Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы подключиться к облачным службам Майкрософт с помощью ExpressRoute, необходимо настроить маршрутизацию и управлять ими. Некоторые поставщики услуг подключения предлагают настройку маршрутизации как управляемой службы и управление этой службой. Узнайте у поставщика услуг подключения, предоставляет ли он такую услугу. Если они этого не делают, необходимо соблюдать следующие требования.
Описание сеансов маршрутизации, которые необходимо настроить для упрощения подключения, см. в разделе " Каналы" и домены маршрутизации.
Примечание.
Корпорация Майкрософт не поддерживает какие-либо протоколы избыточности маршрутизатора, например HSRP или VRRP, для конфигураций высокой доступности. Корпорация Майкрософт использует избыточную пару сеансов BGP на каждое соединение пиринга для обеспечения высокой доступности.
IP-адреса, используемые для пирингового взаимодействия
Для настройки маршрутизации между сетью и концевыми маршрутизаторами Microsoft Enterprise (MSEE) необходимо зарезервировать несколько блоков IP-адресов. В этом разделе представлен список требований и описаны правила, касающиеся того, как необходимо получить и использовать эти IP-адреса.
IP-адреса, используемые для частного пиринга Azure
Для настройки пиринга можно использовать частные IP-адреса или общедоступные IP-адреса. Диапазон адресов, используемый для настройки маршрутов, не может перекрываться с диапазонами адресов, используемыми для виртуальных сетей в Azure.
- IPv4:
- Резервируйте
/29подсеть или две/30подсети для интерфейсов маршрутизации. - Используйте частные IP-адреса или общедоступные IP-адреса для подсетей, используемых для маршрутизации.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
- Если вы используете
/29подсеть, разделите ее на две/30подсети.- Используйте первую
/30подсеть для первичной ссылки и второй/30подсети для вторичной ссылки. - Для каждой
/30подсети используйте первый IP-адрес/30подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания по доступности считалось действительным.
- Используйте первую
- Резервируйте
- IPv6:
- Зарезервируйте
/125подсеть или две/126подсети для интерфейсов маршрутизации. - Используйте частные IP-адреса или общедоступные IP-адреса для подсетей, используемых для маршрутизации.
- Подсети не должны конфликтовать с диапазоном, зарезервированным клиентом для использования в облаке Майкрософт.
- Если вы используете
/125подсеть, разделите ее на две/126подсети.- Используйте первую
/126подсеть для первичной ссылки и второй/126подсети для вторичной ссылки. - Для каждой
/126подсети используйте первый IP-адрес/126подсети для маршрутизатора. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания по доступности считалось действительным.
- Используйте первую
- Зарезервируйте
Пример для частного пиринга
Если вы решили использовать a.b.c.d/29 для настройки пиринга, разделите его на две /30 подсети. В следующем примере обратите внимание, как используется подсеть a.b.c.d/29.
- Разделение
a.b.c.d/29наa.b.c.d/30иa.b.c.d+4/30. Передайте эти подсети корпорации Майкрософт через API предоставления.- Используйте
a.b.c.d+1в качестве IP-адреса VRF для основного PE и Microsoft используетa.b.c.d+2в качестве IP-адреса VRF для основного MSEE. - Используйте
a.b.c.d+5в качестве IP-адреса VRF для дополнительного PE, а Майкрософт используетa.b.c.d+6в качестве IP-адреса VRF для дополнительного MSEE.
- Используйте
Представьте, что вы выбрали 192.168.100.128/29 для настройки частной пиринговой сети.
192.168.100.128/29 включает адреса в диапазоне от 192.168.100.128 до 192.168.100.135, причем:
-
192.168.100.128/30назначаетсяlink1, где используется поставщик192.168.100.129и корпорация Майкрософт192.168.100.130. -
192.168.100.132/30назначаетсяlink2, где используется поставщик192.168.100.133и корпорация Майкрософт192.168.100.134.
IP-адреса, используемые для подключения к Microsoft
Чтобы настроить сеансы BGP, используйте общедоступные IP-адреса, принадлежащие вам. У Майкрософт должна быть возможность проверить владельца IP-адреса по региональному интернет-реестру или интернет-реестру маршрутизации.
- На портале перечислены IP-адреса для рекламируемых общедоступных префиксов для Microsoft Peering. Эти IP-адреса создают списки управления доступом для маршрутизаторов основной сети Майкрософт, чтобы разрешить входящий сетевой трафик из этих IP-адресов.
- Используйте уникальную
/29подсеть (IPv4) или/125(IPv6) или две/30(IPv4) или/126(IPv6) подсети, чтобы настроить пиринг BGP для каждого пирингового канала ExpressRoute, если у вас несколько. - Если вы используете
/29подсеть, разделите ее на две/30подсети. - Используйте первую
/30подсеть для первичной ссылки и второй/30подсети для вторичной ссылки. - Для каждой
/30подсети используйте первый IP-адрес/30подсети на маршрутизаторе. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/30. - Если вы используете
/125подсеть, разделите ее на две/126подсети. - Используйте первую
/126подсеть для первичной ссылки и второй/126подсети для вторичной ссылки. - Для каждой
/126подсети используйте первый IP-адрес/126подсети на маршрутизаторе. Для настройки сеанса BGP Майкрософт использует второй IP-адрес подсети/126. - Необходимо настроить оба сеанса BGP, чтобы соглашение об уровне обслуживания по доступности считалось действительным.
Использование общедоступного IP-адреса
Частный пиринг
Для частного пиринга можно использовать общедоступные или частные IPv4-адреса. Azure обеспечивает полную изоляцию вашего трафика, поэтому пересечение адресов с другими клиентами невозможно при использовании частного пиринга. Эти адреса не объявляются в Интернете.
Пиринговое соединение с Майкрософт
С помощью пути пиринга Майкрософт можно подключиться к облачным службам Майкрософт. Этот список служб включает службы Microsoft 365, такие как Exchange Online, SharePoint Online и Microsoft Teams. Корпорация Майкрософт поддерживает двустороннее подключение через пиринг Майкрософт. Трафик, предназначенный для облачных служб Майкрософт, должен использовать допустимые общедоступные IPv4-адреса, прежде чем он входит в сеть Майкрософт.
Убедитесь, что вы зарегистрированы в качестве владельца IP-адреса и номера AS в одном из следующих реестров:
Если префиксы и номер AS не присвоены вам в предыдущих реестрах, нужно отправить запрос в службу поддержки, чтобы специалисты вручную проверили ваши префиксы и ASN. Им потребуется документация, например доверенность, которая доказывает, что вам разрешено использовать этот префикс.
Вы можете использовать частный номер AS с пирингом Майкрософт, но требуется ручная проверка. Кроме того, Майкрософт удаляет частные номера AS в AS PATH для полученных префиксов. В результате вы не можете добавить частные номера AS в AS PATH, чтобы повлиять на маршрутизацию для пиринга Майкрософт. Кроме того, номера AS 64496–64511, зарезервированные IANA в целях документации, не допускаются в пути.
Внимание
Не объявляйте один и тот же общедоступный IP-маршрут к общедоступному Интернету и через ExpressRoute. Чтобы снизить риск неправильной конфигурации, вызывающей асимметричную маршрутизацию, убедитесь, что IP-адреса NAT, объявленные в Microsoft через ExpressRoute, приходят из диапазона, который вы не рекламируете в Интернете вообще. Убедитесь, что если вы не можете достичь этого условия, вы объявляете более конкретный диапазон через ExpressRoute, чем диапазон на подключении к Интернету. Помимо общедоступного маршрута для NAT, вы также можете объявлять через ExpressRoute общедоступные IP-адреса, используемые серверами в локальной сети, которая взаимодействует с конечными точками Microsoft 365 в Корпорации Майкрософт.
Динамический обмен маршрутами
Обмен маршрутизацией выполняется по протоколу eBGP. MSEEs и ваши маршрутизаторы устанавливают сеансы eBGP. Проверка подлинности сеансов BGP не требуется. При необходимости можно настроить хэш MD5. Дополнительные сведения о настройке сеансов BGP см. в разделе "Настройкарабочих процессов маршрутизации и подготовки каналов" и состояний канала.
Номера автономных систем (ASN)
Корпорация Майкрософт использует AS 12076 для общедоступной и частной сетей Azure, а также для пиринга с Майкрософт. Корпорация Майкрософт резервирует ASN от 65 515 до 65 520 для внутреннего использования. ExpressRoute поддерживает как 16-разрядные, так и 32-разрядные номера AS.
Требования к симметрии передачи данных не предъявляются. Пути вперед и возврата могут проходить по разным парам маршрутизаторов. Вы должны объявлять идентичные маршруты с обеих сторон через несколько пар цепей, которые принадлежат вам. Метрики маршрутов не должны быть идентичными.
Агрегация маршрутов и ограничения префиксов
ExpressRoute поддерживает до 4000 префиксов IPv4 и 100 префиксов IPv6, анонсированных Microsoft через частный пиринг Azure. Это ограничение можно увеличить до 10 000 префиксов IPv4, включив надстройку ExpressRoute premium. ExpressRoute принимает до 200 префиксов на сеанс BGP для общедоступного пиринга с Azure и пиринга с Microsoft.
Сеанс BGP удаляется, если число префиксов превышает ограничение. ExpressRoute принимает маршруты по умолчанию только для приватного пиринга. Необходимо отфильтровать маршруты по умолчанию и частные IP-адреса (RFC 1918) из маршрутов общедоступного и пирингового соединений Azure и Microsoft.
Транзитная и межрегиональная маршрутизация
Вы не можете настроить ExpressRoute в качестве транзитных маршрутизаторов. Необходимо полагаться на поставщика подключений для служб транзитной маршрутизации.
Объявление маршрутов по умолчанию
Маршруты по умолчанию можно объявлять только в частных сеансах пиринга Azure. В этой конфигурации ExpressRoute направляет весь трафик из связанных виртуальных сетей в сеть. Если вы объявляете маршруты по умолчанию в частный пиринг, вы блокируете путь к Интернету из Azure. Для направления входящего и исходящего интернет-трафика служб, размещенных в Azure, используйте ресурсы своей корпоративной сети.
Вы не можете получить доступ к некоторым службам через периферийную сеть вашей компании. Чтобы включить подключение к другим службам Azure и службам инфраструктуры, необходимо использовать определяемую пользователем маршрутизацию, чтобы разрешить подключение к Интернету для каждой подсети, требующей подключения к Интернету для этих служб.
Примечание.
Анонсирование маршрутов по умолчанию прерывает активацию лицензий Windows и других виртуальных машин. Сведения о обходном пути см. в разделе "Использование определяемых пользователем маршрутов" для включения активации KMS.
Поддержка сообществ BGP
В этом разделе представлен обзор работы сообществ BGP с ExpressRoute. Корпорация Майкрософт объявляет маршруты на частных, Microsoft и общедоступных (устаревших) пиринговых путях, помечая их соответствующими значениями сообщества. Обоснование этого и подробные сведения о ценностях сообщества описаны в следующих разделах. Однако корпорация Майкрософт не учитывает какие-либо значения сообщества, помеченные маршрутами, объявленными корпорацией Майкрософт.
Если вы настроите собственное значение сообщества BGP в ваших виртуальных сетях Azure, вы увидите это собственное значение и региональное значение сообщества BGP на маршрутах Azure, объявляемых в вашей локальной сети через ExpressRoute.
Примечание.
Чтобы отобразить региональные значения сообщества BGP на маршрутах Azure, сначала настройте настраиваемое значение сообщества BGP для виртуальной сети.
Для пирингового соединения с Майкрософт вы подключаетесь к Microsoft через ExpressRoute в любой точке пиринга в пределах геополитического региона. У вас также есть доступ ко всем облачным службам Майкрософт во всех регионах в пределах геополитической границы.
Например, если вы подключаетесь к Microsoft в Амстердаме через ExpressRoute, у вас есть доступ ко всем облачным службам Майкрософт, размещенным в Северной Европе и Западной Европе.
Для получения подробного списка геополитических регионов, связанных регионов Azure и соответствующих пиринговых узлов ExpressRoute см. страницу Партнеры и пиринговые узлы ExpressRoute.
Вы можете приобрести несколько схем ExpressRoute на каждый геополитический регион. Наличие множественных подключений благодаря геоизбыточности предоставляет вам значительные преимущества в плане высокой доступности. В случаях, когда у вас несколько каналов ExpressRoute, вы получаете один и тот же набор префиксов, рекламируемых Microsoft на путях пиринга. Эта конфигурация приводит к нескольким путям из сети в Корпорацию Майкрософт. Эта конфигурация может привести к неоптимальным решениям по маршрутизации в сети. В результате вы можете столкнуться с неоптимальным подключением к различным службам. Значения сообществ помогут вам правильно сделать выбор и обеспечить своим пользователям оптимальную маршрутизацию.
| Регион Microsoft Azure | Региональное сообщество BGP (частный пиринг) | Региональное сообщество BGP (пиринг Майкрософта) | BGP-сообщество хранилищ | Сообщество SQL BGP | Сообщество BGP Azure Cosmos DB | Сообщество резервного копирования BGP |
|---|---|---|---|---|---|---|
| Северная Америка | ||||||
| Восточная часть США | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| Восточная часть США 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| западная часть США | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| западная часть США 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| Запад США 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| Центрально-западная часть США | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| Центрально-северная часть США | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| Центрально-южная часть США | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| Центральная часть США | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Центральная Канада | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Восточная Канада | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| Южная Америка | ||||||
| Южная Бразилия | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Европа | ||||||
| Северная Европа | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Западная Европа | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| южная часть Соединенного Королевства | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| западная часть Соединенного Королевства | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Центральная Франция | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Франция (юг) | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Северная Швейцария | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Западная Швейцария | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Северная Германия | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Центрально-Западная Германия | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Восточная Норвегия; | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Западная Норвегия | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Азиатско-Тихоокеанский регион | ||||||
| Восточная Азия | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Юго-Восточная Азия | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Япония | ||||||
| Восточная Япония | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Западная Япония | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Австралия | ||||||
| Восточная Австралия | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Юго-Восточная часть Австралии | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Государственные организации Австралии | ||||||
| Центральная Австралия | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Центральная Австралия 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| Индия | ||||||
| Южная Индия | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| Западная Индия | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| Центральная Индия | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Республика Корея | ||||||
| Корея (юг) | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Республика Корея, центральный регион | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| Новая Зеландия | ||||||
| Северная часть Новой Зеландии | 12076:50059 | 12076:51059 | 12076:52059 | 12076:53059 | 12076:54059 | 12076:55059 |
| ЮАР | ||||||
| Северная часть ЮАР | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Западная часть ЮАР | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| ОАЭ | ||||||
| Северная часть ОАЭ; | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| Центральная часть ОАЭ | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Все маршруты, объявленные корпорацией Майкрософт, включают соответствующий тег значения сообщества.
Внимание
Глобальные префиксы включают соответствующий тег значения сообщества.
Значение для сообщества BGP
Помимо тега BGP для каждого региона, корпорация Майкрософт также тегирует префиксы на основе службы, к которой они относятся. Этот тег применяется только к пирингу Майкрософт. В следующей таблице представлено сопоставление услуги со значением сообщества BGP. Можно запустить Get-AzBgpServiceCommunity командлет для полного списка последних значений.
| Служба | Значение сообщества BGP |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype для бизнеса Online (2) и (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Глобальные службы Azure (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Другие веб-службы Office 365 (2) | 12076:5100 |
| Microsoft Defender для идентичности | 12076:5220 |
| Службы ОТС Microsoft (5) | 12076:5250 |
(1) Глобальные службы Azure включают только Azure DevOps в настоящее время.
(2) Требуется авторизация от Корпорации Майкрософт. См. Настройка фильтров маршрутов для Microsoft Peering.
(3) Это сообщество также публикует необходимые маршруты для служб Microsoft Teams.
(4) CRM Online поддерживает Dynamics версии 8.2 и более ранних версий. Для более новых версий выберите региональное сообщество для внедрений Dynamics.
(5) Использование Microsoft Peering с услугами PSTN ограничивается определёнными случаями. См. Использование ExpressRoute для служб общедоступной телефонной сети (PSTN) Майкрософт.
Примечание.
Корпорация Майкрософт не учитывает какие-либо ценности сообщества BGP, заданные в маршрутах, которые вы объявляете корпорации Майкрософт.
Поддержка BGP community в национальных облачных инфраструктурах
| Регион Azure для национальных облаков | Значение сообщества BGP |
|---|---|
| Правительство США | |
| Правительство США (Аризона) | 12076:51106 |
| Правительство США Айова | 12076:51109 |
| Правительство США (Вирджиния) | 12076:51105 |
| US Gov (Техас) | 12076:51108 |
| Центральное командование Министерства обороны США | 12076:51209 |
| Восточный регион US DoD | 12076:51205 |
| Китай | |
| Северный Китай | 12076:51301 |
| Восточный Китай | 12076:51302 |
| Восточный Китай 2 | 12076:51303 |
| Северный Китай 2 | 12076:51304 |
| Северный Китай 3 | 12076:51305 |
| Служба в национальных облаках | Значение сообщества BGP |
|---|---|
| Правительство США | |
| Обмен онлайн | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype для бизнеса Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| Другие онлайн-службы Office 365 | 12076:5200 |
- Сообщества Office 365 не поддерживаются через пиринг Microsoft для Microsoft Azure в регионе, управляемом 21Vianet.
Следующие шаги
Настройте подключение ExpressRoute.