分享方式:


ExpressRoute 路由需求 \(部分機器翻譯\)

若要使用 ExpressRoute 連線到 Microsoft 雲端服務,您需要設定和管理路由。 有些連線提供者會以受控服務形式提供路由的設定和管理。 請洽詢您的連線服務提供者,以查看他們是否提供這類服務。 如果沒有,您必須遵循下列需求:

如需必須設定才能進行連線的路由工作階段的說明,請參閱線路和路由網域一文。

注意

Microsoft 不支援任何高可用性組態的路由器備援通訊協定,例如 HSRP 或 VRRP。 我們依賴每個對等互連的一組備援 BGP 工作階段來取得高可用性。

用於對等互連的 IP 位址

您必須保留一些 IP 位址來設定您的網路與 Microsoft 的 Enterprise Edge (MSEEs) 路由器之間的路由。 本節提供需求清單並描述必須如何取得和使用這些 IP 位址的相關規則。

用於 Azure 私人對等互連的 IP 位址

您可以使用私人 IP 位址或公用 IP 位址來設定對等互連。 用於設定路由的位址範圍無法與 Azure 中虛擬網路所使用的位址範圍重疊。

  • IPv4:
    • 您必須為路由介面保留一個 /29 子網路或兩個 /30 子網路。
    • 用於路由的子網路可以是私人 IP 位址或公用 IP 位址。
    • 子網路不得與客戶保留以便用於 Microsoft Cloud 的範圍衝突。
    • 如果使用 /29 子網路,其會分割成兩個 /30 子網路。
      • 第一個 /30 子網路用於主要連結,而第二個 /30 子網路用於次要連結。
      • 針對每個 /30 子網路,您必須針對路由器使用 /30 子網路的第一個 IP 位址。 Microsoft 會使用 /30 子網路的第二個 IP 位址來設定 BGP 工作階段。
      • 您必須設定兩個 BGP 工作階段,讓可用性 SLA 有效。
  • IPv6:
    • 您必須為路由介面保留一個 /125 子網路或兩個 /126 子網路。
    • 用於路由的子網路可以是私人 IP 位址或公用 IP 位址。
    • 子網路不得與客戶保留以便用於 Microsoft Cloud 的範圍衝突。
    • 如果使用 /125 子網路,其會分割成兩個 /126 子網路。
      • 第一個 /126 子網路用於主要連結,而第二個 /126 子網路用於次要連結。
      • 針對每個 /126 子網路,您必須針對路由器使用 /126 子網路的第一個 IP 位址。 Microsoft 會使用 /126 子網路的第二個 IP 位址來設定 BGP 工作階段。
      • 您必須設定兩個 BGP 工作階段,讓可用性 SLA 有效。

私人對等互連範例

如果您選擇使用 a.b.c.d/29 來設定對等互連,其會分割成兩個 /30 子網路。 在下列範例中,請注意 a.b.c.d/29 子網路的使用方式:

  • a.b.c.d/29 會透過佈建 API 分割為 a.b.c.d/30a.b.c.d+4/30 並向下傳遞給 Microsoft。
    • 您可使用 a.b.c.d+1 作為主要 PE 的 VRF IP,而 Microsoft 會使用 a.b.c.d+2 作為主要 MSEE 的 VRF IP。
    • 您可使用 a.b.c.d+5 作為次要 PE 的 VRF IP,而 Microsoft 會使用 a.b.c.d+6 作為次要 MSEE 的 VRF IP。

請考慮您選取 192.168.100.128/29 來設定私人對等互連的情況。 192.168.100.128/29 包含從 192.168.100.128192.168.100.135 的位址,其中:

  • 192.168.100.128/30 會指派給 link1 (提供者使用 192.168.100.129,而 Microsoft 使用 192.168.100.130)。
  • 192.168.100.132/30 會指派給 link2 (提供者使用 192.168.100.133,而 Microsoft 使用 192.168.100.134)。

用於 Microsoft 對等互連的 IP 位址

您必須使用自己的公用 IP 位址來設定 BGP 工作階段。 Microsoft 必須能夠透過路由網際網路登錄和網際網路路由登錄來驗證 IP 位址的擁有權。

  • 針對 Microsoft 對等互連的已公告公用前置詞列在入口網站中的 IP,會建立 Microsoft 核心路由器的 ACL,以允許來自這些 IP 的輸入流量。
  • 您必須使用唯一的 /29 (IPv4) 或 /125 (IPv6) 子網路或兩個 /30 (IPv4) 或 /126 (IPv6) 子網路,來為每個 ExpressRoute 線路 (如果您有多個) 的每個對等互連設定 BGP 對等互連。
  • 如果使用 /29 子網路,其會分割成兩個 /30 子網路。
  • 第一個 /30 子網路用於主要連結,而第二個 /30 子網路用於次要連結。
  • 針對每個 /30 子網路,您必須在路由器上使用 /30 子網路的第一個 IP 位址。 Microsoft 會使用 /30 子網路的第二個 IP 位址來設定 BGP 工作階段。
  • 如果使用 /125 子網路,其會分割成兩個 /126 子網路。
  • 第一個 /126 子網路用於主要連結,而第二個 /126 子網路用於次要連結。
  • 針對每個 /126 子網路,您必須在路由器上使用 /126 子網路的第一個 IP 位址。 Microsoft 會使用 /126 子網路的第二個 IP 位址來設定 BGP 工作階段。
  • 您必須設定兩個 BGP 工作階段,我們的 可用性 SLA 才會有效。

公用 IP 位址需求

私人對等互連

您可以選擇使用公用或私人 IPv4 位址進行私人對等互連。 我們提供流量的端對端隔離,因此私人對等互連無法與其他客戶重疊位址。 這些位址不會向網際網路公告。

Microsoft 對等互連

Microsoft 對等互連路徑可讓您連線到 Microsoft 雲端服務。 服務清單包括 Microsoft 365 服務,例如 Exchange Online、SharePoint Online、商務用 Skype 和 Microsoft Teams。 Microsoft 支援在 Microsoft 對等上的雙向連線能力。 以 Microsoft 雲端服務為目的地的流量,必須使用有效的公用 IPv4 位址,才能進入 Microsoft 網路。

確定已在下列其中一個登錄中註冊您的 IP 位址和 AS 號碼:

如果在前述的登錄中未將前置詞和 AS 號碼指派給您,您必須開啟支援案例,以便手動驗證您的前置詞和 ASN。 支援人員需要文件,例如可證明允許您使用該前置詞的授權書。

Microsoft 對等互連允許使用私人 AS 號碼,但也需要進行手動驗證。 此外,我們會針對接收到的前置詞,移除 AS PATH 中的私用 AS 編號。 因此,您無法在 AS PATH 中附加私用 AS 編號以影響 Microsoft 對等互連的路由。 此外,路徑中不允許使用 IANA 為文件用途保留的 AS 號碼 64496-64511。

重要

請勿將相同的公用 IP 路由公告至公用網際網路和透過 ExpressRoute。 若要減少造成非對稱式路由的設定不正確的風險,強烈建議 NAT IP 位址透過 ExpressRoute 向 Microsoft 公告的範圍不是向網際網路公告的範圍。 如果無法做到,則必須確保透過 ExpressRoute 公告的範圍比網際網路連線上的範圍更具體。 除了 NAT 的公用路由之外,您也可以將內部部署網路中與 Microsoft 內 Microsoft 365 端點通訊的伺服器所使用的公用 IP 位址,透過 ExpressRoute 公告。

動態路由交換

路由交換會透過 eBGP 通訊協定。 MSEEs 與您的路由器之間會建立 EBGP 工作階段。 不一定需要驗證 BGP 工作階段。 如有需要,也可以設定 MD5 雜湊。 如需設定 BGP 工作階段的資訊,請參閱設定路由線路佈建工作流程和線路狀態

自治號碼

Microsoft 會使用 AS 12076 進行 Azure 公用、Azure 私人和 Microsoft 對等互連。 我們已保留 65515 至 65520 的 ASN,以供內部使用。 同時支援 16 位元和 32 位元號碼。

資料傳輸對稱沒有任何相關需求。 轉送與返回路徑可能會周遊不同的路由器配對。 相同的路由必須從橫跨多個屬於您的循環配對的任一端公告。 路由計量不需要完全相同。

路由彙總與前置詞限制

ExpressRoute 支援透過 Azure 私人對等互連向 Microsoft 公告最多 4000 個 IPv4 前置詞和 100 個 IPv6 前置詞。 如果已啟用 ExpressRoute 進階附加元件,此限制可增加至 10,000 個 IPv4 前置詞。 ExpressRoute 接受每個 BGP 工作階段最多 200 個前置詞進行 Azure 公用和 Microsoft 對等互連。

如果前置詞數目超過此限制,則會捨棄 BGP 工作階段。 ExpressRoute 只會接受私人對等互連連結上的預設路由。 提供者必須從 Azure 公用和 Microsoft 對等互連路徑中篩選出預設路由和私人 IP 位址 (RFC 1918)。

傳輸路由和跨區域路由

ExpressRoute 不能設定為傳輸路由器。 您必須依賴連線提供者的傳輸路由服務。

公告預設路由

只有 Azure 私人對等互連工作階段允許預設路由。 在這種情況下,ExpressRoute 會將所有流量從相關聯的虛擬網路路由傳送到您的網路。 在私人對等互連中公告預設路由,會導致來自 Azure 的網際網路路徑遭到封鎖。 您必須依賴您的公司網路邊緣,為 Azure 中裝載的服務往返路由傳送網際網路的流量。

某些服務無法從您的公司邊緣存取。 若要啟用與其他 Azure 服務和基礎結構服務的連線,您必須使用使用者定義的路由,以允許這些服務需要網際網路連線的每個子網路網際網路連線。

注意

公告預設路由會中斷 Windows 和其他 VM 授權啟用。 如需因應工作的相關資訊,請參閱使用使用者定義的路由來啟用 KMS 啟用

BGP 社群支援

本節提供 BGP 社群如何搭配 ExpressRoute 使用的概觀。 Microsoft 會公告私人、Microsoft 和公用 (已取代) 對等互連路徑中的路由,並為路由標記適當的社群值。 這麼做的基本原理和社群值的詳細資料如下所述。 不過,Microsoft 不接受任何標記至向 Microsoft 公告之路由的社群值。

針對私人對等互連,如果您在 Azure 虛擬網路上設定自訂 BGP 社群值,您將會在透過 ExpressRoute 向內部部署公告的 Azure 路由上,看到此自訂值和區域 BGP 社群值。

注意

為了讓 Azure 路由顯示區域 BGP 社群值,您必須先設定虛擬網路的自訂 BGP 社群值。

針對 Microsoft 對等互連,您會透過 ExpressRoute 連線至地緣政治區域內任何一個對等互連位置的 Microsoft。 您也可以存取地緣政治界限內所有區域的所有 Microsoft 雲端服務。

例如,如果您在阿姆斯特丹透過 ExpressRoute 連接到 Microsoft,您可以存取在北歐和西歐裝載的所有 Microsoft 雲端服務。

如需地理政治地區、相關聯的 Azure 區域和對應的 ExpressRoute 對等互連位置的詳細清單,請參閱 ExpressRoute 合作夥伴和對等互連位置 網頁。

您可以針對每個地理政治區域購買多個 ExpressRoute 循環。 如果擁有多個連線,您即可因為異地備援而有明顯的高可用性優勢。 若您具有多個 ExpressRoute 循環,您會從 Microsoft 收到同一組有關 Microsoft 對等互連路徑的前置詞。 此設定會導致從您的網路到 Microsoft 的多個路徑。 此設定可能會導致在您的網路中做出次佳的路由決策。 因此,您可能會遇到次佳的不同服務連線體驗。 您可以依賴社群值來做出適當的路由決策,以提供最佳路由給使用者

Microsoft Azure 區域 區域 BGP 社群 (私人對等互連) 區域 BGP 社群 (Microsoft 對等互連) 儲存體 BGP 社群 SQL BGP 社群 Azure Cosmos DB BGP 社群 備份 BGP 社群
北美洲
美國東部 12076:50004 12076:51004 12076:52004 12076:53004 12076:54004 12076:55004
美國東部 2 12076:50005 12076:51005 12076:52005 12076:53005 12076:54005 12076:55005
美國西部 12076:50006 12076:51006 12076:52006 12076:53006 12076:54006 12076:55006
美國西部 2 12076:50026 12076:51026 12076:52026 12076:53026 12076:54026 12076:55026
美國西部 3 12076:50044 12076:51044 12076:52044 12076:53044 12076:54044 12076:55044
美國中西部 12076:50027 12076:51027 12076:52027 12076:53027 12076:54027 12076:55027
美國中北部 12076:50007 12076:51007 12076:52007 12076:53007 12076:54007 12076:55007
美國中南部 12076:50008 12076:51008 12076:52008 12076:53008 12076:54008 12076:55008
美國中部 12076:50009 12076:51009 12076:52009 12076:53009 12076:54009 12076:55009
加拿大中部 12076:50020 12076:51020 12076:52020 12076:53020 12076:54020 12076:55020
加拿大東部 12076:50021 12076:51021 12076:52021 12076:53021 12076:54021 12076:55021
南美洲
巴西南部 12076:50014 12076:51014 12076:52014 12076:53014 12076:54014 12076:55014
歐洲
北歐 12076:50003 12076:51003 12076:52003 12076:53003 12076:54003 12076:55003
西歐 12076:50002 12076:51002 12076:52002 12076:53002 12076:54002 12076:55002
英國南部 12076:50024 12076:51024 12076:52024 12076:53024 12076:54024 12076:55024
英國西部 12076:50025 12076:51025 12076:52025 12076:53025 12076:54025 12076:55025
法國中部 12076:50030 12076:51030 12076:52030 12076:53030 12076:54030 12076:55030
法國南部 12076:50031 12076:51031 12076:52031 12076:53031 12076:54031 12076:55031
瑞士北部 12076:50038 12076:51038 12076:52038 12076:53038 12076:54038 12076:55038
瑞士西部 12076:50039 12076:51039 12076:52039 12076:53039 12076:54039 12076:55039
德國北部 12076:50040 12076:51040 12076:52040 12076:53040 12076:54040 12076:55040
德國中西部 12076:50041 12076:51041 12076:52041 12076:53041 12076:54041 12076:55041
挪威東部 12076:50042 12076:51042 12076:52042 12076:53042 12076:54042 12076:55042
挪威西部 12076:50043 12076:51043 12076:52043 12076:53043 12076:54043 12076:55043
亞太地區
東亞 12076:50010 12076:51010 12076:52010 12076:53010 12076:54010 12076:55010
東南亞 12076:50011 12076:51011 12076:52011 12076:53011 12076:54011 12076:55011
日本
日本東部 12076:50012 12076:51012 12076:52012 12076:53012 12076:54012 12076:55012
日本西部 12076:50013 12076:51013 12076:52013 12076:53013 12076:54013 12076:55013
澳大利亞
澳大利亞東部 12076:50015 12076:51015 12076:52015 12076:53015 12076:54015 12076:55015
澳大利亞東南部 12076:50016 12076:51016 12076:52016 12076:53016 12076:54016 12076:55016
澳洲政府
澳大利亞中部 12076:50032 12076:51032 12076:52032 12076:53032 12076:54032 12076:55032
澳大利亞中部 2 12076:50033 12076:51033 12076:52033 12076:53033 12076:54033 12076:55033
印度
印度南部 12076:50019 12076:51019 12076:52019 12076:53019 12076:54019 12076:55019
印度西部 12076:50018 12076:51018 12076:52018 12076:53018 12076:54018 12076:55018
印度中部 12076:50017 12076:51017 12076:52017 12076:53017 12076:54017 12076:55017
南韓
韓國南部 12076:50028 12076:51028 12076:52028 12076:53028 12076:54028 12076:55028
南韓中部 12076:50029 12076:51029 12076:52029 12076:53029 12076:54029 12076:55029
南非
南非北部 12076:50034 12076:51034 12076:52034 12076:53034 12076:54034 12076:55034
南非西部 12076:50035 12076:51035 12076:52035 12076:53035 12076:54035 12076:55035
阿拉伯聯合大公國
阿拉伯聯合大公國北部 12076:50036 12076:51036 12076:52036 12076:53036 12076:54036 12076:55036
阿拉伯聯合大公國中部 12076:50037 12076:51037 12076:52037 12076:53037 12076:54037 12076:55037

所有 Microsoft 公告的路由都會加上適當的社群值。

重要

全域前置詞會加上適當的社群值。

服務對 BGP 的社群值

除了每個區域的 BGP 標記之外,Microsoft 也會根據它們所屬的服務標記前置詞。 此標記僅適用於 Microsoft 對等互連。 下表提供服務與 BGP 社群值的對應。 您可以執行「Get-AzBgpServiceCommunity」Cmdlet 來取得最新值的完整清單。

服務 BGP 社群值
Exchange Online (2) 12076:5010
SharePoint Online (2) 12076:5020
商務用 Skype Online (2) 和 (3) 12076:5030
CRM Online (4) 12076:5040
Azure 全域服務 (1) 12076:5050
Microsoft Entra ID 12076:5060
Azure Resource Manager 12076:5070
其他 Office 365 線上服務 (2) 12076:5100
適用於身分識別的 Microsoft Defender 12076:5220
Microsoft PSTN 服務 (5) 12076:5250

(1) Azure 全域服務目前只包括 Azure DevOps。

(2) Microsoft 所需的授權。 請參閱針對 Microsoft 對等互連設定路由篩選

(3) 此社群也會發佈 Microsoft Teams 服務所需的路由。

(4) CRM Online 支援 Dynamics 8.2 版和以下版本。 針對較高的版本,請選取 Dynamics 部署的區域社群。

(5) Microsoft 對等互連與 PSTN 服務的使用僅限於特定使用案例。 請參閱使用 ExpressRoute 處理 Microsoft PSTN 服務

注意

Microsoft 不接受任何您在向 Microsoft 通告的路由上設定的 BGP 社群值。

在國家雲端中的 BGP 社群支援

國家雲端 Azure 區域 BGP 社群值
US Gov
US Gov 亞利桑那州 12076:51106
US Gov 愛荷華州 12076:51109
US Gov 維吉尼亞州 12076:51105
US Gov 德克薩斯州 12076:51108
US DoD 中部 12076:51209
US DoD 東部 12076:51205
中國
中國北部 12076:51301
中國東部 12076:51302
中國東部 2 12076:51303
中國北部 2 12076:51304
中國北部 3 12076:51305
國家雲端中的服務 BGP 社群值
US Gov
Exchange Online 12076:5110
SharePoint Online 12076:5120
商務用 Skype Online 12076:5130
Microsoft Entra ID 12076:5160
其他 Office 365 Online 服務 12076:5200
  • 21Vianet 區域營運的 Microsoft Azure 對等互連不支援 Office 365 社群。

下一步