...
Deze handleiding beschrijft alles wat u moet weten over de Microsoft ExpressRoute service via SURFnet. Na een korte beschrijving van de randvoorwaarden in hoofdstuk 2, leest u in hoofdstuk 3 waar u rekening mee moet houden bij het aanvragen van een ExpressRoute via SURFnet. In hoofdstuk 4 kunt u lezen hoe het leverproces werkt en wat de voornaamste handelingen zijn die de instelling zelf moet uitvoeren om de verbinding te installeren en te configureren. Tenslotte kunt u in hoofdstuk 5 lezen wat u moet doen om de verbinding weer op te zeggen.
Randvoorwaarden
Om een ExpressRoute-verbinding via SURFnet aan te kunnen vragen moet een instelling voldoen aan de volgende voorwaarden:
- De instelling moet een geldig Microsoft-account hebben met een actieve Azure subscription. Als de instelling nog geen Azure subscription heeft dan kan deze het beste via SURFmarket aangevraagd worden.
- De instelling dient te beschikken over een router waarop BGP mogelijk is.
- Als de instelling de 802.1ad variant wil afnemen dan dient de instelling te beschikken over apparatuur die 802.1ad verkeer kan afhandelen. Dit betekent in de praktijk dat de apparatuur 802.1ad tags moet kunnen lezen en manipuleren.
...
Het Aanvraagproces
In dit hoofdstuk worden alle aspecten van de ExpressRoute service beschreven die van belang kunnen zijn voor de aanvraag van deze service bij SURFnet.
Het is mogelijk om van tevoren alle informatie aan te leveren die SURFnet nodig heeft om de end-to-end service (ExpressRoute + lichtpad) te configureren. In de praktijk willen de meeste instellingen eerst met de relevante schermen in de Microsoft portal aan de slag voordat zij deze informatie voor zichzelf op een rijtje hebben. U kunt echter pas bij de relevante schermen in de Microsoft portal nadat SURFnet de ExpressRoute service heeft geactiveerd.
Omschrijving van de aanvraag
In de introductie staat beschreven hoe de end-to-end service uit twee delen bestaat (zie figuur 1), een ExpressRoute deel en een SURFnet lichtpad. De ExpressRoute dient u zelf aan te vragen in de Microsoft portal (zie stap 2 in hoofdstuk 4). De aanvraag voor het lichtpad kunt u bij SURFnet indienen via uw account adviseur of klantsupport. In de omschrijving moet u dan een “lichtpad ten behoeve van Microsoft ExpressRoute” aanvragen, zodat duidelijk is dat SURFnet hiervoor het ExpressRoute leverproces moet starten.
802.1q of 802.1ad variant
De eerste keuze die u moet maken is of u voor de 802.1q (single tagged) of de 802.1ad (double tagged) variant kiest. In de introductie werd al kort beschreven waarom SURFnet twee varianten aanbiedt en dat de 802.1q variant het meest gekozen wordt. Als u meer wilt weten over de achtergrond hiervan, dan kunt u in onderstaand kader meer over de technische details van deze services lezen en over de voor- en nadelen van beide varianten. Ons advies is om alleen voor de 802.1ad variant te kiezen als u 100% zeker weet dat uw apparatuur daarmee overweg kan.
...
802.1ad versus 802.1q
Microsoft heeft de ExpressRoute ontworpen als een redundante 802.1ad service. Dit betekent dat er twee redundante L2 services tussen Microsoft en de connectivity provider (SURFnet) worden opgebouwd. Deze services hebben standaard een dubbele VLAN tag (802.1ad).
Als de connectivity providers en de eindklanten beschikken over apparatuur die 802.1ad services kunnen afhandelen dan is dit een slimme ontwerpkeuze voor alle partijen. De connectivity provider kan dan een end-to-end 802.1ad service leveren aan de eindgebruiker. Deze service heeft een vaste “outer tag” (S-Tag of service provider tag), waarbinnen de eindgebruiker zelf “inner tags” (C-Tags of customer tags) kan definiëren. Microsoft hoeft maar één keer een ExpressRoute service met een S-Tag aan te maken en de connectivity provider hoeft maar één keer een end-to-end (802.1ad) service richting eindklant op te bouwen.
Het voordeel voor de eindgebruiker zit hem in het feit dat deze in de Microsoft portal meerdere VLANs (C-Tags) kan aanmaken die over deze 802.1ad service getransporteerd worden. De S-Tag is dus de identifier van de end-to-end service tussen het on-premises netwerk van de eindgebruiker en zijn virtuele netwerk binnen de Microsoft Azure omgeving. Met behulp van de C-Tags kan de eindgebruiker, zonder tussenkomst van Microsoft of de connectivity provider, verschillende logische verbindingen maken tussen zijn fysieke en virtuele netwerk.
De 802.1ad variant biedt dus voordelen aan de eindgebruiker en aan SURFnet. In de praktijk blijkt echter dat veel instellingen gebruik maken van routers die niet overweg kunnen met deze standaard. Er zijn zelfs voorbeelden waarop 802.1ad functionaliteit genoemd wordt in de specificaties van de apparatuur, maar waarbij deze specificatie alleen geldt voor transitverkeer. De apparatuur was dus niet in staat om de S-Tag te verwijderen en daardoor onbruikbaar voor deze toepassing.
...
Bandbreedte
Het volgende aspect om even langer bij stil te staan is de bandbreedte van het SURFnet lichtpad dat u wilt aanvragen. Bij deze overweging is het handig om onderscheid te maken tussen de bandbreedte van de ExpressRoute (tussen Microsoft en SURFnet) en de bandbreedte van het SURFnet lichtpad (over het SURFnet netwerk naar uw instelling). Zie figuur 1 om een beeld te krijgen van het verschil tussen de Microsoft ExpressRoute en het SURFnet lichtpad.
De bandbreedte van de ExpressRoute kunt u zelf gemakkelijk upgraden in de Microsoft Azure portal. Om de bandbreedte van het lichtpad aan te passen moet u echter een nieuwe aanvraag indienen bij SURFnet en bent u afhankelijk van een doorlooptijd van 1-2 weken en mogelijk een korte onderbreking. Het kan dus handig zijn om de bandbreedte van het SURFnet lichtpad ruimer te kiezen dan de bandbreedte van de ExpressRoute, zodat u de vrijheid heeft om de ExpressRoute later, zonder tussenkomst van SURFnet, te upgraden. Dit is vooral handig als u al een bestaande MSP poort heeft, omdat u dan geen extra kosten betaalt voor het lichtpad.
Eén of twee poorten (protected of redundant)
Aan de zijde van de instelling kunt u kiezen of u één of twee poorten (MSP of SSP) wilt gebruiken voor de ExpressRoute service. Deze keuze zal voornamelijk afhangen van de reeds bestaande netwerk koppelingen tussen uw instellingsnetwerk en het SURFnet netwerk en de mate van hardware redundantie die u daarbij wenst.
Als u maar één firewall of router gebruikt om uw instellingsnetwerk te koppelen met SURFnet dan is uw eigen apparatuur het SPOF (single point of failure) voor deze dienst. In dat geval biedt het weinig extra voordelen om de ExpressRoute service op twee SURFnet poorten af te laten leveren (al zijn er wel enkele voordelen). U kunt er dan het beste voor kiezen om de ExpressRoute service op één poort af te nemen. Omdat deze ene poort altijd via twee gescheiden routes bereikbaar is binnen het SURFnet netwerk spreken we in dit geval van een ‘protected service’.
Als de koppeling tussen uw instellingsnetwerk en het SURFnet netwerk al volledig redundant is uitgevoerd, dan ligt het voor de hand dat u ook twee poorten kiest voor de ExpressRoute service. In dat geval heeft u een volledig redundante end-to-end ExpressRoute service en kunt u de maximale beschikbaarheid garanderen. In dit geval spreken we van een ‘redundante service’.
De keuze voor één of twee poorten is alleen van belang voor hardware redundantie op de locatie zelf. De ExpressRoute service wordt altijd via twee verschillende paden (primary en backup) opgebouwd. Omdat de koppeling tussen Microsoft en SURFnet redundant is uitgevoerd en SURFnet altijd twee volledig geografisch gescheiden routes levert naar uw instelling, is de end-to-end ExpressRoute service altijd beveiligd tegen onderbrekingen op één van de twee fysieke routes.
...
Figuur 2: Overzicht van de end-to-end ExpressRoute service bij één of twee poorten
...
Een ander aspect waarover u al van tevoren kunt nadenken is de VLAN-nummering. Als u bij de aanvraag al doorgeeft welke VLAN-nummers u aan beide zijden van de verbinding wil gebruiken, dan kan dat het opleverproces versnellen. In alle gevallen heeft SURFnet twee VLANs nodig aan de instellingszijde (zie figuur 2, VLANs B1 en B2). Of u een VLAN moet doorgeven voor de Microsoft zijde (zie figuur 2, VLAN A1) hangt af van de gekozen variant.
- Bij de 802.1q variant moet u het VLAN doorgeven dat u bij het configureren van de ExpressRoute peerings invoert in de Microsoft portal (zie stap 4 in hoofdstuk 4). Dit VLAN is in feite de “inner tag” of “C-Tag” aan Microsoft zijde.
- Bij de 802.1ad variant hoeft u geen VLAN door te geven. In dit geval genereert Microsoft zelf een “outer tag” of “S-Tag” bij het activeren van de service via de S-Key.
S-Key
Het
...
Als u de S-Key en VLAN informatie van tevoren aanlevert dan versnelt dat het leverproces. In dat geval kan SURFnet direct aan de slag met het activeren van de ExpressRoute en het configureren van de lichtpaden. Hou er wel rekening mee dat Microsoft direct start met factureren zodra u de S-Key heeft aangevraagd. Als er tijdens het leverproces nog nieuwe hardware geïnstalleerd moet worden (bv. optics voor nieuwe MSP of SSP poorten) dan is het niet verstandig om de ExpressRoute (S-Key) al van tevoren aan te vragen.
Overzicht benodigde gegevens aanvraag
...
Item
...
Benodigde informatie
...
Omschrijving van de aanvraag
...
In de omschrijving moet altijd duidelijk zijn dat u een “lichtpad ten behoeve van een Microsoft ExpressRoute” aanvraagt
...
802.1q of 802.1ad variant
...
Standaard 802.1q. Vraag alleen de 802.1ad variant aan als u zeker weet dat uw apparatuur hiermee overweg kan.
...
Bandbreedte
...
De bandbreedte van de aanvraag is de bandbreedte van het SURFnet lichtpad. Dit is onafhankelijk van de bandbreedte van de ExpressRoute die u zelf in de Microsoft portal kiest.
...
Aantal poorten
...
De service kan op één of twee poorten afgeleverd worden. Als u SURFnet apparatuur op meerdere locaties heeft, geef dan duidelijk aan op welke locatie de service moet komen.
...
Type redundantie
...
Dit is altijd ‘protected’ bij één poort en ‘redundant’ bij twee poorten.
...
VLAN-nummers
...
Optioneel. Als u deze informatie bij de aanvraag indient dan versnelt dat het leverproces.
...
S-Key
...
Optioneel. Als u deze informatie bij de aanvraag indient dan versnelt dat het leverproces.
Tabel 1: Overzicht van de benodigde gegevens bij de aanvraag
Het Leverproces
Het leverproces start op het moment dat uw aanvraag in behandeling is genomen en eindigt op het moment dat u een werkende ExpressRoute-verbinding heeft. Het proces bestaat uit maximaal zeven stappen waarvan er vier door de instelling zelf en drie door SURFnet uitgevoerd moeten worden. Deze stappen worden in dit hoofdstuk beschreven. De stappen die de instellingen zelf moeten uitvoeren zijn in verder detail uitgewerkt in de appendices aan het eind van dit document.
Stap 1: Installatie nieuwe hardware (optioneel)
De eerste stap in dit proces is niet voor elke aanvraag van toepassing. Als u al een bestaande MSP poort heeft met voldoende vrije bandbreedte, dan hoeft er geen nieuwe hardware geïnstalleerd te worden. U kunt dan direct beginnen met stap 2.
...
Stap 2: Aanvragen ExpressRoute in de Microsoft portal (S-Key)
U vraagt een ExpressRoute aan in de Microsoft portal en ontvangt een S-Key. Dit is de sleutel waarmee SURFnet de service kan activeren. U moet de S-Key dus door geven aan SURFnet. Hou er rekening mee dat Microsoft start met facturen zodra u de S-Key heeft aangevraagd, maar dat u uw ExpressRoute pas kan configureren als SURFnet de service heeft geactiveerd.
In appendix A.1 vindt u een beschrijving van de stappen die u in de portal moet nemen om de S-Key aan te vragen. Let goed op dat u in dit scherm ‘GÉANT’ invult als provider.
Stap 3: Activeren ExpressRoute
De volgende stap in het proces is dat SURFnet de ExpressRoute activeert. Als deze stap is afgerond dan wordt u hierover geïnformeerd en kunt u verder met het configureren van een ExpressRoute peering.
...
Het
...
Stap 4: Configureren van een ExpressRoute peering
In de Microsoft Azure portal kunt u nu de ExpressRoute peering configureren (zie appendix A.2). Het VLAN dat u in deze stap invoert wordt de “inner tag” of C-Tag van de ExpressRoute service tussen Microsoft en SURFnet. Dit is dus het VLAN aan Microsoft zijde (VLAN A1 in figuur 2).
Nu hoeft u alleen nog te bepalen welke VLANs u aan de instellingszijde wilt gebruiken. Aan het eind van deze stap moet u alle VLAN informatie doorgeven aan SURFnet. Als u voor de 802.1q variant heeft gekozen, dan zijn dat VLANs A1, B1 en B2 (zie figuur 2). Als u voor de 802.1ad variant heeft gekozen dan hoeft u alleen VLANs B1 en B2 door te geven.
U kunt er ook voor kiezen om alle VLAN informatie al bij de aanvraag aan te leveren. In dat geval is SURFnet na stap 3 al direct begonnen met het configureren van het lichtpad.
Stap 5: Configureren van het lichtpad
Afhankelijk van de variant die u gekozen heeft configureert SURFnet een 802.1q (“single tagged”) of een 802.1ad (“double tagged”) service. In beide gevallen wordt de service met de door u gekozen VLANs afgeleverd op de poorten bij uw instelling. Zodra het lichtpad gereed is krijgt u van SURFnet een opleveringsemail met alle relevante details van de end-to-end ExpressRoute service.
Stap 6: Configureren van het lokale en het (virtuele) remote netwerk
In appendix A.3 kunt u voorbeelden vinden om het virtuele netwerk in de Microsoft Azure omgeving te configureren en te koppelen aan de ExpressRoute. In appendix A4 vindt u voorbeelden van configuratie settings op uw lokale netwerk voor Cisco en Juniper routers.
Stap 7: Configureren van de BGP-sessies
Een goede uitvoering van de laatste stap is essentieel. Uw ExpressRoute-verbinding functioneert namelijk alleen als er op beide routes (primary en backup) correcte BGP-sessies zijn opgezet. In appendix A.5 vindt u voorbeelden van de configuratie op Cisco en Juniper routers om u hierbij te helpen.
Overzicht van het opleverproces
...
Activiteit
...
Verantwoordelijke Partij
...
1. Installatie nieuwe hardware (optioneel)
...
SURFnet
...
2. Aanvragen S-Key
...
Instelling
...
3. Activeren ExpressRoute
...
SURFnet
...
4. Opzetten van een ExpressRoute peering
...
Instelling
...
5. Configureren van het lichtpad
...
SURFnet
...
6. Configureren van het lokale en het (virtuele) remote netwerk
...
Instelling
...
7. Configureren van de BGP sessies
...
Instelling
Tabel 2: Overzicht van het leverproces
Het Opzeggingsproces
Om uw Expressroute service op te zeggen dient u, net als bij het leverproces, zelf handelingen te verrichten in de Microsoft portal. Daarnaast moet SURFnet ook handelingen verrichten in de portal en de SURFnet netwerk infrastructuur afbreken. Hieronder vindt u een kort overzicht van de stappen die u moet zetten om uw ExpressRoute bij Microsoft en bij SURFnet op te zeggen.
Stap 1: Verwijderen BGP sessies
De eerste stap in het proces is dat u alle BGP sessies op uw routers verwijderd.
Stap 2: Verwijderen ExpressRoute peerings
De tweede stap is dat u de BGP peerings in de Microsoft portal verwijderd. In appendix A.6.1 vindt u de screenshots die bij deze stap horen.
Stap 3: Opzeggen end-to-end service bij SURFnet
Vervolgens zegt u de ExpressRoute service op bij SURFnet. De ExpressRoute wordt dan “ge-decommisioned” in de Microsoft portal en de SURFnet lichtpaden worden afgebroken. U krijgt bevestiging van Surfnet als deze stap is afgerond.
Stap 4: ExpressRoute circuit verwijderen in de Microsoft portal
Als u bevestiging heeft gekregen van SURFnet dat de ExpressRoute ge-decommisioned is, dan kunt u uw ExpressRoute circuit verwijderen in de Microsoft portal. In appendix A.6 vindt u de relevante screenshots.
Overzicht van het opzeggingsproces
...
Activiteit
...
Verantwoordelijke Partij
...
1. Verwijderen BGP sessies
...
Instelling
...
2. Verwijderen ExpressRoute peerings
...
Instelling
...
3. Opzeggen end-to-end service bij SURFnet
...
SURFnet
...
4. ExpressRoute circuit verwijderen in de Microsoft portal
...
Instelling
Tabel 3: Overzicht van het opzeggingsproces
...