Fragen und Antworten zu Q-in-Q, Teil 2
Nachdem wir in unserem letzten Artikel (http://www.megaport.com/blog/q-in-q-questions-answered-part-1) das Konzept von gestapelten VLAN-Tags (Q-in-Q) besprochen haben, konzentrieren wir uns im zweiten Teil speziell auf Microsoft Azure und die ExpressRoute-Produktfamilie, die direkte Konnektivität zur Azure Public-Cloud-Umgebung bietet. Wenn Sie Microsoft ExpressRoute für Azure implementieren möchten und erwägen, Megaport als Ihren Anbieter für Konnektivitätslösungen einzusetzen, finden Sie in diesem Artikel einige Praxisbeispiele für Kundenimplementierungen von kleinen Entwicklungs-/Testprojekten bis hin zu hochverfügbaren Produktions-Workloads.
F: Wie stelle ich eine ExpressRoute-Verbindung über Megaport bereit?
Das folgende Diagramm stellt den gesamten Prozess in wenigen simplen Schritten dar: 
F: Wie bestelle/erzeuge ich einen Schlüssel für Microsoft Azure ExpressRoute (Service Key)?
Die jüngsten Entwicklungen auf diesem Gebiet betreffen die Bestellung des Service Key über das Portal des Azure Resource Manager (ARM). Wir haben ein Video produziert, das die Schritte zum Bestellen des Service Key detailliert aufzeigt. Sie finden es hier. Wenn Sie PowerShell nutzen möchten, um einige der Funktionen als Skript festzulegen oder zu automatisieren, finden Sie die entsprechende Azure-Dokumentation unter https://azure.microsoft.com/de-de/documentation/articles/expressroute-howto-circuit-arm/. Alternativ können Sie sich unser Video zum Setup für PowerShell (Classic) ansehen. Dank einiger Änderungen in jüngster Zeit ist es möglich, sowohl ASM (Classic) als auch ARM VNets mit einer einzelnen ER-Leitung zu verbinden – beachten Sie hierzu den Leitfaden https://azure.microsoft.com/de-de/documentation/articles/expressroute-howto-move-arm/ im Abschnitt „So aktivieren Sie eine ExpressRoute-Verbindung für beide Bereitstellungsmodelle“.
F: Kann ich eine einzelne ExpressRoute-Leitung mit mehreren Abonnements verwenden?
Ja, Sie können eine einzelne über Megaport bereitgestellte ExpressRoute-Leitung mit bis zu 10 Abonnements nutzen. Unter https://azure.microsoft.com/de-de/documentation/articles/expressroute-howto-linkvnet-arm/ erfahren Sie mehr über die effektive gemeinsame Nutzung von ER-Leitungen.
F: Kann ich eine einzelne ExpressRoute-Leitung mit mehreren VNets verwenden?
Standardmäßig sind bis zu 10 VNets für eine ExpressRoute-Leitung möglich, die als Standard-Typ hergestellt wurde. Wenn Sie jedoch die Premium SKU-Option verwenden, ist dies von der bestellten Verbindungsgröße abhängig (mind. 20, siehe https://azure.microsoft.com/de-de/documentation/articles/azure-subscription-service-limits/#networking-limits). Dank einiger Neuerungen, die als VNet-Peering bekannt sind, können Sie jedoch zwei oder mehr virtuelle Netzwerke in derselben Region über das Azure Backbone-Netzwerk miteinander verbinden. Durch dieses Peering werden die beiden virtuellen Netzwerke in allen Konnektivitätsfragen wie ein einzelnes virtuelles Netzwerk behandelt. Weitere Informationen zu dieser Konfiguration finden Sie unter https://azure.microsoft.com/de-de/documentation/articles/virtual-networks-create-vnetpeering-arm-portal/. Dieses äußerst nützliche Merkmal hilft Ihnen dabei, die standardmäßige Begrenzung für VNets auf ExpressRoute-Leitungen zu umgehen, ohne ein Upgrade auf Premium zu benötigen.
F: Wie arbeitet Microsoft Azure ExpressRoute mit den VXC-Diensten von Megaport zusammen?
Azure-Verbindungen über Megaport werden entweder den primären oder den sekundären Microsoft-Routern einer bestimmten Azure-Region durch ein Q-in-Q-VLAN bereitgestellt. Innerhalb des einzelnen äußeren Tags (S-Tag), das über das Megaport-Portal definiert wird, befinden sich bis zu drei innere Tags (C-Tags), die im Azure-Portal definiert werden. Dabei handelt es sich um Azure Private, Azure Public und Microsoft-Peering, über das Datenverkehr für Office 365 übertragen wird. Diese dritte Art des Peerings steht nur mit vorheriger Autorisierung von Microsoft zur Verfügung – mehr darüber erfahren Sie unter https://support.office.com/de-de/article/Azure-ExpressRoute-for-Office-365-6d2534a2-c19c-4a99-be5e-33a0cee5d3bd. Megaport bietet Punkt-zu-Punkt-Layer-2-Konnektivität zwischen Kunden-Megaports (Ethernet-Schnittstellen/Ports, die von Megaport bereitgestellt werden). Layer-3-BGP-Sitzungen werden direkt zwischen Azure und Megaport-Kunden hergestellt. 
F: Gehört „A END VLAN“ zu meiner Seite oder zur Microsoft-Seite?
Das „A END“-VLAN, das Sie im Megaportal angeben müssen, gehört zu Ihrer Seite. Die Microsoft-Seite ist das „B END“-VLAN, das nur zwischen Megaport und Microsoft am Quellstandort des Datenverkehrs (Primär-/Sekundärrouter) von Bedeutung ist. Diese „A END“-VLAN-ID wird im obigen Diagramm vom „äußeren Tag“ repräsentiert.
F: Sollte ich dieselbe VLAN-ID für die inneren VLAN-Tags verwenden?
Generell ist es vorzuziehen, andere VLAN-IDs für die inneren Tags (Kunden-Tags) zu verwenden. Innere VLAN-Tags werden entweder über das Portal des Azure Resource Manager oder über PowerShell angefordert, sobald die ExpressRoute-Anforderung bereitgestellt wurde. Beispielsweise können Sie VLAN 2000 („äußeres Tag“) als Megaport-VLAN verwenden und dann ein 20/30/40-Setup für öffentliche/private/Microsoft-VLANs im Azure-Portal wählen. Jeder Frame wird für Sie zweimal mit „innerem Tag“ und „äußerem Tag“ getaggt, d. h. Q-in-Q, und Ihre Netzwerkgeräte müssen „innere Tags“ herauslösen, um das 2000-Tag („äußeres Tag“) zu entfernen. Megaport kann auf Anfrage das äußere Tag entfernen, indem bei der Erstellung des ersten VXC für Ihren Port „Untag this VLAN“ (Tags für dieses VLAN entfernen) ausgewählt wird. Dies wird jedoch nicht als langfristige Lösung empfohlen, da somit der Port auf die Verwendung mit genau diesem VXC begrenzt ist und es dann schwieriger ist, weitere Dienste für Ihren Port (z. B. sekundäre Azure-VXC, private VXCs, IX-Verbindung oder Ähnliches) hinzuzufügen.
F: Muss ich primäre und sekundäre Leitungen einrichten, um ExpressRoute zu verwenden?
Technisch gesehen brauchen Sie die sekundäre Verbindung nicht einzurichten. Bitte beachten Sie, dass Sie im Azure-Portal die IP-Adressierung für die primäre und die sekundäre Routerpräsentation festlegen müssen und diese dem Endpunkt der Leitung entsprechen muss, den Sie bei der Eingabe Ihres Dienstschlüssels im Megaportal ausgewählt haben. Microsoft verlangt, dass sowohl die primären als auch die sekundären Leitungen, die mit einer aktiven BGP-Sitzung verbunden sind, von der ExpressRoute-SLA abgedeckt werden (siehe https://azure.microsoft.com/de-de/support/legal/sla/expressroute/v1_0/).
F: Wie kann ich die GBP-Peering-Konfiguration von meinem Router zu einem ExpressRoute-Router einrichten?
Microsoft stellt einige Konfigurationsbeispiele für Cisco- und Juniper-Router bereit. Bitte besuchen Sie folgende Website: https://azure.microsoft.com/de-de/documentation/articles/expressroute-config-samples-routing/.
F: Ich möchte ein öffentliches Peering mit Azure einrichten. Wo erhalte ich öffentlich routbare IP-Adressen und eine autonome Systemnummer (ASM)?
Wenn sich Ihr Netzwerk in der APAC-Region befindet, wenden Sie sich an das Asia Pacific Network Information Centre (APNIC) – https://www.apnic.net/get-ip und an den APNIC-Helpdesk: https://www.apnic.net/get-ip/helpdesk. Wenn sich Ihr Netzwerk in der Region Nordamerika befindet, wenden Sie sich an American Registry for Internet Numbers (ARIN) – https://www.arin.net/resources/request.html. Wenn sich Ihr Netzwerk in der Region Europa befindet, wenden Sie sich an das RIPE Network Coordination Centre (RIPE NCC) – https://www.ripe.net/manage-ips-and-asns/ipv4/request-an-ipv4-22-from-the-last-8 und https://www.ripe.net/manage-ips-and-asns/as-numbers.
F: Wie konfiguriere ich eine vollständig diverse ExpressRoute-Verbindung mit Megaport-VXCs?
Unten finden Sie ein Beispiel für eine vollständig diverse ExpressRoute-Konfiguration mit allen drei Peering-Typen, die über zwei physische Megaports hinweg präsentiert werden: 
Zur Konfiguration des obigen Szenarios siehe unten (bitte beachten: die Konfigurationsbeispiele dienen lediglich als Leitfaden, und spezifische Faktoren für Ihr Netzwerk sind darin nicht berücksichtigt):
Cisco 3850 Switch Stack – IOS XE
vlan 45 name Megaport_Azure-Pri vlan 55 name Megaport_Azure-Sec ! interface TenGigabitEthernet1/0/24 Description Megaport Primary switchport mode trunk no cdp enable ! interface TenGigabitEthernet2/0/24 description Megaport Secondary switchport mode trunk no cdp enable ! interface Port-channel101 switchport access vlan 45 switchport trunk native vlan 45 switchport trunk allowed vlan 45 switchport mode dot1q-tunnel ! interface Port-channel102 switchport access vlan 55 switchport trunk native vlan 55 switchport trunk allowed vlan 55 switchport mode dot1q-tunnel !Cisco Nexus 9000 – Aggregation Switch Nr. 1
vlan 100 name AzurePri-Link1 vlan 101 name AzurePub-Link1 vlan 102 name MSFT-Link1 ! interface port-channel101 switchport mode trunk switchport trunk native vlan 45 ! interface Vlan100 no shutdown vrf member AzurePriv01 ip address 10.x.x.x/30 ! interface Vlan101 no shutdown vrf member AzurePublic01 ip address y.y.y.v/30 ! interface Vlan102 no shutdown vrf member MSFT01 ip address y.y.y.w/30 ! interface port-channel1 switchport mode trunk switchport trunk allowed vlan {lower-upper} !Cisco Nexus 9000 – Aggregation Switch Nr. 2
vlan 100 name AzurePri-Link2 vlan 101 name AzurePub-Link2 vlan 102 name MSFT-Link2 ! interface port-channel102 switchport mode trunk switchport trunk native vlan 55 ! interface Vlan100 no shutdown vrf member AzurePriv02 ip address 10.x.x.y/30 ! interface Vlan101 no shutdown vrf member AzurePublic02 ip address y.y.y.x/30 ! interface Vlan102 no shutdown vrf member MSFT02 ip address y.y.y.y/30 ! interface port-channel1 switchport mode trunk switchport trunk allowed vlan {lower-upper} !
