Zelfstudie: Netwerkverkeer routeren met een routetabel met behulp van de Azure-portal

  • Artikel
  • 10 minuten om te lezen

In Azure wordt verkeer standaard geretourneerd tussen alle subnetten in een virtueel netwerk. U kunt uw eigen routes maken om de standaardroutering van Azure te overschrijven. Aangepaste routes zijn handig als u bijvoorbeeld verkeer tussen subnetten wilt routeren via een NVA (virtueel netwerkapparaat). In deze zelfstudie leert u het volgende:

  • Een NVA maken voor het routeren van verkeer
  • Een routetabel maken
  • Een route maken
  • Een routetabel aan een subnet koppelen
  • Virtuele machines (VM's) implementeren in verschillende subnetten
  • Verkeer van het ene subnet naar het andere leiden via een NVA

In deze zelfstudie wordt de Azure-portal gebruikt om het volgende te doen. U kunt ook Azure CLI of Azure PowerShell gebruiken.

Vereisten

Voordat u begint, hebt u een Azure-account met een actief abonnement nodig. Als u nog geen account hebt, kunt u gratis een account maken.

Aanmelden bij Azure

Meld u aan bij Azure Portal op https://portal.azure.com.

Een virtueel netwerk maken

  1. Selecteer Een resource maken in het menu van de Azure-portal. Selecteer in Azure Marketplace netwerk virtueel netwerk of zoek > naar Virtual Network in het zoekvak.

  2. Selecteer Maken.

  3. Typ of selecteer in Virtueel netwerk maken de volgende gegevens:

    Instelling Waarde
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuwe maken en voer myResourceGroup in.
    Selecteer OK.
    Naam Voer myVirtualNetwork in.
    Locatie Selecteer (VS) VS - oost.

  4. Selecteer het tabblad IP-adressen of selecteer de knop Volgende: IP-adressen onderaan de pagina.

  5. Selecteer in IPv4-adresruimte de bestaande adresruimte en wijzig deze in 10.0.0.0/16.

  6. Selecteer + Subnet toevoegen en voer vervolgens Openbaar in bij Subnetnaam en 10.0.0.0/24 bij Subnetadresbereik.

  7. Selecteer Toevoegen.

  8. Selecteer + Subnet toevoegen en voer vervolgens Privé in bij Subnetnaam en 10.0.1.0/24 bij Subnetadresbereik.

  9. Selecteer Toevoegen.

  10. Selecteer + Subnet toevoegen en voer vervolgens DMZ in bij Subnetnaam en 10.0.2.0/24 bij Subnetadresbereik.

  11. Selecteer Toevoegen.

  12. Selecteer het tabblad Beveiliging of selecteer de knop Volgende: Beveiliging onderaan de pagina.

  13. Selecteer onder BastionHost de optie Inschakelen. Voer deze gegevens in:

    Instelling Waarde
    Bastion-naam Voer myBastionHost in
    AzureBastionSubnet-adresruimte Voer 10.0.3.0/24 in
    Openbaar IP-adres Selecteer Nieuw maken.
    Voer bij Naam de naam myBastionIP in.
    Selecteer OK.

  14. Selecteer het tabblad Controleren + maken of klik op de knop Controleren + maken.

  15. Selecteer Maken.

Een NVA maken

Virtuele netwerkapparaten (NVA's) zijn virtuele machines die ondersteuning bieden voor netwerkfuncties, zoals routering en firewall-optimalisatie. In deze zelfstudie wordt ervan uitgenomen dat u Windows Server 2019 Datacenter gebruikt. Als u wilt, kunt u een ander besturingssysteem selecteren.

  1. Selecteer in de linkerbovenhoek van de portal de optie Een resource maken > Compute > Virtuele machine.

  2. In Een virtuele machine maken typt of selecteert u de waarden op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam van de virtuele machine Voer myVMNVA in
    Regio Selecteer (US) VS - oost
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist
    Installatiekopie Selecteer Windows Server 2019 Datacenter
    Azure Spot-exemplaar Selecteer Nee
    Grootte Kies een VM-grootte of kies de standaardinstelling
    Beheerdersaccount
    Gebruikersnaam Voer een gebruikersnaam in
    Wachtwoord Voer een wachtwoord in
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.

  3. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  4. Op het tabblad Netwerken selecteert u of voert u het volgende in:

    Instelling Waarde
    Netwerkinterface
    Virtueel netwerk Selecteer myVirtualNetwork.
    Subnet DMZ selecteren
    Openbare IP Selecteer Geen
    NIC-netwerkbeveiligingsgroep Selecteer Basic
    Netwerk van openbare binnenkomende poorten Selecteer Geen.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Controleer de instellingen en selecteer vervolgens Maken.

Een routetabel maken

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Voer in het zoekvak Routeringstabel in. Wanneer Routeringstabel wordt weergegeven in de zoekresultaten, selecteert u dit.

  3. Selecteer op de pagina Routeringstabel de optie Maken.

  4. Voer in Routetabel maken op het tabblad Basisinformatie de volgende gegevens in of selecteer deze:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Regio Selecteer VS - oost.
    Name Voer myRouteTablePublic in.
    Gatewayroutes doorgeven Selecteer Ja.

    Maak de routetabel Azure Portal.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

Een route maken

  1. Ga naar de Azure-portal om uw routeringstabel te beheren. Zoek en selecteer Routeringstabellen.

  2. Selecteer de naam van de routetabel myRouteTablePublic.

  3. Selecteer op de pagina myRouteTablePublic in de sectie Instellingen de optie Routes.

  4. Selecteer op de pagina Routes de knop + Toevoegen.

  5. Typ of selecteer in Route toevoegen de volgende gegevens:

    Instelling Waarde
    Routenaam Voer ToPrivateSubnet in
    Adresvoorvoegsel Voer 10.0.1.0/24 in (het adresbereik van het privésubnet dat u eerder hebt gemaakt)
    Volgend hoptype Selecteer Virtueel apparaat.
    Adres van de volgende hop Voer 10.0.2.4 in (een adres binnen het adresbereik van het DMZ-subnet)

  6. Selecteer OK.

Een routetabel aan een subnet koppelen

  1. Ga naar de Azure-portal om uw virtuele netwerk te beheren. Zoek en selecteer Virtuele netwerken.

  2. Selecteer de naam van uw virtuele netwerk myVirtualNetwork.

  3. Selecteer op de pagina myVirtualNetwork in de sectie Instellingen de optie Subnetten.

  4. Selecteer Openbaar in de lijst met subnetten van het virtuele netwerk.

  5. Kies in Routetabel de routetabel die u myRouteTablePublic hebt gemaakt.

  6. Selecteer Opslaan om uw routetabel te koppelen aan het openbare subnet.

    Koppel routetabel, subnetlijst, virtueel netwerk, Azure Portal.

Doorsturen via IP inschakelen

Schakel vervolgens Doorsturen via IP in voor uw nieuwe virtuele NVA-machine, myVMNVA. Wanneer Azure netwerkverkeer naar myVMNVA verzendt, wordt het verkeer naar de juiste locatie doorgestuurd als het verkeer is bestemd voor een ander IP-adres.

  1. Ga naar de Azure-portal om uw virtuele machine te beheren. Zoek en selecteer virtuele machines.

  2. Selecteer de naam van uw virtuele machine myVMNVA.

  3. Selecteer op de overzichtspagina myVMNVA in Instellingen de optie Netwerken.

  4. Selecteer op de pagina Netwerken van myVMNVA de netwerkinterface naast Netwerkinterface. De naam van de interface begint met myvmnva.

    Netwerken, virtueel netwerkapparaat (NVA), virtuele machine (VM), Azure-portal

  5. Selecteer op de overzichtspagina van de netwerkinterface in Instellingen de optie IP-configuraties.

  6. Stel op de pagina IP-configuraties doorsturen via IP in op Ingeschakeld en selecteer opslaan.

    Doorsturen via IP inschakelen

Virtuele machines maken, openbaar en privé

Maak een openbare VM en een privé-VM in het virtuele netwerk. Later gebruikt u deze om te zien dat het Openbare subnetverkeer in Azure via de NVA naar het Privé subnet wordt gerouteerd.

Openbare VM

  1. Selecteer in de linkerbovenhoek van de portal de optie Een resource maken > Compute > Virtuele machine.

  2. In Een virtuele machine maken typt of selecteert u de waarden op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam van de virtuele machine Voer myVMPublic in
    Regio Selecteer (US) VS - oost
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist
    Installatiekopie Selecteer Windows Server 2019 Datacenter
    Azure Spot-exemplaar Selecteer Nee
    Grootte Kies een VM-grootte of kies de standaardinstelling
    Beheerdersaccount
    Gebruikersnaam Voer een gebruikersnaam in
    Wachtwoord Voer een wachtwoord in
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.

  3. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  4. Op het tabblad Netwerken selecteert u of voert u het volgende in:

    Instelling Waarde
    Netwerkinterface
    Virtueel netwerk Selecteer myVirtualNetwork.
    Subnet Selecteer Openbaar
    Openbare IP Selecteer Geen
    NIC-netwerkbeveiligingsgroep Selecteer Basic
    Netwerk van openbare binnenkomende poorten Selecteer Geen.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Controleer de instellingen en selecteer vervolgens Maken.

Privé VM

  1. Selecteer in de linkerbovenhoek van de portal de optie Een resource maken > Compute > Virtuele machine.

  2. In Een virtuele machine maken typt of selecteert u de waarden op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam van de virtuele machine Voer myVMPrivate in
    Regio Selecteer (US) VS - oost
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist
    Installatiekopie Selecteer Windows Server 2019 Datacenter
    Azure Spot-exemplaar Selecteer Nee
    Grootte Kies een VM-grootte of kies de standaardinstelling
    Beheerdersaccount
    Gebruikersnaam Voer een gebruikersnaam in
    Wachtwoord Voer een wachtwoord in
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.

  3. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  4. Op het tabblad Netwerken selecteert u of voert u het volgende in:

    Instelling Waarde
    Netwerkinterface
    Virtueel netwerk Selecteer myVirtualNetwork.
    Subnet Selecteer Privé
    Openbare IP Selecteer Geen
    NIC-netwerkbeveiligingsgroep Selecteer Basic
    Netwerk van openbare binnenkomende poorten Selecteer Geen.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Controleer de instellingen en selecteer vervolgens Maken.

Verkeer routeren via een NVA

Aanmelden bij privé-VM

  1. Ga naar de Azure-portal om de privé VM te beheren. Zoek en selecteer virtuele machines.

  2. Kies de naam van uw persoonlijke virtuele machine myVmPrivate.

  3. Selecteer in de menubalk van de VM verbinding maken en selecteer vervolgens Bastion.

  4. Selecteer op de pagina Verbinding maken de blauwe knop Bastion gebruiken.

  5. Voer op de pagina Bastion de gebruikersnaam en het wachtwoord in die u eerder voor de virtuele machine hebt gemaakt.

  6. Selecteer Verbinding maken.

Firewall configureren

In een latere stap gebruikt u het hulpprogramma Route traceren om de routering te testen. Route traceren maakt gebruik van ICMP (Internet Control Message Protocol), wat in Windows Firewall standaard wordt geweigerd.

Schakel ICMP via Windows Firewall in.

  1. Open PowerShell met beheerdersbevoegdheden in de bastionverbinding van myVMPrivate.

  2. Voer de volgende opdracht in:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

    In deze zelfstudie gebruikt u Route tracering om de routering te testen. Voor productieomgevingen wordt aanbevolen om ICMP via Windows Firewall niet toe te staan.

Doorsturen via IP in myVMNVA in-/uit

U hebt Doorsturen via IP ingeschakeld voor de netwerkinterface van de VM met behulp van Azure. Het besturingssysteem van de virtuele machine moet ook netwerkverkeer doorsturen.

Schakel doorsturen via IP in voor myVMNVA met deze opdrachten.

  1. Open vanuit PowerShell op de VM myVMPrivate een extern bureaublad naar de VM myVMNVA:

    mstsc /v:myvmnva

  2. Voer vanuit PowerShell op de VM myVMNVA de volgende opdracht in om doorsturen via IP in te zetten:

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1

  3. Start myVMNVA opnieuw op.

    Restart-Computer

  4. Nadat myVMNVA opnieuw is opgestart, maakt u een extern-bureaubladsessie naar myVMPublic.

    Terwijl u nog steeds verbinding hebt met myVMPrivate, opent u PowerShell en voer u deze opdracht uit:

    mstsc /v:myvmpublic

  5. Open PowerShell op het externe bureaublad van myVMPublic.

  6. Schakel ICMP via Windows Firewall in door de volgende opdracht in te voeren:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4

De routering van netwerkverkeer testen

Eerst testen we de routering van netwerkverkeer van myVMPublic naar myVMPrivate.

  1. Voer vanuit PowerShell op myVMPublic de volgende opdracht in:

    tracert myvmprivate

    Het antwoord is vergelijkbaar met dit voorbeeld:

    Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4]
over a maximum of 30 hops:

  1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]
  2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]

Trace complete.

    • U kunt zien dat de eerste hop naar 10.0.2.4 is, het privé-IP-adres van myVMNVA.

    • De tweede hop is naar het privé-IP-adres van myVMPrivate: 10.0.1.4.

    Eerder hebt u de route toegevoegd aan de routetabel myRouteTablePublic en deze gekoppeld aan het Openbare subnet. Azure heeft het verkeer via de NVA verzonden en niet rechtstreeks naar het privésubnet.

  2. Sluit de sessie voor extern bureaublad met myVMPublic, waardoor u nog steeds verbinding hebt met myVMPrivate.

  3. Open PowerShell op myVMPrivate en voer deze opdracht in:

    tracert myvmpublic

    Met deze opdracht wordt de routering van het netwerkverkeer getest vanaf de VM myVmPrivate naar de VM myVmPublic. Het antwoord is vergelijkbaar met dit voorbeeld:

    Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  myvmpublic.internal.cloudapp.net [10.0.0.4]

Trace complete.

    U ziet dat azure verkeer rechtstreeks routeert van myVMPrivate naar myVMPublic. Standaard routeert Azure verkeer rechtstreeks tussen subnetten.

  4. Sluit de bastionsessie op myVMPrivate.

Resources opschonen

Wanneer de resourcegroep niet meer nodig is, verwijdert u myResourceGroup en alle resources die deze bevat:

  1. Ga naar de Azure-portal om uw resourcegroep te beheren. Zoek en selecteer Resourcegroepen.

  2. Selecteer de naam van de resourcegroep myResourceGroup.

  3. Selecteer Resourcegroep verwijderen.

  4. Voer in het bevestigingsvenster myResourceGroup in bij TYP DE NAAM VAN DE RESOURCEGROEP en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u:

  • U hebt een routetabel gemaakt en deze gekoppeld aan een subnet.
  • U hebt een eenvoudige NVA gemaakt die verkeer van een openbaar subnet naar een privésubnet heeft gerouteerd.

U kunt verschillende vooraf geconfigureerde NNET's implementeren vanuit de Azure Marketplace, die veel nuttige netwerkfuncties bieden.

Zie Routeringoverzicht en Routetabel beheren voor meer informatie over routeren.

Als u netwerkverkeer in een virtueel netwerk wilt filteren, gaat u naar:

Zelfstudie: Netwerkverkeer filteren met een netwerkbeveiligingsgroep met behulp van Azure Portal