Routeringsvereisten voor ExpressRoute
Als u via ExpressRoute verbinding wilt maken met Microsoft-cloudservices, moet u routering instellen en beheren. Sommige connecitiviteitsproviders bieden het instellen en beheren van routering aan als een beheerde service. Neem contact op met uw connectiviteitsprovider om na te gaan of ze deze service leveren. Als dat niet het geval is, moet u voldoen aan de volgende vereisten:
Raadpleeg het artikel Circuits and routing domains (Circuits en routeringsdomeinen) voor een beschrijving van de routeringssessies die moeten worden ingesteld om connectiviteit mogelijk te maken.
Notitie
Microsoft biedt geen ondersteuning voor routerredundantieprotocollen zoals HSRP of VRRP voor configuraties met hoge beschikbaarheid. We zijn afhankelijk van twee redundante BGP-sessies per peering voor maximale beschikbaarheid.
IP-adressen die worden gebruikt voor peering
U moet enkele blokken met IP-adressen reserveren om routering tussen uw netwerk en de MSEE-routers (Microsoft Enterprise Edge) te configureren. In deze sectie vindt u een lijst met vereisten en worden de regels beschreven met betrekking tot hoe u deze IP-adressen kunt verkrijgen en gebruiken.
IP-adressen die worden gebruikt voor persoonlijke Azure-peering
U kunt privé-IP-adressen of openbare IP-adressen gebruiken om de peering te configureren. Het adresbereik dat wordt gebruikt voor het configureren van routes, kan niet overlappen met adresbereiken die worden gebruikt voor virtuele netwerken in Azure.
- IPv4:
- U moet een
/29subnet of twee/30subnetten reserveren voor routeringsinterfaces. - De subnetten voor routering kunnen privé of openbare IP-adressen zijn.
- De subnetten mogen geen conflicten opleveren met het bereik dat door de klant is gereserveerd voor gebruik in de Microsoft Cloud.
- Als een
/29subnet wordt gebruikt, wordt het gesplitst in twee/30subnetten.- Het eerste
/30subnet wordt gebruikt voor de primaire koppeling en het tweede/30subnet wordt gebruikt voor de secundaire koppeling. - Voor elk van de
/30subnetten moet u het eerste IP-adres van het/30subnet voor uw router gebruiken. Microsoft gebruikt het tweede IP-adres van het/30subnet om een BGP-sessie in te stellen. - U moet beide BGP-sessies instellen zodat de SLA voor beschikbaarheid geldig is.
- Het eerste
- U moet een
- IPv6:
- U moet een
/125subnet of twee/126subnetten reserveren voor routeringsinterfaces. - De subnetten voor routering kunnen privé of openbare IP-adressen zijn.
- De subnetten mogen geen conflicten opleveren met het bereik dat door de klant is gereserveerd voor gebruik in de Microsoft Cloud.
- Als een
/125subnet wordt gebruikt, wordt het gesplitst in twee/126subnetten.- Het eerste
/126subnet wordt gebruikt voor de primaire koppeling en het tweede/126subnet wordt gebruikt voor de secundaire koppeling. - Voor elk van de
/126subnetten moet u het eerste IP-adres van het/126subnet voor uw router gebruiken. Microsoft gebruikt het tweede IP-adres van het/126subnet om een BGP-sessie in te stellen. - U moet beide BGP-sessies instellen zodat de SLA voor beschikbaarheid geldig is.
- Het eerste
- U moet een
Voorbeeld voor persoonlijke peering
Als u ervoor kiest om de peering in te a.b.c.d/29 stellen, wordt deze gesplitst in twee /30 subnetten. In het volgende voorbeeld ziet u hoe het a.b.c.d/29 subnet wordt gebruikt:
a.b.c.d/29wordt gesplitst naara.b.c.d/30ena.b.c.d+4/30doorgegeven aan Microsoft via de inrichtings-API's.- U gebruikt
a.b.c.d+1als het VRF-IP-adres voor de primaire PE en Microsofta.b.c.d+2als het VRF-IP-adres voor de primaire MSEE. - U gebruikt
a.b.c.d+5als het VRF-IP-adres voor de secundaire PE en Microsoft alsa.b.c.d+6het VRF-IP-adres voor de secundaire MSEE.
- U gebruikt
Overweeg een geval waarin u ervoor kiest 192.168.100.128/29 om persoonlijke peering in te stellen. 192.168.100.128/29 bevat adressen van 192.168.100.128 tot 192.168.100.135, waaronder:
192.168.100.128/30is toegewezen aanlink1, met provider die192.168.100.129microsoft gebruikt192.168.100.130.192.168.100.132/30is toegewezen aanlink2, met provider die192.168.100.133microsoft gebruikt192.168.100.134.
IP-adressen die worden gebruikt voor Microsoft-peering
U moet voor het instellen van de BGP-sessies openbare IP-adressen gebruiken waarvan u eigenaar bent. Microsoft moet het eigenaarschap van de IP-adressen kunnen verifiëren via Routing Internet Registries en Internet Routing Registries.
- De IP-adressen die worden vermeld in de portal voor geadverteerde openbare voorvoegsels voor Microsoft-peering, maken ACL's voor de Microsoft-kernrouters om binnenkomend verkeer van deze IP-adressen toe te staan.
- U moet een uniek
/29(IPv4) of/125(IPv6)-subnet of twee/30(IPv4) of/126(IPv6)-subnetten gebruiken om de BGP-peering in te stellen voor elke peering per ExpressRoute-circuit, als u meer dan één peering hebt. - Als een
/29subnet wordt gebruikt, wordt het gesplitst in twee/30subnetten. - Het eerste
/30subnet wordt gebruikt voor de primaire koppeling en het tweede/30subnet wordt gebruikt voor de secundaire koppeling. - Voor elk van de
/30subnetten moet u het eerste IP-adres van het/30subnet op uw router gebruiken. Microsoft gebruikt het tweede IP-adres van het/30subnet om een BGP-sessie in te stellen. - Als een
/125subnet wordt gebruikt, wordt het gesplitst in twee/126subnetten. - Het eerste
/126subnet wordt gebruikt voor de primaire koppeling en het tweede/126subnet wordt gebruikt voor de secundaire koppeling. - Voor elk van de
/126subnetten moet u het eerste IP-adres van het/126subnet op uw router gebruiken. Microsoft gebruikt het tweede IP-adres van het/126subnet om een BGP-sessie in te stellen. - Onze beschikbaarheids-SLA is alleen geldig als beide BGP-sessies zijn ingesteld.
Vereiste openbaar IP-adres
Privépeering
U kunt kiezen om openbare of persoonlijke IPv4-adressen te gebruiken voor persoonlijke peering. We bieden end-to-end isolatie van uw verkeer, zodat overlappende adressen met andere klanten niet mogelijk zijn voor privépeering. Deze adressen worden niet aangekondigd op internet.
Microsoft-peering
Met het Microsoft-peeringpad kunt u verbinding maken met Microsoft-cloudservices. De lijst met services bevat Microsoft 365-services, zoals Exchange Online, SharePoint Online, Skype voor Bedrijven en Microsoft Teams. Microsoft ondersteunt bidirectionele connectiviteit op de Microsoft-peering. Verkeer dat is bestemd voor Microsoft Cloud-services, moet geldige openbare IPv4-adressen gebruiken voordat het het Microsoft-netwerk binnenkomt.
Controleer of uw IP-adres en AS-nummer in een van de volgende registers op uw naam zijn geregistreerd:
Als uw voorvoegsels en AS-nummer in voorgaande registers niet aan u zijn toegewezen, moet u een ondersteuningsaanvraag openen voor handmatige validatie van uw voorvoegsels en het ASN. De ondersteuning vereist documentatie, zoals een autorisatiebrief waaruit blijkt dat u de voorvoegsels mag gebruiken.
Een persoonlijk AS-nummer is toegestaan met Microsoft-peering, maar moet ook handmatig worden gevalideerd. Bovendien verwijderen we persoonlijke AS-nummers in het AS-pad voor de ontvangen voorvoegsels. Hierdoor is het niet mogelijk om persoonlijke AS-nummers aan het AS-pad toe te voegen om routering voor Microsoft-peering te beïnvloeden. Bovendien zijn AS-nummers 64496 - 64511 die door IANA zijn gereserveerd voor documentatiedoeleinden niet toegestaan in het pad.
Belangrijk
Adverteer niet dezelfde openbare IP-route naar het openbare internet en via ExpressRoute. Om het risico op onjuiste configuratie te beperken dat asymmetrische routering veroorzaakt, raden we u ten zeerste aan dat de NAT IP-adressen die via ExpressRoute worden aangekondigd, afkomstig zijn van een bereik dat helemaal niet naar internet wordt geadverteerd. Als dit niet mogelijk is, is het essentieel om ervoor te zorgen dat u een specifieker bereik via ExpressRoute adverteert dan het bereik in de internetverbinding. Naast de openbare route voor NAT kunt u ook adverteren via ExpressRoute de openbare IP-adressen die worden gebruikt door de servers in uw on-premises netwerk die communiceren met Microsoft 365-eindpunten binnen Microsoft.
Dynamische route-uitwisseling
Routeringsuitwisseling verloopt via eBGP-protocol. EBGP-sessies worden tot stand gebracht tussen de MSEE's en uw routers. Verificatie van BGP-sessies is geen vereiste. Indien nodig kan een MD5-hash worden geconfigureerd. Zie Configure routing (Routering configureren) en Circuit provisioning workflows and circuit states (Werkstromen voor de inrichting van ExpressRoute-circuits en circuittoestanden) voor informatie over het configureren van BGP-sessies.
Autonome systeemnummers (ASN)
Microsoft gebruikt AS 12076 voor openbare Azure-peering, privé Azure-peering en Microsoft-peering. We hebben ASN's van 65515 tot 65520 gereserveerd voor intern gebruik. Zowel 16-bits als 32-bits AS-nummers worden ondersteund.
Er zijn geen vereisten met betrekking tot gegevensoverdrachtsymmetrie. De inkomende en uitgaande paden lopen mogelijk langs verschillende routerparen. Identieke routes moeten van beide zijden worden geadverteerd over meerdere circuitparen die bij u horen. Routegegevens hoeven niet identiek te zijn.
Limieten voor route-aggregatie en voorvoegsel
ExpressRoute ondersteunt maximaal 4000 IPv4-voorvoegsels en 100 IPv6-voorvoegsels die worden aangekondigd bij Microsoft via de persoonlijke Azure-peering. Deze limiet kan worden verhoogd tot 10.000 IPv4-voorvoegsels als de ExpressRoute Premium-invoegtoepassing is ingeschakeld. ExpressRoute accepteert maximaal 200 voorvoegsels per BGP-sessie voor openbare Azure- en Microsoft-peering.
De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt. ExpressRoute accepteert alleen standaardroutes op de privépeeringskoppeling. Provider moet standaardroute- en privé IP-adressen (RFC 1918) uit de paden voor openbare Azure- en Microsoft-peering filteren.
Transitroutering en regio-overschrijdende routering
ExpressRoute kan niet worden geconfigureerd als transitrouters. U moet vertrouwen op uw connectiviteitsprovider voor transitrouteringsservices.
Standaardroutes adverteren
Standaardroutes zijn alleen toegestaan voor persoonlijke Azure-peeringsessies. In dat geval stuurt ExpressRoute al het verkeer van de gekoppelde virtuele netwerken naar uw netwerk. Het adverteren van standaardroutes naar privépeering resulteert in het internetpad van Azure dat wordt geblokkeerd. Als u verkeer van en naar internet wilt routeren voor services die worden gehost in Azure, zult u gebruik moeten maken van uw bedrijfsfunctionaliteit.
Sommige services kunnen niet worden geopend vanaf de rand van uw bedrijf. Als u connectiviteit met andere Azure-services en infrastructuurservices wilt inschakelen, moet u door de gebruiker gedefinieerde routering gebruiken om internetverbinding toe te staan voor elk subnet waarvoor internetverbinding is vereist voor deze services.
Notitie
Wanneer standaardroutes worden geadverteerd, wordt de activering van Windows- en andere VM-licenties verbroken. Zie Door de gebruiker gedefinieerde routes gebruiken om KMS-activering in te schakelen voor informatie over een werk rond.
Ondersteuning voor BGP-community's
In deze sectie vindt u een overzicht van hoe BGP-community's worden gebruikt met ExpressRoute. Microsoft adverteert routes in de privé-, Microsoft- en openbare (afgeschafte) peeringpaden met routes die zijn gelabeld met de juiste communitywaarden. De reden hiervoor en de details over communitywaarden worden als volgt beschreven. Microsoft respecteert echter geen communitywaarden die zijn gelabeld voor routes die naar Microsoft worden geadverteerd.
Als u voor persoonlijke peering een aangepaste BGP-communitywaarde configureert in uw virtuele Azure-netwerken, ziet u deze aangepaste waarde en een regionale BGP-communitywaarde op de Azure-routes die worden geadverteerd naar uw on-premises via ExpressRoute.
Notitie
Als u wilt dat Azure-routes regionale BGP-communitywaarden weergeven, moet u eerst de aangepaste BGP-communitywaarde voor het virtuele netwerk configureren.
Voor Microsoft-peering maakt u verbinding met Microsoft via ExpressRoute op elke peeringlocatie binnen een geopolitieke regio. U hebt ook toegang tot alle Microsoft-cloudservices binnen alle regio's binnen de geopolitieke grenzen.
Als u bijvoorbeeld via ExpressRoute verbinding hebt gemaakt met Microsoft in Amsterdam, hebt u toegang tot alle Microsoft-cloudservices die worden gehost in Europa - noord en Europa - west.
Raadpleeg de pagina ExpressRoute partners and peering locations (Overzicht van ExpressRoute-partners en -peeringlocaties) voor een gedetailleerde lijst van de geopolitieke regio's, bijbehorende Azure-regio's en bijbehorende ExpressRoute-peeringlocaties.
U kunt meer dan één ExpressRoute-circuit per geopolitieke regio aanschaffen. Het hebben van meer verbindingen biedt aanzienlijke voordelen wat betreft hoge beschikbaarheid vanwege geografische redundantie. In gevallen waarin u meerdere ExpressRoute-circuits hebt, ontvangt u dezelfde set voorvoegsels die worden geadverteerd door Microsoft op de Microsoft-peeringpaden. Deze configuratie resulteert in meerdere paden van uw netwerk in Microsoft. Deze configuratie kan ertoe leiden dat er suboptimale routeringsbeslissingen worden genomen binnen uw netwerk. Dit kan leiden tot suboptimale connectiviteitservaringen met andere services. Op basis van de communitywaarden worden de juiste routeringsbeslissingen genomen voor optimale routering naar gebruikers.
| Microsoft Azure-regio | Regionale BGP-community (privépeering) | Regionale BGP-community (Microsoft-peering) | BGP-community voor opslag | SQL BGP-community | Azure Cosmos DB BGP-community | Back-up maken van BGP-community |
|---|---|---|---|---|---|---|
| Noord-Amerika | ||||||
| VS - oost | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| VS - oost 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| VS - west | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| VS - west 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| US - west 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| VS - west-centraal | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| VS - noord-centraal | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| VS - zuid-centraal | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| Central US | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Canada - midden | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Canada - oost | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| Zuid-Amerika | ||||||
| Brazilië - zuid | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Europa | ||||||
| Europa - noord | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Europa -west | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| Verenigd Koninkrijk Zuid | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| Verenigd Koninkrijk West | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Frankrijk - centraal | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Frankrijk - zuid | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Zwitserland - noord | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Zwitserland - west | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Duitsland - noord | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Duitsland - west-centraal | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Noorwegen - oost | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Noorwegen - west | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Azië en Stille Oceaan | ||||||
| Azië - oost | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Azië - zuidoost | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Japan | ||||||
| Japan - oost | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Japan - west | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Australië | ||||||
| Australië - oost | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Australië - zuidoost | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Australië - overheid | ||||||
| Australië - centraal | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Australië - centraal 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| India | ||||||
| India - zuid | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| India - west | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| India - centraal | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Korea | ||||||
| Korea - zuid | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Korea - centraal | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| Zuid-Afrika | ||||||
| Zuid-Afrika - noord | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Zuid-Afrika - west | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| VAE | ||||||
| VAE - noord | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| UAE - centraal | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Alle routes die van Microsoft worden geadverteerd, worden gelabeld met de juiste communitywaarde.
Belangrijk
Globale voorvoegsels worden gemarkeerd met een juiste community-waarde.
Service naar BGP-communitywaarde
Naast de BGP-tag voor elke regio, tagt Microsoft ook voorvoegsels op basis van de service waartoe ze behoren. Deze tagging is alleen van toepassing op de Microsoft-peering. De volgende tabel bevat een toewijzing van de service aan BGP-communitywaarde. U kunt de cmdlet 'Get-AzBgpServiceCommunity' uitvoeren voor een volledige lijst met de meest recente waarden.
| Onderhoud | BGP-communitywaarde |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype voor Bedrijven Online (2) en (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Azure Global Services (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Andere Office 365 Online-services (2) | 12076:5100 |
| Microsoft Defender for Identity | 12076:5220 |
| Microsoft PSTN-services (5) | 12076:5250 |
(1) Azure Global Services omvat momenteel alleen Azure DevOps.
(2) Autorisatie vereist van Microsoft. Zie Routefilters configureren voor Microsoft-peering.
(3) Deze community publiceert ook de benodigde routes voor Microsoft Teams-services.
(4) CRM Online ondersteunt Dynamics v8.2 en lager. Selecteer voor hogere versies de regionale community voor uw Dynamics-implementaties.
(5) Het gebruik van Microsoft-peering met PSTN-services is beperkt tot specifieke use cases. Zie ExpressRoute gebruiken voor Microsoft PSTN-services.
Notitie
BGP-communitywaarden die u instelt op de routes die worden geadverteerd naar Microsoft, worden niet door Microsoft erkend.
Ondersteuning voor BGP-community's in nationale clouds
| Nationale clouds Azure-regio | BGP-communitywaarde |
|---|---|
| Amerikaanse overheid | |
| US Gov - Arizona | 12076:51106 |
| US Gov - Iowa | 12076:51109 |
| VS (overheid) - Virginia | 12076:51105 |
| US Gov - Texas | 12076:51108 |
| US DoD Central | 12076:51209 |
| US DoD East | 12076:51205 |
| China | |
| China - noord | 12076:51301 |
| China - oost | 12076:51302 |
| China - oost 2 | 12076:51303 |
| China - noord 2 | 12076:51304 |
| China - noord 3 | 12076:51305 |
| Service in nationale clouds | BGP-communitywaarde |
|---|---|
| Amerikaanse overheid | |
| Exchange Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype voor Bedrijven Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| Andere online services van Office 365 | 12076:5200 |
- Office 365-community's worden niet ondersteund via Microsoft Peering voor Microsoft Azure beheerd door de regio 21Vianet.
Volgende stappen
Configureer uw ExpressRoute-verbinding.