ルーティングとトラフィック制御のトラブルシューティング

  • 7 分

ルーティング エラーは、仮想ネットワークの任意の場所で発生する可能性があります。また、受信トラフィックと送信トラフィックを制御する設定により、トラフィック制御に関する問題が発生します。 このユニットでは、一般的な問題のトラブルシューティングに使用できるさまざまなツールを確認します。

ユーザー定義のルーティングの問題のトラブルシューティング

ユーザー定義ルートにより、Azure の既定のルーティングが上書きされます。これは、ネットワーク仮想アプライアンス (NVA) 経由でトラフィックをルーティングするために使用されます。 主な利点は、ルーティングとファイアウォールの最適化に役立つことです。

ユーザー定義ルートを設定するための主な手順は次のとおりです。

  1. トラフィックをルーティングする NVA を作成する。

  2. ルート テーブルとルートを作成する。

  3. ルート テーブルをサブネットに関連付ける。

  4. 仮想マシンを異なるサブネットにデプロイする。

  5. NVA 経由で、あるサブネットから別のサブネットにトラフィックをルーティングする。

ユーザー定義ルートの設定時に発生する主な問題は次のとおりです。

  • パブリック、プライベート、境界ネットワーク非武装地帯 (DMZ) 用に 3 つのサブネットを設定しましたか? DMZ サブネットにより、ローカル エリア ネットワーク (LAN) に追加の保護レイヤーが提供されます。

  • 重複しない一意のアドレス範囲を持つサブネットを設定しましたか?

  • Bastion サブネット アドレス空間に対して重複しないアドレス空間はありますか?

  • ルート テーブルをパブリック サブネットに接続しましたか?

  • NVA の [設定] でサブネットとして DMZ サブネット名を追加しましたか?

    Screenshot of Propagate gateway routes dialog box.

  • ルート テーブルにより、ネットワーク内のすべての既定のルーティングが上書きされます。 ゲートウェイ ルートを伝達することを許可しましたか?

  • ルートに正しいサブネット範囲を割り当てましたか?

  • アドレス プレフィックスはプライベート サブネットのアドレス範囲です。

  • 次ホップ アドレスは DMZ サブネットのアドレス範囲です。

  • ルート テーブルをパブリック仮想ネットワークに追加しましたか?

  • NVA で IP 転送を有効にしましたか?

ルート テーブルをレビューする

Azure、オンプレミス、インターネット リソースの間でトラフィックをルーティングするために、Azure 仮想ネットワーク内の各サブネットに対してルート テーブルが作成されます。 ルート テーブルへの既定のシステム ルートは自動的に作成されます。

注意すべき重要な点は、次のとおりです。

  • システム ルートを作成したり削除したりすることはできません。カスタム ユーザー定義ルートでのオーバーライドのみが可能です。

  • 各サブネットは、ルート テーブルに関連付けられている必要があります。 ユーザー定義のルート テーブルを割り当てることができます。または、システムによって既定のテーブルが割り当てられます。

Screenshot showing a typical route table.

一般的なルート テーブルには、アドレス プレフィックスと次ホップの種類が保持されます。

サブネットがルート テーブルに関連付けられているかどうかを判断する

仮想マシンをデプロイすると、いくつかの既定のルートが自動的に作成されます。または、独自のルート テーブルを関連付けることができます。

接続の問題を診断するには、次のようにします。

  • Azure portal

  • PowerShell

  • Azure CLI

Azure portal

Azure portal にログインし、確認する仮想マシンを検索して選択します。

  1. [設定]>[ネットワーク] を選択し、ネットワーク インターフェイス リソースを選びます。

  2. [有効なルート] を選択すると、ルート テーブルが表示されます。

PowerShell を使用してルートを診断する

Get-AzEffectiveRouteTable `

  -NetworkInterfaceName myVMNic1 `

  -ResourceGroupName myResourceGroup `

  | Format-Table

Azure CLI を使用してルートを診断する

az network nic show-effective-route-table \

  --name myVMNic1 \

  --resource-group myResourceGroup

ルーティング問題の解決

ルート問題を解決する場合は、次の操作を試してください。

  • カスタム ルートを追加して既定のルートをオーバーライドし、テストする。

  • 既存のカスタム ルートを削除し、新しいカスタム ルートを設定する。

  • ルート テーブル内のカスタム ルートが、正しいサブネットに関連付けられていることを確認する。

  • VPN 診断を使用して、すべてのゲートウェイまたは NVA が操作可能であることを確認する。

  • Azure Network Watcher の次ホップ機能を使用する。

Screenshot of the next hop option.

非対称ルーティングのトラブルシューティング

非対称ルーティングは、パケットが送信先へのパスをたどり、送信元に戻るときに別のパスをたどると発生します。 これは多くの場合、複数の回線がネットワーク アップタイムを向上させるために使用され、ルーターで最適なパスが見つかると発生します。 システムが正しく設定されていないと、パケットが破棄される場合があります。

パケットの損失を防ぐための解決策については、ルーティングと、送信元ネットワーク アドレス変換 (SNAT) を使用して確認できます。

ルーティング

次の点を確認します。

  • パブリック IP アドレスは適切なワイド エリア ネットワーク (WAN) リンクにアドバタイズされていますか?

  • 認証トラフィックにインターネットを使用する場合は、Active Directory フェデレーション サービス (AD FS) パブリック IP アドレスを ExpressRoute 経由でアドバタイズしないでください。

送信元ベースの NAT

Diagram of a network with SNAT incorporated.

パケットが破棄された場合は、同じルートを介してそれらを転送するのに SNAT が役立つことがあります。 上の例では、ExpressRoute を使用してオンプレミスの簡易メール転送プロトコル (SMTP) サーバーのパブリック IP アドレスをアドバタイズするのではなく、インターネット パスを使用するように選択できます。 このプロセスは次の場合に効果的に機能します。

  • Microsoft からの要求がインターネット ルートをたどる。

  • 受信 IP アドレスに SNAT を使用する。

  • 戻りトラフィックが、NAT に使用するエッジ ファイアウォールに送られる。これにより、戻りトラフィックが ExpressRoute ではなくインターネット パス経由で転送されます。

非対称ルーティングの追跡

Tracert を使用して、トラフィックがたどるパスを確認します。

  • コマンド プロンプトを開き、「pathping」と入力します。 完全なパスは以下のとおりです。

    pathping [/n] [/h <maximumhops>] [/g <hostlist>] [/p <Period>] [/q <numqueries> [/w <timeout>] [/i <IPaddress>] [/4 <IPv4>] [/6 <IPv6>][<targetname>]

強制トンネリングに関する問題のトラブルシューティング

強制トンネリングを使用すると、検査や監査のためにサイト間 VPN トンネルを介して、インターネットにバインドされたすべてのトラフィックをオンプレミスの場所に転送して戻すことができます。

Diagram of a network with forced tunneling.

ルーティングの問題を解決するために次の点を確認してください。

  • インターネットに接続できない場合は、デバイス用に構成したルーティングで、仮想マシンのパブリックまたはプライベート IP アドレスにトラフィックがルーティングされることを確認します。

  • 仮想マシンを使用しているユーザーが Windows をライセンス認証できない場合、ライセンス認証要求がオンプレミス ネットワークからのものではないことが原因です。 ライセンス認証要求が Azure のパブリック IP アドレスからのものであることを確かめてください。

Border Gateway Protocol (BGP) に関する問題のトラブルシューティング

Azure portal 内では、学習したルート、BGP ピアおよびアドバタイズされたルートのメトリックを表示し、さらに分析するために csv でデータをダウンロードすることができます。

Azure 内の BGP メトリックにアクセスするには、以下の手順に従います。

  1. ゲートウェイを開きます。

  2. BGP ピアに移動します。

Screenshot of the BGP peers screen.

マルチ VNet 構成のトラブルシューティング

構成問題をトラブルシューティングする場合は以下のリストに目を通してください。

  • ピアリングの状態が [接続済み] と示されている場合は、Azure の接続のトラブルシューティング ツールと IP フローを使用して、ソース VM から宛先 VM への検証を行い、ネットワーク セキュリティ グループ (NSG) またはユーザー定義のルートが問題であるかどうかを確認します。 その後、ソースから宛先 IP へのネットワーク トレースを実行できます。

    tcping64.exe -t <destination VM address> 3389

  • ピアリングの状態が [切断] の場合は、両方のネットワークからピアリングを削除し、再作成します。

  • サードパーティの NVA を使用している場合は、ベンダーに連絡して設定を再確認してください。

  • スポーク ネットワークでリモート ゲートウェイを使用したことはありますか? これはサポートされていません。

  • 自分の設定に応じて、[トラフィック転送を許可する] または [リモート ゲートウェイを使用する] を設定しましたか?

  • グローバル仮想ネットワーク ピアリング経由で転送する場合は、要件と制約を承知していることを確認してください。

サービス チェイニングのトラブルシューティング

サービス チェイニングは、仮想ネットワーク内のサービス間のトラフィック フローを自動化するのに役立ちます。これは、最適なルーティング パスを選択する必要があるためです。 しかし、インターネット接続が低速な場合は、チェイニングでプロセスに追加されたホップが原因である可能性があります。

次の点に注意してください。

  • 次ホップ IP アドレスとしてユーザー定義ルートを構成しましたか?

  • 仮想ネットワーク ゲートウェイをユーザー定義ルートで指すことができます。

  • ハブ仮想ネットワークでインフラストラクチャがホストされるように、ハブとスポークのネットワーク トポロジを構築することを検討してください。 その後、スポーク ネットワークはハブとピアリングされ、トラフィックはハブのネットワーク仮想アプライアンスまたは VPN ゲートウェイを通過します。

Screenshot of spoke and hub network.

ルーターとして機能する Azure VM のルーティング構成のトラブルシューティング

Azure への接続時に接続またはルーティングの問題が発生した場合は、ネットワーク仮想アプライアンスのベンダーに問い合わせる必要があります。

ルーターとして機能する仮想アプライアンスを設定するときは、次の 2 つの主な点を調べる必要があります。

  • ベンダーから最新の情報を取得していることを確かめます。

  • 社内の要因のトラブルシューティングを行います。

ネットワーク仮想アプライアンス ベンダー

NVA ベンダーに次のことを確認します。

  • ソフトウェアは最新の状態ですか?

  • ベンダーでサービス アカウントが正しく設定されていて、完全に機能しますか?

  • すべてのユーザー定義ルートを確認します。

  • ルーティング テーブルは正しく設定されていますか?

  • NVA ネットワーク インターフェイスでトレースを実行し、トラフィックを送受信できることを確認します。

その他のトラブルシューティング手順

社内の設定を確認することも重要です。

  • 最小構成要件を満たしていますか?

  • パケット損失が発生する場合:

  • 容量とスパイクの CPU 使用率を確認します。

  • ネットワーク トレースを使用してパケット トラフィックを確認します。

  • ファイアウォールを確認します。

  • NSG または UDR がトレースの妨げになっていますか?

  • ルーティング テーブルが正しくありませんか?