Solución de Problemas de Enrutamiento con vSockets de Azure

Resumen

Este artículo cubre problemas relacionados con el enrutamiento que involucran vSockets desplegados en Microsoft Azure Virtual Networks (VNets). Se centra en cómo el modelo de redes definidas por software de Azure afecta el flujo de tráfico entre las interfaces LAN del vSocket, subredes, VNets emparejados y redes externas. El malentendido de las rutas del sistema Azure, las rutas efectivas o el comportamiento del reenvío de IP puede resultar en un enrutamiento asimétrico, paquetes descartados o recursos inaccesibles.

Síntomas

Los problemas de enrutamiento con vSockets de Azure comúnmente se presentan a través de los siguientes síntomas observables:

  • El tráfico no llega a las VM internas, ya sea en la misma subred que la LAN o en una subred o VNET diferentes.
  • El tráfico saliente de recursos internos no alcanza su destino.
  • Las implantaciones de alta disponibilidad (HA) no logran enrutar el tráfico a través del vSocket activo.

Posibles Causas

  • Rutas del sistema Azure sobrescribiendo las rutas de tráfico esperadas.
  • Rutas definidas por el usuario faltantes o mal configuradas.
  • Reenvío de IP deshabilitado en la interfaz de red LAN del vSocket.
  • Configuración incorrecta de IP flotante en las implantaciones HA.
  • Reglas de Grupo de Seguridad de Red (NSG) bloqueando el tráfico entrante o saliente.
  • Mala interpretación del comportamiento de enrutamiento intra-subred de Azure.

Solucionando el Problema

IMPORTANTE: Antes de solucionar problemas, verifique todos los requisitos previos para el despliegue de vSockets en Azure. Consulte Implementación de vSockets de Azure desde el Marketplace.

Utilice los pasos a continuación para aislar problemas de enrutamiento por síntoma. 

Definiendo la Topología Interna

Para comprender mejor el flujo de paquetes y el comportamiento de enrutamiento dentro de Azure, primero defina la topología de red entre VNet(s) de Azure, la interfaz LAN del vSocket y subredes internas y VMs.

Consulte el diagrama de topología a continuación para obtener orientación.

Solucionando el Tráfico que No Alcanza Recursos Internos

  1. Verifique que las subredes internas estén correctamente definidas en CMA bajo Configuración del Sitio > Redes. Las subredes no nativas deben tener la puerta de enlace configurada a la primera dirección IP disponible de la subred LAN (nativa).
  2. Revise la tabla de enrutamiento LAN:
    • Confirme que una ruta 0.0.0.0/0 esté configurada con el siguiente salto establecido en la dirección IP de la LAN o, en un despliegue HA, a la dirección IP flotante.
    • Si solo prefijos específicos deben ser accesibles mediante el vSocket, defina rutas explícitas para esos prefijos con la misma configuración de siguiente salto.
    • Verifique que todas las subredes internas necesarias estén presentes en la tabla de enrutamiento.
    • Si faltan rutas o subredes, consulte Resolviendo rutas faltantes o incorrectas
  3. Revise las rutas efectivas para la interfaz LAN.
    • Seleccione la interfaz LAN, luego navegue a Ayuda > Rutas efectivas.
    • Las rutas efectivas incluyen tanto rutas de sistema (predeterminadas) como rutas definidas por el usuario (UDR).
    • Identifique qué ruta tiene precedencia para el prefijo de destino. Las rutas no preferidas se mostrarán como "inválidas".
    • Si una ruta de sistema (predeterminada) anula la ruta definida por el usuario, consulte Resolviendo rutas faltantes o incorrectas
  4. Valide las reglas del Grupo de Seguridad de Red:
    • Confirme que existen reglas de permiso explícitas para el tráfico entrante y saliente.
    • Preste especial atención a la prioridad y dirección de la regla.
    • Seleccione la interfaz LAN y verifique las reglas de seguridad efectivas. Asegúrese de que todas las reglas asociadas de NSG permitan el tráfico esperado.
    • Si una regla de NSG está bloqueando el tráfico, consulte Resolviendo bloqueos de tráfico relacionados con NSG
  5. Verifique el estado del reenvío de IP en la interfaz de red LAN del vSocket. Esta configuración debe estar habilitada para permitir que la LAN del vSocket reciba tráfico destinado a otros destinos.
  6. Ejecute capturas PCAP en la LAN a través de la WebUI del vSocket mientras se genera tráfico activo. Continúe con los siguientes pasos para analizarlos.

Analizando Capturas PCAP Internas

  1. Revise las capturas de paquetes tomadas de la LAN del vSocket.
  2. Confirme el siguiente comportamiento de enrutamiento de Azure:

    • Cuando el tráfico sale de la interfaz LAN del vSocket, el MAC de destino será el router virtual de Azure (12:34:56:78:9a:bc). Esto ocurre porque Azure enruta todo el tráfico a través de su enrutador virtual interno, incluso cuando los dispositivos están en la misma subred.

    • Los paquetes de retorno típicamente muestran el MAC de origen de la VM interna. Azure elimina el MAC del enrutador antes de entregar el paquete al vSocket.

A diferencia de las redes tradicionales de Capa 2, Azure no permite la comunicación directa de host a host dentro de una subred. Todo el tráfico pasa a través del enrutador virtual de Azure. Este comportamiento puede hacer que las capturas de paquetes parezcan asimétricas.

Solucionando el Enrutamiento a Subredes No Nativas

Si el tráfico no puede alcanzar recursos en subredes no nativas:

  1. Siga los pasos explicados en Solucionando el Tráfico que No Alcanza Recursos Internos.
  2. Verifique que la subred no nativa exista en CMA. Asegúrese de que la puerta de enlace esté configurada en la primera dirección IP disponible de la subred LAN (nativa).
  3. Confirme que la subred no nativa aparezca en la tabla de enrutamiento LAN del vSocket

Solucionando el Enrutamiento VNet-a-VNet

Al enrutar entre VNets emparejados, verifique lo siguiente:

  1. Asegúrese de que el emparejamiento de VNET y las tablas de rutas estén configuradas como se explica en Cómo usar un vSocket en un entorno Azure Multiple VNets
  2. Siga los pasos explicados en Solucionando el Tráfico que No Alcanza Recursos Internos.
  3. Verifique que la subred de destino (en el VNet spoke) exista en CMA. Asegúrese de que la puerta de enlace esté configurada en la primera dirección IP disponible de la subred LAN (nativa).
  4. Verifique las rutas efectivas en la interfaz LAN del vSocket. Debe incluir la subred de destino con el siguiente salto establecido en el emparejamiento de VNET.
  5. Verifique las rutas efectivas en la interfaz de la VM interna. Debe incluir la subred nativa con el siguiente salto establecido en el emparejamiento de VNET, así como una ruta 0.0.0.0/0 con el siguiente salto establecido en la dirección IP de la LAN o, en un despliegue HA, a la dirección IP flotante.

Solucionando Problemas de Enrutamiento HA

En despliegues HA, verifique lo siguiente:

  1. Navegue a la interfaz LAN del vSocket MASTER, Configuración > configuraciones de IP, y confirme que la IP flotante esté configurada como una dirección IP Secundaria.
  2. Asegúrese de que la tabla de enrutamiento LAN en el vSocket incluya la IP flotante como el siguiente salto de la ruta 0.0.0.0/0. Si no, consulte Resolviendo problemas de IP flotante en HA
  3. Asegúrese de que durante el cambio por falla, la IP flotante se migre al nuevo vSocket MASTER como se espera durante los cambios de rol.

Para obtener más información sobre la solución de problemas en entornos HA, consulte Solución de Problemas de Azure HA vSocket

Resolviendo Problemas Descubiertos

Aplique la resolución adecuada basada en la causa raíz identificada durante la resolución de problemas.

Resolviendo Rutas Faltantes o Incorrectas

  1. Cree o actualice rutas definidas por el usuario en la tabla de enrutamiento LAN para anular las rutas del sistema Azure cuando sea necesario.
  2. Asocie la tabla de rutas con la subred correcta.
  3. Seleccione la interfaz LAN, luego navegue a Ayuda > Rutas efectivas. Revise nuevamente que el camino esperado ahora sea preferido.

Resolviendo Bloqueos de Tráfico Relacionados con NSG

  1. Agregue reglas de permiso explícitas para los protocolos, puertos y prefijos de fuente/destino requeridos.
  2. Asegúrese de que las reglas de permiso tengan una prioridad más alta que las reglas de denegación.
  3. Revise el flujo de tráfico después de las actualizaciones de reglas.
  4. Seleccione la interfaz LAN, luego navegue a Ayuda > Reglas de seguridad efectivas. Revise nuevamente que las reglas de permiso esperadas ahora sean preferidas.

Resolviendo Problemas de IP Flotante en HA

  1. Siga los pasos de Solución de Problemas de Azure HA vSocket para resolver la asignación de Dirección IP Flotante al vSocket MASTER.
  2. Actualice la tabla de enrutamiento LAN si es necesario para referenciar el siguiente salto como la IP Flotante.
  3. Realice pruebas de cambio controlado para validar el comportamiento.

Creando Casos para Soporte de Cato

Escale a Soporte de Cato si el comportamiento de enrutamiento sigue siendo inconsistente después de la validación de configuración. Proporcione la siguiente información para acelerar el análisis de la causa raíz.

  • Descripción de la topología interna.
  • Capturas de pantalla de tablas de enrutamiento de subred.
  • Capturas de pantalla de rutas efectivas.
  • Reglas entrantes y salientes del Grupo de Seguridad de Red.
  • Confirmación del estado de reenvío de IP en la interfaz LAN del vSocket.
  • Capturas de paquetes del vSocket y VMs afectadas.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios