Requisiti NAT di ExpressRouteExpressRoute NAT requirements

Per connettersi a servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire NAT.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. Alcuni provider di connettività offrono la configurazione e la gestione di NAT come servizio gestito.Some connectivity providers offer setting up and managing NAT as a managed service. Contattare il provider di connettività per informarsi se viene offerto un servizio di questo tipo.Check with your connectivity provider to see if they offer such a service. Se questo servizio non è offerto, è necessario soddisfare i requisiti descritti di seguito.If not, you must adhere to the requirements described below.

Per una panoramica dei diversi domini di routing, vedere la pagina Circuiti e domini di routing ExpressRoute .Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Per soddisfare i requisiti di indirizzi IP pubblici per i peering Microsoft e pubblico di Azure, è consigliabile configurare un'infrastruttura NAT tra la rete e Microsoft.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. Questa sezione fornisce una descrizione dettagliata dell'infrastruttura NAT che è necessario configurare.This section provides a detailed description of the NAT infrastructure you need to set up.

Requisiti NAT per il peering MicrosoftNAT requirements for Microsoft peering

Il percorso di peering Microsoft consente di connettersi a servizi cloud Microsoft che non sono supportati tramite il percorso di peering pubblico di Azure.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. L'elenco dei servizi include servizi Office 365 quali Exchange Online, SharePoint Online, Skype for Business e Dynamics 365.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, Skype for Business, and Dynamics 365. Microsoft prevede di supportare la connettività bidirezionale nel peering Microsoft.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Il traffico destinato ai servizi cloud Microsoft nel peering pubblico deve essere inviato tramite SNAT a indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Il traffico destinato alla propria rete dai servizi cloud Microsoft deve essere inviato tramite SNAT al perimetro Internet per evitare il routing asimmetrico.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. La figura seguente riporta come eseguire una configurazione generale della NAT per il peering Microsoft.The figure below provides a high-level picture of how the NAT should be setup for Microsoft peering.

Traffico proveniente dalla propria rete e destinato a MicrosoftTraffic originating from your network destined to Microsoft

  • È necessario assicurarsi che il traffico acceda al percorso di peering Microsoft con un indirizzo IPv4 pubblico valido.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft deve essere in grado di convalidare il proprietario del pool di indirizzi IPv4 NAT a fronte del registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR).Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). Verrà eseguito un controllo in base al numero AS usato per il peering e agli indirizzi IP usati per l'infrastruttura NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .Refer to the ExpressRoute routing requirements page for information on routing registries.
  • Gli indirizzi IP usati per la configurazione del peering pubblico di Azure e altri circuiti ExpressRoute non devono essere annunciati a Microsoft tramite la sessione BGP.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. Non esiste alcuna restrizione per la lunghezza del prefisso IP NAT annunciato tramite questo peering.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    Importante

    Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet,The NAT IP pool advertised to Microsoft must not be advertised to the Internet. altrimenti verrebbe interrotta la connettività con altri servizi Microsoft.This will break connectivity to other Microsoft services.

Traffico proveniente da Microsoft e destinato alla propria reteTraffic originating from Microsoft destined to your network

  • Per alcuni scenari è necessario che Microsoft avvii la connettività agli endpoint di servizio ospitati nella propria rete.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. Un esempio tipico di scenario è rappresentato dalla connettività a server ADFS ospitati nella propria rete da Office 365.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. In questi casi, è necessario inviare prefissi appropriati dalla propria rete al peering Microsoft.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • È necessario inviare il traffico Microsoft tramite SNAT al perimetro Internet per consentire agli endpoint di servizio della rete di impedire il routing asimmetrico.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. Le richieste e le risposte con un IP di destinazione corrispondente a una route ricevuta tramite ExpressRoute verranno sempre inviate tramite ExpressRoute.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. Il routing asimmetrico si verifica se la richiesta viene ricevuta tramite Internet con la risposta inviata tramite ExpressRoute.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. L'invio tramite SNAT del traffico Microsoft in ingresso al perimetro Internet forza il traffico di risposta di nuovo verso il perimetro Internet, risolvendo il problema.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

Routing asimmetrico con ExpressRoute

Requisiti NAT per il peering pubblico di AzureNAT requirements for Azure public peering

Il percorso di peering pubblico di Azure consente di connettersi a tutti i servizi ospitati in Azure tramite i relativi indirizzi IP pubblici.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Sono inclusi i servizi elencati nell'articolo Domande frequenti su ExpressRoute e tutti i servizi ospitati da ISV in Microsoft Azure.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

Importante

La connettività ai servizi di Microsoft Azure nel peering pubblico viene sempre avviata dalla propria rete nella rete Microsoft.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. Non è quindi possibile avviare sessioni da servizi di Microsoft Azure alla propria rete tramite ExpressRoute.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. Se si prova a eseguire questa operazione, i pacchetti inviati a tali indirizzi IP annunciati useranno Internet anziché ExpressRoute.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

Il traffico destinato a Microsoft Azure nel peering pubblico deve essere inviato tramite SNAT a indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. La figura seguente riporta come eseguire una configurazione generale della NAT per soddisfare i requisiti elencati precedentemente.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

Annunci di route e pool IP di NATNAT IP pool and route advertisements

È necessario assicurarsi che il traffico acceda al percorso di peering pubblico di Azure con un indirizzo IPv4 pubblico valido.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft deve essere in grado di convalidare la proprietà del pool di indirizzi IPv4 NAT a fronte di un registro Internet di routing regionale (RIR) o di un registro di routing Internet (IRR).Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). Verrà eseguito un controllo in base al numero AS usato per il peering e agli indirizzi IP usati per l'infrastruttura NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Per informazioni sui registri di routing, fare riferimento alla pagina relativa ai requisiti di routing di ExpressRoute .Refer to the ExpressRoute routing requirements page for information on routing registries.

Non esistono restrizioni per la lunghezza del prefisso IP NAT annunciato tramite questo peering.There are no restrictions on the length of the NAT IP prefix advertised through this peering. È necessario monitorare il pool di NAT e assicurarsi che le sessioni NAT non siano prive di risorse.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

Importante

Il pool IP NAT annunciato per Microsoft non deve essere annunciato per Internet,The NAT IP pool advertised to Microsoft must not be advertised to the Internet. altrimenti verrebbe interrotta la connettività con altri servizi Microsoft.This will break connectivity to other Microsoft services.

Passaggi successiviNext steps