ExpressRoute NAT の要件

[アーティクル]
06/30/2023

ExpressRoute を使用して Microsoft クラウドサービスに接続するには、NAT をセットアップして管理する必要があります。一部の接続プロバイダーでは、NAT のセットアップと管理が管理されたサービスとして提供されています。このようなサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。このようなサービスが提供されていない場合は、この記事に示す要件に従う必要があります。

ExpressRoute の回線とルーティングドメインのページをお読みになり、さまざまなルーティングドメインの概要をご確認ください。 Azure パブリックと Microsoft ピアリングのパブリック IP アドレス要件を満たすために、ネットワークと Microsoft の間に NAT をセットアップすることをお勧めします。このセクションでは、セットアップする NAT インフラストラクチャに関して説明します。

Microsoft ピアリングの NAT 要件

Microsoft ピアリングパスにより、Azure パブリックピアリングパスでサポートされていない Microsoft クラウドサービスに接続できます。対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business などの Microsoft 365 サービスが含まれます。 Microsoft は今後、Microsoft ピアリングで双方向の接続をサポートする予定です。 Microsoft クラウドサービスに向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。 Microsoft クラウドサービスからご利用のネットワークに送信されるトラフィックは、非対称ルーティングを回避するためにインターネットエッジで SNAT 変換する必要があります。下の図に、Microsoft ピアリングのために NAT を設定する方法の概要を示します。

Microsoft ピアリング用に NAT を設定する方法の概要図。

ご利用のネットワークから Microsoft に送信されるトラフィック

トラフィックが有効なパブリック IPv4 アドレスで Microsoft ピアリングパスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティングインターネットレジストリ (RIR) またはインターネットルーティングレジストリ (IRR) に対して IPv4 NAT アドレスの所有者を検証する必要があります。ピアリングされている AS 番号と NAT に使っている IP アドレスに基づいて確認されます。ルーティングレジストリに関する情報については、 ExpressRoute のルーティングの要件のページを参照してください。
Azure パブリックピアリングセットアップと他の ExpressRoute 回線に使用する IP アドレスは BGP セッションで Microsoft にアドバタイズしないでください。このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。

重要

Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。他の Microsoft サービスへの接続が切断されます。

Microsoft からあなたのネットワークに送信されるトラフィック

一部のシナリオでは、あなたのネットワーク内でホストされているサービスエンドポイントへの接続を Microsoft が開始する必要があります。そのようなシナリオの典型的な例は、Microsoft 365 からあなたのネットワークでホストされている ADFS サービスに接続する場合です。そのような場合は、ネットワークから Microsoft ピアリングに適切なプレフィックスをリークする必要があります。
非対称ルーティングを回避するために、ご利用のネットワーク内のサービスエンドポイント向けのインターネットエッジで Microsoft トラフィックを SNAT 変換する必要があります。 ExpressRoute から受信したルートと一致する宛先 IP を持つ要求と応答は、常に ExpressRoute を経由します。要求がインターネット経由で受信され、応答が ExpressRoute 経由で送信される場合に、非対称ルーティングが見られます。インターネットエッジで受信した Microsoft トラフィックを SNAT 変換すると、応答トラフィックは強制的にインターネットエッジに返されるため、問題は解決します。

ExpressRoute を使用した非対称ルーティング

Azure パブリックピアリングの NAT 要件

Note

Azure パブリックピアリングは新しい回線では使用できません。

Azure パブリックピアリングパスを利用すれば、パブリック IP アドレスで Azure にホストされているすべてのサービスに接続できます。たとえば、 ExpessRoute FAQ の一覧にあるサービスや Microsoft Azure で ISV によりホストされているサービスです。

重要

パブリックピアリングでの Microsoft Azure への接続は常にネットワークから Microsoft ネットワークに対して開始されます。そのため、ExpressRoute 経由で Microsoft Azure サービスからネットワークへのセッションを開始することはできません。開始しようとすると、これらのアドバタイズされた IP に送信されるパケットでは、ExpressRoute ではなく、インターネットが使用されます。

パブリックピアリングで Microsoft Azure に向かうトラフィックは有効な IPv4 アドレスに SNAT 変換しないと、Microsoft ネットワークに入れません。下の図は、上記の要件を満たすように NAT をセットアップするしくみを上のレベルで示しています。

Microsoft ネットワークに入る前に、NAT を有効なパブリック IPv4 アドレスに SNAT 変換するよう設定する方法の概要図。

NAT IP プールとルートアドバタイズ

トラフィックが有効なパブリック IPv4 アドレスで Azure パブリックピアリングパスに入っていることを確認する必要があります。 Microsoft はリージョンのルーティングインターネットレジストリ (RIR) またはインターネットルーティングレジストリ (IRR) に対して IPv4 NAT アドレスの所有権を検証する必要があります。ピアリングされている AS 番号と NAT に使っている IP アドレスに基づいて確認されます。ルーティングレジストリに関する情報については、 ExpressRoute のルーティングの要件のページを参照してください。

このピアリングでアドバタイズされる NAT IP プレフィックスの長さには制約がありません。 NAT プールを監視し、NAT セッションが不足していないことを確認する必要があります。

重要

Microsoft にアドバタイズされる NAT IP プールはインターネットにアドバタイズしないでください。他の Microsoft サービスへの接続が切断されます。

次のステップ

ルーティングと QoS の要件を参照してください。
ワークフロー情報については、「 ExpressRoute 回線のプロビジョニングワークフローと回線の状態」を参照してください。
ExpressRoute 接続を構成します。