Требования ExpressRoute к маршрутизации
Чтобы подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо настроить маршрутизацию и управлять ими. Некоторые поставщики услуг подключения предлагают настройку маршрутизации как управляемой службы и управление этой службой. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу. В противном случае необходимо выполнить требования, указанные ниже:
Описание сеансов маршрутизации, которые необходимо настроить для установки подключения, см. в статье Каналы ExpressRoute и домены маршрутизации.
Примечание.
Корпорация Майкрософт не поддерживает протоколы избыточности маршрутизатора, такие как HSRP или VRRP для конфигураций высокой доступности. Для обеспечения высокой доступности мы используем избыточную пару сеансов BGP на каждый пиринг.
IP-адреса, используемые для пиринга
Для настройки маршрутизации между сетью и концевыми маршрутизаторами Microsoft Enterprise (MSEE) необходимо зарезервировать несколько блоков IP-адресов. В этом разделе приводится список требований и описание правил получения и использования этих IP-адресов.
IP-адреса для частного пиринга Azure
Для настройки пиринга можно использовать частные IP-адреса или общедоступные IP-адреса. Диапазон адресов, используемый для настройки маршрутов, не может перекрываться с диапазонами адресов, используемыми для виртуальных сетей в Azure.
- IPv4:
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
/29или две подсети/30. - В качестве используемых подсетей можно использовать либо частные, либо общедоступные IP-адреса.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
/29Если используется подсеть, она разделена на две/30подсети.- Первая подсеть
/30используется в качестве основной ссылки, а вторая подсеть/30— в качестве дополнительной. - Для каждой
/30подсети необходимо использовать первый IP-адрес/30подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания доступности было допустимым.
- Первая подсеть
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
- IPv6:
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
/125или две подсети/126. - В качестве используемых подсетей можно использовать либо частные, либо общедоступные IP-адреса.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
/125Если используется подсеть, она разделена на две/126подсети.- Первая подсеть
/126используется в качестве основной ссылки, а вторая подсеть/126— в качестве дополнительной. - Для каждой
/126подсети необходимо использовать первый IP-адрес/126подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания доступности было допустимым.
- Первая подсеть
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
Пример для частного пиринга
Если вы решили a.b.c.d/29 настроить пиринг, он разделен на две /30 подсети. В следующем примере обратите внимание, как используется подсеть a.b.c.d/29.
a.b.c.d/29будет разбита на подсетиa.b.c.d/30иa.b.c.d+4/30с последующей передачей в Майкрософт путем подготовки API.- Вы используете
a.b.c.d+1в качестве IP-адреса VRF для основного PE и Майкрософт используетсяa.b.c.d+2в качестве IP-адреса VRF для основного MSEE. - Вы используете
a.b.c.d+5в качестве IP-адреса VRF для дополнительного PE и Майкрософт используетсяa.b.c.d+6в качестве IP-адреса VRF для вторичного MSEE.
- Вы используете
Допустим, вы выбрали 192.168.100.128/29 для настройки частного пиринга. 192.168.100.128/29 включает адреса в диапазоне от 192.168.100.128 до 192.168.100.135, причем:
192.168.100.128/30назначаетсяlink1поставщику с использованием192.168.100.129и корпорацией192.168.100.130Майкрософт.192.168.100.132/30назначаетсяlink2поставщику с использованием192.168.100.133и корпорацией192.168.100.134Майкрософт.
IP-адреса, используемые для пиринга Майкрософт
Для настройки сеансов BGP используйте принадлежащие вам общедоступные IP-адреса. У Майкрософт должна быть возможность проверить владельца IP-адреса по региональному интернет-реестру или интернет-реестру маршрутизации.
- IP-адреса, перечисленные на портале для объявленных общедоступных префиксов для пиринга Майкрософт, создают списки управления доступом для основных маршрутизаторов Майкрософт, чтобы разрешить входящий трафик из этих IP-адресов.
- Для настройки пиринга BGP для каждого канала ExpressRoute необходимо использовать уникальную
/29подсеть (IPv4) или/125(IPv6)/126или/30две подсети (IPv6). /29Если используется подсеть, она разделена на две/30подсети.- Первая подсеть
/30используется в качестве основной ссылки, а вторая подсеть/30— в качестве дополнительной. - Для каждой из подсетей
/30необходимо передать в маршрутизатор первый IP-адрес подсети/30. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. /125Если используется подсеть, она разделена на две/126подсети.- Первая подсеть
/126используется в качестве основной ссылки, а вторая подсеть/126— в качестве дополнительной. - Для каждой из подсетей
/126необходимо передать в маршрутизатор первый IP-адрес подсети/126. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Заявленная в соглашении об уровне обслуживания доступность гарантируется, если настроены оба сеанса BGP.
IP-адреса для общедоступного пиринга Azure
Примечание.
Общедоступный пиринг Azure недоступен для новых каналов ExpressRoute.
Для настройки сеансов BGP используйте принадлежащие вам общедоступные IP-адреса. У Майкрософт должна быть возможность проверить владельца IP-адреса по региональному интернет-реестру или интернет-реестру маршрутизации.
- При настройке сеансов BGP для каждого пиринга в канале ExpressRoute (если их несколько) необходимо использовать уникальную подсеть
/29или две подсети/30. /29Если используется подсеть, она разделена на две/30подсети.- Первая подсеть
/30используется в качестве основной ссылки, а вторая подсеть/30— в качестве дополнительной. - Для каждой из подсетей
/30необходимо передать в маршрутизатор первый IP-адрес подсети/30. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания доступности было допустимым.
- Первая подсеть
Использование общедоступного IP-адреса
Частный пиринг
Для частного пиринга можно использовать как частные, так и общедоступные адреса IPv4. Мы предоставляем сквозную изоляцию трафика, поэтому перекрытие адресов с другими клиентами невозможно для частного пиринга. Эти адреса не объявляются в Интернете.
Пиринг Майкрософт
Путь пиринга Майкрософт позволяет подключаться к облачным службам Майкрософт. В список этих служб входят службы Microsoft 365, такие как Exchange Online, SharePoint Online, Skype для бизнеса и Microsoft Teams. Корпорация Майкрософт поддерживает двустороннее подключение через пиринг Майкрософт. Входящий трафик облачных служб Майкрософт перед попаданием в сеть Майкрософт должен пройти через действительные общедоступные IPv4-адреса.
Убедитесь, что ваш IP-адрес и число AS зарегистрированы на ваше имя в одном из следующих реестров:
Если префиксы и номер AS не присвоены вам в предыдущих реестрах, нужно отправить запрос в службу поддержки, чтобы специалисты вручную проверили ваши префиксы и ASN. Им потребуется документация, например доверенность, которая доказывает, что вам разрешено использовать этот префикс.
Частный номер AS разрешен с пирингом Майкрософт, но требует проверки вручную. Кроме того, для полученных префиксов частные номера AS в атрибуте AS PATH удаляются. Вследствие этого вы не можете добавлять частные номера AS в атрибут AS PATH, чтобы управлять маршрутизацией пиринга Майкрософт. Кроме того, в пути не допускаются номера 64496–64511, зарезервированные IANA для документации.
Важно!
Не объявляйте одни и те же общедоступные IP-адреса маршрута в Интернете и через ExpressRoute. Чтобы снизить риск неправильной конфигурации, которая приводит к асимметричной маршрутизации, мы настоятельно рекомендуем, чтобы IP-адреса NAT, объявленные для Майкрософт через ExpressRoute, были из диапазона, который вообще не объявляется в Интернете. Если этого нельзя добиться, то очень важно убедиться, что вы объявляете более конкретный диапазон через ExpressRoute чем тот, который объявлен в Интернете. Кроме общедоступного маршрута для NAT, вы можете объявить через ExpressRoute общедоступные IP-адреса, которые используются сетевыми серверами, взаимодействующими с конечными точками Microsoft 365 в корпорации Майкрософт.
Общедоступный пиринг (устарел и больше не доступен для новых каналов)
Путь общедоступного пиринга Azure позволяет подключаться ко всем службам, размещенным в Azure, по их открытым IP-адресам. Сюда входят службы, перечисленные в статье Вопросы и ответы об ExpressRoute, а также все службы, размещенные независимыми поставщиками программного обеспечения в Microsoft Azure. Подключение к службам Microsoft Azure через общедоступный пиринг всегда осуществляется от локальной сети к сети Microsoft. Необходимо использовать общедоступные IP-адреса для трафика, предназначенного для сети Microsoft.
Важно!
Все службы Azure PaaS доступны через пиринг Майкрософт.
Частный номер AS разрешен с общедоступным пирингом.
Динамический обмен маршрутами
Обмен маршрутизацией выполняется по протоколу eBGP. Сеансы EBGP устанавливаются между MSEEs и вашими маршрутизаторами. Проверка подлинности сеансов BGP не является обязательным требованием. При необходимости можно настроить хэш MD5. Сведения о настройке сеансов BGP приведены в статьях Создание и изменение маршрутизации для канала ExpressRoute и Процедуры ExpressRoute для подготовки каналов и состояний каналов.
Номера автономных систем (ASN)
Майкрософт использует AS 12076 для общедоступного и частного пиринга Azure, а также пиринга Майкрософт. Номера AS с 65515 по 65520 зарезервированы для внутреннего использования. Поддерживаются 16-разрядные и 32-разрядные номера AS.
Требования к симметрии передачи данных не предъявляются. Прямые и обратные пути могут проходить по разным парам маршрутов. С каждой стороны в различных принадлежащих вам парах каналов должны быть объявлены идентичные маршруты. Метрики маршрутов не обязательно должны быть идентичными.
Статистическая обработка маршрутов и ограничения префиксов
ExpressRoute поддерживает до 4000 префиксов IPv4 и 100 префиксов IPv6, объявленных корпорацией Майкрософт через частный пиринг Azure. Это ограничение может быть увеличено до 10 000 префиксов IPv4, если надстройка ExpressRoute premium включена. ExpressRoute принимает до 200 префиксов на сеанс BGP для общедоступного и пиринга Майкрософт.
Если количество префиксов превысит лимит, сеанс BGP будет сброшен. ExpressRoute принимает маршруты по умолчанию только по ссылке частного пиринга. Поставщик должен отфильтровывать маршрут по умолчанию и частные IP-адреса (RFC 1918) от путей общедоступного пиринга Azure и пиринга Майкрософт.
Транзитная и межрегиональная маршрутизация
ExpressRoute нельзя настроить как транзитные маршрутизаторы. Необходимо полагаться на поставщика подключений для служб транзитной маршрутизации.
Объявление маршрутов по умолчанию
Маршруты по умолчанию разрешены только для сеансов частного пиринга Azure. В таком случае ExpressRoute направляет весь трафик из связанных виртуальных сетей в сеть. Рекламные маршруты по умолчанию в частный пиринг приводит к блокировке пути к Интернету из Azure. Для направления входящего и исходящего интернет-трафика служб, размещенных в Azure, используйте ресурсы своей корпоративной сети.
Для подключения к другим услугам и инфраструктурным службам Azure требуется соблюдение одного из следующих условий:
- общедоступный пиринг Azure включен для направления трафика в общедоступные конечные точки;
- маршрутизация определяется пользователем, что обеспечивает интернет-подключение к каждой подсети, требующей подключения к Интернету.
Примечание.
Объявление маршрутов по умолчанию аннулирует действие лицензий Windows и других виртуальных машин. Сведения о работе см. в статье об использовании определяемых пользователем маршрутов для включения активации KMS.
Поддержка сообществ BGP
В этом разделе представлен обзор использования сообществ BGP с ExpressRoute. Корпорация Майкрософт объявляет маршруты в частных, общедоступных (нерекомендуемых) путях пиринга с маршрутами, помеченными соответствующими значениями сообщества. Обоснование этого и подробные сведения о ценностях сообщества описываются следующим образом. Однако корпорация Майкрософт не учитывает какие-либо значения сообщества, помеченные маршрутами, объявленными корпорацией Майкрософт.
Если настроить настраиваемое значение сообщества BGP в виртуальных сетях Azure, вы увидите это настраиваемое значение и региональное значение сообщества BGP на маршрутах Azure, объявленных локально через ExpressRoute.
Для пиринга Майкрософт вы подключаетесь к Microsoft через ExpressRoute в любом одном расположении пиринга в геополитическом регионе. У вас также есть доступ ко всем облачным службам Майкрософт во всех регионах в пределах геополитической границы.
Например, если вы подключены к Microsoft в Амстердаме через ExpressRoute, у вас есть доступ ко всем облачным службам Майкрософт, размещенным в Северной Европе и Западной Европе.
Подробный список геополитических регионов, связанных с ними регионов Azure и расположений соответствующих пирингов ExpressRoute см. на странице Партнеры и одноранговые расположения ExpressRoute.
Вы можете приобрести больше одного канала ExpressRoute на каждый геополитический регион. За счет геоизбыточности наличие нескольких подключений даст вам более высокий уровень доступности. В случаях, когда у вас несколько каналов ExpressRoute, вы получаете один и тот же набор префиксов, объявленных корпорацией Майкрософт, на путях пиринга Майкрософт и общедоступных пиринговых путей. Эта конфигурация приводит к нескольким путям из сети в Корпорацию Майкрософт. Эта настройка может привести к тому, что решения о неоптимальной маршрутизации могут приниматься в вашей сети. а значит, подключение к некоторым службам может оказаться недостаточно надежным. Значения сообществ помогут вам правильно сделать выбор и обеспечить своим пользователям оптимальную маршрутизацию.
| Регион Microsoft Azure | Региональное сообщество BGP (частный пиринг) | Региональное сообщество BGP (пиринг Майкрософт) | Сообщество по BGP хранилищ | Сообщество по BGP SQL | Сообщество BGP Azure Cosmos DB | Сообщество по BGP резервного копирования |
|---|---|---|---|---|---|---|
| Северная Америка | ||||||
| Восточная часть США | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| восточная часть США 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| западная часть США | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| Западная часть США 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| центрально-западная часть США | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| Центрально-северная часть США | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| Центрально-южная часть США | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| Центральная часть США | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Центральная Канада | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Восточная Канада | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| Южная Америка | ||||||
| Южная Бразилия | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Европа | ||||||
| Северная Европа | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Западная Европа | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| Южная часть Соединенного Королевства | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| западная часть Соединенного Королевства | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Центральная Франция | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Франция (юг) | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Северная Швейцария | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Западная Швейцария | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Северная Германия | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Центрально-Западная Германия | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Восточная Норвегия; | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Западная Норвегия | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Азиатско-Тихоокеанский регион | ||||||
| Восточная Азия | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Юго-Восточная Азия | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Япония | ||||||
| Восточная Япония | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Западная Япония | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Австралия | ||||||
| Восточная Австралия | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Юго-Восточная часть Австралии | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Государственные организации Австралии | ||||||
| Центральная Австралия | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Центральная Австралия 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| Индия | ||||||
| Южная Индия | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| Западная Индия | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| Центральная Индия | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Республика Корея | ||||||
| Корея (юг) | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Республика Корея, центральный регион | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| ЮАР | ||||||
| Северная часть ЮАР | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Западная часть ЮАР | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| ОАЭ | ||||||
| Северная часть ОАЭ; | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| Центральная часть ОАЭ | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Все маршруты, объявленные корпорацией Майкрософт, помечены соответствующим значением сообщества.
Важно!
В глобальные префиксы добавляется соответствующее значение сообщества.
Значение "Служба для сообщества BGP"
Помимо тега BGP для каждого региона, корпорация Майкрософт также тегирует префиксы на основе службы, к которой они относятся. Этот тег применяется только к пирингу Майкрософт. В следующей таблице представлено сопоставление службы с значением сообщества BGP. Вы можете выполнить командлет Get-AzBgpServiceCommunity, чтобы получить полный список последних значений.
| Служба | Значение сообщества BGP |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype для бизнеса Online (2) и (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Глобальные службы Azure (1) | 12076:5050 |
| ИД Microsoft Entra | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Другие веб-службы Office 365 (2) | 12076:5100 |
| Microsoft Defender для удостоверений | 12076:5220 |
| Службы ТСОП Майкрософт (5) | 12076:5250 |
(1) Глобальные службы Azure включают только Azure DevOps в настоящее время.
(2) Требуется авторизация от Корпорации Майкрософт. См. раздел "Настройка фильтров маршрутов" для пиринга Майкрософт.
(3) Это сообщество также публикует необходимые маршруты для служб Microsoft Teams.
(4) CRM Online поддерживает Dynamics версии 8.2 и ниже. Для более высоких версий выберите региональное сообщество для развертываний Dynamics.
(5) Использование пиринга Майкрософт со службами ТСОП ограничено определенными вариантами использования. См. статью "Использование ExpressRoute для служб ТСОП Майкрософт".
Примечание.
Майкрософт не учитывает установленные вами значения сообществ BGP в маршрутах, объявленных для Майкрософт.
Поддержка сообщества BGP в национальных облаках
| Регион Azure для национальных облаков | Значение сообщества BGP |
|---|---|
| US Government |
|
| US Gov (Аризона) | 12076:51106 |
| US Gov (Айова) | 12076:51109 |
| US Gov (Вирджиния) | 12076:51105 |
| US Gov (Техас) | 12076:51108 |
| Центральный регион US DoD | 12076:51209 |
| Восточный регион US DoD | 12076:51205 |
| Китай | |
| Северный Китай | 12076:51301 |
| Восточный Китай | 12076:51302 |
| Восточный Китай 2 | 12076:51303 |
| Северный Китай 2 | 12076:51304 |
| Служба в национальных облаках | Значение сообщества BGP |
|---|---|
| US Government |
|
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype для бизнеса Online | 12076:5130 |
| ИД Microsoft Entra | 12076:5160 |
| Другие онлайн-службы Office 365 | 12076:5200 |
- Сообщества Office 365 не поддерживаются через пиринг Майкрософт для Microsoft Azure, управляемый регионом 21Vianet.
Следующие шаги
Настройте подключение ExpressRoute.