Persyaratan ExpressRoute NAT

Untuk menyambungkan ke layanan cloud Microsoft menggunakan ExpressRoute, Anda harus menyiapkan dan mengelola NAT. Beberapa penyedia konektivitas menawarkan pengaturan dan pengelolaan NAT sebagai layanan terkelola. Tanyakan kepada penyedia konektivitas Anda untuk melihat apakah mereka menawarkan layanan seperti itu. Jika tidak, Anda harus mematuhi persyaratan yang dijelaskan di bawah ini.

Tinjau halaman domain sirkuit dan perutean ExpressRoute untuk mendapatkan gambaran umum tentang berbagai domain perutean. Untuk memenuhi persyaratan alamat IP publik Azure dan peering Microsoft, kami sarankan Anda menyiapkan NAT antara jaringan Anda dan Microsoft. Bagian ini menyediakan deskripsi terperinci tentang infrastruktur NAT yang perlu disiapkan.

Persyaratan NAT untuk peering Microsoft

Jalur peering Microsoft memungkinkan Anda menyambungkan ke layanan cloud Microsoft yang tidak didukung melalui jalur peering publik Azure. Daftar layanan ini mencakup layanan Microsoft 365, seperti Exchange Online, SharePoint Online, dan Skype for Business. Microsoft mengharapkan untuk mendukung konektivitas dua arah pada peering Microsoft. Lalu lintas yang ditetapkan untuk layanan cloud Microsoft harus di-SNAT ke alamat IPv4 publik yang valid sebelum mereka memasuki jaringan Microsoft. Lalu lintas yang ditetapkan untuk jaringan Anda dari layanan cloud Microsoft harus di-SNAT di sisi Internet Anda untuk mencegah perutean asimetris. Gambar di bawah ini memberikan gambaran tingkat tinggi tentang bagaimana NAT harus disiapkan untuk peering Microsoft.

Diagram tingkat tinggi tentang bagaimana NAT harus disiapkan untuk peering Microsoft.

Lalu lintas yang berasal dari jaringan Anda ditetapkan ke Microsoft

  • Anda harus memastikan bahwa lalu lintas yang memasuki jalur peering Microsoft beralamat IPv4 publik yang valid. Microsoft harus dapat memvalidasi pemilik kumpulan alamat NAT IPv4 terhadap registri internet perutean regional (RIR) atau registri perutean internet (IRR). Pemeriksaan akan dilakukan berdasarkan nomor AS yang di-peer dan alamat IP yang digunakan untuk NAT. Lihat halaman persyaratan perutean ExpressRoute untuk informasi tentang registri perutean.

  • Alamat IP yang digunakan untuk penyiapan peering publik Azure dan sirkuit ExpressRoute lainnya tidak boleh diiklankan ke Microsoft melalui sesi BGP. Tidak ada batasan panjang awalan NAT IP yang diiklankan melalui peering ini.

    Penting

    Kumpulan NAT IP yang diiklankan ke Microsoft tidak boleh diiklankan ke Internet. Ini akan memutus konektivitas ke layanan Microsoft lainnya.

Lalu lintas yang berasal dari jaringan Anda ditetapkan ke Microsoft

  • Skenario tertentu mengharuskan Microsoft memulai konektivitas ke titik akhir layanan yang dihosting dalam jaringan Anda. Contoh umum skenario adalah konektivitas ke server ADFS yang dihosting di jaringan Anda dari Microsoft 365. Dalam kasus seperti itu, Anda harus membocorkan awalan yang sesuai dari jaringan Anda ke dalam peering Microsoft.
  • Anda harus melakukan SNAT lalu lintas Microsoft di sisi Internet untuk titik akhir layanan dalam jaringan Anda untuk mencegah perutean asimetris. Permintaan dan balasan dengan IP tujuan yang cocok dengan rute yang diterima melalui ExpressRoute akan selalu dikirim melalui ExpressRoute. Perutean asimetris ada jika permintaan diterima melalui Internet dengan balasan yang dikirim melalui ExpressRoute. SNAT lalu lintas Microsoft yang masuk di sisi Internet memaksa lalu lintas balasan kembali ke sisi Internet, untuk menyelesaikan masalah.

Perutean asimetris dengan ExpressRoute

Persyaratan NAT untuk peering publik Azure

Catatan

Azure peering publik tidak digunakan lagi untuk sirkuit baru.

Jalur peering publik Azure memungkinkan Anda menyambungkan ke semua layanan yang dihosting di Azure melalui alamat IP publik mereka. Ini termasuk layanan yang tercantum dalam FAQ ExpessRoute dan layanan apa pun yang dihosting oleh ISV di Microsoft Azure.

Penting

Konektivitas ke layanan Microsoft Azure pada peering publik selalu dimulai dari jaringan Anda ke dalam jaringan Microsoft. Oleh karena itu, sesi tidak dapat dimulai dari layanan Microsoft Azure ke jaringan Anda melalui ExpressRoute. Jika dicoba, paket yang dikirim ke IP yang diiklankan ini akan menggunakan internet alih-alih ExpressRoute.

Lalu lintas yang ditetapkan untuk Microsoft Azure harus di-SNAT ke alamat IPv4 publik yang valid sebelum mereka memasuki jaringan Microsoft. Gambar di bawah ini memberikan gambaran tingkat tinggi tentang bagaimana NAT dapat diatur untuk memenuhi persyaratan di atas.

Diagram tingkat tinggi tentang bagaimana NAT dapat disetel menjadi SNAT ke alamat IPv4 publik yang valid sebelum mereka memasuki jaringan Microsoft.

Kumpulan IP NAT dan merutekan iklan

Anda harus memastikan bahwa lalu lintas yang memasuki jalur peering Azure beralamat IPv4 publik yang valid. Microsoft harus dapat memvalidasi pemilik kumpulan alamat NAT IPv4 terhadap registri internet perutean regional (RIR) atau registri perutean internet (IRR). Pemeriksaan akan dilakukan berdasarkan nomor AS yang di-peer dan alamat IP yang digunakan untuk NAT. Lihat halaman persyaratan perutean ExpressRoute untuk informasi tentang registri perutean.

Tidak ada batasan panjang awalan IP NAT yang diiklankan melalui peering ini. Anda harus memantau kumpulan NAT dan memastikan bahwa Anda tidak kehabisan sesi NAT.

Penting

Kumpulan NAT IP yang diiklankan ke Microsoft tidak boleh diiklankan ke Internet. Ini akan memutus konektivitas ke layanan Microsoft lainnya.

Langkah berikutnya