ExpressRoute-connectiviteit controleren

  • Artikel

Dit artikel helpt u bij het verifiëren en oplossen van problemen met Azure ExpressRoute-connectiviteit. ExpressRoute breidt een on-premises netwerk uit naar de Microsoft Cloud via een privéverbinding die doorgaans wordt gefaciliteerd door een connectiviteitsprovider. ExpressRoute-connectiviteit omvat traditioneel drie afzonderlijke netwerkzones:

  • Klantnetwerk
  • Providernetwerk
  • Microsoft-datacenter

Notitie

In het ExpressRoute Direct-connectiviteitsmodel kunt u rechtstreeks verbinding maken met de poort voor MSEE-routers (Microsoft Enterprise Edge). Het directe connectiviteitsmodel bevat alleen uw en Microsoft-netwerkzones.

Dit artikel helpt u te bepalen of en waar een verbindingsprobleem bestaat. Vervolgens kunt u ondersteuning zoeken van het juiste team om het probleem op te lossen.

Belangrijk

Dit artikel is bedoeld om u te helpen bij het vaststellen en oplossen van eenvoudige problemen. Het is niet bedoeld als vervanging voor Microsoft-ondersteuning. Als u een probleem niet kunt oplossen met behulp van de richtlijnen in dit artikel, opent u een ondersteuningsticket met Microsoft Ondersteuning.

Overzicht

In het volgende diagram ziet u de logische connectiviteit van een klantnetwerk met het Microsoft-netwerk via ExpressRoute. 1

In het voorgaande diagram geven de getallen belangrijke netwerkpunten aan:

  1. Rekenapparaat van de klant (bijvoorbeeld een server of pc).
  2. Edge-routers (CE's) van de klant.
  3. Provider edge routers/switches (PE's) die te maken hebben met edge-routers van klanten.
  4. P's die worden geconfronteerd met Microsoft Enterprise Edge ExpressRoute-routers (MSEEs). Dit artikel noemt ze PE-MSEEs.
  5. MSE's.
  6. Gateway voor een virtueel netwerk.
  7. Rekenapparaat in het virtuele Azure-netwerk.

Soms verwijst dit artikel naar deze netwerkpunten op basis van het bijbehorende nummer.

Afhankelijk van het ExpressRoute-connectiviteitsmodel zijn netwerkpunten 3 en 4 mogelijk switches (laag 2-apparaten) of routers (laag 3-apparaten). De ExpressRoute-connectiviteitsmodellen zijn colocatie voor clouduitwisseling, punt-naar-punt Ethernet-verbinding of any-to-any (IPVPN).

In het model voor directe connectiviteit zijn geen netwerkpunten 3 en 4. In plaats daarvan zijn CEs (2) rechtstreeks verbonden met MSEE's via dark viber.

Als de colocatie van de clouduitwisseling, punt-naar-punt Ethernet of direct-connectiviteitsmodel wordt gebruikt, stellen CE's (2) BGP-peering (Border Gateway Protocol) vast met MSEEs (5).

Als het any-to-any-connectiviteitsmodel (IPVPN) wordt gebruikt, brengen PE-MSEEs (4) BGP-peering tot stand met MSEEs (5). PE-MSEE's geven de routes die van Microsoft zijn ontvangen, door naar het klantnetwerk via het IPVPN-serviceprovidernetwerk.

Notitie

Voor hoge beschikbaarheid brengt Microsoft een volledig redundante parallelle connectiviteit tot stand tussen MSEE- en PE-MSEE-paren. Een volledig redundant parallel netwerkpad wordt ook aangemoedigd tussen het klantnetwerk en PE/CE-paren. Zie het artikel Ontwerpen voor hoge beschikbaarheid met ExpressRoute voor meer informatie over hoge beschikbaarheid.

De volgende secties vertegenwoordigen de logische stappen voor het oplossen van problemen met een ExpressRoute-circuit.

Circuitinrichting en -status controleren

Als u een ExpressRoute-circuit inricht, wordt een redundante laag 2-verbinding tot stand gebracht tussen CEs/PE-MSEEs (2/4) en MSA's (5). Zie het artikel Een ExpressRoute-circuit maken, wijzigen, inrichten en controleren voor meer informatie over het maken, wijzigen, inrichten en verifiëren van een ExpressRoute-circuit.

Tip

Een servicesleutel identificeert een ExpressRoute-circuit op unieke wijze. Als u hulp nodig hebt van Microsoft of van een ExpressRoute-partner om een ExpressRoute-probleem op te lossen, geeft u de servicesleutel op om het circuit gemakkelijk te identificeren.

Verificatie via Azure Portal

Open in Azure Portal de pagina voor het ExpressRoute-circuit. De 3 sectie van de pagina bevat de ExpressRoute-essentials, zoals wordt weergegeven in de volgende schermopname:

4

In de Essentials van ExpressRoute geeft de circuitstatus de status aan van het circuit aan de Zijde van Microsoft. De providerstatus geeft aan of het circuit is ingericht of niet is ingericht aan de kant van de serviceprovider.

Om een ExpressRoute-circuit operationeel te maken, moet de circuitstatus zijn ingeschakeld en moet de providerstatus worden ingericht.

Notitie

Nadat u een ExpressRoute-circuit hebt geconfigureerd, neemt u contact op met Microsoft Ondersteuning als de circuitstatus is vastgelopen in de status Niet ingeschakeld. Als de providerstatus is vastgelopen in de status Niet ingericht , neemt u contact op met uw serviceprovider.

Verificatie via PowerShell

Gebruik de volgende opdracht om alle ExpressRoute-circuits in een resourcegroep weer te geven:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Tip

Als u op zoek bent naar de naam van een resourcegroep, kunt u deze ophalen met behulp van de Get-AzResourceGroup opdracht om alle resourcegroepen in uw abonnement weer te geven.

Gebruik de volgende opdracht om een bepaald ExpressRoute-circuit in een resourcegroep te selecteren:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Hieronder volgt een voorbeeld van een antwoord:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Als u wilt controleren of een ExpressRoute-circuit operationeel is, moet u met name letten op de volgende velden:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Notitie

Nadat u een ExpressRoute-circuit hebt geconfigureerd, neemt u contact op met Microsoft Ondersteuning als de circuitstatus is vastgelopen in de status Niet ingeschakeld. Als de providerstatus is vastgelopen in de status Niet ingericht , neemt u contact op met uw serviceprovider.

Peeringconfiguratie valideren

Nadat de serviceprovider het ExpressRoute-circuit heeft ingericht, kunnen meerdere routeringsconfiguraties op basis van externe BGP (eBGP) worden gemaakt via het ExpressRoute-circuit tussen CEs/MSEE-PEs (2/4) en MSEEs (5). Elk ExpressRoute-circuit kan een of beide van de volgende peeringconfiguraties hebben:

  • Persoonlijke Azure-peering: verkeer naar particuliere virtuele netwerken in Azure
  • Microsoft-peering: verkeer naar openbare eindpunten van Platform as a Service (PaaS) en Software as a Service (SaaS)

Zie het artikel Routering maken en wijzigen voor een ExpressRoute-circuit voor meer informatie over het maken en wijzigen van routeringsconfiguratie.

Verificatie via Azure Portal

Notitie

In een IPVPN-connectiviteitsmodel verwerken serviceproviders de verantwoordelijkheid voor het configureren van de peerings (laag 3-services). Nadat de serviceprovider in een dergelijk model een peering heeft geconfigureerd en als de peering leeg is in de portal, probeert u de circuitconfiguratie te vernieuwen met behulp van de knop Vernieuwen in de portal. Met deze bewerking wordt de huidige routeringsconfiguratie opgehaald uit uw circuit.

In Azure Portal kunt u de status van een ExpressRoute-circuit controleren op de pagina voor dat circuit. De 3 sectie van de pagina bevat de ExpressRoute-peerings, zoals wordt weergegeven in de volgende schermopname:

5

In het voorgaande voorbeeld wordt persoonlijke Azure-peering ingericht, maar openbare Azure- en Microsoft-peerings worden niet ingericht. Een peeringcontext die is ingericht, bevat ook de primaire en secundaire punt-naar-punt-subnetten. De /30-subnetten worden gebruikt voor het IP-adres van de interface van de MSA's en CEs/PE-MSEEs. Voor de ingerichte peerings geeft de vermelding ook aan wie de configuratie voor het laatst heeft gewijzigd.

Notitie

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de juiste VlanId, AzureASNen PeerASN waarden worden gebruikt op MSEE's en of deze waarden zijn toegewezen aan de waarden die worden gebruikt op de gekoppelde CE/PE-MSEE.

Als MD5-hashing is gekozen, moet de gedeelde sleutel hetzelfde zijn voor MSEE- en CE/PE-MSEE-paren. Eerder geconfigureerde gedeelde sleutels zouden om veiligheidsredenen niet worden weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Notitie

Op een /30-subnet dat is toegewezen voor interface, kiest Microsoft het tweede bruikbare IP-adres van het subnet voor de MSEE-interface. Zorg er dus voor dat het eerste bruikbare IP-adres van het subnet is toegewezen aan de peered CE/PE-MSEE.

Verificatie via PowerShell

Gebruik de volgende opdrachten om de configuratiedetails voor persoonlijke Azure-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Hier volgt een voorbeeldantwoord voor een geconfigureerde privépeering:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

In een peeringcontext met succes worden de primaire en secundaire adresvoorvoegsels vermeld. De /30-subnetten worden gebruikt voor het IP-adres van de interface van de MSA's en CEs/PE-MSEEs.

Gebruik de volgende opdrachten om de configuratiedetails voor openbare Azure-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering" -ExpressRouteCircuit $ckt

Gebruik de volgende opdrachten om de configuratiedetails voor Microsoft-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Als een peering niet is geconfigureerd, wordt er een foutbericht weergegeven. Hier volgt een voorbeeldantwoord wanneer de vermelde peering (openbare Azure-peering in dit geval) niet is geconfigureerd binnen het circuit:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Notitie

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de juiste VlanId, AzureASNen PeerASN waarden worden gebruikt op MSEE's en of deze waarden zijn toegewezen aan de waarden die worden gebruikt op de gekoppelde CE/PE-MSEE.

Als MD5-hashing is gekozen, moet de gedeelde sleutel hetzelfde zijn voor MSEE- en CE/PE-MSEE-paren. Eerder geconfigureerde gedeelde sleutels zouden om veiligheidsredenen niet worden weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Notitie

Op een /30-subnet dat is toegewezen voor interface, kiest Microsoft het tweede bruikbare IP-adres van het subnet voor de MSEE-interface. Zorg er dus voor dat het eerste bruikbare IP-adres van het subnet is toegewezen aan de peered CE/PE-MSEE.

ARP valideren

De tabel Address Resolution Protocol (ARP) biedt een toewijzing van het IP-adres en MAC-adres voor een bepaalde peering. De ARP-tabel voor een ExpressRoute-circuitpeering biedt de volgende informatie voor elke interface (primair en secundair):

  • Toewijzing van het IP-adres voor de on-premises routerinterface aan het MAC-adres
  • Toewijzing van het IP-adres voor de ExpressRoute routerinterface aan het MAC-adres (optioneel)
  • Leeftijd van de toewijzing

ARP-tabellen helpen u laag 2-configuratie te valideren en algemene problemen met laag 2-verbindingen op te lossen.

Notitie

Afhankelijk van het hardwareplatform kunnen de ARP-resultaten variëren en worden alleen de on-premises interface weergegeven.

Zie ARP-tabellen ophalen in het Resource Manager-implementatiemodel voor meer informatie over het weergeven van de ARP-tabel van een ExpressRoute-peering en het gebruik van de informatie om verbindingsproblemen met laag 2 op te lossen.

BGP en routes valideren op de MSEE

Gebruik de volgende opdracht om de routeringstabel van MSEE op te halen op het primaire pad voor de privérouteringscontext:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName ******* -PeeringType AzurePrivatePeering -ResourceGroupName ****

Hieronder volgt een voorbeeld van een antwoord:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Notitie

Als de status van een eBGP-peering tussen een MSEE en een CE/PE-MSEE actief of inactief is, controleert u of de toegewezen primaire en secundaire peersubnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de juiste VlanId, AzureASNen PeerASN waarden worden gebruikt op MSEE's en of deze waarden zijn toegewezen aan de waarden die worden gebruikt op de gekoppelde CE/PE-MSEE. Als MD5-hashing is gekozen, moet de gedeelde sleutel hetzelfde zijn voor MSEE- en CE/PE-MSEE-paren. Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Notitie

Als bepaalde bestemmingen niet bereikbaar zijn via een peering, controleert u de routetabel van de MSA's voor de bijbehorende peeringcontext. Als een overeenkomend voorvoegsel (mogelijk NATed IP) aanwezig is in de routeringstabel, controleert u of er firewalls, netwerkbeveiligingsgroepen of toegangsbeheerlijsten (ACL's) op het pad het verkeer blokkeren.

In het volgende voorbeeld ziet u het antwoord van de opdracht voor een peering die niet bestaat:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

De verkeersstroom bevestigen

Gebruik de volgende opdracht om de gecombineerde statistieken van het primaire en secundaire padverkeer (bytes in en uit) van een peeringcontext op te halen:

Get-AzExpressRouteCircuitStats -ResourceGroupName $RG -ExpressRouteCircuitName $CircuitName -PeeringType 'AzurePrivatePeering'

Hier volgt een voorbeeld van de uitvoer van de opdracht:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
     240780020       239863857        240565035         239628474

Hier volgt een voorbeeld van de uitvoer van de opdracht voor niet-bestaande peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

De connectiviteit van persoonlijke peering testen

Test uw privé-peeringconnectiviteit door pakketten te tellen die binnenkomen en de Microsoft-rand van uw ExpressRoute-circuit verlaten op de MSEE-apparaten. Dit diagnostische hulpprogramma werkt door een ACL toe te passen op de MSEE om het aantal pakketten te tellen dat voldoet aan specifieke ACL-regels. Met dit hulpprogramma kunt u de connectiviteit bevestigen door vragen te beantwoorden zoals:

  • Komen mijn pakketten aan bij Azure?
  • Keren ze terug naar on-premises?

Een test uitvoeren

  1. Als u toegang wilt krijgen tot het diagnostische hulpprogramma, selecteert u Problemen vaststellen en oplossen vanuit uw ExpressRoute-circuit in Azure Portal.

    Screenshot of the button for diagnosing and solving problems from the ExpressRoute circuit.

  2. Selecteer Verbinding maken iviteit en prestatieproblemen.

    Screenshot of the option for connectivity issues.

  3. Selecteer in de vervolgkeuzelijst Vertel ons meer over het probleem dat u ondervindtproblemen met persoonlijke peering.

    Screenshot of the dropdown option for the problem that the user is experiencing.

  4. Schuif omlaag naar de sectie Privé-peering-connectiviteit testen en vouw deze uit.

    Screenshot of the options for troubleshooting connectivity issues, with the option for private peering highlighted.

  5. Voer de PsPing-test uit vanaf uw on-premises IP-adres naar uw Azure-IP-adres en houd deze actief tijdens de connectiviteitstest.

  6. Vul de velden van het formulier in. Voer dezelfde on-premises en Azure-IP-adressen in die u in stap 5 hebt gebruikt. Selecteer vervolgens Verzenden en wacht tot de resultaten zijn geladen.

    Screenshot of the form for debugging an A C L.

Resultaten interpreteren

Wanneer uw resultaten klaar zijn, hebt u twee sets met deze sets voor de primaire en secundaire MSEE-apparaten. Bekijk het aantal overeenkomsten in en uit en gebruik de volgende scenario's om de resultaten te interpreteren:

  • U ziet dat op beide MSEE's overeenkomende pakketten worden verzonden en ontvangen: Dit resultaat geeft aan dat het binnenkomende en uitgaande verkeer van de MSEE's op uw circuit in orde is. Als er sprake is van verlies on-premises of in Azure, gebeurt dit downstream vanaf de MSA's.

  • Als u PsPing vanuit on-premises naar Azure test, laten de ontvangen resultaten overeenkomsten zien, maar de verzonden resultaten niet: Dit resultaat geeft aan dat verkeer binnenkomt in Azure, maar niet terugkeert naar on-premises. Controleer op routeringsproblemen met retourpaden. Adverteert u bijvoorbeeld de juiste voorvoegsels naar Azure? Overschrijft een door de gebruiker gedefinieerde route (UDR) voorvoegsels?

  • Als u PsPing vanuit Azure naar on-premises test, laten de verzonden resultaten overeenkomsten zien, maar de ontvangen resultaten niet: Dit resultaat geeft aan dat verkeer binnenkomt on-premises, maar niet terugkeert naar Azure. Probeer er samen met uw provider achter te komen waarom het verkeer niet via uw ExpressRoute-circuit naar Azure wordt geleid.

  • Eén MSEE toont geen overeenkomsten, maar de andere juist wel: Dit resultaat geeft aan dat één MSEE geen verkeer ontvangt of doorgeeft. Misschien is hij offline (BGP/ARP kan bijvoorbeeld uitgevallen zijn).

    • U kunt aanvullende tests uitvoeren om het beschadigde pad te bevestigen door een unieke /32 on-premises route te adverteren via de BGP-sessie op dit pad.
    • Voer 'De connectiviteit van uw persoonlijke peering testen' uit met de unieke /32 als on-premise bestemmingsadres en bekijk de resultaten om de kwaliteit van het pad te bevestigen.

De testresultaten voor elk MSEE-apparaat zien er als volgt uit:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Dit testresultaat heeft de volgende eigenschappen:

  • IP-poort: 3389
  • On-premises IP-adres CIDR: 10.0.0.0
  • Azure IP-adres CIDR: 20.0.0.0

Beschikbaarheid van de gateway van het virtuele netwerk controleren

De virtuele ExpressRoute-netwerkgateway vereenvoudigt de connectiviteit van het beheer- en besturingsvlak met private link-services en privé-IP's die zijn geïmplementeerd in een virtueel Azure-netwerk. Microsoft beheert de infrastructuur van de virtuele netwerkgateway en ondergaat soms onderhoud.

Tijdens een onderhoudsperiode kunnen de prestaties van de gateway van het virtuele netwerk verminderen. Voer de volgende stappen uit om verbindingsproblemen met het virtuele netwerk op te lossen en te zien of een recente onderhoudsbeurt de capaciteit heeft veroorzaakt:

  1. Selecteer Problemen vaststellen en oplossen vanuit uw ExpressRoute-circuit in Azure Portal.

    Screenshot of the button for diagnosing and solving problem from an ExpressRoute circuit.

  2. Selecteer de optie Prestatieproblemen .

    Screenshot of selecting the option for performance issues.

  3. Wacht totdat de diagnostische gegevens zijn uitgevoerd en interpreteer de resultaten.

    Screenshot of the diagnostic results.

    Als er onderhoud is uitgevoerd op uw virtuele netwerkgateway gedurende een periode waarin u pakketverlies of latentie ondervindt. Het is mogelijk dat de verminderde capaciteit van de gateway heeft bijgedragen aan connectiviteitsproblemen die u ondervindt voor het beoogde virtuele netwerk. Volg de aanbevolen stappen hieronder. Als u een hogere netwerkdoorvoer wilt ondersteunen en connectiviteitsproblemen tijdens toekomstige onderhoudsevenementen wilt voorkomen, kunt u overwegen om de gateway-SKU van het virtuele netwerk te upgraden.

Volgende stappen

Raadpleeg de volgende koppelingen voor meer informatie of help: