I filtri di route consentono di usare un subset di servizi supportati tramite peering Microsoft. Questo articolo illustra la configurazione e la gestione dei filtri di route per i circuiti ExpressRoute.
I servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online e Skype for Business, sono accessibili tramite peering Microsoft. Quando il peering Microsoft è configurato in un circuito ExpressRoute, tutti i prefissi correlati a questi servizi vengono annunciati tramite le sessioni BGP. Ogni prefisso ha un valore della community BGP per identificare il servizio offerto. Per un elenco dei valori della community BGP e dei relativi servizi corrispondenti, vedere Community BGP.
La connessione a tutti i servizi di Azure e Microsoft 365 può comportare un numero elevato di prefissi annunciati tramite BGP, aumentando significativamente le dimensioni delle tabelle di route. Se è necessario solo un subset di servizi offerti tramite peering Microsoft, è possibile ridurre le dimensioni della tabella di route in base a:
- Filtrare i prefissi indesiderati usando i filtri di route nelle community BGP, una pratica di rete comune.
- Definizione dei filtri di route e applicazione al circuito ExpressRoute. Un filtro di route è una risorsa che consente di selezionare i servizi che si prevede di utilizzare tramite il peering Microsoft. I router ExpressRoute inviano solo prefissi per i servizi identificati nel filtro di route.
Informazioni sui filtri di route
Quando il peering Microsoft è configurato nel circuito ExpressRoute, i router perimetrali Microsoft stabiliscono sessioni BGP con i router perimetrali tramite il provider di connettività. Non vengono annunciate route alla rete finché non si associa un filtro di route.
Un filtro di route consente di specificare i servizi che si desidera utilizzare tramite il peering Microsoft del circuito ExpressRoute. Funge da elenco consentito di valori della community BGP. Dopo aver definito e collegato un filtro di route a un circuito ExpressRoute, tutti i prefissi mappati ai valori della community BGP vengono annunciati alla rete.
Per collegare i filtri di route con i servizi di Microsoft 365, è necessario essere autorizzati a utilizzare i servizi di Microsoft 365 tramite ExpressRoute. Se non si è autorizzati, l'operazione per collegare i filtri di route ha esito negativo. Per altre informazioni sul processo di autorizzazione, vedere Azure ExpressRoute per Microsoft 365.
Importante
Il peering Microsoft dei circuiti ExpressRoute configurati prima del 1° agosto 2017 avrà tutti i prefissi del servizio Microsoft Office annunciati tramite peering Microsoft, anche senza filtri di route. Per i circuiti configurati il 1° agosto 2017, non verranno annunciati prefissi finché non viene collegato un filtro di route al circuito.
Prerequisiti
Esaminare i prerequisiti e i flussi di lavoro prima di avviare la configurazione.
- Assicurarsi di disporre di un circuito ExpressRoute attivo con il peering Microsoft configurato. Per istruzioni, vedere:
-
Creare un circuito ExpressRoute ed effettuare il provisioning dal provider di connettività. Il circuito deve trovarsi in uno stato di provisioning e abilitato.
-
Creare il peering Microsoft se si gestisce direttamente la sessione BGP o se il provider di connettività crea il peering Microsoft per il circuito.
- È necessario avere un circuito ExpressRoute attivo, per cui è stato effettuato il provisioning del peering Microsoft. È possibile usare le istruzioni seguenti per eseguire queste attività:
-
Creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. È necessario che sia stato effettuato il provisioning del circuito ExpressRoute e che il circuito sia in stato abilitato.
-
Creare il peering Microsoft se si gestisce direttamente la sessione BGP. In caso contrario, richiedere al provider della connettività di effettuare il provisioning del peering Microsoft per il circuito.
Azure Cloud Shell
Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione |
Esempio/collegamento |
| Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |
|
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale di Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Selezionare Immettere per eseguire il codice o il comando.
- Accedere al proprio account Azure e selezionare la sottoscrizione
Se si utilizza Azure Cloud Shell, l'accesso all'account di Azure viene eseguito automaticamente quando si fa clic su 'Prova'. Per accedere in locale, aprire la console di PowerShell con privilegi elevati ed eseguire il cmdlet per connettersi.
Connect-AzAccount
Se si dispone di più sottoscrizioni, ottenere un elenco delle sottoscrizioni di Azure.
Get-AzSubscription
Specificare la sottoscrizione da utilizzare.
Select-AzSubscription -SubscriptionName "Name of subscription"
Per connettersi correttamente ai servizi tramite il peering Microsoft, è necessario completare la procedura di configurazione seguente:
- È necessario avere un circuito ExpressRoute attivo, per cui è stato effettuato il provisioning del peering Microsoft. È possibile usare le istruzioni seguenti per eseguire queste attività:
-
Creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. È necessario che sia stato effettuato il provisioning del circuito ExpressRoute e che il circuito sia in stato abilitato.
-
Creare il peering Microsoft se si gestisce direttamente la sessione BGP. In caso contrario, richiedere al provider della connettività di effettuare il provisioning del peering Microsoft per il circuito.
Azure Cloud Shell
Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione |
Esempio/collegamento |
| Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |
|
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale di Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Selezionare Immettere per eseguire il codice o il comando.
Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, questa esercitazione richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Per trovare la versione, eseguire az --version. Se è necessario installare o aggiornare, consulta Installazione dell'Azure CLI.
Accedere al proprio account Azure e selezionare la sottoscrizione
Per iniziare la configurazione, accedere al proprio account Azure. Se si usa "Prova", l'accesso viene eseguito automaticamente e si può quindi ignorare il passaggio relativo all'accesso. Per eseguire la connessione, usare gli esempi che seguono:
az login
Controllare le sottoscrizioni per l'account.
az account list
Selezionare la sottoscrizione per la quale si vuole creare un circuito ExpressRoute.
az account set --subscription "<subscription ID>"
Ottenere un elenco di prefissi e di valori di community BGP
Ottenere un elenco di valori della community BGP. Trovare i valori della community BGP associati ai servizi accessibili tramite peering Microsoft nella pagina dei requisiti di routing di ExpressRoute.
Usare il cmdlet seguente per ottenere l'elenco dei valori di community BGP e dei prefissi associati ai servizi accessibili tramite il peering Microsoft:
Get-AzBgpServiceCommunity
Usare il cmdlet seguente per ottenere l'elenco dei valori di community BGP e dei prefissi associati ai servizi accessibili tramite il peering Microsoft:
az network route-filter rule list-service-communities
Creare un elenco dei valori da usare
Elencare i valori della community BGP da usare nel filtro di route.
Creare un filtro di route e una regola di filtro
Un filtro di route può avere una sola regola, che deve essere di tipo Consenti. Questa regola può includere un elenco di valori della community BGP.
Selezionare Crea una risorsa e cercare Filtro route:
Inserire il filtro della route in un gruppo di risorse. Verificare che la posizione corrisponda al circuito ExpressRoute. Selezionare Rivedi e crea e quindi Crea.
Creare una regola di filtro
Per aggiungere e aggiornare le regole, selezionare la scheda della regola gestita per il filtro di route.
Selezionare quindi i servizi a cui connettersi dall'elenco a discesa e salvare la regola.
Un filtro di route può includere una sola regola di tipo Allow. A questa regola può essere associato un elenco di valori di community BGP. Il comando az network route-filter create crea solo una risorsa filtro di route. Dopo aver creato la risorsa, è necessario creare una regola e associarla all'oggetto filtro di route.
Per creare una risorsa filtro di route, eseguire il comando seguente:
New-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup" -Location "West US"
Per creare una regola di filtro di route, eseguire il comando seguente:
$rule = New-AzRouteFilterRuleConfig -Name "Allow-EXO-D365" -Access Allow -RouteFilterRuleType Community -CommunityList 12076:5010,12076:5040
Eseguire il comando seguente per aggiungere la regola di filtro al filtro di route:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.Rules.Add($rule)
Set-AzRouteFilter -RouteFilter $routefilter
Un filtro di route può includere una sola regola di tipo 'Consenti'. A questa regola può essere associato un elenco di valori di community BGP. Il comando az network route-filter create crea solo una risorsa filtro di route. Dopo aver creato la risorsa, è necessario creare una regola e associarla all'oggetto filtro di route.
Per creare una risorsa filtro di route, eseguire il comando seguente:
az network route-filter create -n MyRouteFilter -g MyResourceGroup
Per creare una regola di filtro di route, eseguire il comando seguente:
az network route-filter rule create --filter-name MyRouteFilter -n CRM --communities 12076:5040 --access Allow -g MyResourceGroup
Associare il filtro di route a un circuito ExpressRoute
Collegare il filtro di route a un circuito selezionando il pulsante + Aggiungi circuito e scegliendo il circuito ExpressRoute dall'elenco a discesa.
Se il provider di connettività configura il peering per il circuito ExpressRoute, aggiornare il circuito dalla pagina del circuito ExpressRoute prima di selezionare il pulsante + Aggiungi circuito .
Se si usano solo peer Microsoft, eseguire questo comando per associare il filtro route al circuito ExpressRoute:
$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "MyResourceGroup"
$index = [array]::IndexOf(@($ckt.Peerings.PeeringType), "MicrosoftPeering")
$ckt.Peerings[$index].RouteFilter = $routefilter
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Eseguire il comando seguente per associare il filtro di route al circuito ExpressRoute:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --route-filter MyRouteFilter
Attività comuni
Per ottenere le proprietà di un filtro di route
Visualizzare le proprietà di un filtro di route aprendo la risorsa nel portale.
Per ottenere le proprietà di un filtro di route, seguire questa procedura:
Eseguire il comando seguente per ottenere una risorsa filtro di route:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Eseguire il comando seguente per ottenere le regole di filtro di route per la risorsa filtro di route:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$rule = $routefilter.Rules[0]
Per ottenere le proprietà di un filtro di route, usare il comando seguente:
az network route-filter show -g ExpressRouteResourceGroupName --name MyRouteFilter
Per aggiornare le proprietà di un filtro di route
Aggiornare l'elenco dei valori della community BGP associati a un circuito selezionando il pulsante Gestisci regola .
Selezionare le community di servizi e quindi Salva.
Se il filtro di route è già associato a un circuito, gli aggiornamenti all'elenco di community BGP propagano automaticamente le modifiche agli annunci dei prefissi tramite la sessione BGP stabilita. È possibile aggiornare l'elenco di community BGP del filtro di route con il comando seguente:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.rules[0].Communities = "12076:5030", "12076:5040"
Set-AzRouteFilter -RouteFilter $routefilter
Se il filtro di route è già associato a un circuito, gli aggiornamenti all'elenco di community BGP propagano automaticamente le modifiche agli annunci dei prefissi tramite la sessione BGP stabilita. È possibile aggiornare l'elenco di community BGP del filtro di route con il comando seguente:
az network route-filter rule update --filter-name MyRouteFilter -n CRM -g ExpressRouteResourceGroupName --add communities '12076:5040' --add communities '12076:5010'
Per rimuovere l'associazione di un filtro di route da un circuito ExpressRoute
Scollegare un circuito dal filtro di route facendo clic con il pulsante destro del mouse sul circuito e scegliendo Dissocia.
Dopo aver rimosso l'associazione di un filtro di route dal circuito ExpressRoute, nessun prefisso viene annunciato tramite la sessione BGP. Usare il comando seguente per rimuovere l'associazione di un filtro di route da un circuito ExpressRoute:
$ckt.Peerings[0].RouteFilter = $null
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Dopo aver rimosso l'associazione di un filtro di route dal circuito ExpressRoute, nessun prefisso viene annunciato tramite la sessione BGP. Usare il comando seguente per rimuovere l'associazione di un filtro di route da un circuito ExpressRoute:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --remove routeFilter
Pulire le risorse
Eliminare un filtro di route selezionando il pulsante Elimina . Verificare che il filtro di route non sia associato ad alcun circuito prima di farlo.
Si può eliminare un filtro di route solo se non è associato a un circuito. Assicurarsi che il filtro di route non sia associato a un circuito prima di provare a eliminarlo. È possibile eliminare un filtro di route con il comando seguente:
Remove-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Si può eliminare un filtro di route solo se non è associato a un circuito. Assicurarsi che il filtro di route non sia associato a un circuito prima di provare a eliminarlo. È possibile eliminare un filtro di route con il comando seguente:
az network route-filter delete -n MyRouteFilter -g MyResourceGroup
Passaggi successivi
Per informazioni su esempi di configurazione del router, vedere:
