你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

ExpressRoute NAT 要求

若要使用 ExpressRoute 连接到 Microsoft 云服务,需要设置并管理 NAT。 某些连接服务提供商以托管服务形式提供 NAT 的设置和管理。 请咨询连接服务提供商,以确定他们是否提供此类服务。 如果没有,则必须遵守本文中所述的相关要求。

查看 ExpressRoute 线路和路由域 页,获得各种路由域概述。 为了符合 Azure 公共和 Microsoft 对等互连的公共 IP 地址要求,建议在网络与 Microsoft 之间设置 NAT。 本部分提供需要设置的 NAT 基础结构的详细描述。

Microsoft 对等互连的 NAT 要求

可以使用 Microsoft 对等互连路径连接到 Microsoft 云服务。 服务列表包括 Microsoft 365 服务,例如 Exchange Online、SharePoint Online 和 Skype for Business。 Microsoft 有望在 Microsoft 对等互连上支持双向连接。 定向到 Microsoft 云服务的流量必须由 SNAT 转换成有效的公共 IPv4 地址才能进入 Microsoft 网络。 从 Microsoft 云服务定向到网络的流量必须在 Internet 边缘进行 SNAT 转换,避免非对称路由。 下图提供了有关如何为 Microsoft 对等互连设置 NAT 的综合示意图。

有关应如何为 Microsoft 对等互连设置 NAT 的概要示意图。

从网络发起的,目标为 Microsoft 的流量

  • 必须确保流量进入公共 IPv4 地址有效的 Microsoft 对等互连路径。 Microsoft 必须能够根据区域路由 Internet 注册表 (RIR) 或 Internet 路由注册表 (IRR) 验证 IPv4 NAT 地址池的所有权。 会根据配对的 AS 编号和用于 NAT 的 IP 地址执行检查。 有关路由注册的信息,请参阅 ExpressRoute 路由要求 页。

  • 用于 Microsoft 对等互连设置和其他 ExpressRoute 线路的 IP 地址不得通过 BGP 会话向 Microsoft 播发。 通过此对等互连播发的 NAT IP 前缀长度没有限制。

    重要

    已播发到 Microsoft 的 NAT IP 池不得播发到 Internet。 这会中断其他 Microsoft 服务的连接。

从 Microsoft 发起的,目标为网络的流量

  • 某些方案需要 Microsoft 启动到网络中托管的服务终结点的连接。 一个典型的示例就是从 Microsoft 365 连接到网络中托管的 ADFS 服务器。 在这种情况下,必须将网络中相应的前缀透露给 Microsoft 对等互连。
  • 必须在 Internet 边缘为网络中的服务终结点进行 Microsoft 流量的 SNAT 转换,避免非对称路由。 目标 IP 与从 ExpressRoute 接收的路由匹配的的请求和回复始终通过ExpressRoute 进行。 如果请求是通过 Internet 接收的,而回复是通过 ExpressRoute 发送的,则会存在非对称路由。 在 Internet 边缘对传入的 Microsoft 流量进行 SNAT 转换 可以强制回复流量回到 Internet 边缘,从而解决此问题。

非对称路由与 ExpressRoute

NAT IP 池和路由播发

必须确保流量进入公共 IPv4 地址有效的 Azure Microsoft 对等互连路径。 Microsoft 必须能够根据区域路由 Internet 注册表 (RIR) 或 Internet 路由注册表 (IRR) 验证 IPv4 NAT 地址池的所有权。 会根据配对的 AS 编号和用于 NAT 的 IP 地址执行检查。 有关路由注册的信息,请参阅 ExpressRoute 路由要求 页。

通过此对等互连播发的 NAT IP 前缀长度没有限制。 必须监视 NAT 池,并确保未耗尽 NAT 会话。

重要

已播发到 Microsoft 的 NAT IP 池不得播发到 Internet。 这会中断其他 Microsoft 服务的连接。

后续步骤