Express Route: IP-Routing

Drei Ziele in Azure und Office 365 und ihr lokales internen LAN und dann noch mit BGP ein Routing-Protokoll, was viele Administratoren bislang nicht verwendet haben. Mit Express Route kommen ganz viele neue Begriffe und Technologien. Ich versuche eine Einführung.

Hinweis: Diese Seite baut auf den Informationen von Express Route Circuits und VLANs auf. Ich gehe davon aus, dass Sie diese Seite vorab gelesen haben.

Eigene Netzwerkzonen

Die Seite Express Route Circuits und VLANs endet mit dem Bild auf dem ich die bis zu sechs Transfer-Subnetze zwischen einer On-Prem-Umgebung und den drei Zielen in Office 365 beschreiben

Zu Subnetzen gehören natürlich auch die passenden IP-Adressen. Damit sind wir auch schon mitten im Thema IP-Routing.

IP-Routing mit Azure Private

Wen Sie den untersten Link zur Verbindung zwischen ihren internen LAN und eine privaten LAN in Azure anschauen, dann haben sie links und rechts ihre privaten Netzwerk aber auch auf dem WAN-Link haben sie aufgrund der Redundanz zwei private Subnetze:

Der On-Prem Router stellen Sie natürlich selbst bereit. Das Gegenstück in Azure ist ein Virtual Router, den Sie als Service konfigurieren. Er hat dann eine Verbindung zum Express Route Circuit und weitere Verbindungen in den von ihnen in Azure verwalteten Subnetzen mit VMs

IP-Routing mit Azure Public und Microsoft Office 365 - Klein

Das Routing zu diesen beiden Netzwerkbereichen in Office 365 sieht ähnlich aus aber nutzt natürlich ein eigenes VLAN mit anderen IP-Adressen. Das Transfernetz muss dabei nicht einmal mit öffentlichen IP-Adressen hantieren, da es nur ein Transfernetz ist.

Allerdings müssen Sie dafür Sorge tragen, dass ihre Clients mit einer öffentlichen IP-Adresse bei den Microsoft Diensten ankommen, die auch wieder über den gleichen Weg zurück geht. Wenn Sie auf dem Link zu Microsoft von ihrem Express Route Provider eine öffentliche IP-Adresse zugeteilt bekommen haben, dann können Sie diese hier nutzen und per NAT auch ihre Clients hinter dieser Adresse verstecken. Diese IP-Adresse dürfte vom Provider schon per Routing im Internet nicht veröffentlicht werden. Microsoft und andere Dienste kennen diese Adresse also nicht, bis Sie dieses Subnetz per BGP zu Microsoft melden.

IP-Routing mit Azure Public und Microsoft Office 365 - Groß

Wenn Sie aber sehr viele Clients über Express-Route zu Office 365 zugreifen lassen, dann könnten ihnen die 65535-Port dieser einen IP-Adresse ausgehen. Oder vielleicht stört sie auch das öffentliche Subnetz auf diesem eigentlich "unsichtbaren" Transfernetz. Auch dann gibt es eine Lösung:

Sie müssen sich ein öffentliches IPv4 Subnetz besorgen, welches aber NICHT im Internet bekannt sein darf. Wenn ihr Provider dieses Netzwerk routen würde, dann würde auch Office 365 die Pakete an dieses Subnetz über das Internet zu rück senden. Als nicht geroutetes Netzwerk können Sie nun selbst dieses Netzwerk Richtung Office 365 propagieren und dann lokal alle ausgehenden Pakete Richtung Office 365 über ein lokales NAT-Systeme auf diese Adressen umsetzen. So haben Sie viel mehr "Source-IP-Adressen" verfügbar

Die Pakete über den Express-Route-Link zu Office 365 oder Azure Public haben dann diese öffentliche IP-Adresse als Quelle obwohl das Transfer-Netzwerk dann "privat" ist. Es ist dabei für Office 365 und Azure Public letztlich egal, ob sie die Anfragen des Clients per NAT oder über einen HTTP-Proxy umsetzen. Sie dürfen aber auf keinen Fall mit einer privaten Adresse bei Office 365 oder Azure Public aufschlagen, da es hierfür keinen Rückweg gibt.

Klebstoff BGP

So langsam dürften Sie besser verstehen, wie ExpressRoute tickt, welche Links und Circuits da geschaltet werden und wie IP-Routing und Adressumsetzung (NAT/Proxy) erfolgt. Aber Sie sehen auch, dass eine ganze Menge neue IP-Subnetze ihr Bild vergrößern und z.B. die Systeme in Azure den Rückweg zu ihnen kennen müssen und ihre Systeme natürlich nun auf dem Weg zu Office 365 und Azure Public eine andere Ausfahrt nehmen müssen. All dies könnten Sie natürlich mit statischen Routen verwalten aber im Rahmen von Azure müssen Sie sowieso eine BGP-Partnerschaft zwischen ihrem lokalen Router und dem Azure-Router aufbauen.

Über diese Partnerschaft lernt ihr Router, welche Subnetze "via ExpressRoute" erreichbar sind und umgekehrt senden Sie ihre Subnetze Richtung Microsoft. Die Details dazu finden Sie auf der Seite Express Route: BGP

Weitere Links