Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen, häufige Probleme beim Arbeiten mit Azure Route Server zu diagnostizieren und zu beheben. Verwenden Sie die Anleitungen in diesem Artikel, um Konnektivitätsprobleme, Probleme mit der Flugzeugsteuerung und betriebliche Bedenken zu beheben.
Konnektivitätsprobleme
Warum verliert mein NVA (Network Virtual Appliance, virtuelles Netzwerkgerät) die Internetkonnektivität, nachdem sie die Standardroute (0.0.0.0/0) für den Routenserver angekündigt hat?
Wenn Ihr NVA die Standardroute ankündigt, programmiert Route Server sie für alle virtuellen Maschinen (Virtual Machines, VMs) im virtuellen Netzwerk, einschließlich der NVA selbst. Diese Standardroute legt das NVA als nächsten Hop für den gesamten Internetdatenverkehr fest. Wenn Ihre NVA Internetkonnektivität benötigt, müssen Sie eine benutzerdefinierte Route (User Defined Route, UDR) konfigurieren, mit der diese Standardroute der NVA außer Kraft gesetzt wird, und die UDR an das Subnetz anfügen, in dem die NVA gehostet wird. Andernfalls sendet der NVA-Hostcomputer den internetgebundenen Datenverkehr, einschließlich des vom NVA gesendeten Datenverkehrs, zurück an die NVA selbst.
Weitere Informationen finden Sie unter Benutzerdefinierte Routen.
Erforderliche UDR-Konfiguration:
| Route | Nächster Hop |
|---|---|
| 0.0.0.0/0 | Internet |
Warum verliert das NVA ihre Konnektivität mit dem Route Server, nachdem mithilfe einer benutzerdefinierten Route (User Defined Route, UDR) im GatewaySubnet erzwungen wurde, dass der gesamte Datenverkehr an eine Firewall gesendet wird?
Wenn Sie Ihren lokalen Datenverkehr mithilfe einer Firewall überwachen möchten, können Sie den gesamten lokalen Datenverkehr mithilfe einer benutzerdefinierten Route (UDR) im GatewaySubnet zur Firewall leiten. Dieser UDR kann jedoch die Kommunikation zwischen dem Route-Server und dem Gateway unterbrechen, indem er den Steuerebenenverkehr (BGP) zur Firewall erzwingt. Dieses Problem tritt auf, wenn Sie den Datenverkehr prüfen, der für das virtuelle Netzwerk mit dem Route-Server bestimmt ist.
Um dieses Problem zu vermeiden, fügen Sie der GatewaySubnet-Routentabelle einen weiteren UDR hinzu, um den Kontrollebenendatenverkehr davon auszuschließen, dass er zur Firewall geleitet wird (wenn das Hinzufügen einer BGP-Regel zur Firewall nicht gewünscht oder möglich ist):
Beispiel-UDR-Konfiguration:
| Route | Nächster Hop |
|---|---|
| 10.0.0.0/16 | 10.0.2.1 |
| 10.0.1.0/27 | VirtualNetwork |
In diesem Beispiel:
- 10.0.0.0/16 ist der Adressraum des virtuellen Netzwerks.
- 10.0.1.0/27 ist der Adressraum von RouteServerSubnet
- 10.0.2.1 ist die IP-Adresse der Firewall.
Ich habe eine benutzerdefinierte Route (UDR) mit dem nächsten Hoptyp als Virtual Network Gateway hinzugefügt, aber diese UDR wird nicht wirksam. Entspricht dies dem erwarteten Verhalten?
Ja, dieses Verhalten wird erwartet. Benutzerdefinierte Routen mit dem nächsten Hoptyp Virtual Network Gateway werden für Subnetze innerhalb des virtuellen Netzwerks und der mit Peering verbundenen virtuellen Netzwerke von Route Server nicht unterstützt. Wenn Sie den nächsten Hop jedoch so konfigurieren möchten, dass es sich um eine virtuelle Netzwerkanwendung (Network Virtual Appliance, NVA) oder das Internet handelt, können Sie eine benutzerdefinierte Route mit dem nächsten Hoptyp VirtualAppliance oder Internet hinzufügen.
Warum befindet sich in den effektiven Routen der Netzwerkschnittstelle meiner VM eine benutzerdefinierte Route, deren nächster Hop auf den Typ Keiner festgelegt ist?
Wenn Sie eine Route von Ihrer NVA zum Routenserver ankündigen, die eine genaue Präfixübereinstimmung wie eine andere benutzerdefinierte Route hat, muss der nächste Hop der angekündigten Route gültig sein. Wenn der angekündigte nächste Hop ein Load Balancer ohne konfigurierten Backend-Pool ist, hat diese ungültige Route Vorrang vor der vom Benutzer definierten Route. In den effektiven Routen der Netzwerkschnittstelle zeigt die ungültige angekündigte Route als benutzerdefinierte Route, wobei der Typ für den nächsten Hop auf Keiner festgelegt ist.
Warum treten Konnektivitätsprobleme auf, Azure-Routen wieder an Azure angekündigt wurden?
Wenn Sie beabsichtigen, Azure BGP-Communitys aus virtuellen Netzwerken und UDR-Routen zu entfernen, bewerben Sie diese Routen nicht zurück in Azure, da dies Routingprobleme verursacht. Es wird nicht empfohlen, Azure-Routen zurück in Azure anzukündigen.
Warum geht die Konnektivität verloren, nachdem dem RouteServerSubnet oder GatewaySubnet eine Dienstendpunktrichtlinie zugeordnet wurde?
Wenn Sie einer RouteServerSubnet- oder GatewaySubnet-Richtlinie eine Dienstendpunktrichtlinie zuordnen, könnte dies die Kommunikation zwischen der zugrunde liegenden Verwaltungsplattform von Azure und den entsprechenden Azure-Diensten (Route Server und VPN/ExpressRoute-Gateway) beeinträchtigen. Dies kann dazu führen, dass diese Azure-Ressourcen in einen fehlerhaften Zustand geraten, wodurch die Konnektivität zwischen Ihren lokalen Workloads und Azure-Workloads verloren geht.
Warum verliere ich die Konnektivität, nachdem ich benutzerdefiniertes DNS anstelle des Standards (von Azure bereitgestelltes DNS) für das virtuelle Netzwerk von Route Server verwendet habe?
Stellen Sie für das virtuelle Netzwerk, in dem Route Server bereitgestellt wird, sicher, dass Ihre benutzerdefinierte DNS-Konfiguration öffentliche Domänennamen auflösen kann, wenn Sie kein Standard-DNS (Azure-bereitgestellt) verwenden. Dadurch wird sichergestellt, dass Azure-Dienste (Route Server und VPN/ExpressRoute-Gateway) mit der zugrunde liegenden Verwaltungsebene von Azure kommunizieren können.
Weitere Informationen zu Platzhalterregeln finden Sie in der Dokumentation zu Azure DNS Private Resolver.
Warum kann ich die BGP-Peer-IP des Routenservers von meinem NVA aus nicht über TCP anpingen, nachdem ich das BGP-Peering zwischen ihnen eingerichtet habe?
In manchen NVAs müssen Sie eine statische Route zum Route Server-Subnetz hinzufügen, um den Routenserver von der NVA über TCP anpingen zu können und eine BGP-Peering-Fluktuation zu vermeiden. Wenn sich beispielsweise der Routenserver in 10.0.255.0/27 und Ihr NVA in 10.0.1.0/24 befindet, müssen Sie der Routingtabelle auf dem NVA die folgende Route hinzufügen:
Erforderliche statische Route:
| Route | Nächster Hop |
|---|---|
| 10.0.255.0/27 | 10.0.1.1 |
In diesem Beispiel ist 10.0.1.1 die Standardgateway-IP im Subnetz, in dem Ihre NVA (oder genauer gesagt eine der NICs) gehostet wird.
Warum geht bei der Bereitstellung eines Routenservers in einem virtuellen Netzwerk, das bereits über ein ExpressRoute-Gateway und/oder ein Azure-VPN-Gateway verfügt, die Konnektivität mit meinem lokalen Netzwerk über ExpressRoute und/oder Azure-VPN verloren?
Wenn Sie einen Routenserver in einem virtuellen Netzwerk bereitstellen, muss die Steuerungsebene zwischen den Gateways und dem virtuellen Netzwerk aktualisiert werden. Während dieser Aktualisierung wird die Konnektivität der VMs im virtuellen Netzwerk mit dem lokalen Netzwerk für einen gewissen Zeitraum getrennt. Es wird daher dringend empfohlen, eine Wartung für die Bereitstellung eines Routenservers in Ihrer Produktionsumgebung zu planen.
Probleme mit der Steuerungsebene
Warum erhält mein lokales Netzwerk, das mit dem Azure-VPN-Gateway verbunden ist, nicht die vom Routenserver angekündigte Standardroute?
Azure VPN Gateway kann zwar die Standardroute von seinen BGP-Peers einschließlich des Routenservers empfangen, aber die Standardroute wird anderen Peers nicht angekündigt.
Warum empfängt mein NVA keine Routen vom Routenserver, obwohl das BGP-Peering aktiv ist?
Die vom Routenserver verwendete ASN lautet 65515. Stellen Sie sicher, dass Sie einen anderen ASN für Ihre NVA konfigurieren, damit eine eBGP-Sitzung zwischen Dem NVA und Route Server hergestellt werden kann, damit die Routenverteilung automatisch erfolgen kann. Stellen Sie sicher, dass Sie in Ihrer BGP-Konfiguration mehrere Hops aktivieren, da sich Ihre NVA und der Route-Server in verschiedenen Subnetzen im virtuellen Netzwerk befinden.
Warum funktioniert die Konnektivität nicht, wenn ich Routen mit einer ASN von 0 im AS-Pfad anbiete?
Azure Route Server legt Routen mit einem ASN von 0 im AS-Pfad ab. Um sicherzustellen, dass diese Routen erfolgreich in Azure angekündigt werden, sollte der AS-Path nicht „0“ enthalten.
Das BGP-Peering zwischen meinem NVA und dem Routenserver ist aktiv. Ich kann sehen, dass die Routen zwischen ihnen richtig ausgetauscht werden. Warum sind die NVA-Routen nicht in der gültigen Routingtabelle meines virtuellen Computers enthalten?
Wenn sich Ihre VM im selben virtuellen Netzwerk wie Ihr NVA- und Routingserver befindet:
Route Server macht zwei BGP-Peer-IPs verfügbar, die die Verantwortung für das Senden der Routen an alle anderen virtuellen Computer teilen, die in Ihrem virtuellen Netzwerk ausgeführt werden. Jeder NVA muss zwei identische BGP-Sitzungen einrichten (z. B. dieselbe AS-Nummer verwenden, denselben AS-Pfad verwenden und dieselbe Route ankündigen) für die beiden BGP-Peer-IPs, damit Ihre VMs im virtuellen Netzwerk konsistente Routinginformationen von Azure Route Server erhalten können.
Wenn Sie über zwei oder mehr Instanzen des NVAs verfügen, können Sie verschiedene AS-Pfade für dieselbe Route von verschiedenen NVA-Instanzen ankündigen, wenn Sie eine NVA-Instanz als aktiv und die andere als passiv festlegen möchten.
Wenn sich Ihr virtueller Computer in einem anderen virtuellen Netzwerk befindet als das, das Ihre NVA und den Route-Server hosten:
Überprüfen Sie, ob das Peering virtueller Netzwerke zwischen den beiden virtuellen Netzwerken und „Remote-Route Server verwenden“ für das VNet Ihrer VM aktiviert ist.
Warum ist Equal-Cost Multi-Path-Funktion (ECMP) meiner ExpressRoute-Verbindung deaktiviert, nachdem ich den Routenserver im virtuellen Netzwerk bereitgestellt habe?
Wenn Sie dieselben Routen aus Ihrem lokalen Netzwerk über mehrere ExpressRoute-Verbindungen an Azure ankündigen, ist ECMP normalerweise standardmäßig für den Datenverkehr aktiviert, der für diese Routen von Azure zurück zu Ihrem lokalen Netzwerk bestimmt ist. Nach der Bereitstellung des Routenservers gehen die Informationen mit mehreren Pfaden derzeit beim BGP-Austausch zwischen ExpressRoute und dem Routenserver verloren, und der Datenverkehr von Azure durchläuft daher nur eine der ExpressRoute-Verbindungen.
Betriebliche Probleme
Warum wird mir ein Fehler zu einem ungültigen Bereich und einer ungültigen Autorisierung zum Ausführen von Route Server-Vorgängen angezeigt?
Wenn im folgenden Format ein Fehler angezeigt wird, stellen Sie sicher, dass Sie die folgenden Berechtigungen konfiguriert haben: Routenserverrollen und -berechtigungen.
Fehlermeldungsformat: "Der Client mit Objekt-ID {} verfügt nicht über die Berechtigung zum Ausführen einer Aktion {} über den Bereich {} oder der Bereich ist ungültig. Wenn der Zugriff erst vor Kurzem gewährt wurde, sollten Sie Ihre Anmeldeinformationen aktualisieren.
Nächster Schritt
Weitere Informationen zum Erstellen und Konfigurieren von Azure Route Server finden Sie hier: