Поделиться через

Создание и изменение пирингового соединения для цепи ExpressRoute с помощью портала Azure

В этой статье показано, как создать и управлять конфигурацией маршрутизации для канала ExpressRoute в Azure Resource Manager с помощью портала Azure. Вы также можете проверить статус, обновить, удалить или деактивировать пиринги для ExpressRoute circuit. Если вы хотите использовать другой метод для работы с вашей схемой, выберите статью из следующего списка.

Вы можете настроить частный пиринг и пиринг Майкрософт для канала ExpressRoute. Пиринги можно настраивать в любом порядке. Однако вы должны убедиться, что конфигурация каждого пиринга выполняется по очереди. Дополнительную информацию о доменах маршрутизации и пиринге см. в статье Каналы ExpressRoute и домены маршрутизации.

Схема, показывающая локальную сеть, подключенную к облаку Майкрософт, через канал ExpressRoute.

Prerequisites

  • Прежде чем приступить к настройке, убедитесь, что вы проверили следующие страницы:
  • У вас должен быть активный канал ExpressRoute. Перед продолжением выполните инструкции по созданию канала ExpressRoute и попросите поставщика услуг подключения его активировать. Для настройки пирингов канал ExpressRoute должен быть подготовлен и включен.
  • Если вы планируете использовать общий ключ или хэш MD5, используйте его на обеих сторонах туннеля. Ограничение составляет 25 буквенно-цифровых символов. Специальные символы не поддерживаются.

Эти инструкции распространяются только на каналы от поставщиков, предоставляющих услуги подключения второго уровня. Если ваш поставщик услуг подключения предлагает услуги третьего уровня (обычно это IPVPN, например MPLS), он отвечает за настройку маршрутизации и управление ею.

Important

Мы в настоящее время не рекламируем пиринги, настроенные поставщиками услуг через портал управления службами. Такая возможность будет предоставлена позже. Перед настройкой пирингов BGP уточните информацию у поставщика услуг.

Сетевой пиринг Майкрософт

Этот раздел поможет создать, получить, обновить и (или) удалить конфигурацию пиринга Майкрософт для канала ExpressRoute.

Important

Пиринг Майкрософт каналов ExpressRoute, настроенных до 1 августа 2017 г., будет рекламировать все префиксы служб Microsoft Office через Пиринг Майкрософт, даже если фильтры маршрутов не определены. Пиринг Майкрософт для каналов ExpressRoute, настроенных 1 августа 2017 г. или позднее, не будет объявлять префиксы, пока к каналу не будет присоединен фильтр маршрутов. Для получения дополнительной информации см. раздел Настройка фильтра маршрута для пиринга Microsoft.

Для создания пиринга с Microsoft

  1. Настройте канал ExpressRoute. Прежде чем продолжить, проверьте состояние поставщика, чтобы убедиться, что канал полностью подготовлен поставщиком услуг подключения.

    Если ваш поставщик услуг подключения предлагает управляемые услуги уровня 3, вы можете попросить его включить пиринг с Microsoft. Инструкции в следующих разделах выполнять не нужно. Если же поставщик услуг подключения не управляет маршрутизацией за вас, после создания канала выполните приведенные ниже действия.

    Канал — статус поставщика: не предоставлено

    Снимок экрана, на котором показана страница обзора для демонстрационного канала ExpressRoute с красной рамкой, выделяющей статус поставщика, установленный на "Не настроено".

    Контур — статус поставщика: предоставлено

    Скриншот, показывающий страницу обзора для демонстрационного канала ExpressRoute с выделенной красной рамкой, где параметр

  2. Настройте пиринг Майкрософт для этого канала. Прежде чем продолжить, убедитесь, что у вас есть следующие сведения.

    • Пара подсетей, принадлежащих вам и зарегистрированных в RIR/IRR. Одна подсеть используется для первичной ссылки, а другая будет использоваться для вторичной ссылки. Из каждой из этих подсетей вы назначаете первый доступный ДЛЯ использования IP-адрес маршрутизатору, так как корпорация Майкрософт использует второй доступный IP-адрес для своего маршрутизатора. У вас есть три варианта для этой пары подсетей:
      • IPv4: две подсети /30. Это должны быть допустимые префиксы общедоступного адреса IPv4.
      • IPv6: две подсети /126. Это должны быть допустимые префиксы общедоступного адреса IPv6.
      • Оба: две подсети /30 и две подсети /126.
    • Пиринг Майкрософт позволяет взаимодействовать с общедоступными IP-адресами в сети Майкрософт. Таким образом, конечные точки трафика в локальной сети также должны быть общедоступными. Это часто делается с помощью SNAT.

    Note

    При использовании SNAT рекомендуется использовать общедоступный IP-адрес из диапазона, назначенного первичной или вторичной ссылке. Вместо этого следует использовать другой диапазон общедоступных IP-адресов, назначенных вам и зарегистрированных в региональном реестре Интернета (RIR) или реестре маршрутизации Интернета (IRR). В зависимости от тома вызова этот диапазон может быть как небольшой, как один IP-адрес (представленный как "/32" для IPv4 или "/128" для IPv6).

    • Корректный идентификатор VLAN для установки пиринга. Убедитесь, что ни один другой пиринг в цепи не использует тот же идентификатор VLAN. Для основного и дополнительного соединений необходимо использовать тот же идентификатор виртуальной локальной сети.

    • Номер AS для пиринга. Можно использовать 2-байтовые и 4-байтовые номера AS.

    • Объявленные префиксы: предоставьте список всех префиксов, которые вы планируете объявить во время сеанса BGP. Допускаются только общедоступные префиксы IP-адресов. Если вы планируете отправить набор префиксов, их можно оформить в виде списка, разделенного запятыми. Эти префиксы должны быть зарегистрированы в RIR/IRR на ваше имя.

      Note

      Для каждого настроенного префикса корпорация Майкрософт создает идентификатор проверки. Организация, которая владеет префиксами, будет использовать этот идентификатор для проверки их полномочий для объявления префиксов. Подробные шаги проверки приведены в следующем разделе.

    • Необязательно - Клиент ASN: для объявления префиксов, не зарегистрированных за номером AS пиринга, можно указать номер AS, за которым они зарегистрированы.

    • Имя реестра маршрутизации: вы можете указать RIR/IRR, в котором зарегистрированы номер AS и префиксы.

    • Необязательно. Хэш MD5, если вы решите его использовать.

  3. Вы можете выбрать пиринг, который необходимо настроить, как показано в следующем примере. Выберите строку пиринга Майкрософт.

  4. Настройте пиринг Майкрософт. Задав все параметры, сохраните конфигурацию. На следующем изображении показан пример конфигурации:

    Снимок экрана, где показана конфигурация пиринга Microsoft.

Для проверки объявленных общедоступных префиксов (Предварительный просмотр)

При настройке префиксов общедоступного IP-адреса для анонсирования через BGP корпорация Майкрософт проверяет вашу полномочность на анонсирование этих префиксов. IP-адреса могут принадлежать вашей организации или арендованы третьей стороной с разрешением на использование и объявление. Проверка выполняется путем проверки подписанного цифрового сертификата, связанного с каждым префиксом в отношении соответствующих записей RIR или IRR.

Prerequisites

  1. Организация, которая владеет префиксами, должна создать самозаверяющий сертификат с помощью безопасного закрытого ключа. Для создания этого сертификата можно использовать OpenSSL. Сертификат должен быть включен в раздел примечаний соответствующего RIR/ IRR, связанного с диапазоном IP-адресов.

    # Generate a private key using openssl:

openssl.exe genpkey -algorithm rsa -out privkey.pem -pkeyopt rsa_keygen_bits:4096

# Generate the corresponding public key:

openssl rsa -in privkey.pem -outform PEM -pubout -out pubkey.pem

# Generate a Certificate Signing Request (CSR):

openssl req -new -key privkey.pem -out request.csr

# Generate a self signed public certificate:

openssl x509 -req -days 365 -in request.csr -signkey privkey.pem -out certificate.crt

    Important

    Корпорация Майкрософт никогда не запросит ваш закрытый ключ для проверки, и он никогда не должен быть передан.

  2. Сертификат должен включать:

    • Название организации
    • ASN
    • Диапазон IP-адресов

Авторизация префикса

  1. Используйте закрытый ключ и идентификатор проверки для создания подписи в кодировке Base64 для каждого префикса, указанного в разделе "Объявленные префиксы". Сохраните идентификатор проверки в файл с помощью кодировки UTF-8, обеспечивая отсутствие пробелов или специальных символов.

    Снимок экрана: поле

  2. Отправьте созданную подпись на портал Azure и сохраните конфигурацию.

Note

Если автоматическая проверка завершается ошибкой, как указано в сообщении Требуется проверка, соберите документацию, подтверждающую владение публичными префиксами вашей организации, как зарегистрировано в реестре маршрутизации. Отправьте эти документы, открыв запрос в службу поддержки для проверки вручную.

Просмотр сведений о пиринге Майкрософт

Чтобы просмотреть свойства пиринга Microsoft, выберите строку с нужным пирингом.

Снимок экрана, где показано, как просмотреть свойства пиринга Microsoft.

Обновление конфигурации пиринга Майкрософт

Вы можете выбрать строку для пиринга, который хотите изменить, затем изменить его свойства и сохранить изменения.

Снимок экрана, где показано, как обновить конфигурацию пиринга Microsoft.

Частный пиринг Azure

Этот раздел поможет вам создать, получить, обновить и (или) удалить конфигурацию частного пиринга Azure для канала ExpressRoute.

Создание частного пиринга Azure

  1. Настройте канал ExpressRoute. Прежде чем продолжить, убедитесь, что канал полностью подготовлен поставщиком услуг подключения.

    Если поставщик услуг подключения предоставляет управляемые службы уровня 3, он может включить для вас частный пиринг Azure. Инструкции в следующих разделах выполнять не нужно. Если же поставщик услуг подключения не управляет маршрутизацией за вас, после создания канала сделайте следующее.

    Канал — статус поставщика: не предоставлено

    Снимок экрана, показывающий страницу Обзор для демонстрационной линии ExpressRoute с красной рамкой, выделяющей статус поставщика, у которого указано значение 'Не настроено'.

    Контур — статус поставщика: предоставлено

    Снимок экрана, показывающий страницу обзора для демонстрационного канала ExpressRoute, где красной рамкой выделено состояние поставщика, установленное как

  2. Настройте для канала частный пиринг Azure. Прежде чем продолжить, убедитесь в наличии следующих элементов:

    • Пара подсетей, которые не являются частью какого-либо диапазона адресов, зарезервированного для виртуальных сетей. Одна подсеть используется для первичной ссылки, а другая будет использоваться для вторичной ссылки. Из каждой из этих подсетей вы назначаете первый доступный ДЛЯ использования IP-адрес маршрутизатору, так как корпорация Майкрософт использует второй доступный IP-адрес для своего маршрутизатора. У вас есть три варианта для этой пары подсетей:
      • IPv4: две подсети /30.
      • IPv6: две подсети /126.
      • Оба: две подсети /30 и две подсети /126.
    • Корректный идентификатор VLAN для установки пиринга. Убедитесь, что ни один другой пиринг в цепи не использует тот же идентификатор VLAN. Для основного и дополнительного соединений необходимо использовать тот же идентификатор виртуальной локальной сети.
    • Номер AS для пиринга. Можно использовать 2-байтовые и 4-байтовые номера AS. Можно использовать частный номер AS для этого пиринга, за исключением номеров с 65515 по 65520 включительно.
    • Вам нужно прорекламировать маршруты от локального Edge маршрутизатора к Azure через BGP при настройке частного пиринга.
    • Необязательно. Хэш MD5, если вы решите его использовать.

  3. Выберите строку частного пиринга Azure, как показано в следующем примере.

    Скриншот, на котором показано, как выбрать строку частного пиринга.

  4. Настройте частный пиринг. Задав все параметры, сохраните конфигурацию.

Просмотр сведений о частном пиринге Azure

Чтобы посмотреть свойства частного пиринга Azure, выберите нужный пиринг.

Снимок экрана, где показано, как просмотреть свойства частного пиринга.

Обновление конфигурации частного пиринга Azure

Вы можете выбрать строку для пиринга и изменить свойства пиринга. После обновления сохраните изменения.

Снимок экрана, где показано, как обновить конфигурацию частного пиринга.

Очистка ресурсов

Удаление пиринга Майкрософт

Конфигурацию пиринга Майкрософт можно удалить, щелкнув пиринг правой кнопкой мыши и выбрав Удалить, как показано на следующем изображении:

Снимок экрана, где показано, как удалить пиринг Microsoft.

Чтобы удалить частный пиринг Azure

Конфигурацию частного пиринга можно удалить, щелкнув пиринг правой кнопкой мыши и выбрав Удалить, как показано на следующем изображении:

Warning

Перед запуском этой операции обязательно убедитесь, что все виртуальные сетевые подключения и подключения Global Reach к ExpressRoute удалены.

Снимок экрана, где показано, как удалить частный пиринг.

Дальнейшие шаги

После настройки частного пиринга Azure можно создать шлюз ExpressRoute, чтобы связать виртуальную сеть с каналом.

Настройка шлюза виртуальной сети для ExpressRoute

  • Last updated on