排查网络虚拟设备问题

2025-07-07

在 Azure Stack Hub 中使用网络虚拟设备（NVA）的虚拟机或 VPN 可能会遇到连接问题。

本文可帮助你验证 Azure Stack Hub 的基本平台要求以用于 NVA 配置。

NVA 的供应商为 NVA 及其与 Azure Stack Hub 平台的集成提供技术支持。

注释

如果连接或路由问题涉及 NVA，则应直接与 NVA 供应商联系。

如果本文未解决 Azure Stack Hub 的 NVA 问题，请创建 Azure Stack Hub 支持请求。

与 NVA 供应商合作进行故障排除时的清单

NVA VM 软件的更新。
服务帐户设置和功能。
虚拟网络子网上的用户定义的路由（UDR），用于将流量定向到 NVA。
虚拟网络子网上的 UDR，用于定向来自 NVA 的流量。
NVA 内的路由表和规则（例如，从 NIC1 到 NIC2）。
在 NVA NIC 上进行跟踪以验证网络流量的接收和发送。

基本故障排除步骤

检查基本配置。
检查 NVA 性能。
执行高级网络故障排除。

检查 Azure 上 NVA 的最低配置要求

每个 NVA 必须满足基本配置要求才能在 Azure Stack Hub 上正常运行。本部分介绍验证这些基本配置的步骤。有关详细信息，请联系 NVA 供应商。

重要

当数据包使用 S2S 隧道时，它们会添加额外的标头进行进一步封装。此封装会增加每个数据包的总体大小。

在此方案中，必须将 TCP MSS 固定为 1,350 字节。如果 VPN 设备不支持 MSS 限制，则可以将隧道接口上的 MTU 设置为 1,400 字节。

有关详细信息，请参阅虚拟网络 TCP/IP 性能优化。

检查是否在 NVA 上启用了 IP 转发

在 Azure Stack Hub 门户中找到 NVA 资源，选择 “网络”，然后选择网络接口。
在“网络接口”页上，选择“IP 配置”。
确保已启用 IP 转发。

运行以下命令。请将尖括号中的值替换为您的信息。

Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>

检查 EnableIPForwarding 属性。

如果未启用 IP 转发，请运行以下命令将其启用：

$nic2 = Get-AzNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
$nic2.EnableIPForwarding = 1
Set-AzNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

运行以下命令。请将尖括号中的值替换为您的信息。

Get-AzureRMNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>

检查 EnableIPForwarding 属性。

如果未启用 IP 转发，请运行以下命令将其启用：

$nic2 = Get-AzureRMNetworkInterface -ResourceGroupName <ResourceGroupName> -Name <NIC name>
$nic2.EnableIPForwarding = 1
Set-AzureRMNetworkInterface -NetworkInterface $nic2
Execute: $nic2 #and check for an expected output:
EnableIPForwarding   : True
NetworkSecurityGroup : null

检查流量是否可路由到 NVA

找到配置为将流量重定向到 NVA 的 VM。
若要检查 NVA 是否为下一个跃点，请运行适用于 Windows 的命令 Tracert <Private IP of NVA> 或 Traceroute <Private IP of NVA>。
如果未将 NVA 列为下一跃点，请检查并更新 Azure Stack Hub 路由表。

某些来宾级别的操作系统可能有防火墙策略来阻止 ICMP 流量。更新这些防火墙规则以便上述命令正常运行。

检查流量是否可到达 NVA

找到应连接到 NVA 的 VM。
检查任何网络安全组（NSG）是否阻止流量。对于 Windows，请运行 ping （ICMP）或 Test-NetConnection <Private IP of NVA> （TCP）。对于 Linux，请运行 Tcpping <Private IP of NVA>。
如果 NSG 阻止流量，请修改它们以允许流量。

检查 NVA 和 VM 是否正在侦听预期的流量

使用 RDP 或 SSH 连接到 NVA，然后运行以下命令：

Windows操作系统
```
netstat -an
```
Linux
```
netstat -an | grep -i listen
```
查找结果中列出的 NVA 软件使用的 TCP 端口。如果未看到它们，请将 NVA 和 VM 上的应用程序配置为侦听和响应到达这些端口的流量。请联系 NVA 供应商获取帮助。

检查 NVA 性能

验证 VM CPU 使用情况

如果 CPU 使用率接近 100%，可能会导致网络数据包丢失。

在 CPU 峰值期间，调查来宾 VM 上的哪个进程导致 CPU 使用率过高。然后，如果可能，请缓解使用情况。

可能还需要将 VM 大小重设为更大的 SKU 大小；或为虚拟机规模集增加实例计数。

如果需要帮助，请联系 NVA 供应商。

验证 VM 网络统计信息

如果 VM 网络使用情况出现高峰或显示高使用率时段，请考虑增加 VM 的 SKU 大小以获得更高的吞吐量。

高级网络管理员故障排除

捕获网络跟踪

运行 PsPing 或 Nmap 时，请在源 VM、目标 VM 和 NVA 上捕获同步网络跟踪，然后停止跟踪。

若要捕获并发的网络跟踪，请运行以下命令：

Windows操作系统

netsh trace start capture=yes tracefile=c:\server_IP.etl scenario=netconnection

Linux

sudo tcpdump -s0 -i eth0 -X -w vmtrace.cap

使用 PsPing 或 Nmap 从源 VM 连接到目标 VM。例如 PsPing 10.0.0.4:80 或 Nmap -p 80 10.0.0.4。
使用 tcpdump 或所选数据包分析器从目标 VM 打开网络跟踪。对运行 PsPing 或 Nmap 的源 VM 的 IP 应用显示筛选器。 Windows netmon 示例。IPv4.address==10.0.0.4 Linux 示例包括 tcpdump -nn -r vmtrace.cap src 和 dst host 10.0.0.4。

分析踪迹

如果看不到数据包传入到后端 VM 跟踪中，原因可能是存在 NSG 或 UDR 干扰或是 NVA 路由表不正确。

如果看到数据包传入但没有响应，则可能需要解决 VM 应用程序或防火墙的问题。