Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリシーで接続されたネットワークの ping 失敗のデバッグ

このトピックでは、ポリシーに接続された仮想ネットワークを使用する場合の到達可能性の問題 (ping エラー) を解決するためのトラブルシューティング シナリオと手順について説明します。

仮想ネットワークまたは仮想マシンの到達可能性を構成するために使用される方法は次のとおりです。

  • ネットワーク ポリシーを使用して、仮想ネットワーク ルートを交換します。

  • フローティング IP アドレス プールを使用して、移行先仮想ネットワークの IP アドレスをソース仮想ネットワーク内の仮想マシンに関連付けます。

  • ASN/RT構成を使用して、MXシリーズルーターゲートウェイと仮想ネットワークルートを交換します。

  • サービス インスタンスの静的ルート構成を使用して、2 つの仮想ネットワーク内のサービス インスタンス間でルーティングします。

このトピックでは、ネットワーク ポリシーを使用して仮想ネットワーク間でルートを交換する最初の方法の到達可能性のトラブルシューティング---焦点を当てます。

ポリシーで接続されたネットワークのトラブルシューティング手順

  1. 仮想マシンとインターフェイスの状態を確認します。

    他の操作を行う前に、移行元と移行先の仮想マシンの状態を確認してください。

    • 仮想マシンのステータスは稼働中ですか?

    • 対応するタップインターフェイスは アクティブですか?

    Contrail UI で仮想マシンのステータスを確認します。

    図 1: 仮想マシンのステータスウィンドウ Virtual Machine Status Window

    httpエージェントのイントロスペクトでタップインターフェイスのステータスを確認します。次に例を示します。

    https://<host ip address>:8085/Snh_ItfReq?name=

    図2:[インターフェイスステータスウィンドウ Tap Interface Status Window]をタップします

    仮想マシンのステータスが [アップ(Up)] と確認され、タップ インターフェイスが [アクティブ(Active)] になると、ルーティング、ネットワーク ポリシー、セキュリティ ポリシー、静的ルートを持つサービス インスタンスなど、トラフィックに影響を与える他の要因に集中できます。

  2. 到達可能性とルーティングを確認します。

    ネットワーク ポリシーを使用して接続されている仮想ネットワーク ルートで ping エラーが発生する場合は、常に次のトラブルシューティング ガイドラインを使用してください。

    ネットワーク ポリシーの構成を確認します。

    • ポリシーが各仮想ネットワークにアタッチされていることを確認します。

    • アタッチされた各ポリシーには、ある仮想ネットワークから別の仮想ネットワークへのトラフィックを許可する明示的なルール、またはすべてのトラフィックを許可するルールのいずれかが必要です。

    • アクションはリストされている順序で適用されるため、ポリシー・ルール内のアクションの順序が正しいことを確認します。

    • 仮想ネットワークに複数のポリシーがアタッチされている場合は、ポリシーが論理的な順序でアタッチされていることを確認します。リストされた最初のポリシーが最初に適用され、そのルールが最初に適用され、次に次のポリシーが適用されます。

    • 最後に、いずれかの仮想ネットワークに他の仮想ネットワークからのトラフィックを許可する明示的な規則がない場合、トラフィック フローは 未解決 または SHORT フローとして扱われ、すべてのパケットがドロップされます。

    Contrail UI で次のシーケンスを使用して、ポリシー、添付ファイル、トラフィックルールを確認します。

    コンピューティング ノードからの VN1-VN2 ACL 情報を確認します。

    図 3: ポリシー、添付ファイル、およびトラフィックルールのステータスウィンドウ Policies, Attachments, and Traffic Rule Status Window

    ルート情報を使用して仮想ネットワーク ポリシーの構成を確認します。

    図 4: 仮想ネットワーク ポリシーの構成ウィンドウ Virtual Network Policy Configuration Window

    VN2 ルートの VN1 ルート情報を確認します。

    図 5: 仮想ネットワークルート情報ウィンドウ Virtual Network Route Information Window

    ルートが見つからない場合、ping は失敗します。コンピューティングノードのフローインスペクションに アクション:D(rop)が表示されます。

    dropstatsコマンドを繰り返すと、dropstatsが反復するたびに フローアクション ドロップカウンターがインクリメントされ、ドロップが確認されます。

    コンピューティング ノードで発行されたフロー コマンドと dropstats コマンド:

    図 6: フローおよびドロップスタッツ コマンド一覧 Flow and Dropstats Command List

    フローのデバッグに役立つように、コンピューティングノードのエージェントイントロスペクトページから詳細なフロークエリを使用できます。

    関心のある分野は次のとおりです。

    • 入力 [フロー –l 出力から]:送信元/宛先 ip、送信元/宛先ポート、プロトタイプ l、vrf

    • 詳細なフロークエリからの出力: short_flow、src_vn、action_str>アクション

    フローコマンド出力:

    図 7: フロー コマンド出力ウィンドウ Flow Command Output Window

    単一フローの詳細の取得:

    図 8: フローレコードの取得ウィンドウ Fetch Flow Record Window

    FetchFlowRecord からの出力には、未解決の IP アドレスが表示されます。

    図 9: 未解決の IP アドレス ウィンドウ Unresolved IP Address Window

    以下に示すように、未解決のフローに関する情報を Contrail UI から取得することもできます。

    図 10: 未解決のフローの詳細ウィンドウ Unresolved Flow Details Window
  3. プロトコル固有のネットワーク ポリシー アクションを確認します。

    到達可能性の問題が引き続き発生する場合は、ルートが交換されるが特定のプロトコルのみが許可されるプロトコル固有のアクションをトラブルシューティングします。

    以下は、エージェントイントロスペクトのプロトコル固有のフローに対するクエリ例を示しています。

    図 11: プロトコル固有のフローのサンプル Protocol-Specific Flow Sample

    以下は、ポリシーアクションがアクションとして 拒否 を明確に示していることを示しています。

    図 12: 拒否アクション Protocol-Specific Flow Sample With Deny Actionを持つプロトコル固有のフローのサンプル

概要

このトピックでは、ポリシーベースルーティングのデバッグという1つの領域について説明します。しかし、複雑なシステムでは、仮想ネットワークの到達可能性とルーティングに影響を与える 1 つ以上の構成方法が組み合わされている場合があります。

たとえば、ある環境に、別の仮想ネットワーク VN-Y へのポリシーベースのルーティングで構成された仮想ネットワーク VN-X があるとします。同時に、VN-Xには、NATサービスインスタンスを介してVN-XXに接続されている別の仮想ネットワークVN-ZへのフローティングIPを持つ仮想マシンがいくつかあります。これは複雑なシナリオであり、連携するすべての機能を考慮して、段階的にデバッグする必要があります。

さらに、ルーティングや到達可能性以外にも、トラフィックフローに影響を与える可能性のある考慮事項があります。たとえば、ネットワークポリシーとセキュリティグループのルールは、宛先へのトラフィックに影響を与える可能性があります。また、マルチパスが関係する場合は、デバッグ時に ECMP と RPF を考慮する必要があります。