Požadavky na směrování ExpressRoute
Pokud se chcete připojit ke cloudovým službám Microsoftu pomocí ExpressRoute, musíte nastavit a spravovat směrování. Někteří poskytovatelé připojení nabízejí nastavení a správu směrování jako spravovanou službu. Zeptejte se svého poskytovatele připojení, jestli tuto službu nabízí. Pokud ne, je nutné splnit následující požadavky:
Přečtěte si článek Okruhy a domény směrování, který popisuje relace směrování, které musí být nastaveny k usnadnění připojení.
Poznámka:
Microsoft nepodporuje žádné protokoly redundance směrovačů, jako je HSRP nebo VRRP pro konfigurace s vysokou dostupností. V případě vysoké dostupnosti spoléháme na redundantní dvojici relací protokolu BGP na partnerský vztah.
IP adresy používané pro partnerský vztah
Je nutné rezervovat několik bloků IP adres, abyste nakonfigurovali směrování mezi vaší sítí a směrovači MSEE (Microsoft Enterprise Edge). Tato část poskytuje seznam požadavků a popisuje pravidla týkající se získávání a použití těchto IP adres.
IP adresy sloužící pro soukromý partnerský vztah Azure
Ke konfiguraci partnerského vztahu můžete použít privátní IP adresy nebo veřejné IP adresy. Rozsah adres použitý ke konfiguraci tras se nemůže překrývat s rozsahy adres používanými pro virtuální sítě v Azure.
- IPv4:
- Pro rozhraní směrování musíte vyhraďte
/29podsíť nebo dvě/30podsítě. - Podsítě pro směrování mohou obsahovat buď soukromé IP adresy, nebo veřejné IP adresy.
- Podsítě nesmí být v konfliktu s rozsahem vyhrazeným zákazníkem pro použití v cloudu Microsoftu.
/29Pokud se použije podsíť, rozdělí se do dvou/30podsítí.- První
/30podsíť se používá pro primární propojení a druhá/30podsíť se používá pro sekundární propojení. - Pro každou z
/30podsítí musíte pro směrovač použít první IP adresu/30podsítě. Microsoft používá druhou IP adresu/30podsítě k nastavení relace protokolu BGP. - Aby smlouva SLA dostupnosti byla platná, musíte nastavit obě relace protokolu BGP.
- První
- Pro rozhraní směrování musíte vyhraďte
- IPv6:
- Pro rozhraní směrování musíte vyhraďte
/125podsíť nebo dvě/126podsítě. - Podsítě pro směrování mohou obsahovat buď soukromé IP adresy, nebo veřejné IP adresy.
- Podsítě nesmí být v konfliktu s rozsahem vyhrazeným zákazníkem pro použití v cloudu Microsoftu.
/125Pokud se použije podsíť, rozdělí se do dvou/126podsítí.- První
/126podsíť se používá pro primární propojení a druhá/126podsíť se používá pro sekundární propojení. - Pro každou z
/126podsítí musíte pro směrovač použít první IP adresu/126podsítě. Microsoft používá druhou IP adresu/126podsítě k nastavení relace protokolu BGP. - Aby smlouva SLA dostupnosti byla platná, musíte nastavit obě relace protokolu BGP.
- První
- Pro rozhraní směrování musíte vyhraďte
Příklad soukromého partnerského vztahu
Pokud se a.b.c.d/29 rozhodnete nastavit partnerský vztah, rozdělí se do dvou /30 podsítí. V následujícím příkladu si všimněte, jak a.b.c.d/29 se podsíť používá:
a.b.c.d/29je rozdělena doa.b.c.d/30Microsoftu aa.b.c.d+4/30předána do microsoftu prostřednictvím rozhraní API pro zřizování.- Používáte
a.b.c.d+1jako IP adresu VRF pro primární pe a Microsoft používáa.b.c.d+2jako IP adresu VRF pro primární MSEE. - Jako IP adresu VRF pro sekundární pe a Microsoft používá
a.b.c.d+5a.b.c.d+6jako IP adresu VRF pro sekundární MSEE.
- Používáte
Zvažte případ, kdy vyberete 192.168.100.128/29 nastavení privátního partnerského vztahu. 192.168.100.128/29 zahrnuje adresy od 192.168.100.128 do 192.168.100.135, mezi které patří:
192.168.100.128/30je přiřazeno ,link1s poskytovatelem používajícím192.168.100.129a microsoftem pomocí192.168.100.130.192.168.100.132/30je přiřazeno ,link2s poskytovatelem používajícím192.168.100.133a microsoftem pomocí192.168.100.134.
IP adresy používané pro partnerský vztah Microsoftu
Pro nastavení relací protokolu BGP musíte použít veřejné IP adresy, které vlastníte. Microsoft musí být schopný ověřit vlastnictví IPv4 adres v registrech RIR a IRR.
- IP adresy uvedené na portálu pro inzerované veřejné předpony pro partnerský vztah Microsoftu vytvoří seznamy ACL pro základní směrovače Microsoftu, které umožní příchozí provoz z těchto IP adres.
- K nastavení partnerského vztahu protokolu BGP pro každý okruh ExpressRoute musíte použít jedinečnou
/29podsíť (IPv4) nebo dvě/30podsítě (IPv4) nebo/125dvě podsítě (IPv4) nebo/126(IPv6). /29Pokud se použije podsíť, rozdělí se do dvou/30podsítí.- První
/30podsíť se používá pro primární propojení a druhá/30podsíť se používá pro sekundární propojení. - Pro každou z
/30podsítí musíte použít první IP adresu/30podsítě ve směrovači. Microsoft používá druhou IP adresu/30podsítě k nastavení relace protokolu BGP. /125Pokud se použije podsíť, rozdělí se do dvou/126podsítí.- První
/126podsíť se používá pro primární propojení a druhá/126podsíť se používá pro sekundární propojení. - Pro každou z
/126podsítí musíte použít první IP adresu/126podsítě ve směrovači. Microsoft používá druhou IP adresu/126podsítě k nastavení relace protokolu BGP. - Musíte nastavit obě relace protokolu BGP, aby naše smlouva SLA o dostupnosti byla platná.
Požadavek veřejné IP adresy
Soukromý peering
Pro soukromý partnerský vztah si můžete zvolit použití veřejných nebo privátních IPv4 adres. Poskytujeme kompletní izolaci vašeho provozu, takže překrývání adres s jinými zákazníky není možné pro privátní partnerský vztah. Tyto adresy se neinzerují na internet.
Partnerský vztah s Microsoftem
Cesta partnerského vztahu Microsoftu vám umožňuje připojit se ke cloudovým službám Microsoftu. Mezi tyto služby patří služby Microsoft Office 365, jako jsou Exchange Online, SharePoint Online, Skype pro firmy a Microsoft Teams. Microsoft v partnerském vztahu Microsoftu podporuje obousměrné připojení. Přenosy směřující do cloudových služeb Microsoftu musí před vstupem do služby MSN používat platné veřejné IPv4 adresy.
Ujistěte se, že vaše IP adresa a číslo AS jsou registrované na vás v jednom z následujících registrů:
Pokud vám ve výše uvedených registrech nejsou přiřazeny vaše předpony a číslo AS, musíte otevřít případ podpory pro ruční ověření předpon a čísla ASN. Podpora vyžaduje dokumentaci, například zplnomocnění, která prokáže vaše oprávnění používat příslušné předpony.
U partnerského vztahu Microsoftu je povolené soukromé číslo AS, ale vyžaduje ruční ověření. Kromě toho v AS PATH odebereme soukromá čísla AS pro přijaté předpony. V důsledku toho nebudete moct připojit soukromá čísla AS k AS PATH, abyste ovlivnili směrování pro partnerský vztah Microsoftu. Kromě toho v cestě nejsou povolená čísla AS 64496 až 64511 vyhrazená organizací IANA pro účely dokumentace.
Důležité
Neinzerujte stejnou veřejnou IP trasu na veřejný internet a přes ExpressRoute. Pokud chcete snížit riziko nesprávné konfigurace způsobující asymetrického směrování, důrazně doporučujeme, aby IP adresy PŘEKLADU adres inzerované Microsoftu přes ExpressRoute byly z rozsahu, který se vůbec neinzeruje na internet. Pokud toho není možné dosáhnout, je nezbytné zajistit inzerování konkrétnějšího rozsahu přes ExpressRoute než rozsahu na internetovém připojení. Kromě veřejné trasy pro NAT můžete prostřednictvím ExpressRoute inzerovat také veřejné IP adresy používané servery ve vaší místní síti, které komunikují s koncovými body Microsoft 365 v rámci Microsoft.
Dynamická výměna tras
Výměna směrování je přes protokol eBGP. Relace EBGP se vytvoří mezi směrovači MSEE a vašimi směrovači. Ověřování relací protokolu BGP není požadavek. V případě potřeby je možné nakonfigurovat hodnotu hash MD5. Informace o konfiguraci relací BGP najdete v tématu Konfigurace směrování a Pracovní postupy zřizování okruhů a stavy okruhu.
Čísla autonomního systému (ASN)
Microsoft pro veřejný partnerský vztah Azure, soukromý partnerský vztah Azure a partnerský vztah Microsoftu používá číslo AS 12076. Pro interní použití jsme vyhradili čísla ASN od 65515 do 65520. Podporují se 16bitová i 32bitová čísla AS.
Nejsou žádné požadavky týkající se symetrie přenosu dat. Cesty vpřed a zpět můžou procházet různými dvojicemi směrovačů. Identické trasy se musí inzerovat z obou stran přes několik párů okruhů, které patří vám. Metriky tras nemusí být identické.
Agregace tras a omezení předpon
ExpressRoute podporuje až 4000 předpon IPv4 a 100 předpon IPv6 inzerovaných Microsoftu prostřednictvím privátního partnerského vztahu Azure. Pokud je povolený doplněk ExpressRoute Premium, můžete tento limit zvýšit až na 10 000 předpon IPv4. ExpressRoute přijímá až 200 předpon na relaci protokolu BGP pro veřejný partnerský vztah Azure a partnerský vztah Microsoftu.
Pokud počet předpon překročí toto omezení, relace BGP se ukončí. ExpressRoute přijímá pouze výchozí trasy na privátním partnerském propojení. Poskytovatel musí odfiltrovat výchozí trasy a privátní IP adresy (RFC 1918) z cest pro veřejný partnerský vztah Azure a partnerský vztah Microsoftu.
Tranzitní směrování a směrování mezi oblastmi
ExpressRoute není možné nakonfigurovat jako tranzitní směrovače. Musíte se spolehnout na svého poskytovatele připojení pro služby směrování přenosu.
Inzerování výchozích tras
Výchozí trasy jsou povolené jenom na relacích soukromého partnerského vztahu Azure. V takovém případě ExpressRoute směruje veškerý provoz z přidružených virtuálních sítí do vaší sítě. Inzerování výchozích tras do privátního partnerského vztahu vede k zablokování internetové cesty z Azure. Musíte spoléhat na vaše podnikové hraniční servery, že pro služby hostované v Azure přesměrují provoz z internetu a do něj.
Některé služby nejsou přístupné z podnikového hraničního zařízení. Pokud chcete povolit připojení k jiným službám Azure a službám infrastruktury, musíte použít uživatelem definované směrování, abyste umožnili připojení k internetu pro každou podsíť vyžadující připojení k internetu pro tyto služby.
Poznámka:
Inzerování výchozích tras poruší aktivaci licencí pro Windows a jiné virtuální počítače. Informace o řešení najdete v tématu Použití tras definovaných uživatelem k povolení aktivace Pomocí Služby správy klíčů.
Podpora komunit BGP
Tato část obsahuje přehled toho, jak se komunity protokolu BGP používají s ExpressRoute. Microsoft inzeruje trasy v soukromých, veřejných a veřejných (zastaralých) partnerských cestách s trasami označenými příslušnými hodnotami komunity. Důvody, proč to udělat, a podrobnosti o hodnotách komunity jsou popsány jako sledované. Microsoft ale nedotkuje žádné hodnoty komunity označené trasami inzerovanými Microsoftu.
Pokud pro privátní partnerský vztah nakonfigurujete vlastní hodnotu komunity protokolu BGP ve virtuálních sítích Azure, uvidíte tuto vlastní hodnotu a hodnotu místní komunity protokolu BGP na trasách Azure inzerovaných do místního prostředí přes ExpressRoute.
Poznámka:
Aby trasy Azure zobrazovaly místní hodnoty komunity protokolu BGP, musíte nejprve nakonfigurovat vlastní hodnotu komunity protokolu BGP pro virtuální síť.
V případě partnerského vztahu Microsoftu se připojujete k Microsoftu prostřednictvím ExpressRoute v libovolném umístění partnerského vztahu v rámci geopolitické oblasti. Máte také přístup ke všem cloudovým službám Microsoftu napříč všemi oblastmi v rámci geopolitické hranice.
Pokud jste se například připojili k Microsoftu v Amsterdamu prostřednictvím ExpressRoute, máte přístup ke všem cloudovým službám Microsoftu hostovaným v severní Evropě a západní Evropě.
Podrobný seznam geopolitických oblastí, přidružených oblastí Azure a odpovídajících umístění partnerského vztahu ExpressRoute najdete na stránce Partneři ExpressRoute a umístění partnerského vztahu.
Můžete zakoupit víc než jeden okruh ExpressRoute na geopolitickou oblast. Použití víc připojení nabízí významné výhody vysoké dostupnosti z důvodu georedundance. V případech, kdy máte více okruhů ExpressRoute, obdržíte stejnou sadu předpon inzerovaných od Microsoftu na cestě partnerského vztahu Microsoftu. Výsledkem této konfigurace je několik cest z vaší sítě do Microsoftu. Toto nastavení může potenciálně způsobit neoptimální rozhodování o směrování v rámci vaší sítě. V důsledku toho se můžete u různých služeb setkat s neoptimálním průběhem připojení. Při rozhodování o směrování se na tyto hodnoty komunity můžete spoléhat, abyste nabízeli uživatelům optimální směrování.
| Oblast Microsoft Azure | Místní komunita protokolu BGP (privátní partnerský vztah) | Regionální komunita protokolu BGP (partnerský vztah Microsoftu) | Komunita protokolu BGP úložiště | Komunita protokolu BGP PRO SQL | Komunita protokolu BGP služby Azure Cosmos DB | Zálohování komunity protokolu BGP |
|---|---|---|---|---|---|---|
| Severní Amerika | ||||||
| USA – východ | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| USA – východ 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| USA – západ | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| Západní USA 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| USA – západ 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| Středozápad USA | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| Severní střed USA | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| Středojižní USA | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| USA – střed | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Střední Kanada | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Kanada – východ | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| Jižní Amerika | ||||||
| Brazílie – jih | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Evropa | ||||||
| Severní Evropa | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Západní Evropa | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| Velká Británie – jih | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| Velká Británie – západ | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Francie – střed | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Francie – jih | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Švýcarsko – sever | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Švýcarsko – západ | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Německo – sever | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Německo – středozápad | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Norsko – východ | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Norsko – západ | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Asie a Tichomoří | ||||||
| Východní Asie | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Southeast Asia | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Japonsko | ||||||
| Japonsko – východ | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Japonsko – západ | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Austrálie | ||||||
| Austrálie – východ | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Austrálie – jihovýchod | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Australská vláda | ||||||
| Austrálie – střed | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Austrálie – střed 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| Indie | ||||||
| Jižní Indie | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| Indie – západ | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| Střední Indie | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Korea | ||||||
| Korea Jih | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Jižní Korea – střed | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| Jižní Afrika | ||||||
| Jižní Afrika – sever | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Jižní Afrika – západ | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| Spojené arabské emiráty | ||||||
| Spojené arabské emiráty – sever | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| Spojené arabské emiráty – střed | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Všechny trasy inzerované od Microsoftu jsou označené odpovídající hodnotou komunity.
Důležité
Globální předpony jsou označené odpovídající hodnotou komunity.
Hodnota komunity protokolu BGP
Kromě značky BGP pro každou oblast microsoft také označí předpony na základě služby, do které patří. Toto označování platí jenom pro partnerský vztah Microsoftu. Následující tabulka obsahuje mapování služby na hodnotu komunity protokolu BGP. Můžete spustit rutinu Get-AzBgpServiceCommunity pro úplný seznam nejnovějších hodnot.
| Služba | Hodnota komunity protokolu BGP |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Online Skype pro firmy (2) a (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Azure Global Services (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Další služby Office 365 Online (2) | 12076:5100 |
| Microsoft Defender for Identity | 12076:5220 |
| Služby veřejné telefonní sítě Microsoftu (5) | 12076:5250 |
(1) Služba Azure Global Services v současnosti zahrnuje pouze Azure DevOps.
(2) Vyžaduje se autorizace od Microsoftu. Viz Konfigurace filtrů tras pro partnerský vztah Microsoftu.
(3) Tato komunita také publikuje potřebné trasy pro služby Microsoft Teams.
(4) CRM Online podporuje Dynamics v8.2 a níže. U vyšších verzí vyberte regionální komunitu pro vaše nasazení Dynamics.
(5) Použití partnerského vztahu Microsoftu se službami veřejné telefonní sítě je omezeno na konkrétní případy použití. Viz Použití ExpressRoute pro služby veřejné telefonní sítě Microsoftu.
Poznámka:
Microsoft nectí žádné hodnoty komunity protokolu BGP, které jste přiřadili trasám inzerovaným Microsoftu.
Podpora komunity protokolu BGP v národních cloudech
| Oblast Azure národních cloudů | Hodnota komunity protokolu BGP |
|---|---|
| US Government | |
| US Gov – Arizona | 12076:51106 |
| US Gov – Iowa | 12076:51109 |
| US Gov – Virginie | 12076:51105 |
| US Gov – Texas | 12076:51108 |
| US DoD Central | 12076:51209 |
| US DoD East | 12076:51205 |
| Čína | |
| Čína – sever | 12076:51301 |
| Čína – východ | 12076:51302 |
| Čína – východ 2 | 12076:51303 |
| Čína – sever 2 | 12076:51304 |
| Čína – sever 3 | 12076:51305 |
| Služba v národních cloudech | Hodnota komunity protokolu BGP |
|---|---|
| US Government | |
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Online Skype pro firmy | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| Jiné online služby Office 365 | 12076:5200 |
- Komunity Office 365 nejsou podporovány prostřednictvím partnerského vztahu Microsoftu pro Microsoft Azure provozované oblastí 21Vianet.
Další kroky
Nakonfigurujte připojení ExpressRoute.