Požadavky na překlad adres (NAT) služby ExpressRoute
Pokud se chcete připojit ke cloudovým službám Microsoftu pomocí ExpressRoute, musíte nastavit a spravovat překlad adres (NAT). Někteří poskytovatelé připojení nabízejí nastavení a správu NAT jako spravovanou službu. Zeptejte se svého poskytovatele připojení, jestli tuto službu nabízí. Pokud ne, musíte dodržovat požadavky popsané v tomto článku.
Přehled různých domén směrování získáte na stránce Okruhy ExpressRoute a domény směrování. Pokud chcete splnit požadavky na veřejné IP adresy pro veřejný partnerský vztah Azure a partnerský vztah Microsoftu, doporučujeme mezi vaší sítí a Microsoftem zřídit překlad adres NAT. Tato část poskytuje podrobný popis infrastruktury NAT, kterou je potřeba nastavit.
Požadavky NAT pro partnerský vztah Microsoftu
Cesta partnerského vztahu Microsoftu vám umožňuje připojit se ke cloudovým službám Microsoftu. Seznam služeb zahrnuje služby Microsoftu 365, jako jsou Exchange Online, SharePoint Online a Skype pro firmy. Microsoft v partnerském vztahu Microsoftu očekává podporu obousměrného připojení. Přenosy určené cloudovým službám Microsoftu musí být před jejich vstupem do sítě Microsoftu platné IPv4 adresy přeložené pomocí překladu SNAT. Přenosy určené do vaší sítě z cloudových služeb Microsoftu musí být před vstupem do vaší sítě z internetu přeložené pomocí překladu SNAT, aby se zabránilo asymetrickému směrování. Následující obrázek obsahuje základní obrázek toho, jak má být překlad adres (NAT) nastavený pro partnerský vztah Microsoftu.
Přenosy pocházející z vaší sítě určené do Microsoftu
Je nutné zajistit, aby provoz vstupující do cesty partnerského vztahu Microsoftu měl platnou veřejnou IPv4 adresu. Microsoft musí být schopný ověřit vlastníka fondu IPv4 adres NAT proti regionálnímu registru RIR nebo registru IRR. Provede se kontrola na základě čísla AS v partnerském vztahu a IP adres používaných pro překlad adres (NAT). Informace o registrech směrování najdete na stránce Požadavky na směrování služby ExpressRoute.
IP adresy používané pro nastavení partnerského vztahu Microsoftu a další okruhy ExpressRoute se nesmí inzerovat Do Microsoftu prostřednictvím relace protokolu BGP. Délka předpony IP adres NAT inzerovaná prostřednictvím tohoto partnerského vztahu není nijak omezená.
Důležité
Fond IP adres NAT inzerovaný Microsoftu nesmí být inzerovaný do internetu. Tím by došlo k přerušení připojení k jiným službám Microsoftu. Doporučujeme použít veřejnou IP adresu z rozsahu přiřazeného primárnímu nebo sekundárnímu propojení. Místo toho byste měli použít jiný rozsah veřejných IP adres, které vám byly přiřazeny a zaregistrovány v regionálním internetovém registru (RIR) nebo v registru směrování internetu (IRR). V závislosti na svazku volání může být tento rozsah malý jako jedna IP adresa (reprezentovaná jako /32 pro IPv4 nebo /128 pro IPv6).
Přenosy pocházející z Microsoftu určené do vaší sítě
- Některé scénáře vyžadují, aby Microsoft zahájil připojení ke koncovým bodům služby hostovaným v rámci vaší sítě. Typickým příkladem scénáře je připojení k serverům ADFS hostovaným ve vaší síti z Microsoftu 365. V takových případech musíte nechat uniknout příslušné předpony z vaší sítě do partnerského vztahu Microsoftu.
- Přenosy z Microsoftu je nutné před vstupem z internetu do koncových bodů služby v rámci vaší sítě přeložit pomocí překladu SNAT, aby se zabránilo asymetrickému směrování. Požadavky a odpovědi s cílovou IP adresou, která odpovídá trase přijaté z ExpressRoute, vždy procházejí přes ExpressRoute. K asymetrickému směrování dochází v případě, že je požadavek obdržen přes internet a odpověď odeslaná přes ExpressRoute. Překlad příchozích přenosů z Microsoftu před vstupem z internetu do vaší sítě pomocí překladu SNAT tento problém řeší tím, že vynutí odeslání přenosu s odpovědí zpět do internetu.
Inzerování tras a fondu IP adres NAT
Musíte zajistit, aby provoz zadává cestu partnerského vztahu Azure Microsoftu s platnou veřejnou IPv4 adresou. Microsoft musí být schopný ověřit vlastnictví fondu IPv4 adres NAT proti regionálnímu registru RIR nebo registru IRR. Provede se kontrola na základě čísla AS v partnerském vztahu a IP adres používaných pro překlad adres (NAT). Informace o registrech směrování najdete na stránce Požadavky na směrování služby ExpressRoute.
Neexistují žádná omezení délky předpon adres IP pro NAT inzerovaných prostřednictvím tohoto partnerského vztahu. Musíte monitorovat fond překladu adres (NAT) a ujistit se, že nejste hladovění relací NAT.
Důležité
Fond IP adres NAT inzerovaný Microsoftu nesmí být inzerovaný do internetu. Tím by došlo k přerušení připojení k jiným službám Microsoftu. Doporučujeme použít veřejnou IP adresu z rozsahu přiřazeného primárnímu nebo sekundárnímu propojení. Místo toho byste měli použít jiný rozsah veřejných IP adres, které vám byly přiřazeny a zaregistrovány v regionálním internetovém registru (RIR) nebo v registru směrování internetu (IRR). V závislosti na svazku volání může být tento rozsah malý jako jedna IP adresa (reprezentovaná jako /32 pro IPv4 nebo /128 pro IPv6).
Další kroky
Přečtěte si požadavky pro směrování a technologii QoS.
Informace o pracovním postupu najdete v tématu Pracovní postupy zřizování okruhů ExpressRoute a stavy okruhu.
Nakonfigurujte připojení ExpressRoute.