Настройка пиринга для цепи ExpressRoute
С каналом ExpressRoute связано два варианта пиринга: Частный пиринг Azure и Майкрософт. Каждый пиринг настраивается одинаково в паре маршрутизаторов (в конфигурации "активный — активный" или с разделением нагрузки) для обеспечения высокой доступности. Службы Azure классифицируются как общедоступные и частные, отражая схемы IP-адресации.
Создание конфигурации пиринга
- Вы можете настроить частный пиринг и пиринг Майкрософт для канала ExpressRoute. Пиринг можно настроить в любом порядке. главное, выполнять их конфигурацию по очереди.
- Вам потребуется активный канал ExpressRoute. Чтобы настроить пиринги, канал ExpressRoute должен находиться в состоянии подготовки и включения.
- Если вы планируете использовать общий ключ или хэш MD5, используйте его на обеих сторонах туннеля. Ограничение составляет 25 буквенно-цифровых символов. Специальные символы не поддерживаются.
Выберите между только частным пирингом, только пирингом Майкрософт или обоими
В следующей таблице сравниваются два пиринга. Публичный пиринг не рекомендуется для нового пиринга.
| Функции | Частный пиринг | Пиринг Майкрософт |
|---|---|---|
| Макс. Поддерживается # префикса на одно пиринг | 4000 по умолчанию, 10 000 с ExpressRoute Premium | 200 |
| Поддерживаемые диапазоны IP-адресов | Любой допустимый IP-адрес в глобальной сети. | Общедоступные IP-адреса, принадлежащие вам или вашему поставщику услуг подключения. |
| Требования к номерам AS | Общедоступные и частные номера AS. Для использования общедоступного номера AS вы должны быть его владельцем. | Общедоступные и частные номера AS. Тем не менее необходимо подтвердить права владельца общедоступных IP-адресов. |
| Поддерживаемые протоколы IP | IPv4, IPv6 (предварительная версия) | IPv4, IPv6 |
| IP-адреса интерфейса маршрутизации | RFC1918 и общедоступные IP-адреса | Общедоступные IP-адреса, зарегистрированные на вас в реестрах маршрутизации. |
| Поддержка MD5-хэша | Да | Да |
Можно включить один или несколько доменов маршрутизации в рамках вашего канала ExpressRoute. Если вы хотите объединить все домены маршрутизации в один, поместите их в один и тот же VPN. Рекомендуется конфигурация, когда частный пиринг подключен напрямую к основной сети, а ссылки общедоступного пиринга и пиринга Майкрософт подключены к вашей сети DMZ.
Каждый пиринг требует отдельных сеансов BGP (по одной паре для каждого типа пиринга). Пары сеансов BGP обеспечивают высокодоступную связь. Если вы подключаетесь через поставщики подключений уровня 2, вы несете ответственность за настройку и управление маршрутизацией.
Внимание
Поддержка IPv6 для частного пиринга сейчас предоставляется в общедоступной предварительной версии. Если вы хотите подключить виртуальную сеть к каналу ExpressRoute с настроенным частным пирингом на основе IPv6, убедитесь, что ваша виртуальная сеть имеет два стека и соответствует рекомендациям по IPv6 для виртуальной сети Azure.
Настройка частного пиринга
Вычислительные службы Azure, а именно виртуальные машины и облачные службы, развернутые в виртуальной сети, могут быть подключены через частный пиринговый домен. Домен частного пиринга — это доверенное расширение вашей базовой сети в Microsoft Azure. Можно настроить двунаправленное подключение между вашей основной сетью и виртуальными сетями Azure. Этот пиринг позволяет подключаться к виртуальным машинам и облачным службам непосредственно по их частным IP-адресам.
Вы можете подключать к домену частного пиринга несколько виртуальных сетей. Актуальные сведения об ограничениях см. на странице Подписка Azure, границы, квоты и ограничения службы.
Настройка пиринга Майкрософт
Подключение к онлайн-сервисам Майкрософт (Microsoft 365 и Azure PaaS) осуществляется через пиринг Майкрософт. Вы можете включить двунаправленное соединение между вашей глобальной сетью и облачными службами Майкрософт через домен пиринговой маршрутизации Майкрософт. Необходимо подключиться к облачным службам Майкрософт только через общедоступные IP-адреса, принадлежащие вам или поставщику услуг подключения, и вы должны соответствовать всем определенным правилам.
Настройка фильтров маршрутов для пиринга Майкрософт
Фильтры маршрутов — это один из способ использовать целый ряд поддерживаемых служб через пиринг Майкрософт.
Службы Microsoft 365, такие как Exchange Online, SharePoint Online и Skype для бизнеса, доступны через пиринг Майкрософт. При настройке пиринга Майкрософт в канале ExpressRoute все префиксы, которые относятся к этим службам, объявляются через установленные сеансы BGP. Значение сообщества BGP подключается к каждому префиксу для идентификации службы, предлагаемой через него.
Подключение ко всем службам Azure и Microsoft 365 приводит к тому, что многие префиксы будут объявлены через BGP. Это значительно увеличивает размер таблиц маршрутов, которые обслуживают маршрутизаторы в вашей сети. Если вы планируете использовать только подмножество служб, предлагаемых через пиринг Майкрософт, размер таблиц маршрутизации можно уменьшить двумя способами. Вы можете:
- Отфильтровывать нежелательные префиксы путем применения фильтров маршрутов к сообществам BGP. Это стандартный подход, который часто используется при работе со многими сетями.
- Определять фильтры маршрутов и применять их к каналу ExpressRoute. Фильтр маршрутов — это новый ресурс, который позволяет выбрать список служб, которые вы собираетесь использовать через пиринг Майкрософт. Маршрутизаторы ExpressRoute отправляют только список префиксов, которые принадлежат службам, определяемым в фильтре маршрутов.
О фильтрах маршрута
При настроенном пиринге Майкрософт для канала ExpressRoute пограничные маршрутизаторы Майкрософт устанавливают пару сеансов BGP с пограничными маршрутизаторами через вашего поставщика услуг подключения. В вашей сети маршруты не объявляются. Чтобы включить объявление маршрутов в своей сети, необходимо связать с ней фильтр маршрутов.
Фильтр маршрутов позволяет вам идентифицировать службы, которые можно использовать через пиринг Майкрософт по каналу ExpressRoute. Это фактически список разрешений для всех значений сообщества BGP. После определения ресурса фильтра маршрутов и его подключения к каналу ExpressRoute все префиксы, которые сопоставляются со значениями сообщества BGP, объявляются в сети.
Чтобы подключить фильтры маршрутов к службам Microsoft 365, у вас должно быть разрешение на использование этих служб через ExpressRoute. Если у вас нет такого разрешения, подключение фильтров маршрутов завершится сбоем.