Problemen met netwerken oplossen met behulp van bewakings- en diagnosehulpprogramma's van Network Watcher
Azure Network Watcher bevat verschillende hulpprogramma's die u kunt gebruiken om uw virtuele netwerken en virtuele machines (VM's) te bewaken. Wanneer u effectief van Network Watcher gebruikt wilt maken, is het essentieel om alle beschikbare opties en het doel van elk hulpprogramma te begrijpen.
In uw technische bedrijf wilt u uw medewerkers helpen bij het kiezen van het juiste Network Watcher-hulpprogramma voor elke probleemoplossingstaak. Zij moeten alle beschikbare opties en het soort problemen dat elk hulpprogramma kan oplossen, begrijpen.
Hier gaat u kijken naar de categorieën Network Watcher-hulpprogramma's, de hulpprogramma's in elke categorie en hoe elk hulpprogramma wordt toegepast met behulp van gebruiksvoorbeelden.
Wat is Network Watcher?
Network Watcher is een Azure-service waarmee u een combinatie van hulpprogramma's in een centrale locatie samenstelt om de status van Azure-netwerken te diagnosticeren. De Network Watcher-hulpprogramma's zijn onderverdeeld in drie categorieën:
- Bewakingsprogramma's
- Diagnostische hulpprogramma's voor netwerk
- Hulpprogramma's voor logboekregistratie van verkeer
Dankzij de hulpprogramma's voor het beveiligen tegen en het diagnosticeren van problemen biedt Network Watcher u een gecentraliseerde hub voor het identificeren van netwerkstoringen, CPU-pieken, connectiviteitsproblemen, geheugenlekkages en andere problemen voordat ze van invloed zijn op uw bedrijf.
Bewakingsprogramma's van Network Watcher
Network Watcher biedt drie bewakingshulpprogramma's:
- Topologie
- Verbindingsmonitor
- Netwerkprestatiemeter
Laten we elk van deze hulpprogramma's eens bekijken.
Wat is het hulpprogramma Topologie?
Met het hulpprogramma Topologie genereert u een grafische weergave van uw virtuele Azure-netwerk, de bijbehorende resources, hun onderlinge verbindingen en hun relatie met elkaar.
Stel dat u een probleem met een virtueel netwerk moet oplossen dat door uw collega's is gemaakt. Tenzij u betrokken was bij het proces voor het maken van het netwerk, weet u mogelijk niet over alle aspecten van de infrastructuur. U kunt het hulpprogramma Topologie gebruiken om de infrastructuur waarmee u te maken hebt te visualiseren en te begrijpen voordat u begint met het oplossen van problemen.
U gebruikt Azure Portal om de topologie van een Azure-netwerk weer te geven. In Azure Portal:
Meld u aan bij Azure Portal en zoek en selecteer Network Watcher.
Selecteer topologie in het menu Network Watcher onder Bewaking.
Selecteer een abonnement, de resourcegroep van een virtueel netwerk en selecteer vervolgens het virtuele netwerk zelf.
Notitie
Als u de topologie wilt genereren, hebt u het Network Watcher-exemplaar nodig in dezelfde geografische regio als het virtuele netwerk.
Hier volgt een voorbeeld van een topologie die is gegenereerd voor een virtueel netwerk met de naam MyVNet.
Wat is het hulpprogramma Verbindingsmonitor?
Het hulpprogramma Verbindingsmonitor biedt een manier om te controleren of verbindingen tussen Azure-resources werken. Gebruik dit hulpprogramma om te controleren of twee VM's kunnen communiceren als u dat wilt.
Met dit hulpprogramma kunt u ook de latentie tussen resources meten. U kunt wijzigingen ondervangen die van invloed zijn op de connectiviteit, zoals wijzigingen in de netwerkconfiguratie of in de NSG-regels (netwerkbeveiligingsgroep). VM's kunnen met regelmatige tussenpozen worden getest om te controleren of er fouten of wijzigingen zijn.
Als er een probleem is, geeft Verbindingsmonitor aan waarom de fout is opgetreden en hoe u deze kunt oplossen. Naast het controleren van VM's kunt u met Verbindingsmonitor een IP-adres of Fully Qualified Domain Name (FQDN) onderzoeken.
Wat is het hulpprogramma Netwerkprestatiemeter?
Met het hulpprogramma Netwerkprestatiemeter kunt u latentie en pakketten in de loop van de tijd bijhouden en waarschuwen. U krijgt hiermee een gecentraliseerde weergave van uw netwerk.
Wanneer u besluit uw hybride verbindingen te bewaken met behulp van Netwerkprestatiemeter, controleert u of de gekoppelde werkruimte zich in een ondersteunde regio bevindt.
U kunt Netwerkprestatiemeter gebruiken om de verbindingen tussen eindpunten te bewaken:
- Tussen vertakkingen en datacenters
- Tussen virtuele netwerken
- Voor uw verbindingen tussen on-premises en de cloud
- Voor Azure ExpressRoute-circuits
Diagnostische hulpprogramma's van Network Watcher
Network Watcher bevat de volgende diagnostische hulpprogramma's:
- IP-stroom controleren
- NSG-diagnose
- Volgende hop
- Effectieve beveiligingsregels
- Pakketopname
- Problemen met de verbinding oplossen
- VPN-problemen oplossen
We gaan elk hulpprogramma bekijken en ontdekken hoe ze u kunnen helpen bij het oplossen van problemen.
Wat is het hulpprogramma IP-stroom controleren?
Het hulpprogramma IP-stroomverificatie geeft aan of pakketten zijn toegestaan of geweigerd voor een specifieke virtuele machine. Als een netwerkbeveiligingsgroep een pakket weigert, vertelt het hulpprogramma u de naam van die groep, zodat u het probleem kunt oplossen.
Dit hulpprogramma maakt gebruik van een verificatiemechanisme op basis van 5-tuple pakketparameters om te detecteren of inkomende of uitgaande pakketten worden toegestaan of geweigerd voor een virtuele machine. In het hulpprogramma geeft u een lokale en externe poort, het protocol (TCP of UDP), het lokale IP-adres, het externe IP-adres, de virtuele machine en de netwerkadapter van de virtuele machine op.
Wat is het diagnostische hulpprogramma NSG?
Het hulpprogramma Diagnostische netwerkbeveiligingsgroep (NSG) biedt gedetailleerde informatie om u te helpen de beveiligingsconfiguratie van uw netwerk te begrijpen en fouten op te sporen.
Voor een bepaald bron-doelpaar toont het hulpprogramma de NSG's die worden doorkruist, de regels die in elke NSG worden toegepast en de uiteindelijke status voor toestaan/weigeren voor de stroom. Door te begrijpen welke verkeersstromen worden toegestaan of geweigerd in uw virtuele Azure-netwerk, kunt u bepalen of uw NSG-regels correct zijn geconfigureerd.
Wat is het hulpprogramma Volgende hop?
Wanneer een virtuele machine een pakket naar een bestemming verzendt, kan het meerdere hops in beslag nemen. Als de bestemming bijvoorbeeld een VIRTUELE machine in een ander virtueel netwerk is, is de volgende hop mogelijk naar de gateway van het virtuele netwerk waarmee het pakket wordt gerouteerd naar de doel-VM.
Met het hulpprogramma Volgende hop kunt u bepalen hoe een pakket van een virtuele machine op een willekeurige bestemming komt. U geeft de bron-VM, de netwerkadapter van de bron, het IP-adres van de bron en het IP-adres van het doel op. Het hulpprogramma bepaalt vervolgens de route van het pakket. U kunt dit hulpprogramma gebruiken om problemen te diagnosticeren die zijn veroorzaakt door onjuiste routeringstabellen.
Wat is het hulpprogramma voor effectieve beveiligingsregels?
In het hulpprogramma voor effectieve beveiligingsregels in Network Watcher worden alle van kracht zijnde regels voor netwerkbeveiligingsgroepen weergegeven die van toepassing zijn op een netwerkinterface.
Netwerkbeveiligingsgroepen (NSG's) worden gebruikt in Azure-netwerken om pakketten te filteren op basis van het bron- en doel-IP-adres en de poortnummers. NSG's zijn essentieel voor de beveiliging, omdat u hiermee de surface area van de virtuele machines die toegankelijk zijn voor gebruikers zorgvuldig kunt beheren. Houd er echter rekening mee dat een verkeerd geconfigureerde NSG-regel legitieme communicatie kan verhinderen. Hierdoor leveren NSG's vaak netwerkproblemen op.
Als bijvoorbeeld twee VM's niet kunnen communiceren omdat een NSG-regel dit blokkeert, kan het lastig zijn om te achterhalen welke regel het probleem veroorzaakt. U kunt met het hulpprogramma voor effectieve beveiligingsregels in Network Watcher alle van kracht zijnde NSG-regels weergeven, zodat u kunt vaststellen welke regel het specifieke probleem veroorzaakt.
Als u het hulpprogramma wilt gebruiken, kiest u een virtuele machine en de bijbehorende netwerkadapter. Het hulpprogramma geeft alle NSG-regels weer die van toepassing zijn op die adapter. Door deze lijst te bekijken kunt u eenvoudig bepalen welke regel blokkerend werkt.
U kunt ook het hulpprogramma gebruiken om beveiligingsproblemen voor uw virtuele machine te ontdekken die worden veroorzaakt door onnodig geopende poorten.
Wat is het hulpprogramma Pakketopname?
Het hulpprogramma voor pakketopname registreert alle pakketten die naar en van een VIRTUELE machine worden verzonden. Wanneer deze optie is ingeschakeld, kunt u de opname controleren om statistieken over netwerkverkeer te verzamelen of afwijkingen te diagnosticeren, zoals onverwacht netwerkverkeer in een particulier virtueel netwerk.
Het hulpprogramma voor pakketopname is een extensie voor virtuele machines die extern is gestart via Network Watcher. Deze wordt automatisch gestart wanneer u een pakketopnamesessie start.
Houd er rekening mee dat er een limiet is voor het aantal toegestane pakketopnamesessies per regio. De standaardgebruikslimiet is 100 sessies voor pakketopname per regio en de totale limiet is 10.000. Deze limieten gelden alleen voor het aantal sessies, niet voor opgeslagen opnamen. U kunt pakketten die zijn vastgelegd in Azure Storage of lokaal op uw pc opslaan.
Voor pakketopname geldt een afhankelijkheid op de extensie voor virtuele machines van de Network Watcher-agent die op de virtuele machine is geïnstalleerd. Zie de sectie Meer informatie aan het einde van deze module voor koppelingen naar instructies over de installatie van de extensie op Windows- en Linux-VM's.
Wat is het hulpprogramma Problemen met de verbinding oplossen?
U gebruikt het hulpprogramma Problemen met de verbinding oplossen om de TCP-verbinding tussen een bron- en doel-VM te controleren. U kunt de doel-VM opgeven met behulp van een FQDN, een URI of een IP-adres.
Als de verbinding tot stand is gebracht, wordt informatie over de communicatie weergegeven, waaronder:
- De latentie in milliseconden.
- Het aantal verzonden testpakketten.
- Het aantal hops in de volledige route naar de bestemming.
Als de verbinding is mislukt, ziet u de details van de fout. De fouttypen zijn onder meer:
- CPU. De verbinding is mislukt vanwege een hoog CPU-gebruik.
- Geheugen. De verbinding is mislukt vanwege een hoog geheugengebruik.
- GuestFirewall. De verbinding is geblokkeerd door een firewall buiten Azure.
- DNSResolution. Het doel-IP-adres kan niet worden omgezet.
- NetworkSecurityRule. De verbinding is geblokkeerd door een NSG.
- UserDefinedRoute. Er is een onjuiste gebruikersroute in een routeringstabel.
Wat is het hulpprogramma VPN-problemen oplossen?
U kunt het hulpprogramma VPN-problemen oplossen gebruiken om problemen met virtuele-netwerkgatewayverbindingen te onderzoeken. Met dit hulpprogramma wordt een diagnose gesteld van een virtuele-netwerkgatewayverbinding en wordt een statusdiagnose geretourneerd.
Wanneer u het hulpprogramma voor het oplossen van problemen met VPN start, diagnosticeert Network Watcher de status van de gateway of verbinding en worden de juiste resultaten geretourneerd. De aanvraag is een langlopende transactie.
In de volgende tabel ziet u voorbeelden van verschillende fouttypen.
| Fouttype | Reden | Logboek |
|---|---|---|
| NoFault | Er is geen fout gedetecteerd. | Ja |
| GatewayNotFound | Kan geen gateway vinden of er is geen gateway ingericht. | Nee |
| PlannedMaintenance | Er worden onderhoudswerkzaamheden uitgevoerd op een gatewayexemplaar. | Nee |
| UserDrivenUpdate | Er wordt een gebruikersupdate uitgevoerd. De update kan een wijziging van het formaat zijn. | Nee |
| VipUnResponsive | Het primaire exemplaar van de gateway kan niet worden bereikt als gevolg van een fout in de statustest. | Nee |
| PlatformInActive | Er is een probleem met het platform. | Nee |
Hulpprogramma's voor logboekregistratie van verkeer
Network Watcher bevat de twee volgende verkeershulpprogramma's:
- Stroomlogboeken
- Verkeersanalyse
Wat is het hulpprogramma voor stroomlogboeken?
Met stroomlogboeken kunt u informatie vastleggen over IP-verkeer dat via een netwerkbeveiligingsgroep stroomt. Stroomlogboeken slaan gegevens op in Azure Storage. Stroomgegevens worden verzonden naar Azure Storage, waar u deze kunt openen en exporteren naar elk visualisatieprogramma, siem-oplossing (Security Information and Event Management) of inbraakdetectiesysteem (IDS) van uw keuze. U kunt deze gegevens gebruiken om verkeerspatronen te analyseren en verbindingsproblemen op te lossen.
Gebruiksvoorbeelden voor stroomlogboeken kunnen worden onderverdeeld in twee typen. Netwerkbewaking en gebruiksbewaking en optimalisatie.
Netwerkbewaking
- Onbekend of ongewenst verkeer identificeren.
- Bewaak de verkeersniveaus en het bandbreedteverbruik.
- Filter stroomlogboeken op IP en poort om het gedrag van toepassingen te begrijpen.
- Exporteer stroomlogboeken naar analyse- en visualisatiehulpprogramma's van uw keuze om bewakingsdashboards in te stellen.
Gebruiksbewaking en optimalisatie
- Identificeer de belangrijkste talkers in uw netwerk.
- Combineer met GeoIP-gegevens om verkeer tussen regio's te identificeren.
- Inzicht in de groei van het verkeer voor capaciteitsprognoses.
- Gebruik gegevens om te beperkend verkeersregels te verwijderen.
Wat is het hulpprogramma voor verkeersanalyse?
Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in uw cloudnetwerken. Verkeersanalyse analyseert met name NSG-stroomlogboeken van Azure Network Watcher om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Met verkeersanalyse kunt u het volgende doen:
- Visualiseer netwerkactiviteit in uw Azure-abonnementen.
- Identificeer hotspots.
- Beveilig uw netwerk met behulp van informatie om bedreigingen te identificeren.
- Optimaliseer uw netwerkimplementatie voor prestaties en capaciteit door inzicht te krijgen in verkeersstroompatronen in Azure-regio's en internet.
- Netwerkfouten aanwijzen die kunnen leiden tot mislukte verbindingen in uw netwerk.
Use-case scenario's in Azure Network Watcher
We gaan enkele scenario's bekijken waarin u problemen kunt onderzoeken en oplossen met behulp van de bewaking en diagnostiek van Azure Network Watcher.
Problemen met de netwerkverbinding van één VM-netwerk
Uw collega's hebben een virtuele machine in Azure geïmplementeerd en hebben problemen met de netwerkverbinding. Uw collega's proberen Remote Desktop Protocol (RDP) te gebruiken om verbinding te maken met de virtuele machines, maar ze kunnen geen verbinding maken.
Gebruik het hulpprogramma IP-stroom controleren om dit probleem op te lossen. Met dit hulpprogramma kunt u een lokale en externe poort, het protocol (TCP/UDP), het lokale IP-adres en het externe IP-adres opgeven om de verbindingsstatus te controleren. U kunt ook de richting van de verbinding opgeven (inkomend of uitgaand). Met IP-stroom controleren wordt een logische test uitgevoerd op de regels die in uw netwerk aanwezig zijn.
In dit geval gebruikt u IP-stroom controleren om het IP-adres en de RDP-poort 3389 van de virtuele machines op te geven. Geef vervolgens het IP-adres en de poort van de externe VM op. Kies het TCP-protocol en selecteer Vervolgens Controleren.
Stel dat het resultaat aangeeft dat toegang is geweigerd vanwege NSG-regel DefaultInboundDenyAll. De oplossing is om de NSG-regel te wijzigen.
Een VPN-verbinding werkt niet
Uw collega's hebben VM's geïmplementeerd in twee virtuele netwerken, maar deze kunnen onderling geen verbinding maken.
Gebruik de functie VPN-problemen oplossen van Azure om problemen met een VPN-verbinding op te lossen. Met dit hulpprogramma worden diagnostische gegevens uitgevoerd op een virtuele netwerkgatewayverbinding en wordt een statusdiagnose geretourneerd. U kunt dit hulpprogramma uitvoeren vanuit Azure Portal, PowerShell of de Azure CLI.
Wanneer u het hulpprogramma uitvoert, wordt de gateway gecontroleerd op veelvoorkomende problemen en wordt de statusdiagnose geretourneerd. U kunt ook het logboekbestand weergeven voor meer informatie. De diagnose geeft aan of de VPN-verbinding werkt. Als de VPN-verbinding niet werkt, stelt het hulpprogramma VPN-problemen oplossen manieren voor om het probleem op te lossen.
Stel dat de diagnose een niet-overeenkomende sleutel aantoont. Voor de oplossing van het probleem configureert u de externe gateway opnieuw om ervoor te zorgen dat de sleutels aan beide uiteinden overeenkomen. Vooraf gedeelde sleutels zijn hoofdlettergevoelig.
Er zijn geen servers die op toegewezen doelpoorten luisteren
Uw collega's hebben VM's geïmplementeerd in één virtueel netwerk, maar deze kunnen onderling geen verbinding maken.
Gebruik het hulpprogramma Problemen met de verbinding oplossen om dit probleem te op te lossen. In dit hulpprogramma geeft u de lokale en externe VM's op. Bij de testinstelling kunt u een specifieke poort kiezen.
Stel dat de resultaten aangeven dat de externe server onbereikbaar is, samen met het bericht Verkeer geblokkeerd vanwege de firewallconfiguratie van de virtuele machine. Schakel op de externe server de firewall uit en test de verbinding opnieuw.
Stel dat de server nu bereikbaar is. Dit resultaat geeft aan dat firewallregels op de externe server het probleem zijn en moeten worden gecorrigeerd om de verbinding mogelijk te maken.