السابق

التالي

استكشاف أخطاء شبكة واصلاحها باستخدام أدوات المراقبة والتشخيص لـ Network Watcher

مكتمل

يتضمن Azure Network Watcher العديد من الأدوات التي يمكنك استخدامها لمراقبة الشبكات الظاهرية والأجهزة الظاهرية (VMs). للاستفادة من Network Watcher بشكل فعال، من الضروري فهم جميع الخيارات المتاحة والغرض من كل أداة.

في الشركة الهندسية، تريد مساعدة الموظفين لديك على اختيار أداة Network Watcher المناسبة لكل مهمة استكشاف للأخطاء وإصلاحها. انهم بحاجة إلى فهم جميع الخيارات المتاحة وأنواع المشاكل التي يمكن أن تحلها كل أداة.

هنا، سوف تنظر إلى فئات أداة Network Watcher والأدوات في كل فئة وكيفية تطبيق كل أداة في أمثلة حالات الاستخدام.

ما المقصود بـ Network Watcher؟

Network Watcher هي خدمة Azure تجمع الأدوات في مكان مركزي لتشخيص صحة شبكات Azure. تنقسم أدوات Network Watcher إلى ثلاث فئات:

• أدوات المراقبة
• أدوات تشخيص الشبكة
• أدوات تسجيل نسبة استخدام الشبكة

مع أدوات لمراقبة وتشخيص المشاكل، Network Watcher يمنحك محور مركزي لتحديد مواطن خلل الشبكة، وطفرات CPU، ومشاكل الاتصال، وتسرب الذاكرة، وغيرها من المشاكل قبل أن تؤثر على عملك.

أدوات مراقبة Network Watcher

يوفر Network Watchers ثلاث أدوات للمراقبة:

• المخطط
• جهاز مراقبة الاتصال
• Network Performance Monitor

لنلق نظرة على كل أداة من الأدوات.

ما هي أداة طوبولوجيا؟

تنشئ أداة طوبولوجيا عرضًا رسوميًا لـ Azure virtual network ومواردها وترابطها وعلاقاتها مع بعضها البعض.

افترض أن عليك استكشاف الأخطاء وإصلاحها لشبكة ظاهرية تم إنشاؤها بواسطة زملائك. إلا إذا كنت قد شاركت في عملية إنشاء الشبكة، قد لا تعرف جميع جوانب بنيتها الأساسية. يمكنك استخدام أداة طوبولوجيا لعرض وفهم البنية الأساسية التي تتعامل معها قبل بدء استكشاف الأخطاء وإصلاحها.

يمكنك استخدام مدخل Azure لعرض طوبولوجيا شبكة Azure. في مدخل Microsoft Azure:

1. سجّل الدخول إلى مدخل Microsoft Azure ثم ابحث عن Network Watcher واخترها.

2. من قائمة Network Watcher ضمن Monitoring اختر Topology.

3. حدد اشتراكًا، ومجموعة موارد شبكة ظاهرية، ثم الشبكة الظاهرية نفسها.

   إشعار

   لإنشاء تخطيط الشبكة تحتاج إلى مثيل Network Watcher في نفس المنطقة الجغرافية للشبكة الظاهرية.

   فيما يلي مثال على طوبولوجيا تم إنشاؤه لشبكة ظاهرية تسمى MyVNet.

   

ما هي أداة Connection Monitor؟

توفر أداة Connection Monitor طريقة للتحقق من أن الاتصالات تعمل بين موارد Azure. استخدم هذه الأداة للتحقق من أن بإمكان الأجهزة الظاهرية الاتصال إذا أردت ذلك.

تقوم هذه الأداة أيضًا بقياس زمن الوصول بين الموارد. يمكن التقاط التغييرات التي تؤثر على الاتصال، مثل التغييرات في تكوين الشبكة أو تغييرات قواعد مجموعة أمان الشبكة (NSG). يمكن أن تفحص الـ VMs على فترات منتظمة للبحث عن الفشل أو التغييرات.

إذا كانت هناك مشكلة، فإن Connection Monitor يخبرك عن سبب حدوثها وكيفية إصلاحها. مع مراقبة VMs، يمكن Connection Monitor فحص عنوان IP أو اسم مجال مؤهل بالكامل (FQDN).

ما هي أداة Network Performance Monitor؟

تمكنك أداة Network Performance Monitor من تعقب زمن الوصول والتنبيه به وقطع حزمة البيانات مع مرور الوقت. فهي توفر لك رؤية مركزية للشبكة.

عند اتخاذ قرار لمراقبة الاتصالات المختلطة خاصتك باستخدام Network Performance Monitor، تحقق من أن مساحة العمل المقترنة تقع في منطقة معتمدة.

يمكنك استخدام Network Performance Monitor لمراقبة اتصال من نقطة النهاية إلى نقطة النهاية:

• بين الفروع ومراكز البيانات
• بين الشبكات الظاهرية
• لاتصالاتك بين الأماكن المحلية والسحابة
• لدوائر Azure ExpressRoute

أدوات تشخيص Network Watcher

يتضمن Network Watcher الأدوات التشخيصية التالية:

• التحقق من تدفق IP
• الأداة التشخيصية لمجموعة أمان الشبكة
• الوثبة التالية
• قواعد الأمان الفعالة
• تسجيل حزمة بيانات
• استكشاف أخطاء الاتصال وإصلاحها
• استكشاف أخطاء VPN وإصلاحها

دعونا نفحص كل أداة ونكتشف كيف يمكنها مساعدتك في حل المشاكل.

ما هي أداة التحقق من تدفق IP؟

تخبرك أداة التحقق من تدفق الـ IP ما إذا تم السماح لحزم البيانات لجهاز ظاهري مُحدد أو رُفضت. إذا كانت مجموعة أمان شبكة ما ترفض وجود حزمة بيانات، فإن الأداة تخبرك باسم هذه المجموعة حتى يمكنك إصلاح المشكلة.

تستخدم هذه الأداة آلية تحقق مستندة إلى معلمة حزمة من 5 مجموعات للكشف عما إذا كانت الحزم الواردة أو الصادرة مسموحة أو مرفوضة من VM. داخل الأداة، يمكنك تحديد منفذ محلي وبعيد، والبروتوكول (TCP أو UDP)، وIP المحلي، وIP البعيد، وVM، ومحول شبكة VM.

ما هي الأداة التشخيصية لمجموعة أمان الشبكة؟

توفر الأداة التشخيصية لمجموعة أمان الشبكة (NSG) معلومات مفصلة لمساعدتك على فهم تكوين أمان شبكتك وتصحيح أخطائه.

بالنسبة لزوج معين من المصدر والوجهة، تعرض لك الأداة مجموعات أمان الشبكة التي سيتم اجتيازها، والقواعد التي سيتم تطبيقها في كل مجموعة أمان شبكة، وحالة السماح/الرفض النهائية للتدفق. من خلال فهم تدفقات نسبة استخدام الشبكة التي سيتم السماح بها أو رفضها في شبكة Azure الظاهرية، يمكنك تحديد ما إذا كانت قواعد مجموعة أمان الشبكة الخاصة بك قد تم تكوينها بشكل صحيح أم لا.

ما هي أداة الوثب التالية؟

عندما يرسل VM حزمة بيانات إلى وجهة، قد يستغرق عدة وثبات في رحلته. على سبيل المثال، إذا كانت الوجهة هي جهاز ظاهري في شبكة ظاهرية مختلفة، قد تكون الوثبة التالية هي بوابة الشبكة الظاهرية التي تُوجّه حزمة البيانات إلى وجهة الجهاز الظاهري.

باستخدام أداة الوثب التالية، يمكنك تحديد كيفية الحصول على حزمة بيانات من VM إلى أي وجهة. تحديد المصدر VM، محول الشبكة المصدر، وعنوان IP المصدر، وعنوان IP الوجهة. ثم تحدد الأداة مسار حزمة البيانات. يمكنك استخدام هذه الأداة لتشخيص المشاكل التي تحدث بسبب جداول التوجيه غير صحيحة.

ما هي أداة قواعد الأمان الفعالة؟

تعرض أداة قواعد الأمان الفعالة في Network Watcher كافة القواعد الفعالة لـ NSG المطبقة على واجهة الشبكة.

يتم استخدام مجموعات أمان الشبكات (NSGs) في شبكات Azure لتصفية حزم البيانات استنادًا إلى عنوان IP وأرقام منفذ المصدر والوجهة الخاصين بهم. تعتبر NSG حيوية للأمن لأنها تساعدك على التحكم بعناية في المساحة السطحية لـ VMs التي يمكن للمستخدمين الوصول إليها. ضع في اعتبارك، على الرغم من ذلك، أن قاعدة NSG التي تم تكوينها عن طريق الخطأ قد تمنع الاتصال المشروع. ونتيجة لذلك، NSG هي مصدر متكرر من مشاكل الشبكة.

على سبيل المثال، إذا تعذر على جهازي VMs الاتصال بسبب حظر قاعدة NSG لهم، قد يكون من الصعب تشخيص القاعدة التي تسبب المشكلة. سوف تستخدم أداة قواعد الأمان الفعالة في Network Watcher لعرض جميع قواعد NSG الفعالة ومساعدتك في تشخيص القاعدة التي تسبب المشكلة المحددة.

لاستخدام الأداة، اختار VM ومحول الشبكة الخاص به. تعرض الأداة كافة قواعد NSG التي تنطبق على هذا المحول. من السهل تحديد قاعدة حظر من خلال عرض هذه القائمة.

يمكنك أيضًا استخدام الأداة لاكتشاف الثغرات الخاصة بـ VM الناتجة عن المنافذ المفتوحة غير الضرورية.

ما هي أداة تسجيل حزمة بيانات؟

تُسجل أداة تسجيل حزمة البيانات كافة حزم البيانات المرسلة من الجهاز الظاهري والمُرسلة إليه. وبُمجرد تمكينها يُمكنك مراجعة التسجيل لجمع إحصائيات حول نسبة استخدام الشبكة أو تشخيص الحالات الخارجة عن المألوف، مثل نسبة استخدام الشبكة غير المتوقعة على شبكة ظاهرية خاصة.

أداة تسجيل حزمة البيانات هي ملحق لجهاز ظاهري بدأ عن بُعد من خلال Network Watcher. يبدأ تلقائياً عندما تبدأ تشغيل جلسة تسجيل حزمة البيانات.

ضع في اعتبارك أن هناك حداً لعدد جلسات تسجيل حزم البيانات المسموح بها لكل منطقة. الحد الافتراضي للاستخدام هو 100 جلسة تسجيل حزمة بيانات لكل منطقة، والحد الكلي هو 10,000. هذه الحدود هي لعدد الجلسات فقط، وليس للتسجيلات المحفوظة. يمكنك حفظ الحزم التي تم تسجيلها في Azure Storage أو محليًا على الكمبيوتر.

يحتوي تسجيل حزمة بيانات تبعيةً على Network Watcher Agent VM Extension مثبت على VM. للحصول على ارتباطات إلى إرشادات تُوضح بالتفصيل تثبيت المُلحق على الأجهزة الظاهرية لكل من Windows وLinux راجع قسم "تعّرف على المزيد" في نهاية هذه الوحدة.

ما هي أداة استكشاف أخطاء الاتصال وإصلاحها؟

يمكنك استخدام أداة استكشاف أخطاء الاتصال للتحقق من اتصال TCP بين VM المصدر والوجهة. يمكنك تحديد الوجهة VM باستخدام FQDN أو URI أو عنوان IP.

إذا كان الاتصال ناجحًا، تظهر معلومات حول الاتصال، بما في ذلك:

• زمن الوصول بالمللي ثانية.
• عدد حزم بيانات الفحص المرسلة.
• عدد الوثبات في الطريق الكامل إلى الوجهة.

إذا كان الاتصال غير ناجح، فسترى تفاصيل الخطأ. تتضمن أنواع الأخطاء ما يلي:

• CPU. فشل الاتصال بسبب استخدام عالٍ لـ CPU.
• Memory. فشل الاتصال بسبب استخدام عالٍ للذاكرة.
• GuestFirewall. تم حظر الاتصال بواسطة جدار حماية خارج Azure.
• DNSResolution. تعذر حل عنوان IP الوجهة.
• NetworkSecurityRule. تم حظر الاتصال بواسطة NSG.
• UserDefinedRoute. هناك مسار مستخدم غير صحيح في جدول توجيه.

ما هي أداة استكشاف الأخطاء وإصلاحها لـ VPN؟

يمكنك استخدام أداة استكشاف الأخطاء وإصلاحها لـ VPN لتشخيص المشاكل التي تحدث في اتصالات بوابة الشبكة الظاهرية. تقوم هذه الأداة بتشغيل التشخيصات على اتصال بوابة شبكة ظاهرية وإرجاع تشخيص صحة.

عند بدء تشغيل أداة استكشاف الأخطاء وإصلاحها لـ VPN، يقوم Network Watcher بتشخيص صحة البوابة أو الاتصال، وإرجاع النتائج المناسبة. الطلب عبارة عن عملية طويلة التشغيل.

يعرض الجدول التالي أمثلة لأنواع أخطاء مختلفة.

نوع الخطأ	السبب	سجل
NoFault	لم يتم الكشف عن أي خطأ.	‏‏نعم‬
GatewayNotFound	لا يمكن العثور على البوابة أو غير متوفرة.	لا
PlannedMaintenance	مثيل بوابة قيد الصيانة.	لا
UserDrivenUpdate	تحديث مستخدم قيد التنفيذ. قد يكون التحديث عملية تغيير حجم.	لا
VipUnResponsive	لا يمكن الوصول إلى المثيل الأساسي للبوابة بسبب فشل في فحص الصحة.	لا
PlatformInActive	هناك مشكلة مع النظام الأساسي.	لا

أدوات تسجيل نسبة استخدام الشبكة

يتضمن Network Watcher أداتي نسبة استخدام الشبكة التاليتين:

• سجلات التدفق
• Traffic analytics

ما هي أداة سجلات التدفق؟

تسمح لك سجلات التدفق بتسجيل معلومات حول حركة مرور IP المتدفقة من خلال مجموعة أمان الشبكة. تخزن سجلات التدفق البيانات في تخزين Azure. يتم إرسال بيانات التدفق إلى Azure Storage من حيث يمكنك الوصول إليها وتصديرها إلى أي أداة مرئية أو حل إدارة معلومات الأمان والأحداث (SIEM) أو نظام الكشف عن التسلل (IDS) الذي تختاره. يمكنك استخدام هذه البيانات لتحليل أنماط حركة المرور واستكشاف مشكلات الاتصال وإصلاحها.

يمكن تصنيف حالات استخدام سجلات التدفق إلى نوعين. مراقبة الشبكة ومراقبة الاستخدام وتحسينها.

مراقبة الشبكة

• تحديد نسبة استخدام الشبكة غير المعروفة أو غير المرغوب فيها.
• مراقبة مستويات حركة المرور واستهلاك النطاق الترددي.
• تصفية سجلات التدفق بواسطة IP والمنفذ لفهم سلوك التطبيق.
• تصدير سجلات التدفق إلى أدوات التحليلات والتصور التي تختارها لإعداد لوحات معلومات المراقبة.

مراقبة الاستخدام والتحسين

• تحديد أفضل المتحدثين في شبكتك.
• الدمج مع بيانات GeoIP لتحديد حركة المرور عبر المنطقة.
• فهم نمو حركة المرور للتنبؤ بالقدرات.
• استخدم البيانات لإزالة قواعد نسبة استخدام الشبكة المقيدة للغاية.

ما هي أداة تحليل نسبة استخدام الشبكة؟

تُعد تحليلات نسبة استخدام الشبكة بمثابة حلاً مستنداً إلى السحابة الذي يوفر الرؤية في نشاط المستخدم والتطبيق في الشبكة السحابية الخاصة بك. على وجه التحديد، تحلل تحليلات نسبة استخدام الشبكة سجلات تدفق Azure Network Watcher NSG لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. باستخدام تحليلات نسبة استخدام الشبكة، يمكنك:

• قم بتقديم عرض بشكل بياني لنشاط الشبكة عبر اشتراكاتك في Azure.
• حدد النقاط الفعالة.
• تأمين شبكتك باستخدام المعلومات لتحديد التهديدات.
• تحسين نشر الشبكة للأداء والقدرة الإنتاجية من خلال فهم أنماط تدفق نسبة استخدام الشبكة عبر مناطق Azure والإنترنت.
• التكوينات الخاطئة لشبكة Pinpoint التي يمكن أن تؤدي إلى الاتصالات الفاشلة في شبكتك.

سيناريوهات حالة استخدام Azure Network Watcher

دعونا نفحص بعض السيناريوهات التي يمكنك التحقق منها واستكشاف أخطائها وإصلاحها باستخدام مراقبة وتشخيص Azure Network Watcher.

هناك مشاكل في الاتصال في شبكة واحدة VM

قام الزملاء بتوزيع VM في Azure ولديهم مشاكل في الاتصال بالشبكة. يحاول الزملاء استخدام بروتوكول سطح المكتب البعيد (RDP) للاتصال بالجهاز الظاهري، ولكن لا يمكنهم الاتصال.

لاستكشاف وإصلاح هذه المشكلة، استخدم أداة التحقق من تدفق IP. تمكنك هذه الأداة من تحديد منفذ محلي وبعيد، والبروتوكول (TCP/UDP)، وIP المحلي، وIP البعيد للتحقق من حالة الاتصال. كما يتيح لك تحديد اتجاه الاتصال (الواردة أو الصادرة). يقوم التحقق من تدفق IP بتشغيل اختبار منطقي على القواعد على الشبكة.

في هذه الحالة، استخدم التحقق من تدفق IP لتحديد عنوان IP الخاص بالـ VM ومنفذ RDP 3389. ثم حدد عنوان IP لـ VM البعيد والمنفذ. اختر بروتوكول TCP، ثم حدد Check.

افترض أن النتيجة تظهر أنه تم رفض الوصول بسبب قاعدة NSG DefaultInboundDenyAll. الحل هو تغيير قاعدة NSG.

لا يعمل اتصال VPN

قام الزملاء بتوزيع VMs في شبكتين ظاهريتين ولا يمكنهم الاتصال بينهما.

لاستكشاف أخطاء اتصال VPN وإصلاحها، استخدم استكشاف أخطاء VPN وإصلاحها لـ Azure. تقوم هذه الأداة بتشغيل التشخيصات على اتصال بوابة شبكة ظاهرية وإرجاع تشخيص صحة. يمكنك تشغيل هذه الأداة من مدخل Azure أو PowerShell أو Azure CLI.

عند تشغيل الأداة، تتحقق من البوابة من أجل المشكلات الشائعة وإرجاع التشخيص الصحي. يمكنك أيضًا عرض ملف السجل للحصول على مزيد من المعلومات. سيُظهر التشخيص ما إذا كان اتصال VPN يعمل أم لا. إذا لم يعمل اتصال VPN، فسيقترح استكشاف أخطاء VPN وإصلاحها طرقًا لحل المشكلة.

افترض أن التشخيص يظهر عدم تطابق مفتاح. لحل المشكلة، أعد تكوين البوابة البعيدة للتأكد من تطابق المفاتيح على كلا الطرفين. المفاتيح المشتركة مسبقًا حساسة لحالة الأحرف.

لا توجد خوادم تستمع إلى منافذ الوجهة المعينة

قام الزملاء بتوزيع VMs في شبكة ظاهرية واحدة ولا يمكنهم الاتصال بينهما.

استخدم أداة استكشاف أخطاء الاتصال وإصلاحها لاستكشاف هذه المشكلة وإصلاحها. في هذه الأداة، يمكنك تحديد VMs المحلية والبعيدة. في إعداد الفحص، يمكنك اختيار منفذ معين.

لنفترض أن النتائج تظهر أن الخادم البعيد غير قابل للوصول، إلى جانب الرسالة "تم حظر حركة المرور بسبب تكوين جدار حماية الجهاز الظاهري". على الخادم البعيد، أوقف تشغيل جدار الحماية، ثم اختبر الاتصال مرة أخرى.

افترض أن الخادم الآن يمكن الوصول إليه. تشير هذه النتيجة إلى أن قواعد جدار الحماية على الخادم البعيد هي المشكلة، ويجب تصحيحها للسماح بالاتصال.

1.

لتسجيل نقل البيانات على VM، يتطلب Azure Network Watcher:

ملحق VM لعامل Network Watcher

مدير حركة بيانات Azure

حساب تخزين Azure

2.

لحل مشكلات زمن الانتقال على الشبكة، ما هي ميزات Azure Network Watcher التي يمكنك استخدامها؟

التحقق من تدفق IP

الوثبة التالية

استكشاف أخطاء الاتصال وإصلاحها

عليك الإجابة على كل الأسئلة قبل مراجعة عملك.

متابعة