Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per connettersi ai servizi cloud Microsoft tramite ExpressRoute, è necessario configurare e gestire il routing. Alcuni provider di connettività offrono la configurazione e la gestione del routing come servizio gestito. Rivolgersi al proprio provider di connettività per verificare se viene offerto questo servizio. Se non è offerto, è necessario rispettare i requisiti seguenti.
Per una descrizione delle sessioni di routing che è necessario configurare per facilitare la connettività, vedere Circuiti e domini di routing.
Nota
Microsoft non supporta alcun protocollo di ridondanza router, ad esempio HSRP o VRRP, per configurazioni a disponibilità elevata. Per la disponibilità elevata, Microsoft si avvale invece di una coppia ridondante di sessioni BGP per peering.
Indirizzi IP usati per il peering
Per configurare il routing tra la propria rete e i router perimetrali Enterprise di Microsoft (MSEE, Microsoft Enterprise Edge), sarà necessario riservare alcuni blocchi di indirizzi IP. In questa sezione viene fornito un elenco dei requisiti e vengono descritte le regole relative alla modalità di acquisizione e utilizzo di questi indirizzi IP.
Indirizzi IP usati per il peering privato di Azure
Per configurare il peering, è possibile usare indirizzi IP sia privati che pubblici. L'intervallo di indirizzi usato per configurare le route non può sovrapporsi agli intervalli di indirizzi usati per le reti virtuali in Azure.
- IPv4:
- Riserva una
/29subnet o due/30subnet per le interfacce di routing. - Usare indirizzi IP privati o indirizzi IP pubblici per le subnet usate per il routing.
- Le subnet non devono essere in conflitto con l'intervallo riservato dal cliente per l'uso in Microsoft Cloud.
- Se si usa una subnet
/29, dividerla in due subnet/30.- Usare la prima
/30subnet per il collegamento primario e la seconda/30subnet per il collegamento secondario. - Per ognuna delle
/30sottoreti, usa il primo indirizzo IP della/30sottorete per il router. Microsoft usa il secondo indirizzo IP della subnet/30per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio per la disponibilità sia valido.
- Usare la prima
- Riserva una
- IPv6:
- Riservare una subnet
/125o due subnet/126per le interfacce di routing. - Usare indirizzi IP privati o indirizzi IP pubblici per le subnet usate per il routing.
- Le subnet non devono essere in conflitto con l'intervallo riservato dal cliente per l'uso in Microsoft Cloud.
- Se si utilizza una
/125subnet, dividila in due/126subnet.- Usare la prima
/126subnet per il collegamento primario e la seconda/126subnet per il collegamento secondario. - Per ognuna delle
/126sottoreti, utilizzare il primo indirizzo IP della/126sottorete per il router. Microsoft usa il secondo indirizzo IP della subnet/126per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio per la disponibilità sia valido.
- Usare la prima
- Riservare una subnet
Esempio per il peering privato
Se si sceglie di usare a.b.c.d/29 per configurare il peering, suddividerlo in due /30 subnet. Nell'esempio seguente si noti come viene usata la subnet a.b.c.d/29:
- Suddividere
a.b.c.d/29ina.b.c.d/30ea.b.c.d+4/30. Trasmettere queste subnet a Microsoft tramite le API di provisioning.- Usare
a.b.c.d+1come IP VRF per il server PE primario e Microsoft usaa.b.c.d+2come IP VRF per il MSEE primario. - Usare
a.b.c.d+5come IP VRF per il pe secondario e Microsoft usaa.b.c.d+6come IP VRF per il MSEE secondario.
- Usare
Si consideri un caso in cui si seleziona l'indirizzo 192.168.100.128/29 per configurare il peering privato.
192.168.100.128/29 include gli indirizzi da 192.168.100.128 a 192.168.100.135, tra cui:
-
192.168.100.128/30viene assegnato alink1, con il provider che usa192.168.100.129e Microsoft che usa192.168.100.130. -
192.168.100.132/30viene assegnato alink2, con il provider che usa192.168.100.133e Microsoft che usa192.168.100.134.
Indirizzi IP usati per il peering Microsoft
Per configurare le sessioni BGP, usare gli indirizzi IP pubblici di cui si è proprietari. Microsoft deve essere in grado di verificare la proprietà degli indirizzi IP tramite il Routing Internet Registry e l'Internet Routing Registry.
- Il portale elenca gli indirizzi IP per i prefissi pubblici annunciati per il peering Microsoft. Questi indirizzi IP creano elenchi di controllo di accesso per i router principali Microsoft per consentire il traffico in ingresso da questi indirizzi IP.
- Usare una subnet univoca
/29(IPv4) o/125(IPv6) oppure due subnet/30(IPv4) o/126(IPv6) per configurare il peering BGP per ogni circuito ExpressRoute, se si dispone di più circuiti. - Se si usa una subnet
/29, dividerla in due subnet/30. - Usare la prima
/30subnet per il collegamento primario e la seconda/30subnet per il collegamento secondario. - Per ogni subnet
/30, usare il primo indirizzo IP della subnet/30nel router. Microsoft usa il secondo indirizzo IP della subnet/30per configurare una sessione BGP. - Se si usa una subnet
/125, dividerla in due subnet/126. - Usare la prima
/126subnet per il collegamento primario e la seconda/126subnet per il collegamento secondario. - Per ogni subnet
/126, usare il primo indirizzo IP della subnet/126nel router. Microsoft usa il secondo indirizzo IP della subnet/126per configurare una sessione BGP. - È necessario configurare entrambe le sessioni BGP affinché il contratto di servizio per la disponibilità sia valido.
Requisito dell'indirizzo IP pubblico
Peering privato
Per il peering privato, è possibile scegliere di usare indirizzi IPv4 pubblici o privati. Azure offre l'isolamento end-to-end del vostro traffico, quindi la possibilità che si verifichi una sovrapposizione di indirizzi con altri clienti non è possibile per il peering privato. Questi indirizzi non vengono annunciati a Internet.
Peering Microsoft
Usando il percorso di peering Microsoft, è possibile connettersi ai servizi cloud Microsoft. Questo elenco di servizi include servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online e Microsoft Teams. Microsoft supporta la connettività bidirezionale nel peering Microsoft. Il traffico destinato ai servizi cloud Microsoft deve usare indirizzi IPv4 pubblici validi prima di entrare nella rete Microsoft.
Assicurarsi di essere registrati come proprietario dell'indirizzo IP e del numero AS in uno dei registri seguenti:
Se i prefissi e il numero AS non sono assegnati all'utente specifico nei registri precedenti, è necessario aprire un caso di supporto per la convalida manuale di prefissi e ASN. Il supporto richiede documentazione, ad esempio una lettera di autorizzazione, che dimostri che l'utente è autorizzato a usare quel prefisso.
È possibile usare un numero AS privato con il peering Microsoft, ma richiede la convalida manuale. Inoltre, Microsoft rimuove i numeri AS privati nel percorso AS PATH per i prefissi ricevuti. Di conseguenza, non è possibile aggiungere numeri AS privati in AS PATH per influenzare il routing per il peering Microsoft. Inoltre, i numeri AS da 64496 a 64511 riservati da IANA ai fini della documentazione non sono consentiti nel percorso.
Importante
Non annunciare la stessa rotta IP pubblica verso Internet pubblico e su ExpressRoute. Per ridurre il rischio di una configurazione errata che causa il routing asimmetrico, assicurarsi che gli indirizzi IP NAT annunciati a Microsoft tramite ExpressRoute provengano da un intervallo che non si annuncia a Internet. Se non è possibile ottenere questa condizione, assicurarsi di annunciare un intervallo più specifico su ExpressRoute rispetto a quello sulla connessione Internet. Oltre alla route pubblica per NAT, è anche possibile annunciare tramite ExpressRoute gli indirizzi IP pubblici usati dai server nella rete locale che comunicano con gli endpoint di Microsoft 365 all'interno di Microsoft.
Scambio di rotte dinamico
Lo scambio di routing avviene tramite il protocollo eBGP. Le apparecchiature dei servizi gestiti (MSEE) e i router stabiliscono sessioni eBGP. L'autenticazione delle sessioni BGP non è necessaria. Se necessario, è possibile configurare un hash MD5. Per altre informazioni sulla configurazione delle sessioni BGP, vedere Configurare il routing e Flussi di lavoro di provisioning dei circuiti e stati del circuito.
Numeri di Sistema Autonomo (ASN)
Microsoft usa il numero AS 12076 per il peering pubblico di Azure, il peering privato di Azure e il peering Microsoft. Microsoft riserva ASN da 65.515 a 65.520 per uso interno. ExpressRoute supporta numeri AS a 16 bit e a 32 bit.
Non sono previsti requisiti per la simmetria del trasferimento dei dati. I percorsi forward e return possono attraversare diverse coppie di router. È necessario pubblicizzare route identiche da entrambi i lati in più coppie di circuiti appartenenti all'utente. Le metriche di route non devono essere identiche.
Aggregazione di route e limiti dei prefissi
ExpressRoute supporta fino a 4.000 prefissi IPv4 e 100 prefissi IPv6 annunciati a Microsoft tramite il peering privato di Azure. È possibile aumentare questo limite a 10.000 prefissi IPv4 abilitando il componente aggiuntivo ExpressRoute Premium. ExpressRoute accetta fino a 200 prefissi per ciascuna sessione BGP per il peering pubblico su Azure e il peering Microsoft.
La sessione BGP viene eliminata se il numero di prefissi supera il limite. ExpressRoute accetta le routes predefinite di default solo nel collegamento di peering privato. L'utente deve filtrare le route predefinite e gli indirizzi IP privati (RFC 1918) dai percorsi per il peering pubblico di Azure e il peering Microsoft.
Instradamento di transito e instradamento tra regioni
Non è possibile configurare ExpressRoute come router di transito. È necessario basarsi sul provider di connettività per i servizi di routing di transito.
Annuncio delle route predefinite
È possibile annunciare le route predefinite solo nelle sessioni di peering privato di Azure. In questa configurazione ExpressRoute instrada tutto il traffico dalle reti virtuali associate alla rete. Se si annunciano route predefinite nel peering privato, si blocca il percorso Internet da Azure. Devi fare affidamento sul tuo vantaggio aziendale per indirizzare il traffico da e verso Internet per i servizi ospitati in Azure.
Non è possibile accedere ad alcuni servizi dal perimetro aziendale. Per abilitare la connettività ad altri servizi di Azure e servizi di infrastruttura, è necessario usare il routing definito dall'utente per consentire la connettività Internet per ogni subnet che richiede la connettività Internet per questi servizi.
Nota
L'annuncio delle route predefinite interrompe l'attivazione della licenza di Windows e di altre macchine virtuali. Per informazioni su una soluzione alternativa, vedere Usare rotte definite dall'utente per abilitare l'attivazione di KMS.
Supporto per le comunità BGP
Questa sezione offre una panoramica del funzionamento delle community BGP con ExpressRoute. Microsoft annuncia le route nei percorsi per il peering privato, Microsoft e pubblico (deprecato) con route contrassegnate con i valori della community appropriati. La logica per farlo e i dettagli sui valori della community sono descritti nelle sezioni seguenti. Tuttavia, Microsoft non rispetta i valori della community contrassegnati per le route annunciate a Microsoft.
Per il peering privato, se si configura un valore della community BGP personalizzato nelle reti virtuali di Azure, viene visualizzato questo valore personalizzato e un valore della community BGP a livello di area nelle route di Azure annunciate all'ambiente locale tramite ExpressRoute.
Nota
Per visualizzare i valori della community BGP a livello di area nelle route di Azure, configurare innanzitutto il valore della community BGP personalizzato per la rete virtuale.
Per il peering Microsoft, ci si connette a Microsoft tramite ExpressRoute in qualsiasi posizione di peering all'interno di un'area geopolitica. Sarà anche possibile accedere a tutti i servizi cloud Microsoft in tutte le aree all'interno del confine geopolitico.
Ad esempio, se ci si connette a Microsoft ad Amsterdam tramite ExpressRoute, si ha accesso a tutti i servizi cloud Microsoft ospitati in Europa settentrionale ed Europa occidentale.
Fare riferimento alla pagina Partner e località di peering per ExpressRoute per un elenco dettagliato delle aree geopolitiche, delle regioni di Azure associate e delle corrispondenti località di peering ExpressRoute.
È possibile acquistare più di un circuito ExpressRoute per area geopolitica. Un maggior numero di connessioni offre vantaggi significativi in termini di disponibilità elevata, grazie alla ridondanza geografica. Se si hanno più circuiti ExpressRoute, si riceve lo stesso set di prefissi annunciati da Microsoft nei percorsi per il peering Microsoft. Con questa configurazione saranno disponibili più percorsi dalla propria rete a Microsoft. Questa configurazione può potenzialmente causare decisioni di routing non ottimali all'interno della rete. Di conseguenza, è possibile che si verifichino esperienze di connettività non ottimali a servizi diversi. Per prendere decisioni di routing appropriate e offrire un servizio di routing ottimale agli utenti, è possibile usare i valori della community.
| Area di Microsoft Azure | Community BGP a livello di area (peering privato) | Community BGP regionale (peering Microsoft) | Community BGP di archiviazione | Community SQL BGP | Community BGP di Azure Cosmos DB | Community BGP di backup |
|---|---|---|---|---|---|---|
| America del Nord | ||||||
| Stati Uniti orientali | 12076:50004 | 12076:51004 | 12076:52004 | 12076:53004 | 12076:54004 | 12076:55004 |
| Stati Uniti orientali 2 | 12076:50005 | 12076:51005 | 12076:52005 | 12076:53005 | 12076:54005 | 12076:55005 |
| Stati Uniti occidentali | 12076:50006 | 12076:51006 | 12076:52006 | 12076:53006 | 12076:54006 | 12076:55006 |
| Stati Uniti occidentali 2 | 12076:50026 | 12076:51026 | 12076:52026 | 12076:53026 | 12076:54026 | 12076:55026 |
| Stati Uniti occidentali 3 | 12076:50044 | 12076:51044 | 12076:52044 | 12076:53044 | 12076:54044 | 12076:55044 |
| Stati Uniti centro-occidentali | 12076:50027 | 12076:51027 | 12076:52027 | 12076:53027 | 12076:54027 | 12076:55027 |
| Stati Uniti centro-settentrionali | 12076:50007 | 12076:51007 | 12076:52007 | 12076:53007 | 12076:54007 | 12076:55007 |
| Stati Uniti centro-meridionali | 12076:50008 | 12076:51008 | 12076:52008 | 12076:53008 | 12076:54008 | 12076:55008 |
| Stati Uniti centrali | 12076:50009 | 12076:51009 | 12076:52009 | 12076:53009 | 12076:54009 | 12076:55009 |
| Canada centrale | 12076:50020 | 12076:51020 | 12076:52020 | 12076:53020 | 12076:54020 | 12076:55020 |
| Canada orientale | 12076:50021 | 12076:51021 | 12076:52021 | 12076:53021 | 12076:54021 | 12076:55021 |
| America del Sud | ||||||
| Brasile meridionale | 12076:50014 | 12076:51014 | 12076:52014 | 12076:53014 | 12076:54014 | 12076:55014 |
| Europa | ||||||
| Europa settentrionale | 12076:50003 | 12076:51003 | 12076:52003 | 12076:53003 | 12076:54003 | 12076:55003 |
| Europa occidentale | 12076:50002 | 12076:51002 | 12076:52002 | 12076:53002 | 12076:54002 | 12076:55002 |
| Regno Unito meridionale | 12076:50024 | 12076:51024 | 12076:52024 | 12076:53024 | 12076:54024 | 12076:55024 |
| Regno Unito occidentale | 12076:50025 | 12076:51025 | 12076:52025 | 12076:53025 | 12076:54025 | 12076:55025 |
| Francia centrale | 12076:50030 | 12076:51030 | 12076:52030 | 12076:53030 | 12076:54030 | 12076:55030 |
| Francia meridionale | 12076:50031 | 12076:51031 | 12076:52031 | 12076:53031 | 12076:54031 | 12076:55031 |
| Svizzera settentrionale | 12076:50038 | 12076:51038 | 12076:52038 | 12076:53038 | 12076:54038 | 12076:55038 |
| Svizzera occidentale | 12076:50039 | 12076:51039 | 12076:52039 | 12076:53039 | 12076:54039 | 12076:55039 |
| Germania settentrionale | 12076:50040 | 12076:51040 | 12076:52040 | 12076:53040 | 12076:54040 | 12076:55040 |
| Germania centro-occidentale | 12076:50041 | 12076:51041 | 12076:52041 | 12076:53041 | 12076:54041 | 12076:55041 |
| Norvegia orientale | 12076:50042 | 12076:51042 | 12076:52042 | 12076:53042 | 12076:54042 | 12076:55042 |
| Norvegia occidentale | 12076:50043 | 12076:51043 | 12076:52043 | 12076:53043 | 12076:54043 | 12076:55043 |
| Asia/Pacifico | ||||||
| Asia orientale | 12076:50010 | 12076:51010 | 12076:52010 | 12076:53010 | 12076:54010 | 12076:55010 |
| Asia sud-orientale | 12076:50011 | 12076:51011 | 12076:52011 | 12076:53011 | 12076:54011 | 12076:55011 |
| Giappone | ||||||
| Giappone orientale | 12076:50012 | 12076:51012 | 12076:52012 | 12076:53012 | 12076:54012 | 12076:55012 |
| Giappone occidentale | 12076:50013 | 12076:51013 | 12076:52013 | 12076:53013 | 12076:54013 | 12076:55013 |
| Australia | ||||||
| Australia orientale | 12076:50015 | 12076:51015 | 12076:52015 | 12076:53015 | 12076:54015 | 12076:55015 |
| Australia sud-orientale | 12076:50016 | 12076:51016 | 12076:52016 | 12076:53016 | 12076:54016 | 12076:55016 |
| Governo australiano | ||||||
| Australia centrale | 12076:50032 | 12076:51032 | 12076:52032 | 12076:53032 | 12076:54032 | 12076:55032 |
| Australia centrale 2 | 12076:50033 | 12076:51033 | 12076:52033 | 12076:53033 | 12076:54033 | 12076:55033 |
| India | ||||||
| India meridionale | 12076:50019 | 12076:51019 | 12076:52019 | 12076:53019 | 12076:54019 | 12076:55019 |
| India occidentale | 12076:50018 | 12076:51018 | 12076:52018 | 12076:53018 | 12076:54018 | 12076:55018 |
| India centrale | 12076:50017 | 12076:51017 | 12076:52017 | 12076:53017 | 12076:54017 | 12076:55017 |
| Corea del Sud | ||||||
| Corea meridionale | 12076:50028 | 12076:51028 | 12076:52028 | 12076:53028 | 12076:54028 | 12076:55028 |
| Corea centrale | 12076:50029 | 12076:51029 | 12076:52029 | 12076:53029 | 12076:54029 | 12076:55029 |
| Nuova Zelanda | ||||||
| Nuova Zelanda settentrionale | 12076:50059 | 12076:51059 | 12076:52059 | 12076:53059 | 12076:54059 | 12076:55059 |
| Sudafrica | ||||||
| Sudafrica settentrionale | 12076:50034 | 12076:51034 | 12076:52034 | 12076:53034 | 12076:54034 | 12076:55034 |
| Sudafrica occidentale | 12076:50035 | 12076:51035 | 12076:52035 | 12076:53035 | 12076:54035 | 12076:55035 |
| Emirati Arabi Uniti | ||||||
| Emirati Arabi Uniti settentrionali | 12076:50036 | 12076:51036 | 12076:52036 | 12076:53036 | 12076:54036 | 12076:55036 |
| Emirati Arabi Uniti centrali | 12076:50037 | 12076:51037 | 12076:52037 | 12076:53037 | 12076:54037 | 12076:55037 |
Tutte le route annunciate da Microsoft includono il tag del valore comunitario appropriato.
Importante
I prefissi globali includono un tag del valore comunitario appropriato.
Servizio al valore della community BGP
Oltre al tag BGP per ogni area, Microsoft contrassegna anche i prefissi in base al servizio a cui appartengono. Questo tag si applica solo al peering Microsoft. La tabella seguente fornisce un'associazione tra un servizio e un valore della community BGP. È possibile eseguire il Get-AzBgpServiceCommunity cmdlet per un elenco completo dei valori più recenti.
| Servizio | Valore della community BGP |
|---|---|
| Exchange Online (2) | 12076:5010 |
| SharePoint Online (2) | 12076:5020 |
| Skype For Business Online (2) e (3) | 12076:5030 |
| CRM Online (4) | 12076:5040 |
| Servizi globali di Azure (1) | 12076:5050 |
| Microsoft Entra ID | 12076:5060 |
| Azure Resource Manager | 12076:5070 |
| Altri servizi online di Office 365 (2) | 12076:5100 |
| Microsoft Defender per l'Identità | 12076:5220 |
| Servizi PSTN Microsoft (5) | 12076:5250 |
I servizi globali di Azure includono al momento solo Azure DevOps.
(2) È richiesta l'autorizzazione di Microsoft. Vedere Configurare i filtri di route per il peering Microsoft.
(3) Questa community pubblica anche le route necessarie per i servizi di Microsoft Teams.
(4) CRM Online supporta Dynamics v8.2 e versioni precedenti. Per le versioni successive, seleziona la community regionale per le tue distribuzioni di Dynamics.
(5) L'uso del peering Microsoft con i servizi PSTN è limitato a casi d'uso specifici. Vedere Uso di ExpressRoute per i servizi PSTN Microsoft.
Nota
Microsoft non rispetta i valori della community BGP impostati sulle route annunciate a Microsoft.
Supporto della community BGP nei cloud nazionali
| Area di Azure per i cloud nazionali | Valore della community BGP |
|---|---|
| Governo degli Stati Uniti | |
| US Gov Arizona | 12076:51106 |
| Governo degli Stati Uniti Iowa | 12076:51109 |
| Governo degli Stati Uniti Virginia | 12076:51105 |
| US Gov Texas | 12076:51108 |
| Centrale del Dipartimento della Difesa degli Stati Uniti | 12076:51209 |
| Dipartimento della Difesa degli Stati Uniti Est | 12076:51205 |
| Cina | |
| Cina settentrionale | 12076:51301 |
| Cina orientale | 12076:51302 |
| Cina orientale 2 | 12076:51303 |
| Cina settentrionale 2 | 12076:51304 |
| Cina settentrionale 3 | 12076:51305 |
| Servizio nei cloud nazionali | Valore della comunità BGP |
|---|---|
| Governo degli Stati Uniti | |
| Scambio Online | 12076:5110 |
| SharePoint Online | 12076:5120 |
| Skype for Business Online | 12076:5130 |
| Microsoft Entra ID | 12076:5160 |
| Altri servizi online di Office 365 | 12076:5200 |
- Le community di Office 365 non sono supportate con il peering Microsoft per l'area di Microsoft Azure gestita da 21Vianet.
Passaggi successivi
Configurare la connessione ExpressRoute.