Creare e modificare il peering per un circuito ExpressRoute usando PowerShell

Questo articolo consente di creare e gestire la configurazione di routing per un circuito ExpressRoute nel modello di distribuzione Resource Manager tramite PowerShell. La procedura seguente mostra anche come controllare lo stato e aggiornare, eliminare o effettuare il deprovisioning dei peering per un circuito ExpressRoute. Se si vuole usare un metodo diverso per eseguire operazioni nel circuito, selezionare l'articolo appropriato nell'elenco seguente:

• Azure portal
• PowerShell
• Interfaccia della riga di comando di Azure
• Peering pubblico
• Video - Peering privato
• Video - Peering Microsoft
• PowerShell (classic) (PowerShell (classico))

Queste istruzioni si applicano solo ai circuiti creati con provider di servizi che offrono servizi di connettività di livello 2. Se si usa un provider di servizi che offre servizi gestiti di livello 3, in genere un IPVPN, come MPLS, il provider di connettività configura e gestisce il routing di rete per conto dell'utente.

Importante

Attualmente non vengono annunciati peering configurati da provider di servizi tramite il portale di gestione del servizio. L'abilitazione di questa funzionalità sarà presto disponibile. Rivolgersi al provider di servizi prima di configurare peering BGP.

È possibile configurare il peering privato e il peering Microsoft per un circuito ExpressRoute (il peering pubblico di Azure è deprecato per i nuovi circuiti). I peering possono essere configurati nell'ordine che si preferisce. assicurandosi, tuttavia, di completare la configurazione di un peering per volta. Per altre informazioni sul routing dei domini e il peering , vedere Domini di routing ExpressRoute. Per informazioni sul peering pubblico, vedere Creare e gestire il peering pubblico di ExpressRoute.

In questa esercitazione apprenderai a:

• Configurare, aggiornare ed eliminare il peering Microsoft per un circuito
• Configurare, aggiornare ed eliminare il peering privato di Azure per un circuito

Prerequisiti

• Prima di iniziare la configurazione, rivedere le pagine seguenti:
  • Prerequisiti
  • Requisiti di routing
  • Flussi di lavoro
• È necessario avere un circuito ExpressRoute attivo. Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. Per poter eseguire i cmdlet descritti in questo articolo, deve essere stato effettuato il provisioning del circuito ExpressRoute e il circuito deve essere nello stato abilitato.

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare alcun elemento nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Premere INVIO per eseguire il codice o il comando.

Peering Microsoft

Questa sezione consente di creare, ottenere, aggiornare ed eliminare la configurazione del peering Microsoft per un circuito ExpressRoute.

Importante

Per i circuiti ExpressRoute configurati prima del 1 agosto 2017 tutti i prefissi di servizio saranno annunciati tramite il peering Microsoft, anche se non sono definiti i filtri di route. Il peering Microsoft dei circuiti ExpressRoute che vengono configurati dopo il 1° agosto 2017 non avrà alcun prefisso annunciato fino a quando non viene associato un filtro di route per il circuito. Per altre informazioni, vedere Configure a route filter for Microsoft peering (Configurare un filtro di route per il peering Microsoft).

Per creare il peering Microsoft

1. Accedere e selezionare la sottoscrizione.

   Se PowerShell è installato in locale, eseguire l'accesso. Se si usa Azure Cloud Shell, è possibile ignorare questo passaggio.

   Connect-AzAccount
   

   Selezionare la sottoscrizione desiderata per creare il circuito ExpressRoute.

   Select-AzSubscription -SubscriptionId "<subscription ID>"
   

2. Creare un circuito ExpressRoute.

   Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di effettuarne il provisioning. Se il provider di connettività offre servizi gestiti di livello 3, è possibile chiedere al provider di abilitare il peering Microsoft per l'utente. Non sarà necessario seguire le istruzioni riportate nelle sezioni seguenti. Se invece il provider di connettività non gestisce il routing per conto dell'utente, una volta creato il circuito proseguire la configurazione seguendo questa procedura.

3. Controllare che il circuito ExpressRoute sia nello stato di provisioning eseguito e abilitato. Usare l'esempio seguente:

   Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"
   

   La risposta restituita è simile all'esempio seguente:

   Name                             : ExpressRouteARMCircuit
   ResourceGroupName                : ExpressRouteResourceGroup
   Location                         : westus
   Id                               : /subscriptions/***************************/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/ExpressRouteARMCircuit
   Etag                             : W/"################################"
   ProvisioningState                : Succeeded
   Sku                              : {
                                       "Name": "Standard_MeteredData",
                                       "Tier": "Standard",
                                       "Family": "MeteredData"
                                     }
   CircuitProvisioningState         : Enabled
   ServiceProviderProvisioningState : Provisioned
   ServiceProviderNotes             : 
   ServiceProviderProperties        : {
                                       "ServiceProviderName": "Equinix",
                                       "PeeringLocation": "Silicon Valley",
                                       "BandwidthInMbps": 200
                                     }
   ServiceKey                       : **************************************
   Peerings                         : []
   

4. Configurare il peering Microsoft per il circuito. Prima di continuare, verificare di avere le informazioni seguenti.

   • Coppia di subnet di proprietà dell'utente e registrata in un registro RIR/IRR. Una subnet verrà usata per il collegamento primario e l'altra per il collegamento secondario. Da ognuna di queste subnet si assegna al router il primo indirizzo IP utilizzabile, poiché il secondo indirizzo IP utilizzabile viene usato da Microsoft per il proprio router. Sono disponibili tre opzioni per questa coppia di subnet:
     • IPv4: due subnet /30. Devono essere prefissi IPv4 pubblici validi.
     • IPv6: due subnet /126. Devono essere prefissi IPv6 pubblici validi.
     • Entrambi: due subnet /30 e due subnet /126.
   • Il peering Microsoft consente di comunicare con gli indirizzi IP pubblici nella rete Microsoft. Gli endpoint del traffico nella rete locale devono quindi essere pubblici. Questa operazione viene spesso eseguita usando SNAT.

   Nota

   Quando si usa SNAT, è consigliabile usare un indirizzo IP pubblico dall'intervallo assegnato al collegamento primario o secondario. È invece consigliabile usare un intervallo diverso di indirizzi IP pubblici assegnati all'utente e registrati in un Registro Internet regionale (RIR) o in Internet Routing Registry (IRR). A seconda del volume di chiamata, questo intervallo può essere piccolo come un singolo indirizzo IP (rappresentato da '/32' per IPv4 o '/128' per IPv6).

   • Un ID VLAN valido su cui stabilire questo peering. Assicurarsi che nessun altro peering nel circuito usi lo stesso ID VLAN. Per i collegamenti primario e secondario, è necessario usare lo stesso ID VLAN.
   • Numero AS per il peering. È possibile usare numeri AS a 2 e a 4 byte.
   • Prefissi annunciati: fornire un elenco di tutti i prefissi che si intende annunciare nella sessione BGP. Sono accettati solo prefissi di indirizzi IP pubblici. Se si intende inviare un set di prefissi, è possibile creare un elenco delimitato da virgole. Questi prefissi devono essere intestati all'utente in un registro RIR o IRR.
   • Facoltativo - ASN cliente: se si annunciano prefissi non registrati con l'ASN del peering, è possibile specificare il numero ASN con cui sono registrati.
   • Routing Registry Name: è possibile specificare il registro RIR/IRR in cui sono registrati il numero AS e i prefissi.
   • Facoltativo: un hash MD5, se si sceglie di usarne uno.

Importante

Microsoft verifica se all'utente sono assegnati "Prefissi pubblici annunciati" e "ASN peer" (o "ASN cliente") nel registro di sistema di routing Internet. Se si ricevono prefissi pubblici da un'altra entità e l'assegnazione non viene registrata con il registro di sistema di routing, la convalida automatica non verrà completata e sarà richiesta la convalida manuale. Se la convalida automatica non riesce, si vedrà 'AdvertisedPublicPrefixesState' impostato su 'Convalida necessaria' nell'output di "Get-AzExpressRouteCircuitPeeringConfig" (vedere "Ottenere i dettagli del peering Microsoft" nella sezione seguente).

Se viene visualizzato il messaggio 'Convalida necessaria', raccogliere i documenti che mostrano che i prefissi pubblici sono assegnati all'organizzazione dall'entità elencata come proprietaria dei prefissi nel registro di routing, quindi inviarli per la convalida manuale aprendo un ticket di supporto.

Per configurare il peering Microsoft per il circuito, applicare l'esempio seguente:

Add-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt -PeeringType MicrosoftPeering -PeerASN 100 -PeerAddressType IPv4 -PrimaryPeerAddressPrefix "123.0.0.0/30" -SecondaryPeerAddressPrefix "123.0.0.4/30" -VlanId 300 -MicrosoftConfigAdvertisedPublicPrefixes "123.1.0.0/24" -MicrosoftConfigCustomerAsn 23 -MicrosoftConfigRoutingRegistryName "ARIN"

Add-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt -PeeringType MicrosoftPeering -PeerASN 100 -PeerAddressType IPv6 -PrimaryPeerAddressPrefix "3FFE:FFFF:0:CD30::/126" -SecondaryPeerAddressPrefix "3FFE:FFFF:0:CD30::4/126" -VlanId 300 -MicrosoftConfigAdvertisedPublicPrefixes "3FFE:FFFF:0:CD31::/120" -MicrosoftConfigCustomerAsn 23 -MicrosoftConfigRoutingRegistryName "ARIN"

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Per ottenere i dettagli del peering Microsoft

Per ottenere i dettagli di configurazione, usare l'esempio seguente:

$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"

Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Per aggiornare la configurazione del peering Microsoft

Per aggiornare qualsiasi parte della configurazione, applicare l'esempio seguente:

Set-AzExpressRouteCircuitPeeringConfig  -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt -PeeringType MicrosoftPeering -PeerASN 100 -PeerAddressType IPv4 -PrimaryPeerAddressPrefix "123.0.0.0/30" -SecondaryPeerAddressPrefix "123.0.0.4/30" -VlanId 300 -MicrosoftConfigAdvertisedPublicPrefixes "124.1.0.0/24" -MicrosoftConfigCustomerAsn 23 -MicrosoftConfigRoutingRegistryName "ARIN"

Set-AzExpressRouteCircuitPeeringConfig  -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt -PeeringType MicrosoftPeering -PeerASN 100 -PeerAddressType IPv6 -PrimaryPeerAddressPrefix "3FFE:FFFF:0:CD30::/126" -SecondaryPeerAddressPrefix "3FFE:FFFF:0:CD30::4/126" -VlanId 300 -MicrosoftConfigAdvertisedPublicPrefixes "3FFE:FFFF:0:CD31::/120" -MicrosoftConfigCustomerAsn 23 -MicrosoftConfigRoutingRegistryName "ARIN"

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Peering privato di Azure

Questa sezione fornisce le istruzioni per creare, ottenere, aggiornare ed eliminare la configurazione del peering privato di Azure per un circuito ExpressRoute.

Per creare un peering privato di Azure

1. Importare il modulo PowerShell per ExpressRoute.

   Installare il programma di installazione di PowerShell più recente da PowerShell Gallery. Importare quindi i moduli di Azure Resource Manager nella sessione di PowerShell per iniziare a usare i cmdlet per ExpressRoute. È necessario eseguire PowerShell come amministratore.

   Install-Module Az
   

   Importare tutti i moduli Az.* nell'intervallo noto delle versioni semantiche.

   Import-Module Az
   

   È possibile anche importare un solo modulo nell'intervallo noto delle versioni semantiche.

   Import-Module Az.Network 
   

   Accedere al proprio account.

   Connect-AzAccount
   

   Selezionare la sottoscrizione desiderata per creare il circuito ExpressRoute.

   Select-AzSubscription -SubscriptionId "<subscription ID>"
   

2. Creare un circuito ExpressRoute.

   Seguire le istruzioni per creare un circuito ExpressRoute e chiedere al provider di connettività di effettuarne il provisioning. Se il provider di connettività offre servizi gestiti di livello 3, è possibile chiedere al provider di connettività di abilitare il peering privato di Azure per l'utente. Non sarà necessario seguire le istruzioni riportate nelle sezioni seguenti. Se invece il provider di connettività non gestisce il routing per conto dell'utente, una volta creato il circuito proseguire la configurazione seguendo questa procedura.

3. Controllare che il circuito ExpressRoute sia nello stato di provisioning eseguito e abilitato. Usare l'esempio seguente:

   Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"
   

   La risposta restituita è simile all'esempio seguente:

   Name                             : ExpressRouteARMCircuit
   ResourceGroupName                : ExpressRouteResourceGroup
   Location                         : westus
   Id                               : /subscriptions/***************************/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/ExpressRouteARMCircuit
   Etag                             : W/"################################"
   ProvisioningState                : Succeeded
   Sku                              : {
                                       "Name": "Standard_MeteredData",
                                       "Tier": "Standard",
                                       "Family": "MeteredData"
                                     }
   CircuitProvisioningState         : Enabled
   ServiceProviderProvisioningState : Provisioned
   ServiceProviderNotes             : 
   ServiceProviderProperties        : {
                                       "ServiceProviderName": "Equinix",
                                       "PeeringLocation": "Silicon Valley",
                                       "BandwidthInMbps": 200
                                     }
   ServiceKey                       : **************************************
   Peerings                         : []
   

4. Configurare il peering privato di Azure per il circuito. Prima di continuare con i passaggi successivi, verificare di avere gli elementi seguenti:

   • Coppia di subnet che non fanno parte di uno spazio indirizzi riservato per le reti virtuali. Una subnet viene usata per il collegamento primario e l'altra per il collegamento secondario. Da ognuna di queste subnet si assegna al router il primo indirizzo IP utilizzabile, poiché il secondo indirizzo IP utilizzabile per il router viene usato da Microsoft. Sono disponibili tre opzioni per questa coppia di subnet:
     • IPv4: due subnet /30.
     • IPv6: due subnet /126.
     • Entrambi: due subnet /30 e due subnet /126.
   • Un ID VLAN valido su cui stabilire questo peering. Assicurarsi che nessun altro peering nel circuito usi lo stesso ID VLAN.
   • Numero AS per il peering. È possibile usare numeri AS a 2 e a 4 byte. È possibile usare il numero AS privato per questo peering. Assicurarsi di non usare 65515.
   • Facoltativo:
     • Un hash MD5, se si sceglie di usarne uno.

   Per configurare il peering privato di Azure per il circuito, usare l'esempio seguente:

   Add-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix "10.0.0.0/30" -SecondaryPeerAddressPrefix "10.0.0.4/30" -VlanId 200
   
   Add-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix "3FFE:FFFF:0:CD30::/126" -SecondaryPeerAddressPrefix "3FFE:FFFF:0:CD30::4/126" -VlanId 200 -PeerAddressType IPv6
   
   Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
   

   Se si sceglie di usare un hash MD5, usare l'esempio seguente:

   Add-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix "10.0.0.0/30" -SecondaryPeerAddressPrefix "10.0.0.4/30" -VlanId 200  -SharedKey "A1B2C3D4"
   
   Add-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix "3FFE:FFFF:0:CD30::/126" -SecondaryPeerAddressPrefix "3FFE:FFFF:0:CD30::4/126" -VlanId 200 -PeerAddressType IPv6 -SharedKey "A1B2C3D4"
   

   Importante

   Assicurarsi di specificare il numero AS come ASN di peering e non come ASN cliente.

Per visualizzare i dettagli relativi al peering privato di Azure

Per ottenere i dettagli di configurazione, usare l'esempio seguente:

$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"

Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Per aggiornare la configurazione del peering privato di Azure

Per aggiornare qualsiasi parte della configurazione, usare l'esempio seguente. In questo esempio il valore dell'ID VLAN del circuito viene aggiornato da 200 a 500.

Set-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt -PeeringType AzurePrivatePeering -PeerASN 100 -PrimaryPeerAddressPrefix "10.0.0.0/30" -SecondaryPeerAddressPrefix "10.0.0.4/30" -VlanId 500

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Pulire le risorse

Per eliminare il peering Microsoft

Per rimuovere la configurazione di peering, eseguire il cmdlet seguente:

Remove-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Per eliminare un peering privato di Azure

Per rimuovere la configurazione di peering, eseguire l'esempio seguente:

Avviso

Prima di eseguire questo esempio, verificare che tutte le reti virtuali e le connessioni di Copertura globale di ExpressRoute siano state rimosse.

Remove-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

Passaggi successivi

Dopo la configurazione del peering privato di Azure, è possibile creare un gateway ExpressRoute per collegare una rete virtuale al circuito.

Configurare un gateway di rete virtuale per ExpressRoute