Solucionar problemas de conectividade da Rota Expressa

  • 8 minutos

O ExpressRoute funciona através de uma ligação de fibra ótica privada para fornecer uma ligação mais rápida ao Azure em comparação com a ligação direta através da Internet. Nesta unidade, você aprenderá a solucionar problemas que pode encontrar com a conectividade da Rota Expressa.

O diagrama a seguir mostra a conectividade entre sua rede (rede do cliente) e o Azure (Microsoft Datacenter):

Screenshot showing connectivity between your network (Customer network) and Azure (Microsoft Datacenter).

Antes de usar a Rota Expressa, você deve ter uma conta ativa do Microsoft Azure.

Se você também quiser se conectar aos serviços do Microsoft 365, precisará de pelo menos uma conta do Microsoft 365. No entanto, o Microsoft 365 é otimizado para conexão pela internet, portanto, só é recomendado para casos específicos.

Você também precisará trabalhar com um provedor de serviços para gerenciar a conexão privada.

Subscrição necessária Apenas Microsoft Azure Microsoft Azure e Microsoft 365
Conta do Microsoft Azure Recomendado Recomendado
Microsoft 365 Não recomendado Recomendado

Gateways e SKUs

O ExpressRoute usa um gateway virtual para conectar sua rede virtual do Azure à sua rede local.

Um gateway de rede virtual é duas ou mais VMs implantadas em uma sub-rede de gateway. As VMs de gateway contêm tabelas de roteamento e executam serviços de gateway específicos.

Existem dois tipos de gateway: VPN e ExpressRoute. Os gateways VPN enviam tráfego criptografado pela Internet. Os gateways de Rota Expressa enviam tráfego através de uma conexão privada não criptografada. Ao configurar o gateway, você precisa especificar o tipo como: ExpressRoute.

Cada rede virtual pode ter um gateway para cada tipo, para que você possa configurar:

  • Um gateway de rede virtual para tráfego VPN: digite Vpn.

  • Um gateway de rede virtual para tráfego de Rota Expressa: digite Rota Expressa.

Você também pode configurar a SKU do gateway que deseja usar. SKUs referem-se à largura de banda alocada para o gateway. Um SKU de gateway mais alto permite mais CPUs e taxa de transferência de largura de banda de rede. Os gateways de Rota Expressa suportam as seguintes SKUs:

  • Standard

  • HighPerformance

  • Ultradesempenho

  • ErGw1Az

  • ErGw2Az

  • ErGw3Az

Para atualizar uma SKU de gateway, você pode usar o seguinte cmdlet do PowerShell:

Resize-AzVirtualNetworkGateway

Como alternativa, altere a configuração no painel de configuração do gateway de rede virtual do portal do Azure. As seguintes atualizações são suportadas:

  • Padrão para alto desempenho

  • Desempenho Standard a Ultra

  • Alto desempenho para ultra desempenho

  • ErGw1Az para ErGw2Az

  • ErGw1Az para ErGw3Az

  • ErGw2Az para ErGw3Az

  • Padrão para Standard

Os seguintes downgrades são suportados:

  • Alto desempenho para o padrão

  • ErGw2Az para ErGw1Az

Se o upgrade ou downgrade necessário não for suportado, exclua e recrie o gateway.

Antes de criar um gateway de Rota Expressa, você deve estabelecer uma sub-rede de gateway que contenha os endereços IP da sub-rede.

No portal do Azure, selecione sua rede virtual, selecione Sub-redes e selecione Criar Sub-rede de Gateway. Quando você configura o intervalo de endereços IP para sua sub-rede de gateway, uma configuração com um gateway de Rota Expressa e um gateway VPN coexistindo precisará de uma sub-rede de gateway grande. Você também deve garantir que a sub-rede do gateway contenha endereços IP suficientes para incluir futuras configurações adicionais. A Microsoft recomenda uma sub-rede de gateway de /27 ou maior (/27, /26 e assim por diante).

  • A sub-rede do gateway é usada apenas para a Rota Expressa. Não atribua mais nada à sub-rede do gateway.

  • Ele deve ser chamado de GatewaySubnet.

  • Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0.

  • NSGs na GatewaySubnet não são suportados.

  • Defina a propagação da rota BGP como Habilitado. Se estiver definido como Desativado, o gateway não funcionará.

Quando você cria seu gateway de rede virtual, as VMs de gateway são implantadas na sub-rede do gateway e configuradas com as configurações de gateway de Rota Expressa necessárias.

Nota

Pode levar até 45 minutos para que o gateway seja criado e esteja pronto para uso.

Determinar se um circuito de Rota Expressa está operacional

No portal do Azure, exiba os circuitos de Rota Expressa existentes selecionando Todos os circuitos de Rota Expressa de rede> de serviços>no menu à esquerda.

Screenshot of Expressroute circuits settings.

Todos os circuitos de Rota Expressa criados na assinatura aparecerão aqui.

Screenshot of Expressroute circuits list.

Para tornar o circuito operacional, você deve enviar a chave de serviço para o provedor de serviços. Cada chave de serviço é específica para um circuito. Selecione o circuito relevante e, na página Visão geral, encontre o campo chave de serviço para o seu provedor.

Screenshot of service key field.

O status Provedor exibe o estado do provisionamento no lado do provedor de serviços.

O status do circuito exibe o estado do provisionamento no lado da Microsoft.

Quando você cria um novo circuito de Rota Expressa, o circuito está no seguinte estado:

Status do provedor: Não provisionado Status do circuito: Ativado

O circuito muda quando o provedor de serviços o provisiona para você:

Status do provedor: Status do circuito de provisionamento: Ativado

O circuito ExpressRoute está operacional quando está no seguinte estado:

Status do provedor: Status do circuito provisionado: Ativado

Você também pode verificar o status de provisionamento usando o cmdlet do Azure PowerShell:

Get-AzExpressRouteCircuit -ResourceGroupName "Test-Resource" -Name "Test-Circuit"

A saída mostra o estado de provisionamento do circuito e o estado de provisionamento do provedor de serviços.

Se o estado do Circuito estiver bloqueado em Não Ativado, contacte o Suporte da Microsoft.

Se o status do provedor estiver bloqueado em Não provisionado, entre em contato com seu provedor de serviços.

Validar a configuração de emparelhamento para o circuito

Cada circuito de Rota Expressa pode ter emparelhamento privado do Azure e emparelhamento da Microsoft. O emparelhamento privado do Azure é o tráfego para redes virtuais privadas no Azure. O emparelhamento da Microsoft é o tráfego para pontos de extremidade públicos de PaaS e SaaS.

Os emparelhamentos são configurados pelo seu provedor de serviços. Se o emparelhamento no portal ainda estiver em branco, tente usar refresh para obter a configuração de roteamento atual do seu circuito.

O status de um emparelhamento de circuito de Rota Expressa pode ser verificado no portal do Azure, na página Visão Geral do Circuito de Rota Expressa. Todos os emparelhamentos da Rota Expressa são exibidos na seção Emparelhamentos.

Screenshot of Expressroute peerings.

Na captura de tela acima, o emparelhamento privado do Azure é provisionado, mas os emparelhamentos públicos do Azure e da Microsoft não. Um emparelhamento provisionado com êxito também teria as sub-redes ponto a ponto primárias e secundárias listadas.

Se a ativação de um emparelhamento falhar, verifique se as sub-redes primária e secundária atribuídas correspondem à configuração no CE/PE-MSEE vinculado. Verifique também se o VlanId, AzureASN e PeerASN corretos são usados em MSEEs e se esses valores são mapeados para os usados no CE/PE-MSEE vinculado. Se o hashing MD5 for escolhido, a chave compartilhada deverá ser a mesma no par MSEE e PE-MSEE/CE. Por motivos de segurança, a chave compartilhada configurada anteriormente não seria exibida.

Nota

O Local de Emparelhamento indica o local físico onde você está emparelhando com a Microsoft. A propriedade Location indica onde o Provedor de Recursos de Rede do Azure está localizado. É uma boa prática escolher um Provedor de Recursos de Rede geograficamente próximo ao Local de Emparelhamento do circuito.

Você também pode testar sua conectividade de emparelhamento privado contando os pacotes que chegam e saem dos dispositivos Microsoft Enterprise Edge (MSEE). Esta ferramenta permitirá que você confirme a conectividade, respondendo a perguntas como:

  • Meus pacotes estão chegando ao Azure?

  • Eles estão voltando para a minha rede local?

Para aceder a esta ferramenta de diagnóstico a partir do portal do Azure, selecione o seu circuito de Rota Expressa e, em seguida, selecione Diagnosticar e resolver problemas.

Validar se as rotas estão ativas e configuradas corretamente

Você pode validar se as rotas estão ativas e configuradas corretamente testando a conectividade de emparelhamento. Conte os pacotes que chegam e saem da borda do circuito da Rota Expressa, nos dispositivos Microsoft Enterprise Edge (MSEE). Essa ferramenta de diagnóstico funciona aplicando uma Lista de Controle de Acesso (ACL) ao MSEE para contar o número de pacotes que atingem regras de ACL específicas. O uso desta ferramenta permitirá que você confirme se a conectividade está funcionando conforme o esperado.

  1. Para aceder a esta ferramenta de diagnóstico, selecione Diagnosticar e resolver problemas a partir do seu circuito de Rota Expressa no portal do Azure.

    Screenshot showing the diagnose and solve problems from the ExpressRoute circuit in the Azure portal.

  2. Selecione Problemas de conectividade, em Problemas comuns.

    Screenshot of connectivity issues.

  3. Na lista pendente de Diga-nos mais sobre o problema que está a enfrentar, selecione Conectividade com os serviços Privado do Azure, Público do Azure ou Dynamics 365.

    Screenshot showing connection to Azure Private, Azure Public, or Dynamics 365 services.

  4. Role para baixo até a seção Testar sua conectividade de emparelhamento privado e expanda-a.

    Screenshot showing Testing of private peering connectivity.

  5. Execute o teste PsPing do seu endereço IP local para o seu endereço IP do Azure e mantenha-o em execução durante o teste de conectividade.

  6. Preencha os campos do formulário, certificando-se de inserir os mesmos endereços IP locais e do Azure usados anteriormente. Selecione Enviar e aguarde os resultados. Quando os resultados estiverem prontos, reveja as informações para interpretá-los abaixo.

    Screenshot of connectivity test.

    Você terá dois conjuntos de resultados para os dispositivos MSEE primários e secundários. Analise o número de correspondências dentro e fora e use os seguintes cenários para interpretar os resultados:

    • Você vê correspondências de pacotes enviadas e recebidas em ambos os MSEEs: Isso indica tráfego íntegro de entrada e saída do MSEE em seu circuito. Se a perda estiver ocorrendo no local ou no Azure, ela está acontecendo a jusante do MSEE.

    • Se os resultados do teste de PsPing do local para o Azure (recebido) mostrarem correspondências, mas os resultados enviados não mostrarem correspondências: isso indica que o tráfego está sendo recebido para o Azure, mas não está retornando ao local. Verifique se há problemas de roteamento do caminho de retorno. Verifique se você está anunciando os prefixos apropriados para o Azure. Verifique se há um UDR substituindo prefixos.

    • Se o teste de PsPing do Azure para os resultados locais (enviados) mostrar NENHUMA correspondência, mas os resultados (recebidos) mostrarem correspondências: Isso indica que o tráfego está chegando ao local, mas não voltando. Você deve trabalhar com seu provedor para descobrir por que o tráfego não está sendo roteado para o Azure por meio de seu circuito de Rota Expressa.

    • Um MSEE mostra SEM correspondências, enquanto o outro mostra boas correspondências: Isso indica que um MSEE não está recebendo ou passando nenhum tráfego. Verifique se está offline, por exemplo, BGP/ARP inativo.

Exemplo:

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

Este resultado do teste tem as seguintes propriedades:

  • Porta IP: 3389

  • Endereço IP local CIDR: 10.0.0.0

  • Endereço IP do Azure CIDR: 20.0.0.0

Redefinir um circuito de Rota Expressa

Quando uma operação em um circuito de Rota Expressa não é concluída com êxito, o circuito pode entrar em um estado de "falha". Você pode redefinir um circuito de Rota Expressa com falha usando o Azure PowerShell. Você precisará da versão mais recente dos cmdlets do PowerShell do Azure Resource Manager.

  1. Abra o console do PowerShell com privilégios elevados e conecte-se à sua conta. Utilize o exemplo seguinte para o ajudar na ligação:

    Connect-AzAccount

  2. Se tiver várias subscrições do Azure, verifique as subscrições da conta.

    Get-AzSubscription

  3. Especifique a subscrição que pretende utilizar.

    Select-AzSubscription -SubscriptionName "Replace_with_your_subscription_name"

  4. Execute os seguintes comandos para redefinir um circuito que está em um estado de falha:

    $ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "ExpressRouteResourceGroup"

Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt

O circuito deve agora ser reiniciado.

Solucionar problemas de roteamento assimétrico

Roteamento assimétrico é quando o tráfego de rede de retorno toma um caminho diferente do fluxo de saída original. Por exemplo, se você tiver um caminho da Internet e um caminho privado que vá para o mesmo destino. Isso também acontece quando você tem vários caminhos privados conectados ao mesmo destino.

O Traceroute é a melhor forma de garantir que o tráfego de rede atravessa o caminho esperado.

Quando você se conecta por meio da Rota Expressa do Azure, tem vários links para a Microsoft. Tem a sua ligação à Internet existente e a ligação ExpressRoute. O tráfego destinado à Microsoft pode passar pela conexão com a Internet, mas retornar pela conexão de Rota Expressa. Como alternativa, o tráfego pode passar pela Rota Expressa, mas retornar pelo caminho da Internet.

Você recebe endereços IP mais específicos do circuito ExpressRoute. Assim, quando o tráfego da sua rede vai para a Microsoft para serviços oferecidos através da Rota Expressa, o tráfego será roteado para a conexão da Rota Expressa.

Há duas opções ao resolver o roteamento assimétrico: usando roteamento ou usando NAT baseado em origem (SNAT).

Com a opção de roteamento, anuncie seus endereços IP públicos para links de rede de longa distância (WAN) apropriados. Por exemplo, para usar a Internet para tráfego de autenticação e a Rota Expressa para tráfego de email, seria necessário que você não anunciasse seus endereços IP públicos dos Serviços de Federação do Ative Directory (AD FS) pela Rota Expressa. Além disso, certifique-se de não expor seu servidor AD FS local aos endereços IP que o roteador recebe pela Rota Expressa. As rotas recebidas pela Rota Expressa são mais específicas, portanto, tornam a Rota Expressa o caminho preferencial para o tráfego de autenticação para a Microsoft.

Para usar a Rota Expressa para autenticação, anuncie endereços IP públicos do AD FS na Rota Expressa sem NAT. Isso envia o tráfego originado da Microsoft por meio da Rota Expressa para o servidor AD FS local. O tráfego de retorno da sua rede que vai para a Microsoft usará a Rota Expressa porque é a rota preferida pela Internet.

Como alternativa, use SNAT para evitar roteamento assimétrico. Por exemplo, se você quiser enviar tráfego SMTP pela Internet, não anuncie o endereço IP público de um servidor SMTP local por meio da Rota Expressa.

Uma solicitação originada da Microsoft que vai para o seu servidor SMTP local atravessa a Internet. Faz o SNAT do pedido de entrada para um endereço IP interno. O tráfego de retorno do servidor SMTP irá para o firewall de borda (que você usa para NAT) em vez de através da Rota Expressa, garantindo que o tráfego de retorno siga o caminho da Internet.

Solucionar problemas de filtragem de rotas

Quando você configura o emparelhamento em seu circuito de Rota Expressa, os roteadores de borda estabelecem um par de sessões BGP (Border Gateway Protocol) com os roteadores de borda por meio de seu provedor de conectividade. Neste ponto, nenhuma rota é anunciada para a sua rede. Para habilitar anúncios de rota para sua rede, você deve configurar um filtro de rota.

Um filtro de rota permite identificar os serviços que você deseja consumir. É uma lista de valores permitidos da comunidade BGP. Depois que um recurso de filtro de rota é definido e anexado a um circuito de Rota Expressa, todos os prefixos mapeados para os valores da comunidade BGP são anunciados na sua rede.

Tem de ter autorização para consumir serviços do Microsoft 365 através do ExpressRoute para anexar filtros de rota aos serviços do Microsoft 365. Se você não tiver essa autorização, a operação falhará.

Os valores da comunidade BGP associados a serviços acessíveis por meio do emparelhamento da Microsoft estão disponíveis aqui: Requisitos de roteamento da Rota Expressa.

Um filtro de rota pode ter apenas uma regra e deve ser do tipo Permitir. Você pode associar uma lista de valores da comunidade BGP associados à regra.

Crie uma regra de filtro:

  • Para adicionar e atualizar regras, selecione a guia gerenciar regra para seu filtro de rota.

    Screenshot of Manage rule tab.

  • Na lista suspensa, selecione as comunidades de serviço permitidas às quais você deseja se conectar. Salve a regra quando terminar.

Screenshot of Rule settings.

Solucionar problemas de configurações redundantes

Cada circuito ExpressRoute tem um par redundante de conexões cruzadas para garantir alta disponibilidade. Se uma das conexões cruzadas falhar, você não perderá a conectividade. A conexão redundante fornece conectividade e alta disponibilidade.

Cada gateway de VPN do Azure é composto por duas instâncias, ambas em estado de espera ativa. Quando a manutenção ou a interrupção não planejada acontece com a instância ativa, a instância em espera assume o controle (failover) automaticamente.

Solucionar problemas de atualizações de rota

O roteamento de rede é a maneira pela qual o tráfego de rede determina seu caminho para chegar a um destino. As tabelas de rotas são usadas para ajudar a determinar caminhos de roteamento listando informações de topologia de rede. Se sua rede virtual contiver um dispositivo virtual de rede (NVA), você deverá configurar e atualizar manualmente suas tabelas de rotas.

O Azure Route Server permite configurar, manter e implantar NVAs em sua rede virtual. O Route Server também mantém as informações de endereço de rede virtual atualizadas. O Route Server elimina a sobrecarga administrativa da manutenção de tabelas de rotas.

Como alternativa, você pode definir rotas estáticas que substituem as rotas padrão do Azure. Ou você pode adicionar rotas adicionais à tabela de rotas de uma sub-rede. Você produz rotas personalizadas criando rotas definidas pelo usuário ou trocando rotas BGP (border gateway protocol ) entre seu gateway de rede local e um gateway de rede virtual do Azure.

Para solucionar problemas de atualizações de rota, tente o seguinte:

  • Não implante um dispositivo virtual na mesma sub-rede que a tabela de rotas que roteia o tráfego através dele. Isso pode resultar em loops de roteamento, o que significa que o tráfego nunca sai da sub-rede.

  • Certifique-se de que um endereço IP privado do próximo salto tenha conectividade direta sem roteamento por meio do ExpressRoute Gateway ou da WAN Virtual. Definir o próximo salto para um endereço IP sem conectividade direta resulta em uma configuração de roteamento inválida definida pelo usuário.

Identificar a causa raiz dos problemas de latência da Rota Expressa

Para solucionar problemas de latência com a Rota Expressa, o Kit de Ferramentas de Conectividade do Azure inclui uma ferramenta chamada iPerf.

Você usa o iPerf para testes básicos de desempenho, copiando os arquivos para um diretório no host. Para testar o desempenho, siga estes passos:

  1. Instale o módulo PowerShell.

    (new-object Net.WebClient).DownloadString("https://aka.ms/AzureCT") | Invoke-Expression

    Este comando baixa o módulo do PowerShell e o instala localmente.

  2. Instale os aplicativos de suporte.

    Install-LinkPerformance

    Este comando AzureCT instala iPerf e PSPing em um novo diretório, "C:\ACTTools". Ele também abre as portas do Firewall do Windows para permitir o tráfego ICMP e a porta 5201 (iPerf).

  3. Execute o teste de desempenho.

    Primeiro, no host remoto, você deve instalar e executar o iPerf no modo de servidor. Verifique se o host remoto está escutando no 3389 (RDP para Windows) ou 22 (SSH para Linux) e permitindo o tráfego na porta 5201 para iPerf. Se o host remoto for o Windows, instale o AzureCT e execute o comando Install-LinkPerformance. O comando irá configurar o iPerf e as regras de firewall necessárias.

    Quando a máquina remota estiver pronta, abra o PowerShell na máquina local e inicie o teste:

    Get-LinkPerformance -RemoteHost 10.0.0.1 -TestSeconds 10

    Este comando executa uma série de testes simultâneos de carga e latência para ajudar a estimar a largura de banda, a capacidade e a latência do seu link de rede.

  4. Analise a saída dos testes.

Os resultados detalhados dos testes iPerf estão em arquivos de texto individuais no diretório de ferramentas AzureCT em "C:\ACTTools".

O formato de saída do PowerShell é semelhante a:

Screenshot of PowerShell output of test.

Se o teste de desempenho não fornecer os resultados esperados, use um processo passo a passo para resolver o problema.

Primeiro, desafie suas suposições. Se você tem um circuito de Rota Expressa de 1 Gbps e 100 ms de latência, não é razoável esperar os 1 Gbps completos de tráfego, dadas as características do TCP em links de alta latência.

Em segundo lugar, comece pelas bordas entre os domínios de roteamento para tentar isolar o problema em um único domínio de roteamento principal. Você pode começar na Rede Corporativa, na WAN ou na Rede do Azure. Certifique-se de que tem motivos razoáveis para contactar o seu fornecedor de serviços ou ISP, uma vez que isso está fora do seu controlo. Isso pode atrasar uma correção que está sob seu controle.

Quando você identificar o domínio de roteamento principal que parece conter o problema, crie um diagrama. Ver a área em um diagrama permite que você trabalhe metodicamente planejando pontos para testar. Divida a rede em segmentos para reduzir o problema e atualizar o diagrama à medida que obtém resultados.

Além disso, não se esqueça de olhar para outras camadas do modelo OSI. É fácil se concentrar na rede e nas camadas 1-3 (Física, Dados e Rede), mas o problema pode estar na Camada 7 na camada de aplicativo. Mantenha a mente aberta e verifique as suposições.

Nota

A latência geográfica entre os pontos finais é o maior componente da latência. A latência do equipamento que tem, por exemplo, componentes físicos e virtuais, e o número de saltos, está envolvida. Mas a geografia demonstrou ter um impacto maior na latência geral ao lidar com conexões WAN. Lembre-se que a distância da corrida de fibra não é a distância em linha reta ou roteiro. Use uma calculadora de distância da cidade que, embora imprecisa, é boa o suficiente.