ExpressRoute-connectiviteit controleren

Dit artikel helpt u bij het verifiëren en oplossen van problemen met Azure ExpressRoute-connectiviteit. ExpressRoute breidt een on-premises netwerk uit naar de Microsoft Cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. ExpressRoute-connectiviteit omvat drie verschillende netwerkzones:

• Klantnetwerk
• Providernetwerk
• Microsoft-datacenter

Notitie

In het ExpressRoute Direct-connectiviteitsmodel kunt u rechtstreeks verbinding maken met de poort voor MSEE-routers (Microsoft Enterprise Edge). Dit model bevat alleen uw netwerk en de Microsoft-netwerkzones.

Dit artikel helpt u bij het identificeren van verbindingsproblemen en het zoeken naar ondersteuning van het juiste team om ze op te lossen.

Belangrijk

Dit artikel is bedoeld om u te helpen bij het vaststellen en oplossen van eenvoudige problemen. Het is geen vervanging voor Microsoft-ondersteuning. Als u een probleem niet kunt oplossen met behulp van deze richtlijnen, opent u een ondersteuningsticket met Microsoft Ondersteuning.

Overzicht

In het volgende diagram ziet u de logische connectiviteit van een klantnetwerk met het Microsoft-netwerk via ExpressRoute.

In het diagram geven de getallen de belangrijkste netwerkpunten aan:

1. Rekenapparaat van de klant (bijvoorbeeld een server of pc).
2. Edge-routers (CE's) van de klant.
3. Edge-routers/switches van provider (PE's) die gericht zijn op edge-routers van klanten.
4. PEs gericht op Microsoft Enterprise Edge ExpressRoute-routers (MSEEs), genaamd PE-MSEEs.
5. MSE's.
6. Gateway voor een virtueel netwerk.
7. Rekenapparaat in het virtuele Azure-netwerk.

In het artikel wordt naar deze netwerkpunten verwezen door het bijbehorende nummer.

Afhankelijk van het ExpressRoute-connectiviteitsmodel zijn netwerkpunten 3 en 4 mogelijk switches (laag 2-apparaten) of routers (laag 3-apparaten). De connectiviteitsmodellen zijn colocatie voor clouduitwisseling, point-to-point Ethernet-verbinding of any-to-any (IPVPN).

In het model voor directe connectiviteit zijn geen netwerkpunten 3 en 4. In plaats daarvan zijn CE's (2) rechtstreeks verbonden met MSEE's via dark viber.

Als de colocatie van de clouduitwisseling, punt-naar-punt Ethernet of direct-connectiviteitsmodel wordt gebruikt, stellen CE's (2) BGP-peering (Border Gateway Protocol) vast met MSEEs (5).

Als het any-to-any-connectiviteitsmodel (IPVPN) wordt gebruikt, brengen PE-MSEEs (4) BGP-peering tot stand met MSEEs (5). PE-MSEE's geven de routes die van Microsoft zijn ontvangen, door naar het klantnetwerk via het IPVPN-serviceprovidernetwerk.

Notitie

Voor hoge beschikbaarheid brengt Microsoft volledig redundante parallelle connectiviteit tot stand tussen MSEE- en PE-MSEE-paren. Een volledig redundant parallel netwerkpad wordt ook aangemoedigd tussen het klantnetwerk en PE/CE-paren. Zie Ontwerpen voor hoge beschikbaarheid met ExpressRoute voor meer informatie over hoge beschikbaarheid.

De volgende secties vertegenwoordigen de logische stappen voor het oplossen van problemen met een ExpressRoute-circuit.

Circuitinrichting en -status controleren

Als u een ExpressRoute-circuit inricht, wordt een redundante laag 2-verbinding tot stand gebracht tussen CEs/PE-MSEEs (2/4) en MSA's (5). Zie Een ExpressRoute-circuit maken, wijzigen, inrichten en controleren voor meer informatie over het maken, wijzigen, inrichten en controleren van een ExpressRoute-circuit.

Tip

Een servicesleutel identificeert een ExpressRoute-circuit op unieke wijze. Als u hulp nodig hebt van Microsoft of een ExpressRoute-partner om een probleem op te lossen, geeft u de servicesleutel op om het circuit gemakkelijk te identificeren.

Verificatie via Azure Portal

Navigeer in Azure Portal naar de pagina voor uw ExpressRoute-circuit. De sectie van de pagina bevat de ExpressRoute-essentials, zoals wordt weergegeven in de volgende schermopname:

In de Essentials van ExpressRoute geeft de circuitstatus de status van het circuit aan de zijde van Microsoft aan en geeft de providerstatus aan of het circuit is ingericht door de serviceprovider.

Om een ExpressRoute-circuit operationeel te maken, moet de circuitstatus zijn ingeschakeld en moet de providerstatus worden ingericht.

Notitie

Als de circuitstatus niet is ingeschakeld, neemt u contact op met Microsoft Ondersteuning. Als de providerstatus is vastgelopen in Niet ingericht, neemt u contact op met uw serviceprovider.

Verificatie via PowerShell

Gebruik de volgende opdracht om alle ExpressRoute-circuits in een resourcegroep weer te geven:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Tip

Als u de naam van een resourcegroep wilt vinden, gebruikt u de Get-AzResourceGroup opdracht om alle resourcegroepen in uw abonnement weer te geven.

Gebruik de volgende opdracht om details van een specifiek ExpressRoute-circuit in een resourcegroep op te halen:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Hieronder volgt een voorbeeld van een antwoord:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Als u wilt controleren of een ExpressRoute-circuit operationeel is, controleert u of de volgende velden correct zijn ingesteld:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Notitie

Als de circuitstatus niet is ingeschakeld, neemt u contact op met Microsoft Ondersteuning. Als de providerstatus is vastgelopen in Niet ingericht, neemt u contact op met uw serviceprovider.

Peering-configuratie valideren

Nadat de serviceprovider het ExpressRoute-circuit heeft ingericht, kunt u meerdere routeringsconfiguraties maken met behulp van externe BGP (eBGP) via het circuit tussen CEs/MSEE-PEs (2/4) en MSEEs (5). Elk ExpressRoute-circuit kan een of beide van de volgende peeringconfiguraties hebben:

• Persoonlijke Azure-peering: voor verkeer naar privé-virtuele netwerken in Azure
• Microsoft-peering: voor verkeer naar openbare eindpunten van PaaS (Platform as a Service) en Software as a Service (SaaS)

Zie Routering maken en wijzigen voor een ExpressRoute-circuit voor meer informatie over het maken en wijzigen van routeringsconfiguraties.

Verificatie via Azure Portal

Notitie

In een IPVPN-connectiviteitsmodel verwerken serviceproviders de verantwoordelijkheid voor het configureren van de peerings (laag 3-services). Als de peering leeg is in de portal nadat de serviceprovider deze heeft geconfigureerd, vernieuwt u de circuitconfiguratie met behulp van de knop Vernieuwen in de portal. Met deze bewerking wordt de huidige routeringsconfiguratie opgehaald uit uw circuit.

In Azure Portal kunt u de status van een ExpressRoute-circuit controleren op de bijbehorende pagina. De sectie bevat de ExpressRoute-peerings, zoals wordt weergegeven in de volgende schermopname:

In het vorige voorbeeld wordt persoonlijke Azure-peering ingericht, maar openbare Azure- en Microsoft-peerings zijn dat niet. Een met succes ingerichte peeringcontext bevat ook de primaire en secundaire punt-naar-punt-subnetten. De /30-subnetten worden gebruikt voor de interface-IP-adressen van de MSA's en CEs/PE-MSEEs. De vermelding geeft ook aan wie de configuratie het laatst heeft gewijzigd.

Notitie

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de VlanId, AzureASNen PeerASN waarden op de MSA's overeenkomen met die op de gekoppelde CE/PE-MSEE.

Als MD5-hashing is gekozen, moet u ervoor zorgen dat de gedeelde sleutel hetzelfde is voor zowel MSEE- als CE/PE-MSEE-paren. Eerder geconfigureerde gedeelde sleutels worden om veiligheidsredenen niet weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Notitie

Op een /30-subnet dat is toegewezen voor de interface, gebruikt Microsoft het tweede bruikbare IP-adres voor de MSEE-interface. Zorg ervoor dat het eerste bruikbare IP-adres is toegewezen aan de peered CE/PE-MSEE.

Verificatie via PowerShell

Gebruik de volgende opdrachten om de configuratiedetails voor persoonlijke Azure-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Hier volgt een voorbeeldantwoord voor een geconfigureerde privépeering:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Een peeringcontext met succes bevat de primaire en secundaire adresvoorvoegsels. De /30-subnetten worden gebruikt voor de interface-IP-adressen van de MSA's en CEs/PE-MSEEs.

Gebruik de volgende opdrachten om de configuratiedetails voor Microsoft-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Als een peering niet is geconfigureerd, wordt er een foutbericht weergegeven. Hier volgt een voorbeeld van een antwoord wanneer de vermelde peering niet is geconfigureerd binnen het circuit:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Notitie

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de VlanId, AzureASNen PeerASN waarden op de MSA's overeenkomen met die op de gekoppelde CE/PE-MSEE.

Als MD5-hashing is gekozen, moet u ervoor zorgen dat de gedeelde sleutel hetzelfde is voor zowel MSEE- als CE/PE-MSEE-paren. Eerder geconfigureerde gedeelde sleutels worden om veiligheidsredenen niet weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Notitie

Op een /30-subnet dat is toegewezen voor de interface, gebruikt Microsoft het tweede bruikbare IP-adres voor de MSEE-interface. Zorg ervoor dat het eerste bruikbare IP-adres is toegewezen aan de peered CE/PE-MSEE.

ARP valideren

De tabel Address Resolution Protocol (ARP) biedt een toewijzing van het IP-adres en MAC-adres voor een bepaalde peering. De ARP-tabel voor een ExpressRoute-circuitpeering biedt de volgende informatie voor elke interface (primair en secundair):

• Toewijzing van het IP-adres voor de on-premises routerinterface aan het MAC-adres
• Toewijzing van het IP-adres voor de ExpressRoute routerinterface aan het MAC-adres (optioneel)
• Leeftijd van de toewijzing

ARP-tabellen helpen u laag 2-configuratie te valideren en algemene problemen met laag 2-verbindingen op te lossen.

Notitie

Afhankelijk van het hardwareplatform kunnen de ARP-resultaten variëren en worden alleen de on-premises interface weergegeven.

Zie ARP-tabellen ophalen in het Resource Manager-implementatiemodel voor meer informatie over het weergeven van de ARP-tabel van een ExpressRoute-peering en het gebruik van de informatie om verbindingsproblemen met laag 2 op te lossen.

BGP en routes valideren op de MSEE

Gebruik de volgende opdracht om de routeringstabel op te halen uit de MSEE op het primaire pad voor de privérouteringscontext:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

Voorbeeld van een reactie:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Notitie

Als de eBGP-peeringstatus tussen een MSEE en een CE/PE-MSEE actief of inactief is, controleert u of de primaire en secundaire peersubnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Zorg ervoor dat de VlanId, AzureASNen PeerASN waarden juist zijn voor de MSA's en dat deze overeenkomen met die in de gekoppelde CE/PE-MSEE. Als MD5-hashing wordt gebruikt, moet de gedeelde sleutel hetzelfde zijn voor zowel MSEE- als CE/PE-MSEE-paren. Zie Routering voor een ExpressRoute-circuit maken en wijzigen voor configuratiewijzigingen op een MSEE-router.

Notitie

Als bepaalde bestemmingen onbereikbaar zijn via een peering, controleert u de MSEE-routetabel voor de bijbehorende peeringcontext. Als er een overeenkomend voorvoegsel aanwezig is, moet u ervoor zorgen dat er geen firewalls, netwerkbeveiligingsgroepen of ACL's het verkeer blokkeren.

Voorbeeldantwoord voor niet-bestaande peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

De verkeersstroom bevestigen

Gebruik de volgende opdracht om verkeersstatistieken (bytes in en uit) voor een peeringcontext op te halen:

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

Voorbeelduitvoer:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

Voorbeelduitvoer voor niet-bestaande peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

De connectiviteit van persoonlijke peering testen

Test de connectiviteit met persoonlijke peering door pakketten te tellen die binnenkomen en de Microsoft-rand van uw ExpressRoute-circuit verlaten op de MSEE-apparaten. Dit diagnostische hulpprogramma maakt gebruik van een ACL om pakketten te tellen die specifieke regels bereiken, waardoor de connectiviteit wordt bevestigd.

Een test uitvoeren

1. Selecteer in Azure Portal problemen vaststellen en oplossen vanuit uw ExpressRoute-circuit.

   

2. Selecteer Connectiviteits- en prestatieproblemen.

   

3. Selecteer in de vervolgkeuzelijst Vertel ons meer over het probleem dat u ondervindt problemen met persoonlijke peering.

   

4. Vouw de sectie Privé-peeringconnectiviteit testen uit.

   

5. Voer de PsPing-test uit vanaf uw on-premises IP naar uw Azure-IP en houd deze tijdens de test actief.

6. Vul de formuliervelden in met dezelfde IP-adressen die in stap 5 worden gebruikt en selecteer vervolgens Verzenden en wachten op resultaten.

   

Resultaten interpreteren

Bekijk de resultaten voor de primaire en secundaire MSEE-apparaten:

• Overeenkomsten die zijn verzonden en ontvangen op beide MSE's: geeft een goed inkomend en uitgaand verkeer aan. Verlies is downstream van de MSA's.

• Ontvangen overeenkomsten, maar geen verzonden overeenkomsten: Verkeer bereikt Azure, maar retourneert niet. Controleer routeringsproblemen met retourpaden.

• Verzonden overeenkomsten maar geen ontvangen overeenkomsten: verkeer bereikt on-premises, maar keert niet terug naar Azure. Werk samen met uw provider om dit op te lossen.

• Eén MSEE toont geen overeenkomsten, de andere geeft goede overeenkomsten weer: Geeft aan dat één MSEE geen verkeer ontvangt of doorgeeft. Het is mogelijk offline.

• Als u PsPing vanuit on-premises naar Azure test, laten de ontvangen resultaten overeenkomsten zien, maar de verzonden resultaten niet: Dit resultaat geeft aan dat verkeer binnenkomt in Azure, maar niet terugkeert naar on-premises. Controleer op routeringsproblemen met retourpaden. Adverteert u bijvoorbeeld de juiste voorvoegsels naar Azure? Overschrijft een door de gebruiker gedefinieerde route (UDR) voorvoegsels?

• Als u PsPing vanuit Azure naar on-premises test, laten de verzonden resultaten overeenkomsten zien, maar de ontvangen resultaten niet: Dit resultaat geeft aan dat verkeer binnenkomt on-premises, maar niet terugkeert naar Azure. Probeer er samen met uw provider achter te komen waarom het verkeer niet via uw ExpressRoute-circuit naar Azure wordt geleid.

• Eén MSEE toont geen overeenkomsten, maar de andere juist wel: Dit resultaat geeft aan dat één MSEE geen verkeer ontvangt of doorgeeft. Misschien is hij offline (BGP/ARP kan bijvoorbeeld uitgevallen zijn).

  • U kunt aanvullende tests uitvoeren om het beschadigde pad te bevestigen door een unieke /32 on-premises route te adverteren via de BGP-sessie op dit pad.
  • Voer 'Test your private peering connectivity' uit met behulp van het unieke /32 geadverteerd als het on-premises doeladres en bekijk de resultaten om de padstatus te bevestigen.

De testresultaten voor elk MSEE-apparaat zien er als volgt uit:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Beschikbaarheid van de gateway van het virtuele netwerk controleren

De gateway van het virtuele ExpressRoute-netwerk beheert de connectiviteit met private link-services en privé-IP-adressen in een virtueel Azure-netwerk. Microsoft beheert deze infrastructuur en kan onderhoud uitvoeren, waardoor de prestaties worden verminderd.

Verbindingsproblemen oplossen en controleren op recent onderhoud:

1. Selecteer in Azure Portal problemen vaststellen en oplossen vanuit uw ExpressRoute-circuit.

   

2. Prestatieproblemen selecteren.

   

3. Wacht tot diagnostische gegevens worden uitgevoerd en de resultaten worden geïnterpreteerd.

   

Als er onderhoud is opgetreden tijdens pakketverlies of latentie, kan dit hebben bijgedragen aan connectiviteitsproblemen. Volg de aanbevolen stappen en overweeg om de gateway-SKU van het virtuele netwerk te upgraden om hogere doorvoer te ondersteunen en toekomstige problemen te voorkomen.

Volgende stappen

Raadpleeg de volgende koppelingen voor meer informatie of help:

• Microsoft ondersteuning
• Een ExpressRoute-circuit maken en wijzigen
• Routering voor een ExpressRoute-circuit maken en wijzigen