Comprobación del flujo de IP y diagnósticos de NSG

  • 6 minutos

Tanto la comprobación del flujo de IP como los diagnósticos de NSG permiten diagnosticar cómo la configuración de red podría restringir el tráfico.

Comprobación del flujo de IP

La comprobación de flujo de IP permite comprobar si se permite o deniega un paquete hacia o desde una máquina virtual. La información está formada por la dirección, el protocolo, la dirección IP local, la dirección IP remota, el puerto local y un puerto remoto. Si un grupo de seguridad deniega un paquete, se devuelve el nombre de la regla que lo deniega. Aunque se puede elegir cualquier dirección IP de origen o destino, la comprobación de flujo de IP ayuda a los administradores a diagnosticar rápidamente problemas de conectividad desde o hacia Internet y desde o hacia el entorno local.

La comprobación del flujo de IP examina las reglas de todos los grupos de seguridad de red (NSG) aplicadas a la interfaz de red, como una subred o una NIC de máquina virtual. El flujo de tráfico hacia o desde esa interfaz de red se comprueba en función de los valores configurados. La comprobación de flujo de IP es útil para confirmar si una regla de un grupo de seguridad de red está bloqueando el tráfico de entrada o salida de una máquina virtual. Ahora, junto con la evaluación de reglas de NSG, también se evaluarán las reglas de Azure Virtual Network Manager.

Azure Virtual Network Manager (AVNM) es un servicio de administración que permite a los usuarios agrupar, configurar, implementar y administrar redes virtuales globalmente entre suscripciones. La configuración de seguridad de AVNM permite a los usuarios definir una colección de reglas que se pueden aplicar a uno o varios grupos de red en el nivel global. Estas reglas de seguridad tienen una prioridad más alta que las reglas del grupo de seguridad de red (NSG). Una diferencia importante que hay que tener en cuenta aquí es que las reglas de administración son un recurso entregado por AVNM en una ubicación central controlada por los equipos de gobernanza y seguridad, que se propagan a cada red virtual. Los grupos de seguridad de red son un recurso controlado por los propietarios de la red virtual que se aplica en cada subred o nivel de NIC.

Es necesario crear una instancia de Network Watcher en todas las regiones en las que planea ejecutar la comprobación del flujo de IP. Network Watcher es un servicio regional y solo se puede ejecutar con recursos de la misma región. La instancia usada no afecta a los resultados de la comprobación del flujo de IP, ya que se siguen devolviendo las rutas asociadas con la NIC o la subred.

Diagnósticos del grupo de seguridad de red

El diagnóstico de NSG (grupo de seguridad de red) es una herramienta de Azure Network Watcher que ayuda a comprender qué tráfico se permite o deniega en la red virtual de Azure junto con información detallada sobre depuración. El diagnóstico de NSG puede ayudarle a comprobar que las reglas del grupo de seguridad de red están configuradas correctamente. Los diagnósticos de NSG comparten alguna funcionalidad con la comprobación del flujo de IP.

La herramienta de diagnóstico de NSG puede simular un flujo determinado en función del origen y el destino que proporcione. Devuelve si el flujo está permitido o denegado con información detallada sobre la regla de seguridad que permite o deniega el flujo.

Para ejecutar diagnósticos en un grupo de seguridad de red, realice los pasos siguientes:

  1. En el cuadro de búsqueda de la parte superior del portal, busque y seleccione Network Watcher.
  2. En Herramientas de diagnóstico de red, seleccione Diagnóstico de NSG.
  3. En la página Diagnósticos de NSG escriba o seleccione los valores siguientes:
    • Recurso de destino
      • Tipo de recurso de destino. Seleccione el recurso al que vaya a diagnosticar la conexión.
      • Una máquina virtual. Seleccione la máquina virtual desde la que desee ejecutar los diagnósticos.
    • Detalles del tráfico
      • Protocolo. Seleccione TCP, UDP o ICMP.
      • Dirección. Seleccione entrada o salida.
      • Tipo de origen. Seleccione Dirección IPv4/CIDR o Etiqueta de servicio.
      • Dirección Ipv4/CIDR. Los valores aceptables son: dirección IP única, varias direcciones IP, prefijo IP único y varios prefijos IP.
      • Dirección IP de destino Los valores aceptables son: dirección IP única, varias direcciones IP, prefijo IP único, varios prefijos IP.
      • Puerto de destino. Escriba * para incluir todos los puertos.
  4. Seleccione Ejecutar diagnósticos de NSG para ejecutar la prueba. Una vez que el diagnóstico de NSG completa la comprobación de todas las reglas de seguridad, muestra el resultado. Este resultado indicará qué reglas tiene un grupo de seguridad de red y qué regla está denegando el tráfico.