ExpressRoute 연결 확인
이 문서는 Azure ExpressRoute 연결을 확인하고 문제를 해결하는 데 도움이 됩니다. ExpressRoute는 연결 공급자가 일반적으로 지원하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft Cloud로 확장합니다. ExpressRoute 연결은 일반적으로 세 가지 고유한 네트워크 영역을 포함합니다.
- 고객 네트워크
- 공급자 네트워크
- Microsoft 데이터 센터
참고 항목
ExpressRoute 직접 연결 모델에서는 MSEE(Microsoft Enterprise Edge) 라우터용 포트에 직접 연결할 수 있습니다. 직접 연결 모델에는 사용자 및 Microsoft 네트워크 영역만 포함됩니다.
이 문서는 연결 문제가 있는지 여부와 위치를 식별하는 데 도움이 됩니다. 그러면 적절한 팀의 지원을 요청하여 문제를 해결할 수 있습니다.
Important
이 문서는 간단한 문제를 진단하고 수정하는 데 사용됩니다. 이 문서는 Microsoft 기술 지원 서비스를 대체하지 않습니다. 이 문서의 지침을 사용하여 문제를 해결할 수 없는 경우 Microsoft 지원에서 지원 티켓을 여십시오.
개요
다음 다이어그램에서는 ExpressRoute를 통한 고객 네트워크와 Microsoft 네트워크 간의 논리적 연결을 보여 줍니다.
위의 다이어그램에서 숫자는 주요 네트워크 지점을 나타냅니다.
- 고객 컴퓨팅 디바이스(예: 서버 또는 PC)
- 고객 에지 라우터(CE)
- 고객 에지 라우터에 연결되는 공급자 에지 라우터/스위치(PE)
- Microsoft Enterprise Edge ExpressRoute 라우터(MSEE)와 마주하는 PE. 이 문서에서는 PE-MSEE라고 합니다.
- MSEE
- 가상 네트워크 게이트웨이.
- Azure 가상 네트워크의 컴퓨팅 디바이스
때때로 이 문서에서는 이러한 네트워크 지점을 연결된 번호로 참조합니다.
ExpressRoute 연결 모델에 따라 네트워크 지점 3 및 4는 스위치(계층 2 디바이스) 또는 라우터(계층 3 디바이스)일 수 있습니다. ExpressRoute의 연결 모델은 클라우드 교환 공동 배치, 지점 간 이더넷 연결 또는 IPVPN(Any-to-Any) 연결입니다.
직접 연결 모델에는 네트워크 지점 3 및 4가 없습니다. 대신 CE(2)는 다크 파이버를 통해 MSEE에 직접 연결됩니다.
클라우드 교환 공동 배치, 지점 간 이더넷 또는 직접 연결 모델이 사용되는 경우 CE(2)는 MSEE(5)와 BGP(Border Gateway Protocol) 피어링을 설정합니다.
Any-to-Any 연결(IPVPN) 모델을 사용하는 경우 PE-MSEE(4)는 MSEE(5)와 BGP 피어링을 설정합니다. PE-MSEE는 Microsoft에서 받은 경로를 IPVPN 서비스 공급자 네트워크를 통하여 고객 네트워크에 다시 전파합니다.
참고 항목
고가용성을 위해 Microsoft는 MSEE와 PE-MSEE 쌍 사이에 완전한 중복 병렬 연결을 설정합니다. 고객 네트워크와 PE/CE 쌍 사이에 완전히 중복된 병렬 네트워크 경로를 사용하는 것이 좋습니다. 고가용성에 대한 자세한 내용은 ExpressRoute를 사용한 고가용성을 위한 설계 문서를 참조하세요.
ExpressRoute 회로 문제 해결의 논리적 단계는 다음 섹션에 있습니다.
회로 프로비저닝 및 상태 확인
ExpressRoute 회로를 프로비전하면 CE/PE-MSEE(2/4)와 MSEE(5) 간에 중복 계층 2 연결이 설정됩니다. ExpressRoute 회로 만들기, 수정, 프로비전 및 확인 방법에 대한 자세한 내용은 ExpressRoute 회로 만들기 및 수정 문서를 참조하세요.
팁
서비스 키는 ExpressRoute 회로를 고유하게 식별합니다. ExpressRoute 문제를 해결하기 위해 Microsoft 또는 ExpressRoute 파트너의 도움이 필요한 회로를 쉽게 식별하기 위한 서비스 키를 제공합니다.
Azure Portal을 통한 확인
Azure Portal에서 ExpressRoute 회로에 대한 페이지를 엽니다. 페이지의 섹션에서 다음 스크린샷과 같이 ExpressRoute 기본 정보가 나열됩니다.
ExpressRoute 기본 정보에서 회로 상태는 Microsoft 쪽 회로 상태를 나타냅니다. 공급자 상태는 서비스 공급자 쪽에서 회로가 프로비전되었는지 여부를 나타냅니다.
ExpressRoute 회로가 작동하려면 회로 상태가 사용이고, 공급자 상태가 프로비전됨이어야 합니다.
참고 항목
ExpressRoute 회로를 구성한 후 회로 상태가 사용 안 함 상태로 멈춰 있으면 Microsoft 지원에 문의하세요. 공급자 상태가 프로비전되지 않음 상태로 멈춰 있으면 서비스 공급자에게 문의하십시오.
PowerShell을 통한 확인
리소스 그룹의 모든 ExpressRoute 회로를 나열하려면 다음 명령을 사용합니다.
Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"
팁
리소스 그룹의 이름을 찾는 경우 Get-AzResourceGroup
명령을 사용하여 구독에 있는 모든 리소스 그룹을 나열하여 가져올 수 있습니다.
리소스 그룹에서 특정 ExpressRoute 회로를 선택하려면 다음 명령을 사용합니다.
Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
다음은 응답의 예입니다.
Name : Test-ER-Ckt
ResourceGroupName : Test-ER-RG
Location : westus2
Id : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag : W/"################################"
ProvisioningState : Succeeded
Sku : {
"Name": "Standard_UnlimitedData",
"Tier": "Standard",
"Family": "UnlimitedData"
}
CircuitProvisioningState : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes :
ServiceProviderProperties : {
"ServiceProviderName": "****",
"PeeringLocation": "******",
"BandwidthInMbps": 100
}
ServiceKey : **************************************
Peerings : []
Authorizations : []
ExpressRoute 회로가 작동하는지 확인하려면 다음 필드에 특히 주의하세요.
CircuitProvisioningState : Enabled
ServiceProviderProvisioningState : Provisioned
참고 항목
ExpressRoute 회로를 구성한 후 회로 상태가 사용 안 함 상태로 멈춰 있으면 Microsoft 지원에 문의하세요. 공급자 상태가 프로비전되지 않음 상태로 멈춰 있으면 서비스 공급자에게 문의하세요.
피어링 구성 유효성 검사
서비스 공급자가 ExpressRoute 회로 프로비전을 완료한 후 CE/MSEE-PE(2/4)와 MSEE(5) 사이에서 ExpressRoute 회로를 통해 외부 BGP(eBGP)를 기반으로 하는 여러 라우팅 구성을 만들 수 있습니다. 각 ExpressRoute 회로는 다음 피어링 구성 중 하나 또는 둘 다를 포함할 수 있습니다.
- Azure 개인 피어링: Azure의 개인 가상 네트워크로 트래픽
- Microsoft 피어링: PaaS(Platform as a Service) 및 SaaS(Software as a Service)의 퍼블릭 엔드포인트로 트래픽
라우팅 구성을 만들고 수정하는 방법에 대한 자세한 내용은 ExpressRoute 회로의 라우팅 만들기 및 수정 문서를 참조하세요.
Azure Portal을 통한 확인
참고 항목
IPVPN 연결 모델에서 서비스 공급자는 피어링(계층 3 서비스)을 구성하는 책임을 처리합니다. 이러한 모델에서 서비스 공급자가 피어링을 구성하고 포털에서 피어링이 비어 있으면 포털에서 새로 고침 단추를 사용하여 회로 구성을 새로 고쳐 보십시오. 이 작업은 회로에서 현재 라우팅 구성을 가져옵니다.
Azure Portal에서 해당 회로에 대한 페이지의 ExpressRoute 회로 상태를 확인할 수 있습니다. 페이지의 섹션에서 다음 스크린샷과 같이 ExpressRoute 피어링이 나열됩니다.
앞의 예에서 Azure 개인 피어링이 프로비전되지만, Azure 공용 및 Microsoft 피어링은 프로비전되지 않습니다. 또한 성공적으로 프로비저닝되는 피어링 컨텍스트에는 기본 및 보조 지점 간 서브넷이 나열되어 있습니다. /30 서브넷은 MSEE 및 CE/PE-MSEE의 인터페이스 IP 주소에 사용됩니다. 프로비저닝되는 피어링의 경우 목록에는 구성을 마지막으로 수정한 사용자도 표시됩니다.
참고 항목
피어링 사용에 실패하는 경우 할당된 기본 및 보조 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. 또한 올바른 VlanId
, AzureASN
및 PeerASN
값이 MSEE에 사용되는지, 그리고 이러한 값이 연결된 CE/PE-MSEE에 사용된 값에 매핑되는지 확인합니다.
MD5 해싱을 선택하는 경우 공유 키가 MSEE 및 CE/PE-MSEE 쌍에서 동일해야 합니다. 이전에 구성된 공유 키가 보안상의 이유로 표시되지 않습니다.
MSEE 라우터에서 이러한 구성을 변경해야 하는 경우 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.
참고 항목
인터페이스에 할당된/30 서브넷에서 Microsoft는 MSEE 인터페이스에 사용할 수 있는 서브넷의 두 번째 IP 주소를 선택합니다. 따라서 서브넷의 사용 가능한 첫 번째 IP 주소가 피어링 CE/PE-MSEE에 할당되었는지 확인합니다.
PowerShell을 통한 확인
Azure 개인 피어링 구성 세부 정보를 가져오려면 다음 명령을 사용합니다.
$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt
성공적으로 구성된 개인 피어링에 대한 샘플 응답은 다음과 같습니다.
Name : AzurePrivatePeering
Id : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag : W/"################################"
PeeringType : AzurePrivatePeering
AzureASN : 12076
PeerASN : 123##
PrimaryPeerAddressPrefix : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort :
SecondaryAzurePort :
SharedKey :
VlanId : 200
MicrosoftPeeringConfig : null
ProvisioningState : Succeeded
성공적으로 사용되는 피어링 컨텍스트에는 기본 및 보조 주소 접두사가 나열되어 있습니다. /30 서브넷은 MSEE 및 CE/PE-MSEE의 인터페이스 IP 주소에 사용됩니다.
Microsoft 피어링 구성 세부 정보를 가져오려면 다음 명령을 사용합니다.
$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt
피어링이 구성되지 않은 경우 오류 메시지가 표시됩니다. 명시된 피어링이 회로 내에서 구성되지 않은 경우의 예제 응답은 다음과 같습니다.
Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
+ Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand
참고 항목
피어링 사용에 실패하는 경우 할당된 기본 및 보조 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. 또한 올바른 VlanId
, AzureASN
및 PeerASN
값이 MSEE에 사용되는지, 그리고 이러한 값이 연결된 CE/PE-MSEE에 사용된 값에 매핑되는지 확인합니다.
MD5 해싱을 선택하는 경우 공유 키가 MSEE 및 CE/PE-MSEE 쌍에서 동일해야 합니다. 이전에 구성된 공유 키가 보안상의 이유로 표시되지 않습니다.
MSEE 라우터에서 이러한 구성을 변경해야 하는 경우 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.
참고 항목
인터페이스에 할당된/30 서브넷에서 Microsoft는 MSEE 인터페이스에 사용할 수 있는 서브넷의 두 번째 IP 주소를 선택합니다. 따라서 서브넷의 사용 가능한 첫 번째 IP 주소가 피어링 CE/PE-MSEE에 할당되었는지 확인합니다.
ARP 유효성 검사
ARP(주소 확인 프로토콜) 테이블은 특정 피어링에 대한 IP 주소와 MAC 주소 매핑을 제공합니다. ExpressRoute 회로 피어링의 ARP 테이블은 각 인터페이스(기본 및 보조)에 대한 다음 정보를 제공합니다.
- 온-프레미스 라우터 인터페이스 IP 주소를 MAC 주소에 매핑
- ExpressRoute 라우터 인터페이스의 IP 주소를 MAC 주소에 매핑(선택 사항)
- 매핑 사용 기간
ARP 테이블은 계층 2 구성의 유효성을 검사하고 기본적인 계층 2 연결 문제를 해결하는 데 도움을 줍니다.
참고 항목
하드웨어 플랫폼에 따라 ARP 결과가 다를 수 있으며 온-프레미스 인터페이스만 표시할 수 있습니다.
ExpressRoute 피어링의 ARP 테이블을 보는 방법과 이 정보를 사용하여 계층 2 연결 문제를 해결하는 방법을 알아보려면 Resource Manager 배포 모델에서 ARP 테이블 가져오기를 참조하세요.
MSEE에서 BGP 및 경로 유효성 검사
개인 라우팅 컨텍스트에 대한 기본 경로의 MSEE에서 라우팅 테이블을 가져오려면 다음 명령을 사용합니다.
Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName ******* -PeeringType AzurePrivatePeering -ResourceGroupName ****
다음은 응답의 예입니다.
Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf :
Weight : 0
Path : 65515
Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf :
Weight : 0
Path : 65515
Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf :
Weight : 0
Path : 123##
참고 항목
MSEE와 CE/PE-MSEE 간의 eBGP 피어링 상태가 활성 또는 유휴인 경우 할당된 기본 및 보조 피어 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. 또한 올바른 VlanId
, AzureASN
및 PeerASN
값이 MSEE에 사용되는지, 그리고 이러한 값이 연결된 CE/PE-MSEE에 사용된 값에 매핑되는지 확인합니다. MD5 해싱을 선택하는 경우 공유 키가 MSEE 및 CE/PE-MSEE 쌍에서 동일해야 합니다. MSEE 라우터에서 이러한 구성을 변경해야 하는 경우 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.
참고 항목
피어링을 통해 특정 대상에 연결할 수 없는 경우 해당 피어링 컨텍스트에 대한 MSEE의 경로 테이블을 확인합니다. 라우팅 테이블에 일치하는 접두사(NATed IP일 수 있음)가 있는 경우 경로의 방화벽, 네트워크 보안 그룹 또는 ACL(액세스 제어 목록)이 트래픽을 차단하고 있는지 확인합니다.
다음 예제에서는 존재하지 않는 피어링에 대한 명령의 응답을 보여 줍니다.
Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400
트래픽 흐름 확인
피어링 컨텍스트의 결합된 기본 및 보조 경로 트래픽 통계(송/수신 바이트 수)를 가져오려면 다음 명령을 사용합니다.
Get-AzExpressRouteCircuitStats -ResourceGroupName $RG -ExpressRouteCircuitName $CircuitName -PeeringType 'AzurePrivatePeering'
다음은 명령의 출력 예입니다.
PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
240780020 239863857 240565035 239628474
다음은 존재하지 않는 피어링에 대한 명령의 출력 예입니다.
Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400
개인 피어링 연결 테스트
MSEE 디바이스에서 ExpressRoute 회로의 Microsoft 에지에 도착하고 나가는 패킷을 계산하여 개인 피어링 연결을 테스트합니다. 이 진단 도구는 ACL을 MSEE에 적용하여 특정 ACL 규칙에 적중하는 패킷 수를 계산합니다. 이 도구를 사용하면 다음 질문에 대답하여 연결을 확인할 수 있습니다.
- 내 패킷이 Azure에 도착하나요?
- 온-프레미스로 돌아가나요?
테스트 실행
진단 도구에 액세스하려면 Azure Portal의 ExpressRoute 회로에서 문제 진단 및 해결을 선택합니다.
연결 및 성능 문제를 선택합니다.
발생한 문제에 대해 자세히 알려주세요 드롭다운 목록에서 개인 피어링 문제를 선택합니다.
개인 피어링 연결 테스트 섹션까지 아래로 스크롤하여 펼칩니다.
온-프레미스 IP 주소에서 Azure IP 주소로 PsPing 테스트를 실행하고, 연결 테스트 중에 계속 실행합니다.
양식의 필드에 입력합니다. 5단계에서 사용한 것과 동일한 온-프레미스 및 Azure IP 주소를 입력해야 합니다. 그런 다음, 제출을 선택하고 결과가 로드되기를 기다립니다.
결과 해석
결과가 준비되면 기본 및 보조 MSEE 디바이스에 대한 두 세트의 결과를 얻게 됩니다. 입력 및 출력 일치 항목 수를 검토하고, 다음 시나리오를 사용하여 결과를 해석합니다.
두 MSEE에서 보내고 받은 패킷 일치 항목이 표시됨 이 결과는 회로의 MSEE에서 정상적인 인바운드 및 아웃바운드 트래픽을 나타냅니다. 온-프레미스 또는 Azure에서 손실이 발생하는 경우 MSEE에서 다운스트림이 발생합니다.
온-프레미스에서 Azure로 PsPing을 테스트하는 경우 받은 결과에는 일치 항목이 표시되지만 보낸 결과에는 일치 항목이 표시되지 않음: 이 결과는 트래픽이 Azure로 들어오지만 온-프레미스로 돌아오지 않음을 나타냅니다. 반환 경로 라우팅 문제를 확인합니다. 예를 들어 Azure에 적절한 접두사를 알리고 있나요? UDR(사용자 정의 경로)이 접두사를 재정의하고 있나요?
Azure에서 온-프레미스로 PsPing을 테스트하는 경우 보낸 결과에는 일치 항목이 표시되지만 받은 결과에는 일치 항목이 표시되지 않음: 이 결과는 트래픽이 온-프레미스로 유입되지만 Azure로 반환되지 않음을 나타냅니다. 공급자와 협력하여 ExpressRoute 회로를 통하여 트래픽이 Azure로 라우팅되지 않는 이유를 알아보세요.
한 MSEE에는 일치 항목이 없는 것으로 표시되고 다른 MSEE에는 양호한 일치 항목이 표시됨: 이 결과는 한 MSEE에서 트래픽을 받거나 전달하지 않음을 나타냅니다. 오프라인일 수 있습니다(예: BGP/ARP가 다운됨).
- 이 경로의 BGP 세션을 통해 고유한 /32 온-프레미스 경로를 보급하여 비정상 경로를 확인하는 추가 테스트를 실행할 수 있습니다.
- 온-프레미스 대상 주소로 보급된 고유한 /32를 사용하여 "개인 피어링 연결 테스트"를 실행하고 결과를 검토하여 경로 상태를 확인합니다.
각 MSEE 디바이스에 대한 테스트 결과는 아래 예와 같습니다.
src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches
이 테스트 결과에는 다음과 같은 속성이 있습니다.
- IP 포트: 3389
- 온-프레미스 IP 주소 CIDR: 10.0.0.0
- Azure IP 주소 CIDR: 20.0.0.0
가상 네트워크 게이트웨이의 가용성 확인
ExpressRoute 가상 네트워크 게이트웨이는 Azure 가상 네트워크에 배포된 프라이빗 링크 서비스 및 개인 IP에 대한 관리와 컨트롤 플레인 연결을 용이하게 합니다. 가상 네트워크 게이트웨이 인프라는 Microsoft에서 관리하며, 경우에 따라 유지 관리가 진행됩니다.
유지 관리 기간 동안 가상 네트워크 게이트웨이의 성능이 저하될 수 있습니다. 가상 네트워크에 대한 연결 문제를 해결하고 최근 유지 관리 이벤트로 인해 용량이 감소했는지 확인하려면 다음 단계를 수행합니다.
Azure Portal의 ExpressRoute 회로에서 문제 진단 및 해결을 선택합니다.
성능 문제 옵션을 선택합니다.
진단이 실행될 때까지 기다렸다가 결과를 해석합니다.
패킷 손실 또는 대기 시간이 발생한 기간 동안 가상 네트워크 게이트웨이에서 유지 관리가 수행된 경우 게이트웨이의 용량 감소로 인해 대상 가상 네트워크에서 발생하는 연결 문제가 발생했을 수 있습니다. 권장 단계를 따르세요. 더 높은 네트워크 처리량을 지원하며 향후 유지 관리 이벤트 중에 연결 문제를 방지하려면 가상 네트워크 게이트웨이 SKU를 업그레이드하는 것이 좋습니다.
다음 단계
자세한 정보 또는 도움말을 보려면 다음 링크를 확인하세요.