NAT-vereisten voor ExpressRouteExpressRoute NAT requirements

Als u ExpressRoute wilt gebruiken om verbinding te maken met Microsoft Cloud-services, moet u NAT's instellen en beheren.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. Sommige connecitiviteitsproviders bieden het instellen en beheren van NAT aan als een beheerde service.Some connectivity providers offer setting up and managing NAT as a managed service. Neem contact op met uw connectiviteitsprovider om na te gaan of ze deze service leveren.Check with your connectivity provider to see if they offer such a service. Als dat niet het geval is, moet u voldoen aan de vereisten die hieronder worden beschreven.If not, you must adhere to the requirements described below.

Bekijk de pagina ExpressRoute circuits and routing domains (ExpressRoute-circuits en routeringsdomeinen) voor een overzicht van de verschillende routeringsdomeinen.Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Om te voldoen aan de vereisten voor openbare IP-adressen voor openbare Azure-peering en Microsoft-peering, wordt u aangeraden om NAT in te stellen tussen uw netwerk en Microsoft.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. In deze sectie vindt u een gedetailleerde beschrijving van de NAT-infrastructuur die u moet instellen.This section provides a detailed description of the NAT infrastructure you need to set up.

NAT-vereisten voor Microsoft-peeringNAT requirements for Microsoft peering

Met het pad voor Microsoft-peering kunt u verbinding maken met Microsoft Cloud-services die niet worden ondersteund via het pad voor openbare Azure-peering.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. De lijst met services bevat Office 365-services, zoals Exchange Online, SharePoint Online, Skype voor Bedrijven en Dynamics 365.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, Skype for Business, and Dynamics 365. Microsoft verwacht bidirectionele connectiviteit op de Microsoft-peering te gaan ondersteunen.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Verkeer dat is bestemd voor Microsoft Cloud-services moet met SNAT worden omgezet naar geldige openbare IPv4-adressen voordat het het Microsoft-netwerk binnenkomt.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Verkeer dat is bestemd voor uw netwerk en afkomstig is van Microsoft Cloud-services, moet met SNAT worden omgezet aan de kant van uw internet om asymmetrische routering te voorkomen.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. De afbeelding hieronder bevat een algemeen beeld van hoe de NAT moet worden ingesteld voor Microsoft-peering.The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

Verkeer dat afkomstig is van uw netwerk en is bestemd voor MicrosoftTraffic originating from your network destined to Microsoft

  • U moet ervoor zorgen dat verkeer het pad voor Microsoft-peering binnenkomt met een geldig openbaar IPv4-adres.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. Microsoft moet de eigenaar van de IPv4 NAT-adresgroep kunnen controleren in het regionale Routing Internet Registry (RIR) of een Internet Routing Registry (IRR).Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). Er wordt een controle uitgevoerd op basis van het AS-nummer waaraan het wordt gekoppeld en de IP-adressen die voor de NAT worden gebruikt.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Raadpleeg de pagina ExpressRoute routing requirements (Routeringsvereisten voor ExpressRoute) voor meer informatie over routeringsregisters.Refer to the ExpressRoute routing requirements page for information on routing registries.

  • IP-adressen die worden gebruikt voor de configuratie van openbare Azure-peering en andere ExpressRoute-circuits mogen niet aan Microsoft worden geadverteerd via de BGP-sessie.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. Er is geen lengtebeperking voor het NAT IP-voorvoegsel dat via deze peering wordt geadverteerd.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    Belangrijk

    De NAT IP-adresgroep die wordt geadverteerd aan Microsoft mag niet worden geadverteerd op internet.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Dit verbreekt de connectiviteit met andere Microsoft-services.This will break connectivity to other Microsoft services.

Verkeer dat afkomstig is van Microsoft en is bestemd voor MicrosoftTraffic originating from Microsoft destined to your network

  • In bepaalde scenario's moet Microsoft connectiviteit starten met service-eindpunten die worden gehost in uw netwerk.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. Een typisch voorbeeld van het scenario is connectiviteit met ADFS-servers die vanuit Office 365 wordt gehost in uw netwerk.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. In dergelijke gevallen moet u vanuit uw netwerk geschikte voorvoegsels naar de Microsoft-peering laten lekken.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • U moet Microsoft-verkeer met SNAT omzetten aan de kant van internet voor service-eindpunten in uw netwerk om asymmetrische routering te voorkomen.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. Aanvragen en antwoorden met een doel-IP die overeenkomt met een route ontvangen via ExpressRoute worden altijd verzonden via ExpressRoute.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. Er is sprake van asymmetrische routering als de aanvraag is ontvangen via internet en het antwoord wordt verzonden via ExpressRoute.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. Als het inkomende Microsoft-verkeer met SNAT wordt omgezet aan de kant van internet, wordt antwoordverkeer terug naar de kant van internet gedwongen, waarmee het probleem wordt opgelost.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

Asymmetrische routering met ExpressRoute

NAT-vereisten voor openbare Azure-peeringNAT requirements for Azure public peering

Notitie

Openbare Azure-peering is niet beschikbaar voor nieuwe circuits.Azure public peering is not available for new circuits.

Met het pad voor openbare Azure-peering kunt u verbinding maken met alle services die via de openbare IP-adressen worden gehost in Azure.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Deze lijst bevat services die worden vermeld in de Veelgestelde vragen over ExpressRoute en alle services die door ISV's worden gehost op Microsoft Azure.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

Belangrijk

Connectiviteit met Microsoft Azure-services via openbare peering wordt altijd gestart vanuit uw netwerk naar het Microsoft-netwerk.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. Daarom kunnen sessies met uw netwerk niet vanuit Microsoft Azure-services via ExpressRoute worden gestart.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. Als dit toch wordt geprobeerd, maken pakketten die naar deze aangekondigde IP-adressen worden verzonden, gebruik van internet in plaats van ExpressRoute.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

Verkeer dat is bestemd voor Microsoft Azure via openbare peering moet met SNAT worden omgezet naar geldige openbare IPv4-adressen voordat het het Microsoft-netwerk binnenkomt.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. In onderstaande afbeelding ziet u een algemeen beeld van hoe de NAT kan worden ingesteld om te voldoen aan bovenstaande vereiste.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

NAT IP-adresgroep en route-advertentiesNAT IP pool and route advertisements

U moet ervoor zorgen dat verkeer het pad voor openbare Azure-peering binnenkomt met een geldig openbaar IPv4-adres.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. Microsoft moet het eigenaarschap van de IPv4 NAT-adresgroep kunnen controleren in het regionale Routing Internet Registry (RIR) of een Internet Routing Registry (IRR).Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). Er wordt een controle uitgevoerd op basis van het AS-nummer waaraan het wordt gekoppeld en de IP-adressen die voor de NAT worden gebruikt.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Raadpleeg de pagina ExpressRoute routing requirements (Routeringsvereisten voor ExpressRoute) voor meer informatie over routeringsregisters.Refer to the ExpressRoute routing requirements page for information on routing registries.

Er zijn geen lengtebeperkingen voor het NAT IP-voorvoegsel dat via deze peering wordt geadverteerd.There are no restrictions on the length of the NAT IP prefix advertised through this peering. U moet de NAT-adresgroep controleren en ervoor zorgen dat u geen NAT-sessies tekort komt.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

Belangrijk

De NAT IP-adresgroep die wordt geadverteerd aan Microsoft mag niet worden geadverteerd op internet.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Dit verbreekt de connectiviteit met andere Microsoft-services.This will break connectivity to other Microsoft services.

Volgende stappenNext steps