この記事では、テストセットアップ のコントロールプレーン分析について説明します。 テスト セットアップの構成 とテスト セットアップのデータ プレーン分析 についてもご覧ください。
データ プレーンの分析では、あるトポロジ内の 1 つのローカル ネットワーク (LAN または仮想ネットワーク) から別のローカル ネットワークへと移動するパケットが通過したパスについて調べます。 2 つのローカル ネットワーク間のデータ パスは、必ずしも対称ではありません。 したがってこの記事では、逆方向のパスとは異なる、あるローカル ネットワークから別のネットワークへの転送パスについて分析します。
ハブ仮想ネットワークからのデータ パス
スポーク仮想ネットワークへのパス
仮想ネットワーク ピアリングは、ピアリングされている 2 つの仮想ネットワーク間のネットワーク ブリッジ機能をエミュレートします。 以下に、ハブ仮想ネットワークからスポーク仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.4
Tracing route to 10.11.30.4 over a maximum of 30 hops
1 2 ms 1 ms 1 ms 10.11.30.4
Trace complete.
次の図は、Azure Network Watcher の観点から見た、ハブ仮想ネットワークとスポーク仮想ネットワークのグラフィカル接続ビューを示しています。
ブランチ仮想ネットワークへのパス
以下に、ハブ仮想ネットワークからブランチ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.68
Tracing route to 10.11.30.68 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.10.30.142
2 * * * Request timed out.
3 2 ms 2 ms 2 ms 10.11.30.68
Trace complete.
この traceroute では、最初のホップは、ハブ仮想ネットワークの Azure VPN Gateway 内にある VPN ゲートウェイです。 2 番目のホップでは、ブランチ仮想ネットワークの VPN ゲートウェイです。 ブランチ仮想ネットワークの VPN ゲートウェイの IP アドレスは、ハブ仮想ネットワークではアドバタイズされません。 3 番目のホップは、ブランチ仮想ネットワーク上の VM です。
次の図は、Network Watcher の観点から見た、ハブ仮想ネットワークとブランチ仮想ネットワークのグラフィカル接続ビューを示しています。
同じ接続について、次の図は、Network Watcher でのグリッド ビューを示しています。
オンプレミスの場所 1 へのパス
以下に、ハブ仮想ネットワークからオンプレミスの場所 1 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.2.30.10
Tracing route to 10.2.30.10 over a maximum of 30 hops
1 2 ms 2 ms 2 ms 10.10.30.132
2 * * * Request timed out.
3 * * * Request timed out.
4 2 ms 2 ms 2 ms 10.2.30.10
Trace complete.
この traceroute では、最初のホップは、Microsoft Enterprise エッジ ルーター (MSEE) への Azure ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目と 3 番目のホップは、顧客のエッジ (CE) ルーターと、オンプレミスの場所 1 の LAN IP です。 これらの IP アドレスは、ハブ仮想ネットワークではアドバタイズされません。 4 番目のホップは、オンプレミスの場所 1 の VM です。
オンプレミスの場所 2 へのパス
以下に、ハブ仮想ネットワークからオンプレミスの場所 2 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.1.31.10
Tracing route to 10.1.31.10 over a maximum of 30 hops
1 76 ms 75 ms 75 ms 10.10.30.134
2 * * * Request timed out.
3 * * * Request timed out.
4 75 ms 75 ms 75 ms 10.1.31.10
Trace complete.
この traceroute では、最初のホップは、MSEE への ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目と 3 番目のホップは、CE ルーターと、オンプレミスの場所 2 の LAN IP です。 これらの IP アドレスは、ハブ仮想ネットワークではアドバタイズされません。 4 番目のホップは、オンプレミスの場所 2 の VM です。
リモート仮想ネットワークへのパス
以下に、ハブ仮想ネットワークからリモート仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.17.30.4
Tracing route to 10.17.30.4 over a maximum of 30 hops
1 2 ms 2 ms 2 ms 10.10.30.132
2 * * * Request timed out.
3 69 ms 68 ms 69 ms 10.17.30.4
Trace complete.
この traceroute では、最初のホップは、MSEE への ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目のホップは、リモート仮想ネットワークのゲートウェイ IP です。 2 番目のホップの IP 範囲は、ハブ仮想ネットワークではアドバタイズされません。 3 番目のホップは、リモート仮想ネットワーク上の VM です。
スポーク仮想ネットワークからのデータ パス
スポーク仮想ネットワークは、ハブ仮想ネットワークのネットワーク ビューを共有します。 スポーク仮想ネットワークは仮想ネットワーク ピアリングを介して、スポーク仮想ネットワークに直接接続されているかのように、ハブ仮想ネットワークのリモート ゲートウェイ接続を使用します。
ハブ仮想ネットワークへのパス
以下に、スポーク仮想ネットワークからハブ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.10.30.4
Trace complete.
ブランチ仮想ネットワークへのパス
以下に、スポーク仮想ネットワークからブランチ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.68
Tracing route to 10.11.30.68 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 10.10.30.142
2 * * * Request timed out.
3 3 ms 2 ms 2 ms 10.11.30.68
Trace complete.
この traceroute では、最初のホップは、ハブ仮想ネットワークの VPN ゲートウェイです。 2 番目のホップでは、ブランチ仮想ネットワークの VPN ゲートウェイです。 ブランチ仮想ネットワークの VPN ゲートウェイの IP アドレスは、ハブ/スポーク仮想ネットワーク内ではアドバタイズされません。 3 番目のホップは、ブランチ仮想ネットワーク上の VM です。
オンプレミスの場所 1 へのパス
以下に、スポーク仮想ネットワークからオンプレミスの場所 1 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.2.30.10
Tracing route to 10.2.30.10 over a maximum of 30 hops
1 24 ms 2 ms 3 ms 10.10.30.132
2 * * * Request timed out.
3 * * * Request timed out.
4 3 ms 2 ms 2 ms 10.2.30.10
Trace complete.
この traceroute では、最初のホップは、ハブ仮想ネットワークの、MSEE への ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目と 3 番目のホップは、CE ルーターと、オンプレミスの場所 1 の LAN IP です。 これらの IP アドレスは、ハブ/スポーク仮想ネットワークではアドバタイズされません。 4 番目のホップは、オンプレミスの場所 1 の VM です。
オンプレミスの場所 2 へのパス
以下に、スポーク仮想ネットワークからオンプレミスの場所 2 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.1.31.10
Tracing route to 10.1.31.10 over a maximum of 30 hops
1 76 ms 75 ms 76 ms 10.10.30.134
2 * * * Request timed out.
3 * * * Request timed out.
4 75 ms 75 ms 75 ms 10.1.31.10
Trace complete.
この traceroute では、最初のホップは、ハブ仮想ネットワークの、MSEE への ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目と 3 番目のホップは、CE ルーターと、オンプレミスの場所 2 の LAN IP です。 これらの IP アドレスは、ハブ/スポーク VNet ではアドバタイズされません。 4 番目のホップは、オンプレミスの場所 2 の VM です。
リモート仮想ネットワークへのパス
以下に、スポーク仮想ネットワークからリモート仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.17.30.4
Tracing route to 10.17.30.4 over a maximum of 30 hops
1 2 ms 1 ms 1 ms 10.10.30.133
2 * * * Request timed out.
3 71 ms 70 ms 70 ms 10.17.30.4
Trace complete.
この traceroute では、最初のホップは、ハブ仮想ネットワークの、MSEE への ExpressRoute ゲートウェイ トンネル エンドポイントです。 2 番目のホップは、リモート仮想ネットワークのゲートウェイ IP です。 2 番目のホップの IP 範囲は、ハブ/スポーク仮想ネットワークではアドバタイズされません。 3 番目のホップは、リモート仮想ネットワーク上の VM です。
ブランチ仮想ネットワークからのデータ パス
ハブ仮想ネットワークへのパス
以下に、ブランチ仮想ネットワークからハブ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Windows\system32>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.11.30.100
2 * * * Request timed out.
3 4 ms 3 ms 3 ms 10.10.30.4
Trace complete.
この traceroute では、最初のホップは、ブランチ仮想ネットワークの VPN ゲートウェイです。 2 番目のホップでは、ハブ仮想ネットワークの VPN ゲートウェイです。 ハブ仮想ネットワークの VPN ゲートウェイの IP アドレスは、リモート仮想ネットワークではアドバタイズされません。 3 番目のホップは、ハブ仮想ネットワーク上の VM です。
スポーク仮想ネットワークへのパス
以下に、ブランチ仮想ネットワークからスポーク仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.4
Tracing route to 10.11.30.4 over a maximum of 30 hops
1 1 ms <1 ms 1 ms 10.11.30.100
2 * * * Request timed out.
3 4 ms 3 ms 2 ms 10.11.30.4
Trace complete.
この traceroute では、最初のホップは、ブランチ仮想ネットワークの VPN ゲートウェイです。 2 番目のホップでは、ハブ仮想ネットワークの VPN ゲートウェイです。 ハブ仮想ネットワークの VPN ゲートウェイの IP アドレスは、リモート仮想ネットワークではアドバタイズされません。 3 番目のホップは、スポーク仮想ネットワーク上の VM です。
オンプレミスの場所 1 へのパス
以下に、ブランチ仮想ネットワークからオンプレミスの場所 1 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.2.30.10
Tracing route to 10.2.30.10 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 10.11.30.100
2 * * * Request timed out.
3 3 ms 2 ms 2 ms 10.2.30.125
4 * * * Request timed out.
5 3 ms 3 ms 3 ms 10.2.30.10
Trace complete.
この traceroute では、最初のホップは、ブランチ仮想ネットワークの VPN ゲートウェイです。 2 番目のホップでは、ハブ仮想ネットワークの VPN ゲートウェイです。 ハブ仮想ネットワークの VPN ゲートウェイの IP アドレスは、リモート仮想ネットワークではアドバタイズされません。 3 番目のホップは、プライマリ CE ルーター上の VPN トンネルの終了ポイントです。 4 番目のホップは、オンプレミスの場所 1 の内部 IP アドレスです。 この LAN IP アドレスは、CE ルーターの外部ではアドバタイズされません。 5 番目のホップは、オンプレミスの場所 1 の宛先 VM です。
オンプレミスの場所 2 およびリモート仮想ネットワークへのパス
コントロール プレーンの分析で説明しているように、ネットワーク構成に従って、ブランチ仮想ネットワークにはオンプレミスの場所 2 やリモート仮想ネットワークへの可視性がありません。 次の ping の結果によって以下を確認します。
C:\Users\rb>ping 10.1.31.10
Pinging 10.1.31.10 with 32 bytes of data:
Request timed out.
...
Request timed out.
Ping statistics for 10.1.31.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
C:\Users\rb>ping 10.17.30.4
Pinging 10.17.30.4 with 32 bytes of data:
Request timed out.
...
Request timed out.
Ping statistics for 10.17.30.4:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
オンプレミスの場所 1 からのデータ パス
ハブ仮想ネットワークへのパス
以下に、オンプレミスの場所 1 からハブ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.2.30.3
2 <1 ms <1 ms <1 ms 192.168.30.0
3 <1 ms <1 ms <1 ms 192.168.30.18
4 * * * Request timed out.
5 2 ms 2 ms 2 ms 10.10.30.4
Trace complete.
この traceroute では、最初の 2 つのホップはオンプレミス ネットワークの一部です。 3 番目のホップは、CE ルーターに接続するプライマリ MSEE インターフェイスです。 4 番目のホップは、ハブ仮想ネットワークの ExpressRoute ゲートウェイです。 ハブ仮想ネットワークの ExpressRoute ゲートウェイの IP 範囲は、オンプレミス ネットワークにアドバタイズされません。 5 番目のホップは宛先 VM です。
Network Watcher で提供されるビューは、Azure を中心としたものだけです。 オンプレミスの観点については、Azure Network Performance Monitor を使用します。 Network Performance Monitor は、データ パス分析のために、Azure 外のネットワークにあるサーバーにインストールできるエージェントを提供します。
次の図は、オンプレミスの場所 1 の VM から ExpressRoute を介してハブ仮想ネットワーク上の VM に接続するトポロジのビューを示しています。
前述したように、テスト セットアップでは、サイト間 VPN を、オンプレミスの場所 1 とハブ仮想ネットワーク間の ExpressRoute のバックアップ接続として使用しています。 バックアップ データ パスをテストするために、オンプレミスの場所 1 のプライマリ CE ルーターと、対応する MSEE の間で、ExpressRoute のリンク障害を発生させてみましょう。 ExpressRoute のリンク障害を発生させるには、MSEE に接続している CE インターフェイスをシャット ダウンします。
C:\Users\rb>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.2.30.3
2 <1 ms <1 ms <1 ms 192.168.30.0
3 3 ms 2 ms 3 ms 10.10.30.4
Trace complete.
オンプレミスの場所 1 VM 接続のトポロジ ビューを次の図に示します。 この接続は、ハブ仮想ネットワーク上の VM に確立されます。 この接続は、ExpressRoute 接続がダウンしたときにサイト間 VPN 接続を介して実現されます。
スポーク仮想ネットワークへのパス
以下に、オンプレミスの場所 1 からスポーク仮想ネットワーク内の VM への traceroute 出力を示します。
スポーク仮想ネットワークに向うデータ パスの分析を行うため、ExpressRoute のプライマリ接続を元に戻しましょう。
C:\Users\rb>tracert 10.11.30.4
Tracing route to 10.11.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.2.30.3
2 <1 ms <1 ms <1 ms 192.168.30.0
3 <1 ms <1 ms <1 ms 192.168.30.18
4 * * * Request timed out.
5 3 ms 2 ms 2 ms 10.11.30.4
Trace complete.
残りのデータ パス分析のために、プライマリの ExpressRoute 1 接続を起動します。
ブランチ仮想ネットワークへのパス
以下に、オンプレミスの場所 1 からブランチ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.68
Tracing route to 10.11.30.68 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.2.30.3
2 <1 ms <1 ms <1 ms 192.168.30.0
3 3 ms 2 ms 2 ms 10.11.30.68
Trace complete.
オンプレミスの場所 2 へのパス
コントロールプレーンの分析 について説明しているように、オンプレミスの場所 1 では、ネットワーク構成ごとにオンプレミスの場所 2 を表示できません。 次の ping の結果によって以下を確認します。
C:\Users\rb>ping 10.1.31.10
Pinging 10.1.31.10 with 32 bytes of data:
Request timed out.
...
Request timed out.
Ping statistics for 10.1.31.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
リモート仮想ネットワークへのパス
以下に、オンプレミスの場所 1 からリモート仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.17.30.4
Tracing route to 10.17.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.2.30.3
2 2 ms 5 ms 7 ms 192.168.30.0
3 <1 ms <1 ms <1 ms 192.168.30.18
4 * * * Request timed out.
5 69 ms 70 ms 69 ms 10.17.30.4
Trace complete.
オンプレミスの場所 2 からのデータ パス
ハブ仮想ネットワークへのパス
以下に、オンプレミスの場所 2 からハブ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Windows\system32>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.1.31.3
2 <1 ms <1 ms <1 ms 192.168.31.4
3 <1 ms <1 ms <1 ms 192.168.31.22
4 * * * Request timed out.
5 75 ms 74 ms 74 ms 10.10.30.4
Trace complete.
スポーク仮想ネットワークへのパス
以下に、オンプレミスの場所 2 からスポーク仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Windows\system32>tracert 10.11.30.4
Tracing route to 10.11.30.4 over a maximum of 30 hops
1 <1 ms <1 ms 1 ms 10.1.31.3
2 <1 ms <1 ms <1 ms 192.168.31.0
3 <1 ms <1 ms <1 ms 192.168.31.18
4 * * * Request timed out.
5 75 ms 74 ms 74 ms 10.11.30.4
Trace complete.
ブランチ仮想ネットワーク、オンプレミスの場所 1 およびリモート仮想ネットワークへのパス
コントロールプレーンの分析で説明しているように、オンプレミスの場所 1 は、ブランチ仮想ネットワーク、オンプレミスの場所 1、またはネットワーク構成ごとのリモート仮想ネットワークを表示できません。
リモート仮想ネットワークからのデータ パス
ハブ仮想ネットワークへのパス
以下に、リモート仮想ネットワークからハブ仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.10.30.4
Tracing route to 10.10.30.4 over a maximum of 30 hops
1 65 ms 65 ms 65 ms 10.17.30.36
2 * * * Request timed out.
3 69 ms 68 ms 68 ms 10.10.30.4
Trace complete.
スポーク仮想ネットワークへのパス
以下に、リモート仮想ネットワークからスポーク仮想ネットワーク内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.11.30.4
Tracing route to 10.11.30.4 over a maximum of 30 hops
1 67 ms 67 ms 67 ms 10.17.30.36
2 * * * Request timed out.
3 71 ms 69 ms 69 ms 10.11.30.4
Trace complete.
ブランチ仮想ネットワークおよびオンプレミスの場所 2 へのパス
コントロールプレーンの分析 で説明しているように、リモート仮想ネットワークでは、ネットワーク構成ごとにブランチ仮想ネットワークまたはオンプレミスの場所 2 を表示できません。
オンプレミスの場所 1 へのパス
以下に、リモート仮想ネットワークからオンプレミスの場所 1 内の VM への traceroute 出力を示します。
C:\Users\rb>tracert 10.2.30.10
Tracing route to 10.2.30.10 over a maximum of 30 hops
1 67 ms 67 ms 67 ms 10.17.30.36
2 * * * Request timed out.
3 * * * Request timed out.
4 69 ms 69 ms 69 ms 10.2.30.10
Trace complete.
ExpressRoute とサイト間 VPN 接続の併用
ExpressRoute 上のサイト間 VPN
ExpressRoute Microsoft ピアリングを使用してサイト間 VPN を構成することにより、オンプレミス ネットワークと Azure 仮想ネットワークの間でプライベートにデータを交換することができます。 この構成を使用すれば、機密性、信頼性、整合性が確保されたデータ交換を実現できます。 また、このデータ交換には、アンチリプレイ対策も講じられています。 ExpressRoute Microsoft ピアリングを使用してトンネル モードでサイト間 IPsec VPN を構成する方法の詳細については、ExpressRoute Microsoft ピアリングでのサイト間 VPN に関するページを参照してください。
Microsoft ピアリングを使用するサイト間 VPN 構成に伴う主な制限はスループットです。 IPsec トンネル上では、VPN ゲートウェイの容量によりスループットが制限されます。 VPN ゲートウェイのスループットは、ExpressRoute のスループットよりも低くなります。 このシナリオでは、高いセキュリティが要求されるトラフィックには IPsec トンネルを使用し、それ以外のすべてのトラフィックにはプライベート ピアリングを使用すると、ExpressRoute の帯域幅使用率の最適化に役立ちます。
ExpressRoute の安全なフェールオーバー パスとしてのサイト間 VPN
ExpressRoute は、高可用性を確保する冗長回線ペアの役割を果たします。 異なる Azure リージョンで geo 冗長 ExpressRoute 接続を構成することができます。 また、このテスト セットアップで紹介したとおり、Azure リージョン内でサイト間 VPN を使用して、ExpressRoute 接続のフェールオーバー パスを作成することができます。 ExpressRoute とサイト間 VPN の両方に同じプレフィックスがアドバタイズされた場合、Azure では ExpressRoute が優先されます。 ExpressRoute とサイト間 VPN の間で非対称なルーティングを回避するために、オンプレミス ネットワークも、ExpressRoute 接続をサイト間 VPN 接続よりも優先して使用するように構成する必要があります。
ExpressRoute とサイト間 VPN が共存する接続を構成する方法の詳細については、ExpressRoute とサイト間の共存に関するページを参照してください。
バックエンドの接続性をスポーク仮想ネットワークとブランチの場所に拡張する
仮想ネットワーク ピアリングを使用したスポーク仮想ネットワーク接続性
ハブ アンド スポークの仮想ネットワーク アーキテクチャは、広く利用されています。 ハブは、Azure 内の仮想ネットワークであり、スポーク仮想ネットワークとオンプレミス ネットワークをつなぐ接続性の中央拠点として機能します。 スポークはハブとピアリングする仮想ネットワークであり、ワークロードの分離に利用できます。 オンプレミスのデータセンターとハブとの間のトラフィックは、ExpressRoute または VPN 接続を経由して送信されます。 このアーキテクチャの詳細については、「Azure にハブスポーク ネットワーク トポロジを実装する」を参照してください。
リージョン内の仮想ネットワーク ピアリングでは、スポーク仮想ネットワークはハブ仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイの両方) を使用してリモート ネットワークと通信できます。
サイト間 VPN を使用したブランチ仮想ネットワークの接続性
異なるリージョンにあるブランチ仮想ネットワークと、オンプレミス ネットワークを、ハブ仮想ネットワークを介して相互に通信させたい場合があります。 この構成に対する Azure のネイティブ ソリューションは、VPN を使用したサイト間 VPN 接続です。 その他に、ネットワーク仮想アプライアンス (NVA) をハブでのルーティングに使用する方法もあります。
詳細については、「VPN ゲートウェイとは」および高可用性 NVA のデプロイに関するページを参照してください。
次のステップ
「ExpressRoute の FAQ」を参照して以下を行います。
ExpressRoute ゲートウェイに接続できる ExpressRoute 回線の数について学習する。
ExpressRoute 回線に接続できる ExpressRoute ゲートウェイの数について学習する。
ExpressRoute のその他のスケールの制限について学習する。