använda ett annat intervall med offentliga IP-adresser som har tilldelats dig och registrerats i ett regionalt Internetregister (RIR) eller Internet Routing Registry (IRR). Beroende på samtalsvolymen kan det här intervallet vara så litet som en enskild IP-adress (representeras som "/32" för IPv4 eller "/128" för IPv6).

Trafik från Microsoft till ditt nätverk

  • Vissa scenarier kräver att Microsoft initierar anslutningen till tjänstens slutpunkter som finns i ditt nätverk. Ett typiskt exempel på scenariot är anslutningen till ADFS-servrar som finns i nätverket från Microsoft 365. I sådana fall måste du meddela lämpliga prefix från ditt nätverk till Microsofts peering.
  • Du måste använda SNAT för Microsoft-trafik för din Internet-anslutning för tjänstens slutpunkter i nätverket för att förhindra asymmetrisk routning. Begäranden och svar med en mål-IP som matchar en väg som tas emot från ExpressRoute går alltid via ExpressRoute. Asymmetrisk routning sker om en begäran tas emot via Internet när svaret skickas via ExpressRoute. Om du använder SNAT för den inkommande Microsoft-trafiken på Internet-anslutningen tvingas svarstrafiken tillbaka till Internet-anslutningen, vilket löser problemet.

Asymmetrisk routning med ExpressRoute

NAT:s IP-pool och routningsmeddelanden

Du måste se till att trafiken kommer in i Azure Microsoft-peeringsökvägen med en giltig offentlig IPv4-adress. Microsoft måste kunna verifiera ägarskapet för IPv4 NAT-adresspoolen mot ett regionalt RIR (Routing Internet Registry) eller ett IRR (Internet Routing Registry). En kontroll utförs baserat på det AS-nummer som peerkopplas med och de IP-adresser som används för NAT. Se sidan ExpressRoute-routningskrav för information om routningsregister.

Det finns inga begränsningar för längden på NAT:s IP-prefix som annonseras vid peeringen. Du måste övervaka NAT-poolen och se till att du inte är utsvulten på NAT-sessioner.

Viktigt!

NAT:s IP-pool som annonseras till Microsoft får inte annonseras till Internet. Detta bryter anslutningen till andra Microsoft-tjänster. Vi avråder från en offentlig IP-adress från det intervall som tilldelats till den primära eller sekundära länken. I stället bör du använda ett annat intervall med offentliga IP-adresser som har tilldelats dig och registrerats i ett regionalt Internetregister (RIR) eller Internet Routing Registry (IRR). Beroende på samtalsvolymen kan det här intervallet vara så litet som en enskild IP-adress (representeras som "/32" för IPv4 eller "/128" för IPv6).

Nästa steg