ExpressRoutes NAT-krav

Om du vill ansluta till Microsofts molntjänster med ExpressRoute måste du konfigurera och hantera NATs. Vissa anslutningsleverantörer erbjuder konfigurering och hantering av NAT som en hanterad tjänst. Fråga din anslutningsleverantör om de erbjuder denna tjänst. Annars måste du följa de krav som beskrivs i den här artikeln.

Läs sidan ExpressRoute-kretsar och routningsdomäner om du vill få en översikt över de olika routningsdomänerna. För att uppfylla de offentliga IP-adresskraven för Azures offentliga och Microsofts peering, rekommenderar vi att du konfigurerar NAT mellan nätverket och Microsoft. Det här avsnittet innehåller en detaljerad beskrivning av den NAT-infrastruktur som du måste konfigurera.

NAT-krav för Microsoft-peering

Med Microsofts peeringsökväg kan du ansluta till Microsofts molntjänster som inte stöds via den offentliga Peering-sökvägen i Azure. Listan över tjänster innehåller Microsoft 365-tjänster, till exempel Exchange Online, SharePoint Online och Skype för företag. Microsoft förväntas stödja dubbelriktad anslutning i Microsofts peering. Trafik till Microsofts molntjänster måste vara SNATed till giltiga offentliga IPv4-adresser innan de kommer in i Microsoft-nätverket. Trafik som är avsedd för ditt nätverk från Microsofts molntjänster måste vara SNATed i din Internet-anslutning för att förhindra asymmetrisk routning. Följande bild ger en övergripande bild av hur NAT ska konfigureras för Microsoft-peering.

Trafik från nätverket till Microsoft

• Du måste se till att trafiken som kommer till Microsofts peeringsökväg har en giltig offentlig IPv4-adress. Microsoft måste kunna verifiera ägaren till IPv4 NAT-adresspoolen mot ett regionalt RIR (Routing Internet Registry) eller ett IRR (Internet Routing Registry). En kontroll utförs baserat på det AS-nummer som peerkopplas med och de IP-adresser som används för NAT. Se sidan ExpressRoute-routningskrav för information om routningsregister.

• IP-adresser som används vid konfigurationen av Azures offentliga peering och andra ExpressRoute-kretsar får inte annonseras till Microsoft via BGP-sessionen. Det finns ingen begränsning för längden på NAT IP-prefixet som annonseras via den här peeringen.

  Viktigt

  NAT:s IP-pool som annonseras till Microsoft får inte annonseras till Internet. Detta bryter anslutningen till andra Microsoft-tjänster.

Trafik från Microsoft till ditt nätverk

• Vissa scenarier kräver att Microsoft initierar anslutningen till tjänstens slutpunkter som finns i ditt nätverk. Ett typiskt exempel på scenariot är anslutning till ADFS-servrar som finns i nätverket från Microsoft 365. I sådana fall måste du meddela lämpliga prefix från ditt nätverk till Microsofts peering.
• Du måste använda SNAT för Microsoft-trafik för din Internet-anslutning för tjänstens slutpunkter i nätverket för att förhindra asymmetrisk routning. Begäranden och svar med en mål-IP som matchar en väg som tas emot från ExpressRoute går alltid via ExpressRoute. Asymmetrisk routning sker om en begäran tas emot via Internet när svaret skickas via ExpressRoute. Om du använder SNAT för den inkommande Microsoft-trafiken på Internet-anslutningen tvingas svarstrafiken tillbaka till Internet-anslutningen, vilket löser problemet.

NAT-krav för Azures offentliga peering

Anteckning

Offentlig Peering i Azure är inte tillgängligt för nya kretsar.

Med Azures offentliga peeringsökväg kan du ansluta till alla tjänster som finns i Azure med deras offentliga IP-adresser. Det inkluderar tjänster som finns i listan Vanliga frågor och svar om ExpressRoute och tjänster med ISV:er i Microsoft Azure.

Viktigt

Anslutningen till Microsoft Azure-tjänster vid offentlig peering initieras alltid från ditt nätverk till Microsoft-nätverket. Därför kan du inte initiera sessioner från Microsoft Azure-tjänster till nätverket via ExpressRoute. Om du försöker göra det skickas paket till annonserade IP-adresser via internet istället för ExpressRoute.

Trafik till Microsoft Azure vid offentlig peering måste vara SNATed till giltiga offentliga IPv4-adresser innan de kommer in i Microsoft-nätverket. Följande bild ger en övergripande bild av hur NAT kan konfigureras för att uppfylla ovanstående krav.

NAT:s IP-pool och routningsmeddelanden

Du måste se till att trafiken som kommer in via Azures offentliga peeringsökväg har en giltig offentlig IPv4-adress. Microsoft måste kunna verifiera ägarskapet för IPv4 NAT-adresspoolen mot ett regionalt RIR (Routing Internet Registry) eller ett IRR (Internet Routing Registry). En kontroll utförs baserat på det AS-nummer som peerkopplas med och de IP-adresser som används för NAT. Se sidan ExpressRoute-routningskrav för information om routningsregister.

Det finns inga begränsningar för längden på NAT:s IP-prefix som annonseras vid peeringen. Du måste övervaka NAT-poolen och se till att du inte är utsvulten på NAT-sessioner.

Viktigt

NAT:s IP-pool som annonseras till Microsoft får inte annonseras till Internet. Detta bryter anslutningen till andra Microsoft-tjänster.

Nästa steg

• Se kraven för Routning och QoS.

• Arbetsflödesinformation finns i ExpressRoute-kretsens etablering av arbetsflöden och kretsstatus.

• Konfigurera ExpressRoute-anslutningen.

  • Skapa en ExpressRoute-krets
  • Konfigurera routning
  • Länka ett VNet till en ExpressRoute-krets