مشاركة عبر

بداية سريعة: تشخيص مشكلة عامل تصفية حركة مرور شبكة الجهاز الظاهري باستخدام مدخل Microsoft Azure

  • مقالة

في هذا التشغيل السريع، يمكنك نشر جهاز ظاهري واستخدام التحقق من تدفق IP Network Watcher لاختبار الاتصال من وإلى عناوين IP المختلفة. باستخدام نتائج التحقق من تدفق IP، يمكنك تحديد قاعدة الأمان التي تمنع حركة المرور وتتسبب في فشل الاتصال وتعلم كيفية حلها. يمكنك أيضا معرفة كيفية استخدام قواعد الأمان الفعالة لواجهة شبكة لتحديد سبب سماح قاعدة الأمان بنسبة استخدام الشبكة أو رفضها.

Diagram shows the resources created in Network Watcher quickstart.

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

المتطلبات الأساسية

  • حساب Azure باشتراك نشط

تسجيل الدخول إلى Azure

سجل الدخول إلى مدخل Microsoft Azure باستخدام حساب Azure الخاص بك.

إنشاء جهاز ظاهري

  1. في مربع البحث أعلى المدخل، أدخل الأجهزة الظاهرية. حدد "Virtual machines" في نتائج البحث.

  2. حدد + Create ثم حدد Azure virtual machine.

  3. في إنشاء جهاز ظاهري، أدخل القيم التالية في علامة التبويب الأساسيات أو حدّدها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الوصف حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخِل myResourceGroup في الاسم.
    حدد موافق.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل myVM .
    المنطقة حدد (US) East US.
    خيارات التوفر حدد No infrastructure redundancy required.
    نوع الأمان اترك الإعداد الافتراضي "Standard".
    الصورة حدد Ubuntu Server 20.04 LTS - x64 Gen2.
    الحجم اختر حجما أو اترك الإعداد الافتراضي.
    حساب المسؤول
    نوع المصادقة اختر كلمة السر.
    اسم مستخدم أدخل username.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور اعادة ادخال كلمة السر.

  4. حدد علامة التبويب Networking، أو حدد Next: Disks، ثم Next: Networking.

  5. في علامة التبويب Networking ، حدد Create new لإنشاء شبكة ظاهرية جديدة.

  6. في إنشاء شبكة ظاهرية، أدخل القيم التالية أو حددها:

    الإعداد القيمة
    الاسم أدخل «myVNet»
    مساحة العنوان
    نطاق العنوان أدخِل 10.0.0.0/16.
    الشبكات الفرعية
    اسم الشبكة الفرعية أدخل mySubnet.
    نطاق العنوان أدخِل 10.0.0.0/24.

  7. حدد موافق.

  8. أدخل القيم التالية أو حددها في علامة التبويب Networking :

    الإعداد القيمة‬
    عنوان IP عام حدد لا شيء.
    المجموعة الأمنية للشبكة NIC حدد أساسي.
    المنافذ العامة الواردة حدد لا شيء.

    إشعار

    سيقوم Azure بإنشاء مجموعة أمان شبكة افتراضية للجهاز الظاهري myVM (لأنك حددت مجموعة أمان شبكة NIC الأساسية ). ستستخدم مجموعة أمان الشبكة الافتراضية هذه لاختبار اتصال الشبكة من وإلى الجهاز الظاهري في القسم التالي.

  9. حدد "Review + create".

  10. راجع الإعدادات، ثم حدّد "إنشاء".

اختبار اتصال الشبكة باستخدام التحقق من تدفق IP

في هذا القسم، يمكنك استخدام إمكانية التحقق من تدفق IP ل Network Watcher لاختبار اتصال الشبكة من وإلى الجهاز الظاهري.

  1. في مربع البحث أعلى المدخل، أدخل network watcher. في نتائج البحث، حدّد "Network Watcher".

  2. ضمن أدوات تشخيص الشبكة، حدد التحقق من تدفق IP.

  3. في صفحة التحقق من تدفق IP، أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    المورد الهدف
    جهاز ظاهري حدد الجهاز الظاهري myVM .
    واجهة الشبكة حدد واجهة شبكة myVM. عند استخدام مدخل Azure لإنشاء جهاز ظاهري، تقوم المدخل بتسمية واجهة الشبكة باستخدام اسم الجهاز الظاهري ورقم عشوائي (على سبيل المثال myvm36).
    تفاصيل الحزمة
    بروتوكول حدد TCP.
    الاتجاه حدد صادر.
    المنفذ المحلي أدخل 60000. اختر أي رقم منفذ من نطاق مرجع الأرقام المعينة للإنترنت (IANA) للمنافذ الديناميكية أو الخاصة.
    عنوان IP البعيد أدخل 13.107.21.200. عنوان IP هذا هو أحد عناوين IP لموقع www.bing.com الويب.
    منفذ بعيد أدخل 80

    إشعار

    إذا كنت لا ترى الجهاز الظاهري في قائمة الأجهزة الظاهرية المتوفرة للتحديد، فتأكد من أنه قيد التشغيل. الأجهزة الظاهرية المتوقفة غير متوفرة للتحديد لاختبار التحقق من تدفق IP.

    Screenshot shows the values to input in IP flow verify for first test.

  4. حدد التحقق من تدفق IP.

    بعد بضع ثوان، يمكنك مشاهدة نتيجة الاختبار، والتي تشير إلى أن الوصول مسموح به إلى 13.107.21.200 بسبب قاعدة الأمان الافتراضية AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. تغيير عنوان IP البعيد إلى 10.0.1.10، وهو عنوان IP خاص في مساحة عنوان myVNet . ثم كرر الاختبار عن طريق تحديد زر التحقق من تدفق IP مرة أخرى. تشير نتيجة الاختبار الثاني إلى أن الوصول مسموح به إلى 10.0.1.10 بسبب قاعدة الأمان الافتراضية AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. قم بتغيير عنوان IP البعيد إلى 10.10.10.10 وكرر الاختبار. تشير نتيجة الاختبار الثالث إلى أن الوصول مرفوض إلى 10.10.10.10 بسبب قاعدة الأمان الافتراضية DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. غير الاتجاه إلى الوارد والمنفذ المحلي إلى 80 والمنفذالبعيد إلى 60000، ثم كرر الاختبار. تشير نتيجة الاختبار الرابع إلى أن الوصول مرفوض من 10.10.10.10 بسبب قاعدة الأمان الافتراضية DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

عرض تفاصيل قاعدة الأمان

لتحديد سبب سماح القواعد في القسم السابق بالاتصال أو رفضه، راجع قواعد الأمان الفعالة لواجهة الشبكة في الجهاز الظاهري myVM .

  1. ضمن أدوات تشخيص الشبكة في Network Watcher، حدد قواعد الأمان الفعالة.

  2. حدد المعلومات التالية:

    الإعداد القيمة‬
    الوصف حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدّد myResourceGroup.
    جهاز ظاهري حددmyVM.

    إشعار

    يحتوي الجهاز الظاهري myVM على واجهة شبكة واحدة سيتم تحديدها بمجرد تحديد myVM. إذا كان جهازك الظاهري يحتوي على أكثر من واجهة شبكة واحدة، فاختر واجهة الشبكة التي تريد الاطلاع على قواعد الأمان الفعالة الخاصة بها.

    Screenshot of Effective security rules in Network Watcher.

  3. ضمن Outbound rules، حدد AllowInternetOutBound لمشاهدة بادئات عنوان IP الوجهة المسموح بها ضمن قاعدة الأمان هذه.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    يمكنك أن ترى أن بادئة العنوان 13.104.0.0/13 هي من بين بادئات العنوان لقاعدة AllowInternetOutBound . تتضمن هذه البادئة عنوان IP 13.107.21.200 الذي اختبرته في الخطوة 4 من القسم السابق.

    وبالمثل، يمكنك التحقق من القواعد الأخرى لمشاهدة بادئات عنوان IP المصدر والوجهة ضمن كل قاعدة.

يتحقق التحقق من تدفق IP من قواعد الأمان الافتراضية والمكونة في Azure. إذا كانت عمليات التحقق ترجع النتائج المتوقعة ولا تزال لديك مشكلات في الشبكة، فتأكد من عدم وجود جدار حماية بين جهازك الظاهري ونقطة النهاية التي تتصل بها وأن نظام التشغيل في جهازك الظاهري لا يحتوي على جدار حماية يرفض الاتصال.

تنظيف الموارد

عندما لم تعد هناك حاجة، احذف مجموعة الموارد وجميع الموارد التي تحتوي عليها:

  1. في مربع البحث أعلى المدخل، أدخل myResourceGroup. حدد myResourceGroup من نتائج البحث.

  2. حدد Delete resource group.

  3. في حذف مجموعة موارد، أدخل myResourceGroup، ثم حدد حذف.

  4. حدد حذف لتأكيد حذف مجموعة الموارد وجميع مواردها.

الخطوة التالية

تشخيص مشكلة توجيه شبكة الجهاز الظاهري