다음을 통해 공유

ExpressRoute 연결 확인

  • 아티클

이 문서는 Azure ExpressRoute 연결을 확인하고 문제를 해결하는 데 도움이 됩니다. ExpressRoute는 연결 공급자가 용이하게 하는 프라이빗 연결을 통해 온-프레미스 네트워크를 Microsoft 클라우드로 확장합니다. ExpressRoute 연결에는 다음과 같은 세 가지 고유한 네트워크 영역이 포함됩니다.

  • 고객 네트워크
  • 공급자 네트워크
  • Microsoft 데이터 센터

참고 항목

ExpressRoute 직접 연결 모델에서는 MSEE(Microsoft Enterprise Edge) 라우터용 포트에 직접 연결할 수 있습니다. 이 모델에는 네트워크 및 Microsoft 네트워크 영역만 포함됩니다.

이 문서는 연결 문제를 식별하고 해당 팀의 지원을 요청하여 문제를 해결하는 데 도움이 됩니다.

Important

이 문서는 간단한 문제를 진단하고 수정하는 데 사용됩니다. Microsoft 지원을 대체하는 것은 아닙니다. 이 지침을 사용하여 문제를 해결할 수 없는 경우 Microsoft 지원 지원 티켓을 엽니다.

개요

다음 다이어그램에서는 ExpressRoute를 통한 고객 네트워크와 Microsoft 네트워크 간의 논리적 연결을 보여 줍니다. 1

다이어그램에서 숫자는 주요 네트워크 지점을 나타냅니다.

  1. 고객 컴퓨팅 디바이스(예: 서버 또는 PC)
  2. 고객 에지 라우터(CE)
  3. 고객 에지 라우터를 향한 공급자 에지 라우터/스위치(PE)
  4. PE-MSE라고 하는 Microsoft Enterprise Edge MSE(ExpressRoute 라우터)를 향한 PE입니다.
  5. MSEE
  6. 가상 네트워크 게이트웨이.
  7. Azure 가상 네트워크의 컴퓨팅 디바이스

이러한 네트워크 지점은 문서 전체에서 연결된 번호로 참조됩니다.

ExpressRoute 연결 모델에 따라 네트워크 지점 3 및 4는 스위치(계층 2 디바이스) 또는 라우터(계층 3 디바이스)일 수 있습니다. 연결 모델은 클라우드 교환 공동 배치, 지점 간 이더넷 연결 또는 IPVPN(Any-to-Any)입니다.

직접 연결 모델에는 네트워크 지점 3 및 4가 없습니다. 대신 CE(2)는 다크 파이버를 통해 MSEE에 직접 연결됩니다.

클라우드 교환 공동 배치, 지점 간 이더넷 또는 직접 연결 모델이 사용되는 경우 CE(2)는 MSEE(5)와 BGP(Border Gateway Protocol) 피어링을 설정합니다.

Any-to-Any 연결(IPVPN) 모델을 사용하는 경우 PE-MSEE(4)는 MSEE(5)와 BGP 피어링을 설정합니다. PE-MSEE는 Microsoft에서 받은 경로를 IPVPN 서비스 공급자 네트워크를 통하여 고객 네트워크에 다시 전파합니다.

참고 항목

고가용성을 위해 Microsoft는 MSEE와 PE-MSEE 쌍 간에 완전 중복 병렬 연결을 설정합니다. 고객 네트워크와 PE/CE 쌍 사이에 완전히 중복된 병렬 네트워크 경로를 사용하는 것이 좋습니다. 고가용성에 대한 자세한 내용은 ExpressRoute를 사용하여 고가용성을 위한 설계를 참조하세요.

ExpressRoute 회로 문제 해결의 논리적 단계는 다음 섹션에 있습니다.

회로 프로비저닝 및 상태 확인

ExpressRoute 회로를 프로비전하면 CE/PE-MSEE(2/4)와 MSEE(5) 간에 중복 계층 2 연결이 설정됩니다. ExpressRoute 회로를 만들고, 수정하고, 프로비전하고, 확인하는 방법에 대한 자세한 내용은 ExpressRoute 회로 만들기 및 수정을 참조하세요.

서비스 키는 ExpressRoute 회로를 고유하게 식별합니다. 문제를 해결하기 위해 Microsoft 또는 ExpressRoute 파트너의 지원이 필요한 경우 서비스 키를 제공하여 회로를 쉽게 식별합니다.

Azure Portal을 통한 확인

Azure Portal에서 ExpressRoute 회로의 페이지로 이동합니다. 페이지의 3 섹션에서 다음 스크린샷과 같이 ExpressRoute 기본 정보가 나열됩니다.

4

ExpressRoute 필수 항목 에서 회로 상태는 Microsoft 쪽 회로의 상태를 나타내고 공급자 상태는 회로가 서비스 공급자에 의해 프로비전되었는지 여부를 나타냅니다.

ExpressRoute 회로가 작동하려면 회로 상태사용이고, 공급자 상태프로비전됨이어야 합니다.

참고 항목

회로 상태가 사용 안 함 상태에서 중단된 경우 Microsoft 지원 문의하세요. 공급자 상태가 프로비전되지 않음에서 중단된 경우 서비스 공급자에게 문의하세요.

PowerShell을 통한 확인

리소스 그룹의 모든 ExpressRoute 회로를 나열하려면 다음 명령을 사용합니다.

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG"

리소스 그룹의 이름을 찾으려면 명령을 사용하여 구독의 Get-AzResourceGroup 모든 리소스 그룹을 나열합니다.

리소스 그룹의 특정 ExpressRoute 회로에 대한 세부 정보를 얻으려면 다음 명령을 사용합니다.

Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"

다음은 응답의 예입니다.

Name                             : Test-ER-Ckt
ResourceGroupName                : Test-ER-RG
Location                         : westus2
Id                               : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt
Etag                             : W/"################################"
ProvisioningState                : Succeeded
Sku                              : {
                                    "Name": "Standard_UnlimitedData",
                                    "Tier": "Standard",
                                    "Family": "UnlimitedData"
                                   }
CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned
ServiceProviderNotes             :
ServiceProviderProperties        : {
                                    "ServiceProviderName": "****",
                                    "PeeringLocation": "******",
                                    "BandwidthInMbps": 100
                                   }
ServiceKey                       : **************************************
Peerings                         : []
Authorizations                   : []

ExpressRoute 회로가 작동하는지 확인하려면 다음 필드가 올바르게 설정되었는지 확인합니다.

CircuitProvisioningState         : Enabled
ServiceProviderProvisioningState : Provisioned

참고 항목

회로 상태가 사용 안 함 상태에서 중단된 경우 Microsoft 지원 문의하세요. 공급자 상태가 프로비전되지 않음에서 중단된 경우 서비스 공급자에게 문의하세요.

피어링 구성 유효성 검사

서비스 공급자가 ExpressRoute 회로를 프로비전한 후에는 CEs/MSEE-PE(2/4)와 MSEE(5) 간의 회로를 통해 외부 BGP(eBGP)를 사용하여 여러 라우팅 구성을 만들 수 있습니다. 각 ExpressRoute 회로는 다음 피어링 구성 중 하나 또는 둘 다를 포함할 수 있습니다.

  • Azure 프라이빗 피어링: Azure의 프라이빗 가상 네트워크에 대한 트래픽
  • Microsoft 피어링: PaaS(Platform as a Service) 및 SaaS(Software as a Service)의 퍼블릭 엔드포인트에 대한 트래픽

라우팅 구성을 만들고 수정하는 방법에 대한 자세한 내용은 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.

Azure Portal을 통한 확인

참고 항목

IPVPN 연결 모델에서 서비스 공급자는 피어링(계층 3 서비스)을 구성하는 책임을 처리합니다. 서비스 공급자가 구성한 후 포털에서 피어링이 비어 있는 경우 포털의 새로 고침 단추를 사용하여 회로 구성을 새로 고쳐 보세요. 이 작업은 회로에서 현재 라우팅 구성을 가져옵니다.

Azure Portal에서 해당 페이지에서 ExpressRoute 회로의 상태를 확인할 수 있습니다. 섹션에는 3 다음 스크린샷과 같이 ExpressRoute 피어링이 나열됩니다.

5

이전 예제에서는 Azure 프라이빗 피어링이 프로비전되지만 Azure 공용 및 Microsoft 피어링이 프로비전되지 않습니다. 성공적으로 프로비전된 피어링 컨텍스트는 기본 및 보조 지점 간 서브넷도 나열합니다. /30 서브넷은 MSE 및 ES/PE-MSE의 인터페이스 IP 주소에 사용됩니다. 또한 이 목록은 구성을 마지막으로 수정한 사용자를 나타냅니다.

참고 항목

피어링 사용에 실패하는 경우 할당된 기본 및 보조 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. 또한 MSEE의 VlanIdAzureASN및 값이 연결된 CE/PE-MSEE의 값과 PeerASN 일치하는지 확인합니다.

MD5 해시를 선택한 경우 MSEE 및 CE/PE-MSEE 쌍 모두에서 공유 키가 동일한지 확인합니다. 이전에 구성된 공유 키는 보안상의 이유로 표시되지 않습니다.

MSEE 라우터에서 이러한 구성을 변경해야 하는 경우 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.

참고 항목

인터페이스에 할당된 /30 서브넷에서 Microsoft는 MSEE 인터페이스에 사용할 수 있는 두 번째 IP 주소를 사용합니다. 사용 가능한 첫 번째 IP 주소가 피어된 CE/PE-MSEE에 할당되었는지 확인합니다.

PowerShell을 통한 확인

Azure 개인 피어링 구성 세부 정보를 가져오려면 다음 명령을 사용합니다.

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "AzurePrivatePeering" -ExpressRouteCircuit $ckt

성공적으로 구성된 개인 피어링에 대한 샘플 응답은 다음과 같습니다.

Name                       : AzurePrivatePeering
Id                         : /subscriptions/***************************/resourceGroups/Test-ER-RG/providers/***********/expressRouteCircuits/Test-ER-Ckt/peerings/AzurePrivatePeering
Etag                       : W/"################################"
PeeringType                : AzurePrivatePeering
AzureASN                   : 12076
PeerASN                    : 123##
PrimaryPeerAddressPrefix   : 172.16.0.0/30
SecondaryPeerAddressPrefix : 172.16.0.4/30
PrimaryAzurePort           :
SecondaryAzurePort         :
SharedKey                  :
VlanId                     : 200
MicrosoftPeeringConfig     : null
ProvisioningState          : Succeeded

성공적으로 활성화된 피어링 컨텍스트는 기본 및 보조 주소 접두사를 나열합니다. /30 서브넷은 MSE 및 ES/PE-MSE의 인터페이스 IP 주소에 사용됩니다.

Microsoft 피어링 구성 세부 정보를 가져오려면 다음 명령을 사용합니다.

$ckt = Get-AzExpressRouteCircuit -ResourceGroupName "Test-ER-RG" -Name "Test-ER-Ckt"
Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering" -ExpressRouteCircuit $ckt

피어링이 구성되지 않은 경우 오류 메시지가 표시됩니다. 명시된 피어링이 회로 내에서 구성되지 않은 경우의 예제 응답은 다음과 같습니다.

Get-AzExpressRouteCircuitPeeringConfig : Sequence contains no matching element
At line:1 char:1
    + Get-AzExpressRouteCircuitPeeringConfig -Name "MicrosoftPeering ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : CloseError: (:) [Get-AzExpr...itPeeringConfig], InvalidOperationException
        + FullyQualifiedErrorId : Microsoft.Azure.Commands.Network.GetAzureExpressRouteCircuitPeeringConfigCommand

참고 항목

피어링 사용에 실패하는 경우 할당된 기본 및 보조 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. 또한 MSEE의 VlanIdAzureASN및 값이 연결된 CE/PE-MSEE의 값과 PeerASN 일치하는지 확인합니다.

MD5 해시를 선택한 경우 MSEE 및 CE/PE-MSEE 쌍 모두에서 공유 키가 동일한지 확인합니다. 이전에 구성된 공유 키는 보안상의 이유로 표시되지 않습니다.

MSEE 라우터에서 이러한 구성을 변경해야 하는 경우 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.

참고 항목

인터페이스에 할당된 /30 서브넷에서 Microsoft는 MSEE 인터페이스에 사용할 수 있는 두 번째 IP 주소를 사용합니다. 사용 가능한 첫 번째 IP 주소가 피어된 CE/PE-MSEE에 할당되었는지 확인합니다.

ARP 유효성 검사

ARP(주소 확인 프로토콜) 테이블은 특정 피어링에 대한 IP 주소와 MAC 주소 매핑을 제공합니다. ExpressRoute 회로 피어링의 ARP 테이블은 각 인터페이스(기본 및 보조)에 대한 다음 정보를 제공합니다.

  • 온-프레미스 라우터 인터페이스 IP 주소를 MAC 주소에 매핑
  • ExpressRoute 라우터 인터페이스의 IP 주소를 MAC 주소에 매핑(선택 사항)
  • 매핑 사용 기간

ARP 테이블은 계층 2 구성의 유효성을 검사하고 기본적인 계층 2 연결 문제를 해결하는 데 도움을 줍니다.

참고 항목

하드웨어 플랫폼에 따라 ARP 결과가 다를 수 있으며 온-프레미스 인터페이스만 표시할 수 있습니다.

ExpressRoute 피어링의 ARP 테이블을 보는 방법과 이 정보를 사용하여 계층 2 연결 문제를 해결하는 방법을 알아보려면 Resource Manager 배포 모델에서 ARP 테이블 가져오기를 참조하세요.

MSEE에서 BGP 및 경로 유효성 검사

프라이빗 라우팅 컨텍스트의 기본 경로에 있는 MSEE에서 라우팅 테이블을 검색하려면 다음 명령을 사용합니다.

Get-AzExpressRouteCircuitRouteTable -DevicePath Primary -ExpressRouteCircuitName <CircuitName> -PeeringType AzurePrivatePeering -ResourceGroupName <ResourceGroupName>

예제 응답:

Network : 10.1.0.0/16
NextHop : 10.17.17.141
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.1.0.0/16
NextHop : 10.17.17.140*
LocPrf  :
Weight  : 0
Path    : 65515

Network : 10.2.20.0/25
NextHop : 172.16.0.1
LocPrf  :
Weight  : 0
Path    : 123##

참고 항목

MSEE와 CE/PE-MSEE 간의 eBGP 피어링 상태가 활성 또는 유휴 상태인 경우 기본 및 보조 피어 서브넷이 연결된 CE/PE-MSEE의 구성과 일치하는지 확인합니다. MSEE에서 VlanIdAzureASNPeerASN 값이 올바른지 확인하고 연결된 CE/PE-MSEE의 값과 일치합니다. MD5 해시를 사용하는 경우 공유 키는 MSEE 및 CE/PE-MSEE 쌍 모두에서 동일해야 합니다. MSEE 라우터의 구성 변경 내용은 ExpressRoute 회로에 대한 라우팅 만들기 및 수정을 참조하세요.

참고 항목

피어링을 통해 특정 대상에 연결할 수 없는 경우 해당 피어링 컨텍스트에 대한 MSEE 경로 테이블을 확인합니다. 일치하는 접두사에 있는 경우 트래픽을 차단하는 방화벽, 네트워크 보안 그룹 또는 ACL이 없는지 확인합니다.

존재하지 않는 피어링에 대한 응답 예제:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

트래픽 흐름 확인

피어링 컨텍스트에 대한 트래픽 통계(바이트 내/출력)를 얻으려면 다음 명령을 사용합니다.

Get-AzExpressRouteCircuitStats -ResourceGroupName <ResourceGroupName> -ExpressRouteCircuitName <CircuitName> -PeeringType 'AzurePrivatePeering'

예제 출력:

PrimaryBytesIn PrimaryBytesOut SecondaryBytesIn SecondaryBytesOut
-------------- --------------- ---------------- -----------------
    240780020       239863857        240565035         239628474

존재하지 않는 피어링에 대한 예제 출력:

Get-AzExpressRouteCircuitRouteTable : The BGP Peering AzurePublicPeering with Service Key <ServiceKey> is not found.
StatusCode: 400

개인 피어링 연결 테스트

MSEE 디바이스에서 ExpressRoute 회로의 Microsoft 에지에 도착하고 나가는 패킷을 계산하여 프라이빗 피어링 연결을 테스트합니다. 이 진단 도구는 ACL을 사용하여 특정 규칙을 위반하는 패킷 수를 계산하여 연결을 확인합니다.

테스트 실행

  1. Azure Portal에서 ExpressRoute 회로에서 진단 및 문제 해결을 선택합니다.

    문제 진단 및 해결 단추.

  2. 연결 및 성능 문제를 선택합니다.

    연결 문제 옵션입니다.

  3. 드롭다운이 발생하는 문제에 대한 자세한 정보에서 프라이빗 피어링 관련 문제를 선택합니다.

    더 많은 드롭다운을 알려주세요.

  4. 프라이빗 피어링 연결 테스트 섹션을 확장합니다.

    프라이빗 피어링 옵션을 테스트합니다.

  5. 온-프레미스 IP에서 Azure IP로 PsPing 테스트를 실행하고 테스트 중에 계속 실행합니다.

  6. 5단계에서 사용한 것과 동일한 IP 주소로 양식 필드를 채운 다음 제출을 선택하고 결과를 기다립니다.

    ACL 디버깅을 위한 양식입니다.

결과 해석

기본 및 보조 MSEE 디바이스에 대한 결과를 검토합니다.

  • MSE에서 보내고 받은 일치 항목: 정상 트래픽 인바운드 및 아웃바운드를 나타냅니다. 모든 손실은 MSE에서 다운스트림됩니다.

  • 수신된 일치 항목이지만 전송된 일치 항목 없음: 트래픽이 Azure에 도달하지만 반환되지 않습니다. 반환 경로 라우팅 문제를 확인합니다.

  • 일치 항목이 전송되었지만 수신된 일치 항목이 없음: 트래픽이 온-프레미스에 도달하지만 Azure로 돌아오지 않습니다. 공급자와 협력하여 해결합니다.

  • 한 MSEE는 일치 항목을 표시하지 않고 다른 하나는 일치하는 항목을 표시합니다. 한 MSEE가 트래픽을 수신하거나 전달하지 않음을 나타냅니다. 오프라인일 수 있습니다.

  • 온-프레미스에서 Azure로 PsPing을 테스트하는 경우 받은 결과에는 일치 항목이 표시되지만 보낸 결과에는 일치 항목이 표시되지 않음: 이 결과는 트래픽이 Azure로 들어오지만 온-프레미스로 돌아오지 않음을 나타냅니다. 반환 경로 라우팅 문제를 확인합니다. 예를 들어 Azure에 적절한 접두사를 알리고 있나요? UDR(사용자 정의 경로)이 접두사를 재정의하고 있나요?

  • Azure에서 온-프레미스로 PsPing을 테스트하는 경우 보낸 결과에는 일치 항목이 표시되지만 받은 결과에는 일치 항목이 표시되지 않음: 이 결과는 트래픽이 온-프레미스로 유입되지만 Azure로 반환되지 않음을 나타냅니다. 공급자와 협력하여 ExpressRoute 회로를 통하여 트래픽이 Azure로 라우팅되지 않는 이유를 알아보세요.

  • 한 MSEE에는 일치 항목이 없는 것으로 표시되고 다른 MSEE에는 양호한 일치 항목이 표시됨: 이 결과는 한 MSEE에서 트래픽을 받거나 전달하지 않음을 나타냅니다. 오프라인일 수 있습니다(예: BGP/ARP가 다운됨).

    • 이 경로의 BGP 세션을 통해 고유한 /32 온-프레미스 경로를 보급하여 비정상 경로를 확인하는 추가 테스트를 실행할 수 있습니다.
    • 온-프레미스 대상 주소로 보급된 고유한 /32를 사용하여 "프라이빗 피어링 연결 테스트"를 실행하고 결과를 검토하여 경로 상태를 확인합니다.

각 MSEE 디바이스에 대한 테스트 결과는 아래 예와 같습니다.

src 10.0.0.0 dst 20.0.0.0 dstport 3389 (received): 120 matches
src 20.0.0.0 srcport 3389 dst 10.0.0.0 (sent): 120 matches

가상 네트워크 게이트웨이의 가용성 확인

ExpressRoute 가상 네트워크 게이트웨이는 Azure 가상 네트워크의 프라이빗 링크 서비스 및 개인 IP에 대한 연결을 관리합니다. Microsoft는 이 인프라를 관리하며 유지 관리를 수행하여 성능을 저하시킬 수 있습니다.

연결 문제를 해결하고 최근 유지 관리를 확인하려면 다음을 수행합니다.

  1. Azure Portal에서 ExpressRoute 회로에서 진단 및 문제 해결을 선택합니다.

    문제 진단 및 해결 단추.

  2. 성능 문제를 선택합니다.

    성능 문제 옵션입니다.

  3. 진단이 실행되고 결과를 해석할 때까지 기다립니다.

    진단 결과.

패킷 손실 또는 대기 시간 동안 유지 관리가 발생한 경우 연결 문제가 발생했을 수 있습니다. 권장 단계를 수행하고 더 높은 처리량을 지원하고 향후 문제를 방지하도록 가상 네트워크 게이트웨이 SKU를 업그레이드하는 것이 좋습니다.

다음 단계

자세한 정보 또는 도움말을 보려면 다음 링크를 확인하세요.