Dela via

Kontrollera ExpressRoute-anslutningen

  • Artikel

Den här artikeln hjälper dig att verifiera och felsöka Azure ExpressRoute-anslutning. ExpressRoute utökar ett lokalt nätverk till Microsoft Cloud via en privat anslutning som underlättas av en anslutningsleverantör. ExpressRoute-anslutning omfattar tre distinkta nätverkszoner:

  • Kundnätverk
  • Providernätverk
  • Microsofts datacenter

Kommentar

I ExpressRoute Direct-anslutningsmodellen kan du ansluta direkt till porten för Microsoft Enterprise Edge-routrar (MSEE). Den här modellen innehåller endast ditt nätverk och Microsofts nätverkszoner.

Den här artikeln hjälper dig att identifiera anslutningsproblem och söka support från lämpligt team för att lösa dem.

Viktigt!

Den här artikeln är avsedd att hjälpa dig att diagnostisera och åtgärda enkla problem. Det är inte en ersättning för Microsoft-support. Om du inte kan lösa ett problem med hjälp av den här vägledningen öppnar du ett supportärende med Microsoft Support.

Översikt

Följande diagram visar den logiska anslutningen för ett kundnätverk till Microsoft-nätverket via ExpressRoute. 1

I diagrammet visar siffrorna viktiga nätverkspunkter:

  1. Kundens beräkningsenhet (till exempel en server eller dator).
  2. Kundgränsroutrar (CE).
  3. Provider edge-routrar/växlar (PEs) mot kundkantroutrar.
  4. PEs som är riktade mot Microsoft Enterprise Edge ExpressRoute-routrar (MSEE), kallas PE-MSEEs.
  5. MSEEs.
  6. Virtuell nätverksgateway.
  7. Beräkningsenhet i det virtuella Azure-nätverket.

Dessa nätverkspunkter refereras till av deras associerade nummer i hela artikeln.

Beroende på ExpressRoute-anslutningsmodellen kan nätverkspunkterna 3 och 4 vara växlar (nivå 2-enheter) eller routrar (nivå 3-enheter). Anslutningsmodellerna är samlokalisering av molnutbyte, punkt-till-punkt-Ethernet-anslutning eller valfri (IPVPN).

I direktanslutningsmodellen finns det inga nätverkspunkter 3 och 4. I stället är CEs (2) direkt anslutna till MSEE via mörk fiber.

Om molnutbytessamlokalisering, punkt-till-punkt-Ethernet eller direktanslutningsmodell används, upprättar CE:er (2) BGP-peering (Border Gateway Protocol) med MSEEs (5).

Om anslutningsmodellen alla-till-alla (IPVPN) används upprättar PE-MSEEs (4) BGP-peering med MSEEs (5). PE-MSEEs sprider de vägar som tas emot från Microsoft tillbaka till kundnätverket via IPVPN-nätverkets tjänstprovider.

Kommentar

För hög tillgänglighet etablerar Microsoft en fullständigt redundant parallell anslutning mellan MSEE- och PE-MSEE-par. En fullständigt redundant parallell nätverkssökväg uppmuntras också mellan kundnätverket och PE/CE-par. Mer information om hög tillgänglighet finns i Designa för hög tillgänglighet med ExpressRoute.

Följande avsnitt representerar de logiska stegen i felsökningen av en ExpressRoute-krets.

Verifiera kretsetablering och tillstånd

Etablering av en ExpressRoute-krets upprättar en redundant layer 2-anslutning mellan CEs/PE-MSEEs (2/4) och MSEEs (5). Mer information om hur du skapar, ändrar, etablerar och verifierar en ExpressRoute-krets finns i Skapa och ändra en ExpressRoute-krets.

Dricks

En tjänstnyckel identifierar unikt en ExpressRoute-krets. Om du behöver hjälp från Microsoft eller en ExpressRoute-partner för att felsöka ett problem anger du tjänstnyckeln för att enkelt identifiera kretsen.

Verifiering via Azure Portal

I Azure Portal navigerar du till sidan för Din ExpressRoute-krets. I 3 avsnittet på sidan visas expressroute-grunderna, som du ser på följande skärmbild:

4

I ExpressRoute Essentials anger kretsstatus statusen för kretsen på Microsoft-sidan och Providerstatus anger om kretsen har etablerats av tjänstleverantören.

För att en ExpressRoute-krets ska vara operativ måste Kretsstatus vara Aktiverad och Leverantörsstatus måste vara Etablerad.

Kommentar

Om Kretsstatus har fastnat i Inte aktiverat kontaktar du Microsoft Support. Om providerstatusen har fastnat i Inte etablerad kontaktar du din tjänstleverantör.

Verifiering via PowerShell

Om du vill visa en lista över alla ExpressRoute-kretsar i en resursgrupp använder du följande kommando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Dricks

Om du vill hitta namnet på en resursgrupp använder du Get-AzResourceGroup kommandot för att visa en lista över alla resursgrupper i din prenumeration.

Om du vill få information om en specifik ExpressRoute-krets i en resursgrupp använder du följande kommando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Här är ett exempel:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Kontrollera att en ExpressRoute-krets är i drift genom att kontrollera att följande fält har angetts korrekt:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Kommentar

Om Kretsstatus har fastnat i Inte aktiverat kontaktar du Microsoft Support. Om providerstatusen har fastnat i Inte etablerad kontaktar du din tjänstleverantör.

Validera peering-konfiguration

När tjänstleverantören har etablerat ExpressRoute-kretsen kan du skapa flera routningskonfigurationer med hjälp av extern BGP (eBGP) över kretsen mellan CEs/MSEE-PEs (2/4) och MSEEs (5). Varje ExpressRoute-krets kan ha en eller båda av följande peeringkonfigurationer:

  • Privat Peering i Azure: för trafik till privata virtuella nätverk i Azure
  • Microsoft-peering: för trafik till offentliga slutpunkter för plattform som en tjänst (PaaS) och programvara som en tjänst (SaaS)

Mer information om hur du skapar och ändrar routningskonfigurationer finns i Skapa och ändra routning för en ExpressRoute-krets.

Verifiering via Azure Portal

Kommentar

I en IPVPN-anslutningsmodell hanterar tjänstleverantörer ansvaret för att konfigurera peerings (layer 3-tjänster). Om peering är tom i portalen efter att tjänstleverantören har konfigurerat den kan du prova att uppdatera kretskonfigurationen med hjälp av uppdateringsknappen på portalen. Den här åtgärden hämtar den aktuella routningskonfigurationen från kretsen.

I Azure Portal kan du kontrollera statusen för en ExpressRoute-krets på sidan. I 3 avsnittet visas ExpressRoute-peerings, enligt följande skärmbild:

5

I föregående exempel etableras privat Peering i Azure, men offentliga Azure- och Microsoft-peerings är inte det. En etablerad peeringkontext visar också de primära och sekundära punkt-till-punkt-undernäten. Undernäten /30 används för gränssnitts-IP-adresserna för MSEEs och CEs/PE-MSEEs. Listan anger också vem som senast ändrade konfigurationen.

Kommentar

Om det inte går att aktivera en peering kontrollerar du om de tilldelade primära och sekundära undernäten matchar konfigurationen på den länkade CE/PE-MSEE. Kontrollera också att VlanIdvärdena , AzureASNoch PeerASN på MSEE:erna matchar värdena i den länkade CE/PE-MSEE.

Om MD5-hashning väljs kontrollerar du att den delade nyckeln är densamma för både MSEE- och CE/PE-MSEE-par. Tidigare konfigurerade delade nycklar visas inte av säkerhetsskäl.

Om du behöver ändra någon av dessa konfigurationer på en MSEE-router kan du läsa Skapa och ändra routning för en ExpressRoute-krets.

Kommentar

I ett /30-undernät som tilldelats för gränssnittet använder Microsoft den andra användbara IP-adressen för MSEE-gränssnittet. Se till att den första användbara IP-adressen har tilldelats till peer-kopplade CE/PE-MSEE.

Verifiering via PowerShell

Använd följande kommandon för att hämta konfigurationsinformationen för privat Azure-peering:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Här är ett exempel på ett svar för en privat peering som har konfigurerats:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

I en peeringkontext som har aktiverats visas de primära och sekundära adressprefixen. Undernäten /30 används för gränssnitts-IP-adresserna för MSEEs och CEs/PE-MSEEs.

Använd följande kommandon för att hämta konfigurationsinformationen för Microsoft-peering:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Om en peering inte har konfigurerats får du ett felmeddelande. Här är ett exempel på ett svar när den angivna peeringen inte har konfigurerats i kretsen:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Kommentar

Om det inte går att aktivera en peering kontrollerar du om de tilldelade primära och sekundära undernäten matchar konfigurationen på den länkade CE/PE-MSEE. Kontrollera också att VlanIdvärdena , AzureASNoch PeerASN på MSEE:erna matchar värdena i den länkade CE/PE-MSEE.

Om MD5-hashning väljs kontrollerar du att den delade nyckeln är densamma för både MSEE- och CE/PE-MSEE-par. Tidigare konfigurerade delade nycklar visas inte av säkerhetsskäl.

Om du behöver ändra någon av dessa konfigurationer på en MSEE-router kan du läsa Skapa och ändra routning för en ExpressRoute-krets.

Kommentar

I ett /30-undernät som tilldelats för gränssnittet använder Microsoft den andra användbara IP-adressen för MSEE-gränssnittet. Se till att den första användbara IP-adressen har tilldelats till peer-kopplade CE/PE-MSEE.

Verifiera ARP

Tabellen ARP-protokollet (Address Resolution Protocol) ger en mappning av IP-adressen och MAC-adressen för en specifik peer-koppling. ARP-tabellen för en ExpressRoute peer-koppling av krets innehåller följande information för varje gränssnitt (primärt och sekundärt):

  • Mappning av IP-adressen för det lokala routergränssnittet till MAC-adressen
  • Mappning av IP-adressen för det ExpressRoute routergränssnittet till MAC-adressen (valfritt)
  • Ålder på mappningen

ARP-tabeller kan göra det lättare att verifiera nivå 2-konfigurationen och att felsöka grundläggande nivå 2-anslutningsproblem.

Kommentar

Beroende på maskinvaruplattformen kan ARP-resultaten variera och endast visa det lokala gränssnittet.

Information om hur du visar ARP-tabellen för en ExpressRoute-peering och hur du använder informationen för att felsöka problem med layer 2-anslutning finns i Hämta ARP-tabeller i Resource Manager-distributionsmodellen.

Verifiera BGP och vägar i MSEE

Om du vill hämta routningstabellen från MSEE på den primära sökvägen för den privata routningskontexten använder du följande kommando:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

Exempelsvar:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Kommentar

Om eBGP-peeringtillståndet mellan en MSEE och en CE/PE-MSEE är aktiv eller inaktiv kontrollerar du att de primära och sekundära peer-undernäten matchar konfigurationen på den länkade CE/PE-MSEE. VlanIdKontrollera att värdena , AzureASNoch PeerASN är korrekta för MSEE:erna och matcha dem på den länkade CE/PE-MSEE. Om MD5-hashning används måste den delade nyckeln vara densamma för både MSEE- och CE/PE-MSEE-par. Konfigurationsändringar på en MSEE-router finns i Skapa och ändra routning för en ExpressRoute-krets.

Kommentar

Om vissa mål inte kan nås via en peering kontrollerar du MSEE-routningstabellen för motsvarande peeringkontext. Om det finns ett matchande prefix kontrollerar du att inga brandväggar, nätverkssäkerhetsgrupper eller ACL:er blockerar trafiken.

Exempelsvar för en obefintlig peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

Bekräfta trafikflödet

Om du vill hämta trafikstatistik (byte in och ut) för en peeringkontext använder du följande kommando:

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

Exempel på utdata>

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

Exempel på utdata för en icke-existerande peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

Testa anslutningen för privat peering

Testa den privata peeringanslutningen genom att räkna paket som anländer till och lämna Microsoft-gränsen för Din ExpressRoute-krets på MSEE-enheterna. Det här diagnostikverktyget använder en ACL för att räkna paket som träffar specifika regler, vilket bekräftar anslutningen.

Kör ett test

  1. I Azure Portal väljer du Diagnostisera och lösa problem från Din ExpressRoute-krets.

    Knappen Diagnostisera och lösa problem.

  2. Välj Anslutning och prestandaproblem.

    Alternativ för anslutningsproblem.

  3. I listrutan Berätta mer om problemet väljer du Problem med privat peering.

    Berätta mer i listrutan.

  4. Expandera avsnittet Testa privat peeringanslutning .

    Testa alternativet privat peering.

  5. Kör PsPing-testet från din lokala IP-adress till azure-IP-adressen och håll det igång under testet.

  6. Fyll i formulärfälten med samma IP-adresser som används i steg 5 och välj sedan Skicka och vänta på resultat.

    Formulär för felsökning av en ACL.

Tolka resultaten

Granska resultaten för de primära och sekundära MSEE-enheterna:

  • Matchar skickade och mottagna på båda MSEE:erna: Anger felfri trafik inkommande och utgående. Eventuella förluster är nedströms från MSEEs.

  • Mottagna matchningar men inga skickade matchningar: Trafiken når Azure men returneras inte. Kontrollera routningsproblem för return-path.

  • Skickade matchningar men inga mottagna matchningar: Trafiken når lokalt men återgår inte till Azure. Arbeta med din leverantör för att lösa problemet.

  • En MSEE visar inga matchningar, den andra visar bra matchningar: Anger att en MSEE inte tar emot eller skickar trafik. Det kan vara offline.

  • Om du testar PsPing från lokal plats till Azure visar mottagna resultat matchningar, men skickade resultat visar inga matchningar: Detta resultat anger att trafiken kommer in till Azure men inte återgår till den lokala miljön. Kontrollera om det finns routningsproblem för returvägar. Annonserar du till exempel lämpliga prefix till Azure? Är en användardefinierad väg (UDR) åsidosättande prefix?

  • Om du testar PsPing från Azure till lokalt visar skickade resultat matchningar, men mottagna resultat visar inga matchningar: Det här resultatet indikerar att trafik kommer in på plats men inte återvänder till Azure. Kontakta din leverantör för att ta reda på varför trafik inte dirigeras till Azure via din ExpressRoute-krets.

  • En MSEE visar inga matchningar, men den andra visar bra matchningar: Det här resultatet anger att en MSEE inte tar emot eller skickar någon trafik. Det kan vara offline (till exempel är BGP/ARP nere).

    • Du kan köra ytterligare tester för att bekräfta den felaktiga sökvägen genom att annonsera en unik/32 lokal väg över BGP-sessionen på den här sökvägen.
    • Kör "Testa din privata peeringanslutning" med den unika /32 som annonseras som den lokala måladressen och granska resultaten för att bekräfta sökvägens hälsotillstånd.

Testresultaten för varje MSEE-enhet ser ut som i följande exempel:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Kontrollera tillgängligheten för den virtuella nätverksgatewayen

Den virtuella ExpressRoute-nätverksgatewayen hanterar anslutningen till privata länktjänster och privata IP-adresser i ett virtuellt Azure-nätverk. Microsoft hanterar den här infrastrukturen och kan utföra underhåll, vilket minskar prestandan.

Så här felsöker du anslutningsproblem och söker efter det senaste underhållet:

  1. I Azure Portal väljer du Diagnostisera och lösa problem från Din ExpressRoute-krets.

    Knappen Diagnostisera och lösa problem.

  2. Välj Prestandaproblem.

    Alternativ för prestandaproblem.

  3. Vänta tills diagnostiken körs och tolka resultatet.

    Diagnostiska resultat.

Om underhåll inträffade under paketförlust eller svarstid kan det ha bidragit till anslutningsproblem. Följ de rekommenderade stegen och överväg att uppgradera SKU:n för den virtuella nätverksgatewayen för att stödja högre dataflöde och undvika framtida problem.

Nästa steg

Mer information eller hjälp finns på följande länkar: