Partilhar via


Verificar a conectividade do ExpressRoute

Este artigo ajuda você a verificar e solucionar problemas de conectividade do Azure ExpressRoute. O ExpressRoute estende uma rede local para o Microsoft Cloud através de uma conexão privada facilitada por um provedor de conectividade. A conectividade do ExpressRoute envolve três zonas de rede distintas:

  • Rede de clientes
  • Rede de fornecedores
  • Centro de dados da Microsoft

Nota

No modelo de conectividade ExpressRoute Direct, você pode se conectar diretamente à porta para roteadores Microsoft Enterprise Edge (MSEE). Este modelo inclui apenas a sua rede e as zonas de rede da Microsoft.

Este artigo ajuda você a identificar problemas de conectividade e buscar suporte da equipe apropriada para resolvê-los.

Importante

Este artigo destina-se a ajudá-lo a diagnosticar e corrigir problemas simples. Não substitui o suporte da Microsoft. Se você não conseguir resolver um problema usando essas diretrizes, abra um tíquete de suporte com o Suporte da Microsoft.

Descrição geral

O diagrama a seguir mostra a conectividade lógica de uma rede de cliente com a rede Microsoft por meio da Rota Expressa. 1

No diagrama, os números indicam os principais pontos de rede:

  1. Dispositivo de computação do cliente (por exemplo, um servidor ou PC).
  2. Roteadores de borda do cliente (CEs).
  3. Roteadores/switches de borda (PEs) do provedor voltados para roteadores de borda do cliente.
  4. PEs voltados para roteadores Microsoft Enterprise Edge ExpressRoute (MSEEs), chamados PE-MSEEs.
  5. MSEEs.
  6. Gateway de rede virtual.
  7. Dispositivo de computação na rede virtual do Azure.

Estes pontos de rede são referenciados pelo seu número associado ao longo do artigo.

Dependendo do modelo de conectividade do ExpressRoute, os pontos de rede 3 e 4 podem ser comutadores (dispositivos de camada 2) ou routers (dispositivos de camada 3). Os modelos de conectividade são cloud exchange colocation, conexão Ethernet ponto-a-ponto ou any-to-any (IPVPN).

No modelo de conectividade direta, não existem pontos de rede 3 e 4. Em vez disso, os CEs (2) são ligados diretamente aos MSEEs através de fibra escura.

Se for utilizado o modelo de Colocalização de intercâmbio cloud, Ethernet ponto-a-ponto ou Conectividade direta, os CEs (2) estabelecem o peering do Border Gateway Protocol (BGP) com os MSEEs (5).

Se o modelo de conectividade Qualquer para qualquer (IPVPN) for utilizado, os PE-MSEEs (4) estabelecem peering BGP com os MSEEs (5). Os PE-MSEEs propagam as rotas recebidas da Microsoft de volta para a rede do cliente através da rede do fornecedor de serviços de IPVPN.

Nota

Para alta disponibilidade, a Microsoft estabelece conectividade paralela totalmente redundante entre os pares MSEE e PE-MSEE. Um caminho de rede paralela totalmente redundante também é incentivado entre a rede do cliente e os pares PE/CE. Para obter mais informações sobre alta disponibilidade, consulte Projetando para alta disponibilidade com a Rota Expressa.

As seções a seguir representam as etapas lógicas na solução de problemas de um circuito de Rota Expressa.

Verificar o provisionamento e o estado do circuito

O provisionamento de um circuito de Rota Expressa estabelece uma conexão redundante de camada 2 entre CEs/PE-MSEEs (2/4) e MSEEs (5). Para obter mais informações sobre como criar, modificar, provisionar e verificar um circuito de Rota Expressa, consulte Criar e modificar um circuito de Rota Expressa.

Gorjeta

Uma chave de serviço identifica exclusivamente um circuito de Rota Expressa. Se precisar de assistência da Microsoft ou de um parceiro da Rota Expressa para solucionar um problema, forneça a chave de serviço para identificar prontamente o circuito.

Verificação através do portal do Azure

No portal do Azure, navegue até a página do seu circuito de Rota Expressa. A 3 seção da página lista os fundamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:

4

No essencial da Rota Expressa, o status do circuito indica o status do circuito no lado da Microsoft e o status do provedor indica se o circuito foi provisionado pelo provedor de serviços.

Para que um circuito do ExpressRoute esteja operacional, o estado do Circuito deve ser Ativado e o estado do Fornecedor deve ser Aprovisionado.

Nota

Se o estado do circuito estiver bloqueado em Não ativado, contacte o Suporte da Microsoft. Se o status do provedor estiver bloqueado em Não provisionado, entre em contato com seu provedor de serviços.

Verificação via PowerShell

Para listar todos os circuitos da Rota Expressa em um grupo de recursos, use o seguinte comando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Gorjeta

Para localizar o nome de um grupo de recursos, use o Get-AzResourceGroup comando para listar todos os grupos de recursos em sua assinatura.

Para obter detalhes de um circuito de Rota Expressa específico em um grupo de recursos, use o seguinte comando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Eis uma resposta de exemplo:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Para confirmar se um circuito de Rota Expressa está operacional, verifique se os seguintes campos estão definidos corretamente:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Nota

Se o estado do circuito estiver bloqueado em Não ativado, contacte o Suporte da Microsoft. Se o status do provedor estiver bloqueado em Não provisionado, entre em contato com seu provedor de serviços.

Validar a configuração do peering

Depois que o provedor de serviços provisionar o circuito ExpressRoute, você poderá criar várias configurações de roteamento usando BGP externo (eBGP) no circuito entre CEs/MSEE-PEs (2/4) e MSEEs (5). Cada circuito de Rota Expressa pode ter uma ou ambas as seguintes configurações de emparelhamento:

  • Emparelhamento privado do Azure: para tráfego para redes virtuais privadas no Azure
  • Emparelhamento da Microsoft: para tráfego para pontos finais públicos de plataforma como serviço (PaaS) e software como serviço (SaaS)

Para obter mais informações sobre como criar e modificar configurações de roteamento, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Verificação através do portal do Azure

Nota

Em um modelo de conectividade IPVPN, os provedores de serviços lidam com a responsabilidade de configurar os emparelhamentos (serviços de camada 3). Se o emparelhamento estiver em branco no portal depois que o provedor de serviços o tiver configurado, tente atualizar a configuração do circuito usando o botão de atualização no portal. Esta operação puxará a configuração de roteamento atual do seu circuito.

No portal do Azure, você pode verificar o status de um circuito de Rota Expressa em sua página. A 3 seção lista os emparelhamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:

5

No exemplo anterior, o emparelhamento privado do Azure é provisionado, mas os emparelhamentos públicos do Azure e da Microsoft não. Um contexto de emparelhamento provisionado com êxito também listará as sub-redes ponto a ponto primária e secundária. As sub-redes /30 são usadas para os endereços IP de interface dos MSEEs e CEs/PE-MSEEs. A listagem também indica quem modificou a configuração pela última vez.

Nota

Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Além disso, verifique se os VlanIdvalores , AzureASNe PeerASN nos MSEEs correspondem aos do CE/PE-MSEE vinculado.

Se o hash MD5 for escolhido, verifique se a chave compartilhada é a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não serão exibidas por motivos de segurança.

Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Em uma sub-rede /30 atribuída para a interface, a Microsoft usará o segundo endereço IP utilizável para a interface MSEE. Certifique-se de que o primeiro endereço IP utilizável está atribuído ao CE/PE-MSEE emparelhado.

Verificação via PowerShell

Para obter os detalhes de configuração para o emparelhamento privado do Azure, use os seguintes comandos:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Aqui está um exemplo de resposta para um emparelhamento privado configurado com êxito:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Um contexto de emparelhamento habilitado com êxito lista os prefixos de endereço primário e secundário. As sub-redes /30 são usadas para os endereços IP de interface dos MSEEs e CEs/PE-MSEEs.

Para obter os detalhes de configuração para o emparelhamento da Microsoft, use os seguintes comandos:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Se um emparelhamento não estiver configurado, você receberá uma mensagem de erro. Aqui está um exemplo de resposta quando o emparelhamento declarado não está configurado dentro do circuito:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Nota

Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Além disso, verifique se os VlanIdvalores , AzureASNe PeerASN nos MSEEs correspondem aos do CE/PE-MSEE vinculado.

Se o hash MD5 for escolhido, verifique se a chave compartilhada é a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não serão exibidas por motivos de segurança.

Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Em uma sub-rede /30 atribuída para a interface, a Microsoft usará o segundo endereço IP utilizável para a interface MSEE. Certifique-se de que o primeiro endereço IP utilizável está atribuído ao CE/PE-MSEE emparelhado.

Validar ARP

A tabela Protocolo de Resolução de Endereços (ARP) fornece um mapeamento do endereço IP e do endereço MAC de um peering específico. A tabela ARP para um peering de circuito do ExpressRoute fornece as seguintes informações para cada interface (primária e secundária):

  • Mapeamento do endereço IP da interface do router no local para o endereço MAC
  • Mapeamento do endereço IP da interface do router do ExpressRoute para o endereço MAC (opcional)
  • Idade do mapeamento

As tabelas ARP podem ajudar a validar a configuração da camada 2 e a resolver problemas de conectividade de camada básica 2.

Nota

Dependendo da plataforma de hardware, os resultados do ARP podem variar e exibir apenas a interface local .

Para saber como exibir a tabela ARP de um emparelhamento de Rota Expressa e como usar as informações para solucionar problemas de conectividade de camada 2, consulte Obtendo tabelas ARP no modelo de implantação do Resource Manager.

Validar BGP e rotas no MSEE

Para recuperar a tabela de roteamento do MSEE no caminho primário para o contexto de roteamento privado, use o seguinte comando:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

Resposta de exemplo:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Nota

Se o estado de emparelhamento eBGP entre um MSEE e um CE/PE-MSEE estiver Ativo ou Ocioso, verifique se as sub-redes de pares primário e secundário correspondem à configuração no CE/PE-MSEE vinculado. Verifique se os VlanIdvalores , AzureASNe PeerASN estão corretos nos MSEEs e correspondem aos valores no CE/PE-MSEE vinculado. Se o hash MD5 for usado, a chave compartilhada deverá ser a mesma nos pares MSEE e CE/PE-MSEE. Para alterações de configuração em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Se determinados destinos estiverem inacessíveis através de um emparelhamento, verifique a tabela de rotas MSEE para o contexto de emparelhamento correspondente. Se um prefixo correspondente estiver presente, verifique se nenhum firewall, grupos de segurança de rede ou ACLs estão bloqueando o tráfego.

Exemplo de resposta para um emparelhamento inexistente:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

Confirmar o fluxo de tráfego

Para obter estatísticas de tráfego (bytes de entrada e saída) para um contexto de emparelhamento, use o seguinte comando:

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

Saída de exemplo:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

Exemplo de saída para um emparelhamento inexistente:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

Testar a conectividade do peering privado

Teste a conectividade de emparelhamento privado contando os pacotes que chegam e saem da borda Microsoft do circuito da Rota Expressa nos dispositivos MSEE. Esta ferramenta de diagnóstico usa uma ACL para contar pacotes atingindo regras específicas, confirmando a conectividade.

Executar um teste

  1. No portal do Azure, selecione Diagnosticar e resolver problemas do seu circuito de Rota Expressa.

    Botão Diagnosticar e resolver problemas.

  2. Selecione Problemas de conectividade e desempenho.

    Opção de problemas de conectividade.

  3. Na lista suspensa Conte-nos mais sobre o problema que você está enfrentando, selecione Problemas com emparelhamento privado.

    Diga-nos mais dropdown.

  4. Expanda a seção Testar conectividade de emparelhamento privado.

    Teste a opção de emparelhamento privado.

  5. Execute o teste PsPing do IP local para o IP do Azure e mantenha-o em execução durante o teste.

  6. Preencha os campos do formulário com os mesmos endereços IP usados na etapa 5 e, em seguida, selecione Enviar e aguarde os resultados.

    Formulário para depurar uma ACL.

Interpretar os resultados

Analise os resultados para os dispositivos MSEE primários e secundários:

  • Correspondências enviadas e recebidas em ambos os MSEEs: indica tráfego de entrada e saída íntegro. Qualquer perda é feita a jusante dos MSEEs.

  • Correspondências recebidas, mas sem correspondências enviadas: o tráfego está chegando ao Azure, mas não retornando. Verifique os problemas de roteamento do caminho de retorno.

  • Correspondências enviadas, mas sem correspondências recebidas: o tráfego está chegando localmente, mas não retornando ao Azure. Trabalhe com seu provedor para resolver.

  • Um MSEE não mostra correspondências, o outro mostra boas correspondências: indica que um MSEE não está recebendo ou passando tráfego. Pode estar offline.

  • Se estiver a testar o PsPing do local para o Azure, os resultados recebidos apresentam correspondências, mas os resultados enviados não apresentam correspondências: este resultado indica que o tráfego está a chegar ao Azure, mas não está a voltar ao local. Verifique se existem problemas de encaminhamento do retorno-caminho. Por exemplo, está a anunciar os prefixos apropriados para o Azure? Uma rota definida pelo utilizador (UDR) está a substituir os prefixos?

  • Se estiver a testar o PsPing do Azure para o local , os resultados enviados apresentam correspondências, mas os resultados recebidos não apresentam correspondências: este resultado indica que o tráfego está a chegar ao local, mas não está a voltar ao Azure. Trabalhe com o seu fornecedor para descobrir por que o tráfego não está a ser encaminhado para o Azure através do seu circuito do ExpressRoute.

  • Um MSEE não apresenta correspondências, mas o outro apresenta boas correspondências: este resultado indica que um MSEE não está a receber ou a passar nenhum tráfego. Pode estar offline (por exemplo, o BGP/ARP está inativo).

    • Pode executar testes adicionais para confirmar o caminho em mau estado de funcionamento anunciando uma rota /32 exclusiva no local sobre a sessão do BGP nesse caminho.
    • Execute "Testar sua conectividade de emparelhamento privado" usando o /32 exclusivo anunciado como o endereço de destino local e revise os resultados para confirmar a integridade do caminho.

Os resultados do teste para cada dispositivo MSEE são semelhantes ao exemplo seguinte:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Verificar a disponibilidade do gateway de rede virtual

O gateway de rede virtual ExpressRoute gerencia a conectividade com serviços de link privado e IPs privados em uma rede virtual do Azure. A Microsoft gerencia essa infraestrutura e pode realizar manutenção, reduzindo o desempenho.

Para solucionar problemas de conectividade e verificar se há manutenção recente:

  1. No portal do Azure, selecione Diagnosticar e resolver problemas do seu circuito de Rota Expressa.

    Botão Diagnosticar e resolver problemas.

  2. Selecione Problemas de desempenho.

    Opção de problemas de desempenho.

  3. Aguarde a execução do diagnóstico e interprete os resultados.

    Resultados diagnósticos.

Se a manutenção ocorreu durante a perda de pacotes ou latência, isso pode ter contribuído para problemas de conectividade. Siga as etapas recomendadas e considere atualizar o SKU do gateway de rede virtual para oferecer suporte a uma taxa de transferência mais alta e evitar problemas futuros.

Próximos passos

Para obter mais informações ou ajuda, consulte os seguintes links: