Créer et modifier une homologation pour un circuit ExpressRoute à l’aide du portail Azure

Cet article vous montre comment créer et gérer une configuration de routage pour un circuit ExpressRoute Azure Resource Manager en utilisant le Portail Azure. Vous pouvez également mettre à jour, supprimer et déprovisionner des peerings d’un circuit ExpressRoute, ainsi qu’en vérifier l’état. Si vous souhaitez utiliser une autre méthode pour votre circuit, sélectionnez un article dans la liste suivante :

Vous pouvez configurer une homologation privée et une homologation Microsoft pour un circuit ExpressRoute. Les peerings peuvent être configurés dans l’ordre de votre choix. Toutefois, vous devez veiller à finaliser une par une la configuration de chaque peering. Pour plus d’informations sur les domaines de routage et les peerings, consultez Domaines de routage ExpressRoute.

Schéma montrant un réseau local connecté au cloud Microsoft via un circuit ExpressRoute.

Prerequisites

  • Avant de commencer la configuration, veillez à consulter les pages suivantes :
  • Vous devez disposer d’un circuit ExpressRoute actif. Suivez les instructions fournies pour Créer un circuit ExpressRoute puis, avant de poursuivre, demandez à votre fournisseur de connectivité de l’activer. Pour configurer des homologations, le circuit ExpressRoute doit être dans un état approvisionné et activé.
  • Si vous envisagez d’utiliser une clé partagée ou un hachage MD5, veillez à utiliser la clé des deux côtés du tunnel. La limite maximale est de 25 caractères alphanumériques. Les caractères spéciaux ne sont pas pris en charge.

Ces instructions s'appliquent uniquement aux circuits créés avec des fournisseurs de services proposant des services de connectivité de couche 2. Si votre fournisseur de services propose des services gérés de couche 3 (généralement un IPVPN, comme MPLS), votre fournisseur de connectivité configure et gère le routage pour vous.

Important

Nous n'annonçons pas de peerings configurés par les fournisseurs de services via le portail de gestion des services. Nous travaillons sur la prochaine activation de cette fonctionnalité. Contactez votre fournisseur de services avant de configurer des peerings BGP.

Peering Microsoft

Cette section explique comment créer, obtenir, mettre à jour et supprimer la configuration de peering Microsoft pour un circuit ExpressRoute.

Important

Le peering Microsoft des circuits ExpressRoute configurés avant le 1er août 2017 entraîne la publication de tous les préfixes de service Microsoft Office par le biais du peering Microsoft, même si les filtres de routage ne sont pas définis. Le peering Microsoft des circuits ExpressRoute qui sont configurés le 1er août 2017 ou après n’entraînera la publication d’aucun préfixe tant qu’un filtre de routage n’aura pas été attaché au circuit. Pour plus d’informations, consultez Configure a route filter for Microsoft peering (Configurer un filtre d’itinéraire pour l’homologation Microsoft).

Pour créer un peering Microsoft

  1. Configurer le circuit ExpressRoute. Vérifiez l’état du fournisseur pour vous assurer que le circuit est entièrement approvisionné par le fournisseur de connectivité avant de continuer.

    Si votre fournisseur de connectivité propose des services gérés de couche 3, vous pouvez lui demander d’activer le peering Microsoft pour vous. Vous n’avez pas besoin de suivre les instructions des sections suivantes. Toutefois, si votre fournisseur de connectivité ne gère pas le routage pour vous, après avoir créé votre circuit, accomplissez les étapes suivantes.

    Circuit – État du fournisseur : Non approvisionné

    Capture d’écran montrant la page Vue d’ensemble du circuit de démonstration d’ExpressRoute avec une zone rouge mettant en surbrillance l’état du fournisseur défini sur Non approvisionné.

    Circuit – État du fournisseur : Approvisionné

    Capture d’écran montrant la page Vue d’ensemble du circuit de démonstration d’ExpressRoute avec une zone rouge mettant en surbrillance l’état du fournisseur défini sur Approvisionné.

  2. Configurez le peering Microsoft pour le circuit. Avant de poursuivre, assurez-vous de disposer des informations suivantes.

    • Paire de sous-réseaux dont vous êtes propriétaire et inscrite dans un registre RIR/IRR. Un sous-réseau est utilisé pour le lien principal, tandis que vous utilisez l’autre pour le lien secondaire. À partir de chacun de ces sous-réseaux, vous attribuez la première adresse IP utilisable à votre routeur, tandis que Microsoft utilise la deuxième adresse IP utilisable pour son routeur. Trois options s’offrent à vous pour cette paire de sous-réseaux :
      • IPv4 : deux/30 sous-réseaux. Il doit s’agir de préfixes IPv4 publics valides.
      • IPv6 : deux/126 sous-réseaux. Il doit s’agir de préfixes IPv6 publics valides.
      • Les deux : deux/30 sous-réseaux et deux/126 sous-réseaux.
    • Le Peering Microsoft vous permet de communiquer avec les adresses IP publiques sur le réseau Microsoft. Par conséquent, vos points de terminaison de trafic sur votre réseau local doivent également être publics. Cette opération s’effectue souvent à l’aide de SNAT.

    Note

    Quand vous utilisez SNAT, nous vous déconseillons de choisir une adresse IP publique dans la plage attribuée à la liaison primaire ou secondaire. Au lieu de cela, vous devez utiliser une plage différente d’adresses IP publiques qui vous ont été attribuées et qui sont inscrites dans un registre Internet régional (RIR) ou un registre de routage Internet (IRR). En fonction de votre volume d’appels, cette plage peut être très petite, jusqu’à une adresse IP unique (représentée par « /32 » pour IPv4 ou « /128 » pour IPv6).

    • Un ID VLAN valide pour établir ce peering. Assurez-vous qu'aucun autre peering sur le circuit n'utilise le même ID VLAN. Vous devez utiliser le même ID VLAN pour le lien principal et pour le lien secondaire.

    • Un numéro AS pour le peering. Vous pouvez utiliser des numéros à 2 et 4 octets.

    • Préfixes publiés : vous fournissez une liste de tous les préfixes que vous prévoyez de publier sur la session BGP. Seuls les préfixes d'adresses IP publiques sont acceptés. Si vous prévoyez d’envoyer un jeu de préfixes, vous pouvez envoyer une liste séparée par des virgules. Ces préfixes doivent être enregistrés en votre nom dans un registre RIR / IRR.

      Note

      Pour chaque préfixe configuré, Microsoft génère un ID de validation. L’organisation propriétaire des préfixes utilise cet ID pour vérifier son autorité pour publier les préfixes. Les étapes de vérification détaillées sont fournies dans la section suivante.

    • Facultatif – ASN client : si vous publiez des préfixes qui ne sont pas inscrits au numéro AS du Peering, vous pouvez spécifier le numéro AS auquel ils sont inscrits.

    • Nom du registre de routage : vous pouvez spécifier les registres RIR/IRR par rapport auxquels le numéro AS et les préfixes sont enregistrés.

    • Facultatif : un hachage MD5 si vous choisissez d’en utiliser un.

  3. Vous pouvez sélectionner le peering que vous souhaitez configurer comme indiqué dans l’exemple suivant. Sélectionnez la ligne de peering Microsoft.

  4. Configurez le peering Microsoft. Enregistrez la configuration après avoir spécifié tous les paramètres. L’illustration suivante montre un exemple de configuration :

    Capture d’écran montrant la configuration du Peering Microsoft.

Pour valider les préfixes publics annoncés (aperçu public)

Lorsque vous configurez des préfixes d’adresses IP publiques pour publier sur BGP, Microsoft vérifie votre autorité pour annoncer ces préfixes. Les adresses IP peuvent être détenues par votre organisation ou louées par un tiers avec l’autorisation d’utiliser et de les publier. La vérification est effectuée en vérifiant un certificat numérique signé associé à chaque préfixe par rapport aux enregistrements RIR ou IRR appropriés.

Prerequisites

  1. L’organisation propriétaire des préfixes doit générer un certificat auto-signé à l’aide d’une clé privée sécurisée. Vous pouvez utiliser OpenSSL pour créer ce certificat. Le certificat doit être inclus dans la section commentaires du RIR /IRR approprié associé à la plage d’adresses IP.

    # Generate a private key using openssl:

openssl genpkey -algorithm rsa -out privkey.pem -pkeyopt rsa_keygen_bits:4096

# Generate the corresponding public key:

openssl rsa -in privkey.pem -outform PEM -pubout -out pubkey.pem

# Generate a Certificate Signing Request (CSR):

openssl req -new -key privkey.pem -out request.csr

# Generate a self signed public certificate:

openssl x509 -req -days 365 -in request.csr -signkey privkey.pem -out certificate.crt

    Important

    Microsoft ne demande jamais votre clé privée à des fins de vérification et ne doit jamais être partagée.

  2. Le certificat doit inclure :

    • Nom de l’organisation
    • ASN
    • Plage d’adresses IP

Autoriser le préfixe

  1. Utilisez votre clé privée et l’ID de validation pour générer une signature encodée en Base64 pour chaque préfixe répertorié sous Préfixes publiés. Enregistrez l’ID de validation dans un fichier à l’aide de l’encodage UTF-8, en vous assurant qu’il n’y a pas d’espaces ou de caractères spéciaux.

    Capture d’écran montrant le champ ID de validation dans le portail Azure pour le peering Microsoft ExpressRoute.

  2. Chargez la signature générée sur le portail Azure et enregistrez votre configuration.

Note

Si la validation automatique échoue, indiquée par un message de validation nécessaire , rassemblez la documentation montrant que votre organisation possède les préfixes publics inscrits dans le registre de routage. Envoyez ces documents en ouvrant un ticket de support pour la validation manuelle.

Pour afficher les détails du peering Microsoft

Vous pouvez afficher les propriétés de peering Microsoft en sélectionnant la ligne du peering.

Capture d’écran montrant l’affichage des propriétés du Peering Microsoft.

Pour mettre à jour la configuration de peering Microsoft

Sélectionnez la ligne du peering que vous souhaitez modifier, puis modifiez les propriétés de peering et enregistrez vos modifications.

Capture d’écran montrant la mise à jour de la configuration du Peering Microsoft.

Peering privé Azure

Cette section explique comment créer, obtenir, mettre à jour et supprimer la configuration de peering privé Azure pour un circuit ExpressRoute.

Pour créer un peering privé Azure

  1. Configurer le circuit ExpressRoute. Assurez-vous que le circuit est entièrement approvisionné par le fournisseur de connectivité avant de continuer.

    Si votre fournisseur de connectivité propose des services gérés de couche 3, vous pouvez lui demander d’activer le peering privé Azure pour vous. Vous n’avez pas besoin de suivre les instructions des sections suivantes. Toutefois, si votre fournisseur de connectivité ne gère pas le routage pour vous, après avoir créé votre circuit, passez aux étapes suivantes.

    Circuit – État du fournisseur : Non approvisionné

    Capture d’écran montrant la page Vue d’ensemble du circuit de démonstration d’ExpressRoute avec une zone rouge mettant en surbrillance l’état du fournisseur défini sur Non approvisionné.

    Circuit – État du fournisseur : Approvisionné

    Capture d’écran montrant la page Vue d’ensemble du circuit de démonstration d’ExpressRoute avec une zone rouge mettant en surbrillance l’état du fournisseur défini sur Approvisionné.

  2. Configurez le peering privé Azure pour le circuit. Avant de passer aux étapes suivantes, assurez-vous de disposer des éléments suivants :

    • Paire de sous-réseaux qui ne font pas partie de l’espace d’adressage réservé aux réseaux virtuels. Un sous-réseau est utilisé pour le lien principal, tandis que vous utilisez l’autre pour le lien secondaire. À partir de chacun de ces sous-réseaux, vous attribuez la première adresse IP utilisable à votre routeur, tandis que Microsoft utilise la deuxième adresse IP utilisable pour son routeur. Trois options s’offrent à vous pour cette paire de sous-réseaux :
      • IPv4 : deux/30 sous-réseaux.
      • IPv6 : deux/126 sous-réseaux.
      • Les deux : deux/30 sous-réseaux et deux/126 sous-réseaux.
    • Un ID VLAN valide pour établir ce peering. Assurez-vous qu'aucun autre peering sur le circuit n'utilise le même ID VLAN. Vous devez utiliser le même ID VLAN pour le lien principal et pour le lien secondaire.
    • Un numéro AS pour le peering. Vous pouvez utiliser des numéros à 2 et 4 octets. Vous pouvez utiliser un numéro AS privé pour ce peering, sauf pour les numéros 65515 à 65520 (inclus).
    • Vous devez publier les itinéraires à partir de votre routeur de périphérie local vers Azure via BGP quand vous configurez l’homologation privée.
    • Facultatif : un hachage MD5 si vous choisissez d’en utiliser un.

  3. Sélectionnez la ligne de peering privé Azure, comme indiqué dans l’exemple suivant :

    Capture d’écran montrant la sélection de la ligne de Peering privé.

  4. Configurer le peering privé Azure. Enregistrez la configuration après avoir spécifié tous les paramètres.

Pour afficher les détails d’un peering privé Azure

Vous pouvez afficher les propriétés de peering privé Azure en sélectionnant le peering.

Capture d’écran montrant l’affichage des propriétés du Peering privé.

Pour mettre à jour la configuration de peering privé Azure

Vous pouvez sélectionner la ligne pour le peering et modifier les propriétés de peering. Après la mise à jour, enregistrez vos modifications.

Capture d’écran montrant la mise à jour de la configuration du Peering privé.

Nettoyer les ressources

Pour supprimer un peering Microsoft

Vous pouvez supprimer votre configuration de peering Microsoft en cliquant avec le bouton droit sur le peering, puis en sélectionnant Supprimer, comme indiqué dans l’image suivante :

Capture d’écran montrant la suppression du Peering Microsoft.

Pour supprimer un peering privé Azure

Vous pouvez supprimer votre configuration de peering privé en cliquant avec le bouton droit sur le peering, puis en sélectionnant Supprimer, comme indiqué dans l’image suivante :

Warning

Vous devez vérifier que la totalité des réseaux virtuels et des connexions ExpressRoute Global Reach sont supprimés avant d’effectuer cette opération.

Capture d’écran montrant la suppression du Peering privé.

Étapes suivantes

Une fois que vous avez configuré l’homologation privée Azure, vous pouvez créer une passerelle ExpressRoute pour lier un réseau virtuel au circuit.

Configurer une passerelle de réseau virtuel pour ExpressRoute

  • Last updated on