Configurer des filtres de routage pour le peering Microsoft : interface Azure CLI

  • Article

Les filtres de routage permettent d’utiliser un sous-ensemble de services pris en charge via le peering Microsoft. Les étapes décrites dans cet article vous aident à configurer et à gérer des filtres de routage pour les circuits ExpressRoute.

Les services Microsoft 365, comme Exchange Online, SharePoint Online et Skype Entreprise sont accessibles par le biais de l’appairage Microsoft. Quand l'homologation Microsoft est configurée dans un circuit ExpressRoute, tous les préfixes liés à ces services sont publiés via les sessions BGP établies. Une valeur de communauté BGP est attachée à chaque préfixe pour identifier le service qui est proposé par le biais du préfixe. Pour obtenir la liste de valeurs de communauté BGP et des services auxquels elles sont mappées, consultez les communautés BGP.

La connectivité à tous les services Azure et Microsoft 365 entraîne la publication d’un grand nombre de préfixes via le protocole BGP. Le grand nombre de préfixes augmente considérablement la taille des tables de routage gérées par les routeurs au sein de votre réseau. Si vous envisagez d’utiliser uniquement un sous-ensemble des services offerts par le biais du peering Microsoft, vous pouvez réduire la taille de vos tables de routage de deux manières. Vous pouvez :

  • Filtrer les préfixes indésirables en appliquant des filtres de routage sur les communautés BGP. Le filtrage du routage est une pratique de mise en réseau standard courante.

  • Définir des filtres de routage et les appliquer à votre circuit ExpressRoute. Un filtre de routage est une ressource qui vous permet de sélectionner la liste des services que vous envisagez d’utiliser via le peering Microsoft. Les routeurs ExpressRoute envoient uniquement la liste des préfixes qui appartiennent aux services identifiés dans le filtre de routage.

Diagram of a route filter applied to the ExpressRoute circuit to allow only certain prefixes to be broadcast to the on-premises network.

À propos des filtres de routage

Quand l’homologation Microsoft est configurée sur votre circuit ExpressRoute, les routeurs Microsoft Edge établissent une paire de sessions BGP avec vos routeurs de périphérie via votre fournisseur de connectivité. Aucun routage n'est publié sur votre réseau. Pour activer les annonces de routage sur votre réseau, vous devez associer un filtre de routage.

Un filtre de routage vous permet d'identifier les services que vous souhaitez utiliser via le peering Microsoft de votre circuit ExpressRoute. Il s'agit essentiellement de la liste autorisée de toutes les valeurs de communauté BGP. Une fois qu'une ressource de filtre de routage est définie et associée à un circuit ExpressRoute, tous les préfixes qui mappent aux valeurs de communauté BGP sont publiés sur votre réseau.

Pour associer des filtres de routage à des services Microsoft 365, vous devez être autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute. Si vous n'êtes pas autorisé à utiliser les services Microsoft 365 par le biais d'ExpressRoute, l'association des filtres de routage échoue. Pour plus d’informations sur le processus d’autorisation, consultez Azure ExpressRoute pour Microsoft 365.

Important

Le peering Microsoft des circuits ExpressRoute configurés avant le 1er août 2017 entraîne la publication de tous les préfixes de service Microsoft Office par le biais du peering Microsoft, même si les filtres de routage ne sont pas définis. Le peering Microsoft des circuits ExpressRoute qui sont configurés le 1er août 2017 ou après n’entraînera la publication d’aucun préfixe tant qu’un filtre de routage n’aura pas été attaché au circuit.

Prérequis

Pour vous connecter aux services via une homologation Microsoft, vous devez suivre les étapes de configuration suivantes :

  • Vous devez disposer d’un circuit ExpressRoute actif où le peering Microsoft est provisionné. Vous pouvez utiliser les instructions suivantes pour accomplir ces tâches :
    • Créez un circuit ExpressRoute et demandez à votre fournisseur de connectivité de l’activer avant de poursuivre. Le circuit ExpressRoute doit être approvisionné et activé.
    • Créez le peering Microsoft si vous gérez la session BGP directement. Sinon, demandez à votre fournisseur de connectivité de configurer le peering Microsoft pour votre circuit.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Option Exemple/Lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur. Button to launch Azure Cloud Shell.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure. Screenshot that shows the Cloud Shell button in the Azure portal

Pour utiliser Azure Cloud Shell :

  1. Démarrez Cloud Shell.

  2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

  3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux ou en sélectionnant Cmd+Maj+V sur macOS.

  4. Sélectionnez Entrée pour exécuter le code ou la commande.

Si vous choisissez d’installer et d’utiliser l’interface de ligne de commande localement, vous aurez besoin d’Azure CLI version 2.0.28 ou ultérieure pour poursuivre le tutoriel. Pour connaître la version de l’interface, exécutez az --version. Si vous devez effectuer une installation ou une mise à niveau, consultez Installer Azure CLI.

Vous connecter à votre compte Azure et sélectionner votre abonnement

Pour commencer votre configuration, connectez-vous à votre compte Azure. Si vous utilisez l’option « Essayer », vous êtes automatiquement connecté et pouvez ignorer l’étape de connexion. Utilisez les exemples suivants pour faciliter votre connexion :

az login

Vérifiez les abonnements associés au compte.

az account list

Sélectionnez l’abonnement pour lequel vous souhaitez créer un circuit ExpressRoute.

az account set --subscription "<subscription ID>"

Obtenir la liste des préfixes et des valeurs de communauté BGP

  1. Pour obtenir la liste des valeurs de communauté BGP et préfixes liés aux services accessibles via une homologation Microsoft, utilisez la cmdlet suivante :

    az network route-filter rule list-service-communities

  2. Dressez la liste des valeurs de communauté BGP que vous souhaitez utiliser dans le filtre de routage.

Créer un filtre de routage et une règle de filtre

Un filtre de routage ne peut avoir qu’une seule règle, et cette règle doit être de type « Autoriser ». Cette règle peut être associée à une liste des valeurs de communauté BGP. La commande az network route-filter create crée uniquement une ressource de filtre de routage. Après avoir créé la ressource, vous devez créer une règle et la joindre à l’objet de filtre de routage.

  1. Pour créer une ressource de filtre de routage, utilisez la commande suivante :

    az network route-filter create -n MyRouteFilter -g MyResourceGroup

  2. Pour créer une règle de filtre de routage, utilisez la commande suivante :

    az network route-filter rule create --filter-name MyRouteFilter -n CRM --communities 12076:5040 --access Allow -g MyResourceGroup

Joindre le filtre de routage à un circuit ExpressRoute

Exécutez la commande suivante pour joindre le filtre de routage au circuit ExpressRoute :

az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --route-filter MyRouteFilter

Tâches courantes

Obtenir les propriétés d’un filtre de routage

Pour obtenir les propriétés d’un filtre de routage, utilisez la commande suivante :

az network route-filter show -g ExpressRouteResourceGroupName --name MyRouteFilter

Mettre à jour les propriétés d’un filtre de routage

Si le filtre de routage est déjà associé à un circuit, les mises à jour de la liste de communautés BGP propagent automatiquement les modifications de publication de préfixe via la session BGP établie. Vous pouvez mettre à jour la liste de communautés BGP de votre filtre de routage à l’aide de la commande suivante :

az network route-filter rule update --filter-name MyRouteFilter -n CRM -g ExpressRouteResourceGroupName --add communities '12076:5040' --add communities '12076:5010'

Détacher un filtre de routage d’un circuit ExpressRoute

Une fois qu’un filtre de routage est détaché du circuit ExpressRoute, aucun préfixe n’est publié via la session BGP. Vous pouvez détacher un filtre de routage d’un circuit ExpressRoute à l’aide de la commande suivante :

az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --remove routeFilter

Nettoyer les ressources

Vous ne pouvez supprimer un filtre de routage que s’il n’est associé à aucun circuit. Assurez-vous que le filtre de routage n’est pas associé à un circuit avant de tenter de le supprimer. Vous pouvez supprimer un filtre de routage à l’aide de la commande suivante :

az network route-filter delete -n MyRouteFilter -g MyResourceGroup

Étapes suivantes

Pour plus d’informations sur les exemples de configuration de routeur, consultez :

Exemples de configuration de routeur pour configurer et gérer le routage