Создание и изменение пиринга для канала ExpressRoute с помощью интерфейса командной строки

В этой статье показано, как создать конфигурацию и пиринг маршрутизации для канала ExpressRoute в модели развертывания Resource Manager и управлять ими с помощью интерфейса командной строки. Вы также сможете проверить состояние, обновить, удалить и отозвать пиринги для канала ExpressRoute. Если вы хотите использовать для работы с каналом другой метод, выберите подходящую статью из списка ниже.

• Портал Azure
• PowerShell
• Azure CLI
• Общедоступный пиринг
• Видео — частный пиринг
• Видео — пиринг Майкрософт
• PowerShell (классическая модель)

Необходимые компоненты

• Перед началом работы установите последнюю версию команд интерфейса командной строки (версию 2.0 или более позднюю). Сведения об установке команд CLI см. в руководстве по установке Azure.
• Просмотрите предварительные требования, требования к маршрутизации и описание рабочих процессов, прежде чем приступать к настройке.
• Вам потребуется активный канал ExpressRoute. Приступая к работе, создайте канал ExpressRoute. Его должен включить поставщик услуг подключения. Для выполнения команд, описанных в статье, нужно подготовить и включить канал ExpressRoute.

Эти инструкции распространяются только на каналы от поставщиков, предоставляющих услуги подключения второго уровня. Если ваш поставщик услуг подключения предлагает услуги третьего уровня (обычно это IPVPN, например MPLS), он отвечает за настройку маршрутизации и управление ею.

Вы можете настроить частный пиринг и пиринг Майкрософт для канала ExpressRoute. Пиринги можно настраивать в любом порядке, главное, выполнять их конфигурацию по очереди. Дополнительную информацию о доменах маршрутизации и пиринге см. в статье Каналы ExpressRoute и домены маршрутизации.

Пиринг Майкрософт

Этот раздел поможет создать, получить, обновить и (или) удалить конфигурацию пиринга Майкрософт для канала ExpressRoute.

Внимание

Пиринг Майкрософт для каналов ExpressRoute, которые были настроены до 1 августа 2017 г., позволяет объявлять все префиксы служб, даже если фильтры маршрутов не определены. Пиринг Майкрософт для каналов ExpressRoute, настроенных 1 августа 2017 г. или позднее, не будет объявлять префиксы, пока к каналу не будет присоединен фильтр маршрутов. Дополнительные сведения см. в руководстве по настройке фильтра маршрута для пиринга Майкрософт.

Создание пиринга Майкрософт

1. Установка и использование последней версии Azure CLI.

   az login
   

   Выберите подписку, для которой будете создавать канал ExpressRoute.

   az account set --subscription "<subscription ID>"
   

2. Создайте канал ExpressRoute. Выполните инструкции по созданию канала ExpressRoute. Поставщик услуг подключения должен подготовить его. Если поставщик услуг подключения оказывает услуги третьего уровня, он может включить для вас пиринг Майкрософт. В этом случае инструкции в следующих разделах выполнять не нужно. Если же поставщик услуг подключения не управляет маршрутизацией, после создания канала сделайте следующее.

3. Убедитесь, что канал ExpressRoute подготовлен и включен. Используйте следующий пример:

   az network express-route list
   

   Ответ будет выглядеть примерно так:

   "allowClassicOperations": false,
   "authorizations": [],
   "circuitProvisioningState": "Enabled",
   "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
   "gatewayManagerEtag": null,
   "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
   "location": "westus",
   "name": "MyCircuit",
   "peerings": [],
   "provisioningState": "Succeeded",
   "resourceGroup": "ExpressRouteResourceGroup",
   "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
   "serviceProviderNotes": null,
   "serviceProviderProperties": {
    "bandwidthInMbps": 200,
    "peeringLocation": "Silicon Valley",
    "serviceProviderName": "Equinix"
   },
   "serviceProviderProvisioningState": "Provisioned",
   "sku": {
    "family": "UnlimitedData",
    "name": "Standard_MeteredData",
    "tier": "Standard"
   },
   "tags": null,
   "type": "Microsoft.Network/expressRouteCircuits]
   

4. Настройте пиринг Майкрософт для этого канала. Прежде чем продолжить, убедитесь, что у вас есть следующие сведения.

   • Пара подсетей, принадлежащих вам и зарегистрированных в RIR/IRR. Одна подсеть используется для первичной ссылки, а другая будет использоваться для вторичной ссылки. Из каждой из этих подсетей вы назначаете первый доступный ДЛЯ использования IP-адрес маршрутизатору, так как корпорация Майкрософт использует второй доступный IP-адрес для своего маршрутизатора. У вас есть три варианта для этой пары подсетей:
     • IPv4: две подсети /30. Это должны быть допустимые префиксы общедоступного адреса IPv4.
     • IPv6: две подсети /126. Это должны быть допустимые префиксы общедоступного адреса IPv6.
     • Оба: две подсети /30 и две подсети /126.
   • Пиринг Майкрософт позволяет взаимодействовать с общедоступными IP-адресами в сети Майкрософт. Таким образом, конечные точки трафика в локальной сети также должны быть общедоступными. Это часто делается с помощью SNAT.

   Примечание.

   При использовании SNAT рекомендуется использовать общедоступный IP-адрес из диапазона, назначенного первичной или вторичной ссылке. Вместо этого следует использовать другой диапазон общедоступных IP-адресов, назначенных вам и зарегистрированных в региональном реестре Интернета (RIR) или реестре маршрутизации Интернета (IRR). В зависимости от тома вызова этот диапазон может быть как небольшой, как один IP-адрес (представленный как "/32" для IPv4 или "/128" для IPv6).

   • Действительный идентификатор виртуальной локальной сети для установки пиринга. Идентификатор не должен использоваться ни одним другим пирингом в канале. Для основного и дополнительного соединений необходимо использовать тот же идентификатор виртуальной локальной сети.
   • Номер AS для пиринга. Можно использовать 2-байтовые и 4-байтовые номера AS.
   • Объявленные префиксы: предоставьте список всех префиксов, которые вы планируете объявить во время сеанса BGP. Допускаются только общедоступные префиксы IP-адресов. Если вы планируете отправить набор префиксов, их можно оформить в виде списка, разделенного запятыми. Эти префиксы должны быть зарегистрированы в RIR/IRR на ваше имя.
   • Необязательно. Клиент ASN: для объявления префиксов, не зарегистрированных с номером AS для пиринга, можно указать номер AS, с которым они зарегистрированы.
   • Имя реестра маршрутизации: можно указать RIR/IRR, в котором зарегистрированы номер AS и префиксы.
   • Необязательно. Хэш MD5, если вы решите его использовать.

   Чтобы настроить пиринг Майкрософт для своего канала, выполните следующий пример кода:

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 123.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 123.0.0.4/30 --vlan-id 300 --peering-type MicrosoftPeering --advertised-public-prefixes 123.1.0.0/24
   

Просмотр сведений о пиринге Майкрософт

Для получения сведений о конфигурации можно использовать следующий пример кода:

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzureMicrosoftPeering

Внимание

Корпорация Майкрософт проверяет, назначены ли вам указанные объявленные открытые префиксы (Advertised public prefixes) и одноранговый узел ASN (Peer ASN) или ASN клиента (Customer ASN) в реестре маршрутизации в Интернете. Если вы получаете открытые префиксы из другой сущности и если назначение не записано в реестре маршрутизации, автоматическая проверка не будет завершена и потребуется проверка вручную. Если результат автоматической проверки отрицательный, в выходных данных вышеуказанной команды параметр AdvertisedPublicPrefixesState получит значение Validation needed (Требуется проверка).

Если вы видите это сообщение, соберите документы, подтверждающие, что открытые префиксы назначены вашей организации сущностью, указанной в качестве владельца префиксов в реестре маршрутизации. Отправьте эти документы для проверки вручную, открыв запрос в службе поддержки.

Вы должны увидеть результат, аналогичный приведенному ниже.

{
  "azureAsn": 12076,
  "etag": "W/\"2e97be83-a684-4f29-bf3c-96191e270666\"",
  "gatewayManagerEtag": "18",
  "id": "/subscriptions/9a0c2943-e0c2-4608-876c-e0ddffd1211b/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzureMicrosoftPeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedPublicPrefixes": [
        ""
      ],
     "advertisedPublicPrefixesState": "",
     "customerASN": ,
     "routingRegistryName": ""
  }
  "name": "AzureMicrosoftPeering",
  "peerAsn": ,
  "peeringType": "AzureMicrosoftPeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "routeFilter": null,
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "",
  "sharedKey": null,
  "state": "Enabled",
  "stats": null,
  "vlanId": 100
}

Обновление конфигурации пиринга Майкрософт

Вы можете обновить любую часть конфигурации. Следующий пример кода изменяет объявленные для канала префиксы с 123.1.0.0/24 на 124.1.0.0/24:

az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroup --peering-type MicrosoftPeering --advertised-public-prefixes 124.1.0.0/24

Добавление параметров пиринга Майкрософт IPv6 к существующей конфигурации IPv4

az network express-route peering update -g ExpressRouteResourceGroup --circuit-name MyCircuit --peering-type MicrosoftPeering --ip-version ipv6 --primary-peer-subnet 2002:db00::/126 --secondary-peer-subnet 2003:db00::/126 --advertised-public-prefixes 2002:db00::/126

Частный пиринг Azure

Этот раздел поможет вам создать, получить, обновить и (или) удалить конфигурацию частного пиринга Azure для канала ExpressRoute.

Создание частного пиринга Azure

1. Установите последнюю версию Azure CLI.

   az login
   

   Выберите подписку, необходимую для создания канала ExpressRoute

   az account set --subscription "<subscription ID>"
   

2. Создайте канал ExpressRoute. Выполните инструкции по созданию канала ExpressRoute. Поставщик услуг подключения должен подготовить его. Если поставщик услуг подключения предоставляет управляемые службы уровня 3, он может включить для вас частный пиринг Azure. В этом случае инструкции в следующих разделах выполнять не нужно. Если же поставщик услуг подключения не управляет маршрутизацией, после создания канала сделайте следующее.

3. Убедитесь, что канал ExpressRoute подготовлен и включен. Используйте следующий пример:

   az network express-route show --resource-group ExpressRouteResourceGroup --name MyCircuit
   

   Ответ будет выглядеть примерно так:

   "allowClassicOperations": false,
   "authorizations": [],
   "circuitProvisioningState": "Enabled",
   "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"",
   "gatewayManagerEtag": null,
   "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit",
   "location": "westus",
   "name": "MyCircuit",
   "peerings": [],
   "provisioningState": "Succeeded",
   "resourceGroup": "ExpressRouteResourceGroup",
   "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b",
   "serviceProviderNotes": null,
   "serviceProviderProperties": {
   "bandwidthInMbps": 200,
   "peeringLocation": "Silicon Valley",
   "serviceProviderName": "Equinix"
   },
   "serviceProviderProvisioningState": "Provisioned",
   "sku": {
    "family": "UnlimitedData",
    "name": "Standard_MeteredData",
    "tier": "Standard"
   },
   "tags": null,
   "type": "Microsoft.Network/expressRouteCircuits]
   

4. Настройте для канала частный пиринг Azure. Прежде чем продолжить, убедитесь в наличии следующих элементов:

   • Пара подсетей, которые не являются частью какого-либо диапазона адресов, зарезервированного для виртуальных сетей. Одна подсеть будет использоваться в качестве основной ссылки, а вторая — в качестве дополнительной. Из каждой подсети вы назначите первый готовый к применению IP-адрес для своего маршрутизатора, так как корпорация Майкрософт использует второй IP-адрес для маршрутизатора Майкрософт. У вас есть три варианта для этой пары подсетей:
     • IPv4: две подсети /30.
     • IPv6: две подсети /126;
     • Оба: две подсети /30 и две подсети /126.
   • Действительный идентификатор виртуальной локальной сети для установки пиринга. Идентификатор не должен использоваться ни одним другим пирингом в канале.
   • Номер AS для пиринга. Можно использовать 2-байтовые и 4-байтовые номера AS. Для этого пиринга можно использовать частный номер AS. Убедитесь, что вы не используете 65515.
   • Необязательно. Хэш MD5, если вы решите его использовать.

   Чтобы настроить для канала частный пиринг Azure, выполните код из следующего примера:

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering
   

   Если вы решили использовать MD5-хэш, используйте следующий пример:

   az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering --SharedKey "A1B2C3D4"
   

   Внимание

   Номер AS должен быть указан в качестве ASN пиринга, а не ASN клиента.

Просмотр сведений о частном пиринге Azure

Для получения сведений о конфигурации можно использовать следующий пример кода:

az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

Вы должны увидеть результат, аналогичный приведенному ниже.

{
  "azureASN": 12076,
  "connections": [],
  "etag": "W/\"abcdef12-3456-7890-abcd-ef1234567890\"",
  "gatewayManagerEtag": "",
  "id": "/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzurePrivatePeering",
  "lastModifiedBy": "Customer",
  "microsoftPeeringConfig": {
    "advertisedCommunities": [],
    "advertisedPublicPrefixes": [],
    "advertisedPublicPrefixesState": "NotConfigured",
    "customerASN": 0,
    "legacyMode": 0,
    "routingRegistryName": "NONE"
  },
  "name": "AzurePrivatePeering",
  "peerASN": 65020,
  "peeredConnections": [],
  "peeringType": "AzurePrivatePeering",
  "primaryAzurePort": "",
  "primaryPeerAddressPrefix": "192.168.17.16/30",
  "provisioningState": "Succeeded",
  "resourceGroup": "ExpressRouteResourceGroup",
  "secondaryAzurePort": "",
  "secondaryPeerAddressPrefix": "192.168.17.20/30",
  "state": "Enabled",
  "type": "Microsoft.Network/expressRouteCircuits/peerings",
  "vlanId": 100
}

Обновление конфигурации частного пиринга Azure

С помощью следующего примера можно обновить любую часть конфигурации. В приведенном ниже примере значение идентификатора виртуальной локальной сети для канала изменяется со 100 на 500.

az network express-route peering update --vlan-id 500 -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

Очистка ресурсов

Удаление пиринга Майкрософт

Для удаления конфигурации пиринга выполните следующий пример кода:

az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name MicrosoftPeering

Удаление частного пиринга Azure

Для удаления конфигурации пиринга выполните следующий пример кода:

Предупреждение

Перед запуском этого примера обязательно убедитесь, что все виртуальные сети и подключения Global Reach к ExpressRoute удалены.

az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering

Следующие шаги

После настройки частного пиринга Azure вы можете связать виртуальные сети с каналом. Дополнительные сведения см. в следующей статье:

Связывание виртуальной сети с каналом ExpressRoute