Ověření možností připojení ExpressRoute

Tento článek vám pomůže ověřit připojení ExpressRoute a řešit potíže s jeho připojením. ExpressRoute rozšiřuje místní síť do cloudu Microsoftu přes privátní připojení, které běžně usnadňuje poskytovatel připojení. Připojení ExpressRoute tradičně zahrnuje tři různé zóny sítě, a to následujícím způsobem:

  • Síť zákazníka
  • Síť poskytovatele
  • Microsoft Datacenter

Poznámka

V modelu přímého připojení ExpressRoute (nabízeno s šířkou pásma 10/100 Gb/s) se zákazníci mohou přímo připojit k portu směrovačů MSEE (Microsoft Enterprise Edge). Proto v modelu přímého připojení existují pouze zóny sítě zákazníka a Microsoftu.

Účelem tohoto dokumentu je pomoct uživateli zjistit, jestli a kde dochází k problému s připojením. To vám pomůže vyhledat podporu od příslušného týmu a vyřešit problém. Pokud je k vyřešení problému potřeba podpora Microsoftu, otevřete lístek podpory na Podpora Microsoftu.

Důležité

Cílem tohoto dokumentu je pomáhat s diagnostikou a opravou jednoduchých problémů. Nemá být náhradou za podporu Microsoftu. Pokud se vám nedaří problém vyřešit Podpora Microsoftu podle uvedených pokynů, otevřete lístek podpory s týmem podpory.

Přehled

Následující diagram znázorňuje logické připojení sítě zákazníka k síti Microsoftu pomocí ExpressRoute. 1

V předchozím diagramu čísla označují klíčové síťové body. Na tyto síťové body se v tomto článku občas odkazuje podle jejich přidruženého čísla. V závislosti na modelu připojení ExpressRoute – umístění ve sdíleném umístění Cloud Exchange, ethernetové připojení typu Point-to-Point nebo IPVPN (Any-to-Any) – 3 a 4 mohou být přepínače (zařízení vrstvy 2) nebo směrovače (zařízení vrstvy 3). V modelu přímého připojení nejsou žádné síťové body 3 a 4. Místo toho se KS (2) přímo připojí k MES prostřednictvím tmavého vlákna. Klíčové síťové body jsou následující:

  1. Výpočetní zařízení zákazníka (například server nebo počítač)
  2. CEs: Hraniční směrovače zákazníka
  3. PE (přístup k CE): Hraniční směrovače nebo přepínače poskytovatele, které se nachází na hraničních směrovačích zákazníka. V tomto PE-CEs se označuje jako .
  4. PE (přístup k MSEE): Hraniční směrovače nebo přepínače poskytovatele, které se potýkají se směrovači MSEE. V tomto PE-MSEEs se označuje jako .
  5. Směrovače MSEE (Microsoft Enterprise Edge) ExpressRoute
  6. Virtual Network (virtuální síť)
  7. Výpočetní zařízení ve virtuální síti Azure

Pokud se používají modely sdíleného umístění cloudové výměny, ethernetového připojení typu point-to-point nebo přímého připojení, navázání partnerského vztahu protokolu BGP se sítěmi MSE (5)

Pokud se používá model připojení Typu Any-to-Any (IPVPN), PE-MSEEs (4) navázání partnerského vztahu protokolu BGP se sítěmi MSEE (5). PE-MSEEs rozšíříte trasy přijaté od Microsoftu zpět do sítě zákazníka přes síť poskytovatele služeb IPVPN.

Poznámka

V případě vysoké dostupnosti společnost Microsoft vytvoří plně redundantní paralelní připojení mezi sítěmi MSEE (5) a PE-MSEEs (4). Doporučujeme také plně redundantní paralelní síťovou cestu mezi sítí zákazníka a PE-CEs párem. Další informace týkající se vysoké dostupnosti najdete v článku Návrh vysoké dostupnosti pomocí ExpressRoute.

Toto jsou logické kroky při řešení potíží s okruhem ExpressRoute:

Ověření stavu a zřizování okruhů

Zřízení okruhu ExpressRoute vytvoří redundantní připojení vrstvy 2 mezi CES/PE-MSEE (2)/(4) a sítěmi MSEE (5). Další informace o tom, jak vytvořit, upravit, zřídit a ověřit okruh ExpressRoute, najdete v článku Vytvoření a úprava okruhu ExpressRoute.

Tip

Klíč služby jednoznačně identifikuje okruh ExpressRoute. Pokud potřebujete pomoc od Microsoftu nebo partnera ExpressRoute k řešení potíží s ExpressRoute, poskytujte klíč služby, abyste mohli okruh snadno identifikovat.

Ověření prostřednictvím Azure Portal

V Azure Portal otevřete okno okruhu ExpressRoute. V části 3 okna jsou uvedené základní údaje ExpressRoute, jak je znázorněno na následujícím snímku obrazovky:

4

Ve službě ExpressRoute Essentials stav okruhu označuje stav okruhu na straně Microsoftu. Stav poskytovatele značí, jestli je okruh na straně poskytovatele služeb Zřízeno nebo Není zřízeno.

Aby byl okruh ExpressRoute funkční, musí být Stav okruhu Povolený a Stav poskytovatele musí být Zřízeno.

Poznámka

Pokud je stav okruhu po konfiguraci okruhu ExpressRoute zablokované ve stavu Není povoleno, kontaktujte Podpora Microsoftu. Na druhou stranu, pokud je stav poskytovatele zablokovaný ve stavu Nezřknuto, obraťte se na svého poskytovatele služeb.

Ověření přes PowerShell

Pokud chcete zobrazit seznam všech okruhů ExpressRoute ve skupině prostředků, použijte následující příkaz:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Tip

Pokud hledáte název skupiny prostředků, můžete ji získat výpisem všech skupin prostředků ve vašem předplatném pomocí příkazu Get-AzResourceGroup.

Pokud chcete vybrat konkrétní okruh ExpressRoute ve skupině prostředků, použijte následující příkaz:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Ukázková odpověď je:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                    }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             : 
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                    }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Pokud chcete ověřit, jestli je okruh ExpressRoute funkční, věnujte zvláštní pozornost následujícím polím:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Poznámka

Pokud je stav okruhu po konfiguraci okruhu ExpressRoute zablokované ve stavu Není povoleno, kontaktujte Podpora Microsoftu. Na druhou stranu, pokud je stav poskytovatele zablokovaný ve stavu Nezřknuto, obraťte se na svého poskytovatele služeb.

Ověření konfigurace partnerského vztahu

Jakmile poskytovatel služeb dokončí zřizování okruhu ExpressRoute, je možné přes okruh ExpressRoute vytvořit několik konfigurací směrování založených na protokolu eBGP mezi CEs/MSEE-PEs (2)/(4) a MSEE (5). Každý okruh ExpressRoute může mít: privátní partnerský vztah Azure (provoz do privátních virtuálních sítí v Azure) nebo partnerský vztah Microsoftu (provoz do veřejných koncových bodů PaaS a SaaS). Další informace o tom, jak vytvořit a upravit konfiguraci směrování, najdete v článku Vytvoření a úprava směrování pro okruh ExpressRoute.

Ověření prostřednictvím Azure Portal

Poznámka

V modelu připojení IPVPN zodpovídá poskytovatelé služeb za konfiguraci partnerských vztahů (služby vrstvy 3). Když v takovém modelu poskytovatel služeb nakonfiguroval partnerský vztah a pokud je na portálu prázdný, zkuste aktualizovat konfiguraci okruhu pomocí tlačítka aktualizace na portálu. Tato operace stáhne aktuální konfiguraci směrování z vašeho okruhu.

V Azure Portal můžete zkontrolovat stav partnerského vztahu okruhu ExpressRoute v okně okruhu ExpressRoute. V části 3 okna se zobrazí seznam partnerských vztahů ExpressRoute, jak je znázorněno na následujícím snímku obrazovky:

5

V předchozím příkladu je zřízen privátní partnerský vztah Azure, zatímco veřejné partnerské vztahy Azure a partnerské vztahy Microsoftu nejsou zřízené. V kontextu úspěšného zřízení partnerského vztahu budou uvedené také primární a sekundární podsítě typu point-to-point. Podsítě /30 se používají pro IP adresu rozhraní MES a CES/PE-MSEE. U partnerských vztahů, které jsou zřízené, se v výpisu také uvádí, kdo konfiguraci naposledy upravil.

Poznámka

Pokud se povolení partnerského vztahu nezdaří, zkontrolujte, jestli přiřazené primární a sekundární podsítě odpovídají konfiguraci propojeného CE/PE-MSEE. Zkontrolujte také, jestli se v MSEE používají správné hodnoty VLANId, AzureASN a PeerASN a jestli se tyto hodnoty mapuje na hodnoty použité v propojeném CE/PE-MSEE. Pokud je zvoleno hashování MD5, sdílený klíč by měl být stejný v páru MSEE a PE-MSEE/CE. Dříve nakonfigurovaný sdílený klíč se z bezpečnostních důvodů nezobrazí. Pokud potřebujete změnit jakoukoli z těchto konfigurací na směrovači MSEE, přečtěte si část Vytvoření a úprava směrování pro okruh ExpressRoute.

Poznámka

V podsíti /30 přiřazené k rozhraní vybere Microsoft druhou použitelné IP adresu podsítě pro rozhraní MSEE. Proto se ujistěte, že v partnerském prostředí CE/PE-MSEE byla přiřazena první použitelné IP adresa podsítě.

Ověření přes PowerShell

Pokud chcete získat podrobnosti o konfiguraci privátního partnerského vztahu Azure, použijte následující příkazy:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Ukázková odpověď pro úspěšně nakonfigurovaný privátní partnerský vztah je:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           : 
SecondaryAzurePort         : 
SharedKey                  : 
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Kontext partnerského vztahu s úspěšně povoleným partnerským vztahem by měl uvedené předpony primární a sekundární adresy. Podsítě /30 se používají pro IP adresu rozhraní MES a CES/PE-MSEE.

Pokud chcete získat podrobnosti o konfiguraci veřejného partnerského vztahu Azure, použijte následující příkazy:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering" -ExpressRouteCircuit $ckt

Pokud chcete získat podrobnosti o konfiguraci partnerského vztahu Microsoftu, použijte následující příkazy:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Pokud partnerský vztah není nakonfigurovaný, zobrazí se chybová zpráva. Ukázková odpověď, když se uvedený partnerský vztah (v tomto příkladu veřejný partnerský vztah Azure) nenakonfiguruje v rámci okruhu:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Poznámka

Pokud se povolení partnerského vztahu nezdaří, zkontrolujte, jestli přiřazené primární a sekundární podsítě odpovídají konfiguraci propojeného CE/PE-MSEE. Také ověřte, zda jsou v směrovači msee použity správné VlanId, AzureASN a PeerASN a zda jsou tyto hodnoty mapovány na ty, které jsou použity v propojeném CE/PE-MSEE. Pokud je zvolena hodnota hash MD5, sdílený klíč by měl být stejný jako u páru MSEE a PE-MSEE/CE. Dříve nakonfigurovaný sdílený klíč se z bezpečnostních důvodů nezobrazuje. Pokud potřebujete změnit některou z těchto konfigurací na směrovači MSEE, přečtěte si téma Vytvoření a úprava směrování pro okruh ExpressRoute.

Poznámka

V podsíti/30 přiřazené k rozhraní vybere Microsoft druhou použitelnou IP adresu podsítě pro rozhraní MSEE. Proto zajistěte, aby byla první použitelná IP adresa podsítě přiřazena k partnerským uzlům CE/PE-MSEE.

Ověřit protokol ARP

Tabulka ARP poskytuje mapování IP adresy a adresy MAC pro konkrétní partnerský vztah. Tabulka ARP pro partnerský vztah okruhu ExpressRoute poskytuje pro každé rozhraní (primární a sekundární) následující informace:

  • Mapování IP adresy místního rozhraní směrovače na adresu MAC
  • Mapování IP adresy rozhraní směrovače ExpressRoute na adresu MAC
  • Stáří tabulek mapování protokolu ARP může pomáhat ověřit konfiguraci vrstvy 2 a řešit potíže s problémy s připojením základní vrstvy 2.

Viz téma získání tabulek ARP v dokumentu modelu nasazení Správce prostředků , informace o tom, jak zobrazit tabulku ARP partnerského vztahu ExpressRoute a jak používat informace k řešení potíží s připojením vrstvy 2.

Ověření protokolu BGP a tras na MSEE

Chcete-li získat směrovací tabulku z MSEE na primární cestě pro kontext privátního směrování, použijte následující příkaz:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName ******* -PeeringType AzurePrivatePeering -ResourceGroupName ****

Příklad odpovědi:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  : 
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  : 
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  : 
Weight  : 0
Path    : 123##

Poznámka

Pokud je stav partnerského vztahu eBGP mezi MSEE a a MSEE/PE-MSEE aktivní nebo nečinný, ověřte, jestli se přiřazené primární a sekundární podsítě partnerského vztahu shodují s konfigurací u propojeného CE/PE-. Také ověřte, zda jsou v směrovači msee použity správné VlanId, AzureAsn a PeerAsn a zda jsou tyto hodnoty mapovány na ty, které se používají v propojeném prostředí PE-MSEE/CE. Pokud je zvolena hodnota hash MD5, sdílený klíč by měl být stejný v páru MSEE a CE/PE-MSEE. Pokud potřebujete změnit některou z těchto konfigurací na směrovači MSEE, přečtěte si téma Vytvoření a úprava směrování pro okruh ExpressRoute.

Poznámka

Pokud nejsou některá cílová umístění dostupná přes partnerský vztah, podívejte se do směrovací tabulky směrovači msee pro odpovídající kontext partnerského vztahu. Pokud je v směrovací tabulce k dispozici odpovídající předpona (NATed IP), zkontrolujte, zda jsou brány firewall/NSG/seznamy ACL na cestě, která blokuje provoz.

Následující příklad ukazuje odpověď příkazu pro partnerský vztah, který neexistuje:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Potvrzení toku přenosů

Pokud chcete získat kombinovanou statistiku přenosu primárních a sekundárních cest – bajty v a mimo kontext partnerského vztahu, použijte následující příkaz:

Get-AzExpressRouteCircuitStats -ResourceGroupName $RG -ExpressRouteCircuitName $CircuitName -PeeringType 'AzurePrivatePeering'

Vzorový výstup příkazu je:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
     240780020       239863857        240565035         239628474

Ukázkový výstup příkazu pro neexistující partnerský vztah:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Další kroky

Další informace nebo nápovědu najdete na následujících odkazech: