Verificar a conectividade do ExpressRoute

Este artigo ajuda você a verificar e solucionar problemas de conectividade do Azure ExpressRoute. O ExpressRoute estende uma rede local para o Microsoft Cloud através de uma conexão privada normalmente facilitada por um provedor de conectividade. A conectividade do ExpressRoute tradicionalmente envolve três zonas de rede distintas:

• Rede de clientes
• Rede de fornecedores
• Centro de dados da Microsoft

Nota

No modelo de conectividade ExpressRoute Direct, você pode se conectar diretamente à porta para roteadores Microsoft Enterprise Edge (MSEE). O modelo de conectividade direta inclui apenas as zonas de rede sua e da Microsoft.

Este artigo ajuda-o a identificar se e onde existe um problema de conectividade. Em seguida, você pode procurar apoio da equipe apropriada para resolver o problema.

Importante

Este artigo destina-se a ajudá-lo a diagnosticar e corrigir problemas simples. Não se destina a ser um substituto para o suporte da Microsoft. Se você não conseguir resolver um problema usando as orientações deste artigo, abra um tíquete de suporte com o Suporte da Microsoft.

Descrição geral

O diagrama a seguir mostra a conectividade lógica de uma rede de cliente com a rede Microsoft por meio da Rota Expressa.

No diagrama anterior, os números indicam os principais pontos de rede:

1. Dispositivo de computação do cliente (por exemplo, um servidor ou PC).
2. Roteadores de borda do cliente (CEs).
3. Roteadores/switches de borda (PEs) do provedor voltados para roteadores de borda do cliente.
4. PEs que enfrentam roteadores Microsoft Enterprise Edge ExpressRoute (MSEEs). Este artigo chama-lhes PE-MSEEs.
5. MSEEs.
6. Gateway de rede virtual.
7. Dispositivo de computação na rede virtual do Azure.

Por vezes, este artigo faz referência a estes pontos de rede pelo seu número associado.

Dependendo do modelo de conectividade do ExpressRoute, os pontos de rede 3 e 4 podem ser comutadores (dispositivos de camada 2) ou routers (dispositivos de camada 3). Os modelos de conectividade do ExpressRoute são Colocalização de intercâmbio cloud, Ligação Ethernet ponto-a-ponto ou Qualquer para qualquer (IPVPN).

No modelo de conectividade direta, não existem pontos de rede 3 e 4. Em vez disso, os CEs (2) são ligados diretamente aos MSEEs através de fibra escura.

Se for utilizado o modelo de Colocalização de intercâmbio cloud, Ethernet ponto-a-ponto ou Conectividade direta, os CEs (2) estabelecem o peering do Border Gateway Protocol (BGP) com os MSEEs (5).

Se o modelo de conectividade Qualquer para qualquer (IPVPN) for utilizado, os PE-MSEEs (4) estabelecem peering BGP com os MSEEs (5). Os PE-MSEEs propagam as rotas recebidas da Microsoft de volta para a rede do cliente através da rede do fornecedor de serviços de IPVPN.

Nota

Para alta disponibilidade, a Microsoft estabelece uma conectividade paralela totalmente redundante entre os pares MSEE e PE-MSEE. Um caminho de rede paralela totalmente redundante também é incentivado entre a rede do cliente e os pares PE/CE. Para obter mais informações sobre alta disponibilidade, consulte o artigo Projetando para alta disponibilidade com a Rota Expressa.

As seções a seguir representam as etapas lógicas na solução de problemas de um circuito de Rota Expressa.

Verificar o provisionamento e o estado do circuito

O provisionamento de um circuito de Rota Expressa estabelece uma conexão redundante de camada 2 entre CEs/PE-MSEEs (2/4) e MSEEs (5). Para obter mais informações sobre como criar, modificar, provisionar e verificar um circuito de Rota Expressa, consulte o artigo Criar e modificar um circuito de Rota Expressa.

Gorjeta

Uma chave de serviço identifica exclusivamente um circuito de Rota Expressa. Se precisar de assistência da Microsoft ou de um parceiro da Rota Expressa para solucionar um problema da Rota Expressa, forneça a chave de serviço para identificar prontamente o circuito.

Verificação através do portal do Azure

No portal do Azure, abra a página do circuito de Rota Expressa. A seção da página lista os fundamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:

No essencial da Rota Expressa, o status do circuito indica o status do circuito no lado da Microsoft. O status do provedor indica se o circuito foi provisionado ou não no lado do provedor de serviços.

Para que um circuito do ExpressRoute esteja operacional, o estado do Circuito deve ser Ativado e o estado do Fornecedor deve ser Aprovisionado.

Nota

Depois de configurar um circuito de Rota Expressa, se o status do Circuito estiver preso em um status Não habilitado , contate o Suporte da Microsoft. Se o status Provedor estiver preso em um status Não provisionado , entre em contato com seu provedor de serviços.

Verificação via PowerShell

Para listar todos os circuitos de Rota Expressa em um grupo de recursos, use o seguinte comando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

Gorjeta

Se você estiver procurando o nome de um grupo de recursos, poderá obtê-lo usando o Get-AzResourceGroup comando para listar todos os grupos de recursos em sua assinatura.

Para selecionar um circuito de Rota Expressa específico em um grupo de recursos, use o seguinte comando:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

Eis uma resposta de exemplo:

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

Para confirmar se um circuito de Rota Expressa está operacional, preste especial atenção aos seguintes campos:

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

Nota

Depois de configurar um circuito de Rota Expressa, se o status do Circuito estiver preso em um status Não habilitado, contate o Suporte da Microsoft. Se o status Provedor estiver preso em um status Não provisionado , entre em contato com seu provedor de serviços.

Validar a configuração do peering

Depois que o provedor de serviços concluir o provisionamento do circuito ExpressRoute, várias configurações de roteamento baseadas em BGP externo (eBGP) podem ser criadas no circuito ExpressRoute entre CEs/MSEE-PEs (2/4) e MSEEs (5). Cada circuito de Rota Expressa pode ter uma ou ambas as seguintes configurações de emparelhamento:

• Emparelhamento privado do Azure: tráfego para redes virtuais privadas no Azure
• Emparelhamento da Microsoft: tráfego para pontos finais públicos de plataforma como serviço (PaaS) e software como serviço (SaaS)

Para obter mais informações sobre como criar e modificar a configuração de roteamento, consulte o artigo Criar e modificar o roteamento para um circuito de Rota Expressa.

Verificação através do portal do Azure

Nota

Em um modelo de conectividade IPVPN, os provedores de serviços lidam com a responsabilidade de configurar os emparelhamentos (serviços de camada 3). Nesse modelo, depois que o provedor de serviços tiver configurado um emparelhamento e se o emparelhamento estiver em branco no portal, tente atualizar a configuração do circuito usando o botão de atualização no portal. Esta operação puxará a configuração de roteamento atual do seu circuito.

No portal do Azure, você pode verificar o status de um circuito de Rota Expressa na página desse circuito. A seção da página lista os emparelhamentos da Rota Expressa, conforme mostrado na captura de tela a seguir:

No exemplo anterior, o emparelhamento privado do Azure é provisionado, mas os emparelhamentos públicos do Azure e da Microsoft não são provisionados. Um contexto de emparelhamento provisionado com êxito também teria as sub-redes ponto a ponto primária e secundária listadas. As sub-redes /30 são usadas para o endereço IP da interface dos MSEEs e CEs/PE-MSEEs. Para os pares que são provisionados, a listagem também indica quem modificou a configuração pela última vez.

Nota

Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Verifique também se os valores corretos VlanId, AzureASNe PeerASN e são usados em MSEEs, e se esses valores são mapeados para os usados no CE/PE-MSEE vinculado.

Se o hashing MD5 for escolhido, a chave compartilhada deverá ser a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não seriam exibidas por motivos de segurança.

Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Em uma sub-rede /30 atribuída para interface, a Microsoft escolherá o segundo endereço IP utilizável da sub-rede para a interface MSEE. Portanto, certifique-se de que o primeiro endereço IP utilizável da sub-rede foi atribuído no emparelhado CE/PE-MSEE.

Verificação via PowerShell

Para obter os detalhes de configuração para o emparelhamento privado do Azure, use os seguintes comandos:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

Aqui está um exemplo de resposta para um emparelhamento privado configurado com êxito:

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

Um contexto de emparelhamento habilitado com êxito teria os prefixos de endereço primário e secundário listados. As sub-redes /30 são usadas para o endereço IP da interface dos MSEEs e CEs/PE-MSEEs.

Para obter os detalhes de configuração para o emparelhamento da Microsoft, use os seguintes comandos:

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

Se um emparelhamento não estiver configurado, você receberá uma mensagem de erro. Aqui está um exemplo de resposta quando o emparelhamento declarado não está configurado dentro do circuito:

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

Nota

Se a ativação de um emparelhamento falhar, verifique se as sub-redes primárias e secundárias atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Verifique também se os valores corretos VlanId, AzureASNe PeerASN e são usados em MSEEs, e se esses valores são mapeados para os usados no CE/PE-MSEE vinculado.

Se o hashing MD5 for escolhido, a chave compartilhada deverá ser a mesma nos pares MSEE e CE/PE-MSEE. As chaves compartilhadas configuradas anteriormente não seriam exibidas por motivos de segurança.

Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Em uma sub-rede /30 atribuída para interface, a Microsoft escolherá o segundo endereço IP utilizável da sub-rede para a interface MSEE. Portanto, certifique-se de que o primeiro endereço IP utilizável da sub-rede foi atribuído no emparelhado CE/PE-MSEE.

Validar ARP

A tabela Protocolo de Resolução de Endereços (ARP) fornece um mapeamento do endereço IP e do endereço MAC de um peering específico. A tabela ARP para um peering de circuito do ExpressRoute fornece as seguintes informações para cada interface (primária e secundária):

• Mapeamento do endereço IP da interface do router no local para o endereço MAC
• Mapeamento do endereço IP da interface do router do ExpressRoute para o endereço MAC (opcional)
• Idade do mapeamento

As tabelas ARP podem ajudar a validar a configuração da camada 2 e a resolver problemas de conectividade de camada básica 2.

Nota

Dependendo da plataforma de hardware, os resultados do ARP podem variar e exibir apenas a interface local .

Para saber como exibir a tabela ARP de um emparelhamento de Rota Expressa e como usar as informações para solucionar problemas de conectividade de camada 2, consulte Obtendo tabelas ARP no modelo de implantação do Resource Manager.

Validar BGP e rotas no MSEE

Para obter a tabela de roteamento do MSEE no caminho principal para o contexto de roteamento privado, use o seguinte comando:

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName ******* -PeeringType AzurePrivatePeering -ResourceGroupName ****

Eis uma resposta de exemplo:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

Nota

Se o estado de um emparelhamento eBGP entre um MSEE e um CE/PE-MSEE for Ativo ou Inativo, verifique se as sub-redes de pares primário e secundário atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Verifique também se os valores corretos VlanId, AzureASNe PeerASN e são usados em MSEEs, e se esses valores são mapeados para os usados no CE/PE-MSEE vinculado. Se o hashing MD5 for escolhido, a chave compartilhada deverá ser a mesma nos pares MSEE e CE/PE-MSEE. Se você precisar alterar qualquer uma dessas configurações em um roteador MSEE, consulte Criar e modificar o roteamento para um circuito de Rota Expressa.

Nota

Se determinados destinos não forem acessíveis através de um emparelhamento, verifique a tabela de rotas dos MSEEs para o contexto de emparelhamento correspondente. Se um prefixo correspondente (pode ser NATed IP) estiver presente na tabela de roteamento, verifique se algum firewall, grupos de segurança de rede ou listas de controle de acesso (ACLs) no caminho estão bloqueando o tráfego.

O exemplo a seguir mostra a resposta do comando para um emparelhamento que não existe:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Confirmar o fluxo de tráfego

Para obter as estatísticas de tráfego de caminho primário e secundário combinadas (bytes de entrada e saída) de um contexto de emparelhamento, use o seguinte comando:

Get-AzExpressRouteCircuitStats -ResourceGroupName $RG -ExpressRouteCircuitName $CircuitName -PeeringType 'AzurePrivatePeering'

Aqui está um exemplo de saída do comando:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
     240780020       239863857        240565035         239628474

Aqui está um exemplo de saída do comando para um emparelhamento inexistente:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key ********************* is not found.
StatusCode: 400

Testar a conectividade do peering privado

Teste sua conectividade de emparelhamento privado contando os pacotes que chegam e saem da borda Microsoft do circuito ExpressRoute nos dispositivos MSEE. Essa ferramenta de diagnóstico funciona aplicando uma ACL ao MSEE para contar o número de pacotes que atingem regras específicas da ACL. A utilização desta ferramenta permite-lhe confirmar a conectividade respondendo a perguntas tais como:

• Os meus pacotes estão a chegar ao Azure?
• Estão a voltar ao local?

Executar um teste

1. Para aceder à ferramenta de diagnóstico, selecione Diagnosticar e resolver problemas a partir do seu circuito de Rota Expressa no portal do Azure.

   

2. Selecione Problemas de conectividade e desempenho.

   

3. Na lista suspensa Conte-nos mais sobre o problema que você está enfrentando, selecione Problemas com emparelhamento privado.

   

4. Role para baixo até a seção Testar conectividade de emparelhamento privado e expanda-a.

   

5. Execute o teste PsPing do seu endereço IP local para o seu endereço IP do Azure e mantenha-o em execução durante o teste de conectividade.

6. Preencha os campos do formulário. Certifique-se de inserir os mesmos endereços IP no local e do Azure que utilizou no passo 5. Em seguida, selecione Enviar e aguarde o carregamento dos resultados.

   

Interpretar os resultados

Quando os resultados estiverem prontos, você terá dois conjuntos deles para os dispositivos MSEE primários e secundários. Analise o número de correspondências entradas e saídas e use os seguintes cenários para interpretar os resultados:

• Vê correspondências de pacotes enviadas e recebidas em ambos os MSEEs: este resultado indica tráfego em bom estado de funcionamento de entrada e saída dos MSEEs no seu circuito. Se a perda estiver a ocorrer no local ou no Azure, está a ocorrer a jusante dos MSEEs.

• Se estiver a testar o PsPing do local para o Azure, os resultados recebidos apresentam correspondências, mas os resultados enviados não apresentam correspondências: este resultado indica que o tráfego está a chegar ao Azure, mas não está a voltar ao local. Verifique se existem problemas de encaminhamento do retorno-caminho. Por exemplo, está a anunciar os prefixos apropriados para o Azure? Uma rota definida pelo utilizador (UDR) está a substituir os prefixos?

• Se estiver a testar o PsPing do Azure para o local , os resultados enviados apresentam correspondências, mas os resultados recebidos não apresentam correspondências: este resultado indica que o tráfego está a chegar ao local, mas não está a voltar ao Azure. Trabalhe com o seu fornecedor para descobrir por que o tráfego não está a ser encaminhado para o Azure através do seu circuito do ExpressRoute.

• Um MSEE não apresenta correspondências, mas o outro apresenta boas correspondências: este resultado indica que um MSEE não está a receber ou a passar nenhum tráfego. Pode estar offline (por exemplo, o BGP/ARP está inativo).

  • Pode executar testes adicionais para confirmar o caminho em mau estado de funcionamento anunciando uma rota /32 exclusiva no local sobre a sessão do BGP nesse caminho.
  • Execute "Testar a conectividade do peering privado" utilizando o /32 exclusivo anunciado como o endereço de destino no local e analise os resultados para confirmar o bom estado de funcionamento do caminho.

Os resultados do teste para cada dispositivo MSEE são semelhantes ao exemplo seguinte:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

O resultado deste teste tem as seguintes propriedades:

• Porta IP: 3389
• Endereço IP/CIDR no local: 10.0.0.0
• Endereço IP/CIDR do Azure: 20.0.0.0

Verificar a disponibilidade do gateway de rede virtual

O gateway de rede virtual ExpressRoute facilita a conectividade do plano de gerenciamento e controle para serviços de link privado e IPs privados implantados em uma rede virtual do Azure. A Microsoft gerencia a infraestrutura do gateway de rede virtual e, às vezes, passa por manutenção.

Durante um período de manutenção, o desempenho do gateway de rede virtual pode reduzir. Para solucionar problemas de conectividade com a rede virtual e ver se um evento de manutenção recente causou redução de capacidade, siga estas etapas:

1. Selecione Diagnosticar e resolver problemas do seu circuito de Rota Expressa no portal do Azure.

   

2. Selecione a opção Problemas de desempenho.

   

3. Aguarde a execução do diagnóstico e interprete os resultados.

   

   Se a manutenção foi feita em seu gateway de rede virtual durante um período em que você experimentou perda de pacote ou latência. É possível que a capacidade reduzida do gateway tenha contribuído para problemas de conectividade que você está enfrentando para a rede virtual de destino. Siga os passos recomendados. Para oferecer suporte a uma taxa de transferência de rede mais alta e evitar problemas de conectividade durante eventos de manutenção futuros, considere atualizar o SKU do gateway de rede virtual.

Próximos passos

Para obter mais informações ou ajuda, consulte os seguintes links:

• Suporte da Microsoft
• Criar e modificar um circuito ExpressRoute
• Criar e modificar o roteamento para um circuito de Rota Expressa