ExpressRoute 路由需求 \(部分機器翻譯\)
若要使用 ExpressRoute 連線到 Microsoft 雲端服務,您需要設定和管理路由。 有些連線提供者會以受控服務形式提供路由的設定和管理。 請洽詢您的連線服務提供者,以查看他們是否提供這類服務。 如果沒有,您必須遵循下列需求:
如需必須設定才能進行連線的路由工作階段的說明,請參閱線路和路由網域一文。
注意
Microsoft 不支援任何高可用性組態的路由器備援通訊協定,例如 HSRP 或 VRRP。 我們依賴每個對等互連的一組備援 BGP 工作階段來取得高可用性。
用於對等互連的 IP 位址
您必須保留一些 IP 位址來設定您的網路與 Microsoft 的 Enterprise Edge (MSEEs) 路由器之間的路由。 本節提供需求清單並描述必須如何取得和使用這些 IP 位址的相關規則。
用於 Azure 私人對等互連的 IP 位址
您可以使用私人 IP 位址或公用 IP 位址來設定對等互連。 用於設定路由的位址範圍無法與 Azure 中虛擬網路所使用的位址範圍重疊。
- IPv4:
- 您必須為路由介面保留一個
/29子網路或兩個/30子網路。 - 用於路由的子網路可以是私人 IP 位址或公用 IP 位址。
- 子網路不得與客戶保留以便用於 Microsoft Cloud 的範圍衝突。
- 如果使用
/29子網路,其會分割成兩個/30子網路。- 第一個
/30子網路用於主要連結,而第二個/30子網路用於次要連結。 - 針對每個
/30子網路,您必須針對路由器使用/30子網路的第一個 IP 位址。 Microsoft 會使用/30子網路的第二個 IP 位址來設定 BGP 工作階段。 - 您必須設定兩個 BGP 工作階段,讓可用性 SLA 有效。
- 第一個
- 您必須為路由介面保留一個
- IPv6:
- 您必須為路由介面保留一個
/125子網路或兩個/126子網路。 - 用於路由的子網路可以是私人 IP 位址或公用 IP 位址。
- 子網路不得與客戶保留以便用於 Microsoft Cloud 的範圍衝突。
- 如果使用
/125子網路,其會分割成兩個/126子網路。- 第一個
/126子網路用於主要連結,而第二個/126子網路用於次要連結。 - 針對每個
/126子網路,您必須針對路由器使用/126子網路的第一個 IP 位址。 Microsoft 會使用/126子網路的第二個 IP 位址來設定 BGP 工作階段。 - 您必須設定兩個 BGP 工作階段,讓可用性 SLA 有效。
- 第一個
- 您必須為路由介面保留一個
私人對等互連範例
如果您選擇使用 a.b.c.d/29 來設定對等互連,其會分割成兩個 /30 子網路。 在下列範例中,請注意 a.b.c.d/29 子網路的使用方式:
a.b.c.d/29會透過佈建 API 分割為a.b.c.d/30和a.b.c.d+4/30並向下傳遞給 Microsoft。- 您可使用
a.b.c.d+1作為主要 PE 的 VRF IP,而 Microsoft 會使用a.b.c.d+2作為主要 MSEE 的 VRF IP。 - 您可使用
a.b.c.d+5作為次要 PE 的 VRF IP,而 Microsoft 會使用a.b.c.d+6作為次要 MSEE 的 VRF IP。
- 您可使用
請考慮您選取 192.168.100.128/29 來設定私人對等互連的情況。 192.168.100.128/29 包含從 192.168.100.128 至 192.168.100.135 的位址,其中:
192.168.100.128/30會指派給link1(提供者使用192.168.100.129,而 Microsoft 使用192.168.100.130)。192.168.100.132/30會指派給link2(提供者使用192.168.100.133,而 Microsoft 使用192.168.100.134)。
用於 Microsoft 對等互連的 IP 位址
您必須使用自己的公用 IP 位址來設定 BGP 工作階段。 Microsoft 必須能夠透過路由網際網路登錄和網際網路路由登錄來驗證 IP 位址的擁有權。
- 針對 Microsoft 對等互連的已公告公用前置詞列在入口網站中的 IP,會建立 Microsoft 核心路由器的 ACL,以允許來自這些 IP 的輸入流量。
- 您必須使用唯一的
/29(IPv4) 或/125(IPv6) 子網路或兩個/30(IPv4) 或/126(IPv6) 子網路,來為每個 ExpressRoute 線路 (如果您有多個) 的每個對等互連設定 BGP 對等互連。 - 如果使用
/29子網路,其會分割成兩個/30子網路。 - 第一個
/30子網路用於主要連結,而第二個/30子網路用於次要連結。 - 針對每個
/30子網路,您必須在路由器上使用/30子網路的第一個 IP 位址。 Microsoft 會使用/30子網路的第二個 IP 位址來設定 BGP 工作階段。 - 如果使用
/125子網路,其會分割成兩個/126子網路。 - 第一個
/126子網路用於主要連結,而第二個/126子網路用於次要連結。 - 針對每個
/126子網路,您必須在路由器上使用/126子網路的第一個 IP 位址。 Microsoft 會使用/126子網路的第二個 IP 位址來設定 BGP 工作階段。 - 您必須設定兩個 BGP 工作階段,我們的 可用性 SLA 才會有效。
公用 IP 位址需求
私人對等互連
您可以選擇使用公用或私人 IPv4 位址進行私人對等互連。 我們提供流量的端對端隔離,因此私人對等互連無法與其他客戶重疊位址。 這些位址不會向網際網路公告。
Microsoft 對等互連
Microsoft 對等互連路徑可讓您連線到 Microsoft 雲端服務。 服務清單包括 Microsoft 365 服務,例如 Exchange Online、SharePoint Online、商務用 Skype 和 Microsoft Teams。 Microsoft 支援在 Microsoft 對等上的雙向連線能力。 以 Microsoft 雲端服務為目的地的流量,必須使用有效的公用 IPv4 位址,才能進入 Microsoft 網路。
確定已在下列其中一個登錄中註冊您的 IP 位址和 AS 號碼:
如果在前述的登錄中未將前置詞和 AS 號碼指派給您,您必須開啟支援案例,以便手動驗證您的前置詞和 ASN。 支援人員需要文件,例如可證明允許您使用該前置詞的授權書。
Microsoft 對等互連允許使用私人 AS 號碼,但也需要進行手動驗證。 此外,我們會針對接收到的前置詞,移除 AS PATH 中的私用 AS 編號。 因此,您無法在 AS PATH 中附加私用 AS 編號以影響 Microsoft 對等互連的路由。 此外,路徑中不允許使用 IANA 為文件用途保留的 AS 號碼 64496-64511。
重要
請勿將相同的公用 IP 路由公告至公用網際網路和透過 ExpressRoute。 若要減少造成非對稱式路由的設定不正確的風險,強烈建議 NAT IP 位址透過 ExpressRoute 向 Microsoft 公告的範圍不是向網際網路公告的範圍。 如果無法做到,則必須確保透過 ExpressRoute 公告的範圍比網際網路連線上的範圍更具體。 除了 NAT 的公用路由之外,您也可以將內部部署網路中與 Microsoft 內 Microsoft 365 端點通訊的伺服器所使用的公用 IP 位址,透過 ExpressRoute 公告。
動態路由交換
路由交換會透過 eBGP 通訊協定。 MSEEs 與您的路由器之間會建立 EBGP 工作階段。 不一定需要驗證 BGP 工作階段。 如有需要,也可以設定 MD5 雜湊。 如需設定 BGP 工作階段的資訊,請參閱設定路由和線路佈建工作流程和線路狀態。
自治號碼
Microsoft 會使用 AS 12076 進行 Azure 公用、Azure 私人和 Microsoft 對等互連。 我們已保留 65515 至 65520 的 ASN,以供內部使用。 同時支援 16 位元和 32 位元號碼。
資料傳輸對稱沒有任何相關需求。 轉送與返回路徑可能會周遊不同的路由器配對。 相同的路由必須從橫跨多個屬於您的循環配對的任一端公告。 路由計量不需要完全相同。
路由彙總與前置詞限制
ExpressRoute 支援透過 Azure 私人對等互連向 Microsoft 公告最多 4000 個 IPv4 前置詞和 100 個 IPv6 前置詞。 如果已啟用 ExpressRoute 進階附加元件,此限制可增加至 10,000 個 IPv4 前置詞。 ExpressRoute 接受每個 BGP 工作階段最多 200 個前置詞進行 Azure 公用和 Microsoft 對等互連。
如果前置詞數目超過此限制,則會捨棄 BGP 工作階段。 ExpressRoute 只會接受私人對等互連連結上的預設路由。 提供者必須從 Azure 公用和 Microsoft 對等互連路徑中篩選出預設路由和私人 IP 位址 (RFC 1918)。
傳輸路由和跨區域路由
ExpressRoute 不能設定為傳輸路由器。 您必須依賴連線提供者的傳輸路由服務。
公告預設路由
只有 Azure 私人對等互連工作階段允許預設路由。 在這種情況下,ExpressRoute 會將所有流量從相關聯的虛擬網路路由傳送到您的網路。 在私人對等互連中公告預設路由,會導致來自 Azure 的網際網路路徑遭到封鎖。 您必須依賴您的公司網路邊緣,為 Azure 中裝載的服務往返路由傳送網際網路的流量。
某些服務無法從您的公司邊緣存取。 若要啟用與其他 Azure 服務和基礎結構服務的連線,您必須使用使用者定義的路由,以允許這些服務需要網際網路連線的每個子網路網際網路連線。
注意
公告預設路由會中斷 Windows 和其他 VM 授權啟用。 如需因應工作的相關資訊,請參閱使用使用者定義的路由來啟用 KMS 啟用。
BGP 社群支援
本節提供 BGP 社群如何搭配 ExpressRoute 使用的概觀。 Microsoft 會公告私人、Microsoft 和公用 (已取代) 對等互連路徑中的路由,並為路由標記適當的社群值。 這麼做的基本原理和社群值的詳細資料如下所述。 不過,Microsoft 不接受任何標記至向 Microsoft 公告之路由的社群值。
針對私人對等互連,如果您在 Azure 虛擬網路上設定自訂 BGP 社群值,您將會在透過 ExpressRoute 向內部部署公告的 Azure 路由上,看到此自訂值和區域 BGP 社群值。
注意
為了讓 Azure 路由顯示區域 BGP 社群值,您必須先設定虛擬網路的自訂 BGP 社群值。
針對 Microsoft 對等互連,您會透過 ExpressRoute 連線至地緣政治區域內任何一個對等互連位置的 Microsoft。 您也可以存取地緣政治界限內所有區域的所有 Microsoft 雲端服務。
例如,如果您在阿姆斯特丹透過 ExpressRoute 連接到 Microsoft,您可以存取在北歐和西歐裝載的所有 Microsoft 雲端服務。
如需地理政治地區、相關聯的 Azure 區域和對應的 ExpressRoute 對等互連位置的詳細清單,請參閱 ExpressRoute 合作夥伴和對等互連位置 網頁。
您可以針對每個地理政治區域購買多個 ExpressRoute 循環。 如果擁有多個連線,您即可因為異地備援而有明顯的高可用性優勢。 若您具有多個 ExpressRoute 循環,您會從 Microsoft 收到同一組有關 Microsoft 對等互連路徑的前置詞。 此設定會導致從您的網路到 Microsoft 的多個路徑。 此設定可能會導致在您的網路中做出次佳的路由決策。 因此,您可能會遇到次佳的不同服務連線體驗。 您可以依賴社群值來做出適當的路由決策,以提供最佳路由給使用者。
| Microsoft Azure 區域 | 區域 BGP 社群 (私人對等互連) | 區域 BGP 社群 (Microsoft 對等互連) | 儲存體 BGP 社群 | SQL BGP 社群 | Azure Cosmos DB BGP 社群 | 備份 BGP 社群 |
|---|---|---|---|---|---|---|
| 北美洲 | ||||||
| 美國東部 | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| 美國東部 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| 美國西部 | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| 美國西部 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| 美國西部 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| 美國中西部 | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| 美國中北部 | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| 美國中南部 | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| 美國中部 | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| 加拿大中部 | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| 加拿大東部 | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| 南美洲 | ||||||
| 巴西南部 | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| 歐洲 | ||||||
| 北歐 | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| 西歐 | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| 英國南部 | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| 英國西部 | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| 法國中部 | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| 法國南部 | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| 瑞士北部 | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| 瑞士西部 | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| 德國北部 | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| 德國中西部 | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| 挪威東部 | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| 挪威西部 | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| 亞太地區 | ||||||
| 東亞 | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| 東南亞 | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| 日本 | ||||||
| 日本東部 | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| 日本西部 | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| 澳大利亞 | ||||||
| 澳大利亞東部 | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| 澳大利亞東南部 | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| 澳洲政府 | ||||||
| 澳大利亞中部 | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| 澳大利亞中部 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| 印度 | ||||||
| 印度南部 | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| 印度西部 | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| 印度中部 | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| 南韓 | ||||||
| 韓國南部 | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| 南韓中部 | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| 南非 | ||||||
| 南非北部 | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| 南非西部 | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| 阿拉伯聯合大公國 | ||||||
| 阿拉伯聯合大公國北部 | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| 阿拉伯聯合大公國中部 | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
所有 Microsoft 公告的路由都會加上適當的社群值。
重要
全域前置詞會加上適當的社群值。
服務對 BGP 的社群值
除了每個區域的 BGP 標記之外,Microsoft 也會根據它們所屬的服務標記前置詞。 此標記僅適用於 Microsoft 對等互連。 下表提供服務與 BGP 社群值的對應。 您可以執行「Get-AzBgpServiceCommunity」Cmdlet 來取得最新值的完整清單。
| 服務 | BGP 社群值 |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| 商務用 Skype Online (2) 和 (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Azure 全域服務 (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| 其他 Office 365 線上服務 (2) | 12076:5100 |
| 適用於身分識別的 Microsoft Defender | 12076:5220 |
| Microsoft PSTN 服務 (5) | 12076:5250 |
(1) Azure 全域服務目前只包括 Azure DevOps。
(2) Microsoft 所需的授權。 請參閱針對 Microsoft 對等互連設定路由篩選。
(3) 此社群也會發佈 Microsoft Teams 服務所需的路由。
(4) CRM Online 支援 Dynamics 8.2 版和以下版本。 針對較高的版本,請選取 Dynamics 部署的區域社群。
(5) Microsoft 對等互連與 PSTN 服務的使用僅限於特定使用案例。 請參閱使用 ExpressRoute 處理 Microsoft PSTN 服務。
注意
Microsoft 不接受任何您在向 Microsoft 通告的路由上設定的 BGP 社群值。
在國家雲端中的 BGP 社群支援
| 國家雲端 Azure 區域 | BGP 社群值 |
|---|---|
| US Gov | |
| US Gov 亞利桑那州 | 12076:51106 |
| US Gov 愛荷華州 | 12076:51109 |
| US Gov 維吉尼亞州 | 12076:51105 |
| US Gov 德克薩斯州 | 12076:51108 |
| US DoD 中部 | 12076:51209 |
| US DoD 東部 | 12076:51205 |
| 中國 | |
| 中國北部 | 12076:51301 |
| 中國東部 | 12076:51302 |
| 中國東部 2 | 12076:51303 |
| 中國北部 2 | 12076:51304 |
| 中國北部 3 | 12076:51305 |
| 國家雲端中的服務 | BGP 社群值 |
|---|---|
| US Gov | |
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| 商務用 Skype Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| 其他 Office 365 Online 服務 | 12076:5200 |
- 21Vianet 區域營運的 Microsoft Azure 對等互連不支援 Office 365 社群。
下一步
設定 ExpressRoute 連線。