Behandeln von Problemen mit virtuellen Netzwerkgeräten

Artikel
12/01/2023

Unter Umständen treten Verbindungsprobleme bei virtuellen Computern oder VPNs auf, die ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) in Azure Stack Hub verwenden.

Dieser Artikel hilft bei der Überprüfung der grundlegenden Anforderungen an die Azure Stack Hub-Plattform für NVA-Konfigurationen.

Der Anbieter eines NVA bietet technischen Support für das virtuelle Netzwerkgerät und seine Integration in die Azure Stack Hub-Plattform.

Hinweis

Bei einem Konnektivitäts- oder Routingproblem, das ein NVA betrifft, sollten Sie sich direkt an den NVA-Anbieter wenden.

Wird Ihr NVA-Problem mit Azure Stack Hub in diesem Artikel nicht behandelt, erstellen Sie ein Azure Stack Hub-Supportticket.

Checkliste für die Problembehandlung mit einem NVA-Anbieter

Updates für NVA-VM-Software
Einrichtung und Funktionalität von Dienstkonten
Benutzerdefinierte Routen (User-Defined Routes, UDRs) in Subnetzen virtueller Netzwerke, die Datenverkehr an das NVA weiterleiten
UDRs in Subnetzen virtueller Netzwerke, die Datenverkehr von einem NVA weiterleiten
Weiterleiten von Tabellen und Regeln im NVA (z. B. von NIC1 an NIC2)
Ablaufverfolgung für NVA-NICs, um das Empfangen und Senden von Netzwerkdatenverkehr zu überprüfen

Grundlegende Schritte zur Problembehandlung

Überprüfen der grundlegenden Konfiguration
Überprüfen der NVA-Leistung
Erweiterte Behandlung von Netzwerkproblemen

Überprüfen der Mindestanforderungen für die Konfiguration von NVAs in Azure

Für jedes NVA müssen grundlegende Konfigurationsanforderungen erfüllt werden, damit es ordnungsgemäß in Azure Stack Hub ausgeführt werden kann. Der folgende Abschnitt enthält die Schritte zum Überprüfen dieser grundlegenden Konfigurationen. Weitere Informationen erhalten Sie vom NVA-Anbieter.

Wichtig

Wenn Pakete einen S2S-Tunnel nutzen, werden sie mit zusätzlichen Headern weiter gekapselt. Durch diese Kapselung vergrößern sich die einzelnen Pakete insgesamt.

In diesem Szenario müssen Sie TCP MSS mit 1,350 Byte verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen den MTU-Wert der Tunnelschnittstelle auf 1.400 Byte festlegen.

Weitere Informationen finden Sie unter Optimierung der TCP/IP-Leistung für Azure-VMs.

Überprüfen, ob die IP-Weiterleitung für das NVA aktiviert ist

Suchen Sie die NVA-Ressource im Azure Stack Hub-Portal, und wählen Sie Netzwerke und dann die Netzwerkschnittstelle aus.
Wählen Sie auf der Seite Netzwerkschnittstelle die Option IP-Konfiguration aus.
Stellen Sie sicher, dass IP-Weiterleitung aktiviert ist.

Führen Sie den folgenden Befehl aus. Ersetzen Sie die Werte in spitzen Klammern durch Ihre eigenen Informationen.
```
Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
```
Überprüfen Sie die Eigenschaft EnableIPForwarding.

Wenn die IP-Weiterleitung nicht aktiviert ist, führen Sie die folgenden Befehle aus, um diese zu aktivieren:

$nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Führen Sie den folgenden Befehl aus. Ersetzen Sie die Werte in spitzen Klammern durch Ihre eigenen Informationen.
```
Get-AzureRMNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
```
Überprüfen Sie die Eigenschaft EnableIPForwarding.

Wenn die IP-Weiterleitung nicht aktiviert ist, führen Sie die folgenden Befehle aus, um diese zu aktivieren:

$nic2 = Get-AzureRMNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
$nic2.EnableIPForwarding = 1
Set-AzureRMNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

Überprüfen, ob der Datenverkehr an das NVA weitergeleitet werden kann

Suchen Sie einen virtuellen Computer, der zum Umleiten des Datenverkehrs an das virtuelle Netzwerkgerät konfiguriert ist.
Um zu überprüfen, ob es sich beim NVA um den nächsten Hop handelt, führen Sie Tracert <Private IP of NVA>für Windows oder Traceroute <Private IP of NVA> aus.
Wenn das NVA nicht als nächster Hop aufgeführt ist, überprüfen und aktualisieren Sie die Azure Stack Hub-Routingtabellen.

Einige Betriebssysteme auf Gastebene verfügen möglicherweise über Firewallrichtlinien zum Blockieren von ICMP-Datenverkehr. Aktualisieren Sie diese Firewallregeln, damit die vorangehenden Befehle funktionieren.

Überprüfen, ob der Datenverkehr das NVA erreichen kann

Suchen Sie einen virtuellen Computer, der mit dem NVA verbunden sein sollte.
Überprüfen Sie, ob Netzwerksicherheitsgruppen (NSGs) Datenverkehr blockieren. Führen Sie unter Windows ping (ICMP) oder Test-NetConnection <Private IP of NVA> (TCP) aus. Führen Sie unter Linux Tcpping <Private IP of NVA> aus.
Wenn Ihre NSGs Datenverkehr blockieren, ändern Sie sie so, dass Datenverkehr zugelassen wird.

Überprüfen, ob das NVA und die VMs auf erwarteten Datenverkehr lauschen

Stellen Sie über RDP oder SSH eine Verbindung mit dem NVA her, und führen Sie dann den folgenden Befehl aus:

Windows
```
netstat -an
```
Linux
```
netstat -an | grep -i listen
```
Suchen Sie nach den TCP-Ports, die von der in den Ergebnissen aufgeführten NVA-Software verwendet werden. Werden sie nicht angezeigt, konfigurieren Sie die Anwendung auf dem virtuellen Netzwerkgerät und dem virtuellen Computer, um auf Datenverkehr zu lauschen und zu reagieren, der diese Ports erreicht. Wenden Sie sich an den NVA-Anbieter, wenn Sie Unterstützung benötigen.

Überprüfen der NVA-Leistung

Überprüfen der VM-CPU-Auslastung

Wenn die CPU-Auslastung fast 100 Prozent erreicht, kann es zu Problemen kommen, die sich auf die Netzwerkpaketverluste auswirken.

Untersuchen Sie während einer CPU-Spitze, welcher Prozess auf der Gast-VM für die hohe CPU-Auslastung verantwortlich ist. Beheben Sie dies nach Möglichkeit.

Eventuell müssen Sie auch die Größe der VM in eine größere SKU ändern oder bei einer VM-Skalierungsgruppe die Anzahl der Instanzen erhöhen.

Wenden Sie sich an den NVA-Anbieter, wenn Sie Unterstützung benötigen sollten.

Überprüfen der VM-Netzwerkstatistik

Wenn das VM-Netzwerk Spitzen oder Zeiträume mit hoher Auslastung aufweist, erhöhen Sie ggf. die SKU-Größe der VM, um von einem höherem Durchsatz zu profitieren.

Erweiterte Behandlung von Problemen mit Netzwerkadministratoren

Erfassen einer Netzwerkablaufverfolgung

Erfassen Sie während der Ausführung von PsPing oder Nmap eine gleichzeitige Netzwerkablaufverfolgung auf der Quell- und Ziel-VM und dem NVA. Beenden Sie dann die Ablaufverfolgung.

Um eine gleichzeitige Netzwerkablaufverfolgung zu erfassen, führen Sie den folgenden Befehl aus:

Windows

netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

Linux

sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

Verwenden Sie PsPing oder Nmap von der Quell-VM zur Ziel-VM. Bespiele sind PsPing 10.0.0.4:80 oder Nmap -p 80 10.0.0.4.
Öffnen Sie die Netzwerkablaufverfolgung auf der Ziel-VM, indem Sie tcpdump oder eine Paketanalyse Ihrer Wahl verwenden. Wenden Sie einen Anzeigefilter für die IP-Adresse der Quell-VM an, über die Sie PsPing oder Nmap ausgeführt haben. Ein Windows-Beispiel für netmon lautet IPv4.address==10.0.0.4. Linux-Beispiele sind tcpdump -nn -r vmtrace.cap src und dst host 10.0.0.4.

Analysieren von Ablaufverfolgungen

Falls die bei der Ablaufverfolgung der Back-End-VM eingehenden Pakete nicht zu sehen sind, liegt wahrscheinlich ein Konflikt mit einer NSG oder UDR oder fehlerhaften NVA-Routingtabellen vor.

Wenn Sie sehen, dass Pakete eingehen, aber keine Antwort enthalten, müssen Sie möglicherweise ein Problem mit einer VM-Anwendung oder -Firewall beheben.