次の方法で共有

ExpressRoute 接続を確認する

  • [アーティクル]

この記事は、Azure ExpressRoute 接続の確認とトラブルシューティングに役立ちます。 ExpressRoute は、接続プロバイダーが提供するプライベート接続を介して、オンプレミス ネットワークを Microsoft クラウドへと拡張します。 ExpressRoute 接続には、3 つの異なるネットワーク ゾーンが含まれます。

  • カスタマー ネットワーク
  • プロバイダーのネットワーク
  • Microsoft のデータセンター

Note

ExpressRoute Direct の接続モデルでは、顧客は Microsoft Enterprise Edge (MSEE) ルーターのポートに直接接続できます。 このモデルには、ネットワークと The Microsoft Network ゾーンのみが含まれます。

この記事は、接続の問題を特定し、適切なチームにサポートを求めて解決するのに役立ちます。

重要

単純な問題の診断と解決を支援することが、この記事の目的です。 これは、Microsoft サポートの代わりではありません。 このガイダンスを使用して問題を解決できない場合は、Microsoft サポートでサポート チケットを開いてください。

概要

次の図は、ExpressRoute を使用した顧客のネットワークから Microsoft ネットワークへの論理的な接続を示します。 1

図の中の番号は、重要なネットワーク ポイントを示しています。

  1. 顧客のコンピューティング デバイス (例: サーバーや PC)。
  2. 顧客のエッジ ルーター (CE)。
  3. 顧客のエッジ ルーターに接続している、プロバイダーのエッジ ルーターまたはスイッチ (PE)。
  4. Microsoft Enterprise Edge ExpressRoute ルーター (MSEE) 側の PE。PE-MSEE と呼ばれます。
  5. MSEE。
  6. 仮想ネットワーク ゲートウェイ
  7. Azure 仮想ネットワーク上のコンピューティングデバイス。

ネットワーク ポイントはこの記事全体で、関連付けられた番号で参照されます。

ExpressRoute 接続モデルによっては、ネットワーク ポイント 3 と 4 がスイッチ(レイヤー 2 デバイス)またはルーター(レイヤー 3 デバイス)になる場合があります。 接続モデルは、クラウド交換コロケーション、ポイント ツー ポイントのイーサネット接続、または Any-to-Any (IPVPN) です。

直接接続モデルでは、ネットワーク ポイント 3 と 4 は存在しません。 代わりに、CE (2) は、ダーク ファイバー経由で MSEE に直接接続されます。

クラウド交換コロケーション、ポイント ツー ポイントのイーサネット、または直接接続のモデルが使用されている場合は、CE (2) が MSEE (5) との Border Gateway Protocol (BGP) ピアリングを確立します。

Any-to-Any (IPVPN) 接続モデルが使用されている場合は、PE-MSEE (4) が MSEE (5) との BGP ピアリングを確立します。 PE-MSEE により Microsoft から受信したルートが IPVPN サービス プロバイダーのネットワークを介して顧客のネットワークに反映されます。

Note

高可用性のために、Microsoft は MSEE と PE-MSEE のペアの間に完全に冗長なパラレル接続を確立します。 顧客のネットワークと PE/CE ペアの間にも、完全に冗長なパラレル ネットワーク パスが推奨されます。 高可用性に関する詳細については、「ExpressRoute を使用した高可用性のための設計」を参照してください。

以下のセクションは、ExpressRoute 回線のトラブルシューティングの論理的ステップを示します。

回線のプロビジョニングと状態を確認する

ExpressRoute 回線をプロビジョニングすると、CE/PE-MSEE (2/4) と MSEE (5) の間に冗長なレイヤー 2 接続が確立します。 ExpressRoute 回線の作成、変更、プロビジョニング、検証を行う方法の詳細については、「ExpressRoute 回線の作成と変更」を参照してください。

ヒント

サービス キーは ExpressRoute 回線を一意に識別します。 問題のトラブルシューティングを行うために Microsoft または ExpressRoute パートナーによるサポートが必要な場合は、回線を簡単に特定できるようにサービス キーを提供してください。

Azure Portal を使用した検証

Azure portal で、ExpressRoute 回線のページに移動します。 このページの 3 セクションに、次のスクリーンショットのように ExpressRoute の要点が表示されます。

4

ExpressRoute の要点では、[回線の状態] は Microsoft 側の回線の状態を示し、[プロバイダーの状態] は回線がサービス プロバイダーによってプロビジョニングされているかどうかを示します。

ExpressRoute 回線を運用可能にするには、[回線の状態][有効][Provider status (プロバイダーの状態)][プロビジョニング済み]である必要があります。

Note

[回線の状態][無効] のままになる場合は、Microsoft サポートにお問い合わせください。 [プロバイダーの状態]未プロビジョニングのままになる場合は、ご利用のサービス プロバイダーにお問い合わせください。

PowerShell を使用した検証

リソース グループ内のすべての ExpressRoute 回線を一覧表示するには、次のコマンドを使用します。

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

ヒント

リソース グループの名前を検出するには、Get-AzResourceGroup コマンドを使用して、サブスクリプション内のすべてのリソース グループを一覧表示します。

リソース グループ内の特定の ExpressRoute 回線の詳細を取得するには、次のコマンドを使用します。

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

次は応答の例です。

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

ExpressRoute 回線が動作していることを確認するには、次のフィールドが正しく設定されていることを確認します。

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Note

[回線の状態][無効] のままになる場合は、Microsoft サポートにお問い合わせください。 [プロバイダーの状態]未プロビジョニングのままになる場合は、ご利用のサービス プロバイダーにお問い合わせください。

ピアリング構成を検証する

サービス プロバイダーが ExpressRoute 回線をプロビジョニングしたら、CE/MSEE-PE (2/4) と MSEE (5) の間の回線を介して、外部 BGP (eBGP) を使用して複数のルーティング構成を作成できます。 各 ExpressRoute 回線では、次のいずれかまたは両方のピアリング構成を設定できます。

  • Azure プライベート ピアリング: Azure 内のプライベート仮想ネットワークへのトラフィック用
  • Microsoft ピアリング: サービスとしてのプラットフォーム (PaaS) とサービスとしてのソフトウェア (SaaS) のパブリック エンドポイントへのトラフィック用

ルーティング構成の作成と変更の詳細については、ExpressRoute 回線のルーティングの作成と変更に関するページを参照してください。

Azure Portal を使用した検証

Note

IPVPN 接続モデルでは、サービス プロバイダーがピアリング (レイヤー 3 サービス) を構成する責任を担います。 サービス プロバイダーによりピアリングが構成された後、ポータルのピアリングが空の場合、ポータルの [更新] ボタンを使用して回線の構成を更新してみてください。 この操作により、現在のルーティング構成が回線からプルされます。

Azure portal では、そのページで ExpressRoute 回線の状態を確認できます。 次のスクリーンショットのように、3 セクションに ExpressRoute ピアリングが一覧表示されます。

5

前出の例では、Azure プライベート ピアリングはプロビジョニングされていますが、Azure パブリックと Microsoft は行われていません。 正常にプロビジョニングされたピアリング コンテキストでは、プライマリとセカンダリのポイント ツー ポイントのサブネットも一覧表示されます。 /30 サブネットは、MSEE と CE/PE-MSEE のインターフェイス IP アドレスに使用されます。 この一覧には、構成を最後に変更したユーザーも示されます。

Note

ピアリングの有効化が失敗する場合は、割り当てられたプライマリ サブネットとセカンダリ サブネットが、リンクされた CE/PE-MSEE 上の構成と一致するかどうかを確認してください。 また、MSEE の VlanIdAzureASNPeerASN の値が、リンクされている CE/PE-MSEE の値と一致していることを確認します。

MD5 ハッシュが選択されている場合は、MSEE と CE/PE-MSEE のペアの両方で共有キーが同じであることを確認します。 以前に構成した共有キーは、セキュリティ上の理由で表示されません。

MSEE ルーター上のこれらの構成のいずれかを変更する必要がある場合は、「 ExpressRoute 回線のルーティングの作成と変更を行う」を参照してください。

Note

インターフェイスに割り当てられた /30 サブネットでは、Microsoft により 2 番目の使用可能な IP アドレスが MSEE インターフェイス用に使用されます。 1 番目の使用可能な IP アドレスがピアリングされた CE/PE-MSEE に割り当てられていることを確認します。

PowerShell を使用した検証

Azure プライベート ピアリング構成の詳細を取得するには、次のコマンドを使用します。

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

正常に構成されたプライベート ピアリングの応答のサンプルは次のとおりです。

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

正常に有効にされたピアリング コンテキストでは、プライマリとセカンダリのアドレス プレフィックスが表示されます。 /30 サブネットは、MSEE と CE/PE-MSEE のインターフェイス IP アドレスに使用されます。

Microsoft ピアリング構成の詳細を取得するには、次のコマンドを使用します。

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

ピアリングが構成されていない場合は、エラー メッセージが表示されます。 記述されているピアリングが回線内で構成されていない場合の応答のサンプルは次のとおりです。

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Note

ピアリングの有効化が失敗する場合は、割り当てられたプライマリ サブネットとセカンダリ サブネットが、リンクされた CE/PE-MSEE 上の構成と一致するかどうかを確認してください。 また、MSEE の VlanIdAzureASNPeerASN の値が、リンクされている CE/PE-MSEE の値と一致していることを確認します。

MD5 ハッシュが選択されている場合は、MSEE と CE/PE-MSEE のペアの両方で共有キーが同じであることを確認します。 以前に構成した共有キーは、セキュリティ上の理由で表示されません。

MSEE ルーター上のこれらの構成のいずれかを変更する必要がある場合は、「 ExpressRoute 回線のルーティングの作成と変更を行う」を参照してください。

Note

インターフェイスに割り当てられた /30 サブネットでは、Microsoft により 2 番目の使用可能な IP アドレスが MSEE インターフェイス用に使用されます。 1 番目の使用可能な IP アドレスがピアリングされた CE/PE-MSEE に割り当てられていることを確認します。

ARP を検証する

Address Resolution Protocol (ARP) テーブルから、特定のピアリングに関する IP アドレスと MAC アドレスのマッピングを得ることができます。 ExpressRoute 回線のピアリングで使用される ARP テーブルは、プライマリ インターフェイスとセカンダリ インターフェイスのそれぞれに関して次の情報を提供します。

  • オンプレミス ルーター インターフェイスの IP アドレスから MAC アドレスへのマッピング
  • ExpressRoute ルーター インターフェイスの IP アドレスから MAC アドレスへのマッピング (省略可能)
  • マッピングがキャッシュされてからの経過時間

レイヤー 2 の構成を検証したり、レイヤー 2 の基本的な接続の問題をトラブルシューティングしたりする際に、ARP テーブルを役立てることができます。

Note

ハードウェア プラットフォームによっては、ARP の結果が異なる場合があり、オンプレミス インターフェイスのみが表示されます。

ExpressRoute ピアリングの ARP テーブルの表示方法、およびこの情報を使用してレイヤー 2 の接続に関する問題のトラブルシューティングを行う方法については、「 Resource Manager デプロイ モデルでの ARP テーブルの取得」を参照してください。

MSEE 上の BGP とルートを検証する

プライベート ルーティング コンテキストについて、プライマリ パスで MSEE からルーティング テーブルを取得するには、次のコマンドを使用します。

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

応答の例:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Note

MSEE と CE/PE-MSEE の間の eBGP ピアリングの状態がアクティブまたはアイドルの場合は、割り当てられたプライマリおよびセカンダリ ピアのサブネットが、リンクされている CE/PE-MSEE 上の構成と一致するかどうかを確認してください。 MSEE の VlanIdAzureASNPeerASN の値が正しく、リンクされている CE/PE-MSEE 上の値と一致していることを確認します。 MD5 ハッシュが使用されている場合は、MSEE と CE/PE-MSEE のペアの両方で共有キーが同じである必要があります。 MSEE ルーター上の構成の変更については、ExpressRoute 回線のルーティングの作成と変更に関するページを参照してください。

Note

特定の宛先にピアリングを介して到達できない場合は、対応するピアリング コンテキストの MSEE ルーティング テーブルを確認してください。 一致するプレフィックスが存在する場合は、ファイアウォール、ネットワーク セキュリティ グループ、または ACL によってトラフィックがブロックされていないことを確認します。

存在しないピアリングの応答の例:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

トラフィック フローを確認する

ピアリング コンテキストのトラフィック統計 (入出力バイト数) を取得するには、次のコマンドを使用します。

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

出力例:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

存在しないピアリングの出力例:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

プライベート ピアリング接続をテストする

MSEE デバイスで ExpressRoute 回線の Microsoft Edge から送受信されるパケットをカウントし、プライベート ピアリング接続をテストします。 この診断ツールでは、ACL を使用して特定のルールにヒットしたパケットをカウントし、接続を確認します。

テストを実行する

  1. Azure portal で ExpressRoute 回線から [問題の診断と解決] を選択します。

    [問題の診断と解決] ボタン。

  2. 接続とパフォーマンスの問題を選択します。

    接続に関する問題のオプション。

  3. [発生している問題の詳細を教えてください] ドロップダウンで、[プライベート ピアリングの問題] を選択します。

    [詳細を教えてください] のドロップダウン。

  4. [プライベート ピアリング接続のテスト] セクションを展開します。

    プライベート ピアリングのテストのオプション。

  5. オンプレミスの IP から Azure IP への PsPing テストを実行し、テスト中は実行したままにします。

  6. 手順 5 で使用したのと同じ IP アドレスをフォーム フィールドに入力し、[送信] を選択して結果を待ちます。

    ACL をデバッグするためのフォーム。

結果を解釈する

プライマリおよびセカンダリ MSEE デバイスの結果を確認します。

  • 両方の MSEE で一致が送受信される: 正常なトラフィックの受信と送信を示します。 すべての損失は、MSEE からのダウンストリームで発生します。

  • 一致を受信したが、送信された一致がない: トラフィックは Azure に到達していますが、返されていません。 戻りパス ルーティングの問題を確認してください。

  • 一致を送信したが、受信した一致がない: トラフィックはオンプレミスに到達していますが、Azure に戻っていません。 プロバイダーと協力して解決してください。

  • 一方の MSEE に一致が表示されず、他方には適切な一致が示される: これは、1 つの MSEE がトラフィックの受信や引き渡しを行っていないことを示しています。 オフラインの可能性があります。

  • オンプレミスから Azure への PsPing をテストしている場合、 受信結果には一致が示されるが、送信結果には一致なしと示される場合: この結果は、トラフィックが Azure に到達しているが、オンプレミスに戻っていないことを示しています。 戻りパス ルーティングの問題を確認します。 たとえば、Azure に適したプレフィックスをアドバタイズしているか。 ユーザー定義ルート (UDR) はプレフィックスをオーバーライドしていますか。

  • Azure からオンプレミスへの PsPing をテストしている場合、送信結果には一致が示されるが、受信結果には一致は表示されない場合: この結果は、トラフィックがオンプレミスに到達しているが、Azure に戻っていないことを示しています。 ExpressRoute 回線経由でトラフィックが Azure にルーティングされていない理由については、プロバイダーと協力して確認します。

  • 一方の MSEE では一致なしと示されるが、他方では適切な一致が示される: この結果は、1 つの MSEE がトラフィックの受信や引き渡しを行っていないことを示しています。 これはオフライン (BGP/ARP がダウンしているなど) である可能性があります。

    • このパスで BGP セッションを介して一意の /32 オンプレミス ルートをアドバタイズすることで、異常なパスを確認する追加のテストを実行できます。
    • オンプレミスの宛先としてアドバタイズされた一意の /32 を使用して「プライベート ピアリング接続をテストする」を実行し、結果を調べてパスの正常性を確認します。

各 MSEE デバイスのテスト結果は、次の例のようになります。

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

仮想ネットワーク ゲートウェイの可用性を確認する

ExpressRoute 仮想ネットワーク ゲートウェイは、Azure 仮想ネットワーク内のプライベート リンク サービスとプライベート IP への接続を管理します。 Microsoft により、このインフラストラクチャが管理され、メンテナンスが行われると、パフォーマンスが低下する場合があります。

接続の問題のトラブルシューティングを行い、最近のメンテナンスを確認するには:

  1. Azure portal で ExpressRoute 回線から [問題の診断と解決] を選択します。

    [問題の診断と解決] ボタン。

  2. [パフォーマンスの問題] を選択します。

    [パフォーマンスの問題] のオプション。

  3. 診断が実行され、結果が解釈されるまで待ちます。

    診断結果。

パケット損失または待機時間中にメンテナンスが発生した場合は、接続の問題の一因となった可能性があります。 より高いスループットをサポートし、将来の問題を回避するため、推奨される手順に従って、仮想ネットワーク ゲートウェイ SKU のアップグレードを検討してください。

次のステップ

詳細やヘルプについては、次のリンク先を確認してください。