Solución de problemas en una red con las herramientas de supervisión y diagnóstico de Network Watcher
Azure Network Watcher incluye varias herramientas que puede usar para supervisar las redes virtuales y las máquinas virtuales (VM). Para usar Network Watcher de forma eficaz, es esencial comprender todas las opciones disponibles y el propósito de cada herramienta.
En la empresa de ingeniería, quiere permitir que el personal elija la herramienta de Network Watcher adecuada para cada tarea de solución de problemas. Para ello, necesitan conocer todas las opciones disponibles y los tipos de problemas que puede resolver cada herramienta.
Aquí verá las categorías de herramientas de Network Watcher, las herramientas de cada categoría y cómo se aplica cada herramienta mediante casos de uso de ejemplo.
¿Qué es Network Watcher?
Network Watcher es un servicio de Azure que combina herramientas en un lugar central para diagnosticar el estado de las redes de Azure. Las herramientas de Network Watcher se dividen en tres categorías:
- Herramientas de supervisión
- Herramientas de diagnóstico de red
- Herramientas de registro de tráfico
Con herramientas para supervisar y diagnosticar problemas, Network Watcher ofrece una ubicación centralizada para identificar problemas de red, picos de CPU, problemas de conectividad, fugas de memoria y otros problemas antes de que afecten a la empresa.
Herramientas de supervisión de Network Watcher
Network Watcher proporciona tres herramientas de supervisión:
- Topología
- Monitor de conexión
- Network Performance Monitor
Echemos un vistazo a cada una de estas herramientas.
¿Qué es la herramienta Topología?
La herramienta Topología genera una presentación gráfica de la red virtual de Azure, sus recursos, sus interconexiones y sus relaciones entre sí.
Imagine que tiene que solucionar problemas de una red virtual creada por compañeros de trabajo. A menos que haya participado en el proceso de creación de la red, es posible que no conozca todos los aspectos de la infraestructura. Puede usar la herramienta Topología para visualizar y comprender la infraestructura con la que trabaja antes de empezar a solucionar problemas.
Para ver la topología de una red de Azure se usa Azure Portal. En Azure Portal:
Inicie sesión en Azure Portal y, después, busque y seleccione Network Watcher.
En el menú Network Watcher, en Supervisión, seleccione Topología.
Seleccione una suscripción, el grupo de recursos de una red virtual y, después, la propia red virtual.
Nota:
Para generar la topología, necesita una instancia de Network Watcher en la misma región geográfica que la red virtual.
Este es un ejemplo de una topología generada para una red virtual denominada MyVNet.
¿Qué es la herramienta Monitor de conexión?
La herramienta Monitor de conexión proporciona una manera de comprobar que las conexiones entre los recursos de Azure funcionan. Use esta herramienta para comprobar que dos máquinas virtuales se pueden comunicar si quiere que lo hagan.
Esta herramienta también mide la latencia entre los recursos. Puede detectar los cambios que afectarán a la conectividad, como los cambios en la configuración de red o los cambios en las reglas del grupo de seguridad de red (NSG). Puede sondear las máquinas virtuales en intervalos regulares en busca de errores o cambios.
Si hay algún problema, Monitor de conexión le indica por qué se ha producido y cómo corregirlo. Además de supervisar las máquinas virtuales, Monitor de conexión puede examinar una dirección IP o un nombre de dominio completo (FQDN).
¿Qué es la herramienta Network Performance Monitor?
La herramienta Network Performance Monitor permite realizar el seguimiento de la latencia y la eliminación de paquetes en el tiempo, y avisa sobre ello. Proporciona una vista centralizada de la red.
Cuando decida supervisar las conexiones híbridas mediante Network Performance Monitor, compruebe que el área de trabajo asociada se encuentra en una región compatible.
Puede usar Network Performance Monitor para supervisar la conectividad de un extremo a otro:
- Entre ramas y centros de datos
- Entre redes virtuales
- Para las conexiones entre el entorno local y la nube
- Para circuitos de Azure ExpressRoute
Herramientas de diagnóstico de Network Watcher
Network Watcher incluye las siguientes herramientas de diagnóstico:
- Comprobación del flujo de IP
- Diagnóstico del grupo de seguridad de red
- Próximo salto
- Reglas de seguridad vigentes
- Captura de paquetes
- Solución de problemas de conexión
- Solución de problemas de VPN
Veamos cada herramienta y cómo pueden ayudar a solucionar los problemas.
¿Qué es la herramienta Comprobación del flujo de IP?
La herramienta Comprobación del flujo de IP indica si los paquetes se permiten o deniegan a una máquina virtual específica. Si un grupo de seguridad de red deniega un paquete, la herramienta le indica el nombre de ese grupo para que pueda corregir el problema.
Esta herramienta usa un mecanismo de comprobación basado en parámetros de paquete de cinco tuplas para detectar si los paquetes entrantes o salientes se permiten o deniegan en una máquina virtual. Dentro de la herramienta, se especifica un puerto local y remoto, el protocolo (TCP/UDP), la dirección IP local, la dirección IP remota, la máquina virtual y el adaptador de red de la máquina virtual.
¿Qué es la herramienta de diagnóstico del grupo de seguridad de red?
La herramienta de diagnósticos del grupo de seguridad de red (NSG) proporciona información detallada para ayudarle a comprender y depurar la configuración de seguridad de la red.
Para un par de origen y destino determinado, la herramienta muestra los grupos de seguridad de red que se recorrerán, las reglas que se aplicarán en cada grupo de seguridad de red y el estado final de permiso/denegación para el flujo. Al comprender qué flujos de tráfico se permitirán o denegarán en Azure Virtual Network, puede determinar si las reglas del grupo de seguridad de red están configuradas correctamente.
¿Qué es la herramienta Próximo salto?
Cuando una máquina virtual envía un paquete a un destino, es posible que en su recorrido realice varios saltos. Por ejemplo, si el destino es una máquina virtual en otra red virtual, el próximo salto podría ser la puerta de enlace de la red virtual que enruta el paquete a la máquina virtual de destino.
Con la herramienta Próximo salto, puede determinar cómo llega un paquete desde una máquina virtual a cualquier destino. Especifique la máquina virtual de origen, el adaptador de red de origen, la dirección IP de origen y la dirección IP de destino. Después, la herramienta determina la ruta del paquete. Puede usar esta herramienta para diagnosticar problemas causados por tablas de enrutamiento incorrectas.
¿Qué es la herramienta de reglas de seguridad vigentes?
La herramienta de reglas de seguridad vigentes de Network Watcher muestra todas las reglas de NSG vigentes que se aplican a una interfaz de red.
Los grupos de seguridad de red (NSG) se usan en las redes de Azure para filtrar los paquetes en función de su dirección IP y números de puerto de origen y destino. Los grupos de seguridad de red son esenciales para la seguridad porque ayudan a controlar cuidadosamente el área expuesta de las máquinas virtuales a las que pueden acceder los usuarios. Pero tenga en cuenta que una regla de NSG configurada de forma errónea podría impedir la comunicación legítima. Como resultado, los grupos de seguridad de red son una fuente habitual de problemas de red.
Por ejemplo, si dos máquinas virtuales no se pueden comunicar porque una regla de NSG las bloquea, puede ser difícil diagnosticar qué regla es la que causa el problema. Usará la herramienta de reglas de seguridad vigentes de Network Watcher para mostrar todas las reglas de NSG vigentes y diagnosticar qué regla es la que causa el problema concreto.
Para usar la herramienta, elija una máquina virtual y su adaptador de red. La herramienta muestra todas las reglas de NSG que se aplican a ese adaptador. Si examina esta lista le resultará fácil determinar una regla de bloqueo.
También puede usar la herramienta para detectar vulnerabilidades en la máquina virtual provocadas por puertos abiertos innecesarios.
¿Qué es la herramienta Captura de paquetes?
La herramienta Captura de paquetes registra todos los paquetes enviados a una máquina virtual y desde ella. Cuando está habilitada, puede revisar la captura para recopilar estadísticas sobre el tráfico de red o diagnosticar anomalías, como tráfico de red inesperado en una red virtual privada.
La herramienta de captura de paquetes es una extensión de máquina virtual que se inicia de forma remota desde Network Watcher. Se inicia de forma automática al iniciar una sesión de captura de paquetes.
Tenga en cuenta que hay un límite en la cantidad de sesiones de captura de paquetes permitida por región. El límite de uso predeterminado es de 100 sesiones de captura de paquetes por región y el límite total es de 10 000. Estos límites son solo para el número de sesiones, no para las capturas guardadas. Puede guardar paquetes capturados en Azure Storage o de manera local en el equipo.
La captura de paquetes depende de la extensión de máquina virtual del agente de Network Watcher instalada en la máquina virtual. Para obtener vínculos a instrucciones en las que se detalla la instalación de la extensión en máquinas virtuales Windows y Linux, vea la sección "Más información" al final de este módulo.
¿Qué es la herramienta Solución de problemas de conexión?
Puede usar la herramienta Solución de problemas de conexión para comprobar la conectividad TCP entre una máquina virtual de origen y de destino. Puede especificar la máquina virtual de destino mediante un FQDN, un URI o una dirección IP.
Si la conexión es correcta, aparecerá información sobre la comunicación, incluido lo siguiente:
- La latencia en milisegundos.
- El número de paquetes de sondeo enviados.
- El número de saltos en la ruta completa al destino.
Si la conexión no es correcta, verá los detalles del error. Estos son algunos tipos de error:
- CPU. No se ha podido realizar la conexión debido a un uso elevado de CPU.
- Memory. No se ha podido realizar la conexión debido a un uso elevado de la memoria.
- GuestFirewall. Un firewall externo a Azure ha bloqueado la conexión.
- DNSResolution. No se ha podido resolver la dirección IP de destino.
- NetworkSecurityRule. Un grupo de seguridad de red ha bloqueado la conexión.
- UserDefinedRoute. Hay una ruta de usuario incorrecta en una tabla de enrutamiento.
¿Qué es la herramienta Solución de problemas de VPN?
Puede usar la herramienta Solución de problemas de VPN para diagnosticar problemas con las conexiones de puerta de enlace de red virtual. Esta herramienta ejecuta diagnósticos en una conexión de puerta de enlace de red virtual y devuelve un diagnóstico de mantenimiento.
Cuando se inicia la herramienta Solución de problemas de VPN, Network Watcher diagnostica el estado de la puerta de enlace o la conexión, y devuelve los resultados adecuados. La solicitud es una transacción de larga duración.
En esta tabla se muestran ejemplos de los distintos tipos de error.
| Tipo de error | Motivo | Log |
|---|---|---|
| NoFault | No se detecta ningún error. | Sí |
| GatewayNotFound | No se encuentra la puerta de enlace o no está aprovisionada. | No |
| PlannedMaintenance | Se está realizando el mantenimiento de una instancia de puerta de enlace. | No |
| UserDrivenUpdate | Hay una actualización del usuario en curso. La actualización podría ser una operación de cambio de tamaño. | No |
| VipUnResponsive | No se puede tener acceso a la instancia principal de la puerta de enlace debido a un error de sondeo de estado. | No |
| PlatformInActive | Hay un problema con la plataforma. | No |
Herramientas de registro de tráfico
Network Watcher incluye las siguientes herramientas de tráfico:
- Registros de flujos
- Análisis de tráfico
¿Qué es la herramienta de registros de flujo?
Los registros de flujo permiten registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. Los registros de flujo almacenan datos en almacenamiento de Azure. Los datos de flujo se envían a Azure Storage y desde allí se puede acceder a ellos y exportarlos a cualquier herramienta que se quiera de visualización, solución de administración de eventos e información de seguridad (SIEM) o sistema de detección de intrusiones (IDS). Puede usar estos datos para analizar patrones de tráfico y solucionar problemas de conectividad.
Los casos de uso de los registros de flujo se pueden clasificar en dos tipos. Supervisión de red y supervisión y optimización del uso.
Supervisión de redes
- Identifique el tráfico desconocido o no deseado.
- Supervise los niveles de tráfico y el consumo de ancho de banda.
- Filtre los registros de flujo por IP y puerto para comprender el comportamiento de la aplicación.
- Exporte registros de flujo a las herramientas de visualización y análisis que prefiera para configurar paneles de supervisión.
Supervisión y optimización de uso
- Identifique los principales hablantes en su red.
- Combine datos de GeoIP para identificar el tráfico entre regiones.
- Comprenda el crecimiento del tráfico para realizar previsiones de capacidad.
- Use datos para quitar reglas de tráfico excesivamente restrictivas.
¿Qué es la herramienta de análisis de tráfico?
El análisis de tráfico es una solución basada en la nube que proporciona visibilidad sobre la actividad de usuarios y aplicaciones en las redes en la nube. En concreto, el análisis de tráfico analiza los registros de flujo de NSG de Azure Network Watcher para proporcionar información sobre el flujo de tráfico en su nube de Azure. Con Análisis de tráfico, puede:
- Visualizar la actividad de la red en las suscripciones de Azure.
- Identificar las zonas activas.
- Proteja la red mediante información para identificar amenazas.
- Optimizar la implementación el rendimiento y la capacidad en la implementación de la red mediante la comprensión de los patrones de flujo de tráfico entre regiones de Azure e Internet.
- Identificar los errores de configuración de la red que dan lugar a errores de conexión.
Escenarios de casos de uso de Azure Network Watcher
Se examinarán algunos escenarios en los que puede investigar y solucionar problemas mediante la supervisión y los diagnósticos de Azure Network Watcher.
Problemas de conectividad en una red de máquina virtual única
Sus compañeros de trabajo han implementado una máquina virtual en Azure y ahora tienen problemas de conectividad de red. Están intentando usar el Protocolo de escritorio remoto (RDP) para conectarse a las máquinas virtuales, pero no lo consiguen.
Para solucionar este problema, use la herramienta Comprobación del flujo de IP. Con ella puede especificar un puerto local y remoto, el protocolo (TCP/UDP), la dirección IP local y la dirección IP remota para comprobar el estado de la conexión. También podrá especificar la dirección de la conexión (entrante o saliente). Comprobación del flujo de IP ejecuta una prueba lógica en las reglas establecidas en la red.
En este caso, use Comprobación del flujo de IP para especificar la dirección IP de las máquinas virtuales y el puerto RDP 3389. Después, especifique la dirección IP y el puerto de la máquina virtual remota. Elija el protocolo TCP y, luego, seleccione Comprobar.
Supongamos que el resultado muestra que se denegó el acceso debido a la regla DefaultInboundDenyAll del grupo de seguridad de red. La solución consiste en cambiar la regla del grupo de seguridad de red.
No funciona una conexión VPN
Sus compañeros de trabajo han implementado máquinas virtuales en dos redes virtuales y no pueden conectarlas entre sí.
Para solucionar problemas de una conexión VPN, use Solución de problemas de VPN de Azure. Esta herramienta ejecuta diagnósticos en una conexión de puerta de enlace de red virtual y devuelve un diagnóstico de mantenimiento. Puede ejecutar esta herramienta desde Azure Portal, PowerShell o la CLI de Azure.
Esta herramienta comprueba si hay problemas comunes en la puerta de enlace y devuelve el diagnóstico de estado. También puede ver el archivo de registro para saber más detalles. El diagnóstico mostrará si la conexión VPN funciona. Si la conexión VPN no funciona, Solución de problemas de VPN sugerirá formas de resolver el problema.
Imagine que el diagnóstico muestra un error de coincidencia de claves. Para resolver el problema, vuelva a configurar la puerta de enlace remota para asegurarse de que las claves coinciden en ambos extremos, ya que las claves compartidas previamente distinguen entre mayúsculas y minúsculas.
Ningún servidor escucha en los puertos de destino designados
Sus compañeros de trabajo han implementado máquinas virtuales en una sola red virtual y no pueden conectarlas entre sí.
Use la herramienta Solución de problemas de conexión para solucionar este problema. En esta herramienta, puede especificar las máquinas virtuales locales y remotas. En la configuración de sondeo, puede elegir un puerto específico.
Supongamos que los resultados muestran que el servidor remoto es inaccesible, junto con el mensaje "tráfico bloqueado debido a la configuración del firewall de la máquina virtual". En el servidor remoto, deshabilite el firewall y, después, vuelva a probar la conexión.
Imagine que ahora el servidor es accesible. Este resultado indica que las reglas de firewall en el servidor remoto son el problema y se deben corregir para permitir la conexión.