Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо настроить маршрутизацию и управлять ими. Некоторые поставщики услуг подключения предлагают настройку маршрутизации как управляемой службы и управление этой службой. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу. В противном случае необходимо выполнить требования, указанные ниже:
См. в статье Каналы ExpressRoute и домены маршрутизации описание сеансов маршрутизации, которые необходимо настроить для облегчения подключения.
Примечание.
Корпорация Майкрософт не поддерживает протоколы избыточности маршрутизатора, такие как HSRP или VRRP для конфигураций высокой доступности. Для обеспечения высокой доступности мы используем избыточную пару сеансов BGP на каждый пиринг.
IP-адреса, используемые для пирингового взаимодействия
Для настройки маршрутизации между сетью и концевыми маршрутизаторами Microsoft Enterprise (MSEE) необходимо зарезервировать несколько блоков IP-адресов. В этом разделе приводится список требований и описание правил получения и использования этих IP-адресов.
IP-адреса, используемые для частного пиринга Azure
Для настройки пиринга можно использовать частные IP-адреса или общедоступные IP-адреса. Диапазон адресов, используемый для настройки маршрутов, не может перекрываться с диапазонами адресов, используемыми для виртуальных сетей в Azure.
- IPv4:
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
/29или две подсети/30. - В качестве используемых подсетей можно использовать либо частные, либо общедоступные IP-адреса.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
- Если используется
/29подсеть, она разделяется на две/30подсети.- Первая подсеть
/30используется в качестве основной ссылки, а вторая подсеть/30— в качестве дополнительной. - Для каждой
/30подсети необходимо использовать первый IP-адрес/30подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания по доступности считалось действительным.
- Первая подсеть
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
- IPv6:
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
/125или две подсети/126. - В качестве используемых подсетей можно использовать либо частные, либо общедоступные IP-адреса.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
- Если используется
/125подсеть, она разделяется на две/126подсети.- Первая подсеть
/126используется в качестве основной ссылки, а вторая подсеть/126— в качестве дополнительной. - Для каждой
/126подсети необходимо использовать первый IP-адрес/126подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания по доступности считалось действительным.
- Первая подсеть
- Для маршрутизации интерфейсов необходимо зарезервировать подсеть
Пример для частного пиринга
Если вы решили использовать a.b.c.d/29 для настройки пиринга, пиринг будет разделен на две /30 подсети. В следующем примере обратите внимание, как используется подсеть a.b.c.d/29.
-
a.b.c.d/29делится наa.b.c.d/30иa.b.c.d+4/30и передается Майкрософт через API предоставления.- Вы используете
a.b.c.d+1в качестве IP-адреса VRF для основного PE, а Майкрософт используетa.b.c.d+2в качестве IP-адреса VRF для основного MSEE. - Вы используете
a.b.c.d+5в качестве IP-адреса VRF для вторичного PE, а Майкрософт используетa.b.c.d+6в качестве IP-адреса VRF для вторичного MSEE.
- Вы используете
Представьте, что вы выбрали 192.168.100.128/29 для настройки частной пиринговой сети.
192.168.100.128/29 включает адреса в диапазоне от 192.168.100.128 до 192.168.100.135, причем:
-
192.168.100.128/30назначаетсяlink1, где используется поставщик192.168.100.129и корпорация Майкрософт192.168.100.130. -
192.168.100.132/30назначаетсяlink2, где используется поставщик192.168.100.133и корпорация Майкрософт192.168.100.134.
IP-адреса, используемые для подключения к Microsoft
Для настройки сеансов BGP используйте принадлежащие вам общедоступные IP-адреса. У Майкрософт должна быть возможность проверить владельца IP-адреса по региональному интернет-реестру или интернет-реестру маршрутизации.
- IP-адреса, перечисленные на портале в разделе объявленных общедоступных префиксов для пиринга с Microsoft, формируют ACL (списки управления доступом) для основных маршрутизаторов Microsoft, чтобы разрешить входящий трафик из этих IP-адресов.
- Для настройки пиринга BGP для каждой цепи ExpressRoute, если у вас более одной, необходимо использовать уникальную подсеть
/29(IPv4) или/125(IPv6), или две подсети/30(IPv4) или/126(IPv6). - Если используется
/29подсеть, она разделяется на две/30подсети. - Первая подсеть
/30используется в качестве основной ссылки, а вторая подсеть/30— в качестве дополнительной. - Для каждой из подсетей
/30необходимо передать в маршрутизатор первый IP-адрес подсети/30. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Если используется
/125подсеть, она разделяется на две/126подсети. - Первая подсеть
/126используется в качестве основной ссылки, а вторая подсеть/126— в качестве дополнительной. - Для каждой из подсетей
/126необходимо передать в маршрутизатор первый IP-адрес подсети/126. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Для того чтобы наше соглашение об уровне доступности было действительно, необходимо настроить оба сеанса BGP.
Использование общедоступного IP-адреса
Частный пиринг
Для частного пиринга можно использовать как частные, так и общедоступные адреса IPv4. Мы обеспечиваем полную изоляцию вашего трафика, поэтому перекрытие адресов с другими клиентами невозможно при использовании частного пиринга. Эти адреса не объявляются в Интернете.
Пиринговое соединение с Майкрософт
Путь подключения через пиринг Майкрософт позволяет подключаться к облачным сервисам Майкрософт. В список этих служб входят службы Microsoft 365, такие как Exchange Online, SharePoint Online, Skype для бизнеса и Microsoft Teams. Корпорация Майкрософт поддерживает двустороннее подключение через пиринг Майкрософт. Входящий трафик облачных служб Майкрософт перед попаданием в сеть Майкрософт должен пройти через действительные общедоступные IPv4-адреса.
Убедитесь, что ваш IP-адрес и число AS зарегистрированы на ваше имя в одном из следующих реестров:
Если префиксы и номер AS не присвоены вам в предыдущих реестрах, нужно отправить запрос в службу поддержки, чтобы специалисты вручную проверили ваши префиксы и ASN. Им потребуется документация, например доверенность, которая доказывает, что вам разрешено использовать этот префикс.
Использование частного номера AS разрешено при пиринге с Microsoft, но требует ручной проверки. Кроме того, в атрибуте AS PATH для полученных префиксов удаляются частные номера AS. Вследствие этого вы не можете добавлять частные номера AS в AS PATH, чтобы влиять на маршрутизацию для Microsoft Peering. Дополнительно, в пути не допускаются номера AS 64496–64511, зарезервированные IANA для документации.
Внимание
Не объявляйте один и тот же маршрут общедоступных IP-адресов в публичном Интернете и через ExpressRoute. Чтобы снизить риск неправильной конфигурации, которая приводит к асимметричной маршрутизации, мы настоятельно рекомендуем, чтобы IP-адреса NAT, объявленные для Майкрософт через ExpressRoute, были из диапазона, который вообще не объявляется в Интернете. Если этого нельзя добиться, то очень важно убедиться, что вы объявляете более конкретный диапазон через ExpressRoute чем тот, который объявлен в Интернете. Кроме общедоступного маршрута для NAT, вы можете объявить через ExpressRoute общедоступные IP-адреса, которые используются сетевыми серверами, взаимодействующими с конечными точками Microsoft 365 в корпорации Microsoft.
Динамический обмен маршрутами
Обмен маршрутизацией выполняется по протоколу eBGP. Сессии EBGP устанавливаются между MSEEs и вашими маршрутизаторами. Проверка подлинности сеансов BGP не является обязательным требованием. При необходимости можно настроить хэш MD5. Смотрите разделы Настройка маршрутизации и Рабочие процессы для подготовки каналов и состояния каналов для получения информации о настройке сеансов BGP.
Номера автономных систем (ASN)
Майкрософт использует AS 12076 для общедоступного Azure, частного Azure и пиринга Microsoft. Номера AS с 65515 по 65520 зарезервированы для внутреннего использования. Поддерживаются 16-разрядные и 32-разрядные номера AS.
Требования к симметрии передачи данных не предъявляются. Прямые и обратные пути могут проходить по разным парам маршрутизаторов. С обеих сторон в нескольких парах цепей, принадлежащих вам, должны быть объявлены идентичные маршруты. Метрики маршрутов не обязательно должны быть идентичными.
Агрегация маршрутов и ограничения префиксов
ExpressRoute поддерживает до 4000 префиксов IPv4 и 100 префиксов IPv6, переданных Microsoft через закрытый пиринг Azure. Это ограничение может быть увеличено до 10 000 префиксов IPv4, если надстройка ExpressRoute premium включена. ExpressRoute принимает до 200 префиксов на сеанс BGP для подключения к общедоступному Azure и пиринга с Microsoft.
Если количество префиксов превысит лимит, сеанс BGP будет сброшен. ExpressRoute принимает маршруты по умолчанию только через соединение частного пиринга. Поставщик должен отфильтровывать маршрут по умолчанию и частные IP-адреса (RFC 1918) из путей общедоступного пиринга Azure и пиринга Майкрософт.
Транзитная и межрегиональная маршрутизация
ExpressRoute нельзя настроить как транзитные маршрутизаторы. Необходимо полагаться на поставщика подключений для служб транзитной маршрутизации.
Объявление маршрутов по умолчанию
На сеансах частного пиринга Azure разрешены только маршруты по умолчанию. В таком случае ExpressRoute направляет весь трафик из связанных виртуальных сетей в сеть. Объявление маршрутов по умолчанию в частный пиринг приводит к блокировке пути к интернету от Azure. Для направления входящего и исходящего интернет-трафика служб, размещенных в Azure, используйте ресурсы своей корпоративной сети.
Некоторые службы недоступны с сетевого периметра вашей компании. Чтобы включить подключение к другим службам Azure и службам инфраструктуры, необходимо использовать определяемую пользователем маршрутизацию, чтобы разрешить подключение к Интернету для каждой подсети, требующей подключения к Интернету для этих служб.
Примечание.
Реклама маршрутов по умолчанию приведет к сбою активации лицензий Windows и других виртуальных машин. Для получения информации об обходном решении см. об использовании определяемых пользователем маршрутов для включения активации KMS.
Поддержка сообществ BGP
В этом разделе представлен обзор использования сообществ BGP с ExpressRoute. Майкрософт объявляет маршруты в частных, майкрософтовских и общедоступных (устаревших) путях пиринга с маршрутами, отмеченными соответствующими значениями сообщества. Обоснование этого и подробные сведения о ценностях сообщества описываются следующим образом. Однако корпорация Майкрософт не учитывает никакие значения сообщества, помеченные маршрутами, рекламируемыми Майкрософтом.
Если вы настроите пользовательское значение BGP-сообщества в ваших виртуальных сетях Azure, то увидите это пользовательское значение и региональное значение сообщества BGP на маршрутах Azure, объявляемых в ваши локальные сети через ExpressRoute.
Примечание.
Чтобы маршруты Azure отображали региональные значения сообщества BGP, сначала необходимо настроить настраиваемое значение сообщества BGP для виртуальной сети.
Для пиринга Майкрософт вы подключаетесь к Microsoft, используя ExpressRoute, в одной из точек пиринга в геополитическом регионе. У вас также есть доступ ко всем облачным службам Майкрософт во всех регионах в пределах геополитической границы.
Например, если вы подключены к Microsoft в Амстердаме через ExpressRoute, у вас есть доступ ко всем облачным службам Майкрософт, размещенным в Северной Европе и Западной Европе.
Для получения подробного списка геополитических регионов, связанных регионов Azure и соответствующих пиринговых узлов ExpressRoute см. страницу Партнеры и пиринговые узлы ExpressRoute.
Вы можете приобрести несколько схем ExpressRoute на каждый геополитический регион. Наличие множественных подключений благодаря геоизбыточности предоставляет вам значительные преимущества в плане высокой доступности. В случаях, когда у вас несколько каналов ExpressRoute, вы получаете один и тот же набор префиксов, рекламируемых Microsoft на путях пиринга. Эта конфигурация приводит к нескольким путям из сети в Корпорацию Майкрософт. Эта настройка может привести к тому, что решения о неоптимальной маршрутизации могут приниматься в вашей сети. а значит, подключение к некоторым службам может оказаться недостаточно надежным. Значения сообществ помогут вам правильно сделать выбор и обеспечить своим пользователям оптимальную маршрутизацию.
| Регион Microsoft Azure | Региональное сообщество BGP (частный пиринг) | Региональное сообщество BGP (пиринг Майкрософта) | BGP-сообщество хранилищ | Сообщество SQL BGP | Сообщество BGP Azure Cosmos DB | Сообщество резервного копирования BGP |
|---|---|---|---|---|---|---|
| Северная Америка | ||||||
| Восточная часть США | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| Восточная часть США 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| западная часть США | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| западная часть США 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| Запад США 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| Центрально-западная часть США | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| Центрально-северная часть США | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| Центрально-южная часть США | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| Центральная часть США | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Центральная Канада | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Восточная Канада | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| Южная Америка | ||||||
| Южная Бразилия | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Европа | ||||||
| Северная Европа | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Западная Европа | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| южная часть Соединенного Королевства | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| западная часть Соединенного Королевства | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Центральная Франция | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Франция (юг) | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Северная Швейцария | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Западная Швейцария | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Северная Германия | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Центрально-Западная Германия | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Восточная Норвегия; | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Западная Норвегия | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Азиатско-Тихоокеанский регион | ||||||
| Восточная Азия | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Юго-Восточная Азия | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Япония | ||||||
| Восточная Япония | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Западная Япония | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Австралия | ||||||
| Восточная Австралия | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Юго-Восточная часть Австралии | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Государственные организации Австралии | ||||||
| Центральная Австралия | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Центральная Австралия 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| Индия | ||||||
| Южная Индия | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| Западная Индия | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| Центральная Индия | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Республика Корея | ||||||
| Корея (юг) | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Республика Корея, центральный регион | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| ЮАР | ||||||
| Северная часть ЮАР | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Западная часть ЮАР | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| ОАЭ | ||||||
| Северная часть ОАЭ; | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| Центральная часть ОАЭ | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Все маршруты, объявленные корпорацией Майкрософт, помечены соответствующим значением сообщества.
Внимание
В глобальные префиксы добавляется соответствующее значение сообщества.
Значение для сообщества BGP
Помимо тега BGP для каждого региона, корпорация Майкрософт также тегирует префиксы на основе службы, к которой они относятся. Этот тег применяется только к пирингу Майкрософт. В следующей таблице представлено сопоставление услуги со значением сообщества BGP. Вы можете выполнить командлет Get-AzBgpServiceCommunity, чтобы получить полный список последних значений.
| Служба | Значение сообщества BGP |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype для бизнеса Online (2) и (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Глобальные службы Azure (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Другие веб-службы Office 365 (2) | 12076:5100 |
| Microsoft Defender для идентичности | 12076:5220 |
| Службы ОТС Microsoft (5) | 12076:5250 |
(1) Глобальные службы Azure включают только Azure DevOps в настоящее время.
(2) Требуется авторизация от Корпорации Майкрософт. См. Настройка фильтров маршрутов для Microsoft Peering.
(3) Это сообщество также публикует необходимые маршруты для служб Microsoft Teams.
(4) CRM Online поддерживает Dynamics версии 8.2 и ниже. Для более новых версий выберите региональное сообщество для внедрений Dynamics.
(5) Использование Microsoft Peering с услугами PSTN ограничивается определёнными случаями. См. Использование ExpressRoute для служб общедоступной телефонной сети (PSTN) Майкрософт.
Примечание.
Майкрософт не учитывает установленные вами значения сообществ BGP в маршрутах, объявленных для Майкрософт.
Поддержка BGP-сообществ в национальных облачных решениях
| Регион Azure для национальных облаков | Значение сообщества BGP |
|---|---|
| Правительство США | |
| Правительство США (Аризона) | 12076:51106 |
| Правительство США Айова | 12076:51109 |
| Правительство США (Вирджиния) | 12076:51105 |
| US Gov (Техас) | 12076:51108 |
| Центральное командование Министерства обороны США | 12076:51209 |
| Восточный регион US DoD | 12076:51205 |
| Китай | |
| Северный Китай | 12076:51301 |
| Восточный Китай | 12076:51302 |
| Восточный Китай 2 | 12076:51303 |
| Северный Китай 2 | 12076:51304 |
| Северный Китай 3 | 12076:51305 |
| Служба в национальных облаках | Значение сообщества BGP |
|---|---|
| Правительство США | |
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype для бизнеса Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| Другие онлайн-службы Office 365 | 12076:5200 |
- Сообщества Office 365 не поддерживаются через пиринг Microsoft для Microsoft Azure в регионе, управляемом 21Vianet.
Следующие шаги
Настройте подключение ExpressRoute.