Проверка подключения ExpressRoute

Изучив сведения в этой статье, вы узнаете, как проверить и устранить неполадки с подключением ExpressRoute. ExpressRoute позволяет переносить локальные сети в Microsoft Cloud по частному подключению, которое часто обеспечивается поставщиком услуг подключения. Для подключения ExpressRoute обычно нужно иметь три отдельные зоны сети, как показано ниже:

  • клиентскую сеть;
  • сеть поставщика;
  • центр обработки данных Майкрософт.

Примечание

В модели прямого подключения ExpressRoute (предлагается с пропускной способностью 10/100 Гбит/с) клиенты могут напрямую подключаться к порту маршрутизаторов Microsoft Enterprise Edge (MSEE). Таким образом, в модели прямого подключения есть только зоны клиента и сети Майкрософт.

Цель этого документа — помочь пользователю определить, где существует проблема с подключением. И таким образом обратиться за поддержкой к соответствующей команде для решения проблемы. Если для устранения проблемы необходима помощь службы поддержки Майкрософт, отправьте запрос в службу поддержки Майкрософт.

Важно!

Данный документ предназначен для диагностики и устранения простых проблем. Он не заменит услуг службы поддержки Майкрософт. Если вам не удается устранить проблему, используя приведенные здесь рекомендации, то необходимо отправить запрос в службу поддержки Майкрософт.

Обзор

На следующей схеме показано логическое подключение между клиентской сетью и сетью Майкрософт через ExpressRoute. 1

На предыдущей схеме цифры обозначают ключевые точки сети. Для указания точек сети в этой статье иногда используются номера. В зависимости от модели подключения ExpressRoute (совместное размещение Cloud Exchange, Ethernet-подключение типа "точка — точка" или подключение типа "любой к любому" (IPVPN)) точки сети 3 и 4 могут быть коммутаторами (устройства уровня 2) или маршрутизаторы (устройства уровня 3). В модели прямого подключения отсутствуют точки сети 3 и 4. Вместо этого пограничные маршрутизаторы клиента (2) напрямую подключаются к MSEE через темное волокно. Ниже приведены представленные на схеме ключевые точки сети.

  1. Клиентское вычислительное устройство (например, сервер или компьютер).
  2. Клиентские пограничные маршрутизаторы (CE).
  3. Пограничные маршрутизаторы (коммутаторы) поставщика услуг связи, подключенные к клиентским пограничным маршрутизаторам (PE, подключенные к CE). В этом документе называются PE-CE.
  4. Пограничные маршрутизаторы (коммутаторы) поставщика услуг связи, подключенные к MSEE. В этом документе называются PE-MSEE.
  5. Маршрутизаторы MSEE ExpressRoute.
  6. Шлюз виртуальной сети
  7. Вычислительное устройство в виртуальной сети Azure

Если используется совместное размещение в Cloud Exchange, соединение Ethernet типа "точка — точка" или модель прямого подключения, в пограничных маршрутизаторах клиента (2) устанавливается пиринг по протоколу BGP с MSEE (5).

Если используется модель подключения типа "любой к любому" (IPVPN), маршрутизаторы PE (подключенные к MSEE) (4) устанавливают пиринг BGP с маршрутизаторами MSEE (5). Маршрутизаторы периметра провайдера (РЕ), подключенные к MSEE, распространяют маршруты в обратном направлении в сеть клиента по сети поставщика услуг IPVPN.

Примечание

Для обеспечения высокой доступности корпорация Майкрософт устанавливает полностью избыточное параллельное подключение между парами MSEE (5) и PE-MSEE (4). Рекомендуется также полностью избыточный параллельный сетевой путь между клиентской сетью и маршрутизаторами PE-CE. Дополнительные сведения о высокой доступности см. в статье Проектирование для обеспечения высокой доступности с помощью ExpressRoute

Ниже приведены логические шаги для устранения неполадок канала ExpressRoute.

Проверка подготовки и состояния канала

При подготовке канала ExpressRoute устанавливаются избыточные подключения уровня 2 между маршрутизаторами CE/PE-MSEE (2)/(4) и MSEE (5). Дополнительные сведения о создании, изменении, подготовке и проверке канала ExpressRoute см. в статье Создание и изменение канала ExpressRoute.

Совет

Ключ службы однозначно идентифицирует канал ExpressRoute. Если вам необходима помощь от корпорации Майкрософт или от партнера ExpressRoute в устранении неполадок с ExpressRoute, укажите ключ службы для оперативного определения канала.

Проверка на портале Azure

В портале Azure откройте колонку канала ExpressRoute. В 3 разделе колонки отображаются основные сведения об ExpressRoute, как показано на следующем снимке экрана.

4

Параметр Состояние цепи в разделе основных сведений об ExpressRoute указывает состояние канала на стороне Майкрософт. Параметр Состояние поставщика указывает, был ли канал подготовлен на стороне поставщика услуг.

Для работы канала ExpressRoute параметр Состояние цепи должен иметь значение Включено, а параметр Состояние поставщика — значение Подготовлено.

Примечание

Если после настройки канала ExpressRoute состояние канала не включено, обратитесь в Службу поддержки Майкрософт. С другой стороны, если параметр Состояние поставщика имеет значение "Не подготовлено", обратитесь к поставщику услуг связи.

Проверка с помощью PowerShell

Чтобы получить список всех каналов ExpressRoute в группе ресурсов, используйте следующую команду:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Совет

Если вы ищете имя группы ресурсов, вы можете получить его, перечислив все группы ресурсов в подписке с помощью команды Get-AzResourceGroup

Чтобы выбрать конкретный канал ExpressRoute в группе ресурсов, используйте следующую команду:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Пример ответа:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                    }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             : 
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                    }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Чтобы подтвердить работоспособность канала ExpressRoute, обратите особое внимание на следующие поля:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Примечание

Если после настройки канала ExpressRoute состояние канала не включено, обратитесь в Службу поддержки Майкрософт. С другой стороны, если параметр Состояние поставщика имеет значение "Не подготовлено", обратитесь к поставщику услуг связи.

Проверка настройки пиринга

Когда поставщик услуг завершит подготовку канала, можно создать несколько конфигураций маршрутизации eBGP через канал ExpressRoute между маршрутизаторами CE/MSEE-PE (2)/(4) и MSEE (5). Каждый канал ExpressRoute может иметь: частный пиринг Azure (трафик к частным виртуальным сетям в Azure) и (или) пиринг Майкрософт (трафик к общедоступным конечным точкам PaaS и SaaS). Дополнительные сведения о создании и изменении настроек маршрутизации см. в статье Создание и изменение маршрутизации для канала ExpressRoute.

Проверка на портале Azure

Примечание

В модели подключения IPVPN поставщики услуг отвечают за настройку пиринга (служб уровня 3). В такой модели после настройки пиринга поставщиком услуг, а также в случае, если пиринг пуст на портале, попробуйте обновить конфигурацию канала с помощью кнопки "Обновить" на портале. Эта операция извлечет правильную конфигурацию маршрутизации из вашей схемы.

На портале Azure статус пиринга канала ExpressRoute можно проверить в колонке "Канал ExpressRoute". В 3 разделе колонки отображаются сведения о пирингах ExpressRoute, как показано на следующем снимке экрана.

5

Как отмечалось в предыдущем примере, частный пиринг Azure подготовлен, тогда как общедоступный пиринг Azure и пиринг Майкрософт не подготовлены. Если контекст пиринга успешно подготовлен, в списке также отобразятся первичные и вторичные подсети типа "точка — точка". Подсети /30 используются для IP-адреса интерфейса маршрутизаторов MSEE и CE/PE-MSEE. Для подготавливаемых пирингов в списке также указывается, кто в последний раз изменял конфигурацию.

Примечание

В случае сбоя включения пиринга проверьте, соответствуют ли назначенные первичные и вторичные подсети конфигурации связанных маршрутизаторов CE/PE-MSEE. Кроме того, проверьте, используются ли в маршрутизаторах MSEE правильные значения VlandI, AzureASN, PeerASN и соответствуют ли они тем, которые используются в связанных маршрутизаторах CE/PE-MSEE. Если вы выбрали хэширование MD5, общий ключ должен быть одинаковым для пары маршрутизаторов MSEE и PE-MSEE/CE. Ранее настроенный общий ключ не будет отображен по причинам безопасности. Если необходимо изменить любую из этих конфигураций на маршрутизаторе MSEE, см. статью Создание и изменение маршрутизации для канала ExpressRoute.

Примечание

В подсети /30, назначенной для интерфейса, Майкрософт выберет второй доступный IP-адрес подсети для интерфейса MSEE. Поэтому убедитесь, что первый доступный IP-адрес подсети назначен на одноранговом узле CE/PE-MSEE.

Проверка с помощью PowerShell

Чтобы получить дополнительные сведения о конфигурации частного пиринга Azure, используйте следующие команды:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Пример ответа в случае успешной настройки частного пиринга:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           : 
SecondaryAzurePort         : 
SharedKey                  : 
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Если контекст пиринга включен, в списке отобразятся первичные и вторичные префиксы адресов. Подсети /30 используются для IP-адреса интерфейса маршрутизаторов MSEE и CE/PE-MSEE.

Чтобы получить дополнительные сведения о настройке общедоступного пиринга Azure, используйте следующие команды:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering" -ExpressRouteCircuit $ckt

Чтобы получить дополнительные сведения о настройке пиринга Майкрософт, используйте следующие команды:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Если пиринг не настроен, отобразится сообщение об ошибке. Пример ответа, если указанный пиринг (в этом примере общедоступный пиринг Azure) не настроен в канале.

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePublicPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Примечание

В случае сбоя включения пиринга проверьте, соответствуют ли назначенные первичные и вторичные подсети конфигурации связанных маршрутизаторов CE/PE-MSEE. Кроме того, проверьте, используются ли в маршрутизаторах MSEE правильные значения VlandI, AzureASN, PeerASN и соответствуют ли они тем, которые используются в связанных маршрутизаторах CE/PE-MSEE. Если вы выбрали хэширование MD5, общий ключ должен быть одинаковым для пары маршрутизаторов MSEE и PE-MSEE/CE. Ранее настроенный общий ключ не будет отображен по причинам безопасности. Если необходимо изменить любую из этих конфигураций на маршрутизаторе MSEE, см. статью Создание и изменение маршрутизации для канала ExpressRoute.

Примечание

В подсети /30, назначенной для интерфейса, Майкрософт выберет второй доступный IP-адрес подсети для интерфейса MSEE. Поэтому убедитесь, что первый доступный IP-адрес подсети назначен на одноранговом узле CE/PE-MSEE.

Проверка ARP

Таблица ARP обеспечивает сопоставление IP-адреса и MAC-адреса для конкретного пиринга. Таблица ARP для пиринга канала ExpressRoute содержит следующие сведения о каждом интерфейсе (первичном и вторичном).

  • Сопоставление локального IP-адреса интерфейса маршрутизатора с MAC-адресом.
  • Сопоставление IP-адреса интерфейса маршрутизатора ExpressRoute с MAC-адресом.
  • Длительность сопоставления таблицы ARP помогает проверить конфигурацию уровня 2 и устранить проблемы с подключением на базовом уровне 2.

Сведения о том, как просмотреть таблицу ARP пиринга ExpressRoute и как использовать информацию для устранения неполадок подключения уровня 2, см. в документе Получение таблиц ARP в модели развертывания Диспетчера ресурсов.

Проверка BGP и маршрутов MSEE

Чтобы получить таблицу маршрутизации из MSEE по основному пути для Частного контекста маршрутизации, используйте следующую команду.

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName ******* -PeeringType AzurePrivatePeering -ResourceGroupName ****

Пример ответа:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  : 
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  : 
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  : 
Weight  : 0
Path    : 123##

Примечание

Если состояние пиринга eBGP между MSEE и CE/PE-MSEE находится в состоянии "Активно" или "Бездействие", проверьте, соответствуют ли назначенные первичные и вторичные подсети конфигурации связанных маршрутизаторов CE/PE-MSEE. Кроме того, проверьте, используются ли в маршрутизаторах MSEE правильные значения VlandI, AzureASN, PeerASN и соответствуют ли они тем, которые используются в связанных маршрутизаторах PE-MSEE/CE. Если вы выбрали хэширование MD5, общий ключ должен быть одинаковым для пары маршрутизаторов MSEE и CE/PE-MSEE. Если необходимо изменить любую из этих конфигураций на маршрутизаторе MSEE, см. статью Создание и изменение маршрутизации для канала ExpressRoute.

Примечание

Если некоторые целевые объекты недоступны посредством пиринга, проверьте таблицу маршрутов MSEE на наличие соответствующего контекста пиринга. Если соответствующий префикс (может быть преобразованный через NAT IP-адрес) присутствует в таблице маршрутизации, то проверьте, разрешают ли трафик существующие на пути брандмауэры, группы безопасности сети и списки управления доступом.

В следующем примере показан ответ команды, если пиринг не существует.

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Подтверждение наличия трафика

Для получения сводной статистики трафика (переданных и полученных байтов) по первичному и вторичному пути для контекста пиринга используйте следующую команду:

Get-AzExpressRouteCircuitStats -ResourceGroupName $RG -ExpressRouteCircuitName $CircuitName -PeeringType 'AzurePrivatePeering'

Пример результата выполнения команды:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
     240780020       239863857        240565035         239628474

Пример результата выполнения команды при отсутствующем пиринге:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Next Steps

Дополнительные сведения доступны в следующих источниках: