ExpressRoute NAT 需求

  • 發行項

若要使用 ExpressRoute 連接 Microsoft 雲端服務,必須設定和管理 NAT。 有些連線提供者會以受控服務來支援設定和管理路由。 請洽詢您的連線服務提供者,以查看他們是否提供這類服務。 如果沒有,請遵守本文所述需求。

如需不同路由網域的概觀,請檢閱 ExpressRoute 線路和路由網域 頁面。 為了符合 Azure 公用和 Microsoft 對等的公用 IP 位址需求,建議在您的網路與 Microsoft 之間設定 NAT。 本節提供您需要設定的 NAT 基礎結構的詳細描述。

Microsoft 對等的 NAT 需求

Microsoft 對等互連路徑讓您連接不支援透過 Azure 公用對等互連路徑存取的 Microsoft 雲端服務。 服務清單包括 Microsoft 365 服務,例如 Exchange Online、SharePoint Online 和商務用 Skype。 Microsoft 預計在 Microsoft 對等上支援雙向連線能力。 以 Microsoft 雲端服務為目的地的流量,必須由 SNAT 轉譯成有效的公用 IPv4 位址,才能進入 Microsoft 網路。 從 Microsoft 雲端服務送到您的網路的流量,必須在網際網路邊緣經過 SNAT 轉譯,才可防止非對稱式路由。 下圖進階說明如何為 Microsoft 對等互連設定 NAT。

High-level diagram of how the NAT should be set up for Microsoft peering.

從您的網路出發到 Microsoft 的流量

  • 您必須確定流量進入的 Microsoft 對等路徑具備有效的公用 IPv4 位址。 Microsoft 必須能夠向區域路由網際網路登錄 (RIR) 和網際網路路由登錄 (IRR) 驗證 IPv4 NAT 位址集區的擁有者。 系統將檢查對等互連的 AS 編號和用於 NAT 的 IP 位址。 如需路由登錄的詳細資訊,請參閱 ExpressRoute 路由需求 頁面。

  • 用於 Azure 公用對等設定和其他 ExpressRoute 線路的 IP 位址,不得透過 BGP 工作階段向 Microsoft 公告。 透過此對等互連公告的 NAT IP 前置長度沒有限制。

    重要

    向 Microsoft 公告的 NAT IP 集區不得向網際網路公告。 這樣會中斷其他 Microsoft 服務的連線。

從 Microsoft 出發到您的網路的流量

  • 在某些情況下,需要由 Microsoft 對您網路中裝載的服務端點起始連線。 此情況常見的例子是從 Microsoft 365 連線至網路中裝載的 ADFS 伺服器。 在這種情況下,必須將您網路中適當的首碼透露給 Microsoft 對等。
  • 您必須在網際網路邊緣進行 Microsoft 流量的 SNAT 轉譯,才可防止非對稱式路由。 目的地 IP 與接收的 ExpressRoute 路由相符的要求 和回覆 ,一律透過 ExpressRoute 傳送。 如果要求是透過網際網路收到,而回覆是透過 ExpressRoute 傳送,則存在非對稱式路由。 在網際網路邊緣進行 Microsoft 流量的 SNAT 轉譯,可強制回覆流量回到網際網路邊緣,進而解決問題。

Asymmetric routing with ExpressRoute

Azure 公用對等的 NAT 需求

注意

新的線路無法使用 Azure 公用對等互連。

Azure 公用對等路徑可讓您連接到裝載於 Azure 中的所有服務的公用 IP 位址。 其中包括 ExpessRoute 常見問題集 列出的服務,以及由 ISV 裝載於 Microsoft Azure 上的任何服務。

重要

連線到公用對等的 Microsoft Azure 服務時,一律是從您的網路出發到 Microsoft 網路。 因此,無法透過 ExpressRoute 從 Microsoft Azure 服務將工作階段起始到您的網路。 若已嘗試這麼做,傳送至這些通知 IP 的封包將使用網際網路,而不是 ExpressRoute。

以公用對等的 Microsoft Azure 為目的地的流量,必須由 SNAT 轉譯成有效的公用 IPv4 位址,才能進入 Microsoft 網路。 下圖進階說明如何設定 NAT 以符合上述需求。

High-level diagram of how the NAT could be set up to be SNATed to valid public IPv4 addresses before they enter the Microsoft network.

NAT IP 集區和路由通告

您必須確定流量進入的 Azure 公用對等路徑具備有效的公用 IPv4 位址。 Microsoft 必須能夠向區域路由網際網路登錄 (RIR) 和網際網路路由登錄 (IRR) 驗證 IPv4 NAT 位址集區的擁有權。 系統將檢查對等互連的 AS 編號和用於 NAT 的 IP 位址。 如需路由登錄的詳細資訊,請參閱 ExpressRoute 路由需求 頁面。

透過此對等公告的 NAT IP 首碼長度沒有限制。 您必須監視 NAT 集區,確認未耗盡 NAT 工作階段。

重要

向 Microsoft 公告的 NAT IP 集區不得向網際網路公告。 這樣會中斷其他 Microsoft 服務的連線。

下一步