Delen via

Migreren naar een nieuw ExpressRoute-circuit

  • Artikel

Als u wilt overschakelen van het ene ExpressRoute-circuit naar het andere, kunt u dit probleemloos doen met minimale serviceonderbreking. In dit document wordt u begeleid bij de stappen voor het migreren van uw productieverkeer zonder grote onderbrekingen of risico's te veroorzaken. Deze methode is van toepassing of u overstapt op een nieuwe of dezelfde peeringlocatie.

Als u uw ExpressRoute-circuit hebt via een Laag 3-serviceprovider, maakt u het nieuwe circuit onder uw abonnement in Azure Portal. Werk samen met uw serviceprovider om het verkeer naadloos over te schakelen naar het nieuwe circuit. Nadat de serviceprovider de inrichting van uw oude circuit ongedaan heeft gemaakt, verwijdert u het uit Azure Portal.

De rest van het artikel is van toepassing als u uw ExpressRoute-circuit hebt via een Laag 2-serviceprovider of directe ExpressRoute-poorten.

Stappen voor naadloze migratie van ExpressRoute-circuits

Diagram van een ExpressRoute-circuitmigratie van circuit A naar circuit B.

Het vorige diagram illustreert het migratieproces van een bestaand ExpressRoute-circuit, aangeduid als circuit A, naar een nieuw ExpressRoute-circuit, aangeduid als circuit B. Circuit B kan zich op dezelfde of een andere peeringlocatie bevinden als circuit A. Het migratieproces bestaat uit de volgende stappen:

  1. Circuit B in isolatie implementeren: terwijl het verkeer blijft stromen via circuit A, implementeert u een nieuw circuit B zonder dat dit van invloed is op de productieomgeving.

  2. De stroom van het productieverkeer via circuit B blokkeren: voorkom dat verkeer circuit B gebruikt totdat het volledig is getest en gevalideerd.

  3. Voltooi en valideer end-to-end-connectiviteit van circuit B: zorg ervoor dat circuit B een stabiele en veilige verbinding met alle vereiste eindpunten tot stand kan brengen en onderhouden.

  4. Schakel over het verkeer: de verkeersstroom van circuit A naar circuit B omleiden en de verkeersstroom via circuit A blokkeren.

  5. Circuit A buiten gebruik stellen: Circuit A uit het netwerk verwijderen en de bijbehorende resources vrijgeven.

Nieuw circuit in isolatie implementeren

Voor een een-op-een-vervanging van het bestaande circuit selecteert u de optie Standaardtolerantie en volgt u de stappen die worden beschreven in de Handleiding Een circuit maken met ExpressRoute om uw nieuwe ExpressRoute-circuit (Circuit B) te maken op de gewenste peeringlocatie. Volg vervolgens de stappen in Peering configureren voor ExpressRoute-circuit om de vereiste peeringtypen te configureren: privé en Microsoft.

Als u wilt voorkomen dat het privépeeringsproductieverkeer circuit B gebruikt voordat u het test en valideert, koppelt u geen virtuele netwerkgateway met productie-implementatie aan Circuit B. Als u wilt voorkomen dat microsoft-peeringproductieverkeer circuit B gebruikt, koppelt u geen routefilter aan Circuit B.

De stroom van het productieverkeer via het zojuist gemaakte circuit blokkeren

Voorkom dat de routeadvertentie via een of meer nieuwe peerings op de CE-apparaten wordt weergegeven.

Voor Cisco IOS kunt u een route-map en een prefix-list gebruiken om de routes te filteren die worden geadverteerd via een BGP-peering. In het volgende voorbeeld ziet u hoe u een route-map en een prefix-list voor dit doel maakt en toepast:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Gebruik export-/importbeleid om de routes te filteren die zijn geadverteerd en ontvangen op de nieuwe peering op de Junos-apparaten. In het volgende voorbeeld ziet u hoe u export-/importbeleid configureert voor dit doel:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

De end-to-end-connectiviteit van het zojuist gemaakte circuit valideren

Privépeering

Als u het nieuwe circuit wilt koppelen aan de gateway van een virtueel testnetwerk en uw privé-peeringconnectiviteit wilt controleren, volgt u de stappen in Een virtueel netwerk verbinden met een ExpressRoute-circuit . Nadat u de virtuele netwerken aan het circuit hebt gekoppeld, controleert u de routetabel van de persoonlijke peering om ervoor te zorgen dat de adresruimte van het virtuele netwerk is opgenomen. In het volgende voorbeeld ziet u een routetabel van de persoonlijke peering van een ExpressRoute-circuit in de Azure Management-portal:

Schermopname van de routetabel voor de primaire koppeling van het ExpressRoute-circuit.

In het volgende diagram ziet u een test-VM in een virtueel testnetwerk en een on-premises testapparaat dat wordt gebruikt om de connectiviteit via de persoonlijke ExpressRoute-peering te controleren.

Diagram van een VIRTUELE machine in Azure die on-premises communiceert met een testapparaat via de ExpressRoute-verbinding.

Wijzig de configuratie van de routekaart of het beleid om de geadverteerde routes te filteren en het specifieke IP-adres van het on-premises testapparaat toe te staan. Sta op dezelfde manier de adresruimte van het virtuele testnetwerk vanuit Azure toe.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Als u specifieke IP-voorvoegsels voor testapparaten op Junos wilt toestaan, configureert u een voorvoegsellijst. Configureer vervolgens het BGP-import-/exportbeleid om deze voorvoegsels toe te staan en alles anders af te wijzen.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Controleer de end-to-end-connectiviteit via de privépeering. U kunt bijvoorbeeld de test-VM in Azure pingen vanaf uw on-premises testapparaat en de resultaten controleren. Zie ExpressRoute-connectiviteit controleren voor stapsgewijze gedetailleerde validatie.

Microsoft-peering

Voor de verificatie van uw Microsoft-peering is een zorgvuldige planning vereist om productieverkeer te voorkomen. Volg deze stappen om een soepel proces te garanderen:

  1. Unieke voorvoegsels gebruiken: Configureer de Microsoft-peering voor circuit B met voorvoegsels die afwijken van de voor Circuit A gebruikte voorkomt routeringsconflicten. Raadpleeg het maken van Microsoft-peering voor hulp.
  2. Afzonderlijke routefilters: Koppel de Microsoft-peering van circuit B aan een ander routefilter dan Circuit A. Volg de stappen in het configureren van routefilters voor Microsoft-peering.
  3. Vermijd algemene routes: zorg ervoor dat de routefilters voor beide circuits geen gemeenschappelijke routes delen om asymmetrische routering te voorkomen. Dit kan worden gedaan door:
    • Selecteer een service of Azure-regio voor het testen van circuit B die niet wordt gebruikt door het productieverkeer van circuit A.
    • Het minimaliseren van overlapping tussen de twee routefilters en het toestaan van alleen specifieke openbare testeindpunten via circuit B.

Nadat u een routefilter hebt gekoppeld, controleert u de geadverteerd en ontvangen routes via de BGP-peering op het CE-apparaat. Wijzig de configuratie van het routekaart- of Junos-beleid om de geadverteerde routes te filteren, zodat alleen de on-premises voorvoegsels van de Microsoft-peering en specifieke IP-adressen van de geselecteerde openbare Microsoft-eindpunten worden getest.

Als u de connectiviteit met Microsoft 365-eindpunten wilt testen, volgt u de stappen in het implementeren van ExpressRoute voor Microsoft 365 – Uw testprocedures bouwen. Voor openbare Azure-eindpunten begint u met basisconnectiviteitstests zoals traceroute van on-premises om ervoor te zorgen dat aanvragen via ExpressRoute-eindpunten worden verzonden. Naast ExpressRoute-eindpunten worden ICMP-berichten onderdrukt via het Microsoft-netwerk. Test bovendien de connectiviteit op toepassingsniveau. Als u bijvoorbeeld een Virtuele Azure-machine hebt met een openbaar IP-adres waarop een webserver wordt uitgevoerd, probeert u via de ExpressRoute-verbinding toegang te krijgen tot het openbare IP-adres van de webserver vanuit uw on-premises netwerk. Dit bevestigt dat complex verkeer, zoals HTTP-aanvragen, Azure-services kan bereiken.

Privépeering

  1. Koppel circuit B los van alle testgateways voor virtuele netwerken.
  2. Verwijder eventuele uitzonderingen die zijn gemaakt voor het Cisco route-maps- of Junos-beleid.
  3. Koppel circuit B aan de gateway van het virtuele productienetwerk volgens de stappen in Een virtueel netwerk verbinden met een ExpressRoute-circuit.
  4. Zorg ervoor dat Circuit B gereed is om alle routes te adverteren die momenteel worden geadverteerd via Circuit A. Controleer of circuit B-interfaces zijn gekoppeld aan het juiste VRF- of routeringsexemplaar.
  5. Verwijder de routekaarten of het beleid op circuit B-interfaces en pas deze toe op Circuit A-interfaces om routeadvertenties via Circuit A te blokkeren, waardoor de verkeersstroom wordt overgeschakeld naar Circuit B.
  6. Controleer de verkeersstroom via circuit B. Als de verificatie mislukt, keert u de wijzigingen terug en schakelt u de verkeersstroom terug naar Circuit A.
  7. Als de verificatie is geslaagd, verwijdert u Circuit A.

Microsoft-peering

  1. Verwijder circuit B uit een testroutefilter van Azure.
  2. Verwijder eventuele uitzonderingen die zijn gemaakt voor de routekaarten of het beleid.
  3. Zorg ervoor dat circuit B-interfaces zijn gekoppeld aan het juiste VRF- of routeringsexemplaar.
  4. Valideer en bevestig de geadverteerde voorvoegsels via de Microsoft-peering.
  5. Koppel Circuit B Microsoft-peering aan het Azure-routefilter dat momenteel is gekoppeld aan Circuit A.
  6. Verwijder de routekaarten of export-/importbeleid op Circuit B-interfaces en pas deze toe op Circuit A-interfaces om routeadvertenties via Circuit A te blokkeren, de verkeersstroom over te schakelen naar Circuit B.
  7. Controleer de verkeersstroom via circuit B. Als de verificatie mislukt, keert u de wijzigingen terug en schakelt u de verkeersstroom terug naar Circuit A.
  8. Als de verificatie is geslaagd, verwijdert u Circuit A.

Volgende stap

Zie Voorbeelden van routerconfiguraties voor het instellen en beheren van routering voor meer informatie over routerconfiguratie.