針對網路虛擬設備問題進行疑難排解

您可能會遇到在 Azure Stack Hub 中使用網路虛擬設備 (NVA) 的虛擬機器或 VPN 的連線問題。

本文可協助您驗證 NVA 組態的基本 Azure Stack Hub 平台需求。

NVA 的廠商提供 NVA 的技術支援,以及與 Azure Stack Hub 平台的整合。

注意

如果您有牽涉到 NVA 的連線或路由問題,您應直接連絡 NVA 廠商

如果本文無法解決 Azure Stack Hub 的 NVA 問題,請建立 Azure Stack Hub 支援票證

NVA 廠商的疑難排解檢查清單

  • NVA VM 軟體的更新。
  • 服務帳戶設定和功能。
  • 虛擬網路子網路上將流量導向至 NVA 的使用者定義路由 (UDR)。
  • 虛擬網路子網路上從 NVA 導向流量的 UDR。
  • NVA 內的路由表和規則 (例如,從 NIC2 到 NIC1)。
  • 追蹤 NVA NIC 以確認是否接收和傳送網路流量。

基本疑難排解步驟

  1. 檢查基本組態。
  2. 檢查 NVA 效能。
  3. 進行進階網路疑難排解。

檢查 Azure 上的 NVA 最基本的組態需求

每個 NVA 都必須符合在 Azure Stack Hub 上正常運作所需的基本組態需求。 本節說明確認這些基本組態的步驟。 如需詳細資訊,請連絡 NVA 廠商

重要

當封包使用 S2S 通道時,會進一步將封包與額外的標頭一起封裝。 封裝會增加每個封包的整體大小。

在此案例中,您必須將 TCP MSS 固定在 1350 個位元組。 如果您的 VPN 裝置不支援 MSS 固定,您也可以將通道介面上的 MTU 改設為 1400 個位元組。

如需詳細資訊,請參閱虛擬網路 TCPIP 效能微調

檢查 NVA 上是否已啟用 IP 轉送

  1. 在 Azure Stack Hub 入口網站中找出 NVA 資源,選取 [網路],然後選取網路介面。
  2. 在 [網路介面] 頁面上,選取 [IP 組態]。
  3. 確定已啟用 IP 轉送。

檢查流量是否可路由至 NVA

  1. 找出設定為將流量重新導向至 NVA 的 VM。
  2. 若要檢查 NVA 是否為下一個躍點,請對 Windows 執行 Tracert <Private IP of NVA>Traceroute <Private IP of NVA>
  3. 如果 NVA 未列為下一個躍點,請檢查並更新 Azure Stack Hub 路由表。

某些客體層級作業系統可能設有防火牆原則,會封鎖 ICMP 流量。 更新這些防火牆規則,上述命令才能正常運作。

檢查流量是否可到達 NVA

  1. 找出應可連線至 NVA 的 VM。
  2. 檢查是否有任何網路安全性群組 (NSG) 封鎖流量。 針對 Windows,請執行 ping (ICMP) 或 Test-NetConnection <Private IP of NVA> (TCP)。 針對 Linux,執行 Tcpping <Private IP of NVA>
  3. 如果您的 NSG 封鎖流量,請將其修改為允許流量。

檢查 NVA 和 VM 是否接聽預期的流量

  1. 使用 RDP 或 SSH 連線至 NVA,並執行下列命令:

    Windows

    netstat -an
    

    Linux

    netstat -an | grep -i listen
    
  2. 尋找結果中列出的 NVA 軟體所使用的 TCP 通訊埠。 如果您看不到,請將 NVA 和 VM 上的應用程式設定為接聽及回應到達這些通訊埠的流量。 連絡 NVA 廠商以尋求協助

檢查 NVA 效能

驗證 VM CPU 使用率

如果 CPU 使用率接近 100%,則可能會發生影響到網路封包捨棄的問題。

如果 CPU 用量暴增,請調查是客體 VM 上的哪一個處理序造成高 CPU 使用率。 然後,盡可能降低使用率。

您可能需要將 VM 的大小調整為較大的 SKU,或為虛擬機器擴展集增加執行個體計數。

如果您需要協助,請連絡 NVA 廠商

驗證 VM 網路統計資料

如果 VM 網路使用尖峰或顯示高使用量的期間,請考慮增加 VM 的 SKU 大小以獲得更高的輸送量。

進階網路管理員疑難排解

擷取網路追蹤

當您執行 PsPingNmap 時,請在來源和目的地 VM 上以及 NVA 上同時擷取網路追蹤。 然後停止追蹤。

  1. 若要擷取同時網路追蹤,請執行下列命令:

    Windows

    netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection
    

    Linux

    sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap
    
  2. 使用從來源 VM 到目的地 VM 的 PsPingNmap。 例如 PsPing 10.0.0.4:80Nmap -p 80 10.0.0.4

  3. 使用 tcpdump 或您選擇的封包分析器,開啟從目的地 VM 的網路追蹤。 對您執行 PsPingNmap 的來源 VM 套用 IP 的顯示篩選器。 Windows netmon 範例為 IPv4.address==10.0.0.4。 Linux 範例為 tcpdump -nn -r vmtrace.cap srcdst host 10.0.0.4

分析追蹤

如果您沒有看到封包進入後端 VM 追蹤,可能是有 NSG 或 UDR 干擾,或 NVA 路由表不正確。

如果您看到封包進入,但沒有回應,您可能需要解決 VM 應用程式或防火牆的問題。

如果您需要協助,請連絡 NVA 廠商

建立支援票證

如果上述步驟無法解決您的問題,請建立支援票證,並使用隨選記錄收集工具來提供記錄。