Configurare i filtri di route per il peering Microsoft: interfaccia della riga di comando di Azure
I filtri di route rappresentano un modo per usare un subset di servizi supportati tramite il peering Microsoft. I passaggi descritti in questo articolo consentono di configurare e gestire i filtri di route per i circuiti ExpressRoute.
I servizi di Microsoft 365 come Exchange Online, SharePoint Online e Skype for Business sono accessibili tramite il peering Microsoft. Quando il peering Microsoft viene configurato in un circuito ExpressRoute, tutti i prefissi relativi a questi servizi vengono annunciati tramite le sessioni BGP stabilite. A ogni prefisso viene associato un valore di community BGP per identificare il servizio offerto tramite il prefisso. Per un elenco dei valori della community BGP e dei servizi a cui sono associati, vedere community BGP.
Con la connettività a tutti i servizi di Azure e Microsoft 365 viene annunciato un numero elevato di prefissi tramite BGP. Questo numero elevato aumenta notevolmente le dimensioni delle tabelle di route gestite dai router all'interno della rete. Se si prevede di usare solo un subset dei servizi offerti tramite il peering Microsoft, è possibile ridurre le dimensioni delle tabelle di route in due modi. È possibile:
Escludere i prefissi indesiderati applicando filtri di route alle community BGP. Il filtro di route è una procedura di rete standard usata comunemente in molte reti.
Definire i filtri di route e applicarli al circuito ExpressRoute. Un filtro di route è una nuova risorsa che consente di selezionare l'elenco dei servizi che si prevede di usare tramite il peering Microsoft. I router ExpressRoute inviano solo l'elenco dei prefissi che appartengono ai servizi identificati nel filtro di route.
Informazioni sui filtri di route
Quando il peering Microsoft viene configurato nel circuito ExpressRoute, i router perimetrali Microsoft stabiliscono una coppia di sessioni BGP con i router perimetrali dell'utente attraverso il provider di connettività. Non viene annunciata alcuna route per la rete. Per abilitare gli annunci delle ruote per la rete, è necessario associare un filtro di route.
Un filtro di route consente di identificare i servizi da usare tramite il peering Microsoft del circuito di ExpressRoute. Si tratta fondamentalmente di un elenco elementi consentiti di tutti i valori di community BGP. Dopo aver definito una risorsa filtro di route e averla associata a un circuito ExpressRoute, tutti i prefissi corrispondenti ai valori di community BGP vengono annunciati alla rete.
Per associare i filtri di route ai servizi Microsoft 365, è necessario avere l'autorizzazione per l'utilizzo di tali servizi tramite ExpressRoute. Se non si è autorizzati a utilizzare i servizi Microsoft 365 tramite ExpressRoute, l'operazione di associazione dei filtri di route non riesce. Per altre informazioni sul processo di autorizzazione, vedere Azure ExpressRoute per Microsoft 365.
Importante
I peering Microsoft dei circuiti ExpressRoute configurati prima del 1° agosto 2017 avranno tutti i prefissi del servizio Microsoft Office annunciati tramite il peering Microsoft, anche se non sono stati definiti filtri di route. Il peering Microsoft dei circuiti ExpressRoute che vengono configurati dopo il 1° agosto 2017 non avrà alcun prefisso annunciato fino a quando non viene associato un filtro di route per il circuito.
Prerequisiti
Per connettersi correttamente ai servizi tramite il peering Microsoft, è necessario completare la procedura di configurazione seguente:
- È necessario avere un circuito ExpressRoute attivo, per cui è stato effettuato il provisioning del peering Microsoft. È possibile usare le istruzioni seguenti per eseguire queste attività:
- Creare un circuito ExpressRoute e chiedere al provider di connettività di abilitarlo prima di continuare. È necessario che sia stato effettuato il provisioning del circuito ExpressRoute e che il circuito sia in stato abilitato.
- Creare il peering Microsoft se si gestisce direttamente la sessione BGP. In caso contrario, richiedere al provider della connettività di effettuare il provisioning del peering Microsoft per il circuito.
Azure Cloud Shell
Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
Opzione | Esempio/Collegamento |
---|---|
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. | |
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. | |
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. |
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Premere INVIO per eseguire il codice o il comando.
Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, questa esercitazione richiede l'interfaccia della riga di comando di Azure versione 2.0.28 o successiva. Per trovare la versione, eseguire az --version
. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
Accedere al proprio account Azure e selezionare la sottoscrizione
Per iniziare la configurazione, accedere al proprio account Azure. Se si usa "Prova", l'accesso viene eseguito automaticamente e si può quindi ignorare il passaggio relativo all'accesso. Per eseguire la connessione, usare gli esempi che seguono:
az login
Controllare le sottoscrizioni per l'account.
az account list
Selezionare la sottoscrizione per la quale si vuole creare un circuito ExpressRoute.
az account set --subscription "<subscription ID>"
Ottenere un elenco di prefissi e di valori di community BGP
Usare il cmdlet seguente per ottenere l'elenco dei valori di community BGP e dei prefissi associati ai servizi accessibili tramite il peering Microsoft:
az network route-filter rule list-service-communities
Creare un elenco dei valori di community BGP da usare nel filtro di route.
Creare un filtro di route e una regola di filtro
Un filtro di route può includere una sola regola di tipo 'Consenti'. A questa regola può essere associato un elenco di valori di community BGP. Il comando az network route-filter create
crea solo una risorsa filtro di route. Dopo aver creato la risorsa, è necessario creare una regola e associarla all'oggetto filtro di route.
Per creare una risorsa filtro di route, eseguire il comando seguente:
az network route-filter create -n MyRouteFilter -g MyResourceGroup
Per creare una regola di filtro di route, eseguire il comando seguente:
az network route-filter rule create --filter-name MyRouteFilter -n CRM --communities 12076:5040 --access Allow -g MyResourceGroup
Associare il filtro di route a un circuito ExpressRoute
Eseguire il comando seguente per associare il filtro di route al circuito ExpressRoute:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --route-filter MyRouteFilter
Attività comuni
Per ottenere le proprietà di un filtro di route
Per ottenere le proprietà di un filtro di route, usare il comando seguente:
az network route-filter show -g ExpressRouteResourceGroupName --name MyRouteFilter
Per aggiornare le proprietà di un filtro di route
Se il filtro di route è già associato a un circuito, gli aggiornamenti all'elenco di community BGP propagano automaticamente le modifiche agli annunci dei prefissi tramite la sessione BGP stabilita. È possibile aggiornare l'elenco di community BGP del filtro di route con il comando seguente:
az network route-filter rule update --filter-name MyRouteFilter -n CRM -g ExpressRouteResourceGroupName --add communities '12076:5040' --add communities '12076:5010'
Per rimuovere l'associazione di un filtro di route da un circuito ExpressRoute
Dopo aver rimosso l'associazione di un filtro di route dal circuito ExpressRoute, nessun prefisso viene annunciato tramite la sessione BGP. Usare il comando seguente per rimuovere l'associazione di un filtro di route da un circuito ExpressRoute:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --remove routeFilter
Pulire le risorse
Si può eliminare un filtro di route solo se non è associato a un circuito. Assicurarsi che il filtro di route non sia associato a un circuito prima di provare a eliminarlo. È possibile eliminare un filtro di route con il comando seguente:
az network route-filter delete -n MyRouteFilter -g MyResourceGroup
Passaggi successivi
Per informazioni su esempi di configurazione del router, vedere: