Verificar a conectividade do ExpressRoute
Este artigo ajuda você a verificar e solucionar problemas de conectividade do Azure ExpressRoute. O ExpressRoute estende uma rede local para o Microsoft Cloud através de uma conexão privada facilitada por um provedor de conectividade. A conectividade do ExpressRoute envolve três zonas de rede distintas:
- Rede de clientes
- Rede de fornecedores
- Centro de dados da Microsoft
Nota
No modelo de conectividade ExpressRoute Direct, você pode se conectar diretamente à porta para roteadores Microsoft Enterprise Edge (MSEE). Este modelo inclui apenas a sua rede e as zonas de rede da Microsoft.
Este artigo ajuda você a identificar problemas de conectividade e buscar suporte da equipe apropriada para resolvê-los.
Importante
Este artigo destina-se a ajudá-lo a diagnosticar e corrigir problemas simples. Não substitui o suporte da Microsoft. Se você não conseguir resolver um problema usando essas diretrizes, abra um tíquete de suporte com o Suporte da Microsoft.
Descrição geral
O diagrama a seguir mostra a conectividade lógica de uma rede de cliente com a rede Microsoft por meio da Rota Expressa.
No diagrama, os números indicam os principais pontos de rede:
- Dispositivo de computação do cliente (por exemplo, um servidor ou PC).
- Roteadores de borda do cliente (CEs).
- Roteadores/switches de borda (PEs) do provedor voltados para roteadores de borda do cliente.
- PEs voltados para roteadores Microsoft Enterprise Edge ExpressRoute (MSEEs), chamados PE-MSEEs.
- MSEEs.
- Gateway de rede virtual.
- Dispositivo de computação na rede virtual do Azure.
Estes pontos de rede são referenciados pelo seu número associado ao longo do artigo.
Dependendo do modelo de conectividade do ExpressRoute, os pontos de rede 3 e 4 podem ser comutadores (dispositivos de camada 2) ou routers (dispositivos de camada 3). Os modelos de conectividade são cloud exchange colocation, conexão Ethernet ponto-a-ponto ou any-to-any (IPVPN).
No modelo de conectividade direta, não existem pontos de rede 3 e 4. Em vez disso, os CEs (2) são ligados diretamente aos MSEEs através de fibra escura.
Se for utilizado o modelo de Colocalização de intercâmbio cloud, Ethernet ponto-a-ponto ou Conectividade direta, os CEs (2) estabelecem o peering do Border Gateway Protocol (BGP) com os MSEEs (5).
Se o modelo de conectividade Qualquer para qualquer (IPVPN) for utilizado, os PE-MSEEs (4) estabelecem peering BGP com os MSEEs (5). Os PE-MSEEs propagam as rotas recebidas da Microsoft de volta para a rede do cliente através da rede do fornecedor de serviços de IPVPN.
Nota
Para alta disponibilidade, a Microsoft estabelece conectividade paralela totalmente redundante entre os pares MSEE e PE-MSEE. Um caminho de rede paralela totalmente redundante também é incentivado entre a rede do cliente e os pares PE/CE. Para obter mais informações sobre alta disponibilidade, consulte Projetando para alta disponibilidade com a Rota Expressa.
As seções a seguir representam as etapas lógicas na solução de problemas de um circuito de Rota Expressa.
Verificar o provisionamento e o estado do circuito
O provisionamento de um circuito de Rota Expressa estabelece uma conexão redundante de camada 2 entre CEs/PE-MSEEs (2/4) e MSEEs (5). Para obter mais informações sobre como criar, modificar, provisionar e verificar um circuito de Rota Expressa, consulte Criar e modificar um circuito de Rota Expressa.
Gorjeta
Uma chave de serviço identifica exclusivamente um circuito de Rota Expressa. Se precisar de assistência da Microsoft ou de um parceiro da Rota Expressa para solucionar um problema, forneça a chave de serviço para identificar prontamente o circuito.
Verificação através do portal do Azure
No portal do Azure, navegue até a página do seu circuito de Rota Expressa. A seção da página lista os fundamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:
No essencial da Rota Expressa, o status do circuito indica o status do circuito no lado da Microsoft e o status do provedor indica se o circuito foi provisionado pelo provedor de serviços.
Para que um circuito do ExpressRoute esteja operacional, o estado do Circuito deve ser Ativado e o estado do Fornecedor deve ser Aprovisionado.
Nota
Se o estado do circuito estiver bloqueado em Não ativado, contacte o Suporte da Microsoft. Se o status do provedor estiver bloqueado em Não provisionado, entre em contato com seu provedor de serviços.
Verificação via PowerShell
Para listar todos os circuitos da Rota Expressa em um grupo de recursos, use o seguinte comando:
Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"
Gorjeta
Para localizar o nome de um grupo de recursos, use o Get-AzResourceGroup
comando para listar todos os grupos de recursos em sua assinatura.
Para obter detalhes de um circuito de Rota Expressa específico em um grupo de recursos, use o seguinte comando:
Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Eis uma resposta de exemplo:
Name : Test-ER-Ckt
ResourceGroupName : Test-ER-RG
Location : westus2
Id : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag : W/"################################"
ProvisioningState : Succeeded
Sku : {
"Name": "Standard_UnlimitedData",
"Tier": "Standard",
"Family": "UnlimitedData"
}
CircuitProvisioningState : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes :
ServiceProviderProperties : {
"ServiceProviderName": "****",
"PeeringLocation": "******",
"BandwidthInMbps": 100
}
ServiceKey : **************************************
Peerings : []
Authorizations : []
Para confirmar se um circuito de Rota Expressa está operacional, verifique se os seguintes campos estão definidos corretamente:
CircuitProvisioningState : Enabled
ServiceProviderProvisioningState : Provisioned
Nota
Se o estado do circuito estiver bloqueado em Não ativado, contacte o Suporte da Microsoft. Se o status do provedor estiver bloqueado em Não provisionado, entre em contato com seu provedor de serviços.
Validar a configuração do peering
Depois que o provedor de serviços provisionar o circuito ExpressRoute, você poderá criar várias configurações de roteamento usando BGP externo (eBGP) no circuito entre CEs/MSEE-PEs (2/4) e MSEEs (5). Cada circuito de Rota Expressa pode ter uma ou ambas as seguintes configurações de emparelhamento:
- Emparelhamento privado do Azure: para tráfego para redes virtuais privadas no Azure
- Emparelhamento da Microsoft: para tráfego para pontos finais públicos de plataforma como serviço (PaaS) e software como serviço (SaaS)
Para obter mais informações sobre como criar e modificar configurações de roteamento, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.
Verificação através do portal do Azure
Nota
Em um modelo de conectividade IPVPN, os provedores de serviços lidam com a responsabilidade de configurar os emparelhamentos (serviços de camada 3). Se o emparelhamento estiver em branco no portal depois que o provedor de serviços o tiver configurado, tente atualizar a configuração do circuito usando o botão de atualização no portal. Esta operação puxará a configuração de roteamento atual do seu circuito.
No portal do Azure, você pode verificar o status de um circuito de Rota Expressa em sua página. A seção lista os emparelhamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:
No exemplo anterior, o emparelhamento privado do Azure é provisionado, mas os emparelhamentos públicos do Azure e da Microsoft não. Um contexto de emparelhamento provisionado com êxito também listará as sub-redes ponto a ponto primária e secundária. As sub-redes /30 são usadas para os endereços IP de interface dos MSEEs e CEs/PE-MSEEs. A listagem também indica quem modificou a configuração pela última vez.
Nota
Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Além disso, verifique se os VlanId
valores , AzureASN
e PeerASN
nos MSEEs correspondem aos do CE/PE-MSEE vinculado.
Se o hash MD5 for escolhido, verifique se a chave compartilhada é a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não serão exibidas por motivos de segurança.
Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.
Nota
Em uma sub-rede /30 atribuída para a interface, a Microsoft usará o segundo endereço IP utilizável para a interface MSEE. Certifique-se de que o primeiro endereço IP utilizável está atribuído ao CE/PE-MSEE emparelhado.
Verificação via PowerShell
Para obter os detalhes de configuração para o emparelhamento privado do Azure, use os seguintes comandos:
$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt
Aqui está um exemplo de resposta para um emparelhamento privado configurado com êxito:
Name : AzurePrivatePeering
Id : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag : W/"################################"
PeeringType : AzurePrivatePeering
AzureASN : 12076
PeerASN : 123##
PrimaryPeerAddressPrefix : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort :
SecondaryAzurePort :
SharedKey :
VlanId : 200
MicrosoftPeeringConfig : null
ProvisioningState : Succeeded
Um contexto de emparelhamento habilitado com êxito lista os prefixos de endereço primário e secundário. As sub-redes /30 são usadas para os endereços IP de interface dos MSEEs e CEs/PE-MSEEs.
Para obter os detalhes de configuração para o emparelhamento da Microsoft, use os seguintes comandos:
$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt
Se um emparelhamento não estiver configurado, você receberá uma mensagem de erro. Aqui está um exemplo de resposta quando o emparelhamento declarado não está configurado dentro do circuito:
Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
+ Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand
Nota
Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Além disso, verifique se os VlanId
valores , AzureASN
e PeerASN
nos MSEEs correspondem aos do CE/PE-MSEE vinculado.
Se o hash MD5 for escolhido, verifique se a chave compartilhada é a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não serão exibidas por motivos de segurança.
Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.
Nota
Em uma sub-rede /30 atribuída para a interface, a Microsoft usará o segundo endereço IP utilizável para a interface MSEE. Certifique-se de que o primeiro endereço IP utilizável está atribuído ao CE/PE-MSEE emparelhado.
Validar ARP
A tabela Protocolo de Resolução de Endereços (ARP) fornece um mapeamento do endereço IP e do endereço MAC de um peering específico. A tabela ARP para um peering de circuito do ExpressRoute fornece as seguintes informações para cada interface (primária e secundária):
- Mapeamento do endereço IP da interface do router no local para o endereço MAC
- Mapeamento do endereço IP da interface do router do ExpressRoute para o endereço MAC (opcional)
- Idade do mapeamento
As tabelas ARP podem ajudar a validar a configuração da camada 2 e a resolver problemas de conectividade de camada básica 2.
Nota
Dependendo da plataforma de hardware, os resultados do ARP podem variar e exibir apenas a interface local .
Para saber como exibir a tabela ARP de um emparelhamento de Rota Expressa e como usar as informações para solucionar problemas de conectividade de camada 2, consulte Obtendo tabelas ARP no modelo de implantação do Resource Manager.
Validar BGP e rotas no MSEE
Para recuperar a tabela de roteamento do MSEE no caminho primário para o contexto de roteamento privado, use o seguinte comando:
Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>
Resposta de exemplo:
Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf :
Weight : 0
Path : 65515
Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf :
Weight : 0
Path : 65515
Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf :
Weight : 0
Path : 123##
Nota
Se o estado de emparelhamento eBGP entre um MSEE e um CE/PE-MSEE estiver Ativo ou Ocioso, verifique se as sub-redes de pares primário e secundário correspondem à configuração no CE/PE-MSEE vinculado. Verifique se os VlanId
valores , AzureASN
e PeerASN
estão corretos nos MSEEs e correspondem aos valores no CE/PE-MSEE vinculado. Se o hash MD5 for usado, a chave compartilhada deverá ser a mesma nos pares MSEE e CE/PE-MSEE. Para alterações de configuração em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.
Nota
Se determinados destinos estiverem inacessíveis através de um emparelhamento, verifique a tabela de rotas MSEE para o contexto de emparelhamento correspondente. Se um prefixo correspondente estiver presente, verifique se nenhum firewall, grupos de segurança de rede ou ACLs estão bloqueando o tráfego.
Exemplo de resposta para um emparelhamento inexistente:
Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400
Confirmar o fluxo de tráfego
Para obter estatísticas de tráfego (bytes de entrada e saída) para um contexto de emparelhamento, use o seguinte comando:
Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'
Saída de exemplo:
PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
240780020 239863857 240565035 239628474
Exemplo de saída para um emparelhamento inexistente:
Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400
Testar a conectividade do peering privado
Teste a conectividade de emparelhamento privado contando os pacotes que chegam e saem da borda Microsoft do circuito da Rota Expressa nos dispositivos MSEE. Esta ferramenta de diagnóstico usa uma ACL para contar pacotes atingindo regras específicas, confirmando a conectividade.
Executar um teste
No portal do Azure, selecione Diagnosticar e resolver problemas do seu circuito de Rota Expressa.
Selecione Problemas de conectividade e desempenho.
Na lista suspensa Conte-nos mais sobre o problema que você está enfrentando, selecione Problemas com emparelhamento privado.
Expanda a seção Testar conectividade de emparelhamento privado.
Execute o teste PsPing do IP local para o IP do Azure e mantenha-o em execução durante o teste.
Preencha os campos do formulário com os mesmos endereços IP usados na etapa 5 e, em seguida, selecione Enviar e aguarde os resultados.
Interpretar os resultados
Analise os resultados para os dispositivos MSEE primários e secundários:
Correspondências enviadas e recebidas em ambos os MSEEs: indica tráfego de entrada e saída íntegro. Qualquer perda é feita a jusante dos MSEEs.
Correspondências recebidas, mas sem correspondências enviadas: o tráfego está chegando ao Azure, mas não retornando. Verifique os problemas de roteamento do caminho de retorno.
Correspondências enviadas, mas sem correspondências recebidas: o tráfego está chegando localmente, mas não retornando ao Azure. Trabalhe com seu provedor para resolver.
Um MSEE não mostra correspondências, o outro mostra boas correspondências: indica que um MSEE não está recebendo ou passando tráfego. Pode estar offline.
Se estiver a testar o PsPing do local para o Azure, os resultados recebidos apresentam correspondências, mas os resultados enviados não apresentam correspondências: este resultado indica que o tráfego está a chegar ao Azure, mas não está a voltar ao local. Verifique se existem problemas de encaminhamento do retorno-caminho. Por exemplo, está a anunciar os prefixos apropriados para o Azure? Uma rota definida pelo utilizador (UDR) está a substituir os prefixos?
Se estiver a testar o PsPing do Azure para o local , os resultados enviados apresentam correspondências, mas os resultados recebidos não apresentam correspondências: este resultado indica que o tráfego está a chegar ao local, mas não está a voltar ao Azure. Trabalhe com o seu fornecedor para descobrir por que o tráfego não está a ser encaminhado para o Azure através do seu circuito do ExpressRoute.
Um MSEE não apresenta correspondências, mas o outro apresenta boas correspondências: este resultado indica que um MSEE não está a receber ou a passar nenhum tráfego. Pode estar offline (por exemplo, o BGP/ARP está inativo).
- Pode executar testes adicionais para confirmar o caminho em mau estado de funcionamento anunciando uma rota /32 exclusiva no local sobre a sessão do BGP nesse caminho.
- Execute "Testar sua conectividade de emparelhamento privado" usando o /32 exclusivo anunciado como o endereço de destino local e revise os resultados para confirmar a integridade do caminho.
Os resultados do teste para cada dispositivo MSEE são semelhantes ao exemplo seguinte:
src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches
Verificar a disponibilidade do gateway de rede virtual
O gateway de rede virtual ExpressRoute gerencia a conectividade com serviços de link privado e IPs privados em uma rede virtual do Azure. A Microsoft gerencia essa infraestrutura e pode realizar manutenção, reduzindo o desempenho.
Para solucionar problemas de conectividade e verificar se há manutenção recente:
No portal do Azure, selecione Diagnosticar e resolver problemas do seu circuito de Rota Expressa.
Selecione Problemas de desempenho.
Aguarde a execução do diagnóstico e interprete os resultados.
Se a manutenção ocorreu durante a perda de pacotes ou latência, isso pode ter contribuído para problemas de conectividade. Siga as etapas recomendadas e considere atualizar o SKU do gateway de rede virtual para oferecer suporte a uma taxa de transferência mais alta e evitar problemas futuros.
Próximos passos
Para obter mais informações ou ajuda, consulte os seguintes links: