Share via

Переход на новый канал ExpressRoute

  • Статья

Если вы хотите переключиться с одного канала ExpressRoute на другой, может потребоваться сделать это плавно с минимальным прерыванием работы службы. Этот документ поможет вам выполнить действия по переносу рабочего трафика без возникновения серьезных нарушений или рисков. Этот метод можно использовать независимо от того, переходите ли вы в новое или одно и то же расположение пиринга.

Если у вас есть канал ExpressRoute через поставщика услуг уровня 3, создайте новый канал в подписке в портал Azure. Обратитесь к поставщику услуг, чтобы легко переключать трафик на новый канал. После отмены подготовки старого канала поставщик услуг удалите его из портал Azure.

Остальная часть статьи относится к вам, если у вас есть канал ExpressRoute через поставщика услуг уровня 2 или прямые порты ExpressRoute.

Шаги по простой миграции каналов ExpressRoute

Diagram showing an ExpressRoute circuit migration from Circuit A to Circuit B.

На приведенной выше схеме показан процесс миграции из существующего канала ExpressRoute, называемого каналом A, в новый канал ExpressRoute, называемый каналом B. Канал B может находиться в том же или другом расположении пиринга, что и канал A. Процесс миграции состоит из следующих шагов:

  1. Развертывание канала B в изоляции: в то время как трафик продолжает передаваться по каналу A, развертывает новый канал B без влияния на рабочую среду.

  2. Блокировать рабочий поток трафика по каналу B. Запретить использование трафика канала B до тех пор, пока не будет полностью проверено и проверено.

  3. Завершение и проверка сквозного подключения канала B. Убедитесь, что канал B может устанавливать и поддерживать стабильное и безопасное подключение ко всем необходимым конечным точкам.

  4. Переключите трафик: перенаправьте поток трафика из канала A в канал B и заблокируйте поток трафика по каналу A.

  5. Канал вывода из эксплуатации: удалите канал A из сети и отпустите свои ресурсы.

Развертывание нового канала в изоляции

Выполните действия, описанные в разделе "Создание канала с помощью ExpressRoute", чтобы создать новый канал ExpressRoute (канал B) в нужном расположении пиринга. Затем выполните действия, описанные в руководстве по настройке пиринга для канала ExpressRoute, чтобы настроить необходимые типы пиринга: частный и Microsoft.

Чтобы предотвратить использование сетевого трафика частного пиринга перед тестированием и проверкой, не свяжите шлюз виртуальной сети с рабочим развертыванием с каналом B. Аналогичным образом, чтобы избежать использования производственного трафика пиринга Майкрософт, не свяжите фильтр маршрутов с каналом B.

Блокировать рабочий поток трафика через только что созданный канал

Запретите рекламу маршрута на новых пирингах на устройствах CE.

Для Cisco IOS можно использовать route-map и prefix-list фильтровать маршруты, объявленные через пиринг BGP. В следующем примере показано, как создать и применить a route-map и применить prefix-list для этой цели:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Используйте политику экспорта и импорта для фильтрации маршрутов, объявленных и полученных на новых пирингах на устройствах Junos. В следующем примере показано, как настроить политику экспорта и импорта для этой цели:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Проверка сквозного подключения только что созданного канала

Частный пиринг

Выполните действия, описанные в Подключение виртуальной сети с каналом ExpressRoute, чтобы связать новый канал с шлюзом тестовой виртуальной сети и проверить подключение к частному пирингу. После связывания виртуальных сетей с каналом изучите таблицу маршрутов частного пиринга канала и убедитесь, что адресное пространство виртуальной сети включено в таблицу. В следующем примере показана таблица маршрутов частного пиринга канала ExpressRoute на портале управления Azure:

Screenshot of the route table for the primary link of the ExpressRoute circuit.

На следующей схеме показана тестовая виртуальная машина, настроенная в тестовой виртуальной сети, и тестовое устройство, расположенное локально для проверки подключения через частный пиринг ExpressRoute.

Diagram showing a VM in Azure communicating with a test device on-premises through the ExpressRoute connection.

Измените карту маршрута или конфигурацию политики, примененную для фильтрации маршрутов, объявленных, и разрешайте конкретный IP-адрес тестового устройства из локальной среды. Аналогичным образом разрешите адресное пространство тестовой виртуальной сети из Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Чтобы разрешить определенные префиксы IP-адресов для тестовых устройств в Junos, настройте список префиксов. Затем настройте политику импорта и экспорта BGP, чтобы разрешить эти префиксы и отклонить все остальное.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Проверьте сквозное подключение через частный пиринг. Например, вы можете проверить проверку виртуальной машины в Azure с локального тестового устройства и проверка результаты. Пошаговая проверка см. в разделе "Проверка подключения ExpressRoute".

Пиринг Майкрософт

Проверка пиринга Майкрософт требует тщательного планирования, чтобы избежать какого-либо влияния на рабочий трафик. Необходимо использовать различные префиксы для пиринга Майкрософт канала B, отличающихся от тех, которые используются для канала A, чтобы предотвратить конфликты маршрутизации между двумя каналами. Кроме того, необходимо связать пиринг Майкрософт канала B с отдельным фильтром маршрутов, чем связанный с каналом A, следуя инструкциям по настройке фильтров маршрутов для пиринга Майкрософт. Кроме того, необходимо убедиться, что фильтры маршрутов для обоих каналов не имеют общих маршрутов, объявленных в локальной сети, чтобы избежать асимметричной маршрутизации между каналом A и Каналом B. Для этого можно выполнить следующие действия.

  • выберите службу или регион Azure для тестирования канала B, который не используется рабочим трафиком в канале A или
  • свести к минимуму перекрытие между двумя фильтрами маршрутов и разрешить только более конкретные тестовые общедоступные конечные точки, полученные через канал B.

После связывания фильтра маршрутов необходимо проверка маршруты, объявленные и полученные через пиринг BGP на устройстве CE. Чтобы отфильтровать маршруты, объявленные и разрешать только локальные префиксы пиринга Майкрософт и конкретный IP-адрес выбранных общедоступных конечных точек Майкрософт для тестирования, необходимо изменить карту маршрутов или конфигурацию политики Junos, которую вы применили.

Чтобы проверить подключение к конечным точкам Microsoft 365, выполните действия, описанные в статье "Реализация ExpressRoute для Microsoft 365" — создание процедур тестирования. Для общедоступных конечных точек Azure можно начать с базового тестирования подключения, например трассировки трассировки из локальной среды, и убедиться, что запрос передается по конечным точкам ExpressRoute. Помимо конечных точек ExpressRoute сообщения ICMP подавляются по сети Майкрософт. Вы также можете протестировать подключение на уровне приложения, помимо базовых тестов проверки связи. Например, если у вас есть виртуальная машина Azure с общедоступным IP-адресом Azure с веб-сервером, вы можете попробовать получить доступ к общедоступному IP-адресу веб-сервера из локальной сети через подключение ExpressRoute. Это помогает подтвердить, что более сложный трафик, например HTTP-запросы, может достигать служб Azure.

Переключение рабочего трафика

Частный пиринг

  1. Отключите канал B от всех тестовых шлюзов виртуальной сети, к которым вы подключились.
  2. Удалите все исключения, внесенные в политику Cisco route-maps или Junos.
  3. Выполните действия, описанные в Подключение виртуальной сети к каналу ExpressRoute, и подключите канал B к рабочим шлюзам виртуальной сети.
  4. В CE убедитесь, что вы готовы объявить все маршруты, которые вы в настоящее время рекламируете по каналу A, по каналу B при удалении карты маршрута или политики, примененных к интерфейсам Канала B в CE. Это также включает в себя обеспечение того, чтобы интерфейсы канала B были связаны с соответствующим экземпляром VRF или маршрутизации, если таковые имеются.
  5. Удалите карты маршрутов или политику в интерфейсах канала B. Примените карты маршрутов или политику в интерфейсах канала A, чтобы заблокировать объявление маршрута по каналу A. Это переключит поток трафика через канал B.
  6. Проверьте поток трафика через канал B. Если проверка завершается ошибкой, отмените сопоставление маршрутов или связь брандмауэра, которую вы сделали на предыдущем шаге, и переключите поток трафика обратно через канал A.
  7. Если проверка потока трафика через канал B выполнена успешно, удалите канал A.

Пиринг Майкрософт

  1. Удалите канал B из любого тестового фильтра маршрутов Azure, с которым вы связали его.
  2. Удалите все исключения, внесенные в карты маршрутов или политику.
  3. В CE убедитесь, что интерфейс канала B связан с соответствующим экземпляром VRF или маршрутизации.
  4. Проверьте и подтвердите объявленный префикс через пиринг Майкрософт.
  5. Свяжите пиринг канала B Майкрософт с фильтром маршрутов Azure, который в настоящее время связан с каналом A.
  6. Удалите политику "Карты маршрутов" или "Экспорт и импорт" в интерфейсах канала B. Примените политику сопоставления маршрутов или экспорта или импорта в интерфейсах канала A, чтобы заблокировать объявление маршрута по каналу A. Это переключит поток трафика через канал B.
  7. Проверьте поток трафика через канал B. Если проверка завершается ошибкой, отмените сопоставление маршрутов или политику, которые вы сделали на предыдущем шаге, и переключите поток трафика обратно через канал A.
  8. Если проверка потока трафика через канал B выполнена успешно, удалите канал A.

Следующий шаг

Дополнительные сведения о конфигурации маршрутизатора см . в примерах конфигурации маршрутизатора для настройки маршрутизации и управления ими.