Snelstart: Diagnose uitvoeren voor een probleem met netwerkverkeersfilters op een virtuele machine met behulp van Azure Portal

In deze quickstart implementeert u een virtuele machine en gebruikt u network Watcher IP-stroom om de connectiviteit van en naar verschillende IP-adressen te testen. Met behulp van de resultaten van de IP-stroomverificatie bepaalt u de beveiligingsregel die het verkeer blokkeert en de communicatiefout veroorzaakt en leert u hoe u dit kunt oplossen. U leert ook hoe u de effectieve beveiligingsregels voor een netwerkinterface gebruikt om te bepalen waarom een beveiligingsregel verkeer toestaat of weigert.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

• Een Azure-account met een actief abonnement

Aanmelden bij Azure

Meld u met uw Azure-account aan bij Azure Portal.

Maak een virtuele machine

1. Voer in het zoekvak boven aan de portal virtuele machines in. Selecteer Virtuele machines in de zoekresultaten.

2. Selecteer + Maken en selecteer vervolgens virtuele Azure-machine.

3. In Een virtuele machine maken voert u de volgende waarden in of selecteert u deze op het tabblad Basisinformatie:

   Instelling	Weergegeven als
   Projectgegevens
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer Nieuw maken. Voer myResourceGroup in Naam in. Selecteer OK.
   Exemplaardetails
   Virtual machine name	Voer myVM in.
   Regio	Selecteer (VS) VS - oost.
   Beschikbaarheidsopties	Selecteer Geen infrastructuurredundantie vereist.
   Beveiligingstype	Laat de standaardwaarde van Standard staan.
   Afbeelding	Selecteer Ubuntu Server 20.04 LTS - x64 Gen2.
   Tekengrootte	Kies een grootte of laat de standaardinstelling staan.
   Beheerdersaccount
   Authentication type	Selecteer Wachtwoord.
   Username	Voer een gebruikersnaam in.
   Wachtwoord	Voer een wachtwoord in.
   Wachtwoord bevestigen	Voer het wachtwoord opnieuw in.

4. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

5. Selecteer Op het tabblad Netwerken de optie Nieuwe maken om een nieuw virtueel netwerk te maken.

6. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   Naam	Voer myVNet in.
   Adresruimte
   Adresbereik	Voer 10.0.0.0/16 in.
   Subnetten
   Subnetnaam	Voer mySubnet in.
   Adresbereik	Voer 10.0.0.0/24 in.

7. Selecteer OK.

8. Voer de volgende waarden in of selecteer deze op het tabblad Netwerken :

   Instelling	Weergegeven als
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Basic.
   Openbare poorten voor inkomend verkeer	Selecteer Geen.

   Notitie

   Azure maakt een standaardnetwerkbeveiligingsgroep voor de virtuele myVM-machine (omdat u Basic NIC-netwerkbeveiligingsgroep hebt geselecteerd). In de volgende sectie gebruikt u deze standaardnetwerkbeveiligingsgroep om netwerkcommunicatie naar en van de virtuele machine te testen.

9. Selecteer Controleren + maken.

10. Controleer de instellingen en selecteer vervolgens Maken.

Netwerkcommunicatie testen met IP-stroomverificatie

In deze sectie gebruikt u de functie IP-stroomverificatie van Network Watcher om netwerkcommunicatie van en naar de virtuele machine te testen.

1. Voer in het zoekvak boven aan de portal netwerk-watcher in. Selecteer Network Watcher in de zoekresultaten.

2. Onder Diagnostische hulpprogramma's voor netwerk selecteert u IP-stroom controleren.

3. Voer op de pagina IP-stroomverificatie de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   Doelresource
   Virtuele machine	Selecteer de virtuele machine myVM .
   Netwerkinterface	Selecteer de netwerkinterface van myVM. Wanneer u Azure Portal gebruikt om een virtuele machine te maken, krijgt de portal de netwerkinterface een naam met de naam van de virtuele machine en een willekeurig getal (bijvoorbeeld myvm36).
   Pakketdetails
   Protocol	Selecteer TCP.
   Richting	Selecteer Uitgaand.
   Lokale poort	Voer 60000 in. Kies een poortnummer uit het IANA-bereik (Internet Assigned Numbers Authority) voor dynamische of privépoorten.
   Extern IP-adres	Voer 13.107.21.200 in. Dit IP-adres is een van de IP-adressen van www.bing.com de website.
   Externe poort	Voer 80 in

   Notitie

   Als u de virtuele machine niet ziet in de lijst met virtuele machines die u kunt selecteren, controleert u of deze wordt uitgevoerd. Gestopte virtuele machines zijn niet beschikbaar om te selecteren voor ip-stroomverificatietest.

   

4. Selecteer de knop IP-stroom verifiëren.

   Na een paar seconden ziet u het testresultaat, wat aangeeft dat toegang is toegestaan tot 13.107.21.200 vanwege de standaardbeveiligingsregel AllowInternetOutBound.

   

5. Wijzig extern IP-adres in 10.0.1.10, een privé-IP-adres in myVNet-adresruimte . Herhaal vervolgens de test door de knop IP-stroom verifiëren opnieuw te selecteren. Het resultaat van de tweede test geeft aan dat toegang is toegestaan tot 10.0.1.10 vanwege de standaardbeveiligingsregel AllowVnetOutBound.

   

6. Wijzig het externe IP-adres in 10.10.10.10 en herhaal de test. Het resultaat van de derde test geeft aan dat de toegang wordt geweigerd tot 10.10.10.10 vanwege de standaardbeveiligingsregel DenyAllOutBound.

   

7. Wijzig de richting in inkomend verkeer, de lokale poort in 80 en de externe poort in 60000 en herhaal de test. Het resultaat van de vierde test geeft aan dat de toegang wordt geweigerd vanaf 10.10.10.10 vanwege de standaardbeveiligingsregel DenyAllInBound.

   

Details van een beveiligingsregel weergeven

Als u wilt bepalen waarom de regels in de vorige sectie communicatie toestaan of weigeren, controleert u de effectieve beveiligingsregels voor de netwerkinterface in de virtuele myVM-machine .

1. Selecteer effectieve beveiligingsregels onder Diagnostische hulpprogramma's voor netwerken in Network Watcher.

2. Selecteer de volgende informatie:

   Instelling	Weergegeven als
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer myResourceGroup.
   Virtuele machine	Selecteer myVM.

   Notitie

   de virtuele machine myVM heeft één netwerkinterface die wordt geselecteerd zodra u myVM selecteert. Als uw virtuele machine meer dan één netwerkinterface heeft, kiest u het netwerk dat u wilt zien wat de effectieve beveiligingsregels zijn.

   

3. Selecteer onder Regels voor uitgaand verkeer de optie AllowInternetOutBound om de toegestane IP-adresvoorvoegsels van de bestemming onder deze beveiligingsregel te zien.

   

   U kunt zien dat adresvoorvoegsel 13.104.0.0/13 een van de adresvoorvoegsels van de regel AllowInternetOutBound is. Dit voorvoegsel omvat IP-adres 13.107.21.200 dat u in stap 4 van de vorige sectie hebt getest.

   Op dezelfde manier kunt u de andere regels controleren om de bron- en doel-IP-adresvoorvoegsels onder elke regel weer te geven.

Met IP-stroomverificatie worden de standaard- en geconfigureerde beveiligingsregels van Azure gecontroleerd. Als de controles de verwachte resultaten retourneren en u nog steeds netwerkproblemen ondervindt, moet u ervoor zorgen dat u geen firewall hebt tussen uw virtuele machine en het eindpunt waarmee u communiceert en dat het besturingssysteem op uw virtuele machine geen firewall heeft die communicatie weigert.

Resources opschonen

U kunt de resourcegroep en alle gerelateerde resources die deze bevat verwijderen wanneer u deze niet meer nodig hebt:

1. Voer myResourceGroup in het zoekvak bovenin de portal in. Selecteer myResourceGroup in de zoekresultaten.

2. Selecteer Resourcegroep verwijderen.

3. Voer in Een resourcegroep verwijderen myResourceGroup in en selecteer Vervolgens Verwijderen.

4. Selecteer Verwijderen om het verwijderen van de resourcegroep en alle bijbehorende resources te bevestigen.

Volgende stap

Een routeringsprobleem in een netwerk van een virtuele machine vaststellen