ExpressRoute のルーティングの要件
ExpressRoute を使用して Microsoft クラウド サービスに接続するには、ルーティングを設定して管理する必要があります。 一部の接続プロバイダーでは、ルーティングのセットアップと管理が管理されたサービスとして提供されています。 このサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。 提供されていない場合は、次の要件に従う必要があります。
接続を容易にするために設定する必要があるルーティング セッションの説明については、回線とルーティング ドメインに関する記事をご覧ください。
Note
Microsoft では、高可用性構成のためのルーター冗長化プロトコル (HSRPまたはVRRP など) をサポートしていません。 代わりに、ピアリングごとの BGP セッションの冗長ペアに依存して高可用性を実現します。
ピアリングに使用する IP アドレス
ネットワークと Microsoft のエンタープライズ エッジ (MSEE) ルーター間のルーティングを構成するには、IP アドレスのいくつかのブロックを予約する必要があります。 このセクションでは、要件の一覧を示すと共に、これらの IP アドレスを取得および使用する方法に関する規則について説明します。
Azure プライベート ピアリングに使用する IP アドレス
ピアリングは、プライベート IP アドレスまたはパブリック IP アドレスを使用して構成できます。 ルートを構成するために使用されるアドレス範囲は、Azure で仮想ネットワークに使用されるアドレス範囲と重複することはできません。
- :
- ルーティング インターフェイス用に、1 つの
/29サブネットまたは 2 つの/30サブネットを予約する必要があります。 - ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
- サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
/29サブネットを使用すると、2 つの/30サブネットに分割されます。- 最初の
/30サブネットはプライマリ リンクに、2 つ目の/30サブネットはセカンダリ リンクに使用します。 - それぞれの
/30サブネットに対し、/30サブネットの最初の IP アドレスをルーターに使用する必要があります。 Microsoft は、/30サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションを設定する必要があります。
- 最初の
- ルーティング インターフェイス用に、1 つの
- :
- ルーティング インターフェイス用に、1 つの
/125サブネットまたは 2 つの/126サブネットを予約する必要があります。 - ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
- サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
/125サブネットを使用すると、2 つの/126サブネットに分割されます。- 最初の
/126サブネットはプライマリ リンクに、2 つ目の/126サブネットはセカンダリ リンクに使用します。 - それぞれの
/126サブネットに対し、/126サブネットの最初の IP アドレスをルーターに使用する必要があります。 Microsoft は、/126サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションを設定する必要があります。
- 最初の
- ルーティング インターフェイス用に、1 つの
プライベート ピアリング用の例
a.b.c.d/29 を使用してピアリングを設定することを選択した場合、このサブネットは 2 つの /30 サブネットに分割されます。 次の例では、a.b.c.d/29 サブネットの使用方法に注意してください。
a.b.c.d/29は、a.b.c.d/30とa.b.c.d+4/30に分割され、プロビジョニング API を介して Microsoft に渡されます。a.b.c.d+1をプライマリ PE の VRF IP として使用すると、Microsoft はa.b.c.d+2をプライマリ MSEE の VRF IP として使用します。a.b.c.d+5をセカンダリ PE の VRF IP として使用すると、Microsoft はa.b.c.d+6をセカンダリ MSEE の VRF IP として使用します。
ここで、192.168.100.128/29 を選択してプライベート ピアリングをセットアップするとします。 192.168.100.128/29 には、192.168.100.128 ~ 192.168.100.135 の範囲のアドレスが含まれています。この中で、
192.168.100.128/30はlink1に割り当てられ、プロバイダーは192.168.100.129を使用し、Microsoft は192.168.100.130を使用します。192.168.100.132/30はlink2に割り当てられ、プロバイダーは192.168.100.133を使用し、Microsoft は192.168.100.134を使用します。
Microsoft ピアリングに使用する IP アドレス
ユーザーは、所有しているパブリック IP アドレスを使用して BGP セッションをセットアップする必要があります。 Microsoft は、ルーティング インターネット レジストリおよびインターネット ルーティング レジストリを介して IP アドレスの所有権を確認できる必要があります。
- ポータルの、Microsoft ピアリング用に公開されたパブリック プレフィックスの一覧に表示されている IP アドレスによって、これらの IP から送信される受信トラフィックを許可する Microsoft コア ルーターの ACL が作成されます。
- ユーザーは、一意のサブネット (IPv4 の場合は
/29、IPv6 の場合は/125) または 2 つのサブネット (IPv4 の場合は/30、IPv6 の場合は/126) サブネットを使用して、複数ある場合は、ExpressRoute 回線ごとにそれぞれのピアリングの BGP ピアリングを設定する必要があります。 /29サブネットを使用すると、2 つの/30サブネットに分割されます。- 最初の
/30サブネットはプライマリ リンクに、2 つ目の/30サブネットはセカンダリ リンクに使用します。 - それぞれの
/30サブネットに対し、ルーター上で/30サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 /125サブネットを使用すると、2 つの/126サブネットに分割されます。- 最初の
/126サブネットはプライマリ リンクに、2 つ目の/126サブネットはセカンダリ リンクに使用します。 - それぞれの
/126サブネットに対し、ルーター上で/126サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/126サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。 - 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。
パブリック IP アドレス要件
プライベート ピアリング
パブリックまたはプライベート IPv4 アドレスをプライベート ピアリングに使用することもできます。 プライベート ピアリングでは他の顧客とのアドレスの重複が発生しないように、トラフィックのエンド ツー エンドの分離が提供されます。 これらのアドレスはインターネットには公開されません。
Microsoft ピアリング
Microsoft ピアリング パスを使用して、Microsoft クラウド サービスに接続できます。 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business、Microsoft Teams などの Microsoft 365 サービスが含まれます。 Microsoft では、Microsoft ピアリングで双方向接続をサポートしています。 Microsoft クラウド サービスに送信されるトラフィックが Microsoft ネットワークに入るには、有効なパブリック IPv4 アドレスを使用している必要があります。
以下のレジストリのいずれかで IP アドレスと AS 番号が自分に登録されていることを確認します。
上記のレジストリでプレフィックスと AS 番号が自分に割り当てられていない場合は、プレフィックスと ASN を手動で検証するためにサポート ケースを開く必要があります。 サポートを受けるには、そのプレフィックスの使用が許可されていることを証明するドキュメント (たとえば、認可状) が必要になります。
Microsoft ピアリングではプライベート AS 番号を使用できますが、手動による検証も必要になります。 さらに、受信したプレフィックスの AS PATH からプライベート AS 番号が削除されます。 その結果、Microsoft ピアリングのルーティングを制御するために、AS PATH にプライベート AS 番号を付加できません。 また、IANA によってドキュメント用に予約されている AS 番号 64496 から 64511 は、パスには使用できません。
重要
パブリック インターネット向けと ExpressRoute 経由で同じパブリック IP ルートをアドバタイズしないでください。 非対称ルーティングの原因となる間違った構成のリスクを減らすために、ExpressRoute 経由で Microsoft にアドバタイズされる NAT IP アドレス は、インターネットにまったくアドバタイズされない範囲のものにすることを強くお勧めします。 これを実現するのが不可能な場合は、インターネット接続の範囲よりもさらに具体的な ExpressRoute 経由の範囲をアドバタイズしていることを確認する必要があります。 NAT 用のパブリック ルートに加えて、Microsoft 内の Microsoft 365 エンドポイントと通信するオンプレミスのネットワーク内のサーバーによって使用されるパブリック IP アドレスを ExpressRoute 経由でアドバタイズすることもできます。
動的なルート交換
ルーティングの交換は eBGP プロトコル上で実行されます。 MSEE とルーターとの間に EBGP セッションが確立されます。 BGP セッションの認証は必須ではありません。 必要に応じて、MD5 ハッシュを構成することができます。 BGP セッションの構成については、ルーティングの構成に関する記事および回線のプロビジョニング ワークフローと回線の状態に関する記事をご覧ください。
自律システム番号 (ASN)
Microsoft は、Azure パブリック、Azure プライベート、および Microsoft ピアリングのために AS 12076 を使用します。 ASN 65515 ~ 65520 は、内部使用のために予約されています。 16 ビットと 32 ビットの両方の AS 番号がサポートされています。
データ転送の対称性に関する要件はありません。 転送パスとリターン パスは、異なるルーター ペアを通過することができます。 同じルートについては、自分に属している複数の回線ペアのどちらかの側からアドバタイズする必要があります。 ルートのメトリックは同一である必要はありません。
ルート集約とプレフィックスの制限
Azure ExpressRoute では、Azure プライベート ピアリングを介して Microsoft に公開されるプレフィックスは、最大で IPv4 の場合は 4,000 個、IPv6 の場合は 100 個がサポートされます。 ExpressRoute Premium アドオンが有効になっている場合、この制限は、IPv4 ではこのプレフィックスを最大 10,000 個まで増やすことができます。 Azure ExpressRouteでは、Azure パブリックおよび Microsoft ピアリングの場合、BGP セッションあたり最大で 200 個のプレフィックスを使用できます。
プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。 Azure ExpressRoute では、デフォルト ルートは、プライベート ピアリング リンクのみで使用できます。 プロバイダーは、Azure パブリック パスと Microsoft ピアリング パスからデフォルト ルートおよびプライベート IP アドレス (RFC 1918) をフィルターで除外する必要があります。
トランジット ルーティングおよびリージョン間ルーティング
ExpressRoute をトランジット ルーターとして構成することはできません。 トランジット ルーティング サービスについては、接続プロバイダーに依存する必要があります。
デフォルト ルートのアドバタイズ
デフォルト ルートは、Azure プライベート ピアリング セッションでのみ許可されます。 その場合、Azure ExpressRoute では、関連付けられている仮想ネットワークからのすべてのトラフィックをユーザーのネットワークにルーティングします。 プライベート ピアリングにデフォルト ルートを公開すると、Azure からのインターネット パスがブロックされます。 Azure でホストされるサービスのトラフィックをインターネットとの間で送受信するには、会社のエッジに依存する必要があります。
一部のサービスは、企業向けエッジからアクセスできません。 他の Azure サービスとインフラストラクチャ サービスへの接続を有効にするには、これらのサービスのためのインターネット接続を必要とするすべてのサブネットに対して、ユーザー定義ルーティングを使用してインターネット接続を許可する必要があります。
Note
デフォルト ルートをアドバタイズすると、Windows VM や他の VM のライセンス認証が破棄されます。 回避策の詳細については、「ユーザー定義ルートを使用して KMS アクティブ化を有効にする」を参照してください。
BGP コミュニティのサポート
ここでは、ExpressRoute で BGP コミュニティがどのように使用されるかについて概説します。 Microsoft は、プライベート、Microsoft、およびパブリック (非推奨) のピアリング パスのルートに適切なコミュニティ値をタグ付けして公開します。 その理由とコミュニティ値の詳細については以下のように説明しています。 ただし、Microsoft は、Microsoft に公開されるルートにタグ付けされたすべてのコミュニティ値を無視します。
プライベート ピアリングの場合、Azure 仮想ネットワークでカスタム BGP コミュニティ値を構成すると、このカスタム値とリージョン BGP コミュニティ値が、ExpressRoute でオンプレミスに公開された Azure ルート上で確認されます。
Note
Azure ルートでリージョン BGP コミュニティ値を表示するには、まず仮想ネットワークのカスタム BGP コミュニティ値を構成する必要があります。
Microsoft ピアリングの場合、地政学的リージョン内の任意のピアリング場所で ExpressRoute 経由で Microsoft に接続しています。 また、地政学的境界内のすべてのリージョンにわたって、すべての Microsoft クラウド サービスにアクセスできます。
たとえば、ExpressRoute を介してアムステルダムの Microsoft に接続している場合、北ヨーロッパと西ヨーロッパでホストされているすべての Microsoft クラウド サービスにアクセスできます。
地理的リージョン、関連付けられている Azure リージョン、および対応する ExpressRoute のピアリングの場所の詳細な一覧については、「 ExpressRoute パートナーとピアリングの場所 」を参照してください。
地理的リージョンごとに複数の ExpressRoute 回線を購入できます。 複数の接続を持つことで、geo 冗長性による高可用性が確保される大きなメリットがあります。 複数の ExpressRoute 回線がある場合、Microsoft ピアリング パスで Microsoft から公開されたプレフィックスの同じセットを受け取ります。 この構成により、ネットワークから Microsoft への複数のパスが作成されます。 この設定は、ネットワーク内で十分に最適化されないルーティングの決定が行われる可能性があることを示します。 その結果、さまざまなサービスの接続エクスペリエンスが十分に最適化されない可能性があります。 ユーザーは、このコミュニティ値に依存して、最適なルーティングをユーザーに提供するための適切なルーティングの決定を行うことができます。
| Microsoft Azure リージョン | リージョン BGP コミュニティ (プライベート ピアリング) | リージョン BGP コミュニティ (Microsoft ピアリング) | ストレージ BGP コミュニティ | SQL BGP コミュニティ | Azure Cosmos DB BGP コミュニティ | バックアップ BGP コミュニティ |
|---|---|---|---|---|---|---|
| 北米 | ||||||
| 米国東部 | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| 米国東部 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| 米国西部 | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| 米国西部 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| 米国西部 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| 米国中西部 | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| 米国中北部 | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| 米国中南部 | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| 米国中部 | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| カナダ中部 | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| カナダ東部 | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| 南アメリカ | ||||||
| ブラジル南部 | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| ヨーロッパ | ||||||
| 北ヨーロッパ | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| 西ヨーロッパ | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| 英国南部 | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| 英国西部 | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| フランス中部 | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| フランス南部 | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| スイス北部 | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| スイス西部 | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| ドイツ北部 | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| ドイツ中西部 | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| ノルウェー東部 | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| ノルウェー西部 | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| アジア太平洋 | ||||||
| 東アジア | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| 東南アジア | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| 日本 | ||||||
| 東日本 | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| 西日本 | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| オーストラリア | ||||||
| オーストラリア東部 | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| オーストラリア南東部 | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| オーストラリア政府 | ||||||
| オーストラリア中部 | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| オーストラリア中部 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| インド | ||||||
| インド南部 | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| インド西部 | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| インド中部 | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| 韓国 | ||||||
| 韓国南部 | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| 韓国中部 | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| 南アフリカ | ||||||
| 南アフリカ北部 | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| 南アフリカ西部 | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| アラブ首長国連邦 | ||||||
| アラブ首長国連邦北部 | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| アラブ首長国連邦中部 | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Microsoft から公開されるすべてのルートには、適切なコミュニティ値がタグ付けされます。
重要
グローバル プレフィックスは、適切なコミュニティ値でタグ付けされます。
BGP コミュニティ値へのサービス
各リージョンの BGP タグに加えて、Microsoft では、属しているサービスに基づいてプレフィックスもタグ付けします。 このタグ付けは、Microsoft ピアリングにのみ適用されます。 次の表に、サービスと BGP コミュニティ値のマッピングを示します。 最新の値の完全な一覧を表示するには、Get-AzBgpServiceCommunity コマンドレットを実行します。
| サービス | BGP コミュニティ値 |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype For Business Online (2) and (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Azure Global Services (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| その他の Office 365 Online サービス (2) | 12076:5100 |
| Microsoft Defender for Identity | 12076:5220 |
| Microsoft PSTN サービス (5) | 12076:5250 |
(1) 現在のところ、Azure Global Services には、Azure DevOps のみが含まれています。
(2) Microsoft の承認が必要です。 Microsoft ピアリングでのルート フィルターの構成に関する記事をご覧ください。
(3) このコミュニティでは、Microsoft Teams サービスに必要なルートも発行されます。
(4) CRM Online では、Dynamics v8.2 以下をサポートしています。 より新しいバージョンの場合は、Dynamics デプロイのリージョン コミュニティを選択してください。
(5) PSTN サービスとの Microsoft ピアリングの使用は、特定のユース ケースに限定されます。 「Microsoft PSTN サービスでの ExpressRoute の使用」をご覧ください。
Note
Microsoft は、Microsoft にアドバタイズされるルートに設定されたすべての BGP コミュニティ値を無視します。
National Clouds の BGP コミュニティのサポート
| National Clouds Azure リージョン | BGP コミュニティ値 |
|---|---|
| 米国政府 | |
| US Gov アリゾナ | 12076:51106 |
| US Gov アイオワ | 12076:51109 |
| US Gov バージニア州 | 12076:51105 |
| US Gov テキサス | 12076:51108 |
| US DoD Central | 12076:51209 |
| US DoD East | 12076:51205 |
| 中国 | |
| 中国北部 | 12076:51301 |
| 中国東部 | 12076:51302 |
| 中国東部 2 | 12076:51303 |
| 中国北部 2 | 12076:51304 |
| 中国北部 3 | 12076:51305 |
| National Clouds のサービス | BGP コミュニティ値 |
|---|---|
| 米国政府 | |
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype for Business Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| その他の Office 365 Online サービス | 12076:5200 |
- Office 365 コミュニティは、21Vianet によって運営される Microsoft Azure のリージョンの Microsoft ピアリングではサポートされていません。
次のステップ
ExpressRoute 接続を構成します。