Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
若要使用 ExpressRoute 连接到Microsoft云服务,需要设置和管理路由。 某些连接服务提供商以托管服务形式提供路由的设置和管理。 请咨询连接服务提供商,以确定他们是否提供此类服务。 如果他们不这样做,您必须遵循以下要求。
有关需要设置以方便连接的路由会话的说明,请参阅 线路和路由域。
注意
Azure 不支持任何路由器冗余协议(例如 HSRP 或 VRRP)来实现高可用性配置。 Azure 依赖于每对等互连中的冗余 BGP 会话对,以实现高可用性。
用于对等互连的 IP 地址
用户需要保留一些 IP 地址,用于配置网络与 Microsoft Enterprise Edge (MSEE) 路由器之间的路由。 本部分提供了要求列表,并介绍有关如何获取和使用这些 IP 地址的规则。
用于 Azure 专用对等互连的 IP 地址
您可以使用专用 IP 地址或公共 IP 地址来配置网络对等互连。 用于配置路由的地址范围不能与用于 Azure 中的虚拟网络的地址范围重叠。
IPv4:
为路由接口保留一个
/29子网或两个/30子网。对用于路由的子网使用专用 IP 地址或公共 IP 地址。
子网不得与客户保留用于 Azure 云的范围冲突。
如果使用
/29子网,请将其拆分为两/30个子网。- 将第一个
/30子网用于主链接,第二个/30子网用于辅助链接。 - 对于每个
/30子网,请使用/30子网的第一个 IP 地址作为路由器的地址。 Azure 使用/30子网的第二个 IP 地址设置 BGP 会话。 - 您必须设置两个 BGP 会话,才能使可用性 SLA生效。
- 将第一个
IPv6:
为路由接口保留一个
/125子网或两个/126子网。对用于路由的子网使用专用 IP 地址或公共 IP 地址。
子网不得与客户保留用于 Azure 云的范围冲突。
如果使用
/125子网,请将其拆分为两/126个子网。- 将第一个
/126子网用于主链接,第二个/126子网用于辅助链接。 - 对于每个
/126子网,请使用/126子网的第一个 IP 地址作为路由器的地址。 Azure 使用/126子网的第二个 IP 地址设置 BGP 会话。 - 只有在您设置了两个 BGP 会话后,可用性 SLA 才会有效。
- 将第一个
专用对等互连示例
如果选择使用 a.b.c.d/29 设置对等互连,请将其拆分为两个 /30 子网。 在以下示例中,请注意 a.b.c.d/29 子网的用法:
- 拆分
a.b.c.d/29为a.b.c.d/30和a.b.c.d+4/30。 通过预配 API 将这些子网向下传递到 Azure。-
a.b.c.d+1用作主要 PE 的 VRF IP,而 Azure 用a.b.c.d+2作为主要 MSEE 的 VRF IP。 - 使用
a.b.c.d+5作为辅助 PE 的 VRF IP,Azure 使用a.b.c.d+6作为辅助 MSEE 的 VRF IP。
-
假设您选择 192.168.100.128/29 来设置专用对等互连。
192.168.100.128/29 包括从 192.168.100.128 到 192.168.100.135 的地址,其中:
-
192.168.100.128/30将分配给link1(提供商使用192.168.100.129,而 Azure 使用192.168.100.130)。 -
192.168.100.132/30将分配给link2(提供商使用192.168.100.133,而 Azure 使用192.168.100.134)。
用于 Microsoft 对等互连的 IP 地址
若要设置 BGP 会话,请使用你拥有的公共 IP 地址。 Azure 必须能够通过路由 Internet 注册表和 Internet 路由注册表验证 IP 地址的所有权。
- 门户列出了 Microsoft 对等互联的已公告公共前缀的 IP。 这些 IP 为 Azure 核心路由器创建 ACL,以允许来自这些 IP 的入站流量。
- 如果有多个 ExpressRoute 线路,请为每个对等互连设置 BGP 对等互连,使用唯一的
/29(IPv4)或/125(IPv6)子网,或两个/30(IPv4)或/126(IPv6)子网。 - 如果使用
/29子网,请将其拆分为两/30个子网。 - 将第一个
/30子网用于主链接,第二个/30子网用于辅助链接。 - 对于每个
/30子网,请在路由器上使用该子网的第一个 IP 地址/30。 Azure 使用/30子网的第二个 IP 地址设置 BGP 会话。 - 如果使用
/125子网,请将其拆分为两/126个子网。 - 将第一个
/126子网用于主链接,第二个/126子网用于辅助链接。 - 对于每个
/126子网,请在路由器上使用该子网的第一个 IP 地址/126。 Azure 使用/126子网的第二个 IP 地址设置 BGP 会话。 - 要使可用性 SLA有效,您必须设置两个 BGP 会话。
公共 IP 地址要求
专用互联对等
对于私有对等互连,可以选择使用公共或私有 IPv4 地址。 Azure 提供流量的端到端隔离,因此无法与其他客户重叠地址进行专用对等连接。 这些地址不会播发到互联网。
Microsoft 对等连接
通过使用Microsoft对等路由路径,可以连接到Microsoft云服务。 Azure 在 Microsoft 对等互连上支持双向连接。 发往Microsoft云服务的流量必须在进入 Azure 网络之前使用有效的公共 IPv4 地址。
请确保在以下注册表之一中注册为 IP 地址和 AS 号码的所有者:
如果前缀和 ASN 没有在前述注册表中分配给你,则需要提交支持请求,以便手动验证你的前缀和 ASN。 支持需要文档,例如证明你有权使用该前缀的授权书。
可以使用私有 AS 号码与 Microsoft 对等互联,但需要手动验证。 此外,Azure 会在接收前缀的 AS 路径中移除专用 AS 编号。 因此,您不能在 AS PATH 中添加私有 AS 号来影响 Microsoft 网络对等互连的路由。 此外,IANA 为文档目的保留的 AS 数字 64496 到 64511 不允许在路径中。
重要
不要将相同的公共 IP 路由发布到公共 Internet 以及通过 ExpressRoute。 若要降低配置不正确导致非对称路由的风险,请确保通过 ExpressRoute 播发到 Azure 的 NAT IP 地址 来自一个根本不播发到 Internet 的范围。 如果无法满足此条件,请确保通过 ExpressRoute 通告比 Internet 连接上更具体的路由范围。
动态路由交换
路由交换通过 eBGP 协议进行。 MSEE 和你的路由器建立 eBGP 会话。 不需要对 BGP 会话进行身份验证。 如有必要,可以配置 MD5 哈希。 有关配置 BGP 会话的详细信息,请参阅 配置路由 和 线路预配工作流和线路状态。
自治系统编号 (ASN)
Azure 将 AS 12076 用于 Azure 公共、Azure 专用和 Microsoft 对等互连。 Azure 保留从 65,515 到 65,520 的 ASN 供内部使用。 ExpressRoute 支持 16 位和 32 位 AS 数字。
数据传输对称没有相关要求。 转发和返回路径可以遍历不同的路由器对。 必须跨属于你的多个线路对从任一端播发相同的路由。 路由指标不需要相同。
路由聚合与前缀限制
ExpressRoute 最多支持 4,000 个 IPv4 前缀和 100 个通过 Azure 专用对等互连播发到 Azure 的 IPv6 前缀。 可以通过启用 ExpressRoute 高级加载项将此限制增加到 10,000 个 IPv4 前缀。 ExpressRoute 对于 Azure 公共对等互连和 Microsoft 对等互连,每个 BGP 会话最多接受 200 个前缀。
如果前缀数超过限制,BGP 会话将删除。 ExpressRoute 仅接受专用对等互连链接上的默认路由。 必须从 Azure 公共和 Microsoft 对等互连路径筛选出默认路由和专用 IP 地址(RFC 1918)。
中转路由和跨区域路由
无法将 ExpressRoute 配置为传输路由器。 需要依赖连接提供商来获取传输路由服务。
广告默认路由
只能在 Azure 专用对等互连会话上播发默认路由。 在此配置中,ExpressRoute 将所有流量从关联的虚拟网络路由到网络。 如果将默认路由播发到专用对等互连中,则阻止来自 Azure 的 Internet 路径。 必须依赖企业网络边缘对 Azure 中托管服务的互联网流量进行出入路由。
无法从企业边缘访问某些服务。 若要启用与其他 Azure 服务和基础结构服务的连接,必须使用用户定义的路由来允许每个需要为这些服务建立 Internet 连接的子网建立 Internet 连接。
注意
发布默认路由会中断 Windows 和其他 VM 的许可证激活。 有关解决方法的信息,请参阅 使用用户定义的路由启用 KMS 激活。
支持 BGP 社区
本部分概述 BGP 社区如何使用 ExpressRoute。 Azure 在专用、Microsoft 和公共(弃用)对等互连路径中发布路由,并发布带有相应社区值的路由。 下面各节介绍了执行此操作的理由以及有关社区值的详细信息。 但是,Azure 不接受任何标记为播送给 Microsoft 的路由的社区值。
对于专用对等互连,如果在 Azure 虚拟网络上配置自定义 BGP 社区值,则会在通过 ExpressRoute 播发到本地的 Azure 路由上看到此自定义值和区域 BGP 社区值。
注意
若要在 Azure 路由上显示区域 BGP 社区值,请先为虚拟网络配置自定义 BGP 社区值。
对于 Microsoft Peering,您可以通过 ExpressRoute 在地缘政治区域内的任意对等位置连接到 Azure。 你还可以访问地缘政治边界内所有区域中的所有 Microsoft 云服务。
有关地缘政治地区、关联的 Azure 区域和对应的 ExpressRoute 对等互连位置的详细列表,请参阅 ExpressRoute 合作伙伴和对等位置 。
可以针对每个地缘政治区域购买多个 ExpressRoute 线路。 如果拥有多个连接,则可以从异地冗余中获得明显的高可用性优势。 如果具有多条 ExpressRoute 线路,你将在 Microsoft 对等互连路径收到 Azure 播发的同一组前缀。 此配置会导致存在从网络到 Microsoft 的多条路径。 此配置可能会导致网络中不理想的路由决策。 因此,你可能会体验到不同服务的欠佳连接体验。 可以依赖社区值做出适当的路由决策,向用户提供最佳路由。
世纪互联运营的 Azure 中的 BGP 社区功能支持
| 国家云 Azure 区域 | BGP 社区值 |
|---|---|
| 中国 | |
| 中国北部 | 12076:51301 |
| 中国东部 | 12076:51302 |
| 中国东部 2 | 12076:51303 |
| 中国北部 2 | 12076:51304 |
| 中国北部 3 | 12076:51305 |
- 由世纪互联运营的 Azure 区域不支持基于 Microsoft 对等互连的 Office 365 社区。
后续步骤
配置 ExpressRoute 连接。