Переход на новый канал ExpressRoute

Если вы хотите переключиться с одного канала ExpressRoute на другой, это можно сделать плавно с минимальным прерыванием работы службы. В этом документе описаны шаги по переносу рабочего трафика без возникновения серьезных нарушений или рисков. Этот метод применяется к переходу к новому или одному расположению пиринга.

Если у вас есть канал ExpressRoute через поставщика услуг уровня 3, создайте новый канал под подпиской в портал Azure. Обратитесь к поставщику услуг, чтобы легко переключать трафик на новый канал. После отмены подготовки старого канала поставщик услуг удалите его из портал Azure.

Остальная часть статьи применяется, если у вас есть канал ExpressRoute через поставщика услуг уровня 2 или прямые порты ExpressRoute.

Шаги по простой миграции каналов ExpressRoute

На предыдущей схеме показан процесс миграции из существующего канала ExpressRoute, называемого каналом A, в новый канал ExpressRoute, называемый каналом B. Канал B может находиться в том же или другом расположении пиринга, что и канал A. Процесс миграции состоит из следующих шагов:

1. Развертывание канала B в изоляции: в то время как трафик продолжает передаваться по каналу A, развертывает новый канал B без влияния на рабочую среду.

2. Блокировать рабочий поток трафика по каналу B. Запретить использование трафика канала B до тех пор, пока не будет проверено полностью и проверено.

3. Завершение и проверка сквозного подключения канала B. Убедитесь, что канал B может устанавливать и поддерживать стабильное и безопасное подключение ко всем необходимым конечным точкам.

4. Переключите трафик: перенаправьте поток трафика из канала A в канал B и заблокируйте поток трафика по каналу A.

5. Канал вывода из эксплуатации: удалите канал A из сети и отпустите свои ресурсы.

Развертывание нового канала в изоляции

Для замены существующего канала выберите параметр "Стандартный уровень устойчивости " и выполните действия, описанные в руководстве "Создание канала с помощью ExpressRoute", чтобы создать новый канал ExpressRoute (канал B) в нужном расположении пиринга. Затем выполните действия, описанные в разделе "Настройка пиринга для канала ExpressRoute", чтобы настроить необходимые типы пиринга: частный и Microsoft.

Чтобы предотвратить использование сетевого трафика частного пиринга перед тестированием и проверкой, не связывайте шлюз виртуальной сети с рабочим развертыванием с каналом B. Аналогичным образом, чтобы избежать пиринга Майкрософт от использования канала B, не свяжите фильтр маршрутов с каналом B.

Блокировать рабочий поток трафика через только что созданный канал

Запретите рекламу маршрута через один или несколько новых пирингов на устройствах CE.

Для Cisco IOS можно использовать route-map и prefix-list фильтровать маршруты, объявленные через пиринг BGP. В следующем примере показано, как создать и применить a route-map и применить prefix-list для этой цели:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Используйте политику экспорта и импорта для фильтрации маршрутов, объявленных и полученных на новых пирингах на устройствах Junos. В следующем примере показано, как настроить политику экспорта и импорта для этой цели:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Проверка сквозного подключения только что созданного канала

Частный пиринг

Чтобы связать новый канал с шлюзом тестовой виртуальной сети и проверить подключение к частному пирингу, выполните действия, описанные в разделе "Подключение виртуальной сети к каналу ExpressRoute". После связывания виртуальных сетей с каналом проверьте таблицу маршрутов частного пиринга, чтобы обеспечить включение адресного пространства виртуальной сети. В следующем примере показана таблица маршрутов частного пиринга канала ExpressRoute на портале управления Azure:

На следующей схеме показана тестовая виртуальная машина в тестовой виртуальной сети и локальное устройство тестирования, используемое для проверки подключения через частный пиринг ExpressRoute.

Измените конфигурацию карты маршрутов или политики, чтобы отфильтровать объявленные маршруты и разрешить конкретный IP-адрес локального тестового устройства. Аналогичным образом разрешите адресное пространство тестовой виртуальной сети из Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Чтобы разрешить определенные префиксы IP-адресов для тестовых устройств в Junos, настройте список префиксов. Затем настройте политику импорта и экспорта BGP, чтобы разрешить эти префиксы и отклонить все остальное.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Проверьте сквозное подключение через частный пиринг. Например, можно проверить результаты проверки тестовой виртуальной машины в Azure из локального тестового устройства. Пошаговая проверка см. в разделе "Проверка подключения ExpressRoute".

Пиринг Майкрософт

Проверка пиринга Майкрософт требует тщательного планирования, чтобы избежать влияния на рабочий трафик. Выполните следующие действия, чтобы обеспечить гладкий процесс:

1. Используйте отдельные префиксы: настройте пиринг Майкрософт для канала B с префиксами, отличными от тех, которые используются для канала A, чтобы предотвратить конфликты маршрутизации. Сведения о создании пиринга Майкрософт см. в руководстве.
2. Отдельные фильтры маршрутов: пиринг канала B канала B майкрософт отличается от фильтра маршрутов, отличного от канала A. Выполните действия по настройке фильтров маршрутов для пиринга Майкрософт.
3. Избегайте распространенных маршрутов. Убедитесь, что фильтры маршрутов для обоих каналов не используют общие маршруты, чтобы предотвратить асимметричную маршрутизацию. Это можно сделать следующим образом:
   • Выбор службы или региона Azure для тестирования канала B, который не используется рабочим трафиком канала A.
   • Минимизация перекрытия между двумя фильтрами маршрутов и разрешение только определенных тестовых общедоступных конечных точек через канал B.

После связывания фильтра маршрутов проверьте маршруты, объявленные и полученные через пиринг BGP на устройстве CE. Измените конфигурацию схемы маршрутов или политики Junos, чтобы отфильтровать объявленные маршруты, позволяя только локальным префиксам пиринга Майкрософт и определенным IP-адресам выбранных общедоступных конечных точек Майкрософт для тестирования.

Чтобы проверить подключение к конечным точкам Microsoft 365, выполните действия, описанные в статье "Реализация ExpressRoute для Microsoft 365— создание процедур тестирования". Для общедоступных конечных точек Azure начните с базовых тестов подключения, таких как traceroute из локальной среды, чтобы гарантировать, что запросы проходят через конечные точки ExpressRoute. Помимо конечных точек ExpressRoute сообщения ICMP подавляются по сети Майкрософт. Кроме того, проверьте подключение на уровне приложения. Например, если у вас есть виртуальная машина Azure с общедоступным IP-адресом, на котором запущен веб-сервер, попробуйте получить доступ к общедоступному IP-адресу веб-сервера из локальной сети через подключение ExpressRoute. Это подтверждает, что сложный трафик, например HTTP-запросы, может получить доступ к службам Azure.

Частный пиринг

1. Отключить канал B от всех тестовых шлюзов виртуальной сети.
2. Удалите все исключения, сделанные в политике Cisco route-maps или Junos.
3. Подключите канал B к шлюзу рабочей виртуальной сети, выполнив действия, описанные в разделе "Подключение виртуальной сети к каналу ExpressRoute".
4. Убедитесь, что канал B готов объявлять все маршруты, объявленные в настоящее время по каналу A. Убедитесь, что интерфейсы канала B связаны с соответствующим экземпляром VRF или маршрутизации.
5. Удалите карты маршрутов или политику в интерфейсах канала B и примените их к интерфейсам канала A, чтобы заблокировать объявления маршрутов по каналу A, переключив поток трафика на канал B.
6. Проверьте поток трафика через канал B. Если проверка завершается ошибкой, измените изменения и переключите поток трафика обратно в канал A.
7. Если проверка выполнена успешно, удалите канал A.

Пиринг Майкрософт

1. Удалите канал B из любого тестового фильтра маршрутов Azure.
2. Удалите все исключения, сделанные в картах маршрутов или политике.
3. Убедитесь, что интерфейсы канала B связаны с соответствующим экземпляром VRF или маршрутизацией.
4. Проверьте и подтвердите объявленные префиксы через пиринг Майкрософт.
5. Связывание пиринга Канала B с фильтром маршрутов Azure, связанным с каналом A.
6. Удалите карты маршрутов или политику экспорта или импорта в интерфейсах канала B и примените их к интерфейсам канала A, чтобы заблокировать объявления маршрутов по каналу A, переключив поток трафика на канал B.
7. Проверьте поток трафика через канал B. Если проверка завершается ошибкой, измените изменения и переключите поток трафика обратно в канал A.
8. Если проверка выполнена успешно, удалите канал A.

Следующий шаг

Дополнительные сведения о конфигурации маршрутизатора см . в примерах конфигурации маршрутизатора для настройки маршрутизации и управления ими.