ExpressRoute-routningskrav

Om du vill ansluta till Microsofts molntjänster med ExpressRoute måste du konfigurera och hantera routning. Vissa anslutningsleverantörer erbjuder konfigurering och hantering av routning som en hanterad tjänst. Fråga din anslutningsleverantör om de erbjuder denna tjänst. Om inte måste du uppfylla följande krav:

Referera till artikeln Kretsar och routningsdomäner för en beskrivning av de routningssessioner som behöver ställas in för att förenkla anslutningen.

Kommentar

Microsoft har inte stöd för några routerredundansprotokoll som HSRP eller VRRP för konfigurationer med hög tillgänglighet. Vi förlitar oss på ett redundant par med BGP-sessioner per peering för hög tillgänglighet.

IP-adresser som används för peering

Du behöver reservera några IP-adressblock för att kunna konfigurera routning mellan ditt nätverk och Microsofts Enterprise-gränsroutrar (MSEE). Det här avsnittet innehåller en lista med krav och en beskrivning av reglerna för hur dessa IP-adresser måste hämtas och användas.

IP-adresser för Azures privata peering

Du kan använda antingen privata IP-adresser eller offentliga IP-adresser för att konfigurera peering. Adressintervallet som används för att konfigurera vägar kan inte överlappa med adressintervall som används för virtuella nätverk i Azure.

  • IPv4:
    • Du måste reservera ett /29 undernät eller två /30 undernät för routningsgränssnitt.
    • Undernät som används för routning kan vara antingen privata IP-adresser eller offentliga IP-adresser.
    • Undernäten får inte stå i konflikt med det intervall som reserverats av kunden för användning i Microsoft-molnet.
    • Om ett /29 undernät används delas det upp i två /30 undernät.
      • Det första /30 undernätet används för den primära länken och det andra /30 undernätet används för den sekundära länken.
      • För vart och ett av undernäten /30 måste du använda den första IP-adressen /30 för undernätet för routern. Microsoft använder undernätets /30 andra IP-adress för att konfigurera en BGP-session.
      • Du måste konfigurera båda BGP-sessionerna för att tillgänglighets-SLA ska vara giltigt.
  • IPv6:
    • Du måste reservera ett /125 undernät eller två /126 undernät för routningsgränssnitt.
    • Undernät som används för routning kan vara antingen privata IP-adresser eller offentliga IP-adresser.
    • Undernäten får inte stå i konflikt med det intervall som reserverats av kunden för användning i Microsoft-molnet.
    • Om ett /125 undernät används delas det upp i två /126 undernät.
      • Det första /126 undernätet används för den primära länken och det andra /126 undernätet används för den sekundära länken.
      • För vart och ett av undernäten /126 måste du använda den första IP-adressen /126 för undernätet för routern. Microsoft använder undernätets /126 andra IP-adress för att konfigurera en BGP-session.
      • Du måste konfigurera båda BGP-sessionerna för att tillgänglighets-SLA ska vara giltigt.

Exempel på privat peering

Om du väljer att använda a.b.c.d/29 för att konfigurera peering delas den upp i två /30 undernät. I följande exempel ser du hur a.b.c.d/29 undernätet används:

  • a.b.c.d/29 delas upp till a.b.c.d/30 och a.b.c.d+4/30 skickas till Microsoft via etablerings-API:erna.
    • Du använder a.b.c.d+1 som VRF IP för den primära PE:en och Microsoft använder a.b.c.d+2 som VRF IP för den primära MSEE:en.
    • Du använder a.b.c.d+5 som VRF IP för den sekundära PE och Microsoft använder a.b.c.d+6 som VRF IP för den sekundära MSEE.

Tänk dig ett fall där du väljer 192.168.100.128/29 att konfigurera privat peering. 192.168.100.128/29 innehåller adresser från 192.168.100.128 till 192.168.100.135, bland vilka:

  • 192.168.100.128/30är tilldelad till link1, med providern som använder 192.168.100.129 och Microsoft med .192.168.100.130
  • 192.168.100.132/30är tilldelad till link2, med providern som använder 192.168.100.133 och Microsoft med .192.168.100.134

IP-adresser för Microsofts peering

Du måste använda offentliga IP-adresser som du äger när du konfigurerar BGP-sessionerna. Microsoft måste kunna verifiera ditt ägarskap till IP-adresserna via RIR (Routing Internet Registries) och IIR (Internet Routing Registries).

  • Ip-adresserna som anges i portalen för annonserade offentliga prefix för Microsoft Peering skapar ACL:er för Microsofts kärnroutrar för att tillåta inkommande trafik från dessa IP-adresser.
  • Du måste använda ett unikt /29 (IPv4) eller /125 (IPv6) undernät eller två /30 (IPv4) eller /126 (IPv6) undernät för att konfigurera BGP-peering för varje peering per ExpressRoute-krets, om du har fler än en.
  • Om ett /29 undernät används delas det upp i två /30 undernät.
  • Det första /30 undernätet används för den primära länken och det andra /30 undernätet används för den sekundära länken.
  • För vart och ett av undernäten /30 måste du använda den första IP-adressen för /30 undernätet på routern. Microsoft använder undernätets /30 andra IP-adress för att konfigurera en BGP-session.
  • Om ett /125 undernät används delas det upp i två /126 undernät.
  • Det första /126 undernätet används för den primära länken och det andra /126 undernätet används för den sekundära länken.
  • För vart och ett av undernäten /126 måste du använda den första IP-adressen för /126 undernätet på routern. Microsoft använder undernätets /126 andra IP-adress för att konfigurera en BGP-session.
  • Du måste konfigurera båda BGP-sessionerna för att vårt tillgänglighets-SLA ska vara giltigt.

Krav för offentliga IP-adress

Privat peering

Du kan välja att använda offentliga eller privata IPv4-adresser för privat peering. Vi tillhandahåller isolering från slutpunkt till slutpunkt för din trafik, så överlappning av adresser med andra kunder är inte möjligt för privat peering. Dessa adresser annonseras inte till Internet.

Microsoft-peering

Med Microsoft peeringsökväg kan du ansluta till Microsofts molntjänster. Listan med tjänster innefattar Microsoft 365-tjänster, till exempel Exchange Online, SharePoint Online, Skype för företag och Microsoft Teams. Microsoft stöder dubbelriktade anslutningar för Microsoft-peering. Trafik till Microsofts molntjänster måste använda giltiga offentliga IPv4-adresser innan de kommer in i Microsoft-nätverket.

Kontrollera att din IP-adress och ditt AS-nummer är registrerade på dig i något av följande register:

Om dina prefix och AS-nummer inte tilldelades dig i föregående register måste du öppna ett supportärende för manuell verifiering av dina prefix och AS-nummer. Supporten behöver dokumentation, till exempel ett auktoriseringsbrev som intygar att du har behörighet att använda resurserna.

Ett privat AS-nummer tillåts med Microsoft-peering men kräver manuell verifiering. Dessutom tar vi bort privata AS-nummer i AS PATH för de mottagna prefixen. Som ett resultat av detta kan du inte lägga till privata AS-nummer i AS PATH som påverkar routningen för Microsoft-peering. AS-numren 64496–64511, som reserveras av IANA i dokumentationssyfte, får dessutom inte användas för sökvägen.

Viktigt!

Annonsera inte samma offentliga IP-väg till det offentliga Internet och via ExpressRoute. För att minska risken för felaktig konfiguration som orsakar asymmetrisk routning rekommenderar vi starkt att NAT IP-adresserna som annonseras till Microsoft via ExpressRoute kommer från ett intervall som inte annonseras till Internet alls. Om detta inte är möjligt är det viktigt att du annonserar ett mer specifikt intervall över ExpressRoute än det som finns på Internetanslutningen. Förutom den offentliga vägen för NAT kan du även annonsera de offentliga IP-adresser som används av servrarna i ditt lokala nätverk över ExpressRoute som kommunicerar med Microsoft 365-slutpunkter inom Microsoft.

Dynamiskt routningsutbyte

Routningsutbyte sker via eBGP-protokollet. EBGP-sessioner upprättas mellan MSEE:erna och dina routrar. Autentisering av BGP-sessioner är inte ett krav. Vid behov kan en MD5-hash konfigureras. Se Konfigurera routning och Kretsetablering av arbetsflöden och kretsstatus för information om att konfigurera BGP-sessioner.

Autonomt systemnummer (ASN)

Microsoft använder AS 12076 för offentliga Azure, privata Azure och Microsofts peering. Vi har reserverat ASN:er från 65515 till 65520 för intern användning. Både 16-bitars- och 32-bitars AS-nummer stöds.

Det finns inga krav på symmetri vid dataöverföring. Sökvägar vid vidarebefordran och retur kan passera olika routerpar. Identiska vägar måste annonseras från båda sidor över flera kretspar som tillhör dig. Vägmått krävs inte för att vara identiska.

Vägsammanställning och begränsningar för prefix

ExpressRoute stöder upp till 4 000 IPv4-prefix och 100 IPv6-prefix som annonseras till Microsoft via den privata Azure-peeringen. Den här gränsen kan ökas med upp till 10 000 IPv4-prefix om ExpressRoute Premium-tillägget är aktiverat. ExpressRoute accepterar upp till 200 prefix per BGP-session för offentlig Azure- och Microsoft-peering.

BGP-sessionen kommer att tas bort om antalet prefix överskrider gränsen. ExpressRoute accepterar endast standardvägar på den privata peeringlänken. Leverantören måste filtrera ut standardvägen och privata IP-adresser (RFC 1918) från Azures offentliga och Microsofts peeringsökvägar.

Överföringsroutning och routning mellan regioner

ExpressRoute kan inte konfigureras som transitroutrar. Du måste förlita dig på din anslutningsleverantör för transitroutningstjänster.

Annonsering av standardvägar

Standardvägar tillåts bara i Azures privata peeringsessioner. I så fall dirigerar ExpressRoute all trafik från de associerade virtuella nätverken till nätverket. Om du annonserar standardvägar till privat peering blockeras Internetsökvägen från Azure. Du måste använda på ditt företags gräns till att dirigera trafik från och till Internet för tjänster som finns i Azure.

Vissa tjänster kan inte nås från företagets gräns. Om du vill aktivera anslutning till andra Azure-tjänster och infrastrukturtjänster måste du använda användardefinierad routning för att tillåta internetanslutning för varje undernät som kräver Internetanslutning för dessa tjänster.

Kommentar

Annonsering av standardvägar bryter Windows- och andra VM-licensaktiveringar. Information om ett arbete finns i Använda användardefinierade vägar för att aktivera KMS-aktivering.

Stöd för BGP-communities

Det här avsnittet innehåller en översikt över hur BGP-communities används med ExpressRoute. Microsoft annonserar vägar i privata, Microsoft och offentliga (inaktuella) peeringsökvägar med vägar taggade med lämpliga community-värden. Motiveringen till detta och informationen om communityvärden beskrivs som följt. Microsoft respekterar dock inte några community-värden som har taggats till vägar som annonseras till Microsoft.

Om du konfigurerar ett anpassat BGP-communityvärde i dina virtuella Azure-nätverk för privat peering visas det här anpassade värdet och ett regionalt BGP-communityvärde på De Azure-vägar som annonseras till din lokala plats via ExpressRoute.

Kommentar

För att Azure-vägar ska kunna visa regionala BGP-communityvärden måste du först konfigurera det anpassade BGP-communityvärdet för det virtuella nätverket.

För Microsoft-peering ansluter du till Microsoft via ExpressRoute på en enda peeringplats inom en geopolitisk region. Du har också åtkomst till alla Microsoft-molntjänster i alla regioner inom den geopolitiska gränsen.

Om du till exempel har anslutit till Microsoft i Amsterdam via ExpressRoute har du åtkomst till alla Microsoft-molntjänster som finns i Europa, norra och Europa, västra.

Se sidan ExpressRoute-partners och peeringplatser för en detaljerad lista med geopolitiska regioner, associerade Azure-regioner och motsvarande ExpressRoute-peeringplatser.

Du kan köpa mer än en ExpressRoute-krets per geopolitisk region. Att ha flera anslutningar ger dig betydande fördelar med hög tillgänglighet tack vare den geografiska redundansen. Om du har flera ExpressRoute-kretsar får du samma uppsättning prefix som annonseras från Microsoft på Microsofts peeringsökvägar. Den här konfigurationen resulterar i flera sökvägar från nätverket till Microsoft. Den här konfigurationen kan potentiellt leda till att beslut om underoptimal routning fattas i nätverket. Därmed kan du få icke-optimala anslutningsupplevelser till andra tjänster. Du kan använda community-värden för att fatta rätt beslut om routning och erbjuda optimal routning till användare.

Microsoft Azure-region Regional BGP-community (privat peering) Regional BGP-community (Microsoft-peering) BGP-community för lagring SQL BGP-community Azure Cosmos DB BGP-community BGP-community för säkerhetskopiering
Nordamerika
USA, östra 12076:50004 12076:51004 12076:52004 12076:53004 12076:54004 12076:55004
USA, östra 2 12076:50005 12076:51005 12076:52005 12076:53005 12076:54005 12076:55005
Västra USA 12076:50006 12076:51006 12076:52006 12076:53006 12076:54006 12076:55006
Västra USA 2 12076:50026 12076:51026 12076:52026 12076:53026 12076:54026 12076:55026
USA, västra 3 12076:50044 12076:51044 12076:52044 12076:53044 12076:54044 12076:55044
Västra centrala USA 12076:50027 12076:51027 12076:52027 12076:53027 12076:54027 12076:55027
Norra centrala USA 12076:50007 12076:51007 12076:52007 12076:53007 12076:54007 12076:55007
USA, södra centrala 12076:50008 12076:51008 12076:52008 12076:53008 12076:54008 12076:55008
Centrala USA 12076:50009 12076:51009 12076:52009 12076:53009 12076:54009 12076:55009
Kanada, centrala 12076:50020 12076:51020 12076:52020 12076:53020 12076:54020 12076:55020
Östra Kanada 12076:50021 12076:51021 12076:52021 12076:53021 12076:54021 12076:55021
Sydamerika
Brasilien, södra 12076:50014 12076:51014 12076:52014 12076:53014 12076:54014 12076:55014
Europa
Europa, norra 12076:50003 12076:51003 12076:52003 12076:53003 12076:54003 12076:55003
Västeuropa 12076:50002 12076:51002 12076:52002 12076:53002 12076:54002 12076:55002
Södra Storbritannien 12076:50024 12076:51024 12076:52024 12076:53024 12076:54024 12076:55024
Västra Storbritannien 12076:50025 12076:51025 12076:52025 12076:53025 12076:54025 12076:55025
Centrala Frankrike 12076:50030 12076:51030 12076:52030 12076:53030 12076:54030 12076:55030
Södra Frankrike 12076:50031 12076:51031 12076:52031 12076:53031 12076:54031 12076:55031
Schweiz, norra 12076:50038 12076:51038 12076:52038 12076:53038 12076:54038 12076:55038
Schweiz, västra 12076:50039 12076:51039 12076:52039 12076:53039 12076:54039 12076:55039
Tyskland, norra 12076:50040 12076:51040 12076:52040 12076:53040 12076:54040 12076:55040
Tyskland, västra centrala 12076:50041 12076:51041 12076:52041 12076:53041 12076:54041 12076:55041
Norge, östra 12076:50042 12076:51042 12076:52042 12076:53042 12076:54042 12076:55042
Västra Norge 12076:50043 12076:51043 12076:52043 12076:53043 12076:54043 12076:55043
Asien och stillahavsområdet
Asien, östra 12076:50010 12076:51010 12076:52010 12076:53010 12076:54010 12076:55010
Sydostasien 12076:50011 12076:51011 12076:52011 12076:53011 12076:54011 12076:55011
Japan
Japan, östra 12076:50012 12076:51012 12076:52012 12076:53012 12076:54012 12076:55012
Västra Japan 12076:50013 12076:51013 12076:52013 12076:53013 12076:54013 12076:55013
Australien
Australien, östra 12076:50015 12076:51015 12076:52015 12076:53015 12076:54015 12076:55015
Sydöstra Australien 12076:50016 12076:51016 12076:52016 12076:53016 12076:54016 12076:55016
Australiensiska myndigheter
Australien, centrala 12076:50032 12076:51032 12076:52032 12076:53032 12076:54032 12076:55032
Australien, centrala 2 12076:50033 12076:51033 12076:52033 12076:53033 12076:54033 12076:55033
Indien
Indien, syd 12076:50019 12076:51019 12076:52019 12076:53019 12076:54019 12076:55019
Indien, västra 12076:50018 12076:51018 12076:52018 12076:53018 12076:54018 12076:55018
Indien, centrala 12076:50017 12076:51017 12076:52017 12076:53017 12076:54017 12076:55017
Korea
Södra Korea 12076:50028 12076:51028 12076:52028 12076:53028 12076:54028 12076:55028
Sydkorea, centrala 12076:50029 12076:51029 12076:52029 12076:53029 12076:54029 12076:55029
Sydafrika
Sydafrika, norra 12076:50034 12076:51034 12076:52034 12076:53034 12076:54034 12076:55034
Sydafrika, västra 12076:50035 12076:51035 12076:52035 12076:53035 12076:54035 12076:55035
UAE
Förenade Arabemiraten, norra 12076:50036 12076:51036 12076:52036 12076:53036 12076:54036 12076:55036
Förenade Arabemiraten, centrala 12076:50037 12076:51037 12076:52037 12076:53037 12076:54037 12076:55037

Alla vägar som annonseras från Microsoft taggas med lämpligt community-värde.

Viktigt!

Globala prefix taggas med lämpligt community-värde.

Service till BGP-communityvärde

Förutom BGP-taggen för varje region taggar Microsoft även prefix baserat på den tjänst de tillhör. Den här taggningen gäller endast för Microsoft-peering. I följande tabell finns en mappning av tjänsten till BGP-communityns värde. Du kan köra cmdleten "Get-AzBgpServiceCommunity" för en fullständig lista över de senaste värdena.

Tjänst BGP-community värde
Exchange Online (2) 12076:5010
SharePoint Online (2) 12076:5020
Skype för företag – Online (2) och (3) 12076:5030
CRM Online (4) 12076:5040
Azure Global Services (1) 12076:5050
Microsoft Entra ID 12076:5060
Azure Resource Manager 12076:5070
Andra Office 365 Online-tjänster (2) 12076:5100
Microsoft Defender for Identity 12076:5220
Microsoft PSTN-tjänster (5) 12076:5250

(1) Azure Global Services innehåller endast Azure DevOps just nu.

(2) Auktorisering krävs från Microsoft. Se Konfigurera routningsfilter för Microsoft-peering.

(3) Den här communityn publicerar även de vägar som behövs för Microsoft Teams-tjänster.

(4) CRM Online stöder Dynamics v8.2 och lägre. För högre versioner väljer du den regionala communityn för dina Dynamics-distributioner.

(5) Användningen av Microsoft-peering med PSTN-tjänster är begränsad till specifika användningsfall. Se Använda ExpressRoute för Microsoft PSTN-tjänster.

Kommentar

Microsoft använder inte några community-värden för BGP som du har angett för vägar som annonseras till Microsoft.

Stöd för BGP-community i nationella moln

Regioner för nationella Azure-moln BGP-community värde
Amerikanska myndigheter
US Gov, Arizona 12076:51106
USA Gov, Iowa 12076:51109
US Gov, Virginia 12076:51105
US Gov, Texas 12076:51108
US DoD, centrala 12076:51209
US DoD, östra 12076:51205
Kina
Kina, norra 12076:51301
Kina, östra 12076:51302
Östra Kina 2 12076:51303
Norra Kina 2 12076:51304
Norra Kina 3 12076:51305
Tjänst i nationella moln BGP-community värde
Amerikanska myndigheter
Exchange Online 12076:5110
SharePoint Online 12076:5120
Skype för företag – Online 12076:5130
Microsoft Entra ID 12076:5160
Andra Office 365 Online-tjänster 12076:5200
  • Office 365-communities stöds inte via Microsoft Peering för Microsoft Azure som drivs av 21Vianet-regionen.

Nästa steg