ExpressRoute-connectiviteit controleren

Samenvatting

Dit artikel helpt u bij het controleren en oplossen van problemen met Azure ExpressRoute connectiviteit. ExpressRoute breidt een on-premises netwerk uit naar de Microsoft Cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. ExpressRoute-connectiviteit omvat drie verschillende netwerkzones:

  • Klantnetwerk
  • Providernetwerk
  • Microsoft-datacenter

Opmerking

In het ExpressRoute Direct-connectiviteitsmodel kunt u rechtstreeks verbinding maken met de poort voor MSEE-routers (Microsoft Enterprise Edge). Dit model bevat alleen uw netwerk en de Microsoft-netwerkzones.

Dit artikel helpt u bij het identificeren van verbindingsproblemen en het zoeken naar ondersteuning van het juiste team om ze op te lossen.

Belangrijk

Dit artikel helpt u bij het vaststellen en oplossen van eenvoudige problemen. Het is geen vervanging voor Microsoft-ondersteuning. Als u een probleem niet kunt oplossen met behulp van deze richtlijnen, opent u een ondersteuningsticket met Microsoft Ondersteuning.

Overzicht

In het volgende diagram ziet u de logische connectiviteit van een klantnetwerk met het Microsoft-netwerk via ExpressRoute. 1

In het diagram geven de getallen de belangrijkste netwerkpunten aan:

  1. Rekenapparaat van de klant (bijvoorbeeld een server of pc).
  2. Edge-routers voor klanten (CE's).
  3. Edge-routers/switches van provider (PE's) die gericht zijn op edge-routers van klanten.
  4. PE’s die zijn gericht op Microsoft Enterprise Edge ExpressRoute-routers (MSEEs), aangeduid als PE-MSEEs.
  5. MSE's.
  6. Virtuele netwerkgateway.
  7. Rekenapparaat op het Azure virtuele netwerk.

In dit artikel wordt naar deze netwerkpunten verwezen op basis van het bijbehorende nummer.

Afhankelijk van het ExpressRoute-connectiviteitsmodel zijn netwerkpunten 3 en 4 mogelijk switches (laag 2-apparaten) of routers (laag 3-apparaten). De connectiviteitsmodellen zijn colocatie voor clouduitwisseling, point-to-point Ethernet-verbinding of any-to-any (IPVPN).

In het model voor directe connectiviteit bevat de architectuur geen netwerkpunten 3 en 4. In plaats daarvan maken CE's (2) rechtstreeks verbinding met MSEEs via donkere vezels.

Als u het cloudexchange-colocatie-, punt-naar-punt-Ethernet- of model voor directe connectiviteit gebruikt, zetten CE's (2) BGP-peering op met MSEEs (5).

Als u het any-to-any-connectiviteitsmodel (IPVPN) gebruikt, brengen PE-MSEEs (4) een BGP-peering tot stand met MSEEs (5). PE-MSEEs geven de van Microsoft ontvangen routes door aan het klantnetwerk via het netwerk van de IPVPN-serviceprovider.

Opmerking

Voor hoge beschikbaarheid brengt Microsoft volledig redundante parallelle connectiviteit tot stand tussen MSEE en PE-MSEE paren. U moet ook een volledig redundant parallel netwerkpad maken tussen het klantnetwerk en PE/CE-paren. Zie Ontwerpen voor hoge beschikbaarheid met ExpressRoute voor meer informatie over hoge beschikbaarheid.

De volgende secties vertegenwoordigen de logische stappen voor het oplossen van problemen met een ExpressRoute-circuit.

Circuitinrichting en -status controleren

Als u een ExpressRoute-circuit inricht, wordt een redundante laag 2-verbinding tot stand gebracht tussen CE's/PE-MSEEs (2/4) en MSEE's (5). Zie Een ExpressRoute-circuit maken, wijzigen, inrichten en controleren voor meer informatie over het maken, wijzigen, inrichten en controleren van een ExpressRoute-circuit.

Aanbeveling

Een servicesleutel identificeert een ExpressRoute-circuit op unieke wijze. Als u hulp nodig hebt van Microsoft of een ExpressRoute-partner om een probleem op te lossen, geeft u de servicesleutel op om het circuit gemakkelijk te identificeren.

Verificatie via de Azure-portal

Ga in de Azure-portal naar de pagina voor uw ExpressRoute-circuit. De sectie 3 op de pagina bevat de basisgegevens van ExpressRoute, zoals weergegeven in de volgende schermafbeelding:

4

In de Essentials van ExpressRoute geeft Circuitstatus de status van het circuit aan de Microsoft kant weer en Providerstatus geeft aan of de serviceprovider het circuit heeft ingericht.

Om een ExpressRoute-circuit operationeel te maken, moet de circuitstatus zijn ingeschakeld en moet de providerstatus worden ingericht.

Opmerking

Als Circuitstatus blijft hangen in Opgeslagen, neemt u contact op met Microsoft Ondersteuning. Als de providerstatus is vastgelopen in Niet ingericht, neemt u contact op met uw serviceprovider.

Verificatie via PowerShell

Gebruik de volgende opdracht om alle ExpressRoute-circuits in een resourcegroep weer te geven:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Aanbeveling

Als u de naam van een resourcegroep wilt vinden, gebruikt u de Get-AzResourceGroup opdracht om alle resourcegroepen in uw abonnement weer te geven.

Gebruik de volgende opdracht om details van een specifiek ExpressRoute-circuit in een resourcegroep op te halen:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Hieronder volgt een voorbeeld van een antwoord:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Als u wilt controleren of een ExpressRoute-circuit operationeel is, controleert u of de volgende velden correct zijn ingesteld:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Opmerking

Als Circuitstatus blijft hangen in Opgeslagen, neemt u contact op met Microsoft Ondersteuning. Als de providerstatus is vastgelopen in Niet ingericht, neemt u contact op met uw serviceprovider.

Peering-configuratie valideren

Nadat de serviceprovider het ExpressRoute-circuit heeft ingesteld, kunt u meerdere routeringsconfiguraties maken die gebruikmaken van externe BGP (eBGP) via het circuit tussen CEs/MSEE-PEs (2/4) en MSEEs (5). Elk ExpressRoute-circuit kan een of beide van de volgende peeringconfiguraties hebben:

  • Azure privépeering: voor verkeer naar particuliere virtuele netwerken in Azure
  • Microsoft-peering: voor verkeer naar openbare eindpunten van PaaS (Platform as a Service) en Software as a Service (SaaS)

Zie Routering maken en wijzigen voor een ExpressRoute-circuit voor meer informatie over het maken en wijzigen van routeringsconfiguraties.

Verificatie via de Azure-portal

Opmerking

In een IPVPN-connectiviteitsmodel verwerken serviceproviders de verantwoordelijkheid voor het configureren van de peerings (laag 3-services). Als de peering leeg is in de portal nadat de serviceprovider deze heeft geconfigureerd, vernieuwt u de circuitconfiguratie met behulp van de knop Vernieuwen in de portal. Met deze bewerking wordt de huidige routeringsconfiguratie opgehaald uit uw circuit.

In de Azure-portal kunt u de status van een ExpressRoute-circuit controleren op de pagina. In de sectie 3 worden de ExpressRoute-peerings weergegeven, zoals wordt weergegeven in de volgende schermopname:

5

In het voorgaande voorbeeld is Azure-privépeering ingericht, maar Azure-openbare peering en Microsoft-peering zijn dat niet. Een succesvol ingerichte peeringcontext vermeldt ook de primaire en secundaire punt-naar-punt-subnetten. De /30-subnetten worden gebruikt voor de interface-IP-adressen van de MSEEs en CEs/PE-MSEEs. De vermelding geeft ook aan wie de configuratie het laatst heeft gewijzigd.

Opmerking

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de VlanId, AzureASNen PeerASN waarden op de MSA's overeenkomen met die op de gekoppelde CE/PE-MSEE.

Als u MD5-hashing kiest, moet u ervoor zorgen dat de gedeelde sleutel gelijk is aan zowel MSEE- als CE/PE-MSEE paren. Om veiligheidsredenen worden eerder geconfigureerde gedeelde sleutels niet weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Opmerking

Op een /30-subnet dat is toegewezen voor de interface, gebruikt Microsoft het tweede bruikbare IP-adres voor de MSEE-interface. Zorg ervoor dat u het eerste bruikbare IP-adres toewijst aan de gekoppelde CE/PE-MSEE.

Verificatie via PowerShell

Gebruik de volgende opdrachten om de configuratiedetails voor Azure persoonlijke peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Hier volgt een voorbeeldantwoord voor een succesvol geconfigureerde privépeering:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Een peeringcontext die succesvol is ingeschakeld bevat de primaire en secundaire adresvoorvoegsels. De /30-subnetten worden gebruikt voor de interface-IP-adressen van de MSEEs en CEs/PE-MSEEs.

Gebruik de volgende opdrachten om de configuratiedetails voor Microsoft-peering op te halen:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Als een peering niet is geconfigureerd, wordt er een foutbericht weergegeven. Hier volgt een voorbeeld van een antwoord wanneer de vermelde peering niet is geconfigureerd binnen het circuit:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Opmerking

Als het inschakelen van een peering mislukt, controleert u of de toegewezen primaire en secundaire subnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Controleer ook of de VlanId, AzureASNen PeerASN waarden op de MSA's overeenkomen met die op de gekoppelde CE/PE-MSEE.

Als u MD5-hashing kiest, moet u ervoor zorgen dat de gedeelde sleutel gelijk is aan zowel MSEE- als CE/PE-MSEE paren. Om veiligheidsredenen worden eerder geconfigureerde gedeelde sleutels niet weergegeven.

Als u een van deze configuraties op een MSEE-router wilt wijzigen, raadpleegt u Routering voor een ExpressRoute-circuit maken en wijzigen.

Opmerking

Op een /30-subnet dat is toegewezen voor de interface, gebruikt Microsoft het tweede bruikbare IP-adres voor de MSEE-interface. Zorg ervoor dat u het eerste bruikbare IP-adres toewijst aan de gekoppelde CE/PE-MSEE.

ARP valideren

De ARP-tabel (Address Resolution Protocol) koppelt het IP-adres aan het MAC-adres voor bepaalde peering. De ARP-tabel voor een ExpressRoute-circuitpeering biedt de volgende informatie voor elke interface (primair en secundair):

  • Toewijzing van het IP-adres van de on-premises routerinterface aan het MAC-adres
  • Toewijzing van het IP-adres voor de ExpressRoute-routerinterface aan het MAC-adres (optioneel)
  • Leeftijd van de mapping

ARP-tabellen helpen u laag 2-configuratie te valideren en algemene problemen met laag 2-verbindingen op te lossen.

Opmerking

Afhankelijk van het hardwareplatform kunnen de ARP-resultaten variëren en worden alleen de on-premises interface weergegeven.

Zie Getting ARP-tabellen in het Resource Manager-implementatiemodel voor meer informatie over het weergeven van de ARP-tabel van een ExpressRoute-peering en het gebruik van de informatie om verbindingsproblemen met laag 2 op te lossen.

BGP en routes valideren op de MSEE

Gebruik de volgende opdracht om de routeringstabel op te halen uit de MSEE op het primaire pad voor de privérouteringscontext:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

Voorbeeldantwoord:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Opmerking

Als de eBGP-peeringstatus tussen een MSEE en een CE/PE-MSEE actief of inactief is, controleert u of de primaire en secundaire peersubnetten overeenkomen met de configuratie op de gekoppelde CE/PE-MSEE. Zorg ervoor dat de VlanId, AzureASNen PeerASN waarden juist zijn voor de MSA's en dat deze waarden overeenkomen met de gekoppelde CE/PE-MSEE. Als u MD5-hashing gebruikt, moet de gedeelde sleutel gelijk zijn aan zowel MSEE- als CE/PE-MSEE paren. Zie Routering voor een ExpressRoute-circuit maken en wijzigen voor configuratiewijzigingen op een MSEE-router.

Opmerking

Als bepaalde bestemmingen onbereikbaar zijn via een peering, controleert u de MSEE-routetabel voor de bijbehorende peeringcontext. Als er een overeenkomend voorvoegsel aanwezig is, moet u ervoor zorgen dat er geen firewalls, netwerkbeveiligingsgroepen of ACL's het verkeer blokkeren.

Voorbeeldantwoord voor een niet-bestaand peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

De verkeersstroom bevestigen

Gebruik de volgende opdracht om verkeersstatistieken (bytes in en uit) voor een peeringcontext op te halen:

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

Voorbeelduitvoer:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

Voorbeelduitvoer voor niet-bestaande peering:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

Test de connectiviteit van private peering

Test de connectiviteit van private peering door te tellen hoeveel pakketten aankomen bij en vertrekken van de Microsoft-edge van uw ExpressRoute-circuit op de MSEE-apparaten. Dit diagnostische hulpprogramma maakt gebruik van een ACL om pakketten te tellen die specifieke regels bereiken, waardoor de connectiviteit wordt bevestigd.

Een test uitvoeren

  1. Selecteer in de Azure-portal Problemen diagnosticeren en oplossen van uw ExpressRoute-circuit.

  2. Selecteer Connectiviteits- en prestatieproblemen.

  3. Selecteer in de vervolgkeuzelijst Vertel ons meer over het probleem dat u ondervindt de optie Problemen met Private peering.

  4. Klap de sectie Private-peeringconnectiviteit testen uit.

  5. Voer de test PsPing uit vanaf uw on-premises IP naar uw Azure IP en houd deze tijdens de test actief.

  6. Vul de formuliervelden in met dezelfde IP-adressen die in stap 5 worden gebruikt en selecteer vervolgens Verzenden en wachten op resultaten.

    Schermopname van het testformulier voor privépeeringsconnectiviteit in Azure portal diagnostics.

Resultaten interpreteren

Bekijk de resultaten voor de primaire en secundaire MSEE-apparaten:

  • Matches verzonden en ontvangen op beide MSEEs: Geeft gezond inkomend en uitgaand verkeer aan. Enig verlies is downstream van de MSEEs.

  • Ontvangen overeenkomsten, maar geen verzonden overeenkomsten: Verkeer bereikt Azure maar keert niet terug. Controleer problemen met retourroute.

  • Sent-overeenkomsten maar geen ontvangen overeenkomsten: Verkeer bereikt on-premises, maar keert niet terug naar Azure. Werk samen met uw provider om dit op te lossen.

  • Eén MSEE toont geen overeenkomsten, de andere geeft goede overeenkomsten weer: Geeft aan dat één MSEE geen verkeer ontvangt of doorgeeft. Het is mogelijk offline.

  • Als u PsPing test van on-premises naar Azure, worden resultaten weergegeven, maar verzonden resultaten geven geen overeenkomsten weer: dit resultaat geeft aan dat verkeer binnenkomt in Azure maar niet terugkeert naar on-premises. Controleer op routeringsproblemen met retourpaden. Probeert u bijvoorbeeld de juiste voorvoegsels bekend te maken aan Azure? Overschrijft een door de gebruiker gedefinieerde route (UDR) prefixen?

  • Als u PsPing van Azure naar on-premises test, geven verzonden resultaten overeenkomsten aan, maar ontvangen resultaten wijzen op geen overeenkomsten: Dit resultaat duidt erop dat het verkeer naar on-premises binnenkomt, maar niet naar Azure teruggaat. Werk samen met uw provider om erachter te komen waarom verkeer niet wordt doorgestuurd naar Azure via uw ExpressRoute-circuit.

  • Eén MSEE toont geen overeenkomsten, maar de andere bevat goede overeenkomsten: Dit resultaat geeft aan dat één MSEE geen verkeer ontvangt of doorgeeft. Het kan offline zijn (bijvoorbeeld BGP/ARP is offline).

    • U kunt extra testactiviteiten uitvoeren om het niet-gezonde pad te bevestigen door een unieke /32 route voor interne netwerken te adverteren via de BGP-sessie op dit pad.
    • Voer 'Test your private peering connectivity' uit met behulp van het unieke /32 geadverteerd als het on-premises doeladres en bekijk de resultaten om de padstatus te bevestigen.

De testresultaten voor elk MSEE-apparaat zien eruit als in het volgende voorbeeld:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Beschikbaarheid van de gateway van het virtuele netwerk controleren

De gateway van het virtuele ExpressRoute-netwerk beheert de connectiviteit met private link-services en privé-IP-adressen in een Azure virtueel netwerk. Microsoft beheert deze infrastructuur en kan onderhoud uitvoeren, wat de prestaties kan verminderen.

Om verbindingsproblemen op te lossen en te controleren op recent onderhoud:

  1. Selecteer in de Azure-portal Problemen diagnosticeren en oplossen van uw ExpressRoute-circuit.

  2. Prestatieproblemen selecteren.

  3. Wacht tot diagnostische gegevens worden uitgevoerd en de resultaten worden geïnterpreteerd.

    Schermopname van diagnostische resultaten van virtuele netwerkgateway voor prestatieproblemen met ExpressRoute.

Als er onderhoud plaatsvindt tijdens pakketverlies of latentie, kan dit bijdragen aan connectiviteitsproblemen. Volg de aanbevolen stappen en overweeg om de gateway-SKU van het virtuele netwerk te upgraden om hogere doorvoer te ondersteunen en toekomstige problemen te voorkomen.

Volgende stappen

Zie de volgende koppelingen voor meer informatie of help:

  • Last updated on