使用 CLI 建立和修改 ExpressRoute 線路的對等互連
本文說明如何使用 CLI,以 Resource Manager 部署模型建立和管理 ExpressRoute 線路的路由設定/對等互連。 您還可以檢查狀態、更新,或是刪除與取消佈建 ExpressRoute 線路的對等互連。 如果您想要對線路使用不同的方法,可選取下列清單中的文章:
必要條件
- 開始之前,請先安裝 CLI 命令的最新版本 (2.0 版或更新版本)。 如需關於安裝 CLI 命令的資訊,請參閱安裝 Azure CLI。
- 開始設定之前,請確定您已經檢閱過必要條件、路由需求和工作流程分頁。
- 您必須具有作用中的 ExpressRoute 線路。 繼續之前,請遵循指示來建立 ExpressRoute 線路,並由您的連線提供者來啟用該線路。 ExpressRoute 線路必須處於已佈建和已啟用狀態,您才能執行本文中的命令。
這些指示只適用於由提供第 2 層連線服務的服務提供者所建立的線路。 如果您使用的服務提供者提供受控第 3 層服務 (通常是 IPVPN,如 MPLS),連線提供者會為您設定和管理路由。
您可以針對 ExpressRoute 線路設定私人對等互連和 Microsoft 對等互連。 您可以依自己選擇的任何順序設定對等互連。 不過,您必須確定您逐一完成各個對等互連的設定。 如需路由網域和對等互連的詳細資訊,請參閱 ExpressRoute 路由網域。
Microsoft 對等互連
本節將協助您為 ExpressRoute 線路建立、取得、更新和刪除 Microsoft 對等互連設定。
重要
在 2017 年 8 月 1 日以前設定之 ExpressRoute 線路的 Microsoft 對等互連,會透過 Microsoft 對等互連公告所有服務首碼,即使未定義路由篩選也一樣。 在 2017 年 8 月 1 日當日或之後設定之 ExpressRoute 線路的 Microsoft 對等互連,不會公告任何前置詞,直到路由篩選連結至線路為止。 如需詳細資訊,請參閱設定 Microsoft 對等互連的路由篩選。
建立 Microsoft 對等
安裝和使用最新版的 Azure CLI。
az login選取您想要建立 ExpressRoute 線路的訂用帳戶。
az account set --subscription "<subscription ID>"建立 ExpressRoute 線路。 請遵循指示建立 ExpressRoute 線路 ,並由連線提供者佈建它。 若您的連線提供者提供受控第 3 層服務,您可以要求連線提供者為您啟用 Microsoft 對等互連。 在此情況下,您不需要遵循後續幾節所列的指示。 不過,如果您的連線提供者不管理路由,請在建立線路之後繼續使用後續步驟進行設定。
檢查 ExpressRoute 線路,以確定已佈建且已啟用線路。 請使用下列範例:
az network express-route list回應如下列範例所示:
"allowClassicOperations": false, "authorizations": [], "circuitProvisioningState": "Enabled", "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"", "gatewayManagerEtag": null, "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit", "location": "westus", "name": "MyCircuit", "peerings": [], "provisioningState": "Succeeded", "resourceGroup": "ExpressRouteResourceGroup", "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b", "serviceProviderNotes": null, "serviceProviderProperties": { "bandwidthInMbps": 200, "peeringLocation": "Silicon Valley", "serviceProviderName": "Equinix" }, "serviceProviderProvisioningState": "Provisioned", "sku": { "family": "UnlimitedData", "name": "Standard_MeteredData", "tier": "Standard" }, "tags": null, "type": "Microsoft.Network/expressRouteCircuits]設定線路的 Microsoft 對等。 繼續之前,請確定您擁有下列資訊。
- 您所擁有、且已在 RIR/IRR 中註冊的一對子網路。 一個子網路將用於主要連結,另一個將用於次要連結。 從每個子網中,您會將第一個可用 IP 位址指派給路由器,因為 Microsoft 會將第二個可用 IP 用於其路由器。 這對子網路有三個選項可供使用:
- IPv4:兩個 /30 子網路。 這必須是有效的公用 IPv4 首碼。
- IPv6:兩個 /126 子網路。 這些必須是有效的公用 IPv6 首碼。
- 兩者:兩個 /30 子網路和兩個 /126 子網路。
- Microsoft對等互連可讓您與Microsoft網路上的公用IP位址通訊。 因此,內部部署網路上的流量端點也應該是公用的。 這通常會使用 SNAT 來完成。
注意
使用 SNAT 時,建議您不要從指派給主要或次要連結的範圍取得公用 IP 位址。 相反地,您應該使用已指派給您的不同公用IP位址範圍,並在區域因特網登錄 (RIR) 或因特網路由登錄中註冊 。 視您的通話量而定,此範圍可以小到單一IP位址(以 '/32' 表示 IPv4 或 IPv6 的 '/128')。
- 供建立此對等的有效 VLAN ID。 請確定線路有沒有其他對等使用相同的 VLAN ID。 如果同時需要主要和次要連結,則必須使用相同的 VLAN ID。
- 對等的 AS 編號。 您可以使用 2 位元組和 4 位元組 AS 編號。
- 公告的首碼:您要提供一份您打算透過 BGP 工作階段公告的所有前置詞清單。 只接受公用 IP 位址首碼。 如果計劃傳送一組前置詞,可以傳送以逗號分隔的清單。 這些首碼必須在 RIR / IRR 中註冊給您。
- 選用 - 客戶 ASN: 如果您要公告的前置詞未註冊給對等互連 AS 號碼,您可以指定其所註冊的 AS 號碼。
- 路由登錄名稱:您可以指定可供註冊 AS 編號和首碼的 RIR / IRR。
- 選用:MD5 雜湊 (如果選擇使用)。
執行下列範例來為線路設定 Microsoft 對等互連:
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 123.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 123.0.0.4/30 --vlan-id 300 --peering-type MicrosoftPeering --advertised-public-prefixes 123.1.0.0/24- 您所擁有、且已在 RIR/IRR 中註冊的一對子網路。 一個子網路將用於主要連結,另一個將用於次要連結。 從每個子網中,您會將第一個可用 IP 位址指派給路由器,因為 Microsoft 會將第二個可用 IP 用於其路由器。 這對子網路有三個選項可供使用:
檢視 Microsoft 對等詳細資訊
您可以使用下列範例來取得設定詳細資料:
az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzureMicrosoftPeering
重要
Microsoft 會驗證指定的「已公告公用首碼」和「對等互連 ASN」(或「客戶 ASN」) 是否已在網際網路路由登錄中指派給您。 如果您要從另一個實體取得公用首碼,以及如果未使用路由登錄來記錄指派,則自動驗證將不會完成,而且需要手動驗證。 如果自動驗證失敗,您會在上述命令的輸出上看到 'AdvertisedPublicPrefixesState' 為「需要驗證」。
如果您看到「需要驗證」訊息,請收集其中顯示實體已將公用前置詞指派給您組織的文件,而此實體列示為路由登錄中的前置詞擁有者,然後開啟支援票證,提交這些文件進行手動驗證。
輸出類似於下列範例:
{
"azureAsn": 12076,
"etag": "W/\"2e97be83-a684-4f29-bf3c-96191e270666\"",
"gatewayManagerEtag": "18",
"id": "/subscriptions/9a0c2943-e0c2-4608-876c-e0ddffd1211b/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzureMicrosoftPeering",
"lastModifiedBy": "Customer",
"microsoftPeeringConfig": {
"advertisedPublicPrefixes": [
""
],
"advertisedPublicPrefixesState": "",
"customerASN": ,
"routingRegistryName": ""
}
"name": "AzureMicrosoftPeering",
"peerAsn": ,
"peeringType": "AzureMicrosoftPeering",
"primaryAzurePort": "",
"primaryPeerAddressPrefix": "",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup",
"routeFilter": null,
"secondaryAzurePort": "",
"secondaryPeerAddressPrefix": "",
"sharedKey": null,
"state": "Enabled",
"stats": null,
"vlanId": 100
}
更新 Microsoft 對等組態
您可以更新設定的任何部分。 在下列範例中,已公告之線路的前置詞從 123.1.0.0/24 更新為 124.1.0.0/24:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroup --peering-type MicrosoftPeering --advertised-public-prefixes 124.1.0.0/24
在現有的 IPv4 組態中新增 IPv6 Microsoft 對等互連設定
az network express-route peering update -g ExpressRouteResourceGroup --circuit-name MyCircuit --peering-type MicrosoftPeering --ip-version ipv6 --primary-peer-subnet 2002:db00::/126 --secondary-peer-subnet 2003:db00::/126 --advertised-public-prefixes 2002:db00::/126
Azure 私用對等互連
本節將協助您為 ExpressRoute 線路建立、取得、更新和刪除 Azure 私用對等互連設定。
建立 Azure 私用對等
安裝最新版的 Azure CLI。
az login選取您想要建立 ExpressRoute 線路的訂用帳戶
az account set --subscription "<subscription ID>"建立 ExpressRoute 線路。 請遵循指示建立 ExpressRoute 線路 ,並由連線提供者佈建它。 若您的連線提供者是提供受控第 3 層服務,您可以要求連線提供者為您啟用 Azure 私人對等互連。 在此情況下,您不需要遵循後續幾節所列的指示。 不過,如果您的連線提供者不管理路由,請在建立線路之後繼續使用後續步驟進行設定。
檢查 ExpressRoute 線路,以確定已佈建且已啟用線路。 請使用下列範例:
az network express-route show --resource-group ExpressRouteResourceGroup --name MyCircuit回應如下列範例所示:
"allowClassicOperations": false, "authorizations": [], "circuitProvisioningState": "Enabled", "etag": "W/\"1262c492-ffef-4a63-95a8-a6002736b8c4\"", "gatewayManagerEtag": null, "id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit", "location": "westus", "name": "MyCircuit", "peerings": [], "provisioningState": "Succeeded", "resourceGroup": "ExpressRouteResourceGroup", "serviceKey": "1d05cf70-1db5-419f-ad86-1ca62c3c125b", "serviceProviderNotes": null, "serviceProviderProperties": { "bandwidthInMbps": 200, "peeringLocation": "Silicon Valley", "serviceProviderName": "Equinix" }, "serviceProviderProvisioningState": "Provisioned", "sku": { "family": "UnlimitedData", "name": "Standard_MeteredData", "tier": "Standard" }, "tags": null, "type": "Microsoft.Network/expressRouteCircuits]設定線路的 Azure 私用對等。 繼續執行接下來的步驟之前,請確定您有下列項目:
- 一對子網路,不屬於保留給虛擬網路的任何位址空間。 一個子網路將用於主要連結,另一個將用於次要連結。 您會從這些子網路將第一個可用 IP 位址指派給路由器,因為 Microsoft 會將第二個可用 IP 用於其路由器。 這對子網路有三個選項可供使用:
- IPv4:兩個 /30 子網路。
- IPv6:兩個 /126 子網路。
- 兩者:兩個 /30 子網路和兩個 /126 子網路。
- 供建立此對等的有效 VLAN ID。 請確定線路有沒有其他對等使用相同的 VLAN ID。
- 對等的 AS 編號。 您可以使用 2 位元組和 4 位元組 AS 編號。 您可以將私用 AS 編號用於此對等。 確保您不是使用 65515。
- 選用:MD5 雜湊 (如果選擇使用)。
使用下列範例來為線路設定 Azure 私用對等互連:
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering如果您選擇使用 MD5 雜湊,請使用下列範例:
az network express-route peering create --circuit-name MyCircuit --peer-asn 100 --primary-peer-subnet 10.0.0.0/30 -g ExpressRouteResourceGroup --secondary-peer-subnet 10.0.0.4/30 --vlan-id 200 --peering-type AzurePrivatePeering --SharedKey "A1B2C3D4"重要
請確定您將 AS 編號指定為對等 ASN,而不是客戶 ASN。
- 一對子網路,不屬於保留給虛擬網路的任何位址空間。 一個子網路將用於主要連結,另一個將用於次要連結。 您會從這些子網路將第一個可用 IP 位址指派給路由器,因為 Microsoft 會將第二個可用 IP 用於其路由器。 這對子網路有三個選項可供使用:
檢視 Azure 私用對等詳細資訊
您可以使用下列範例來取得設定詳細資料:
az network express-route peering show -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering
輸出類似於下列範例:
{
"azureASN": 12076,
"connections": [],
"etag": "W/\"abcdef12-3456-7890-abcd-ef1234567890\"",
"gatewayManagerEtag": "",
"id": "/subscriptions/abcdef12-3456-7890-abcd-ef1234567890/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/peerings/AzurePrivatePeering",
"lastModifiedBy": "Customer",
"microsoftPeeringConfig": {
"advertisedCommunities": [],
"advertisedPublicPrefixes": [],
"advertisedPublicPrefixesState": "NotConfigured",
"customerASN": 0,
"legacyMode": 0,
"routingRegistryName": "NONE"
},
"name": "AzurePrivatePeering",
"peerASN": 65020,
"peeredConnections": [],
"peeringType": "AzurePrivatePeering",
"primaryAzurePort": "",
"primaryPeerAddressPrefix": "192.168.17.16/30",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup",
"secondaryAzurePort": "",
"secondaryPeerAddressPrefix": "192.168.17.20/30",
"state": "Enabled",
"type": "Microsoft.Network/expressRouteCircuits/peerings",
"vlanId": 100
}
更新 Azure 私用對等組態
您可以使用下列範例來更新設定的任何部分。 在此範例中,線路的 VLAN ID 從 100 更新為 500。
az network express-route peering update --vlan-id 500 -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering
清除資源
刪除 Microsoft 對等
您可以執行下列範例來移除對等互連設定:
az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name MicrosoftPeering
刪除 Azure 私用對等
您可以執行下列範例來移除對等互連設定:
警告
執行此範例之前,您必須確定已移除所有虛擬網路與 ExpressRoute Global Reach 連線。
az network express-route peering delete -g ExpressRouteResourceGroup --circuit-name MyCircuit --name AzurePrivatePeering
下一步
設定 Azure 私人對等互連之後,您可以將虛擬網路連結至線路,請參閱: