Migrera till en ny ExpressRoute-krets

Om du vill växla från en ExpressRoute-krets till en annan kan du göra det smidigt med minimalt avbrott i tjänsten. Det här dokumentet vägleder dig genom stegen för att migrera din produktionstrafik utan att orsaka större störningar eller risker. Den här metoden gäller oavsett om du flyttar till en ny eller samma peeringplats.

Om du har din ExpressRoute-krets via en Layer 3-tjänstprovider skapar du den nya kretsen under din prenumeration i Azure Portal. Arbeta med tjänstleverantören för att sömlöst växla trafik till den nya kretsen. När tjänstleverantören har avetablera din gamla krets tar du bort den från Azure Portal.

Resten av artikeln gäller om du har din ExpressRoute-krets via en Layer 2-tjänstprovider eller ExpressRoute-direktportar.

Steg för sömlös ExpressRoute-kretsmigrering

Det föregående diagrammet illustrerar migreringsprocessen från en befintlig ExpressRoute-krets, kallad Krets A, till en ny ExpressRoute-krets, kallad Krets B. Krets B kan finnas på samma eller en annan peeringplats som Krets A. Migreringsprocessen består av följande steg:

1. Distribuera krets B isolerat: Medan trafiken fortsätter att flöda över krets A distribuerar du en ny krets B utan att påverka produktionsmiljön.

2. Blockera produktionstrafikflödet via krets B: Förhindra all trafik från att använda krets B tills den har testats fullständigt och verifierats.

3. Slutför och verifiera anslutningen från slutpunkt till slutpunkt för krets B: Se till att krets B kan upprätta och upprätthålla en stabil och säker anslutning med alla nödvändiga slutpunkter.

4. Växla över trafiken: Omdirigera trafikflödet från krets A till krets B och blockera trafikflödet över krets A.

5. Inaktivera krets A: Ta bort krets A från nätverket och släpp dess resurser.

Distribuera ny krets isolerat

Om du vill ersätta den befintliga kretsen en-till-en väljer du alternativet Standardåterhämtning och följer stegen som beskrivs i guiden Skapa en krets med ExpressRoute för att skapa din nya ExpressRoute-krets (Krets B) på önskad peeringplats. Följ sedan stegen i Konfigurera peering för ExpressRoute-kretsen för att konfigurera de peeringtyper som krävs: privat och Microsoft.

Om du vill förhindra att den privata peering-produktionstrafiken använder krets B innan du testar och validerar den, ska du inte länka en virtuell nätverksgateway som har produktionsdistribution till krets B. På samma sätt ska du inte associera ett routningsfilter till krets B för att undvika att Microsoft peering-produktionstrafik använder krets B.

Blockera produktionstrafikflödet över den nyligen skapade kretsen

Förhindra vägannonseringen över en eller flera nya peerings på CE-enheterna.

För Cisco IOS kan du använda en route-map och en prefix-list för att filtrera de vägar som annonseras via en BGP-peering. I följande exempel visas hur du skapar och tillämpar en och en route-mapprefix-list för det här ändamålet:

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

router bgp <your_AS_number>
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
 neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in

Använd export-/importprincip för att filtrera de vägar som annonseras och tas emot på den nya peeringen på Junos-enheterna. I följande exempel visas hur du konfigurerar export-/importprincip för detta ändamål:

user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES

term reject-all {

    the reject;
}

protocols {
    bgp {
        group <your_group_name> {
            neighbor <neighbor_IP_address> {
                export [ BLOCK-ALL-ROUTES ];
                import [ BLOCK-ALL-ROUTES ];
            }
        }
    }
}

Verifiera anslutningen från slutpunkt till slutpunkt för den nyligen skapade kretsen

Privat peering

Om du vill länka den nya kretsen till gatewayen för ett virtuellt testnätverk och verifiera din privata peeringanslutning följer du stegen i Ansluta ett virtuellt nätverk till en ExpressRoute-krets . När du har länkat de virtuella nätverken till kretsen kontrollerar du routningstabellen för den privata peeringen för att säkerställa att adressutrymmet för det virtuella nätverket ingår. I följande exempel visas en routningstabell med den privata peeringen för en ExpressRoute-krets i Azure Management-portalen:

Följande diagram illustrerar en virtuell testdator i ett virtuellt testnätverk och en testenhet lokalt som används för att verifiera anslutningen via den privata ExpressRoute-peeringen.

Ändra routningskartan eller principkonfigurationen för att filtrera de annonserade vägarna och tillåta den lokala testenhetens specifika IP-adress. På samma sätt tillåter du att det virtuella nätverkets adressutrymme testas från Azure.

route-map BLOCK ADVERTISEMENTS permit 5
 match ip address prefix-list PERMIT-ROUTE

route-map BLOCK ADVERTISEMENTS deny 10
 match ip address prefix-list BLOCK-ALL-PREFIXES

ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32

ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32

Om du vill tillåta specifika IP-prefix för testenheter på Junos konfigurerar du en prefixlista. Konfigurera sedan BGP-import-/exportprincipen för att tillåta dessa prefix och avvisa allt annat.

user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS

term PERMIT-ROUTES {
    from {
        prefix-list PERMIT-ROUTE;
    }
    then accept;
}

term reject-all {
    then reject;
}

user@router>show configuration policy-options prefix-list PERMIT-ROUTE

10.1.18.10/32;
10.17.1.0/24;

Kontrollera anslutningen från slutpunkt till slutpunkt över den privata peeringen. Du kan till exempel pinga den virtuella testdatorn i Azure från din lokala testenhet och kontrollera resultaten. Stegvis detaljerad validering finns i Verifiera ExpressRoute-anslutning.

Microsoft-peering

Verifieringen av din Microsoft-peering kräver noggrann planering för att undvika att påverka produktionstrafiken. Följ dessa steg för att säkerställa en smidig process:

1. Använd distinkta prefix: Konfigurera Microsoft-peering för krets B med prefix som skiljer sig från de som används för krets A för att förhindra routningskonflikter. Se skapa Microsoft-peering för vägledning.
2. Separata routningsfilter: Länka Circuit B:s Microsoft-peering till ett annat vägfilter än krets A. Följ stegen i konfigurationen av routningsfilter för Microsoft-peering.
3. Undvik vanliga vägar: Se till att routningsfilter för båda kretsarna inte delar vanliga vägar för att förhindra asymmetrisk routning. Detta kan göras genom att:
   • Välja en tjänst eller Azure-region för testning av krets B som inte används av Krets A:s produktionstrafik.
   • Minimera överlappningen mellan de två vägfiltren och tillåta endast specifika offentliga testslutpunkter via krets B.

När du har länkat ett vägfilter kontrollerar du de vägar som annonseras och tas emot via BGP-peering på CE-enheten. Ändra konfigurationen av routningskartan eller Junos-principen för att filtrera de annonserade vägarna, vilket endast tillåter de lokala prefixen för Microsoft-peering och specifika IP-adresser för de valda offentliga Microsoft-slutpunkterna för testning.

Om du vill testa anslutningen till Microsoft 365-slutpunkter följer du stegen i Implementera ExpressRoute för Microsoft 365 – Skapa dina testprocedurer. För offentliga Azure-slutpunkter börjar du med grundläggande anslutningstester som traceroute från en lokal plats för att säkerställa att begäranden går via ExpressRoute-slutpunkter. Utöver ExpressRoute-slutpunkter ignoreras ICMP-meddelanden över Microsoft-nätverket. Testa dessutom anslutningen på programnivå. Om du till exempel har en virtuell Azure-dator med en offentlig IP-adress som kör en webbserver kan du prova att komma åt webbserverns offentliga IP-adress från ditt lokala nätverk via ExpressRoute-anslutningen. Detta bekräftar att komplex trafik, till exempel HTTP-begäranden, kan nå Azure-tjänster.

Privat peering

1. Koppla från krets B från alla virtuella testnätverksgatewayer.
2. Ta bort eventuella undantag som görs i Cisco-routningskartorna eller Junos-principen.
3. Anslut krets B till den virtuella nätverksgatewayen för produktion genom att följa stegen i Ansluta ett virtuellt nätverk till en ExpressRoute-krets.
4. Kontrollera att krets B är redo att annonsera alla vägar som för närvarande annonseras via krets A. Kontrollera att Circuit B-gränssnitt är associerade med lämplig VRF eller routningsinstans.
5. Ta bort routningskartorna eller principen i Circuit B-gränssnitt och tillämpa dem på Circuit A-gränssnitt för att blockera vägannonser via krets A, vilket växlar trafikflödet till krets B.
6. Kontrollera trafikflödet via krets B. Om verifieringen misslyckas återställer du ändringarna och växlar tillbaka trafikflödet till krets A.
7. Om verifieringen lyckas tar du bort krets A.

Microsoft-peering

1. Ta bort krets B från valfritt Azure-vägfilter för testning.
2. Ta bort eventuella undantag som görs i routningskartorna eller principen.
3. Se till att Krets B-gränssnitt är associerade med lämplig VRF eller routningsinstans.
4. Verifiera och bekräfta de annonserade prefixen via Microsoft-peering.
5. Associera Circuit B Microsoft-peering med Azure Route-filtret som för närvarande är associerat med Krets A.
6. Ta bort routningskartorna eller export-/importprincipen i Circuit B-gränssnitt och tillämpa dem på Circuit A-gränssnitt för att blockera vägannonser via krets A, vilket växlar trafikflödet till krets B.
7. Kontrollera trafikflödet via krets B. Om verifieringen misslyckas återställer du ändringarna och växlar tillbaka trafikflödet till krets A.
8. Om verifieringen lyckas tar du bort krets A.

Gå vidare

Mer information om routerkonfiguration finns i Exempel på routerkonfiguration för att konfigurera och hantera routning.