Řešení potíží se službou Azure Route Server
Zjistěte, jak řešit některé běžné problémy se službou Azure Route Server.
Problémy s připojením
Proč síťové virtuální zařízení (NVA) po inzerování výchozí trasy (0.0.0.0/0) na směrovací server ztratí připojení k internetu?
Když vaše síťové virtuální zařízení inzeruje výchozí trasu, směrovací server ji naprogramuje pro všechny virtuální počítače ve virtuální síti, včetně samotného síťového virtuálního zařízení. Tato výchozí trasa nastaví síťové virtuální zařízení jako další segment směrování pro veškerý provoz vázaný na internet. Pokud vaše síťové virtuální zařízení potřebuje připojení k internetu, musíte nakonfigurovat trasu definovanou uživatelem, aby přepsala tuto výchozí trasu ze síťového virtuálního zařízení a připojila trasu definovanou uživatelem k podsíti, kde je síťové virtuální zařízení hostované. Jinak hostitelský počítač síťového virtuálního zařízení odesílá provoz směřující na internet, včetně provozu odeslaného síťovým virtuálním zařízením zpět do samotného síťového virtuálního zařízení. Další informace najdete v tématu trasy definované uživatelem.
| Postup | Další směrování |
|---|---|
| 0.0.0.0/0 | Internet |
Proč síťové virtuální zařízení ztratí své připojení ke směrovacímu serveru po vynucení veškerého provozu do brány firewall pomocí trasy definované uživatelem v podsítě GatewaySubnet?
Pokud chcete zkontrolovat místní provoz pomocí brány firewall, můžete vynutit veškerý místní provoz do brány firewall pomocí trasy definované uživatelem v podsítě GatewaySubnet (směrovací tabulka přidružená k podsítě brány, která má trasu definovanou uživatelem). Tato trasa definovaná uživatelem ale může přerušit komunikaci mezi směrovacím serverem a bránou tím, že vynutí provoz řídicí roviny (BGP) k bráně firewall (k tomuto problému dochází, pokud kontrolujete provoz směřující do virtuální sítě, která má směrovací server). Abyste se tomuto problému vyhnuli, musíte do směrovací tabulky GatewaySubnet přidat další trasu definovanou uživatelem, abyste vyloučili provoz roviny řízení z vynucení do brány firewall (v případě, že přidání pravidla protokolu BGP do brány firewall není žádoucí/možné):
| Postup | Další směrování |
|---|---|
| 10.0.0.0/16 | 10.0.2.1 |
| 10.0.1.0/27 | VirtualNetwork |
10.0.0.0/16 je adresní prostor virtuální sítě a adresní prostor 10.0.1.0/27 je adresní prostor RouteServerSubnet. 10.0.2.1 je IP adresa brány firewall.
Přidali jsem trasu definovanou uživatelem s typem dalšího směrování jako bránu virtuální sítě, ale tato trasa definovaná uživatelem se neprojeví. Očekává se to?
Ano, toto chování je očekávané. Trasy definované uživatelem s typem dalšího segmentu směrování Brána virtuální sítě nejsou podporovány pro podsítě v rámci virtuální sítě směrového serveru a partnerských virtuálních sítí. Pokud ale chcete nakonfigurovat další segment směrování jako síťové virtuální zařízení nebo internet, je podporováno přidání trasy definované uživatelem s typem dalšího segmentu směrování VirtualAppliance nebo Internet .
Proč v efektivních trasách síťového rozhraní virtuálního počítače mám trasu definovanou uživatelem s typem dalšího segmentu směrování nastavenou na None?
Pokud inzerujete trasu ze síťového virtuálního zařízení na směrovací server, která se přesně shoduje s předponou jako jiná trasa definovaná uživatelem, musí být další směrování inzerované trasy platné. Pokud je inzerovaný další segment směrování nástrojem pro vyrovnávání zatížení bez nakonfigurovaného back-endového fondu, bude mít tato neplatná trasa přednost před trasou definovanou uživatelem. V efektivních trasách síťového rozhraní se neplatná inzerovaná trasa zobrazí jako trasa definovaná uživatelem s typem dalšího segmentu směrování nastaveným na None.
Proč po přidružení zásady koncového bodu služby k podsítě RouteServerSubnet nebo GatewaySubnet ztratím připojení?
Pokud přidružíte zásadu koncového bodu služby k podsítě RouteServerSubnet nebo GatewaySubnet, může dojít k přerušení komunikace mezi základní platformou pro správu Azure a těmito příslušnými službami Azure (Route Server a brána VPN/ExpressRoute). To může způsobit, že tyto prostředky Azure vstoupí do špatného stavu, což vede ke ztrátě připojení mezi místními úlohami a úlohami Azure.
Proč ztratím připojení po použití vlastního DNS místo výchozího (DNS poskytnutého Azure) pro virtuální síť směrovacího serveru?
Pokud pro virtuální síť, ve které je směrovací server nasazený, nepoužíváte výchozí DNS (za předpokladu Azure), ujistěte se, že je vaše vlastní konfigurace DNS schopná přeložit názvy veřejných domén. Tím se zajistí, že služby Azure (route server a brána VPN/ExpressRoute) budou moct komunikovat se základní rovinou správy Azure. Poznámka o pravidlech zástupných znaků najdete v dokumentaci k privátnímu překladače Azure DNS.
Proč po nastavení partnerského vztahu protokolu BGP mezi síťovým virtuálním zařízením nejde odeslat příkaz ping přes tcp na IP adresu partnerského vztahu protokolu BGP směrovacího serveru?
V některých síťových virtuálních zařízeních je potřeba přidat statickou trasu do podsítě směrovacího serveru, aby bylo možné směrovací server tcp odeslat příkazem ping ze síťového virtuálního zařízení a vyhnout se flappingu partnerského vztahu protokolu BGP. Pokud je například směrovací server ve verzi 10.0.255.0/27 a vaše síťové virtuální zařízení je ve verzi 10.0.1.0/24, musíte do směrovací tabulky v síťovém virtuálním zařízení přidat následující trasu:
| Postup | Další směrování |
|---|---|
| 10.0.255.0/27 | 10.0.1.1 |
10.0.1.1 je výchozí IP adresa brány v podsíti, kde je hostované síťové virtuální zařízení (přesněji jedno z síťových adaptérů).
Proč ztratím připojení k místní síti přes ExpressRoute nebo Azure VPN, když nasadím směrovací server do virtuální sítě, která už má bránu ExpressRoute nebo bránu Azure VPN?
Když nasadíte směrovací server do virtuální sítě, musíme aktualizovat řídicí rovinu mezi bránami a virtuální sítí. Během této aktualizace dochází k určité době, kdy virtuální počítače ve virtuální síti ztratí připojení k místní síti. Důrazně doporučujeme naplánovat údržbu a nasadit směrovací server ve vašem produkčním prostředí.
Problémy s rovinou řízení
Proč moje místní síť připojená ke službě Azure VPN Gateway nepřijímá výchozí trasu inzerovanou trasou směrovacím serverem?
Přestože brána Azure VPN Gateway může přijímat výchozí trasu ze svých partnerských uzlů protokolu BGP včetně směrového serveru, neinzeruje výchozí trasu jiným partnerským uzlům.
Proč moje síťové virtuální zařízení nepřijímá trasy ze směrového serveru, i když je partnerský vztah protokolu BGP spuštěný?
ASN, který používá směrovací server, je 65515. Ujistěte se, že pro síťové virtuální zařízení nakonfigurujete jinou síť ASN, aby bylo možné vytvořit relaci eBGP mezi síťovým virtuálním zařízením a směrovacím serverem, aby k šíření tras došlo automaticky. Ujistěte se, že v konfiguraci protokolu BGP povolíte "více segmentů směrování", protože síťové virtuální zařízení a směrovací server jsou v různých podsítích ve virtuální síti.
Proč připojení nefunguje, když inzeruji trasy s ASN 0 v AS-Path?
Azure Route Server zahodí trasy s ASN 0 v as-path. Aby se zajistilo, že se tyto trasy úspěšně inzerují do Azure, neměla by cesta AS obsahovat 0.
Partnerský vztah protokolu BGP mezi síťovým virtuálním zařízením a směrovacím serverem je v provozu. Vidím, že trasy se mezi nimi správně vyměňovaly. Proč nejsou trasy síťového virtuálního zařízení v efektivní směrovací tabulce virtuálního počítače?
Pokud je váš virtuální počítač ve stejné virtuální síti jako síťové virtuální zařízení a směrovací server:
Route Server zveřejňuje dvě IP adresy partnerského vztahu protokolu BGP, které sdílejí odpovědnost za odesílání tras do všech ostatních virtuálních počítačů spuštěných ve vaší virtuální síti. Každé síťové virtuální zařízení musí nastavit dvě identické relace protokolu BGP (například použít stejné číslo AS, stejnou cestu AS a inzerovat stejnou sadu tras) na dvě IP adresy partnerského uzlu protokolu BGP, aby virtuální počítače ve virtuální síti mohly získat konzistentní informace o směrování z Azure Route Serveru.
Pokud máte dvě nebo více instancí síťového virtuálního zařízení, můžete inzerovat různé cesty AS pro stejnou trasu z různých instancí síťového virtuálního zařízení, pokud chcete určit jednu instanci síťového virtuálního zařízení jako aktivní a druhou pasivní.
Pokud je váš virtuální počítač v jiné virtuální síti než virtuální počítač, který je hostitelem síťového virtuálního zařízení a směrového serveru. Zkontrolujte, jestli je mezi těmito dvěma virtuálními sítěmi povolený partnerský vztah virtuálních sítí a jestli je ve virtuální síti vašeho virtuálního počítače povolená možnost Použít vzdálený směrovací server.
Proč je funkce ECMP (Equal-Cost Multi-Path) mého ExpressRoute vypnutá po nasazení směrového serveru do virtuální sítě?
Když inzerujete stejné trasy z místní sítě do Azure přes více připojení ExpressRoute, obvykle je ecMP ve výchozím nastavení povolený pro provoz určený pro tyto trasy z Azure zpět do vaší místní sítě. Když nasadíte směrovací server, dojde při výměně protokolu BGP mezi ExpressRoute a směrovacím serverem ke ztrátě informací o vícenásobné cestě a v důsledku toho se provoz z Azure bude procházet pouze na jednom z připojení ExpressRoute.
Provozní problémy
Proč se mi zobrazuje chyba týkající se neplatného oboru a autorizace pro provádění operací směrového serveru?
Pokud se zobrazí chyba v následujícím formátu, ujistěte se, že máte nakonfigurovaná následující oprávnění: Role a oprávnění serveru směrování
Formát chybové zprávy: Klient s ID {} objektu nemá autorizaci k provedení akce {} v oboru {} nebo obor je neplatný. Pokud byl přístup nedávno udělen, aktualizujte přihlašovací údaje.
Další krok
Informace o tom, jak vytvořit a nakonfigurovat Azure Route Server, najdete tady: