Problemen met Azure Route Server oplossen
Meer informatie over het oplossen van enkele veelvoorkomende problemen met Azure Route Server.
Connectiviteitsproblemen
Waarom verliest mijn virtuele netwerkapparaat (NVA) de internetverbinding nadat de standaardroute (0.0.0.0/0) naar de routeserver is geadverteerd?
Wanneer uw NVA de standaardroute adverteert, programmat de Route Server deze voor alle virtuele machines (VM's) in het virtuele netwerk, inclusief de NVA zelf. Met deze standaardroute wordt de NVA ingesteld als de volgende hop voor al het internetverkeer. Als uw NVA een internetverbinding nodig heeft, moet u een door de gebruiker gedefinieerde route (UDR) configureren om deze standaardroute van de NVA te overschrijven en de UDR te koppelen aan het subnet waar de NVA wordt gehost. Anders blijft de NVA-hostmachine het internetverkeer verzenden, inclusief het verkeer dat door de NVA naar de NVA zelf wordt verzonden. Zie door de gebruiker gedefinieerde routes voor meer informatie.
| Route | Volgende hop |
|---|---|
| 0.0.0.0/0 | Internet |
Waarom verliest de NVA de connectiviteit met de routeserver nadat al het verkeer naar een firewall is afgedwongen met behulp van een door de gebruiker gedefinieerde route (UDR) op het GatewaySubnet?
Als u uw on-premises verkeer wilt inspecteren met behulp van een firewall, kunt u al het on-premises verkeer naar de firewall afdwingen met behulp van een door de gebruiker gedefinieerde route (UDR) op gatewaysubnet (een routetabel die is gekoppeld aan het GatewaySubnet met de UDR). Deze UDR kan echter de communicatie tussen de routeserver en de gateway verbreken door het verkeer van het besturingsvlak (BGP) naar de firewall te dwingen (dit probleem treedt op als u het verkeer inspecteert dat is bestemd voor het virtuele netwerk met de routeserver). Om dit probleem te voorkomen, moet u een andere UDR toevoegen aan de gatewaysubnet-routetabel om verkeer van het besturingsvlak uit te sluiten van gedwongen naar de firewall (in het geval dat het toevoegen van een BGP-regel aan de firewall niet gewenst/mogelijk is):
| Route | Volgende hop |
|---|---|
| 10.0.0.0/16 | 10.0.2.1 |
| 10.0.1.0/27 | VirtualNetwork |
10.0.0.0/16 is de adresruimte van het virtuele netwerk en 10.0.1.0/27 is de adresruimte van RouteServerSubnet. 10.0.2.1 is het IP-adres van de firewall.
Ik heb een door de gebruiker gedefinieerde route (UDR) toegevoegd met het volgende hoptype als Virtual Network Gateway, maar deze UDR wordt niet van kracht. Is dit verwacht?
Ja, dit is verwacht gedrag. Door de gebruiker gedefinieerde routes met het volgende hoptype Virtual Network Gateway worden niet ondersteund voor subnetten in het virtuele netwerk van de routeserver en gekoppelde virtuele netwerken. Als u uw volgende hop echter wilt configureren als een virtueel netwerkapparaat (NVA) of internet, wordt het toevoegen van een door de gebruiker gedefinieerde route met het volgende hoptype VirtualAppliance of Internet ondersteund.
Waarom heb ik in de effectieve routes van de netwerkinterface van mijn VM een door de gebruiker gedefinieerde route (UDR) met het volgende hoptype ingesteld op Geen?
Als u een route van uw NVA naar routeserver adverteert die een exacte overeenkomst met het voorvoegsel is als een andere door de gebruiker gedefinieerde route, moet de volgende hop van de geadverteerde route geldig zijn. Als de aangekondigde volgende hop een load balancer is zonder een geconfigureerde back-endpool, heeft deze ongeldige route voorrang op de door de gebruiker gedefinieerde route. In de effectieve routes van uw netwerkinterface wordt de ongeldige geadverteerd route weergegeven als een door de gebruiker gedefinieerde route met het volgende hoptype ingesteld op Geen.
Waarom verlies ik de connectiviteit nadat ik een service-eindpuntbeleid aan het RouteServerSubnet of GatewaySubnet heb gekoppeld?
Als u een service-eindpuntbeleid koppelt aan het RouteServerSubnet of GatewaySubnet, kan de communicatie tussen het onderliggende beheerplatform van Azure en deze respectieve Azure-services (RouteServer en VPN/ExpressRoute-gateway) breken. Dit kan ertoe leiden dat deze Azure-resources een slechte status krijgen, wat leidt tot verlies van connectiviteit tussen uw on-premises en Azure-workloads.
Waarom verlies ik de connectiviteit nadat ik aangepaste DNS heb gebruikt in plaats van de standaard (door Azure geleverde DNS) voor het virtuele netwerk van de routeserver?
Voor het virtuele netwerk waarin routeserver is geïmplementeerd, moet u ervoor zorgen dat uw aangepaste DNS-configuratie openbare domeinnamen kan omzetten als u geen standaard-DNS (door Azure opgegeven) DNS gebruikt. Dit zorgt ervoor dat Azure-services (routeserver en VPN/ExpressRoute-gateway) kunnen communiceren met het onderliggende beheervlak van Azure. Zie de opmerking over jokertekenregels in de documentatie voor privé-resolver van Azure DNS voor meer informatie.
Waarom kan ik tcp niet pingen van mijn NVA naar het IP-adres van de BGP-peer van de routeserver nadat ik de BGP-peering ertussen heb ingesteld?
In sommige NVA's moet u een statische route toevoegen aan het subnet van de routeserver om tcp te kunnen pingen van de routeserver van de NVA en om BGP-peering flapping te voorkomen. Als de routeserver zich bijvoorbeeld in 10.0.255.0/27 bevindt en uw NVA zich in 10.0.1.0/24 bevindt, moet u de volgende route toevoegen aan de routeringstabel in de NVA:
| Route | Volgende hop |
|---|---|
| 10.0.255.0/27 | 10.0.1.1 |
10.0.1.1 is het standaard-IP-adres van de gateway in het subnet waarin uw NVA (of nauwkeuriger, een van de NIC's) wordt gehost.
Waarom verlies ik de connectiviteit met mijn on-premises netwerk via ExpressRoute en/of Azure VPN wanneer ik een routeserver implementeer naar een virtueel netwerk dat al een ExpressRoute-gateway en/of Azure VPN-gateway heeft?
Wanneer u een routeserver implementeert in een virtueel netwerk, moeten we het besturingsvlak tussen de gateways en het virtuele netwerk bijwerken. Tijdens deze update is er een periode waarin de VM's in het virtuele netwerk de verbinding met het on-premises netwerk verliezen. We raden u ten zeerste aan onderhoud te plannen voor het implementeren van een routeserver in uw productieomgeving.
Problemen met het besturingsvlak
Waarom ontvangt mijn on-premises netwerk dat is verbonden met Azure VPN-gateway niet de standaardroute die wordt aangekondigd door de routeserver?
Hoewel Azure VPN-gateway de standaardroute kan ontvangen van de BGP-peers, inclusief de routeserver, wordt de standaardroute niet geadverteerd naar andere peers.
Waarom ontvangt mijn NVA geen routes van de routeserver, ook al is de BGP-peering up?
De ASN die door de routeserver wordt gebruikt, is 65515. Zorg ervoor dat u een andere ASN configureert voor uw NVA, zodat er een eBGP-sessie tot stand kan worden gebracht tussen uw NVA en routeserver, zodat routedoorgifte automatisch kan plaatsvinden. Zorg ervoor dat u 'multihop' inschakelt in uw BGP-configuratie omdat uw NVA en de routeserver zich in verschillende subnetten in het virtuele netwerk bevinden.
Waarom werkt de verbinding niet wanneer ik routes met een ASN van 0 in het AS-pad adverteer?
Azure Route Server verwijdert routes met een ASN van 0 in het AS-pad. Om ervoor te zorgen dat deze routes met succes worden geadverteerd in Azure, mag het AS-pad geen 0 bevatten.
De BGP-peering tussen mijn NVA en routeserver is hoger. Ik kan zien dat routes correct tussen hen zijn uitgewisseld. Waarom bevinden de NVA-routes zich niet in de effectieve routeringstabel van mijn VM?
Als uw VIRTUELE machine zich in hetzelfde virtuele netwerk bevindt als uw NVA en routeserver:
RouteServer maakt twee BGP-peer-IP's beschikbaar, die de verantwoordelijkheid delen van het verzenden van de routes naar alle andere VM's die in uw virtuele netwerk worden uitgevoerd. Elke NVA moet twee identieke BGP-sessies instellen (bijvoorbeeld hetzelfde AS-nummer, hetzelfde AS-pad gebruiken en dezelfde set routes adverteren) naar de twee BGP-peer-IP's, zodat uw VM's in het virtuele netwerk consistente routeringsgegevens van Azure Route Server kunnen krijgen.
Als u twee of meer exemplaren van de NVA hebt, kunt u verschillende AS-paden voor dezelfde route van verschillende NVA-exemplaren adverteren als u één NVA-exemplaar als actief en de andere passieve wilt aanwijzen.
Als uw VIRTUELE machine zich in een ander virtueel netwerk bevindt dan het netwerk dat als host fungeert voor uw NVA en de routeserver. Controleer of VNet-peering is ingeschakeld tussen de twee VNets en of Externe routeserver gebruiken is ingeschakeld in het virtuele netwerk van uw virtuele machine.
Waarom is de ecmp-functie (Equal-Cost Multi-Path) van mijn ExpressRoute uitgeschakeld nadat ik routeserver in het virtuele netwerk heb geïmplementeerd?
Wanneer u dezelfde routes van uw on-premises netwerk naar Azure via meerdere ExpressRoute-verbindingen adverteert, wordt ECMP standaard ingeschakeld voor het verkeer dat is bestemd voor deze routes van Azure naar uw on-premises netwerk. Wanneer u de routeserver implementeert, gaan er gegevens over meerdere paden verloren in de BGP-uitwisseling tussen ExpressRoute en de routeserver, waardoor verkeer van Azure slechts via een van de ExpressRoute-verbindingen verloopt.
Operationele problemen
Waarom krijg ik een foutmelding over ongeldig bereik en autorisatie voor het uitvoeren van routeserverbewerkingen?
Als u een fout in de onderstaande indeling ziet, controleert u of u de volgende machtigingen hebt geconfigureerd: Serverfuncties en machtigingen routeren
Foutberichtindeling: 'De client met object-id {} heeft geen autorisatie om actie {} uit te voeren over het bereik {} of het bereik is ongeldig. Als onlangs toegang is verleend, vernieuwt u uw referenties.'
Volgende stap
Zie voor meer informatie over het maken en configureren van Azure Route Server: