Självstudie: Dirigera nätverkstrafik med en routningstabell med hjälp av Azure-portalen
Som standard dirigerar Azure trafik mellan alla undernät inom ett virtuellt nätverk. Du kan skapa egna vägar för att åsidosätta Azures standardroutning. Anpassade vägar är användbara när du till exempel vill dirigera trafik mellan undernät via en virtuell nätverksinstallation (NVA). I den här guiden får du lära dig att:
- Skapa en NVA som dirigerar trafik
- Skapa en routningstabell
- Skapa en väg
- Associera en routningstabell till ett undernät
- Distribuera virtuella datorer till olika undernät
- Dirigera trafik från ett undernät till ett annat via en NVA
I den här självstudien används Azure Portal. Du kan också använda Azure CLI eller Azure PowerShell.
Förutsättningar
Innan du börjar behöver du ett Azure-konto med en aktiv prenumeration. Om du inte har ett konto kan du skapa ett konto utan kostnad.
Logga in på Azure
Logga in på Azure Portal på https://portal.azure.com.
Skapa ett virtuellt nätverk
I menyn i Azure-portalen väljer du Skapa en resurs. Från Azure Marketplace väljer du > Nätverk virtuellt nätverk eller Virtual Network i sökrutan.
Välj Skapa.
I Skapa virtuellt nätverk anger eller väljer du följande information:
Inställning Värde Prenumeration Välj din prenumeration. Resursgrupp Välj Skapa ny och ange myResourceGroup. Välj OK. Name Ange myVirtualNetwork. Location Välj (USA) USA, östra. Välj fliken IP-adresser eller välj knappen Nästa: IP-adresser längst ned på sidan.
I IPv4-adressutrymme väljer du det befintliga adressutrymmet och ändrar det till 10.0.0.0/16.
Välj + Lägg till undernät och ange sedan Offentligt som Undernätsnamn och 10.0.0.0/24 för Adressintervall för undernät.
Välj Lägg till.
Välj + Lägg till undernät och ange sedan Privat som Undernätsnamn och 10.0.1.0/24 som Adressintervall för undernätet.
Välj Lägg till.
Välj + Lägg till undernät och ange dmz som undernätsnamn och 10.0.2.0/24 som adressintervall för undernätet.
Välj Lägg till.
Välj fliken Säkerhet eller välj knappen Nästa: Säkerhet längst ned på sidan.
Under BastionHost väljer du Aktivera. Ange följande information:
Inställning Värde Skyddsnamn Ange myBastionHost Adressutrymme för AzureBastionSubnet Ange 10.0.3.0/24 Offentlig IP-adress Välj Skapa ny. För Namn anger du myBastionIP. Välj OK. Välj fliken Granska + skapa eller välj knappen Granska + skapa.
Välj Skapa.
Skapa en NVA
Virtuella nätverkstillverk (NVA) är virtuella datorer som hjälper till med nätverksfunktioner, till exempel routning och brandväggsoptimering. Den här självstudien förutsätter att du använder Windows Server 2019 Datacenter. Du kan välja ett annat operativsystem om du vill.
Längst upp till vänster i portalen väljer du Skapa en virtuell dator för > > resursbearbetning.
I Skapa en virtuell dator skriver eller väljer du värdena på fliken Grundläggande:
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumeration Resursgrupp Välj myResourceGroup Instansinformation Namn på virtuell dator Ange myVMNVA Region Välj USA, östra Tillgänglighetsalternativ Välj Ingen infrastrukturredundans krävs Bild Välj Windows Server 2019 Datacenter Azure Spot-instans Välj Nej Storlek Välj storlek på virtuell dator eller ta standardinställningen Administratörskonto Användarnamn Ange ett användarnamn Lösenord Ange ett lösenord Bekräfta lösenordet Ange lösenordet igen Regler för inkommande portar Offentliga inkommande portar Välj Ingen. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.
På fliken Nätverk väljer eller anger du:
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj myVirtualNetwork. Undernät Välj DMZ Offentlig IP-adress Välj Ingen Nätverkssäkerhetsgrupp för nätverkskort Välj Basic Nätverk för offentliga inkommande portar Välj Ingen. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.
Granska inställningarna och välj sedan Skapa.
Skapa en routningstabell
I menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
I sökrutan anger du Vägtabell. När tabellen Route visas i sökresultatet väljer du den.
På sidan Route table (Vägtabell) väljer du Create (Skapa).
I Skapa vägtabell på fliken Grundläggande anger eller väljer du följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj myResourceGroup. Instansinformation Region Välj USA, östra. Name Ange myRouteTablePublic. Sprida gatewayvägar Välj Ja. 
Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.
Skapa en väg
Gå till Azure Portal för att hantera din vägtabell. Sök efter och välj Route tables (Dirigera tabeller).
Välj namnet på din vägtabell myRouteTablePublic.
På sidan myRouteTablePublic går du till avsnittet Inställningar och väljer Vägar.
På sidan vägar väljer du knappen + Lägg till.
I Lägg till väg anger eller väljer du följande information:
Inställning Värde Vägnamn Ange ToPrivateSubnet Adressprefix Ange 10.0.1.0/24 (adressintervallet för det privata undernät som skapades tidigare) Nästa hopptyp Välj Virtuell installation. Nexthop-adress Ange 10.0.2.4 (En adress inom adressintervallet för DMZ-undernätet) Välj OK.
Associera en routningstabell till ett undernät
Gå till Azure Portal för att hantera ditt virtuella nätverk. Sök efter och välj Virtuella nätverk.
Välj namnet på det virtuella nätverket myVirtualNetwork.
På sidan myVirtualNetwork går du till avsnittet Inställningar och väljer Undernät.
I det virtuella nätverkets undernätslista väljer du Offentlig.
I Route-tabellen väljer du den vägtabell som du skapade myRouteTablePublic.
Välj Spara för att associera din vägtabell med det offentliga undernätet.
Aktivera IP-vidarebefordran
Aktivera sedan IP-vidarebefordran för din nya virtuella NVA-dator, myVMNVA. När Azure skickar nätverkstrafik till myVMNVA, och om trafiken är avsedd för en annan IP-adress, skickar IP-vidarebefordran trafiken till rätt plats.
Gå till Azure Portal för att hantera den virtuella datorn. Sök efter och välj Virtuella datorer.
Välj namnet på den virtuella datorn myVMNVA.
På översiktssidan för myVMNVA går du till Inställningar och väljer Nätverk.
På sidan Nätverk i myVMNVA väljer du nätverksgränssnittet bredvid Nätverksgränssnitt. Namnet på gränssnittet börjar med myvmnva.
På översiktssidan för nätverksgränssnittet går du till Inställningar och väljer IP-konfigurationer.
På sidan IP-konfigurationer anger du IP-vidarebefordran till Aktiverad och väljer sedan Spara.
Skapa offentliga och privata virtuella datorer
Skapa en offentlig virtuell dator och en privat virtuell dator i det virtuella nätverket. Senare använder du dem för att se att Azure dirigerar trafik för det offentliga undernätet till det privata undernätet via NVA.
Offentlig virtuell dator
Längst upp till vänster i portalen väljer du Skapa en virtuell dator för > > resursbearbetning.
I Skapa en virtuell dator skriver eller väljer du värdena på fliken Grundläggande:
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumeration Resursgrupp Välj myResourceGroup Instansinformation Namn på virtuell dator Ange myVMPublic Region Välj USA, östra Tillgänglighetsalternativ Välj Ingen infrastrukturredundans krävs Bild Välj Windows Server 2019 Datacenter Azure Spot-instans Välj Nej Storlek Välj VM-storlek eller ta standardinställningen Administratörskonto Användarnamn Ange ett användarnamn Lösenord Ange ett lösenord Bekräfta lösenordet Ange lösenordet igen Regler för inkommande portar Offentliga inkommande portar Välj Ingen. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.
På fliken Nätverk väljer eller anger du:
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj myVirtualNetwork. Undernät Välj Offentlig Offentlig IP-adress Välj Ingen Nätverkssäkerhetsgrupp för nätverkskort Välj Grundläggande Nätverk för offentliga inkommande portar Välj Ingen. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.
Granska inställningarna och välj sedan Skapa.
Privat virtuell dator
Längst upp till vänster i portalen väljer du Skapa en virtuell dator för > > resursbearbetning.
I Skapa en virtuell dator skriver eller väljer du värdena på fliken Grundläggande:
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumeration Resursgrupp Välj myResourceGroup Instansinformation Namn på virtuell dator Ange myVMPrivate Region Välj USA, östra Tillgänglighetsalternativ Välj Ingen infrastrukturredundans krävs Bild Välj Windows Server 2019 Datacenter Azure Spot-instans Välj Nej Storlek Välj storlek på virtuell dator eller ta standardinställningen Administratörskonto Användarnamn Ange ett användarnamn Lösenord Ange ett lösenord Bekräfta lösenordet Ange lösenordet igen Regler för inkommande portar Offentliga inkommande portar Välj Ingen. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.
På fliken Nätverk väljer eller anger du:
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj myVirtualNetwork. Undernät Välj Privat Offentlig IP-adress Välj Ingen Nätverkssäkerhetsgrupp för nätverkskort Välj Basic Nätverk för offentliga inkommande portar Välj Ingen. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.
Granska inställningarna och välj sedan Skapa.
Dirigera trafik via NVA
Logga in på privat virtuell dator
Gå till Azure Portal för att hantera din privata virtuella dator. Sök efter och välj Virtuella datorer.
Välj namnet på den privata virtuella datorn myVmPrivate.
I menyraden för virtuella datorer väljer du Anslut och sedan Bastion.
På sidan Anslut väljer du den blå knappen Använd Bastion.
På sidan Bastion anger du det användarnamn och lösenord som du skapade för den virtuella datorn tidigare.
Välj Anslut.
Konfigurera brandvägg
I ett senare steg använder du vägspårningsverktyget för att testa routningen. Vägspårning använder ICMP (Internet Control Message Protocol), vilket Windows-brandväggen nekar som standard.
Aktivera ICMP via Windows-brandväggen.
I skyddsanslutningen för myVMPrivate öppnar du PowerShell med administratörsbehörighet.
Ange följande kommando:
New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4Du kommer att använda spårningsväg för att testa routningen i den här självstudien. För produktionsmiljöer rekommenderar vi inte att du tillåter ICMP via Windows-brandväggen.
Aktivera IP-vidarebefordran i myVMNVA
Du aktiverade IP-vidarebefordran för den virtuella datorns nätverksgränssnitt med hjälp av Azure. Den virtuella datorns operativsystem måste också vidarebefordra nätverkstrafik.
Aktivera IP-vidarebefordran för myVMNVA med dessa kommandon.
Från PowerShell på den virtuella datorn myVMPrivate öppnar du ett fjärrskrivbord till den virtuella datorn myVMNVA:
mstsc /v:myvmnvaFrån PowerShell på den virtuella datorn myVMNVA anger du det här kommandot för att aktivera IP-vidarebefordran:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1Starta om myVMNVA.
Restart-ComputerNär myVMNVA startas om skapar du en fjärrskrivbordssession till myVMPublic.
När du fortfarande är ansluten till myVMPrivate öppnar du PowerShell och kör följande kommando:
mstsc /v:myvmpublicÖppna PowerShell på fjärrskrivbordet på myVMPublic.
Aktivera ICMP via Windows-brandväggen genom att ange följande kommando:
New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4
Testa routningen av nätverkstrafik
Först testar vi routningen av nätverkstrafik från myVMPublic till myVMPrivate.
Från PowerShell på myVMPublic anger du det här kommandot:
tracert myvmprivateSvaret liknar det här exemplet:
Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4] over a maximum of 30 hops: 1 1 ms * 2 ms myvmnva.internal.cloudapp.net [10.0.2.4] 2 2 ms 1 ms 1 ms myvmprivate.internal.cloudapp.net [10.0.1.4] Trace complete.Du kan se att det första hoppet är till 10.0.2.4, vilket är myVMNVA:s privata IP-adress.
Det andra hoppet är till den privata IP-adressen för myVMPrivate: 10.0.1.4.
Tidigare lade du till vägen till vägtabellen myRouteTablePublic och associerade den till det offentliga undernätet. Azure skickade trafiken via NVA och inte direkt till det privata undernätet.
Stäng fjärrskrivbordssessionen till myVMPublic, vilket gör att du fortfarande är ansluten till myVMPrivate.
Öppna PowerShell på myVMPrivate och ange följande kommando:
tracert myvmpublicDet här kommandot testar routningen av nätverkstrafik från den virtuella datorn myVmPrivate till den virtuella datorn myVmPublic. Svaret liknar det här exemplet:
Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4] over a maximum of 30 hops: 1 1 ms 1 ms 1 ms myvmpublic.internal.cloudapp.net [10.0.0.4] Trace complete.Du kan se att Azure dirigerar trafik direkt från myVMPrivate till myVMPublic. Som standard dirigerar Azure trafik direkt mellan undernät.
Stäng skyddssessionen till myVMPrivate.
Rensa resurser
När resursgruppen inte längre behövs tar du bort myResourceGroup och alla resurser som den innehåller:
Gå till Azure Portal för att hantera resursgruppen. Sök efter och välj Resursgrupper.
Välj namnet på resursgruppen myResourceGroup.
Välj Ta bort resursgrupp.
I bekräftelsedialogrutan anger du myResourceGroup som SKRIV RESURSGRUPPENS NAMN och väljer sedan Ta bort.
Nästa steg
I den här kursen får du:
- Skapade en vägtabell och kopplade den till ett undernät.
- Skapade en enkel NVA som dirigerade trafik från ett offentligt undernät till ett privat undernät.
Du kan distribuera olika förkonfigurerade NVA:er från Azure Marketplace, vilket ger många användbara nätverksfunktioner.
Mer information om routning finns i routningsöversikten och Hantera en routningstabell.
Information om hur du filtrerar nätverkstrafik i ett virtuellt nätverk finns i: