Snelstart: Diagnose uitvoeren voor een probleem met netwerkverkeersfilters op een virtuele machine met behulp van Azure Portal

  • Artikel

In deze quickstart implementeert u een virtuele machine en gebruikt u network Watcher IP-stroom om de connectiviteit van en naar verschillende IP-adressen te testen. Met behulp van de resultaten van de IP-stroomverificatie bepaalt u de beveiligingsregel die het verkeer blokkeert en de communicatiefout veroorzaakt en leert u hoe u dit kunt oplossen. U leert ook hoe u de effectieve beveiligingsregels voor een netwerkinterface gebruikt om te bepalen waarom een beveiligingsregel verkeer toestaat of weigert.

Diagram shows the resources created in Network Watcher quickstart.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

  • Een Azure-account met een actief abonnement

Aanmelden bij Azure

Meld u met uw Azure-account aan bij Azure Portal.

Maak een virtuele machine

  1. Voer in het zoekvak boven aan de portal virtuele machines in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer + Maken en selecteer vervolgens virtuele Azure-machine.

  3. In Een virtuele machine maken voert u de volgende waarden in of selecteert u deze op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer myResourceGroup in Naam in.
    Selecteer OK.
    Exemplaardetails
    Virtual machine name Voer myVM in.
    Region Selecteer (VS) VS - oost.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Laat de standaardwaarde van Standard staan.
    Afbeelding Selecteer Ubuntu Server 20.04 LTS - x64 Gen2.
    Tekengrootte Kies een grootte of laat de standaardinstelling staan.
    Beheerdersaccount
    Authentication type Selecteer Wachtwoord.
    Gebruikersnaam Voer een gebruikersnaam in.
    Password Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.

  4. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  5. Selecteer Op het tabblad Netwerken de optie Nieuwe maken om een nieuw virtueel netwerk te maken.

  6. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:

    Instelling Waarde
    Naam Voer myVNet in.
    Adresruimte
    Adresbereik Voer 10.0.0.0/16 in.
    Subnetten
    Subnetnaam Voer mySubnet in.
    Adresbereik Voer 10.0.0.0/24 in.

  7. Selecteer OK.

  8. Voer de volgende waarden in of selecteer deze op het tabblad Netwerken :

    Instelling Waarde
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Basic.
    Openbare poorten voor inkomend verkeer Selecteer Geen.

    Notitie

    Azure maakt een standaardnetwerkbeveiligingsgroep voor de virtuele myVM-machine (omdat u Basic NIC-netwerkbeveiligingsgroep hebt geselecteerd). In de volgende sectie gebruikt u deze standaardnetwerkbeveiligingsgroep om netwerkcommunicatie naar en van de virtuele machine te testen.

  9. Selecteer Controleren + maken.

  10. Controleer de instellingen en selecteer vervolgens Maken.

Netwerkcommunicatie testen met IP-stroomverificatie

In deze sectie gebruikt u de functie IP-stroomverificatie van Network Watcher om netwerkcommunicatie van en naar de virtuele machine te testen.

  1. Voer in het zoekvak boven aan de portal netwerk-watcher in. Selecteer Network Watcher in de zoekresultaten.

  2. Onder Diagnostische hulpprogramma's voor netwerk selecteert u IP-stroom controleren.

  3. Voer op de pagina IP-stroomverificatie de volgende waarden in of selecteer deze:

    Instelling Waarde
    Doelresource
    Virtuele machine Selecteer de virtuele machine myVM .
    Netwerkinterface Selecteer de netwerkinterface van myVM. Wanneer u Azure Portal gebruikt om een virtuele machine te maken, krijgt de portal de netwerkinterface een naam met de naam van de virtuele machine en een willekeurig getal (bijvoorbeeld myvm36).
    Pakketdetails
    Protocol Selecteer TCP.
    Richting Selecteer Uitgaand.
    Lokale poort Voer 60000 in. Kies een poortnummer uit het IANA-bereik (Internet Assigned Numbers Authority) voor dynamische of privépoorten.
    Extern IP-adres Voer 13.107.21.200 in. Dit IP-adres is een van de IP-adressen van www.bing.com de website.
    Externe poort Voer 80 in

    Notitie

    Als u de virtuele machine niet ziet in de lijst met virtuele machines die u kunt selecteren, controleert u of deze wordt uitgevoerd. Gestopte virtuele machines zijn niet beschikbaar om te selecteren voor ip-stroomverificatietest.

    Screenshot shows the values to input in IP flow verify for first test.

  4. Selecteer de knop IP-stroom verifiëren.

    Na een paar seconden ziet u het testresultaat, wat aangeeft dat toegang is toegestaan tot 13.107.21.200 vanwege de standaardbeveiligingsregel AllowInternetOutBound.

    Screenshot shows the result of IP flow verify to IP address 13.107.21.200.

  5. Wijzig extern IP-adres in 10.0.1.10, een privé-IP-adres in myVNet-adresruimte . Herhaal vervolgens de test door de knop IP-stroom verifiëren opnieuw te selecteren. Het resultaat van de tweede test geeft aan dat toegang is toegestaan tot 10.0.1.10 vanwege de standaardbeveiligingsregel AllowVnetOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.0.1.10.

  6. Wijzig het externe IP-adres in 10.10.10.10 en herhaal de test. Het resultaat van de derde test geeft aan dat de toegang wordt geweigerd tot 10.10.10.10 vanwege de standaardbeveiligingsregel DenyAllOutBound.

    Screenshot shows the result of IP flow verify to IP address 10.10.10.10.

  7. Wijzig de richting in inkomend verkeer, de lokale poort in 80 en de externe poort in 60000 en herhaal de test. Het resultaat van de vierde test geeft aan dat de toegang wordt geweigerd vanaf 10.10.10.10 vanwege de standaardbeveiligingsregel DenyAllInBound.

    Screenshot shows the result of IP flow verify from IP address 10.10.10.10.

Details van een beveiligingsregel weergeven

Als u wilt bepalen waarom de regels in de vorige sectie communicatie toestaan of weigeren, controleert u de effectieve beveiligingsregels voor de netwerkinterface in de virtuele myVM-machine .

  1. Selecteer effectieve beveiligingsregels onder Diagnostische hulpprogramma's voor netwerken in Network Watcher.

  2. Selecteer de volgende informatie:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Virtuele machine Selecteer myVM.

    Notitie

    de virtuele machine myVM heeft één netwerkinterface die wordt geselecteerd zodra u myVM selecteert. Als uw virtuele machine meer dan één netwerkinterface heeft, kiest u het netwerk dat u wilt zien wat de effectieve beveiligingsregels zijn.

    Screenshot of Effective security rules in Network Watcher.

  3. Selecteer onder Regels voor uitgaand verkeer de optie AllowInternetOutBound om de toegestane IP-adresvoorvoegsels van de bestemming onder deze beveiligingsregel te zien.

    Screenshot of the prefixes of AllowInternetOutBound rule.

    U kunt zien dat adresvoorvoegsel 13.104.0.0/13 een van de adresvoorvoegsels van de regel AllowInternetOutBound is. Dit voorvoegsel omvat IP-adres 13.107.21.200 dat u in stap 4 van de vorige sectie hebt getest.

    Op dezelfde manier kunt u de andere regels controleren om de bron- en doel-IP-adresvoorvoegsels onder elke regel weer te geven.

Met IP-stroomverificatie worden de standaard- en geconfigureerde beveiligingsregels van Azure gecontroleerd. Als de controles de verwachte resultaten retourneren en u nog steeds netwerkproblemen ondervindt, moet u ervoor zorgen dat u geen firewall hebt tussen uw virtuele machine en het eindpunt waarmee u communiceert en dat het besturingssysteem op uw virtuele machine geen firewall heeft die communicatie weigert.

Resources opschonen

U kunt de resourcegroep en alle gerelateerde resources die deze bevat verwijderen wanneer u deze niet meer nodig hebt:

  1. Voer myResourceGroup in het zoekvak bovenin de portal in. Selecteer myResourceGroup in de zoekresultaten.

  2. Selecteer Resourcegroep verwijderen.

  3. Voer in Een resourcegroep verwijderen myResourceGroup in en selecteer Vervolgens Verwijderen.

  4. Selecteer Verwijderen om het verwijderen van de resourcegroep en alle bijbehorende resources te bevestigen.

Volgende stap

Een routeringsprobleem in een netwerk van een virtuele machine vaststellen