Configuration NAT requise pour ExpressRouteExpressRoute NAT requirements

Pour vous connecter aux services de cloud Microsoft à l'aide d'ExpressRoute, vous devez configurer et gérer les NAT.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. Certains fournisseurs de connectivité proposent la configuration et la gestion NAT comme un service géré.Some connectivity providers offer setting up and managing NAT as a managed service. Vérifiez auprès de votre fournisseur de connectivité s’il offre un tel service.Check with your connectivity provider to see if they offer such a service. Si ce n'est pas le cas, vous devez respecter les conditions décrites ci-dessous.If not, you must adhere to the requirements described below.

Examinez la page Circuits ExpressRoute et domaines de routage pour obtenir une vue d'ensemble des différents domaines de routage.Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Pour répondre aux exigences en matière d'adresses IP publiques pour les peerings publics Azure et Microsoft, nous vous recommandons de configurer un NAT entre votre réseau et Microsoft.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. Cette section fournit une description détaillée de l'infrastructure NAT que vous devez configurer.This section provides a detailed description of the NAT infrastructure you need to set up.

Configuration NAT requise pour le peering MicrosoftNAT requirements for Microsoft peering

Le chemin de peering Microsoft vous permet de vous connecter aux services de cloud Microsoft non pris en charge via le chemin de peering public Azure.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. La liste des services inclut les services Office 365, notamment Exchange Online, SharePoint Online, et Skype Entreprise.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, and Skype for Business. Microsoft prévoit la prise en charge de la connectivité bidirectionnelle sur le peering Microsoft.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Le trafic destiné aux services de cloud Microsoft doit être configuré en SNAT avec des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Le trafic provenant des services de cloud Microsoft doit être configuré en SNAT dans votre session Internet pour éviter un routage asymétrique.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. L’illustration suivante indique de façon sommaire comment configurer un NAT pour le peering Microsoft.The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

Trafic en provenance de votre réseau et destiné à MicrosoftTraffic originating from your network destined to Microsoft

  • Vous devez vous assurer que le trafic qui entre via le chemin d'accès de peering Microsoft utilise une adresse IPv4 publique valide.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft doit être en mesure de valider le propriétaire du pool d'adresses NAT IPv4 par rapport au Registre Internet de routage régional (RIR) ou à un Registre de routage Internet (IRR).Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). Une vérification sera effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour le NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.Refer to the ExpressRoute routing requirements page for information on routing registries.

  • Les adresses IP utilisées pour la configuration du peering public Azure et d’autres circuits ExpressRoute ne doivent pas être proposées à Microsoft via la session BGP.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. Il n'existe aucune restriction concernant la longueur du préfixe IP NAT publié via ce peering.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    Important

    Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Cela interromprait la connectivité avec d'autres services Microsoft.This will break connectivity to other Microsoft services.

Trafic en provenance de Microsoft et destiné à votre réseauTraffic originating from Microsoft destined to your network

  • Certains scénarios exigent que Microsoft initie la connectivité aux points de terminaison de service hébergés au sein de votre réseau.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. Un exemple typique de ce scénario est la connectivité avec des serveurs ADFS hébergés sur votre réseau à partir d'Office 365.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. Dans ce cas, vous devez transférer les préfixes appropriés de votre réseau vers le peering Microsoft.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • Vous devez configurer en SNAT le trafic Microsoft dans votre session Internet pour les points de terminaison de service au sein de votre réseau pour éviter un routage asymétrique.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. Les requêtes et réponses avec une adresse IP de destination correspondant à un itinéraire reçu via ExpressRoute est toujours envoyé via ExpressRoute.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. Un routage asymétrique se produit si la requête est reçue via Internet avec la réponse envoyée via ExpressRoute.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. La configuration en SNAT du trafic Microsoft entrant dans la session Internet force le trafic de réponse vers Internet, résolvant ainsi le problème.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

Routage asymétrique avec ExpressRoute

Configuration NAT requise pour le peering public AzureNAT requirements for Azure public peering

Notes

Le peering public Azure n’est pas disponible pour les nouveaux circuits.Azure public peering is not available for new circuits.

Le chemin de peering public Azure vous permet de vous connecter à tous les services hébergés dans Azure en utilisant leurs adresses IP publiques.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Cela inclut les services répertoriés dans le FAQ sur ExpressRoute et tous les services hébergés par les éditeurs de logiciels sur Microsoft Azure.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

Important

La connectivité aux services Microsoft Azure sur le peering public est toujours lancée de votre réseau vers le réseau Microsoft.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. Par conséquent, les sessions ne peut pas être lancées à partir des services Microsoft Azure vers votre réseau via ExpressRoute.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. En cas de tentative, les paquets envoyés à ces adresses IP publiées utiliseront Internet au lieu d’ExpressRoute.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

Le trafic destiné à Microsoft Azure sur le peering public doit être configuré en SNAT avec des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. L'illustration suivante indique de façon sommaire comment configurer un NAT pour répondre à cette exigence.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

Pool d’adresses IP NAT et publications de routageNAT IP pool and route advertisements

Vous devez vous assurer que le trafic qui entre via le chemin d'accès de peering public Azure utilise une adresse IPv4 publique valide.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft doit être en mesure de valider la propriété du pool d'adresses NAT IPv4 par rapport à un Registre Internet de routage régional (RIR) ou un Registre de routage Internet (IRR).Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). Une vérification sera effectuée en fonction du numéro AS en cours d’homologation et des adresses IP utilisées pour le NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Reportez-vous à la page Configuration requise pour le routage ExpressRoute pour plus d'informations sur les registres de routage.Refer to the ExpressRoute routing requirements page for information on routing registries.

Il n'existe aucune restriction concernant la longueur du préfixe IP NAT publié via ce peering.There are no restrictions on the length of the NAT IP prefix advertised through this peering. Vous devez surveiller le pool NAT et vous assurer que vous n’êtes pas à court de sessions NAT.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

Important

Le pool IP NAT proposé à Microsoft ne doit pas être publié sur Internet.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Cela interromprait la connectivité avec d'autres services Microsoft.This will break connectivity to other Microsoft services.

Étapes suivantesNext steps