Udostępnij za pośrednictwem

Omówienie rozwiązywania problemów z siecią VPN

  • Artykuł

Bramy sieci wirtualnej zapewniają łączność między zasobami lokalnymi a sieciami wirtualnymi platformy Azure. Monitorowanie bram sieci wirtualnej i ich połączeń ma kluczowe znaczenie dla zapewnienia, że komunikacja nie zostanie przerwana. Rozwiązywanie problemów z siecią VPN usługi Azure Network Watcher umożliwia rozwiązywanie problemów z bramami sieci wirtualnej i ich połączeniami. Rozwiązywanie problemów z siecią VPN można wywoływać za pośrednictwem witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Po wywołaniu usługa Network Watcher diagnozuje kondycję bramy lub połączenia i zwraca odpowiednie wyniki. Żądanie jest długotrwałą transakcją. Wyniki są zwracane po zakończeniu diagnostyki.

Zrzut ekranu przedstawiający rozwiązywanie problemów z siecią VPN usługi Azure Network Watcher w witrynie Azure Portal.

Obsługiwane typy bram

W poniższej tabeli wymieniono, które bramy i połączenia są obsługiwane w przypadku rozwiązywania problemów z usługą Network Watcher:

Brama lub połączenie Obsługiwane
Typy bram
VPN Obsługiwane
ExpressRoute Nieobsługiwany
Typy sieci VPN
Oparte na trasach Obsługiwane
Oparte na zasadach Nieobsługiwany
Typy połączeń
IPsec Obsługiwane
VNet2VNet Obsługiwane
ExpressRoute Nieobsługiwany
VPNClient Nieobsługiwany

Wyniki

Zwrócone wstępne wyniki dają ogólny obraz kondycji zasobu. Bardziej szczegółowe informacje można podać dla zasobów, jak pokazano w poniższej sekcji:

Poniższa lista to wartości zwracane przez interfejs API rozwiązywania problemów z siecią VPN:

  • startTime — ta wartość to czas rozpoczęcia wywołania interfejsu API rozwiązywania problemów.
  • endTime — ta wartość jest czasem zakończenia rozwiązywania problemów.
  • code — ta wartość to UnHealthy, jeśli występuje pojedynczy błąd diagnostyki.
  • results — wyniki są kolekcją wyników zwracanych w ramach połączenia lub bramy sieci wirtualnej.
    • id — ta wartość jest typem błędu.
    • summary — ta wartość jest podsumowaniem błędu.
    • szczegółowe — ta wartość zawiera szczegółowy opis błędu.
    • recommendedActions — ta właściwość jest kolekcją zalecanych akcji do wykonania.
      • actionText — ta wartość zawiera tekst opisujący akcję do wykonania.
      • actionUri — ta wartość zawiera identyfikator URI do dokumentacji dotyczącej sposobu działania.
      • actionUriText — ta wartość jest krótkim opisem tekstu akcji.

W poniższych tabelach przedstawiono różne typy błędów (identyfikator poniżej wyników z poprzedniej listy), które są dostępne i jeśli błąd tworzy dzienniki.

Brama

Typ błędu Przyczyna Dziennik
NoFault (brak błędów) Gdy nie zostanie wykryty błąd Tak
GatewayNotFound (nie znaleziono bramy) Nie można znaleźć bramy lub bramy nie jest aprowizowana Nie.
PlannedMaintenance Wystąpienie bramy jest w toku konserwacji Nie.
UserDrivenUpdate (aktualizacja sterowana przez użytkownika) Ten błąd występuje, gdy trwa aktualizacja użytkownika. Aktualizacja może być operacją zmiany rozmiaru. Nie.
VipUnResponsive (wirtualny adres IP nie odpowiada) Ten błąd występuje, gdy nie można skontaktować się z podstawowym wystąpieniem bramy z powodu błędu sondowania kondycji. Nie.
PlatformInActive (nieaktywna platforma) Wystąpił problem z platformą. Nie.
ServiceNotRunning Podstawowa usługa nie jest uruchomiona. Nie.
NoConnectionsFoundForGateway W bramie nie istnieją żadne połączenia. Ten błąd jest tylko ostrzeżeniem. Nie.
ConnectionsNotConnected Połączenia nie są połączone. Ten błąd jest tylko ostrzeżeniem. Tak
GatewayCPUUsageExceed Bieżące użycie procesora CPU bramy wynosi > 95%. Tak

Connection

Typ błędu Przyczyna Dziennik
NoFault (brak błędów) Gdy nie zostanie wykryty błąd Tak
GatewayNotFound (nie znaleziono bramy) Nie można znaleźć bramy lub bramy nie jest aprowizowana Nie.
PlannedMaintenance Wystąpienie bramy jest w toku konserwacji Nie.
UserDrivenUpdate (aktualizacja sterowana przez użytkownika) Ten błąd występuje, gdy trwa aktualizacja użytkownika. Aktualizacja może być operacją zmiany rozmiaru. Nie.
VipUnResponsive (wirtualny adres IP nie odpowiada) Ten błąd występuje, gdy nie można skontaktować się z podstawowym wystąpieniem bramy z powodu błędu sondowania kondycji. Nie.
ConnectionEntityNotFound Brak konfiguracji połączenia Nie.
ConnectionIsMarkedDisconnected Połączenie jest oznaczone jako "rozłączone" Nie.
ConnectionNotConfiguredOnGateway Podstawowa usługa nie ma skonfigurowanego połączenia. Tak
ConnectionMarkedStandby Podstawowa usługa jest oznaczona jako rezerwowa. Tak
Uwierzytelnianie Niezgodność klucza wstępnego Tak
PeerReachability Brama równorzędna nie jest osiągalna. Tak
IkePolicyMismatch Brama równorzędna ma zasady IKE, które nie są obsługiwane przez platformę Azure. Tak
Błąd WfpParse Wystąpił błąd podczas analizowania dziennika programu WFP. Tak

Plik dzienników

Pliki dziennika rozwiązywania problemów z zasobami są przechowywane na koncie magazynu po zakończeniu rozwiązywania problemów z zasobami. Na poniższej ilustracji przedstawiono przykładową zawartość wywołania, które spowodowało błąd.

Zrzut ekranu przedstawia zawartość pobranych spakowanych plików dziennika.

Uwaga

  1. W niektórych przypadkach tylko podzbiór plików dzienników jest zapisywany w magazynie.
  2. W przypadku nowszych wersji bramy IkeErrors.txt Scrubbed-wfpdiag.txt i wfpdiag.txt.sum zostały zastąpione plikiem IkeLogs.txt zawierającym całe działanie IKE (nie tylko błędy).

Aby uzyskać instrukcje dotyczące pobierania plików z kont usługi Azure Storage, zobacz Pobieranie blokowego obiektu blob. Innym narzędziem, którego można użyć, jest Eksplorator usługi Storage. Aby uzyskać informacje o Eksplorator usługi Azure Storage, zobacz Pobieranie obiektów blob przy użyciu Eksplorator usługi Azure Storage

ConnectionStats.txt

Plik ConnectionStats.txt zawiera ogólne statystyki połączenia, w tym bajty ruchu przychodzącego i wychodzącego, stan połączenia i czas ustanowienia połączenia.

Uwaga

Jeśli wywołanie interfejsu API rozwiązywania problemów zwróci dobrą kondycję, jedyną rzeczą zwróconą w pliku zip jest plik ConnectionStats.txt .

Zawartość tego pliku jest podobna do następującego przykładu:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Plik CPUStats.txt zawiera użycie procesora CPU i pamięć dostępną w czasie testowania. Zawartość tego pliku jest podobna do następującego przykładu:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Plik IKElogs.txt zawiera wszelkie działania IKE znalezione podczas monitorowania.

Poniższy przykład przedstawia zawartość pliku IKElogs.txt.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Plik IKEErrors.txt zawiera wszelkie błędy protokołu IKE znalezione podczas monitorowania.

Poniższy przykład przedstawia zawartość pliku IKEErrors.txt. Błędy mogą się różnić w zależności od problemu.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Plik dziennika Scrubbed-wfpdiag.txt zawiera dziennik wfp. Ten dziennik zawiera rejestrowanie błędów upuszczania pakietów i IKE/AuthIP.

Poniższy przykład przedstawia zawartość pliku Scrubbed-wfpdiag.txt. W tym przykładzie klucz wstępny połączenia nie był poprawny, jak widać z trzeciego wiersza od dołu. Poniższy przykład to tylko fragment całego dziennika, ponieważ dziennik może być długi w zależności od problemu.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...

wfpdiag.txt.sum

Plik wfpdiag.txt.sum to dziennik przedstawiający przetworzone i zdarzenia.

Poniższy przykład to zawartość pliku wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Kwestie wymagające rozważenia

  • Na subskrypcję można uruchomić tylko jedną operację rozwiązywania problemów z siecią VPN. Aby uruchomić inną operację rozwiązywania problemów z siecią VPN, poczekaj na ukończenie istniejącego. Wyzwolenie nowej operacji, gdy poprzednia operacja nie została ukończona, powoduje niepowodzenie kolejnych operacji.
  • Jeśli używasz interfejsu wiersza polecenia platformy Azure do uruchamiania polecenia, usługa VPN Gateway i konto magazynu muszą znajdować się w tej samej grupie zasobów. Klienci z zasobami w różnych grupach zasobów mogą zamiast tego używać programu PowerShell lub witryny Azure Portal.

Następny krok

Diagnozowanie problemów z komunikacją między sieciami wirtualnymi