IP 流量驗證和 NSG 診斷
IP 流量驗證和 NSG 診斷都可讓您診斷網路設定可能限制網路流量的方式。
IP 流程驗證
IP 流量驗證會檢查虛擬機器是否允許或拒絕封包。 此資訊包含方向、通訊協定、本機 IP、遠端 IP、本機連接埠和遠端連接埠。 如果安全性群組拒絕封包,則會傳回拒絕封包的規則名稱。 雖然可以選擇任何來源或目的地 IP,但 IP 流程驗證可協助系統管理員快速診斷網際網路和內部部署環境的連線問題。
IP 流量驗證會查看套用至網路介面的所有網路安全性群組 (NSG) 規則,例如子網路或虛擬機器 NIC。 然後,流量流程會根據該網路介面的設定來回驗證。 IP 流量驗證有助於確認網路安全性群組中的規則是否封鎖虛擬機器的輸入和輸出流量。 現在,隨著 NSG 規則評估,也會評估 Azure Virtual Network Manager 規則。
Azure Virtual Network Manager (AVNM) 是一項管理服務,可讓使用者跨訂用帳戶將虛擬網路分組、設定、部署及管理。 AVNM 安全性設定可讓使用者定義規則集合,這些規則可以套用至全域層級的一或多個網路群組。 這些安全性規則的優先順序高於網路安全性群組 (NSG) 規則。 這裡要注意的一個重要差異是,系統管理規則是 AVNM 在治理和安全性小組所控制的中央位置所提供的資源,其會向下泡泡到每個 VNet。 NSG 是由 VNet 擁有者所控制的資源,適用於每個子網路或 NIC 層級。
您必須在計畫執行 IP 流程驗證的所有區域中建立網路監看員的執行個體。 網路監看員是區域服務,只能針對相同區域中的資源執行。 使用的執行個體不會影響 IP 流量驗證的結果,因為與 NIC 或子網路相關聯的任何路由仍會傳回。
NSG 診斷
NSG (網路安全性群組) 診斷是 Azure 網路監看員工具,可協助您了解 Azure 虛擬網路中允許或拒絕的網路流量,以及偵錯的詳細資訊。 NSG 診斷可協助您確認網路安全性群組規則已正確設定。 NSG 診斷會與 IP 流程驗證共用一些功能。
NSG 診斷工具可以根據您提供的來源和目的地來模擬指定的流程。 它會傳回允許或拒絕流程,以及允許或拒絕流程之安全性規則的詳細資訊。
若要對 NSG 執行診斷,請執行下列步驟:
- 在入口網站頂端的搜尋方塊中,搜尋並選取 [網路監看員]。
- 在 [網路診斷工具] 底下,選取 [NSG 診斷]。
- 在 [NSG 診斷] 頁面上,輸入或選取下列值:
- 目標資源
- 目標資源類型。 選取您要診斷連線的資源。
- 虛擬機器。 選取您要從中執行診斷的 VM。
- 流量詳細資料
- 通訊協定。 選取 [TCP]、[UDP] 和/或 [ICMP]。
- 方向。 選取 [輸入] 或 [輸出]。
- 來源類型。 選取 [IPv4 位址/CIDR] 或服務標籤。
- Ipv4 位址/CIDR。 可接受的值為:單一 IP 位址、多個 IP 位址、單一 IP 前置詞和多個 IP 首碼。
- 目的地 IP 位址。 可接受的值為:單一 IP 位址、多個 IP 位址、單一 IP 前置詞、多個 IP 首碼。
- 目的地連接埠。 輸入 * 以包含所有連接埠。
- 目標資源
- 選取 [執行 NSG 診斷] 以執行測試。 NSG 診斷完成檢查所有安全性規則之後,會顯示結果。 此結果會指出 NSG 擁有的規則,以及拒絕流量的規則。