NAT-vereisten voor ExpressRoute

Artikel
07/01/2023

Als u verbinding wilt maken met Microsoft-cloudservices met behulp van ExpressRoute, moet u NAT's instellen en beheren. Sommige connecitiviteitsproviders bieden het instellen en beheren van NAT aan als een beheerde service. Neem contact op met uw connectiviteitsprovider om na te gaan of ze deze service leveren. Zo niet, dan moet u voldoen aan de vereisten die in dit artikel worden beschreven.

Bekijk de pagina ExpressRoute circuits and routing domains (ExpressRoute-circuits en routeringsdomeinen) voor een overzicht van de verschillende routeringsdomeinen. Om te voldoen aan de vereisten voor openbare IP-adressen voor openbare Azure-peering en Microsoft-peering, wordt u aangeraden om NAT in te stellen tussen uw netwerk en Microsoft. In deze sectie vindt u een gedetailleerde beschrijving van de NAT-infrastructuur die u moet instellen.

NAT-vereisten voor Microsoft-peering

Met het Pad voor Microsoft-peering kunt u verbinding maken met Microsoft-cloudservices die niet worden ondersteund via het openbare Azure-peeringpad. De lijst met services bevat Microsoft 365-services, zoals Exchange Online, SharePoint Online en Skype voor Bedrijven. Microsoft verwacht bidirectionele connectiviteit op de Microsoft-peering te gaan ondersteunen. Verkeer dat is bestemd voor Microsoft Cloud-services moet met SNAT worden omgezet naar geldige openbare IPv4-adressen voordat het het Microsoft-netwerk binnenkomt. Verkeer dat is bestemd voor uw netwerk en afkomstig is van Microsoft Cloud-services, moet met SNAT worden omgezet aan de kant van uw internet om asymmetrische routering te voorkomen. In de volgende afbeelding ziet u een algemeen beeld van hoe de NAT moet worden ingesteld voor Microsoft-peering.

Diagram op hoog niveau van hoe de NAT moet worden ingesteld voor Microsoft-peering.

Verkeer dat afkomstig is van uw netwerk en is bestemd voor Microsoft

U moet ervoor zorgen dat verkeer het pad voor Microsoft-peering binnenkomt met een geldig openbaar IPv4-adres. Microsoft moet de eigenaar van de IPv4 NAT-adresgroep kunnen controleren in het regionale Routing Internet Registry (RIR) of een Internet Routing Registry (IRR). Er wordt een controle uitgevoerd op basis van het AS-nummer waarmee een peering wordt uitgevoerd en de IP-adressen die worden gebruikt voor de NAT. Raadpleeg de pagina ExpressRoute routing requirements (Routeringsvereisten voor ExpressRoute) voor meer informatie over routeringsregisters.
IP-adressen die worden gebruikt voor de configuratie van openbare Azure-peering en andere ExpressRoute-circuits mogen niet aan Microsoft worden geadverteerd via de BGP-sessie. Er is geen beperking voor de lengte van het NAT IP-voorvoegsel dat via deze peering wordt geadverteerd.

Belangrijk

De NAT IP-adresgroep die wordt geadverteerd aan Microsoft mag niet worden geadverteerd op internet. Dit verbreekt de connectiviteit met andere Microsoft-services.

Verkeer dat afkomstig is van Microsoft en is bestemd voor Microsoft

In bepaalde scenario's moet Microsoft connectiviteit starten met service-eindpunten die worden gehost in uw netwerk. Een typisch voorbeeld van het scenario is connectiviteit met ADFS-servers die vanuit Microsoft 365 in uw netwerk worden gehost. In dergelijke gevallen moet u vanuit uw netwerk geschikte voorvoegsels naar de Microsoft-peering laten lekken.
U moet Microsoft-verkeer met SNAT omzetten aan de kant van internet voor service-eindpunten in uw netwerk om asymmetrische routering te voorkomen. Aanvragen en antwoorden met een doel-IP-adres dat overeenkomt met een route die is ontvangen van ExpressRoute, gaan altijd via ExpressRoute. Er is sprake van asymmetrische routering als de aanvraag is ontvangen via internet en het antwoord wordt verzonden via ExpressRoute. Als het inkomende Microsoft-verkeer met SNAT wordt omgezet aan de kant van internet, wordt antwoordverkeer terug naar de kant van internet gedwongen, waarmee het probleem wordt opgelost.

Asymmetrische routering met ExpressRoute

NAT-vereisten voor openbare Azure-peering

Notitie

Openbare Azure-peering is niet beschikbaar voor nieuwe circuits.

Met het pad voor openbare Azure-peering kunt u verbinding maken met alle services die via de openbare IP-adressen worden gehost in Azure. Deze lijst bevat services die worden vermeld in de Veelgestelde vragen over ExpressRoute en alle services die door ISV's worden gehost op Microsoft Azure.

Belangrijk

Connectiviteit met Microsoft Azure-services via openbare peering wordt altijd gestart vanuit uw netwerk naar het Microsoft-netwerk. Daarom kunnen sessies met uw netwerk niet vanuit Microsoft Azure-services via ExpressRoute worden gestart. Als dit toch wordt geprobeerd, maken pakketten die naar deze aangekondigde IP-adressen worden verzonden, gebruik van internet in plaats van ExpressRoute.

Verkeer dat is bestemd voor Microsoft Azure via openbare peering moet met SNAT worden omgezet naar geldige openbare IPv4-adressen voordat het het Microsoft-netwerk binnenkomt. De volgende afbeelding geeft een algemeen beeld van hoe de NAT kan worden ingesteld om te voldoen aan de bovenstaande vereiste.

Diagram op hoog niveau van hoe de NAT kan worden ingesteld op SNATed voor geldige openbare IPv4-adressen voordat ze het Microsoft-netwerk binnenkomen.

NAT IP-adresgroep en route-advertenties

U moet ervoor zorgen dat verkeer het pad voor openbare Azure-peering binnenkomt met een geldig openbaar IPv4-adres. Microsoft moet het eigenaarschap van de IPv4 NAT-adresgroep kunnen controleren in het regionale Routing Internet Registry (RIR) of een Internet Routing Registry (IRR). Er wordt een controle uitgevoerd op basis van het AS-nummer waarmee een peering wordt uitgevoerd en de IP-adressen die worden gebruikt voor de NAT. Raadpleeg de pagina ExpressRoute routing requirements (Routeringsvereisten voor ExpressRoute) voor meer informatie over routeringsregisters.

Er zijn geen lengtebeperkingen voor het NAT IP-voorvoegsel dat via deze peering wordt geadverteerd. U moet de NAT-pool bewaken en ervoor zorgen dat u niet te weinig NAT-sessies hebt.