Inicio rápido: Diagnóstico de problemas al filtrar el tráfico de red de las máquinas virtuales con Azure PortalQuickstart: Diagnose a virtual machine network traffic filter problem using the Azure portal

En esta guía de inicio rápido, va a implementar una máquina virtual y a comprobar las comunicaciones entre una dirección IP y una dirección URL u otra dirección IP.In this quickstart, you deploy a virtual machine (VM), and then check communications to an IP address and URL and from an IP address. Además, va a determinar la causa de un error de comunicación y cómo puede resolverlo.You determine the cause of a communication failure and how you can resolve it.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Inicio de sesión en AzureLog in to Azure

Inicie sesión en Azure Portal en https://portal.azure.com.Log in to the Azure portal at https://portal.azure.com.

Crear una VMCreate a VM

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Seleccione Proceso y, luego, Windows Server 2016 Datacenter o una versión de Ubuntu Server.Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. Escriba o seleccione la siguiente información, acepte los valores predeterminados para el resto de la configuración y luego seleccione Aceptar:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    ConfiguraciónSetting ValorValue
    NOMBREName myVmmyVm
    Nombre de usuarioUser name Escriba un nombre de usuario de su elección.Enter a user name of your choosing.
    PasswordPassword Escriba una contraseña de su elección.Enter a password of your choosing. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.The password must be at least 12 characters long and meet the defined complexity requirements.
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Grupos de recursosResource group Haga clic en Crear nuevo y escriba myResourceGroup.Select Create new and enter myResourceGroup.
    UbicaciónLocation Seleccione Este de EE. UU.Select East US
  4. Seleccione un tamaño para la máquina virtual y luego Seleccionar.Select a size for the VM and then select Select.

  5. En Configuración, acepte todos los valores predeterminados y seleccione Aceptar.Under Settings, accept all the defaults, and select OK.

  6. En Crear de la página Resumen, seleccione Crear para iniciar la implementación de la máquina virtual.Under Create of the Summary, select Create to start VM deployment. La maquina virtual tarda unos minutos en implementarse.The VM takes a few minutes to deploy. Espere a que la VM finalice la implementación antes de continuar con los pasos restantes.Wait for the VM to finish deploying before continuing with the remaining steps.

Prueba de la comunicación de redTest network communication

Para probar la comunicación de red con Network Watcher, primero se habilita un monitor de red en al menos una región de Azure y, a continuación, se usa la funcionalidad Comprobación del flujo de IP de Network Watcher.To test network communication with Network Watcher, first enable a network watcher in at least one Azure region, and then use Network Watcher's IP flow verify capability.

Habilitación de Network WatcherEnable network watcher

Si ya dispone de un monitor de red habilitado en al menos una región, vaya a la sección Uso de la funcionalidad Comprobación del flujo de IP.If you already have a network watcher enabled in at least one region, skip to Use IP flow verify.

  1. En el portal, seleccione Todos los servicios.In the portal, select All services. En el cuadro Filtrar, escriba Network Watcher.In the Filter box, enter Network Watcher. Cuando aparezca la opción Network Watcher en los resultados, selecciónela.When Network Watcher appears in the results, select it.

  2. Habilite un monitor de red en la región Este de EE. UU., porque esa es la región de la máquina virtual que se implementó en un paso anterior.Enable a network watcher in the East US region, because that's the region the VM was deployed to in a previous step. Seleccione Regiones para expandirla y, a continuación, seleccione ... a la derecha de la opción Este de EE. UU., tal y como se muestra en la siguiente imagen:Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Habilitación de Network Watcher

  3. Seleccione Habilitar Network Watcher.Select Enable Network Watcher.

Uso de la funcionalidad Comprobación del flujo de IPUse IP flow verify

Cuando se crea una máquina virtual, Azure permite y deniega el tráfico de entrada y salida de la máquina virtual conforme a unos valores predeterminados.When you create a VM, Azure allows and denies network traffic to and from the VM, by default. Si lo desea, puede invalidar después los valores predeterminados de Azure para permitir o denegar otros tipos de tráfico.You might later override Azure's defaults, allowing or denying additional types of traffic.

  1. En el portal, seleccione Todos los servicios.In the portal, select All services. En el cuadro Filtrar de Todos los servicios, escriba Network Watcher.In the All services Filter box, enter Network Watcher. Cuando aparezca la opción Network Watcher en los resultados, selecciónela.When Network Watcher appears in the results, select it.

  2. Seleccione Comprobación del flujo de IP en HERRAMIENTAS DE DIAGNÓSTICO DE RED.Select IP flow verify, under NETWORK DIAGNOSTIC TOOLS.

  3. Seleccione su suscripción, escriba o seleccione los siguientes valores y seleccione Comprobar, tal y como se muestra en la siguiente imagen:Select your subscription, enter or select the following values, and then select Check, as shown in the picture that follows:

    ConfiguraciónSetting ValorValue
    Grupos de recursosResource group Seleccione myResourceGroupSelect myResourceGroup
    Máquina virtualVirtual machine Seleccione myVmSelect myVm
    interfaz de redNetwork interface myVm: el nombre de la interfaz de red del portal que se creó al crear la máquina virtual es diferente.myvm - The name of the network interface the portal created when you created the VM is different.
    ProtocoloProtocol TCPTCP
    DirecciónDirection SalidaOutbound
    Dirección IP localLocal IP address 10.0.0.410.0.0.4
    Puerto localLocal port 6000060000
    Dirección IP remotaRemote IP address 13.107.21.200: una de las direcciones para <www.bing.com>.13.107.21.200 - One of the addresses for <www.bing.com>.
    Puerto remotoRemote port 8080

    Comprobación de flujo de IP

    Después de unos segundos, el resultado devuelto le informa de que una regla de seguridad llamada AllowInternetOutbound ha permitido el acceso.After a few seconds, the result returned informs you that access is allowed because of a security rule named AllowInternetOutbound. Al ejecutar la comprobación, Network Watcher crea automáticamente un monitor de red en la región Este de EE.UU., si tuviera un monitor de red en una región distinta de la región Este de EE. UU. antes de ejecutar la comprobación.When you ran the check, Network Watcher automatically created a network watcher in the East US region, if you had an existing network watcher in a region other than the East US region before you ran the check.

  4. Realice el paso 3 de nuevo con la Dirección IP remota cambiada a 172.31.0.100.Complete step 3 again, but change the Remote IP address to 172.31.0.100. El resultado devuelto le informa de que una regla de seguridad llamada DefaultOutboundDenyAll ha denegado el acceso.The result returned informs you that access is denied because of a security rule named DefaultOutboundDenyAll.

  5. Realice el paso 3 de nuevo con la Dirección cambiada a Entrada, el Puerto Local cambiado a 80 y el Puerto remoto, a 60000.Complete step 3 again, but change the Direction to Inbound, the Local port to 80 and the Remote port to 60000. El resultado devuelto le informa de que una regla de seguridad llamada DefaultInboundDenyAll ha denegado el acceso.The result returned informs you that access is denied because of a security rule named DefaultInboundDenyAll.

Ahora que sabe qué reglas de seguridad están permitiendo o denegando el tráfico de entrada y salida en una máquina virtual, puede determinar cómo deben resolverse los problemas.Now that you know which security rules are allowing or denying traffic to or from a VM, you can determine how to resolve the problems.

Ver detalles de una regla de seguridadView details of a security rule

  1. Para determinar por qué las reglas de los pasos 3 a 5 de Uso de la funcionalidad Comprobación del flujo de IP permiten o deniegan la comunicación, revise las reglas de seguridad eficaces de la interfaz de red en la máquina virtual.To determine why the rules in steps 3-5 of Use IP flow verify allow or deny communication, review the effective security rules for the network interface in the VM. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba myvm.In the search box at the top of the portal, enter myvm. Cuando la interfaz de red myvm (o cualquiera que sea el nombre de la interfaz de red) aparezca en los resultados de la búsqueda, selecciónela.When the myvm (or whatever the name of your network interface is) network interface appears in the search results, select it.

  2. Seleccione Reglas de seguridad eficaces en SUPPORT + TROUBLESHOOTING (Soporte técnico y solución de problemas), como se muestra en la siguiente imagen:Select Effective security rules under SUPPORT + TROUBLESHOOTING, as shown in the following picture:

    Reglas de seguridad eficaces

    En el paso 3 de Uso de la funcionalidad Comprobación del flujo de IP ha aprendido que el motivo por el se permitió la comunicación era la regla AllowInternetOutbound.In step 3 of Use IP flow verify, you learned that the reason the communication was allowed is because of the AllowInternetOutbound rule. En la imagen anterior puede ver que el DESTINO de la regla es Internet.You can see in the previous picture that the DESTINATION for the rule is Internet. Sin embargo, no queda claro el modo en que 13.107.21.200, la dirección que probó en el paso 3 de Uso de la funcionalidad Comprobación del flujo de IP está relacionada con Internet.It's not clear how 13.107.21.200, the address you tested in step 3 of Use IP flow verify, relates to Internet though.

  3. Seleccione la regla AllowInternetOutBound y Destino, tal y como se muestra en la siguiente imagen:Select the AllowInternetOutBound rule, and then select Destination, as shown in the following picture:

    Prefijos de regla de seguridad

    Uno de los prefijos de la lista es 12.0.0.0/6, que comprende el intervalo de direcciones IP de 12.0.0.1 a 15.255.255.254.One of the prefixes in the list is 12.0.0.0/6, which encompasses the 12.0.0.1-15.255.255.254 range of IP addresses. Como 13.107.21.200 está dentro de ese intervalo, la regla AllowInternetOutBound permite el tráfico de salida.Since 13.107.21.200 is within that address range, the AllowInternetOutBound rule allows the outbound traffic. Asimismo, no aparece ninguna regla con prioridad mayor (número menor) en la imagen del paso 2 que anule esta regla.Additionally, there are no higher priority (lower number) rules shown in the picture in step 2 that override this rule. Cierre el cuadro Prefijos de direcciones.Close the Address prefixes box. Para denegar la comunicación de salida con 13.107.21.200, podría agregar una regla de seguridad con una prioridad mayor que denegara la salida del puerto 80 hacia la dirección IP.To deny outbound communication to 13.107.21.200, you could add a security rule with a higher priority, that denies port 80 outbound to the IP address.

  4. Al ejecutar la comprobación de salida para 172.131.0.100 en el paso 4 de Uso de la funcionalidad Comprobación del flujo de IP, ha aprendido que la regla DefaultOutboundDenyAll denegaba la comunicación.When you ran the outbound check to 172.131.0.100 in step 4 of Use IP flow verify, you learned that the DefaultOutboundDenyAll rule denied communication. Esta regla equivale a la regla DenyAllOutBound que se muestra en la imagen del paso 2 que especifica 0.0.0.0/0 como DESTINO.That rule equates to the DenyAllOutBound rule shown in the picture in step 2 that specifies 0.0.0.0/0 as the DESTINATION. La regla deniega la comunicación de salida hacia 172.131.0.100 porque la dirección no está incluida como DESTINO en las Reglas de salida que aparecen en la imagen.This rule denies the outbound communication to 172.131.0.100, because the address is not within the DESTINATION of any of the other Outbound rules shown in the picture. Para permitir la comunicación de salida, podría agregar una regla de seguridad con prioridad mayor que permitiera el tráfico de salida hacia el puerto 80 para la dirección 172.131.0.100.To allow the outbound communication, you could add a security rule with a higher priority, that allows outbound traffic to port 80 for the 172.131.0.100 address.

  5. Al ejecutar la comprobación de entrada para 172.131.0.100 en el paso 5 de Uso de la funcionalidad Comprobación del flujo de IP, ha aprendido que la regla DefaultInboundDenyAll denegaba la comunicación.When you ran the inbound check from 172.131.0.100 in step 5 of Use IP flow verify, you learned that the DefaultInboundDenyAll rule denied communication. Esta regla equivale a la regla DenyAllInBound que se muestra en la imagen del paso 2.That rule equates to the DenyAllInBound rule shown in the picture in step 2. La regla DenyAllInBound se aplicaba porque no existía ninguna otra regla de prioridad mayor que permitiera el puerto 80 de entrada a la máquina virtual desde 172.31.0.100.The DenyAllInBound rule is enforced because no other higher priority rule exists that allows port 80 inbound to the VM from 172.31.0.100. Para permitir la comunicación de entrada, podría agregar una regla de seguridad con una prioridad mayor que permitiera el tráfico de entrada en el puerto 80 del tráfico procedente de 172.31.0.100.To allow the inbound communication, you could add a security rule with a higher priority, that allows port 80 inbound from 172.31.0.100.

Las pruebas de esta guía de inicio rápido permiten comprobar la configuración de Azure.The checks in this quickstart tested Azure configuration. Si estas pruebas devuelven resultados esperados pero sigue teniendo problemas de red, asegúrese de que no hay un firewall entre la máquina virtual y el punto de conexión con el que se está comunicando y que el sistema operativo de la máquina virtual no tiene un firewall que permita o deniegue la comunicación.If the checks return expected results and you still have network problems, ensure that you don't have a firewall between your VM and the endpoint you're communicating with and that the operating system in your VM doesn't have a firewall that is allowing or denying communication.

Limpieza de recursosClean up resources

Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:When no longer needed, delete the resource group and all of the resources it contains:

  1. Escriba myResourceGroup en el cuadro Buscar que se encuentra en la parte superior del portal.Enter myResourceGroup in the Search box at the top of the portal. Seleccione myResourceGroup cuando lo vea en los resultados de la búsqueda.When you see myResourceGroup in the search results, select it.
  2. Seleccione Eliminar grupo de recursos.Select Delete resource group.
  3. Escriba myResourceGroup para ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: y seleccione Eliminar.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Pasos siguientesNext steps

En esta guía de inicio rápido, ha creado una máquina virtual y diagnosticado los filtros del tráfico de entrada y de salida.In this quickstart, you created a VM and diagnosed inbound and outbound network traffic filters. Ha aprendido que las reglas de grupo de seguridad de red permiten o deniegan el tráfico de entrada y salida de una máquina virtual.You learned that network security group rules allow or deny traffic to and from a VM. Más información acerca de las reglas de seguridad y cómo crearlas.Learn more about security rules and how to create security rules.

Incluso con la aplicación de los filtros de tráfico adecuados, la comunicación con una máquina virtual puede seguir experimentando errores debido a la configuración del enrutamiento.Even with the proper network traffic filters in place, communication to a VM can still fail, due to routing configuration. Para más información acerca de cómo diagnosticar los problemas de enrutamiento de red de la máquina virtual, consulte Diagnose VM routing problems (Diagnóstico de problemas de enrutamiento de máquina virtual). Para diagnosticar problemas con los filtros de tráfico, la latencia o el enrutamiento de salida mediante una herramienta, consulte Solución de problemas de conexiones.To learn how to diagnose VM network routing problems, see Diagnose VM routing problems or, to diagnose outbound routing, latency, and traffic filtering problems, with one tool, see Connection troubleshoot.