Requisiti per il routing di ExpressRoute
Per connettersi ai servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire il routing. Alcuni provider di connettività offrono la configurazione e la gestione del routing come servizio gestito. Rivolgersi al proprio provider di connettività per verificare se viene offerto questo servizio. Se non è offerto, è necessario rispettare i requisiti seguenti:
Vedere l'articolo Circuiti e domini di routing ExpressRoute per una descrizione delle sessioni di routing da configurare per facilitare la connettività.
Nota
Microsoft non supporta alcun protocollo di ridondanza del router, ad esempio HSRP o VRRP, per configurazioni a disponibilità elevata. Per la disponibilità elevata, Microsoft si avvale invece di una coppia ridondante di sessioni BGP per peering.
Indirizzi IP usati per il peering
Per configurare il routing tra la propria rete e i router perimetrali Enterprise di Microsoft (MSEE, Microsoft Enterprise Edge), sarà necessario riservare alcuni blocchi di indirizzi IP. Questa sezione fornisce un elenco di requisiti e descrive le regole che indicano la modalità di acquisizione e di utilizzo di questi indirizzi IP.
Indirizzi IP usati per il peering privato di Azure
È possibile usare indirizzi IP privati o indirizzi IP pubblici per configurare il peering. L'intervallo di indirizzi usato per la configurazione delle route non può sovrapporsi agli intervalli di indirizzi usati per le reti virtuali in Azure.
- IPv4:
- È necessario riservare una
/29
subnet o due/30
subnet per le interfacce di routing. - Le subnet usate per il routing possono essere costituite sia da indirizzi IP privati sia da indirizzi IP pubblici.
- Le subnet non devono essere in conflitto con l'intervallo riservato dal cliente per l'uso in Microsoft Cloud.
- Se viene usata una
/29
subnet, viene suddivisa in due/30
subnet.- La prima
/30
subnet viene usata per il collegamento primario e la seconda/30
subnet viene usata per il collegamento secondario. - Per ognuna delle
/30
subnet, è necessario usare il primo indirizzo IP della/30
subnet per il router. Microsoft usa il secondo indirizzo IP della/30
subnet per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio di disponibilità sia valido.
- La prima
- È necessario riservare una
- IPv6:
- È necessario riservare una
/125
subnet o due/126
subnet per le interfacce di routing. - Le subnet usate per il routing possono essere costituite sia da indirizzi IP privati sia da indirizzi IP pubblici.
- Le subnet non devono essere in conflitto con l'intervallo riservato dal cliente per l'uso in Microsoft Cloud.
- Se viene usata una
/125
subnet, viene suddivisa in due/126
subnet.- La prima
/126
subnet viene usata per il collegamento primario e la seconda/126
subnet viene usata per il collegamento secondario. - Per ognuna delle
/126
subnet, è necessario usare il primo indirizzo IP della/126
subnet per il router. Microsoft usa il secondo indirizzo IP della/126
subnet per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio di disponibilità sia valido.
- La prima
- È necessario riservare una
Esempio per il peering privato
Se si sceglie di usare a.b.c.d/29
per configurare il peering, viene suddiviso in due /30
subnet. Nell'esempio seguente si noti come viene usata la a.b.c.d/29
subnet:
a.b.c.d/29
viene suddiviso ina.b.c.d/30
ea.b.c.d+4/30
passato a Microsoft tramite le API di provisioning.- Si usa
a.b.c.d+1
come IP VRF per l'istanza primaria pe e Microsoft usaa.b.c.d+2
come IP VRF per il M edizione Standard E primario. - Si usa
a.b.c.d+5
come IP VRF per il pe secondario e Microsoft usaa.b.c.d+6
come IP VRF per l'M edizione Standard E secondario.
- Si usa
Si consideri un caso in cui si sceglie di configurare 192.168.100.128/29
il peering privato. 192.168.100.128/29
include gli indirizzi da 192.168.100.128
a 192.168.100.135
, tra cui:
192.168.100.128/30
viene assegnato alink1
, con provider che usa192.168.100.129
e Microsoft tramite192.168.100.130
.192.168.100.132/30
viene assegnato alink2
, con provider che usa192.168.100.133
e Microsoft tramite192.168.100.134
.
Indirizzi IP usati per il peering Microsoft
Per configurare le sessioni BGP è necessario usare indirizzi IP pubblici di proprietà. Microsoft deve essere in grado di verificare la proprietà degli indirizzi IP tramite il Routing Internet Registry e l'Internet Routing Registry.
- Gli indirizzi IP elencati nel portale per i prefissi pubblici annunciati per il peering Microsoft creano ACL per i router principali Microsoft per consentire il traffico in ingresso da questi indirizzi IP.
- È necessario usare una subnet univoca
/29
(IPv4) o (IPv6) o/125
due/30
subnet (IPv4) o/126
(IPv6) per configurare il peering BGP per ogni peering per ogni circuito ExpressRoute, se ne sono presenti più. - Se viene usata una
/29
subnet, viene suddivisa in due/30
subnet. - La prima
/30
subnet viene usata per il collegamento primario e la seconda/30
subnet viene usata per il collegamento secondario. - Per ognuna delle
/30
subnet, è necessario usare il primo indirizzo IP della/30
subnet nel router. Microsoft usa il secondo indirizzo IP della/30
subnet per configurare una sessione BGP. - Se viene usata una
/125
subnet, viene suddivisa in due/126
subnet. - La prima
/126
subnet viene usata per il collegamento primario e la seconda/126
subnet viene usata per il collegamento secondario. - Per ognuna delle
/126
subnet, è necessario usare il primo indirizzo IP della/126
subnet nel router. Microsoft usa il secondo indirizzo IP della/126
subnet per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio per la disponibilità sia valido.
Indirizzi IP usati per il peering pubblico di Azure
Nota
Il peering pubblico di Azure non è disponibile per i nuovi circuiti ExpressRoute.
Per configurare le sessioni BGP è necessario usare indirizzi IP pubblici di proprietà. Microsoft deve essere in grado di verificare la proprietà degli indirizzi IP tramite il Routing Internet Registry e l'Internet Routing Registry.
- È necessario usare una subnet univoca
/29
o due/30
subnet per configurare il peering BGP per ogni peering per ogni circuito ExpressRoute(se sono presenti più subnet). - Se viene usata una
/29
subnet, viene suddivisa in due/30
subnet.- La prima
/30
subnet viene usata per il collegamento primario e la seconda/30
subnet viene usata per il collegamento secondario. - Per ognuna delle
/30
subnet, è necessario usare il primo indirizzo IP della/30
subnet nel router. Microsoft usa il secondo indirizzo IP della/30
subnet per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio di disponibilità sia valido.
- La prima
Requisito dell'indirizzo IP pubblico
Peering privato
È possibile scegliere di usare gli indirizzi IPv4 pubblici o privati per il peering privato. Viene fornito l'isolamento end-to-end del traffico, quindi la sovrapposizione di indirizzi con altri clienti non è possibile per il peering privato. Questi indirizzi non vengono annunciati a Internet.
Peering Microsoft
Il percorso di peering di Microsoft consente di connettersi ai servizi cloud Microsoft. L'elenco dei servizi include i servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online, Skype for Business e Microsoft Teams. Microsoft supporta la connettività bidirezionale nel peering Microsoft. Il traffico destinato ai servizi cloud Microsoft nel peering pubblico deve usare indirizzi IPv4 pubblici validi per poter accedere alla rete Microsoft.
Assicurarsi che l'indirizzo IP e il numero AS siano registrati a nome dell'utente in uno dei registri seguenti:
Se i prefissi e il numero AS non sono assegnati all'utente specifico nei registri precedenti, è necessario aprire un caso di supporto per la convalida manuale di prefissi e ASN. Il supporto richiede documentazione, ad esempio una lettera di autorizzazione, che dimostri che l'utente è autorizzato a usare quel prefisso.
Un numero AS privato è consentito con il peering Microsoft, ma è necessaria la convalida manuale. Inoltre, i numeri AS privati in AS PATH per i prefissi ricevuti vengono rimossi. Di conseguenza, non è possibile aggiungere numeri AS privati in AS PATH per determinare il routing per peering Microsoft. Inoltre, i numeri AS 64496 - 64511 riservati da IANA per scopi di documentazione non sono consentiti nel percorso.
Importante
Non annunciare la stessa route IP pubblica tramite Internet pubblico ed ExpressRoute. Per ridurre il rischio che una configurazione errata causi un routing asimmetrico, è opportuno che gli indirizzi IP NAT annunciati a Microsoft su ExpressRoute siano inclusi in un intervallo non annunciato a Internet. Se questo non è possibile, è essenziale assicurarsi di annunciare un intervallo su ExpressRoute più specifico di quello sulla connessione Internet. Oltre alla route pubblica per NAT, è anche possibile annunciare tramite ExpressRoute gli indirizzi IP pubblici usati dai server nella rete locale che comunicano con gli endpoint di Microsoft 365 all'interno di Microsoft.
Peering pubblico (obsoleto: non è disponibile per i circuiti nuovi)
Il percorso di peering pubblico di Azure consente di connettersi a tutti i servizi ospitati in Azure tramite i relativi indirizzi IP pubblici. Questi includono i servizi elencati nelle domande frequenti su ExpressRoute e in tutti i servizi ospitati dagli ISV in Microsoft Azure. La connettività ai servizi di Microsoft Azure nel peering pubblico viene sempre avviata dalla propria rete nella rete Microsoft. È necessario usare gli indirizzi IP pubblici per il traffico destinato alla rete Microsoft.
Importante
Tutti i servizi PaaS di Azure sono accessibili tramite il peering Microsoft.
Con il peering pubblico è consentito un numero AS privato.
Scambio di route dinamico
Lo scambio di routing è su protocollo eBGP. Vengono stabilite sessioni eBGP tramite i router MSEE e i propri router. L'autenticazione delle sessioni BGP non è un requisito. Se necessario, è possibile configurare un hash MD5. Vedere il Configura routing e il Circuito flussi di lavoro di provisioning e circuito stati per informazioni sulla configurazione delle sessioni BGP.
Numeri di sistema autonomo (ASN)
Microsoft usa il numero AS 12076 per il peering pubblico di Azure, il peering privato di Azure e il peering Microsoft. Gli ASN da 65515 a 65520 sono riservati per uso interno. Sono supportati sia numeri AS a 16 bit che a 32 bit.
Non sono previsti requisiti per la simmetria del trasferimento dei dati. I percorsi di andata e ritorno possono transitare attraverso coppie di router diverse. Le route identiche devono essere annunciate da entrambi i lati in più coppie di circuiti appartenenti all'utente. Le metriche di route non devono essere identiche.
Limiti per i prefissi e l'aggregazione di route
ExpressRoute supporta fino a 4000 prefissi IPv4 e 100 prefissi IPv6 annunciati a Microsoft tramite il peering privato di Azure. Questo limite può essere aumentato fino a 10.000 prefissi IPv4 se il componente aggiuntivo ExpressRoute Premium è abilitato. ExpressRoute accetta fino a 200 prefissi per ogni sessione BGP per il peering pubblico e Microsoft di Azure.
La sessione BGP viene eliminata se il numero di prefissi supera il limite. ExpressRoute accetta route predefinite solo nel collegamento di peering privato. Il provider deve filtrare le route predefinite e gli indirizzi IP privati (RFC 1918) dai percorsi per il peering pubblico di Azure e il peering Microsoft.
Routing di transito e routing tra aree
ExpressRoute non può essere configurato come router di transito. È necessario affidarsi al provider di connettività per i servizi di routing di transito.
Annuncio delle route predefinite
Le route predefinite sono consentite solo nelle sessioni di peering privato di Azure. In tal caso, ExpressRoute instrada tutto il traffico dalle reti virtuali associate alla rete. La pubblicità delle route predefinite nel peering privato comporta il blocco del percorso Internet da Azure. In questo caso, per indirizzare il traffico da e verso Internet per i servizi ospitati in Azure, sarà necessario usare il proprio router CE (Corporate Edge).
Per abilitare la connettività ad altri servizi di Azure e ai servizi di infrastruttura, è necessario verificare che:
- Il peering pubblico di Azure sia abilitato per l'instradamento del traffico a endpoint pubblici.
- Si usi il routing definito dall'utente per consentire la connettività Internet per ogni subnet che la richiede.
Nota
L'annuncio delle route predefinite interromperà l'attivazione della licenza di Windows e di altre macchine virtuali. Per informazioni su una soluzione alternativa, vedere Usare route definite dall'utente per abilitare l'attivazione Servizio di gestione delle chiavi.
Supporto per le community BGP
Questa sezione offre una panoramica del modo in cui le community BGP vengono usate con ExpressRoute. Microsoft annuncia le route nei percorsi di peering privati, Microsoft e pubblici (deprecati) con route contrassegnate con valori della community appropriati. La logica per farlo e i dettagli sui valori della community vengono descritti come seguiti. Microsoft, tuttavia, non rispetta i valori della community contrassegnati per le route annunciate a Microsoft.
Per il peering privato, se si configura un valore della community BGP personalizzato nelle reti virtuali di Azure, verrà visualizzato questo valore personalizzato e un valore della community BGP a livello di area nelle route di Azure annunciate all'ambiente locale tramite ExpressRoute.
Per il peering Microsoft, ci si connette a Microsoft tramite ExpressRoute in qualsiasi posizione di peering all'interno di un'area geopolitica. È anche possibile accedere a tutti i servizi cloud Microsoft in tutte le aree entro il limite geopolitico.
Ad esempio, se si è connessi a Microsoft ad Amsterdam tramite ExpressRoute, si ha accesso a tutti i servizi cloud Microsoft ospitati in Europa settentrionale ed Europa occidentale.
Per un elenco dettagliato delle aree geopolitiche, delle aree di Azure associate e delle località di peering ExpressRoute corrispondenti, vedere la pagina Partner e località i peering per ExpressRoute .
È possibile acquistare più di un circuito ExpressRoute per area geopolitica. Un maggior numero di connessioni offre vantaggi significativi in termini di disponibilità elevata, grazie alla ridondanza geografica. Nei casi in cui si dispone di più circuiti ExpressRoute, si riceve lo stesso set di prefissi annunciati da Microsoft nei percorsi di peering e peering pubblico Microsoft. Questa configurazione comporta più percorsi dalla rete a Microsoft. Questa configurazione può potenzialmente causare decisioni di routing non ottimali da prendere all'interno della rete. che possono a propria volta determinare esperienze di connettività non ottimali per diversi servizi. Per prendere decisioni di routing appropriate e offrire un servizio di routing ottimale agli utenti, è possibile usare i valori della community.
Area di Microsoft Azure | Community BGP regionale (peering privato) | Community BGP regionale (peering Microsoft) | Archiviazione community BGP | Community di SQL BGP | Community BGP di Azure Cosmos DB | Community BGP di backup |
---|---|---|---|---|---|---|
America del Nord | ||||||
Stati Uniti orientali | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
Stati Uniti orientali 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
Stati Uniti occidentali | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
Stati Uniti occidentali 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
Stati Uniti centro-occidentali | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
Stati Uniti centro-settentrionali | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
Stati Uniti centro-meridionali | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
Stati Uniti centrali | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
Canada centrale | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
Canada orientale | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
America del Sud | ||||||
Brasile meridionale | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
Europa | ||||||
Europa settentrionale | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
Europa occidentale | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
Regno Unito meridionale | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
Regno Unito occidentale | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
Francia centrale | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
Francia meridionale | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
Svizzera settentrionale | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
Svizzera occidentale | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
Germania settentrionale | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
Germania centro-occidentale | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
Norvegia orientale | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
Norvegia occidentale | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
Asia Pacifico | ||||||
Asia orientale | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
Asia sud-orientale | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
Giappone | ||||||
Giappone orientale | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
Giappone occidentale | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
Australia | ||||||
Australia orientale | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
Australia sud-orientale | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
Australia Government | ||||||
Australia centrale | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
Australia centrale 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
India | ||||||
India meridionale | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
India occidentale | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
India centrale | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
Corea del Sud | ||||||
Corea meridionale | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
Corea centrale | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
Sudafrica | ||||||
Sudafrica settentrionale | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
Sudafrica occidentale | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
Emirati Arabi Uniti | ||||||
Emirati Arabi Uniti settentrionali | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
Emirati Arabi Uniti centrali | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Tutte le route annunciate da Microsoft vengono contrassegnate con il valore della community appropriato.
Importante
I prefissi globali vengono contrassegnati con un valore della community appropriato.
Valore della community da servizio a BGP
Oltre al tag BGP per ogni area, Microsoft contrassegna anche i prefissi in base al servizio a cui appartengono. Questo tag si applica solo al peering Microsoft. La tabella seguente fornisce un mapping del servizio al valore della community BGP. È possibile eseguire il cmdlet 'Get-AzBgpServiceCommunity' per un elenco completo dei valori più recenti.
Servizio | Valore della community BGP |
---|---|
Exchange Online (2) | 12076:5010 |
SharePoint Online (2) | 12076:5020 |
Skype For Business Online (2) e (3) | 12076:5030 |
CRM Online (4) | 12076:5040 |
Servizi globali di Azure (1) | 12076:5050 |
Microsoft Entra ID | 12076:5060 |
Azure Resource Manager | 12076:5070 |
Altri servizi di Office 365 Online (2) | 12076:5100 |
Microsoft Defender per identità | 12076:5220 |
Servizi PSTN Microsoft (5) | 12076:5250 |
(1) Servizi globali di Azure include solo Azure DevOps al momento.
(2) Autorizzazione richiesta da Microsoft. Vedere Configurare i filtri di route per il peering Microsoft.
(3) Questa community pubblica anche le route necessarie per i servizi di Microsoft Teams.
(4) CRM Online supporta Dynamics v8.2 e versioni successive. Per le versioni successive, selezionare la community a livello di area per le distribuzioni di Dynamics.
(5) L'uso del peering Microsoft con i servizi PSTN è limitato a casi d'uso specifici. Vedere Uso di ExpressRoute per i servizi PSTN Microsoft.
Nota
Microsoft non riconosce eventuali valori di BGP Community impostati sulle route pubblicate su Microsoft.
Supporto di community BGP nei cloud nazionali
Area di Azure per cloud nazionali | Valore della community BGP |
---|---|
US Government | |
US Gov Arizona | 12076:51106 |
US Gov Iowa | 12076:51109 |
US Gov Virginia | 12076:51105 |
US Gov Texas | 12076:51108 |
US DoD Central | 12076:51209 |
US DoD East | 12076:51205 |
Cina | |
Cina settentrionale | 12076:51301 |
Cina orientale | 12076:51302 |
Cina orientale 2 | 12076:51303 |
Cina settentrionale 2 | 12076:51304 |
Servizio dei cloud nazionali | Valore della community BGP |
---|---|
US Government | |
Exchange Online | 12076:5110 |
SharePoint Online | 12076:5120 |
Skype for Business Online | 12076:5130 |
Microsoft Entra ID | 12076:5160 |
Altri servizi online di Office 365 | 12076:5200 |
- Le community di Office 365 non sono supportate tramite il peering Microsoft per Microsoft Azure gestito dall'area 21Vianet.
Passaggi successivi
Configurare la connessione ExpressRoute.