Azure 老号 微软云专用链路接入流程

各位正在为微软云专用链路（ExpressRoute）焦头烂额的同仁，先别急着重启路由器——请放下手里的咖啡杯，关掉第17个未读的Azure支持工单，深呼吸三次。今天咱们不念PPT，不贴PowerShell命令行截图，就坐这儿，像两个在机房门口啃煎饼果子的技术老友，把ExpressRoute这条「云上高铁专线」，从立项聊到通车，顺便把那些藏在文档褶皱里的坑，一个一个拍平。

一、先别买！问自己三个扎心问题

ExpressRoute不是宽带续费，按月交钱就能用。它是一条物理+逻辑双绑定的「企业级专列」——有始发站（你的IDC/办公室），有终点站（微软全球接入点），还有专属车厢（隔离带宽、SLA保障、无公网暴露）。所以第一步，不是打开Azure门户点「新建」，而是掏出小本本，挨个灵魂拷问：

• 你真需要它？ 如果只是给测试环境跑个CI/CD，或者几个开发查查Log，那请立刻出门左转，用VPN或直接走公网——ExpressRoute最低起步价≈北京二环内一间厕所月租，别让财务看见你的采购单后瞳孔地震。
• 你家网络够格上车吗？ 它要求BGP能力、支持802.1Q VLAN子接口、能配/30或/31互联IP段。如果你的出口防火墙还是十年前买的、连BGP按钮都得翻说明书找，建议先升级设备，再谈上云。
• 你准备停靠哪个站？ 微软在国内有上海、北京、深圳三大接入点（Peering Location），但注意：不是所有运营商都能直连每个点。比如某北方运营商在上海点没线路，硬要连，就得绕道北京再折返——延迟多出20ms，相当于视频会议里你刚说“我觉得”，对方已点头三次并开始写纪要。

二、选线：MPLS、裸纤、还是「云厂商代建」？

ExpressRoute本身不卖光缆，它只提供「最后一公里」的微软侧接入。中间这段路，得你自己找运营商铺。目前主流三条道：

• MPLS专线：老牌稳重，像穿西装打领带的国企领导——成熟、有SLA、故障可追责。缺点？贵。一条100Mbps MPLS，月费够你给全组订半年下午茶。且开通周期动辄4-8周，适合不差钱、不赶时间、法务合同比路由表还厚的客户。
• 裸光纤：年轻暴躁技术控最爱。你租一根纯物理纤芯，两端自配波分设备，带宽想开多大开多大（只要光模块撑得住）。优势是性价比高、延迟低、自主权大；劣势是……你得懂DWDM、会调光功率、半夜被光衰告警叫醒时不能骂运营商，因为——那是你自己的设备。
• 云厂商代建（Co-location）：微软合作机房（如万国、世纪互联）里已有预布线。你只需在隔壁机柜插根网线，当天就能配BGP。适合IDC就在合作园区的客户，堪称「云上地铁扫码即走」。但注意：这属于「共享接入点」，虽逻辑隔离，心理上总觉得隔壁公司流量和你挤同一根管道——玄学焦虑，无法报销。

三、签约前，请把这三件事钉进合同

别信销售说的「下周就通」。合同里必须白纸黑字写清：

1. Azure 老号 端到端时延承诺值（不是「≤50ms」这种废话，要写「上海IDC至微软上海Peering点，单向≤15ms，95分位」）；
2. 故障响应时效（例如「光缆中断，2小时内工程师到场，4小时定位」）；
3. BGP会话保活参数（明确Hold Time和Keepalive时间，避免因默认值不一致导致邻居反复Down/Up——这事儿我们真见过，客户以为Azure抽风，其实是运营商把Keepalive设成了60秒，而微软默认是30秒，俩人互相等对方先眨眼，最后双双放弃。

四、配置阶段：BGP不是背单词，是谈恋爱

线路通了≠能传数据。真正的「过门」仪式，是BGP邻居建立。这里全是细节刺客：

• ASN号别乱填：微软要求你用公有ASN（1-64511或65536-65551），私有ASN（64512-65535）在部分接入点会被拒。曾有客户填了65535，Azure Portal显示「配置成功」，实际路由一条不收——界面没报错，就像你发微信说「在呢」，其实手机静音了。
• VLAN ID对齐是基本礼仪：运营商给你分配VLAN 100，你Azure里配成101，结果就是——安静。建议在工单里加一句：「请邮件同步VLAN、互联IP、MTU、BGP参数四件套，别让我猜」。
• 路由过滤器要温柔：微软默认只接受你宣告/24及以上前缀。若你非得宣告/32（比如某个VIP地址），得提前提工单开通「small prefix advertisement」权限，否则路由直接被丢弃，连个日志都不留。

五、上线后：监控不是摆设，是救命稻草

别等用户投诉「XX系统卡成PPT」才去看监控。请立刻做三件事：

1. 在Azure Monitor里开「ExpressRoute Circuit Metrics」，盯住ConnectionsEstablished和BytesIn/Out——前者归零？BGP挂了；后者长期为0？可能是ACL封了端口，或者你忘了在NSG里放行BGP的179端口。
2. 在本地路由器上跑show ip bgp summary，看State是否为Established。如果卡在Active，八成是TCP三次握手失败——检查是不是防火墙拦了源端口1024+的随机端口（微软BGP用动态端口）。
3. 每月手动执行一次test-netconnection -ComputerName <微软PE IP> -Port 179（Windows）或nc -vz <PE IP> 179（Linux），防患于未然。毕竟，等出事再测，就像等牙疼了才买牙刷。

六、最后送你一句祖传口诀

「线路看合同，BGP对参数，路由查过滤，监控当早饭，故障先抓包，重启放最后。」

ExpressRoute不是魔法，它是一套精密协作机制：运营商负责铁轨，微软负责车站调度，你负责列车驾驶。任何一环松螺丝，整趟车都会晃。但好消息是——只要前期踩准节奏，后期它比公网稳得多，稳到你开会时敢开1080P共享桌面，而不用随时准备切回语音模式救场。

好了，煎饼果子凉了，咖啡见底了。现在，你可以去改那份ASN填错的工单了。祝你BGP邻居永不flap，路由表永远干净，以及——下次采购前，记得先跟财务喝顿酒。