設定 ExpressRoute 部署的對等互連
ExpressRoute 線路有兩個相關聯的對等互連選項:Azure 私人和 Microsoft。 每個對等互連都會在一對路由器上進行相同的設定 (採用主動-主動或負載共用設定),以達到高可用性。 Azure 服務會分類為 Azure 公用和 Azure 私人,以代表 IP 位址配置。
建立對等互連設定
- 您可以針對 ExpressRoute 線路設定私人對等互連和 Microsoft 對等互連。 您可以依自己選擇的任何順序設定對等互連。 不過,您必須確定您逐一完成各個對等互連的設定。
- 您必須具有作用中的 ExpressRoute 線路。 繼續之前,請要求您的連線提供者啟用該線路。 若要對等互連,ExpressRoute 線路必須處於已佈建及已啟用的狀態。
- 如果您打算使用共用金鑰/MD5 雜湊,請務必在通道的兩側都使用金鑰。 限制上限為 25 個英數字元。 不支援特殊字元。
- 這僅適用於提供第 2 層連線服務的服務提供者所建立的線路。 如果您使用的服務提供者提供受控第 3 層服務 (通常是 IPVPN,如 MPLS),連線提供者即會為您設定和管理路由。
選擇只限私人對等互連、只限 Microsoft 對等互連,或兩者
下表會比較這兩種對等互連。 公用對等互連已被新的對等互連所取代。
| 功能 | 私人對等互連 | Microsoft 對等互連 |
|---|---|---|
| 最大值。 每個對等互連支援 # 個前置詞 | 預設為 4000,ExpressRoute Premium 中為 10000 | 200 |
| 支援的 IP 位址範圍 | 您的 WAN 內任何有效的 IP 位址。 | 您或您的連線提供者所擁有的公用 IP 位址。 |
| AS 編號需求 | 私密和公用 AS 編號。 您必須擁有公用 AS 編號,才能選擇使用其中一個編號。 | 私密和公用 AS 編號。 不過,您必須證明公用 IP 位址的擁有權。 |
| 支援的 IP 通訊協定 | IPv4、IPv6 (預覽) | IPv4、IPv6 |
| 路由介面 IP 位址 | RFC1918 和公用 IP 位址 | 在路由註冊中向您註冊的公用 IP 位址。 |
| MD5 雜湊支援 | 是 | Yes |
您可以在 ExpressRoute 線路中啟用一或多個路由網域。 如果您想要將它們合併成單一路由網域,您可以選擇將所有路由網域放在相同的 VPN 上。 建議的設定是私人對等互連會直接連線到核心網路,而公用和 Microsoft 對等互連連結會連線到您的 DMZ。
每個對等互連都需要個別的 BGP 工作階段 (每個對等互連類型一對)。 BGP 工作階段配對可提供高可用性連結。 如果您要透過第 2 層連線提供者進行連線,您必須負責設定和管理路由。
重要
私人對等互連的 IPv6 支援目前處於公開預覽狀態。 如果您想要將虛擬網路連線到已設定 IPv6 型私人對等互連的 ExpressRoute 線路,請確定您的虛擬網路是雙重堆疊,並遵循適用於 Azure VNet 的 IPv6 指導方針。
設定私人對等互連
部署在虛擬網路中的 Azure 計算服務,即虛擬機器 (IaaS) 和雲端服務 (PaaS),可以透過私人對等互連網域進行連線。 私用對等互連網域是您核心網路到 Microsoft Azure 的受信任延伸。 您可以在核心網路與 Azure 虛擬網路 (VNet) 之間設定雙向連線。 此對等可讓您直接連線到虛擬機器和雲端服務的私人 IP 位址。
您可以將多個虛擬網路連線到私人對等互連網域。 如需有關限制的最新資訊,您可以造訪 Azure 訂用帳戶和服務限制、配額及條件約束頁面。
設定 Microsoft 對等互連
Microsoft 365 原本就設計為可透過網際網路來安全可靠地存取。 因此在特定案例中,建議使用 ExpressRoute。
透過 Microsoft 對等互連產生 Microsoft 線上服務 (Microsoft 365 與 Azure PaaS 服務) 的連線。 您可以透過 Microsoft 對等互連路由網域啟用 WAN 與 Microsoft 雲端服務之間的雙向連線。 您只能透過您或連線提供者所擁有的公用 IP 位址連線到 Microsoft 雲端服務,而且必須遵守所有定義的規則。
設定 Microsoft 對等互連的路由篩選
路由篩選是一種透過 Microsoft 對等互連使用某些支援服務的方式。
Microsoft 365 服務,例如:Exchange Online、SharePoint Online 和商務用 Skype,可透過 Microsoft 對等互連來存取。 在 ExpressRoute 線路中設定 Microsoft 對等互連時,與這些服務相關的所有前置詞都會透過建立的 BGP 工作階段來進行公告。 BGP 社群值附加至每個前置詞,來識別透過前置詞提供的服務。
與所有 Azure 和 Microsoft 365 服務的連線會導致許多前置詞透過 BGP 進行公告。 大量前置詞會大幅增加網路內路由器所維護的路由表大小。 如果您打算只取用透過 Microsoft 對等互連所提供的一組服務,您可以透過兩種方式降低路由表的大小。 您可以:
- 在 BGP 社群上套用路由篩選器,以篩選掉不必要的前置詞。 路由篩選是標準的網路作法,經常在許多網路中使用。
- 定義路由篩選器,並將其套用至您的 ExpressRoute 線路。 路由篩選器是新的資源,可讓您選取您計畫透過 Microsoft 對等互連取用的服務清單。 ExpressRoute 路由器只會傳送屬於路由篩選器中識別之服務的前置詞清單。
關於路由篩選器
在 ExpressRoute 線路上設定 Microsoft 對等互連後,Microsoft Edge 路由器會透過您的連線提供者,建立一組搭配 Edge 路由器使用的 BGP 工作階段。 沒有路由會公告至您的網路。 若要讓路由公告至您的網路,您必須建立與路由篩選的關聯。
路由篩選可讓您識別想要透過 ExpressRoute 線路的 Microsoft 對等互連使用的服務。 這基本上是所有 BGP 社群值的允許清單。 一旦定義路由篩選資源,並且連結至 ExpressRoute 線路,對應到 BGP 社群值的所有前置詞都會公告至您的網路。
若要使用 Microsoft 365 服務連結路由篩選條件,您必須具有透過 ExpressRoute 取用 Microsoft 365 服務的授權。 如果您未獲授權透過 ExpressRoute 取用 Microsoft 365 服務,連結路由篩選器的作業會失敗。
建立路由篩選器和篩選規則
路由篩選器只能有一個規則,且規則的類型必須是 'Allow'。 此規則可以擁有與其相關聯的 BGP 社群值清單。
選取 [建立資源],然後搜尋路由篩選器,如下圖所示:
將路由篩選器放在資源群組中。 請確定位置與 ExpressRoute 線路相同。 選取 [檢閱 + 建立],然後選取 [建立]。
建立篩選規則
若要新增及更新規則,請為路由篩選條件選取 [管理規則] 索引標籤。
從下拉式清單中選取您要連線的服務,並在完成時儲存規則。
將路由篩選器連結至 ExpressRoute 線路
選取 [+ 新增線路] 按鈕,然後從下拉式清單中選取 ExpressRoute 線路,將路由篩選器附加至線路。
如果連線提供者設定 ExpressRoute 線路的對等互連,請先從 ExpressRoute 線路頁面重新整理線路,再選取 [+ 新增線路] 按鈕。
一般工作
取得路由篩選器的屬性
您可以在入口網站中開啟資源時,檢視路由篩選器的屬性。
更新路由篩選器的屬性
您可以選取 [管理規則] 按鈕,以更新附加至線路的 BGP 社群值清單。
選取您想要的服務社群,然後選取 [儲存]。
中斷路由篩選器和 ExpressRoute 線路的連結
若要中斷線路與路由篩選器的連結,請在線路上按一下滑鼠右鍵,然後選取 [解除關聯]。
清除資源
您可以選取 [刪除] 按鈕來刪除路由篩選器。 在執行此動作之前,請確定路由篩選器不會與任何線路產生關聯。
重設對等互連
登入 Azure 入口網站
從瀏覽器移至 Azure 入口網站,然後使用您的 Azure 帳戶登入。
重設對等互連
您可以在 ExpressRoute 線路上分別重設 Microsoft 對等互連和 Azure 私用對等互連。
選擇您想要變更的線路。
選擇您想要重設的對等互連設定。
清除 [啟用對等互連] 核取方塊,然後選取 [儲存],停用對等互連設定。
選取 [啟用對等互連] 核取方塊,然後選取 [儲存] 重新啟用對等互連設定。