Routenfilter ermöglichen Ihnen die Nutzung einer Teilmenge von unterstützten Diensten durch Microsoft-Peering. Dieser Artikel führt Sie durch das Konfigurieren und Verwalten von Routenfiltern für ExpressRoute-Verbindungen.
Microsoft-Peering ermöglicht den Zugriff auf Microsoft 365-Dienste wie Exchange Online, SharePoint Online und Skype for Business. Wenn Microsoft-Peering in einer ExpressRoute-Verbindung konfiguriert ist, werden alle Präfixe im Zusammenhang mit diesen Diensten über BGP-Sitzungen angekündigt. Jedes Präfix hat einen BGP-Community-Wert, der den angebotenen Dienst identifiziert. Eine Liste der BGP-Community-Werte und der entsprechenden Dienste finden Sie unter BGP-Communitys.
Das Herstellen einer Verbindung mit allen Azure- und Microsoft 365-Diensten kann zu einer großen Anzahl von Präfixen führen, die über BGP angekündigt werden, wodurch sich die Größe Ihrer Routingtabellen erheblich erhöht. Wenn Sie nur eine Teilmenge der über Microsoft-Peering angebotenen Dienste benötigen, können Sie Ihre Routingtabelle wie folgt verkleinern:
- Filtern Sie unerwünschte Präfixe mithilfe von Routenfiltern in BGP-Communitys heraus, eine gängige Netzwerkpraxis.
- Definieren Sie Routenfilter, und wenden Sie sie auf Ihre ExpressRoute-Verbindung an. Ein Routenfilter ist eine Ressource, mit der Sie die Dienste, auswählen können, die Sie über Microsoft-Peering nutzen möchten. ExpressRoute-Router senden nur Präfixe für die im Routenfilter identifizierten Dienste.
Informationen zu Routenfiltern
Wenn Microsoft-Peering für Ihre ExpressRoute-Verbindung konfiguriert ist, richten Microsoft-Edgerouter über Ihren Konnektivitätsanbieter BGP-Sitzungen mit Ihren Edgeroutern ein. Es werden keine Routen für Ihr Netzwerk angekündigt, bis Sie einen Routenfilter zuordnen.
Durch einen Routenfilter können Sie die Dienste angeben, die Sie über das Microsoft-Peering Ihrer ExpressRoute-Verbindung nutzen möchten. Er fungiert als Liste der zulässigen BGP-Communitywerte. Sobald ein Routenfilter definiert und an eine ExpressRoute-Verbindung angefügt ist, werden Ihrem Netzwerk alle Präfixe angekündigt, die den BGP-Communitywerten zugeordnet sind.
Sie müssen zur Nutzung von Microsoft 365-Diensten über ExpressRoute autorisiert sein, um Routenfilter mit Microsoft 365-Diensten anfügen zu können. Wenn Sie nicht autorisiert sind, schlägt der Vorgang zum Anfügen von Routenfiltern fehl. Weitere Informationen zum Autorisierungsvorgang finden Sie unter Azure ExpressRoute für Microsoft 365.
Wichtig
Beim Microsoft-Peering von ExpressRoute-Verbindungen, die vor dem 1. August 2017 konfiguriert wurden, werden alle Dienstpräfixe auch ohne Routenfilter von Microsoft Office über Microsoft-Peering angekündigt. Für Verbindungen, die am oder nach dem 1. August 2017 konfiguriert wurden, werden erst dann Präfixe angekündigt, wenn ein Routenfilter an die Verbindung angefügt ist.
Voraussetzungen
Lesen Sie vor Beginn der Konfiguration die Informationen zu den Voraussetzungen und Workflows.
- Stellen Sie sicher, dass Sie über eine aktive ExpressRoute-Verbindung mit konfiguriertem Microsoft-Peering verfügen. Anweisungen finden Sie unter:
- Sie benötigen eine aktive ExpressRoute-Verbindung, für die das Microsoft-Peering bereitgestellt ist. Zur Durchführung dieser Aufgaben können Sie folgende Anweisungen befolgen:
-
Erstellen Sie eine ExpressRoute-Leitung, und lassen Sie die Leitung von Ihrem Konnektivitätsanbieter aktivieren, bevor Sie fortfahren. Die ExpressRoute-Verbindung muss den Zustand „Provisioned“ und „Enabled“ aufweisen.
-
Erstellen Sie das Microsoft-Peering, wenn Sie die BGP-Sitzung direkt verwalten. Überlassen Sie die Bereitstellung des Microsoft-Peerings für Ihre Verbindung wahlweise Ihrem Konnektivitätsanbieter.
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Cloud Shell-Befehle verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
So starten Sie Azure Cloud Shell:
| Auswahlmöglichkeit |
Beispiel/Link |
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |
|
| Wechseln Sie zu https://shell.azure.com, oder wählen Sie die Schaltfläche "Cloud Shell starten " aus, um Cloud Shell in Ihrem Browser zu öffnen. |
Schaltfläche  |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |
|
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit Strg+Shift+V auf Windows und Linux oder mit Cmd+Shift+V auf macOS in die Cloud Shell-Sitzung ein.
Wählen Sie Geben Sie ein, um den Code oder Befehl auszuführen.
- Melden Sie sich bei Ihrem Azure-Konto an, und wählen Sie Ihr Abonnement aus.
Wenn Sie Azure Cloud Shell verwenden, melden Sie sich nach dem Klicken auf „Ausprobieren“ automatisch bei Ihrem Azure-Konto an. Öffnen Sie zum lokalen Anmelden Ihre PowerShell-Konsole mit erhöhten Rechten, und führen Sie das Cmdlet aus, um eine Verbindung herzustellen.
Connect-AzAccount
Falls Sie über mehrere Abonnements verfügen, rufen Sie eine Liste Ihrer Azure-Abonnements ab.
Get-AzSubscription
Geben Sie das Abonnement an, das Sie verwenden möchten.
Select-AzSubscription -SubscriptionName "Name of subscription"
Sie müssen die folgenden Konfigurationsschritte durchführen, um mit dem Microsoft-Peering eine Verbindung mit Diensten herstellen zu können:
- Sie benötigen eine aktive ExpressRoute-Verbindung, für die das Microsoft-Peering bereitgestellt ist. Zur Durchführung dieser Aufgaben können Sie folgende Anweisungen befolgen:
-
Erstellen Sie eine ExpressRoute-Leitung, und lassen Sie die Leitung von Ihrem Konnektivitätsanbieter aktivieren, bevor Sie fortfahren. Die ExpressRoute-Verbindung muss den Zustand „Provisioned“ und „Enabled“ aufweisen.
-
Erstellen Sie das Microsoft-Peering, wenn Sie die BGP-Sitzung direkt verwalten. Überlassen Sie die Bereitstellung des Microsoft-Peerings für Ihre Verbindung wahlweise Ihrem Konnektivitätsanbieter.
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Cloud Shell-Befehle verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
So starten Sie Azure Cloud Shell:
| Auswahlmöglichkeit |
Beispiel/Link |
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |
|
| Wechseln Sie zu https://shell.azure.com, oder wählen Sie die Schaltfläche "Cloud Shell starten " aus, um Cloud Shell in Ihrem Browser zu öffnen. |
Schaltfläche |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |
|
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit Strg+Shift+V auf Windows und Linux oder mit Cmd+Shift+V auf macOS in die Cloud Shell-Sitzung ein.
Wählen Sie Geben Sie ein, um den Code oder Befehl auszuführen.
Wenn Sie die CLI lokal installieren und verwenden möchten, erfordert dieses Tutorial die Azure CLI-Version 2.0.28 oder höher. Führen Sie az --version aus, um die Version zu finden. Wenn Sie die Azure CLI installieren oder aktualisieren müssen, siehe Installieren der Azure CLI.
Melden Sie sich bei Ihrem Azure-Konto an, und wählen Sie Ihr Abonnement aus.
Um mit der Konfiguration zu beginnen, melden Sie sich bei Ihrem Azure-Konto an. Wenn Sie die Testversion verwenden, werden Sie automatisch angemeldet und können den Anmeldeschritt überspringen. Verwenden Sie die folgenden Beispiele, um eine Verbindung herzustellen:
az login
Überprüfen Sie die Abonnements für das Konto.
az account list
Wählen Sie das Abonnement aus, für das eine ExpressRoute-Verbindung erstellt werden soll.
az account set --subscription "<subscription ID>"
Abrufen einer Liste von Präfixen und BGP-Communitywerten
Dient zum Abrufen einer Liste der BGP-Communitywerte. BGP-Communitywerte, die Diensten zugeordnet sind, die über Microsoft-Peering verfügbar sind, finden Sie auf der Seite ExpressRoute-Routinganforderungen.
Rufen Sie mit dem folgenden Cmdlet die Liste von BGP-Communitywerten und Präfixen ab, die Diensten mit Zugriff über Microsoft-Peering zugeordnet sind:
Get-AzBgpServiceCommunity
Rufen Sie mit dem folgenden Cmdlet die Liste von BGP-Communitywerten und Präfixen ab, die Diensten mit Zugriff über Microsoft-Peering zugeordnet sind:
az network route-filter rule list-service-communities
Erstellen einer Liste der zu verwendenden Werte
Listen Sie die BGP-Communitywerte auf, die Sie im Routenfilter verwenden möchten.
Erstellen eines Routenfilters und einer Filterregel
Ein Routenfilter kann nur eine Regel aufweisen, die vom Typ Zulassen sein muss. Diese Regel kann eine Liste von BGP-Communitywerten enthalten.
Wählen Sie Ressource erstellen aus, und suchen Sie nach Routenfilter.
Platzieren Sie den Routenfilter in einer Ressourcengruppe. Stellen Sie sicher, dass der Ort der ExpressRoute-Verbindung entspricht. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.
Erstellen einer Filterregel
Wählen Sie zum Hinzufügen und Aktualisieren von Regeln die Registerkarte „Verwaltete Regel“ für Ihren Routenfilter aus.
Wählen Sie dann die Dienste, mit denen Sie eine Verbindung herstellen möchten, in der Dropdownliste aus, und speichern Sie die Regel.
Ein Routenfilter kann nur eine Regel aufweisen, die zudem vom Typ Allow sein muss. Diese Regel kann eine Liste von BGP-Communitywerten enthalten, die ihr zugeordnet sind. Mit dem Befehl az network route-filter create wird nur eine Routenfilterressource erstellt. Nachdem Sie die Ressource erstellt haben, müssen Sie eine Regel erstellen und dem Routenfilterobjekt anfügen.
Führen Sie den folgenden Befehl aus, um eine Routenfilterressource zu erstellen:
New-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup" -Location "West US"
Führen Sie den folgenden Befehl aus, um eine Routenfilterregel zu erstellen:
$rule = New-AzRouteFilterRuleConfig -Name "Allow-EXO-D365" -Access Allow -RouteFilterRuleType Community -CommunityList 12076:5010,12076:5040
Führen Sie den folgenden Befehl aus, um die Filterregel zum Routenfilter hinzuzufügen:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.Rules.Add($rule)
Set-AzRouteFilter -RouteFilter $routefilter
Ein Routenfilter kann nur eine Regel aufweisen, die zudem vom Typ „Zulassen“ sein muss. Diese Regel kann eine Liste von BGP-Communitywerten enthalten, die ihr zugeordnet sind. Mit dem Befehl az network route-filter create wird nur eine Routenfilterressource erstellt. Nachdem Sie die Ressource erstellt haben, müssen Sie eine Regel erstellen und dem Routenfilterobjekt anfügen.
Führen Sie den folgenden Befehl aus, um eine Routenfilterressource zu erstellen:
az network route-filter create -n MyRouteFilter -g MyResourceGroup
Führen Sie den folgenden Befehl aus, um eine Routenfilterregel zu erstellen:
az network route-filter rule create --filter-name MyRouteFilter -n CRM --communities 12076:5040 --access Allow -g MyResourceGroup
Anfügen des Routenfilters an eine ExpressRoute-Leitung
Fügen Sie den Routenfilter an eine Verbindung an, indem Sie die Schaltfläche + Verbindung hinzufügen und dann die ExpressRoute-Verbindung aus der Dropdownliste auswählen.
Wenn Ihr Konnektivitätsanbieter Peering für Ihre ExpressRoute-Verbindung konfiguriert, aktualisieren Sie die Verbindung auf der Seite „ExpressRoute-Verbindung“, bevor Sie die Schaltfläche + Verbindung hinzufügen auswählen.
Führen Sie den folgenden Befehl aus, um der ExpressRoute-Verbindung den Routenfilter anzufügen, sofern Sie nur über Microsoft-Peering verfügen:
$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "MyResourceGroup"
$index = [array]::IndexOf(@($ckt.Peerings.PeeringType), "MicrosoftPeering")
$ckt.Peerings[$index].RouteFilter = $routefilter
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Führen Sie den folgenden Befehl aus, um der ExpressRoute-Verbindung den Routenfilter anzufügen:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --route-filter MyRouteFilter
Häufige Aufgaben
Abrufen der Eigenschaften eines Routenfilters
Zeigen Sie die Eigenschaften eines Routenfilters an, indem Sie die Ressource im Portal öffnen.
Um die Eigenschaften eines Routenfilters abzurufen, führen Sie die folgenden Schritte durch:
Führen Sie den folgenden Befehl aus, um die Routenfilterressource abzurufen:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Rufen Sie die Routenfilterregeln für die Routenfilterressource ab, indem Sie folgenden Befehl ausführen:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$rule = $routefilter.Rules[0]
Um die Eigenschaften eines Routenfilters abzurufen, verwenden Sie folgenden Befehl:
az network route-filter show -g ExpressRouteResourceGroupName --name MyRouteFilter
Aktualisieren der Eigenschaften eines Routenfilters
Aktualisieren Sie die Liste der BGP-Communitywerte, die einer Verbindung angefügt sind, durch Auswählen der Schaltfläche Regel verwalten.
Wählen Sie die gewünschten Dienstcommunities und dann Speichern aus.
Wenn der Routenfilter bereits an eine Leitung angefügt ist, geben Updates der BGP-Communityliste Änderungen an Präfixankündigungen automatisch über die eingerichtete BGP-Sitzung weiter. Sie können die BGP-Communityliste Ihres Routenfilters mit dem folgenden Befehl aktualisieren:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.rules[0].Communities = "12076:5030", "12076:5040"
Set-AzRouteFilter -RouteFilter $routefilter
Wenn der Routenfilter bereits an eine Leitung angefügt ist, geben Updates der BGP-Communityliste Änderungen an Präfixankündigungen automatisch über die eingerichtete BGP-Sitzung weiter. Sie können die BGP-Communityliste Ihres Routenfilters mit dem folgenden Befehl aktualisieren:
az network route-filter rule update --filter-name MyRouteFilter -n CRM -g ExpressRouteResourceGroupName --add communities '12076:5040' --add communities '12076:5010'
Trennen eines Routenfilters von einer ExpressRoute-Leitung
Um eine Verbindung vom Routenfilter zu trennen, klicken Sie mit der rechten Maustaste auf die Verbindung, und wählen Sie dann Zuordnung aufheben aus.
Nachdem ein Routenfilter von der ExpressRoute-Verbindung getrennt wurde, werden keine Präfixe über die BGP-Sitzung angekündigt. Sie können einen Routenfilter mit dem folgenden Befehl von einer ExpressRoute-Verbindung trennen:
$ckt.Peerings[0].RouteFilter = $null
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Nachdem ein Routenfilter von der ExpressRoute-Verbindung getrennt wurde, werden keine Präfixe über die BGP-Sitzung angekündigt. Sie können einen Routenfilter mit dem folgenden Befehl von einer ExpressRoute-Verbindung trennen:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --remove routeFilter
Bereinigen von Ressourcen
Löschen Sie einen Routenfilter durch Auswahl der Schaltfläche Löschen. Stellen Sie davor sicher, dass der Routenfilter keiner Verbindung zugeordnet ist.
Sie können einen Routenfilter nur löschen, wenn er an keine Verbindung angefügt ist. Stellen Sie sicher, dass der Routenfilter an keine Verbindung angefügt ist, bevor Sie versuchen, ihn zu löschen. Sie können einen Routenfilter mit dem folgenden Befehl löschen:
Remove-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Sie können einen Routenfilter nur löschen, wenn er an keine Verbindung angefügt ist. Stellen Sie sicher, dass der Routenfilter an keine Verbindung angefügt ist, bevor Sie versuchen, ihn zu löschen. Sie können einen Routenfilter mit dem folgenden Befehl löschen:
az network route-filter delete -n MyRouteFilter -g MyResourceGroup
Nächste Schritte
Beispiele für Routerkonfigurationen finden Sie hier:
