Requisitos de NAT do ExpressRoute
Para se conectar usando os serviços em nuvem da Microsoft usando o ExpressRoute, você precisa configurar e gerenciar NATs. Alguns provedores de conectividade oferecem a configuração e o gerenciamento de NAT como um serviço gerenciado. Verifique se seu provedor de conectividade oferece esse serviço. Caso contrário, você deve atender aos requisitos descritos neste artigo.
Consulte a página Circuitos e domínios de roteamento do ExpressRoute para obter uma visão geral dos vários domínios de roteamento. Para atender aos requisitos de endereço IP público para o emparelhamento público do Azure e da Microsoft, recomendamos a configuração de NAT entre sua rede e a Microsoft. Esta seção fornece uma descrição detalhada da infraestrutura NAT que precisa ser configurada.
Requisitos de NAT para emparelhamento da Microsoft
O caminho de emparelhamento da Microsoft permite conectar os serviços em nuvem da Microsoft. A lista de serviços inclui serviços do Microsoft 365, como o Exchange Online, o SharePoint Online e o Skype for Business. A Microsoft espera dar suporte à conectividade bidirecional no emparelhamento da Microsoft. O tráfego destinado aos serviços de nuvem da Microsoft deve estar no modo SNAT para endereços IPv4 públicos válidos antes de entrar na rede da Microsoft. O tráfego destinado à sua rede proveniente dos serviços de nuvem da Microsoft deve estar no modo SNAT na borda da Internet para evitar um roteamento assimétrico. A figura a seguir fornece uma imagem de alto nível de como a NAT deve ser configurada para emparelhamento da Microsoft.
Tráfego com origem em sua rede e destinado à Microsoft
Você deve garantir que o tráfego esteja entrando no caminho de emparelhamento da Microsoft com um endereço IPv4 público válido. A Microsoft deve ser capaz de validar a propriedade do pool de endereços NAT IPv4 com base no registro regional de roteamento da Internet (RIR) ou em um registro de roteamento da Internet (IRR). Uma verificação é executada com base no número de AS emparelhados e nos endereços IP usados para NAT. Consulte a página Requisitos de roteamento do ExpressRoute para obter informações sobre registros de roteamento.
Os endereços de IP usados na configuração de emparelhamento da Microsoft e em outros circuitos do ExpressRoute não devem ser anunciados para a Microsoft pela sessão BGP. Não há restrições com relação ao tamanho do prefixo IP NAT anunciado por meio desse emparelhamento.
Importante
O pool de IPs de NAT anunciado à Microsoft não deve ser anunciado na Internet. Isso interromperá a conectividade com outros serviços da Microsoft. Não recomendamos usar um endereço IP público do intervalo atribuído ao link primário ou secundário. Em vez disso, você deve usar um intervalo diferente de endereços IP públicos atribuídos a você e registrados em um Registro Regional a Internet (RIR) ou Registro de Roteamento da Internet (IRR). Dependendo do volume de chamadas, esse intervalo pode ser tão pequeno quanto um único endereço IP (representado como "/32" para IPv4 ou "/128" para IPv6).
Tráfego com origem na Microsoft e destinado à sua rede
- Certas situações exigem que a Microsoft inicie a conectividade com os pontos de extremidade do serviço hospedados em sua rede. Um exemplo típico dessa situação seria a conectividade com servidores ADFS hospedados em sua rede desde o Microsoft 365. Nesses casos, você deve vazar os prefixos apropriados de sua rede para o emparelhamento da Microsoft.
- Você deve colocar tráfego da Microsoft no modo SNAT na borda da Internet para pontos de extremidade de serviço dentro de sua rede para evitar um roteamento assimétrico. Solicitações e respostas com um IP de destino que correspondam a uma rota recebida do ExpressRoute sempre passam pelo ExpressRoute. O roteamento assimétrico existe se a solicitação é recebida através da Internet com a resposta enviada por meio do ExpressRoute. Colocar o tráfego de entrada da Microsoft no modo SNAT na borda da Internet força o tráfego de resposta de volta para a borda da Internet, resolvendo o problema.
Pool de IP de NAT e anúncios de rota
Você deve garantir que o tráfego esteja entrando no caminho de emparelhamento do Azure Microsoft com um endereço de IPv4 público válido. A Microsoft deve ser capaz de validar a propriedade do pool de endereços NAT IPv4 com base em um registro regional de roteamento da Internet (RIR) ou em um registro de roteamento da Internet (IRR). Uma verificação é executada com base no número de AS emparelhados e nos endereços IP usados para NAT. Consulte a página Requisitos de roteamento do ExpressRoute para obter informações sobre registros de roteamento.
Não há restrições com relação ao tamanho do prefixo IP de NAT anunciado por meio desse emparelhamento. Você deve monitorar o pool de NAT e não ficar sem sessões NAT.
Importante
O pool de IPs de NAT anunciado à Microsoft não deve ser anunciado na Internet. Isso interromperá a conectividade com outros serviços da Microsoft. Não recomendamos usar um endereço IP público do intervalo atribuído ao link primário ou secundário. Em vez disso, você deve usar um intervalo diferente de endereços IP públicos atribuídos a você e registrados em um Registro Regional a Internet (RIR) ou Registro de Roteamento da Internet (IRR). Dependendo do volume de chamadas, esse intervalo pode ser tão pequeno quanto um único endereço IP (representado como "/32" para IPv4 ou "/128" para IPv6).
Próximas etapas
Consulte os requisitos para o Roteamento e QoS.
Para obter informações sobre o fluxo de trabalho, consulte Fluxos de trabalho de provisionamento e estados do circuito do ExpressRoute.
Configurar sua conexão do ExpressRoute.