NAT-Anforderungen für ExpressRouteExpressRoute NAT requirements

Zum Herstellen einer Verbindung mit Microsoft-Clouddiensten per ExpressRoute müssen Sie NATs einrichten und verwalten.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. Einige Konnektivitätsanbieter bieten das Einrichten und Verwalten von NAT als verwalteten Dienst an.Some connectivity providers offer setting up and managing NAT as a managed service. Fragen Sie bei Ihrem Konnektivitätsanbieter nach, ob dieser Dienst angeboten wird.Check with your connectivity provider to see if they offer such a service. Wenn dies nicht der Fall ist, müssen Sie die unten beschriebenen Anforderungen erfüllen.If not, you must adhere to the requirements described below.

Überprüfen Sie die Seite ExpressRoute-Verbindungen und Routingdomänen , um einen Überblick über die verschiedenen Routingdomänen zu erhalten.Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Um die Anforderungen für die öffentliche IP-Adresse für das öffentliche Azure- und Microsoft-Peering zu erfüllen, wird empfohlen, dass Sie NAT zwischen Ihrem Netzwerk und Microsoft einrichten.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. Dieser Abschnitt enthält eine ausführliche Beschreibung der NAT-Infrastruktur, die Sie einrichten möchten.This section provides a detailed description of the NAT infrastructure you need to set up.

NAT-Anforderungen für Microsoft-PeeringNAT requirements for Microsoft peering

Mit dem Microsoft-Peeringpfad können Sie eine Verbindung mit den Clouddiensten von Microsoft herstellen, die vom öffentlichen Azure-Peeringpfad nicht unterstützt werden.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. Die Liste der Dienste umfasst Office 365-Dienste wie z.B. Exchange Online, SharePoint Online und Skype for Business.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, and Skype for Business. Microsoft wird die bidirektionale Konnektivität beim Microsoft-Peering voraussichtlich unterstützen.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Für Datenverkehr, der auf Microsoft-Clouddiensten über öffentliches Peering abzielt, muss vor dem Eintritt in das Microsoft-Netzwerk SNAT mit gültigen, öffentlichen IPv4-Adressen angewendet werden.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Auf Datenverkehr, der aus Microsoft Cloud Services in Ihr Netzwerk fließt, muss an der Internetgrenze SNAT angewendet werden, um asymmetrisches Routing zu verhindern.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. Die folgende Abbildung bietet einen allgemeinen Überblick über die Einrichtung von NAT für Microsoft-Peering.The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

Datenverkehr von Ihrem Netzwerk an MicrosoftTraffic originating from your network destined to Microsoft

  • Sie müssen sicherstellen, dass der Datenverkehr in den Microsoft-Peeringpfad über eine gültige, öffentliche IPv4-Adresse eintritt.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft muss den Besitzer des IPv4-NAT-Adresspools gegen das regionale Routing Internet Registry (RIR) oder ein Internet Routing Registry (IRR) validieren können.Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). Eine Überprüfung wird basierend auf der AS-Nummer ausgeführt, die für das Peering verwendet wird, und auf den für die NAT verwendeten IP-Adressen.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Weitere Informationen zu Routingregistrierungen finden Sie auf der Seite ExpressRoute-Routinganforderungen .Refer to the ExpressRoute routing requirements page for information on routing registries.

  • IP-Adressen, die für die Einrichtung des öffentlichen Azure-Peerings und andere ExpressRoute-Verbindungen verwendet werden, müssen Microsoft nicht über die BGP-Sitzung angekündigt werden.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. Es gibt keine Einschränkung für die Länge des Präfixes für die NAT-IP, die über dieses Peering angekündigt wird.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    Wichtig

    Der Microsoft angekündigte NAT-IP-Adresspool muss nicht im Internet angekündigt werden.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Ansonsten wird die Verbindung mit anderen Microsoft-Diensten unterbrochen.This will break connectivity to other Microsoft services.

Datenverkehr von Microsoft an Ihr NetzwerkTraffic originating from Microsoft destined to your network

  • Bestimmte Szenarios erfordern, dass Microsoft die Konnektivität zu den Dienstendpunkten innerhalb des Netzwerks initiiert.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. Ein typisches Szenarios wäre die Konnektivität zum ADFS-Server in Ihrem Netzwerk über Office 365.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. In solchen Fällen müssen Sie entsprechenden Präfixe aus dem Netzwerk in der Microsoft peering einfließen.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • Sie müssen an der Internetgrenze SNAT auf den Microsoft-Datenverkehr für Dienstendpunkte in Ihrem Netzwerk anwenden, um asymmetrisches Routing zu verhindern.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. Anforderungen und Antworten mit einer Ziel-IP, die einer über ExpressRoute empfangenen Route entspricht, werden immer über ExpressRoute gesendet.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. Asymmetrische Routing tritt auf, wenn die Anforderung über das Internet empfangen und die Antwort über ExpressRoute gesendet wird.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. Wenn Sie an der Internetgrenze SNAT auf den eingehenden Microsoft-Verkehr anwenden, wird der Antwortdatenverkehr zurück an die Internetgrenze gezwungen. Dadurch wird das Problem behoben.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

Asymmetrisches Routing mit ExpressRoute

NAT-Anforderungen für öffentliches Azure-PeeringNAT requirements for Azure public peering

Hinweis

Öffentliches Azure-Peering ist für neue Verbindungen nicht verfügbar.Azure public peering is not available for new circuits.

Der öffentliche Azure-Peeringpfad ermöglicht, dass Sie zu allen in Azure gehosteten Diensten über die öffentliche IP-Adresse eine Verbindung herstellen können.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Dazu zählen Dienste, die unter ExpressRoute – Häufig gestellte Fragen aufgeführt sind und die von ISVs auf Microsoft Azure gehostet werden.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

Wichtig

Die Konnektivität mit Microsoft Azure-Diensten für öffentliches Peering wird immer von Ihrem Netzwerk aus in das Microsoft-Netzwerk initiiert.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. Aus diesem Grund können für Microsoft Azure-Dienste per ExpressRoute keine Sitzungen mit Ihrem Netzwerk initiiert werden.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. Wenn dies versucht wird, wird für Pakete, die an diese angekündigten IP-Adressen gesendet werden, anstelle von ExpressRoute die Internetverbindung verwendet.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

Für Datenverkehr, der auf Microsoft Azure über öffentliches Peering abzielt, muss vor dem Eintritt in das Microsoft-Netzwerk SNAT mit gültigen, öffentlichen IPv4-Adressen angewendet werden.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Die folgende Abbildung bietet einen allgemeinen Überblick über die Einrichtung von NAT, um die oben genannte Anforderung zu erfüllen.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

NAT-IP-Pool und RoutenankündigungenNAT IP pool and route advertisements

Sie müssen sicherstellen, dass der Datenverkehr in den öffentlichen Azure-Peeringpfad über eine gültige, öffentliche IPv4-Adresse eintritt.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft muss den Besitz des IPv4-NAT-Adresspools gegen ein regionales Routing Internet Registry (RIR) oder eine Internet Routing Registry (IRR) validieren können.Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). Eine Überprüfung wird basierend auf der AS-Nummer ausgeführt, die für das Peering verwendet wird, und auf den für die NAT verwendeten IP-Adressen.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Weitere Informationen zu Routingregistrierungen finden Sie auf der Seite ExpressRoute-Routinganforderungen .Refer to the ExpressRoute routing requirements page for information on routing registries.

Es gibt keine Einschränkungen für die Länge des Präfixes für die NAT-IP, die über dieses Peering angekündigt wird.There are no restrictions on the length of the NAT IP prefix advertised through this peering. Sie müssen den NAT-Pool überwachen und sicherstellen, dass Sie die NAT-Sitzungen nicht außer acht lassen.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

Wichtig

Der Microsoft angekündigte NAT-IP-Adresspool muss nicht im Internet angekündigt werden.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Ansonsten wird die Verbindung mit anderen Microsoft-Diensten unterbrochen.This will break connectivity to other Microsoft services.

Nächste SchritteNext steps