Требования ExpressRoute к NATExpressRoute NAT requirements

Для подключения к облачным службам Майкрософт с помощью ExpressRoute необходима настройка и управление NAT.To connect to Microsoft cloud services using ExpressRoute, you’ll need to set up and manage NATs. Некоторые поставщики услуг подключения предлагают настройку NAT как управляемой службы и управление этой службой.Some connectivity providers offer setting up and managing NAT as a managed service. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу.Check with your connectivity provider to see if they offer such a service. В противном случае необходимо выполнить требования, описанные ниже.If not, you must adhere to the requirements described below.

Общие сведения о различных доменах маршрутизации см. в статье Каналы ExpressRoute и домены маршрутизации.Review the ExpressRoute circuits and routing domains page to get an overview of the various routing domains. Для выполнения требований об открытых IP-адресах для общедоступного пиринга Azure и пиринга Майкрософт рекомендуем настроить NAT между вашей сетью и Майкрософт.To meet the public IP address requirements for Azure public and Microsoft peering, we recommend that you set up NAT between your network and Microsoft. В этом разделе подробно описана инфраструктура NAT, которую вам нужно настроить.This section provides a detailed description of the NAT infrastructure you need to set up.

Требования NAT для пиринга МайкрософтNAT requirements for Microsoft peering

Путь пиринга Майкрософт позволяет подключаться к облачным службам Майкрософт, которые не поддерживаются по пути общедоступного пиринга Azure.The Microsoft peering path lets you connect to Microsoft cloud services that are not supported through the Azure public peering path. В список этих служб входят службы Office 365, такие как Exchange Online, SharePoint Online, Skype для бизнеса и Dynamics 365.The list of services includes Office 365 services, such as Exchange Online, SharePoint Online, Skype for Business, and Dynamics 365. Корпорация Майкрософт рассчитывает на поддержку двустороннего подключения через пиринг Майкрософт.Microsoft expects to support bi-directional connectivity on the Microsoft peering. Прежде чем попасть в сеть Майкрософт, трафик, предназначенный для передачи в облачные службы Майкрософт через общедоступный пиринг, необходимо подвергнуть исходящему преобразованию сетевых адресов в действительные адреса IPv4.Traffic destined to Microsoft cloud services must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. Чтобы предотвратить асимметричную маршрутизацию, трафик, передаваемый из облачных служб Майкрософт, необходимо подвергнуть преобразованию исходящих сетевых адресов на границе с Интернетом.Traffic destined to your network from Microsoft cloud services must be SNATed at your Internet edge to prevent asymmetric routing. На представленной ниже схеме показано, как настроить NAT для пиринга Майкрософт.The figure below provides a high-level picture of how the NAT should be set up for Microsoft peering.

Трафик, исходящий из локальной сети и предназначенный для MicrosoftTraffic originating from your network destined to Microsoft

  • Убедитесь, что трафик поступает по пути пиринга Майкрософт с действительным открытым адресом IPv4.You must ensure that traffic is entering the Microsoft peering path with a valid public IPv4 address. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR).Microsoft must be able to validate the owner of the IPv4 NAT address pool against the regional routing internet registry (RIR) or an internet routing registry (IRR). Проверка выполняется по номеру AS для пиринга и IP-адресам, используемым для NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.Refer to the ExpressRoute routing requirements page for information on routing registries.

  • IP-адреса, используемые для настройки общедоступного пиринга Azure и других каналов ExpressRoute .нельзя объявлять Майкрософт в сеансе BGP.IP addresses used for the Azure public peering setup and other ExpressRoute circuits must not be advertised to Microsoft through the BGP session. Длина префиксов IP-адресов для NAT, объявляемых с помощью этого пиринга, не ограничивается.There is no restriction on the length of the NAT IP prefix advertised through this peering.

    Важно!

    Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Это приведет к разрыву подключения к другим службам Microsoft.This will break connectivity to other Microsoft services.

Трафик, исходящий из Майкрософт и предназначенный для вашей сетиTraffic originating from Microsoft destined to your network

  • В некоторых сценариях от Майкрософт требуется запуск подключения к конечным точкам службы, размещенным в вашей сети.Certain scenarios require Microsoft to initiate connectivity to service endpoints hosted within your network. В качестве типового примера можно привести подключение Office 365 к серверам ADFS, размещенным в вашей сети.A typical example of the scenario would be connectivity to ADFS servers hosted in your network from Office 365. В таких случаях необходима передача соответствующих префиксов из вашей сети в пиринг Майкрософт.In such cases, you must leak appropriate prefixes from your network into the Microsoft peering.
  • Чтобы предотвратить асимметричную маршрутизацию, необходимо подвергнуть преобразованию исходящих сетевых адресов трафик Майкрософт на границе с Интернетом для конечных точек службы в вашей сети.You must SNAT Microsoft traffic at the Internet edge for service endpoints within your network to prevent asymmetric routing. Запросы и ответы с конечным IP-адресом, которые соответствуют маршруту, полученному через ExpressRoute, всегда будут отправляться через ExpressRoute.Requests and replies with a destination IP that match a route received via ExpressRoute will always be sent via ExpressRoute. Асимметричная маршрутизация будет существовать, если запрос, полученный через Интернет, содержит ответ, отправленный через ExpressRoute.Asymmetric routing exists if the request is received via the Internet with the reply sent via ExpressRoute. Если подвергнуть преобразованию исходящих сетевых адресов входящий трафик Майкрософт на границе с Интернетом, то для разрешения проблемы необходимо будет отправить ответ обратно на границу с Интернетом.SNATing the incoming Microsoft traffic at the Internet edge forces reply traffic back to the Internet edge, resolving the problem.

Асимметричная маршрутизация с помощью ExpressRoute

Требования к NAT для общедоступного пиринга AzureNAT requirements for Azure public peering

Примечание

Общедоступный пиринг Azure не рекомендуется для новых каналов.Azure public peering is not available for new circuits.

Путь общедоступного пиринга Azure позволяет подключаться ко всем службам, размещенным в Azure, по их открытым IP-адресам.The Azure public peering path enables you to connect to all services hosted in Azure over their public IP addresses. Сюда входят службы, перечисленные в статье Вопросы и ответы по ExpessRoute, а также все службы, размещенные независимыми поставщиками программного обеспечения в Microsoft Azure.These include services listed in the ExpessRoute FAQ and any services hosted by ISVs on Microsoft Azure.

Важно!

Подключение к службам Microsoft Azure через общедоступный пиринг всегда осуществляется от локальной сети к сети Microsoft.Connectivity to Microsoft Azure services on public peering is always initiated from your network into the Microsoft network. Таким образом, через ExpressRoute невозможно инициировать сеансы из служб Microsoft Azure к вашей сети.Therefore, sessions cannot be initiated from Microsoft Azure services to your network over ExpressRoute. При попытке это сделать пакеты, отправляемые по объявленным IP-адресам, вместо ExpressRoute будут использовать Интернет.If attempted, packets sent to these advertised IPs will use the internet instead of ExpressRoute.

Прежде чем попасть в сеть Майкрософт, трафик, предназначенный для передачи в Microsoft Azure через общедоступный пиринг, необходимо подвергнуть исходящему преобразованию сетевых адресов в действительные адреса IPv4.Traffic destined to Microsoft Azure on public peering must be SNATed to valid public IPv4 addresses before they enter the Microsoft network. На представленной ниже схеме показано, как настроить NAT в соответствии с указанным выше требованием.The figure below provides a high-level picture of how the NAT could be set up to meet the above requirement.

Пул IP-адресов и объявления маршрутов для NATNAT IP pool and route advertisements

Убедитесь, что трафик поступает в Azure по пути общедоступного пиринга с действительным открытым адресом IPv4.You must ensure that traffic is entering the Azure public peering path with valid public IPv4 address. У Майкрософт должна быть возможность проверить владельца пула адресов IPv4 для NAT по региональному интернет-реестру (RIR) или интернет-реестру маршрутизации (IRR).Microsoft must be able to validate the ownership of the IPv4 NAT address pool against a regional routing Internet registry (RIR) or an Internet routing registry (IRR). Проверка выполняется по номеру AS для пиринга и IP-адресам, используемым для NAT.A check will be performed based on the AS number being peered with and the IP addresses used for the NAT. Сведения о реестрах маршрутизации см. в статье Требования ExpressRoute к маршрутизации.Refer to the ExpressRoute routing requirements page for information on routing registries.

Длина префиксов IP-адресов для NAT, объявляемых с помощью этого пиринга, не ограничивается.There are no restrictions on the length of the NAT IP prefix advertised through this peering. Пул NAT необходимо отслеживать, чтобы не остаться без сеансов NAT.You must monitor the NAT pool and ensure that you are not starved of NAT sessions.

Важно!

Пул IP-адресов для NAT, объявленных для Майкрософт, не должен объявляться в Интернете.The NAT IP pool advertised to Microsoft must not be advertised to the Internet. Это приведет к разрыву подключения к другим службам Microsoft.This will break connectivity to other Microsoft services.

Дальнейшие действияNext steps