NAT-Anforderungen für ExpressRoute

Zum Herstellen einer Verbindung mit Microsoft-Clouddiensten per ExpressRoute müssen Sie NATs einrichten und verwalten. Einige Konnektivitätsanbieter bieten das Einrichten und Verwalten von NAT als verwalteten Dienst an. Fragen Sie bei Ihrem Konnektivitätsanbieter nach, ob dieser Dienst angeboten wird. Wenn dies nicht der Fall ist, müssen Sie die in diesem Artikel beschriebenen Anforderungen erfüllen.

Überprüfen Sie die Seite ExpressRoute-Verbindungen und Routingdomänen , um einen Überblick über die verschiedenen Routingdomänen zu erhalten. Um die Anforderungen für die öffentliche IP-Adresse für das öffentliche Azure- und Microsoft-Peering zu erfüllen, wird empfohlen, dass Sie NAT zwischen Ihrem Netzwerk und Microsoft einrichten. Dieser Abschnitt enthält eine ausführliche Beschreibung der NAT-Infrastruktur, die Sie einrichten möchten.

NAT-Anforderungen für Microsoft-Peering

Über den Microsoft-Peeringpfad können Sie eine Verbindung mit Microsoft-Clouddiensten herstellen. Die Liste der Dienste umfasst Microsoft 365-Dienste wie z. B. Exchange Online, SharePoint Online und Skype for Business. Microsoft wird die bidirektionale Konnektivität beim Microsoft-Peering voraussichtlich unterstützen. Für Datenverkehr, der auf Microsoft-Clouddiensten über öffentliches Peering abzielt, muss vor dem Eintritt in das Microsoft-Netzwerk SNAT mit gültigen, öffentlichen IPv4-Adressen angewendet werden. Auf Datenverkehr, der aus Microsoft Cloud Services in Ihr Netzwerk fließt, muss an der Internetgrenze SNAT angewendet werden, um asymmetrisches Routing zu verhindern. Die folgende Abbildung bietet einen allgemeinen Überblick über die Einrichtung von NAT für Microsoft-Peering.

Allgemeines Diagramm der Einrichtung von NAT für Microsoft-Peering

Datenverkehr von Ihrem Netzwerk an Microsoft

  • Sie müssen sicherstellen, dass der Datenverkehr in den Microsoft-Peeringpfad über eine gültige, öffentliche IPv4-Adresse eintritt. Microsoft muss den Besitzer des IPv4-NAT-Adresspools gegen das regionale Routing Internet Registry (RIR) oder ein Internet Routing Registry (IRR) validieren können. Eine Überprüfung wird basierend auf der AS-Nummer ausgeführt, die für das Peering verwendet wird, und auf den für die NAT verwendeten IP-Adressen. Weitere Informationen zu Routingregistrierungen finden Sie auf der Seite ExpressRoute-Routinganforderungen .

  • IP-Adressen, die für die Einrichtung von Microsoft-Peering und anderen ExpressRoute-Verbindungen verwendet werden, müssen Microsoft nicht über die BGP-Sitzung angekündigt werden. Es gibt keine Einschränkung für die Länge des Präfixes für die NAT-IP, die über dieses Peering angekündigt wird.

    Wichtig

    Der Microsoft angekündigte NAT-IP-Adresspool muss nicht im Internet angekündigt werden. Ansonsten wird die Verbindung mit anderen Microsoft-Diensten unterbrochen. Wir raten von der Verwendung einer öffentlichen IP-Adresse aus dem Bereich ab, der primären oder sekundären Verknüpfung zugewiesen ist. Stattdessen sollten Sie einen anderen Bereich von öffentlichen IP-Adressen verwenden, die Ihnen zugewiesen und in einer regionalen Internetregistrierung (REGIONAL Internet Registry, RIR) oder internet Routing Registry (IRR) registriert wurden. Je nach Anruflautstärke kann dieser Bereich so klein wie eine einzelne IP-Adresse sein (dargestellt als "/32" für IPv4 oder "/128" für IPv6).

Datenverkehr von Microsoft an Ihr Netzwerk

  • Bestimmte Szenarios erfordern, dass Microsoft die Konnektivität zu den Dienstendpunkten innerhalb des Netzwerks initiiert. Ein typisches Szenarios wäre die Konnektivität zum ADFS-Server in Ihrem Netzwerk über Microsoft 365. In solchen Fällen müssen Sie entsprechenden Präfixe aus dem Netzwerk in der Microsoft peering einfließen.
  • Sie müssen an der Internetgrenze SNAT auf den Microsoft-Datenverkehr für Dienstendpunkte in Ihrem Netzwerk anwenden, um asymmetrisches Routing zu verhindern. Anforderungen und Antworten mit einer Ziel-IP, die einer über ExpressRoute empfangenen Route entspricht, werden immer über ExpressRoute gesendet. Asymmetrische Routing tritt auf, wenn die Anforderung über das Internet empfangen und die Antwort über ExpressRoute gesendet wird. Wenn Sie an der Internetgrenze SNAT auf den eingehenden Microsoft-Verkehr anwenden, wird der Antwortdatenverkehr zurück an die Internetgrenze gezwungen. Dadurch wird das Problem behoben.

Asymmetrisches Routing mit ExpressRoute

NAT-IP-Pool und Routenankündigungen

Sie müssen sicherstellen, dass der Datenverkehr in den Azure Microsoft-Peeringpfad über eine gültige, öffentliche IPv4-Adresse eintritt. Microsoft muss den Besitz des IPv4-NAT-Adresspools gegen ein regionales Routing Internet Registry (RIR) oder eine Internet Routing Registry (IRR) validieren können. Eine Überprüfung wird basierend auf der AS-Nummer ausgeführt, die für das Peering verwendet wird, und auf den für die NAT verwendeten IP-Adressen. Weitere Informationen zu Routingregistrierungen finden Sie auf der Seite ExpressRoute-Routinganforderungen .

Es gibt keine Einschränkungen für die Länge des Präfixes für die NAT-IP, die über dieses Peering angekündigt wird. Sie müssen den NAT-Pool überwachen und sicherstellen, dass Sie die NAT-Sitzungen nicht außer acht lassen.

Wichtig

Der Microsoft angekündigte NAT-IP-Adresspool muss nicht im Internet angekündigt werden. Ansonsten wird die Verbindung mit anderen Microsoft-Diensten unterbrochen. Wir raten von der Verwendung einer öffentlichen IP-Adresse aus dem Bereich ab, der primären oder sekundären Verknüpfung zugewiesen ist. Stattdessen sollten Sie einen anderen Bereich von öffentlichen IP-Adressen verwenden, die Ihnen zugewiesen und in einer regionalen Internetregistrierung (REGIONAL Internet Registry, RIR) oder internet Routing Registry (IRR) registriert wurden. Je nach Anruflautstärke kann dieser Bereich so klein wie eine einzelne IP-Adresse sein (dargestellt als "/32" für IPv4 oder "/128" für IPv6).

Nächste Schritte