ExpressRoute のルーティングの要件

ExpressRoute を使用して Microsoft クラウド サービスに接続するには、ルーティングを設定して管理する必要があります。 一部の接続プロバイダーでは、ルーティングのセットアップと管理が管理されたサービスとして提供されています。 このサービスが提供されているかどうか、接続プロバイダーに問い合わせてください。 提供されていない場合は、次の要件に従う必要があります。

接続を容易にするために設定する必要があるルーティング セッションの説明については、回線とルーティング ドメインに関する記事をご覧ください。

Note

Microsoft では、高可用性構成のためのルーター冗長化プロトコル (HSRPまたはVRRP など) をサポートしていません。 代わりに、ピアリングごとの BGP セッションの冗長ペアに依存して高可用性を実現します。

ピアリングに使用する IP アドレス

ネットワークと Microsoft のエンタープライズ エッジ (MSEE) ルーター間のルーティングを構成するには、IP アドレスのいくつかのブロックを予約する必要があります。 このセクションでは、要件の一覧を示すと共に、これらの IP アドレスを取得および使用する方法に関する規則について説明します。

Azure プライベート ピアリングに使用する IP アドレス

ピアリングは、プライベート IP アドレスまたはパブリック IP アドレスを使用して構成できます。 ルートを構成するために使用されるアドレス範囲は、Azure で仮想ネットワークに使用されるアドレス範囲と重複することはできません。

  • :
    • ルーティング インターフェイス用に、1 つの /29 サブネットまたは 2 つの /30 サブネットを予約する必要があります。
    • ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
    • サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
    • /29 サブネットを使用すると、2 つの /30 サブネットに分割されます。
      • 最初の /30 サブネットはプライマリ リンクに、2 つ目の /30 サブネットはセカンダリ リンクに使用します。
      • それぞれの /30 サブネットに対し、/30 サブネットの最初の IP アドレスをルーターに使用する必要があります。 Microsoft は、/30 サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。
      • 可用性 SLA を有効にするには、両方の BGP セッションを設定する必要があります。
  • :
    • ルーティング インターフェイス用に、1 つの /125 サブネットまたは 2 つの /126 サブネットを予約する必要があります。
    • ルーティングに使用するサブネットには、プライベート IP アドレスまたはパブリック IP アドレスを指定できます。
    • サブネットと、Microsoft クラウドで使用するために顧客によって予約された範囲とが競合しないようにする必要があります。
    • /125 サブネットを使用すると、2 つの /126 サブネットに分割されます。
      • 最初の /126 サブネットはプライマリ リンクに、2 つ目の /126 サブネットはセカンダリ リンクに使用します。
      • それぞれの /126 サブネットに対し、/126 サブネットの最初の IP アドレスをルーターに使用する必要があります。 Microsoft は、/126 サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。
      • 可用性 SLA を有効にするには、両方の BGP セッションを設定する必要があります。

プライベート ピアリング用の例

a.b.c.d/29 を使用してピアリングを設定することを選択した場合、このサブネットは 2 つの /30 サブネットに分割されます。 次の例では、a.b.c.d/29 サブネットの使用方法に注意してください。

  • a.b.c.d/29 は、a.b.c.d/30a.b.c.d+4/30 に分割され、プロビジョニング API を介して Microsoft に渡されます。
    • a.b.c.d+1 をプライマリ PE の VRF IP として使用すると、Microsoft は a.b.c.d+2 をプライマリ MSEE の VRF IP として使用します。
    • a.b.c.d+5 をセカンダリ PE の VRF IP として使用すると、Microsoft は a.b.c.d+6 をセカンダリ MSEE の VRF IP として使用します。

ここで、192.168.100.128/29 を選択してプライベート ピアリングをセットアップするとします。 192.168.100.128/29 には、192.168.100.128192.168.100.135 の範囲のアドレスが含まれています。この中で、

  • 192.168.100.128/30link1 に割り当てられ、プロバイダーは 192.168.100.129 を使用し、Microsoft は 192.168.100.130 を使用します。
  • 192.168.100.132/30link2 に割り当てられ、プロバイダーは 192.168.100.133 を使用し、Microsoft は 192.168.100.134 を使用します。

Microsoft ピアリングに使用する IP アドレス

ユーザーは、所有しているパブリック IP アドレスを使用して BGP セッションをセットアップする必要があります。 Microsoft は、ルーティング インターネット レジストリおよびインターネット ルーティング レジストリを介して IP アドレスの所有権を確認できる必要があります。

  • ポータルの、Microsoft ピアリング用に公開されたパブリック プレフィックスの一覧に表示されている IP アドレスによって、これらの IP から送信される受信トラフィックを許可する Microsoft コア ルーターの ACL が作成されます。
  • ユーザーは、一意のサブネット (IPv4 の場合は /29、IPv6 の場合は /125) または 2 つのサブネット (IPv4 の場合は /30、IPv6 の場合は /126) サブネットを使用して、複数ある場合は、ExpressRoute 回線ごとにそれぞれのピアリングの BGP ピアリングを設定する必要があります。
  • /29 サブネットを使用すると、2 つの /30 サブネットに分割されます。
  • 最初の /30 サブネットはプライマリ リンクに、2 つ目の /30 サブネットはセカンダリ リンクに使用します。
  • それぞれの /30 サブネットに対し、ルーター上で /30 サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30 サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。
  • /125 サブネットを使用すると、2 つの /126 サブネットに分割されます。
  • 最初の /126 サブネットはプライマリ リンクに、2 つ目の /126 サブネットはセカンダリ リンクに使用します。
  • それぞれの /126 サブネットに対し、ルーター上で /126 サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/126 サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。
  • 可用性 SLA を有効にするには、両方の BGP セッションをセットアップする必要があります。

Azure パブリック ピアリングに使用する IP アドレス

Note

Azure パブリック ピアリングは、新しい ExpressRoute 回線には使用できません。

ユーザーは、所有しているパブリック IP アドレスを使用して BGP セッションをセットアップする必要があります。 Microsoft は、ルーティング インターネット レジストリおよびインターネット ルーティング レジストリを介して IP アドレスの所有権を確認できる必要があります。

  • ユーザーは、一意の /29 サブネットまたは 2 つの /30 サブネットを使用して、ExpressRoute 回線ごとに (複数存在する場合) それぞれのピアリングの BGP ピアリングをセットアップする必要があります。
  • /29 サブネットを使用すると、2 つの /30 サブネットに分割されます。
    • 最初の /30 サブネットはプライマリ リンクに、2 つ目の /30 サブネットはセカンダリ リンクに使用します。
    • それぞれの /30 サブネットに対し、ルーター上で /30 サブネットの最初の IP アドレスを使用する必要があります。 Microsoft は、/30 サブネットの 2 番目の IP アドレスを使用して BGP セッションをセットアップします。
    • 可用性 SLA を有効にするには、両方の BGP セッションを設定する必要があります。

パブリック IP アドレス要件

プライベート ピアリング

パブリックまたはプライベート IPv4 アドレスをプライベート ピアリングに使用することもできます。 プライベート ピアリングでは他の顧客とのアドレスの重複が発生しないように、トラフィックのエンド ツー エンドの分離が提供されます。 これらのアドレスはインターネットには公開されません。

Microsoft ピアリング

Microsoft ピアリング パスを使用して、Microsoft クラウド サービスに接続できます。 対象となるサービスには、Exchange Online、SharePoint Online、Skype for Business、Microsoft Teams などの Microsoft 365 サービスが含まれます。 Microsoft では、Microsoft ピアリングで双方向接続をサポートしています。 Microsoft クラウド サービスに送信されるトラフィックが Microsoft ネットワークに入るには、有効なパブリック IPv4 アドレスを使用している必要があります。

以下のレジストリのいずれかで IP アドレスと AS 番号が自分に登録されていることを確認します。

上記のレジストリでプレフィックスと AS 番号が自分に割り当てられていない場合は、プレフィックスと ASN を手動で検証するためにサポート ケースを開く必要があります。 サポートを受けるには、そのプレフィックスの使用が許可されていることを証明するドキュメント (たとえば、認可状) が必要になります。

Microsoft ピアリングではプライベート AS 番号を使用できますが、手動による検証も必要になります。 さらに、受信したプレフィックスの AS PATH からプライベート AS 番号が削除されます。 その結果、Microsoft ピアリングのルーティングを制御するために、AS PATH にプライベート AS 番号を付加できません。 また、IANA によってドキュメント用に予約されている AS 番号 64496 から 64511 は、パスには使用できません。

重要

パブリック インターネット向けと ExpressRoute 経由で同じパブリック IP ルートをアドバタイズしないでください。 非対称ルーティングの原因となる間違った構成のリスクを減らすために、ExpressRoute 経由で Microsoft にアドバタイズされる NAT IP アドレス は、インターネットにまったくアドバタイズされない範囲のものにすることを強くお勧めします。 これを実現するのが不可能な場合は、インターネット接続の範囲よりもさらに具体的な ExpressRoute 経由の範囲をアドバタイズしていることを確認する必要があります。 NAT 用のパブリック ルートに加えて、Microsoft 内の Microsoft 365 エンドポイントと通信するオンプレミスのネットワーク内のサーバーによって使用されるパブリック IP アドレスを ExpressRoute 経由でアドバタイズすることもできます。

パブリック ピアリング (非推奨 - 新しい回線では使用できません)

Azure パブリック ピアリング パスを利用すれば、パブリック IP アドレスで Azure にホストされているすべてのサービスに接続できます。 これには、「ExpressRoute の FAQ」の一覧にあるサービスや Microsoft Azure で ISV によりホストされているサービスが含まれます。 パブリック ピアリングでの Microsoft Azure への接続は常にネットワークから Microsoft ネットワークに対して開始されます。 Microsoft ネットワークに送信されるトラフィックには、パブリック IP アドレスを使用する必要があります。

重要

すべての Azure PaaS サービスは、Microsoft ピアリング経由でアクセスできます。

パブリック ピアリングでは、プライベート AS 番号を使用できます。

動的なルート交換

ルーティングの交換は eBGP プロトコル上で実行されます。 MSEE とルーターとの間に EBGP セッションが確立されます。 BGP セッションの認証は必須ではありません。 必要に応じて、MD5 ハッシュを構成することができます。 BGP セッションの構成については、ルーティングの構成に関する記事および回線のプロビジョニング ワークフローと回線の状態に関する記事をご覧ください。

自律システム番号 (ASN)

Microsoft は、Azure パブリック、Azure プライベート、および Microsoft ピアリングのために AS 12076 を使用します。 ASN 65515 ~ 65520 は、内部使用のために予約されています。 16 ビットと 32 ビットの両方の AS 番号がサポートされています。

データ転送の対称性に関する要件はありません。 転送パスとリターン パスは、異なるルーター ペアを通過することができます。 同じルートについては、自分に属している複数の回線ペアのどちらかの側からアドバタイズする必要があります。 ルートのメトリックは同一である必要はありません。

ルート集約とプレフィックスの制限

Azure ExpressRoute では、Azure プライベート ピアリングを介して Microsoft に公開されるプレフィックスは、最大で IPv4 の場合は 4,000 個、IPv6 の場合は 100 個がサポートされます。 ExpressRoute Premium アドオンが有効になっている場合、この制限は、IPv4 ではこのプレフィックスを最大 10,000 個まで増やすことができます。 Azure ExpressRouteでは、Azure パブリックおよび Microsoft ピアリングの場合、BGP セッションあたり最大で 200 個のプレフィックスを使用できます。

プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。 Azure ExpressRoute では、デフォルト ルートは、プライベート ピアリング リンクのみで使用できます。 プロバイダーは、Azure パブリック パスと Microsoft ピアリング パスからデフォルト ルートおよびプライベート IP アドレス (RFC 1918) をフィルターで除外する必要があります。

トランジット ルーティングおよびリージョン間ルーティング

ExpressRoute をトランジット ルーターとして構成することはできません。 トランジット ルーティング サービスについては、接続プロバイダーに依存する必要があります。

デフォルト ルートのアドバタイズ

デフォルト ルートは、Azure プライベート ピアリング セッションでのみ許可されます。 その場合、Azure ExpressRoute では、関連付けられている仮想ネットワークからのすべてのトラフィックをユーザーのネットワークにルーティングします。 プライベート ピアリングにデフォルト ルートを公開すると、Azure からのインターネット パスがブロックされます。 Azure でホストされるサービスのトラフィックをインターネットとの間で送受信するには、会社のエッジに依存する必要があります。

他の Azure サービスおよびインフラストラクチャ サービスへの接続を有効にするには、次のどちらかの条件が満たされている必要があります。

  • Azure パブリック ピアリングが有効になっていて、トラフィックをパブリック エンドポイントにルーティングするように設定されている。
  • ユーザー定義のルーティングを使用して、インターネット接続を必要とするすべてのサブネットに対してインターネット接続を許可している。

Note

デフォルト ルートをアドバタイズすると、Windows VM や他の VM のライセンス認証が破棄されます。 回避策の詳細については、「ユーザー定義ルートを使用して KMS アクティブ化を有効にする」を参照してください。

BGP コミュニティのサポート

ここでは、ExpressRoute で BGP コミュニティがどのように使用されるかについて概説します。 Microsoft は、プライベート、Microsoft、およびパブリック (非推奨) のピアリング パスのルートに適切なコミュニティ値をタグ付けして公開します。 その理由とコミュニティ値の詳細については以下のように説明しています。 ただし、Microsoft は、Microsoft に公開されるルートにタグ付けされたすべてのコミュニティ値を無視します。

プライベート ピアリングの場合、Azure 仮想ネットワークでカスタム BGP コミュニティ値を構成すると、このカスタム値とリージョン BGP コミュニティ値が、ExpressRoute でオンプレミスに公開された Azure ルート上で確認されます。

Microsoft ピアリングの場合、地政学的リージョン内の任意のピアリング場所で ExpressRoute 経由で Microsoft に接続しています。 また、地政学的境界内のすべてのリージョンにわたって、すべての Microsoft クラウド サービスにアクセスできます。

たとえば、ExpressRoute を介してアムステルダムの Microsoft に接続している場合、北ヨーロッパと西ヨーロッパでホストされているすべての Microsoft クラウド サービスにアクセスできます。

地理的リージョン、関連付けられている Azure リージョン、および対応する ExpressRoute のピアリングの場所の詳細な一覧については、「 ExpressRoute パートナーとピアリングの場所 」を参照してください。

地理的リージョンごとに複数の ExpressRoute 回線を購入できます。 複数の接続を持つことで、geo 冗長性による高可用性が確保される大きなメリットがあります。 複数の ExpressRoute 回線がある場合、Microsoft パブリック ピアリングおよび Microsoft ピアリング パスで Microsoft から公開されたプレフィックスの同じセットを受け取ります。 この構成により、ネットワークから Microsoft への複数のパスが作成されます。 この設定は、ネットワーク内で十分に最適化されないルーティングの決定が行われる可能性があることを示します。 その結果、さまざまなサービスの接続エクスペリエンスが十分に最適化されない可能性があります。 ユーザーは、このコミュニティ値に依存して、最適なルーティングをユーザーに提供するための適切なルーティングの決定を行うことができます。

Microsoft Azure リージョン リージョン BGP コミュニティ (プライベート ピアリング) リージョン BGP コミュニティ (Microsoft ピアリング) ストレージ BGP コミュニティ SQL BGP コミュニティ Azure Cosmos DB BGP コミュニティ バックアップ BGP コミュニティ
北米
米国東部 12076:50004 12076:51004 12076:52004 12076:53004 12076:54004 12076:55004
米国東部 2 12076:50005 12076:51005 12076:52005 12076:53005 12076:54005 12076:55005
米国西部 12076:50006 12076:51006 12076:52006 12076:53006 12076:54006 12076:55006
米国西部 2 12076:50026 12076:51026 12076:52026 12076:53026 12076:54026 12076:55026
米国中西部 12076:50027 12076:51027 12076:52027 12076:53027 12076:54027 12076:55027
米国中北部 12076:50007 12076:51007 12076:52007 12076:53007 12076:54007 12076:55007
米国中南部 12076:50008 12076:51008 12076:52008 12076:53008 12076:54008 12076:55008
米国中部 12076:50009 12076:51009 12076:52009 12076:53009 12076:54009 12076:55009
カナダ中部 12076:50020 12076:51020 12076:52020 12076:53020 12076:54020 12076:55020
カナダ東部 12076:50021 12076:51021 12076:52021 12076:53021 12076:54021 12076:55021
南アメリカ
ブラジル南部 12076:50014 12076:51014 12076:52014 12076:53014 12076:54014 12076:55014
ヨーロッパ
北ヨーロッパ 12076:50003 12076:51003 12076:52003 12076:53003 12076:54003 12076:55003
西ヨーロッパ 12076:50002 12076:51002 12076:52002 12076:53002 12076:54002 12076:55002
英国南部 12076:50024 12076:51024 12076:52024 12076:53024 12076:54024 12076:55024
英国西部 12076:50025 12076:51025 12076:52025 12076:53025 12076:54025 12076:55025
フランス中部 12076:50030 12076:51030 12076:52030 12076:53030 12076:54030 12076:55030
フランス南部 12076:50031 12076:51031 12076:52031 12076:53031 12076:54031 12076:55031
スイス北部 12076:50038 12076:51038 12076:52038 12076:53038 12076:54038 12076:55038
スイス西部 12076:50039 12076:51039 12076:52039 12076:53039 12076:54039 12076:55039
ドイツ北部 12076:50040 12076:51040 12076:52040 12076:53040 12076:54040 12076:55040
ドイツ中西部 12076:50041 12076:51041 12076:52041 12076:53041 12076:54041 12076:55041
ノルウェー東部 12076:50042 12076:51042 12076:52042 12076:53042 12076:54042 12076:55042
ノルウェー西部 12076:50043 12076:51043 12076:52043 12076:53043 12076:54043 12076:55043
アジア太平洋
東アジア 12076:50010 12076:51010 12076:52010 12076:53010 12076:54010 12076:55010
東南アジア 12076:50011 12076:51011 12076:52011 12076:53011 12076:54011 12076:55011
日本
東日本 12076:50012 12076:51012 12076:52012 12076:53012 12076:54012 12076:55012
西日本 12076:50013 12076:51013 12076:52013 12076:53013 12076:54013 12076:55013
オーストラリア
オーストラリア東部 12076:50015 12076:51015 12076:52015 12076:53015 12076:54015 12076:55015
オーストラリア南東部 12076:50016 12076:51016 12076:52016 12076:53016 12076:54016 12076:55016
オーストラリア政府
オーストラリア中部 12076:50032 12076:51032 12076:52032 12076:53032 12076:54032 12076:55032
オーストラリア中部 2 12076:50033 12076:51033 12076:52033 12076:53033 12076:54033 12076:55033
インド
インド南部 12076:50019 12076:51019 12076:52019 12076:53019 12076:54019 12076:55019
インド西部 12076:50018 12076:51018 12076:52018 12076:53018 12076:54018 12076:55018
インド中部 12076:50017 12076:51017 12076:52017 12076:53017 12076:54017 12076:55017
韓国
韓国南部 12076:50028 12076:51028 12076:52028 12076:53028 12076:54028 12076:55028
韓国中部 12076:50029 12076:51029 12076:52029 12076:53029 12076:54029 12076:55029
南アフリカ
南アフリカ北部 12076:50034 12076:51034 12076:52034 12076:53034 12076:54034 12076:55034
南アフリカ西部 12076:50035 12076:51035 12076:52035 12076:53035 12076:54035 12076:55035
アラブ首長国連邦
アラブ首長国連邦北部 12076:50036 12076:51036 12076:52036 12076:53036 12076:54036 12076:55036
アラブ首長国連邦中部 12076:50037 12076:51037 12076:52037 12076:53037 12076:54037 12076:55037

Microsoft から公開されるすべてのルートには、適切なコミュニティ値がタグ付けされます。

重要

グローバル プレフィックスは、適切なコミュニティ値でタグ付けされます。

BGP コミュニティ値へのサービス

各リージョンの BGP タグに加えて、Microsoft では、属しているサービスに基づいてプレフィックスもタグ付けします。 このタグ付けは、Microsoft ピアリングにのみ適用されます。 次の表に、サービスと BGP コミュニティ値のマッピングを示します。 最新の値の完全な一覧を表示するには、Get-AzBgpServiceCommunity コマンドレットを実行します。

サービス BGP コミュニティ値
Exchange Online (2) 12076:5010
SharePoint Online (2) 12076:5020
Skype For Business Online (2) and (3) 12076:5030
CRM Online (4) 12076:5040
Azure Global Services (1) 12076:5050
Microsoft Entra ID 12076:5060
Azure Resource Manager 12076:5070
その他の Office 365 Online サービス (2) 12076:5100
Microsoft Defender for Identity 12076:5220
Microsoft PSTN サービス (5) 12076:5250

(1) 現在のところ、Azure Global Services には、Azure DevOps のみが含まれています。

(2) Microsoft の承認が必要です。 Microsoft ピアリングでのルート フィルターの構成に関する記事をご覧ください。

(3) このコミュニティでは、Microsoft Teams サービスに必要なルートも発行されます。

(4) CRM Online では、Dynamics v8.2 以下をサポートしています。 より新しいバージョンの場合は、Dynamics デプロイのリージョン コミュニティを選択してください。

(5) PSTN サービスとの Microsoft ピアリングの使用は、特定のユース ケースに限定されます。 「Microsoft PSTN サービスでの ExpressRoute の使用」をご覧ください。

Note

Microsoft は、Microsoft にアドバタイズされるルートに設定されたすべての BGP コミュニティ値を無視します。

National Clouds の BGP コミュニティのサポート

National Clouds Azure リージョン BGP コミュニティ値
米国政府
US Gov アリゾナ 12076:51106
US Gov アイオワ 12076:51109
US Gov バージニア州 12076:51105
US Gov テキサス 12076:51108
US DoD Central 12076:51209
US DoD East 12076:51205
中国
中国北部 12076:51301
中国東部 12076:51302
中国東部 2 12076:51303
中国北部 2 12076:51304
National Clouds のサービス BGP コミュニティ値
米国政府
Exchange Online 12076:5110
SharePoint Online 12076:5120
Skype for Business Online 12076:5130
Microsoft Entra ID 12076:5160
その他の Office 365 Online サービス 12076:5200
  • Office 365 コミュニティは、21Vianet によって運営される Microsoft Azure のリージョンの Microsoft ピアリングではサポートされていません。

次のステップ