Configuration requise pour le routage ExpressRoute

Pour vous connecter aux services cloud Microsoft à l’aide d’ExpressRoute, vous devez configurer et gérer le routage. Certains fournisseurs de connectivité proposent la configuration et la gestion du routage comme un service géré. Vérifiez auprès de votre fournisseur de connectivité s’il offre ce service. Si ce n’est pas le cas, vous devez respecter les conditions suivantes :

Pour obtenir une description des sessions de routage qui doivent être configurées afin d’établir la connectivité, reportez-vous à l’article Circuits et domaines de routage.

Notes

Microsoft ne prend pas en charge les protocoles de redondance de routeur comme les protocoles HSRP ou VRRP pour les configurations à haute disponibilité. Nous nous appuyons sur une paire de sessions BGP par peering pour la haute disponibilité.

Adresses IP utilisées pour le peering

Vous devez réserver quelques blocs d’adresses IP pour configurer le routage entre votre réseau et les routeurs Microsoft Enterprise Edge (MSEE). Cette section fournit une liste des conditions requises et décrit les règles relatives à la façon dont ces adresses IP doivent être acquises et utilisées.

Adresses IP utilisées pour le peering privé Azure

Pour configurer le peering, vous pouvez utiliser des adresses IP privées ou publiques. La plage d’adresses utilisée pour configurer des routages ne peut pas chevaucher les plages d’adresses utilisées pour des réseaux virtuels dans Azure.

  • IPv4 :
    • Vous devez réserver un sous-réseau /29 ou deux sous-réseaux /30 pour les interfaces de routage.
    • Les sous-réseaux utilisés pour le routage peuvent être des adresses IP privées ou publiques.
    • Les sous-réseaux ne doivent pas entrer en conflit avec la plage réservée par le client pour une utilisation dans le cloud Microsoft.
    • Si un sous-réseau /29 est utilisé, il est divisé en deux sous-réseaux /30.
      • Le premier sous-réseau /30 est utilisé pour la liaison principale, et le second sous-réseau /30 est utilisé pour la liaison secondaire.
      • Pour chacun des sous-réseaux /30, vous devez utiliser la première adresse IP du sous-réseau /30 pour votre routeur. Microsoft utilise la deuxième adresse IP du sous-réseau /30 pour configurer une session BGP.
      • Vous devez configurer les deux sessions BGP pour que le contrat SLA de disponibilité soit valide.
  • IPv6 :
    • Vous devez réserver un sous-réseau /125 ou deux sous-réseaux /126 pour les interfaces de routage.
    • Les sous-réseaux utilisés pour le routage peuvent être des adresses IP privées ou publiques.
    • Les sous-réseaux ne doivent pas entrer en conflit avec la plage réservée par le client pour une utilisation dans le cloud Microsoft.
    • Si un sous-réseau /125 est utilisé, il est divisé en deux sous-réseaux /126.
      • Le premier sous-réseau /126 est utilisé pour la liaison principale, et le second sous-réseau /126 est utilisé pour la liaison secondaire.
      • Pour chacun des sous-réseaux /126, vous devez utiliser la première adresse IP du sous-réseau /126 pour votre routeur. Microsoft utilise la deuxième adresse IP du sous-réseau /126 pour configurer une session BGP.
      • Vous devez configurer les deux sessions BGP pour que le contrat SLA de disponibilité soit valide.

Exemple pour le peering privé

Si vous choisissez d’utiliser un sous-réseau a.b.c.d/29 pour configurer le peering, il est divisé en deux sous-réseaux /30. Dans l’exemple suivant, notez que le sous-réseau a.b.c.d/29 est utilisé :

  • a.b.c.d/29 est scindé en a.b.c.d/30 et a.b.c.d+4/30, puis transmis à Microsoft via les API d’approvisionnement.
    • Utilisez a.b.c.d+1 comme adresse IP VRF pour le PE principal et Microsoft utilisera a.b.c.d+2 comme adresse IP VRF pour le routeur MSEE principal.
    • Utilisez a.b.c.d+5 comme adresse IP VRF pour le PE secondaire et Microsoft utilisera a.b.c.d+6 comme adresse IP VRF pour le routeur MSEE secondaire.

Imaginez que vous sélectionnez 192.168.100.128/29 pour configurer le peering privé. 192.168.100.128/29 inclut les adresses de 192.168.100.128 à 192.168.100.135, parmi lesquelles :

  • 192.168.100.128/30 est attribué à link1, le fournisseur utilisera 192.168.100.129, tandis que Microsoft utilisera 192.168.100.130.
  • 192.168.100.132/30 est attribué à link2, le fournisseur utilisera 192.168.100.133, tandis que Microsoft utilisera 192.168.100.134.

Adresses IP utilisées pour le peering Microsoft

Vous devez utiliser des adresses IP publiques que vous possédez pour configurer les sessions BGP. Microsoft doit être en mesure de vérifier la propriété des adresses IP via les Registres Internet de routage régional (RIR) et les Registres Internet de routage (IRR).

  • Les adresses IP répertoriées dans le portail pour les préfixes publics publiés pour le peering Microsoft créent les listes de contrôle d’accès pour les routeurs principaux Microsoft pour autoriser le trafic entrant à partir de ces adresses IP.
  • Vous devez utiliser un sous-réseau unique /29 (IPv4) ou /125 (IPv6), ou bien deux sous-réseaux /30 (IPv4) ou /126 (IPv6) afin de configurer le peering BGP pour chaque peering par circuit ExpressRoute, si vous en avez plusieurs.
  • Si un sous-réseau /29 est utilisé, il est divisé en deux sous-réseaux /30.
  • Le premier sous-réseau /30 est utilisé pour la liaison principale, et le second sous-réseau /30 est utilisé pour la liaison secondaire.
  • Pour chacun des sous-réseaux /30, vous devez utiliser la première adresse IP du sous-réseau /30 sur votre routeur. Microsoft utilise la deuxième adresse IP du sous-réseau /30 pour configurer une session BGP.
  • Si un sous-réseau /125 est utilisé, il est divisé en deux sous-réseaux /126.
  • Le premier sous-réseau /126 est utilisé pour la liaison principale, et le second sous-réseau /126 est utilisé pour la liaison secondaire.
  • Pour chacun des sous-réseaux /126, vous devez utiliser la première adresse IP du sous-réseau /126 sur votre routeur. Microsoft utilise la deuxième adresse IP du sous-réseau /126 pour configurer une session BGP.
  • Vous devez configurer les deux sessions BGP pour que notre contrat SLA de disponibilité soit valide.

Spécification d’adresse IP publique

Peering privé

Vous pouvez choisir d’utiliser des adresses IPv4 publiques ou privées pour le peering privé. Nous fournissons une isolation de bout en bout du trafic. Ainsi, le chevauchement des adresses avec d’autres clients n’est pas possible pour le peering privé. Ces adresses ne sont pas publiées sur Internet.

Peering Microsoft

Le chemin d’accès de peering Microsoft vous permet de vous connecter aux services de cloud computing Microsoft. La liste des services comprend les services Microsoft 365, notamment Exchange Online, SharePoint Online, Skype Entreprise et Microsoft Teams. Microsoft prend en charge la connectivité bidirectionnelle sur le peering Microsoft. Le trafic destiné aux services de cloud Microsoft doit utiliser des adresses IPv4 publiques valides avant leur entrée sur le réseau Microsoft.

Assurez-vous que votre adresse IP et votre numéro AS sont enregistrés à votre nom dans l’un des registres ci-dessous :

Si vos préfixes et le numéro AS ne vous sont pas affectés dans les registres précédents, vous devez ouvrir un dossier de support pour valider manuellement vos préfixes et votre numéro AS. La prise en charge requiert un document, tel qu’une lettre d’autorisation, qui prouve que vous êtes autorisé à utiliser ce préfixe.

Un numéro AS privé est autorisé avec le peering Microsoft, mais nécessite une validation manuelle. Nous supprimons également les numéros AS privés dans le chemin AS PATH pour les préfixes reçus. En conséquence, vous ne pouvez pas ajouter de numéros AS privés au chemin AS PATH pour influencer le routage pour le peering Microsoft. En outre, les numéros AS 64496-64511 réservés par IANA pour la documentation ne sont pas autorisés dans le chemin d’accès.

Important

Ne publiez pas le même itinéraire d’adresse IP publique sur l’Internet public et sur ExpressRoute. Pour réduire tout risque de configuration incorrecte pouvant entraîner un routage asymétrique, nous recommandons vivement que lesadresses IP NAT transmises à Microsoft via ExpressRoute proviennent d’une plage qui n’est pas du tout publiée sur Internet. Si ce n’est pas possible, il est essentiel de vous assurer d’utiliser une plage plus spécifique via ExpressRoute que celle sur la connexion Internet. En plus de la route publique pour NAT, vous pouvez publier sur ExpressRoute les adresses IP publiques utilisées par les serveurs de votre réseau local, qui communiquent avec des points de terminaison Microsoft 365 dans Microsoft.

Échange de routage dynamique

L’échange de routage s’effectue via le protocole eBGP. Des sessions EBGP sont établies entre les MSEE et les routeurs. L’authentification des sessions BGP n’est pas obligatoire. Si nécessaire, un hachage MD5 peut être configuré. Pour plus d’informations sur la configuration des sessions BGP, consultez Configuration du routage et Workflows d’approvisionnement du circuit et états du circuit.

Numéros système autonomes (ASN)

Microsoft utilise le numéro AS 12076 pour les peerings publics Azure, privés Azure et Microsoft. Nous avons réservé les numéros AS 65515 à 65520 pour un usage interne. Les numéros AS 16 bits et 32 bits sont pris en charge.

Il n’existe aucune exigence concernant une symétrie de transfert des données. Les chemins d’envoi et de réception peuvent transiter par différentes paires de routeurs. Les routages identiques doivent être publiés des deux côtés sur plusieurs paires de circuits vous appartenant. Les métriques de routage n’ont pas à être identiques.

Agrégation de routages et limites de préfixes

ExpressRoute prend en charge jusqu’à 4000 préfixes IPv4 et 100 préfixes IPv6 que Microsoft propose via le peering privé Azure. Cette limite peut être augmentée jusqu’à 10 000 préfixes IPv4 si le module complémentaire ExpressRoute premium est activé. ExpressRoute accepte jusqu’à 200 préfixes par session BGP pour les peerings publics Azure et Microsoft.

La session BGP s’arrête si le nombre de préfixes dépasse la limite. ExpressRoute accepte les routages par défaut uniquement sur le lien de peering privé. Le fournisseur doit filtrer les adresses IP de routage et privées par défaut (RFC 1918) des chemins de peering public Azure et Microsoft.

Routage de transit et routage entre régions

ExpressRoute ne peut pas être configuré comme des routeurs de transit. Vous devez compter sur votre fournisseur de connectivité pour les services de routage de transit.

Publication des routages par défaut

Les routages par défaut sont autorisés uniquement sur les sessions de peering privé Azure. Dans cette situation, ExpressRoute achemine tout le trafic des réseaux virtuels associés vers votre réseau. La publication de routages par défaut dans le peering privé entraîne le blocage du chemin Internet à partir d’Azure. Vous devez compter sur votre matériel edge d’entreprise afin d’acheminer le trafic depuis et vers Internet pour les services hébergés dans Azure.

Certains services ne sont pas accessibles à partir de votre périphérie d’entreprise. Pour activer la connectivité à d’autres services Azure et services d’infrastructure, vous devez utiliser le routage défini par l’utilisateur pour autoriser la connectivité Internet pour chaque sous-réseau nécessitant une connectivité Internet pour ces services.

Remarque

La publication des routages par défaut arrête Windows et toute autre activation de licence de machine virtuelle. Pour une solution de contournement, consultez Utiliser des itinéraires définis par l’utilisateur pour activer l’activation KMS.

Prise en charge des communautés BGP

Cette section fournit une vue d'ensemble de l'utilisation des communautés BGP avec ExpressRoute. Microsoft publie des routages sur les chemins de peering privés, Microsoft et publics (déconseillé) avec des routages marqués à l’aide des valeurs de communauté appropriées. La logique de cette procédure et les détails concernant les valeurs de la communauté sont décrits ainsi. Cependant, Microsoft ignore toutes les valeurs de communauté marquées pour des itinéraires qui lui sont proposés.

Pour le peering privé, si vous configurez une valeur de communauté BGP personnalisée sur vos réseaux virtuels Azure, vous verrez cette valeur personnalisée et une valeur de communauté BGP régionale sur les itinéraires Azure annoncés sur votre réseau local sur ExpressRoute.

Remarque

Pour que les routes Azure montrent des valeurs de la communauté BGP régionale, vous devez d’abord configurer la valeur de la communauté BGP personnalisée pour le réseau virtuel.

Pour le peering Microsoft, vous vous connectez à Microsoft via ExpressRoute à n’importe quel emplacement de peering au sein d’une région géopolitique. Vous avez également accès à tous les services cloud Microsoft dans toutes les régions dans la limite géopolitique.

Par exemple, si vous êtes connecté à Microsoft à Amsterdam via ExpressRoute, vous avez accès à tous les services de cloud Microsoft hébergés dans les régions Europe Nord et Europe Ouest.

Reportez-vous à la page Partenaires ExpressRoute et emplacements de peering pour obtenir une liste détaillée des régions géopolitiques, des régions Azure associées et des emplacements de peering ExpressRoute correspondants.

Vous pouvez acheter plusieurs circuits ExpressRoute par région géopolitique. Le fait de disposer de plusieurs connexions vous offre des avantages significatifs en termes de haute disponibilité en raison de la redondance géographique. Si vous avez plusieurs circuits ExpressRoute, vous recevez le même jeu de préfixes publiés par Microsoft sur les chemins du Peering Microsoft. Cette configuration entraîne plusieurs chemins d’accès de votre réseau vers Microsoft. Cette configuration risque de vous faire prendre des décisions de routage non optimales au sein de votre réseau. Et par conséquent, vous risquez de rencontrer des problèmes de connectivité non optimale avec différents services. Vous pouvez compter sur les valeurs fournies par la communauté pour prendre les bonnes décisions en matière de routage et offrir un routage optimal aux utilisateurs.

Région Microsoft Azure Communauté BGP régionale (peering privé) Communauté BGP régionale (peering Microsoft) Communauté BGP de stockage Communauté BGP SQL Communauté BGP Azure Cosmos DB Communauté BGP de sauvegarde
Amérique du Nord
USA Est 12076:50004 12076:51004 12076:52004 12076:53004 12076:54004 12076:55004
USA Est 2 12076:50005 12076:51005 12076:52005 12076:53005 12076:54005 12076:55005
USA Ouest 12076:50006 12076:51006 12076:52006 12076:53006 12076:54006 12076:55006
USA Ouest 2 12076:50026 12076:51026 12076:52026 12076:53026 12076:54026 12076:55026
USA Ouest 3 12076:50044 12076:51044 12076:52044 12076:53044 12076:54044 12076:55044
Centre-USA Ouest 12076:50027 12076:51027 12076:52027 12076:53027 12076:54027 12076:55027
Centre-Nord des États-Unis 12076:50007 12076:51007 12076:52007 12076:53007 12076:54007 12076:55007
États-Unis - partie centrale méridionale 12076:50008 12076:51008 12076:52008 12076:53008 12076:54008 12076:55008
USA Centre 12076:50009 12076:51009 12076:52009 12076:53009 12076:54009 12076:55009
Centre du Canada 12076:50020 12076:51020 12076:52020 12076:53020 12076:54020 12076:55020
Est du Canada 12076:50021 12076:51021 12076:52021 12076:53021 12076:54021 12076:55021
Amérique du Sud
Brésil Sud 12076:50014 12076:51014 12076:52014 12076:53014 12076:54014 12076:55014
Europe
Europe Nord 12076:50003 12076:51003 12076:52003 12076:53003 12076:54003 12076:55003
Europe Ouest 12076:50002 12076:51002 12076:52002 12076:53002 12076:54002 12076:55002
Sud du Royaume-Uni 12076:50024 12076:51024 12076:52024 12076:53024 12076:54024 12076:55024
Ouest du Royaume-Uni 12076:50025 12076:51025 12076:52025 12076:53025 12076:54025 12076:55025
France Centre 12076:50030 12076:51030 12076:52030 12076:53030 12076:54030 12076:55030
France Sud 12076:50031 12076:51031 12076:52031 12076:53031 12076:54031 12076:55031
Suisse Nord 12076:50038 12076:51038 12076:52038 12076:53038 12076:54038 12076:55038
Suisse Ouest 12076:50039 12076:51039 12076:52039 12076:53039 12076:54039 12076:55039
Allemagne Nord 12076:50040 12076:51040 12076:52040 12076:53040 12076:54040 12076:55040
Allemagne Centre-Ouest 12076:50041 12076:51041 12076:52041 12076:53041 12076:54041 12076:55041
Norvège Est 12076:50042 12076:51042 12076:52042 12076:53042 12076:54042 12076:55042
Norvège Ouest 12076:50043 12076:51043 12076:52043 12076:53043 12076:54043 12076:55043
Asie-Pacifique
Asie Est 12076:50010 12076:51010 12076:52010 12076:53010 12076:54010 12076:55010
Asie Sud-Est 12076:50011 12076:51011 12076:52011 12076:53011 12076:54011 12076:55011
Japon
Japon Est 12076:50012 12076:51012 12076:52012 12076:53012 12076:54012 12076:55012
OuJapon Est 12076:50013 12076:51013 12076:52013 12076:53013 12076:54013 12076:55013
Australie
Australie Est 12076:50015 12076:51015 12076:52015 12076:53015 12076:54015 12076:55015
Sud-Australie Est 12076:50016 12076:51016 12076:52016 12076:53016 12076:54016 12076:55016
Secteur public australien
Centre de l’Australie 12076:50032 12076:51032 12076:52032 12076:53032 12076:54032 12076:55032
Centre de l’Australie 2 12076:50033 12076:51033 12076:52033 12076:53033 12076:54033 12076:55033
Inde
Sud de l’Inde 12076:50019 12076:51019 12076:52019 12076:53019 12076:54019 12076:55019
Inde Ouest 12076:50018 12076:51018 12076:52018 12076:53018 12076:54018 12076:55018
Inde Centre 12076:50017 12076:51017 12076:52017 12076:53017 12076:54017 12076:55017
Corée
Corée du Sud 12076:50028 12076:51028 12076:52028 12076:53028 12076:54028 12076:55028
Centre de la Corée 12076:50029 12076:51029 12076:52029 12076:53029 12076:54029 12076:55029
Afrique du Sud
Afrique du Sud Nord 12076:50034 12076:51034 12076:52034 12076:53034 12076:54034 12076:55034
Afrique du Sud Ouest 12076:50035 12076:51035 12076:52035 12076:53035 12076:54035 12076:55035
Émirats Arabes Unis
Émirats arabes unis Nord 12076:50036 12076:51036 12076:52036 12076:53036 12076:54036 12076:55036
Émirats arabes unis Centre 12076:50037 12076:51037 12076:52037 12076:53037 12076:54037 12076:55037

Tous les routages publiés par Microsoft sont marqués avec la valeur de communauté appropriée.

Important

Les préfixes globaux sont marqués avec une valeur de communauté appropriée.

Service associé à la valeur de communauté BGP

En plus de la balise BGP pour chaque région, Microsoft marque également les préfixes en fonction du service auquel ils appartiennent. Ce balisage ne s’applique qu’au peering Microsoft. Le tableau suivant fournit un mappage d’un service à la valeur de communauté BGP. Vous pouvez exécuter l’applet de commande « Get-AzBgpServiceCommunity » pour obtenir la liste complète des valeurs les plus récentes.

Service Valeur de communauté BGP
Exchange Online (2) 12076:5010
SharePoint Online (2) 12076:5020
Skype Entreprise Online (2) et (3) 12076:5030
CRM Online (4) 12076:5040
Services globaux Azure (1) 12076:5050
Microsoft Entra ID 12076:5060
Azure Resource Manager 12076:5070
Autres services Office 365 Online (2) 12076:5100
Microsoft Defender pour Identity 12076:5220
Services RTC Microsoft (5) 12076:5250

(1) Pour le moment, les services globaux Azure incluent uniquement Azure DevOps.

(2) Autorisation requise de Microsoft. Voir Configurer des filtres de routage pour le peering Microsoft.

(3) Cette communauté publie également les itinéraires nécessaires pour les services Microsoft Team.

(4) CRM Online prend en charge Dynamics v8.2 et versions antérieures. Pour les versions ultérieures, sélectionnez la communauté régionale pour vos déploiements Dynamics.

(5) L’utilisation du peering Microsoft avec les services RTC est limitée à des cas d’usage spécifiques. Voir Utilisation d’ExpressRoute pour les services RTC Microsoft.

Remarque

Microsoft ignore les valeurs de communauté BGP définies sur les itinéraires proposés à Microsoft.

Support de la communauté BGP dans les clouds nationaux

Région Azure pour les clouds nationaux Valeur de communauté BGP
Gouvernement américain
Gouvernement des États-Unis – Arizona 12076:51106
US Gov Iowa 12076:51109
Gouvernement américain - Virginie 12076:51105
Gouvernement des États-Unis – Texas 12076:51108
Centre des États-Unis – US DoD 12076:51209
Est des États-Unis – US DoD 12076:51205
Chine
Chine du Nord 12076:51301
Chine orientale 12076:51302
Chine orientale 2 12076:51303
Chine Nord 2 12076:51304
Chine Nord 3 12076:51305
Service dans les clouds nationaux Valeur de communauté BGP
Gouvernement américain
Exchange Online 12076:5110
SharePoint Online 12076:5120
Skype Entreprise Online 12076:5130
Microsoft Entra ID 12076:5160
Autres services Office 365 en ligne 12076:5200
  • Les communautés Office 365 ne sont pas prises en charge sur le peering Microsoft pour la région Microsoft Azure géré par 21Vianet.

Étapes suivantes