ExpressRoute NAT 要求

若要使用 ExpressRoute 连接到 Microsoft 云服务，需要设置并管理 NAT。 某些连接服务提供商以托管服务形式提供 NAT 的设置和管理。 请咨询连接服务提供商，以确定他们是否提供此类服务。 如果没有，则必须遵守本文中所述的相关要求。

查看 ExpressRoute 线路和路由域 页，获得各种路由域概述。 为了符合 Azure 公共和 Microsoft 对等互连的公共 IP 地址要求，建议在网络与 Microsoft 之间设置 NAT。 本部分提供需要设置的 NAT 基础结构的详细描述。

Microsoft 对等互连的 NAT 要求

Microsoft 对等互连路径用于连接到不支持通过 Azure 公共对等互连路径访问的 Microsoft 云服务。 Azure 有望在 Microsoft 对等互连上支持双向连接。 定向到 Microsoft 云服务的流量必须由 SNAT 转换成有效的公共 IPv4 地址才能进入 Azure 网络。 从 Microsoft 云服务定向到网络的流量必须在 Internet 边缘进行 SNAT 转换，避免非对称路由。 下图提供了有关如何为 Microsoft 对等互连设置 NAT 的综合示意图。

从网络发起的，目标为 Microsoft 的流量

• 必须确保流量进入公共 IPv4 地址有效的 Microsoft 对等互连路径。 Microsoft 必须能够根据区域路由 Internet 注册表 (RIR) 或 Internet 路由注册表 (IRR) 验证 IPv4 NAT 地址池的所有权。 会根据配对的 AS 编号和用于 NAT 的 IP 地址执行检查。 有关路由注册的信息，请参阅 ExpressRoute 路由要求 页。

• 用于 Azure 公共对等互连设置和其他 ExpressRoute 线路的 IP 地址不得通过 BGP 会话向 Microsoft 播发。 通过此对等互连播发的 NAT IP 前缀长度没有限制。

  重要

  已播发到 Microsoft 的 NAT IP 池不得播发到 Internet。 这会中断其他 Microsoft 服务的连接。

从 Microsoft 发起的，目标为网络的流量

• 某些方案需要 Microsoft 启动到网络中托管的服务终结点的连接。 在这种情况下，必须将网络中相应的前缀透露给 Microsoft 对等互连。

• 必须在 Internet 边缘为网络中的服务终结点进行 Microsoft 流量的 SNAT 转换，避免非对称路由。 只要目标 IP 地址与通过 ExpressRoute 接收的路由匹配，将始终通过 ExpressRoute 发送请求和回复。 如果请求是通过 Internet 接收的，而回复是通过 ExpressRoute 发送的，则会存在非对称路由。 在 Internet 边缘对传入的 Microsoft 流量进行 SNAT 转换 可以强制回复流量回到 Internet 边缘，从而解决此问题。

Azure 公共对等互连的 NAT 要求

Azure 公共对等互连路径用于连接到托管于 Azure 中的所有服务的公共 IP 地址。 其中包括 ExpessRoute 常见问题 中列出的服务以及由 Microsoft Azure 上的 ISV 托管的任何服务。

通过公共对等互连定向到 Microsoft 的流量必须由 SNAT 转换成有效的公共 IPv4 地址，才能进入 Microsoft 网络。 下图提供了有关如何设置 NAT 以符合上述要求的高级视图。

NAT IP 池和路由播发

必须确保流量进入公共 IPv4 地址有效的 Azure 公共对等互连路径。 Azure 必须能够根据区域路由 Internet 注册表 (RIR) 或 Internet 路由注册表 (IRR) 验证 IPv4 NAT 地址池的所有权。 会根据配对的 AS 编号和用于 NAT 的 IP 地址执行检查。 有关路由注册的信息，请参阅 ExpressRoute 路由要求 页。

通过此对等互连播发的 NAT IP 前缀长度没有限制。 必须监视 NAT 池，并确保未耗尽 NAT 会话。

后续步骤

• 请参阅路由的要求。

• 有关工作流信息，请参阅 ExpressRoute 线路预配工作流和线路状态。

• 配置 ExpressRoute 连接。

  • 创建 ExpressRoute 线路
  • 配置路由
  • 将 VNet 链接到 ExpressRoute 线路