Creare e modificare il peering per un circuito ExpressRoute usando l'interfaccia della riga di comando

Articolo
04/25/2024

Questo articolo illustra come creare e gestire la configurazione / il peering del routing per un circuito ExpressRoute nel modello di distribuzione di Resource Manager usando l'interfaccia della riga di comando. La procedura seguente mostra anche come controllare lo stato e aggiornare, eliminare o effettuare il deprovisioning dei peering per un circuito ExpressRoute. Se si vuole usare un metodo diverso per eseguire operazioni nel circuito, selezionare l'articolo appropriato nell'elenco seguente:

Azure portal
PowerShell
Interfaccia della riga di comando di Azure
Peering pubblico
Video - Peering privato
Video - Peering Microsoft
PowerShell (classic) (PowerShell (classico))

Diagramma che mostra una rete locale connessa al cloud Microsoft tramite un circuito ExpressRoute.

Prerequisiti

Prima di iniziare, installare la versione più recente dei comandi dell'interfaccia della riga di comando (2.0 o successiva). Per informazioni sull'installazione dei comandi dell'interfaccia della riga di comando, vedere Installare l'interfaccia della riga di comando di Azure.
Prima di procedere con la configurazione, assicurarsi di avere letto le pagine relative ai prerequisiti, ai requisiti di routing e ai flussi di lavoro.
È necessario avere un circuito ExpressRoute attivo. Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. Per eseguire i comandi descritti in questo articolo, è necessario che sia stato effettuato il provisioning del circuito ExpressRoute e che il relativo stato sia abilitato.

Queste istruzioni si applicano solo ai circuiti creati con provider di servizi che offrono servizi di connettività di livello 2. Se si usa un provider di servizi che offre servizi gestiti di livello 3 (in genere un IPVPN, come MPLS), il provider di connettività configurerà e gestirà il routing per conto dell'utente.

Per un circuito ExpressRoute, è possibile configurare il peering privato e il peering Microsoft. I peering possono essere configurati nell'ordine che si preferisce. assicurandosi, tuttavia, di completare la configurazione di un peering per volta. Per altre informazioni sul routing dei domini e il peering , vedere Domini di routing ExpressRoute.

Peering Microsoft

Questa sezione consente di creare, ottenere, aggiornare ed eliminare la configurazione del peering Microsoft per un circuito ExpressRoute.

Importante

Per i circuiti ExpressRoute configurati prima del 1 agosto 2017 tutti i prefissi di servizio saranno annunciati tramite il peering Microsoft, anche se non sono definiti i filtri di route. Il peering Microsoft dei circuiti ExpressRoute che vengono configurati dopo il 1° agosto 2017 non avrà alcun prefisso annunciato fino a quando non viene associato un filtro di route per il circuito. Per altre informazioni, vedere Configure a route filter for Microsoft peering (Configurare un filtro di route per il peering Microsoft).

Per creare il peering Microsoft

Installare e usare la versione più recente dell'interfaccia della riga di comando di Azure.
```
az login
```
Selezionare la sottoscrizione per la quale si vuole creare un circuito ExpressRoute.
```
az account set --subscription "<subscription ID>"
```
Creare un circuito ExpressRoute. Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di effettuarne il provisioning. Se il provider di connettività offre servizi gestiti di livello 3, è possibile chiedere al provider di abilitare il peering Microsoft per l'utente. In questo caso, non sarà necessario seguire le istruzioni riportate nelle sezioni seguenti. Se invece il provider di connettività non gestisce il routing per conto dell'utente, una volta creato il circuito proseguire la configurazione seguendo questa procedura.

Controllare che il circuito ExpressRoute sia nello stato di provisioning eseguito e abilitato. Usare l'esempio seguente:

az network express-route list

La risposta restituita è simile all'esempio seguente:

"allowClassicOperations": false,
"authorizations": [],
"circuitProvisioningState": "Enabled",
"etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
"gatewayManagerEtag": null,
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
"location": "westus",
"name": "MyCircuit",
"peerings": [],
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup",
"serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
"serviceProviderNotes": null,
"serviceProviderProperties": {
 "bandwidthInMbps": 200,
 "peeringLocation": "Silicon Valley",
 "serviceProviderName": "Equinix"
},
"serviceProviderProvisioningState": "Provisioned",
"sku": {
 "family": "UnlimitedData",
 "name": "Standard_MeteredData",
 "tier": "Standard"
},
"tags": null,
"type": "Microsoft.Network/expressRouteCircuits]

Configurare il peering Microsoft per il circuito. Prima di continuare, verificare di avere le informazioni seguenti.
- Coppia di subnet di proprietà dell'utente e registrata in un registro RIR/IRR. Una subnet verrà usata per il collegamento primario e l'altra per il collegamento secondario. Da ognuna di queste subnet si assegna al router il primo indirizzo IP utilizzabile, poiché il secondo indirizzo IP utilizzabile viene usato da Microsoft per il proprio router. Sono disponibili tre opzioni per questa coppia di subnet:
  - IPv4: due subnet /30. Devono essere prefissi IPv4 pubblici validi.
  - IPv6: due subnet /126. Devono essere prefissi IPv6 pubblici validi.
  - Entrambi: due subnet /30 e due subnet /126.
- Il peering Microsoft consente di comunicare con gli indirizzi IP pubblici nella rete Microsoft. Gli endpoint del traffico nella rete locale devono quindi essere pubblici. Questa operazione viene spesso eseguita usando SNAT.
Nota

Quando si usa SNAT, è consigliabile usare un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).
- Un ID VLAN valido su cui stabilire questo peering. Assicurarsi che nessun altro peering nel circuito usi lo stesso ID VLAN. Per i collegamenti primario e secondario, è necessario usare lo stesso ID VLAN.
- Numero AS per il peering. È possibile usare numeri AS a 2 e a 4 byte.
- Prefissi annunciati: fornire un elenco di tutti i prefissi che si intende annunciare nella sessione BGP. Sono accettati solo prefissi di indirizzi IP pubblici. Se si intende inviare un set di prefissi, è possibile creare un elenco delimitato da virgole. Questi prefissi devono essere intestati all'utente in un registro RIR o IRR.
- Facoltativo - ASN cliente: se si annunciano prefissi non registrati con l'ASN del peering, è possibile specificare il numero ASN con cui sono registrati.
- Routing Registry Name: è possibile specificare il registro RIR/IRR in cui sono registrati il numero AS e i prefissi.
- Facoltativo: un hash MD5, se si sceglie di usarne uno.
Per configurare il peering Microsoft per il circuito, eseguire l'esempio seguente:
```
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 123.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 123.0.0.4/30 --vlan-id 300 --peering-type MicrosoftPeering --advertised-public-prefixes 123.1.0.0/24
```

Per visualizzare i dettagli del peering Microsoft

Per ottenere i dettagli di configurazione, usare l'esempio seguente:

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzureMicrosoftPeering

Importante

Microsoft verifica se all'utente sono assegnati "Prefissi pubblici annunciati" e "ASN peer" (o "ASN cliente") nel registro di sistema di routing Internet. Se si ricevono prefissi pubblici da un'altra entità e l'assegnazione non viene registrata con il registro di sistema di routing, la convalida automatica non verrà completata e sarà richiesta la convalida manuale. Se la convalida automatica non riesce, nell'output del comando precedente verrà visualizzato il messaggio 'Convalida necessaria' per 'AdvertisedPublicPrefixesState'.

Se viene visualizzato il messaggio 'Convalida necessaria', raccogliere i documenti che mostrano che i prefissi pubblici sono assegnati all'organizzazione dall'entità elencata come proprietaria dei prefissi nel registro di routing, quindi inviarli per la convalida manuale aprendo un ticket di supporto.

L'output è simile all'esempio seguente:

{
  "azureAsn": 12076,
  "etag": "W/\"2e97be83-a684-4f29-bf3c-96191e270666\"",
  "gatewayManagerEtag": "18",
  "id": "/subscriptions/9a0c2943-e0c2-4608-876c-e0ddffd1211b/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzureMicrosoftPeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedPublicPrefixes": [
        ""
      ],
     "advertisedPublicPrefixesState": "",
     "customerASN": ,
     "routingRegistryName": ""
  }
  "name": "AzureMicrosoftPeering",
  "peerAsn": ,
  "peeringType": "AzureMicrosoftPeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "routeFilter": null,
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "",
  "sharedKey": null,
  "state": "Enabled",
  "stats": null,
  "vlanId": 100
}

Per aggiornare la configurazione del peering Microsoft

È possibile aggiornare qualsiasi parte della configurazione. Nell'esempio seguente i prefissi annunciati del circuito vengono aggiornati da 123.1.0.0/24 a 124.1.0.0/24:

az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroup --peering-type MicrosoftPeering --advertised-public-prefixes 124.1.0.0/24

Per aggiungere le impostazioni del peering Microsoft IPv6 a una configurazione IPv4 esistente

az network express-route peering update -g ExpressRouteResourceGroup --circuit-name MyCircuit --peering-type MicrosoftPeering --ip-version ipv6 --primary-peer-subnet 2002:db00::/126 --secondary-peer-subnet 2003:db00::/126 --advertised-public-prefixes 2002:db00::/126

Peering privato di Azure

Questa sezione fornisce le istruzioni per creare, ottenere, aggiornare ed eliminare la configurazione del peering privato di Azure per un circuito ExpressRoute.

Per creare un peering privato di Azure

Installare la versione più recente dell'interfaccia della riga di comando di Azure.
```
az login
```
Selezionare la sottoscrizione desiderata per creare il circuito ExpressRoute
```
az account set --subscription "<subscription ID>"
```
Creare un circuito ExpressRoute. Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di effettuarne il provisioning. Se il provider di connettività offre servizi gestiti di livello 3, è possibile chiedere al provider di connettività di abilitare il peering privato di Azure per l'utente. In questo caso, non sarà necessario seguire le istruzioni riportate nelle sezioni seguenti. Se invece il provider di connettività non gestisce il routing per conto dell'utente, una volta creato il circuito proseguire la configurazione seguendo questa procedura.

Controllare che il circuito ExpressRoute sia nello stato di provisioning eseguito e abilitato. Usare l'esempio seguente:

az network express-route show --resource-group ExpressRouteResourceGroup --name MyCircuit

La risposta restituita è simile all'esempio seguente:

"allowClassicOperations": false,
"authorizations": [],
"circuitProvisioningState": "Enabled",
"etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
"gatewayManagerEtag": null,
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
"location": "westus",
"name": "MyCircuit",
"peerings": [],
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup",
"serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
"serviceProviderNotes": null,
"serviceProviderProperties": {
"bandwidthInMbps": 200,
"peeringLocation": "Silicon Valley",
"serviceProviderName": "Equinix"
},
"serviceProviderProvisioningState": "Provisioned",
"sku": {
 "family": "UnlimitedData",
 "name": "Standard_MeteredData",
 "tier": "Standard"
},
"tags": null,
"type": "Microsoft.Network/expressRouteCircuits]

Configurare il peering privato di Azure per il circuito. Prima di continuare con i passaggi successivi, verificare di avere gli elementi seguenti:
- Una coppia di subnet che non fanno parte di uno spazio indirizzi riservato per le reti virtuali. Una subnet verrà usata per il collegamento primario e l'altra per il collegamento secondario. Da ognuna di queste subnet si assegnerà al router il primo indirizzo IP utilizzabile, poiché il secondo indirizzo IP utilizzabile per il router viene usato da Microsoft. Sono disponibili tre opzioni per questa coppia di subnet:
  - IPv4: due subnet /30.
  - IPv6: due subnet /126.
  - Entrambi: due subnet /30 e due subnet /126.
- Un ID VLAN valido su cui stabilire questo peering. Assicurarsi che nessun altro peering nel circuito usi lo stesso ID VLAN.
- Numero AS per il peering. È possibile usare numeri AS a 2 e a 4 byte. È possibile usare il numero AS privato per questo peering. Assicurarsi di non usare 65515.
- Facoltativo: un hash MD5, se si sceglie di usarne uno.
Per configurare il peering privato di Azure per il circuito, usare l'esempio seguente:
```
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering
```
Se si sceglie di usare un hash MD5, usare l'esempio seguente:
```
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering --SharedKey "A1B2C3D4"
```
Importante

Assicurarsi di specificare il numero AS come ASN di peering e non come ASN cliente.

Per visualizzare i dettagli relativi al peering privato di Azure

Per ottenere i dettagli di configurazione, usare l'esempio seguente:

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

L'output è simile all'esempio seguente:

{
  "azureASN": 12076,
  "connections": [],
  "etag": "W/\"abcdef12-3456-7890-abcd-ef1234567890\"",
  "gatewayManagerEtag": "",
  "id": "/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzurePrivatePeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedCommunities": [],
    "advertisedPublicPrefixes": [],
    "advertisedPublicPrefixesState": "NotConfigured",
    "customerASN": 0,
    "legacyMode": 0,
    "routingRegistryName": "NONE"
  },
  "name": "AzurePrivatePeering",
  "peerASN": 65020,
  "peeredConnections": [],
  "peeringType": "AzurePrivatePeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "192.168.17.16/30",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "192.168.17.20/30",
  "state": "Enabled",
  "type": "Microsoft.Network/expressRouteCircuits/peerings",
  "vlanId": 100
}

Per aggiornare la configurazione del peering privato di Azure

Per aggiornare qualsiasi parte della configurazione, usare l'esempio seguente. In questo esempio il valore dell'ID VLAN del circuito viene aggiornato da 100 a 500.

az network express-route peering update --vlan-id 500 -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

Pulire le risorse

Per eliminare il peering Microsoft

Per rimuovere la configurazione di peering, eseguire l'esempio seguente:

az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name MicrosoftPeering

Per eliminare un peering privato di Azure