Självstudiekurs: Dirigera nätverkstrafik med en routetabell med Azure Portal

Azure dirigerar trafik mellan alla undernät inom ett virtuellt nätverk som standard. Du kan skapa egna vägar för att åsidosätta Azures standarddirigering. Anpassade vägar är användbara när du till exempel vill dirigera trafik mellan undernät via en virtuell nätverksinstallation (NVA). I den här självstudiekursen får du lära dig att:

  • Skapa en NVA som dirigerar trafik
  • Skapa en färdvägstabell
  • Skapa en färdväg
  • Koppla en routetabell till ett undernät
  • Distribuera virtuella maskiner (VM) i olika undernät
  • Dirigera trafik från ett undernät till ett annat genom en NVA

I den här självstudiekursen används Azure Portal. Du kan också använda Azure CLI eller Azure PowerShell.

Krav

Innan du börjar behöver du ett Azure-konto med en aktiv prenumeration. Om du inte har något konto kan du skapa ett konto kostnadsfritt.

Logga in på Azure

Logga in på Azure Portal på https://portal.azure.com .

Skapa ett virtuellt nätverk

  1. Välj Skapa en resurs på Azure Portal-menyn. Välj Nätverks virtuellt nätverk Azure Marketplaceeller sök efter virtuellt nätverk i sökrutan.

  2. Välj Skapa.

  3. Ange eller välj den härinformationen i Skapa virtuellt nätverk:

    Inställning Värde
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj Skapa nyoch ange myResourceGroup.
    Välj
    Namn Ange myVirtualNetwork.
    Plats Välj (USA) östra USA.
  4. Välj fliken IP-adresser eller välj knappen Nästa: IP-adresser längst ned på sidan.

  5. I IPv4-adressutrymmeväljer du det befintliga adressutrymmet och ändrar det till 10.0.0.0/16.

  6. Välj + Lägg till undernätoch ange sedan Offentlig för undernätsnamn och 10.0.0.0/24 för undernätsadressintervall.

  7. Välj Lägg till.

  8. Välj + Lägg till undernätoch ange sedan Privat för undernätsnamn och 10.0.1.0/24 för undernätsadressintervall.

  9. Välj Lägg till.

  10. Välj + Lägg till undernätoch ange sedan DMZ för undernätsnamn och 10.0.2.0/24 för undernätets adressintervall.

  11. Välj Lägg till.

  12. Välj fliken Säkerhet eller välj knappen Nästa: Säkerhet längst ned på sidan.

  13. Under BastionHostväljer du Aktivera. Ange den här informationen:

    Inställning Värde
    Bastionsnamn Enter myBastionHost
    AzureBastionSubnet-adressutrymme Ange 10.0.3.0/24
    Offentlig IP-adress Välj Skapa ny.
    I
    anger du myBastionIP.
    Välj
  14. Välj fliken Granska + skapa eller välj Granska + skapa.

  15. Välj Skapa.

Skapa en NVA

Virtuella nätverksutrustning (NVAs) är virtuella maskiner som hjälper till med nätverksfunktioner, till exempel routning och brandväggsoptimering. Den här självstudiekursen förutsätter att du använder Windows Server 2019-datacentret. Du kan välja ett annat operativsystem om du vill.

  1. På portalens övre vänstra sida väljer du Skapa en resursComputeVirtual Machine.

  2. I Skapa en virtuell datorskriver eller väljer du värdena på fliken Grunder:

    Inställning Värde
    Project information
    Prenumeration Välj din Azure-prenumeration
    Resursgrupp Välj myResourceGroup
    Instansinformation
    Namn på virtuell dator Ange myVMNVA
    Region Välj (USA) östra USA
    Tillgänglighetsalternativ Välj Ingen överflödig infrastruktur krävs
    Bild Välj Windows Server 2019-datacentret
    Azure Spot-instans Välj Nej
    Storlek Välj VM-storlek eller välj standardinställning
    Administratörskonto
    Användarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord
    Bekräfta lösenordet Ange lösenordet igen
    Regler för inkommande port
    Offentliga inkommande portar Välj Ingen.
  3. Välj fliken Nätverk eller välj Nästa: Diskar ochsedan Nästa: Nätverk.

  4. På fliken Nätverk väljer eller anger du:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVirtualNetwork.
    Undernät Välj DMZ
    Offentlig IP Välj Ingen
    NIC-nätverkssäkerhetsgrupp Välj Grundläggande
    Offentligt inkommande portnätverk Välj Ingen.
  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Granska inställningarna och välj sedan Skapa.

Skapa en färdvägstabell

  1. Azure Portal-menyn eller på startsidan väljer du Skapa en resurs.

  2. Skriv Route-tabellen i sökrutan. När Tabellen Dirigera visas i sökresultatet markerar du den.

  3. tabellsidan Route väljer du Skapa.

  4. Ange eller markera följande information i Skapa routetabell på fliken Grunder:

    Inställning Värde
    Project information
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Region Välj Östra USA.
    Namn Ange myRouteTablePublic.
    Sprida gatewayvägar Välj Ja.

    Skapa en routetabell, Azure Portal.

  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

Skapa en färdväg

  1. Gå till Azure Portal för att hantera din routetabell. Sök efter och välj Dirigera tabeller.

  2. Välj namnet på din routetabell myRouteTablePublic.

  3. sidan myRouteTablePublic går du till avsnittet Inställningar väljer Routes.

  4. På sidan Routes väljer du knappen + Add.

  5. Ange eller välj denhär informationen i Lägg till route:

    Inställning Värde
    Route-namn Enter ToPrivateSubnet
    Adressprefix Ange 10.0.1.0/24 (adressintervallet för det privata undernätet som skapades tidigare)
    Nästa hopptyp Välj Virtuella program.
    Nästa hoppadress Ange 10.0.2.4 (En adress inom adressintervallet för DMZ-undernätet)
  6. Välj OK.

Koppla en routetabell till ett undernät

  1. Gå till Azure Portal för att hantera ditt virtuella nätverk. Sök efter och välj Virtuella nätverk.

  2. Välj namnet på ditt virtuella nätverk myVirtualNetwork.

  3. På sidan myVirtualNetwork går du till avsnittet Inställningar väljer Undernät.

  4. Välj Offentlig i det virtuella nätverkets undernätslista.

  5. I Route-tabellenväljer du den routetabell som du skapade myRouteTablePublic.

  6. Välj Spara för att koppla din routetabell till det offentliga undernätet.

    Koppla routetabell, undernätslista, virtuellt nätverk, Azure Portal.

Aktivera IP-vidarebefordran

Aktivera sedan IP-vidarebefordran för din nya virtuella NVA-dator, myVMNVA. När Azure skickar nätverkstrafik till myVMNVA– om trafiken är avsedd för en annan IP-adress skickar IP-vidarebefordran trafiken till rätt plats.

  1. Gå till Azure-portalen för att hantera den virtuella maskinerna. Sök efter och välj Virtuella datorer.

  2. Välj namnet på din virtuella dator myVMNVA.

  3. På sidan myVMNVA översikt, i Inställningarväljer du Nätverk.

  4. nätverkssidan i myVMNVAväljer du nätverksgränssnittet bredvid Nätverksgränssnitt. Namnet på gränssnittet börjar med myvmnva.

    Nätverk, virtuella nätverk (NVA) virtuella maskiner (VM), Azure Portal

  5. Välj IP-konfigurationer i Inställningarpå sidan Översikt över nätverksgränssnittet.

  6. På sidan IP-konfigurationer ställer du in IP-vidarebefordrantill Aktiveradoch väljer sedan Spara.

    Aktivera IP-vidarebefordran

Skapa offentliga och privata virtuella datorer

Skapa en offentlig VM och en privat VM i det virtuella nätverket. Senare kan du använda dem för att se att Azure dirigerar den offentliga undernätstrafiken till Det privata undernätet via NVA.

Offentlig VM

  1. På portalens övre vänstra sida väljer du Skapa en resursComputeVirtual Machine.

  2. I Skapa en virtuell datorskriver eller väljer du värdena på fliken Grunder:

    Inställning Värde
    Project information
    Prenumeration Välj din Azure-prenumeration
    Resursgrupp Välj myResourceGroup
    Instansinformation
    Namn på virtuell dator Ange myVMPublic
    Region Välj (USA) östra USA
    Tillgänglighetsalternativ Välj Ingen överflödig infrastruktur krävs
    Bild Välj Windows Server 2019-datacentret
    Azure Spot-instans Välj Nej
    Storlek Välj VM-storlek eller välj standardinställning
    Administratörskonto
    Användarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord
    Bekräfta lösenordet Ange lösenordet igen
    Regler för inkommande port
    Offentliga inkommande portar Välj Ingen.
  3. Välj fliken Nätverk eller välj Nästa: Diskar ochsedan Nästa: Nätverk.

  4. På fliken Nätverk väljer eller anger du:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVirtualNetwork.
    Undernät Välj Offentlig
    Offentlig IP Välj Ingen
    NIC-nätverkssäkerhetsgrupp Välj Grundläggande
    Offentligt inkommande portnätverk Välj Ingen.
  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Granska inställningarna och välj sedan Skapa.

Privat VM

  1. På portalens övre vänstra sida väljer du Skapa en resursComputeVirtual Machine.

  2. I Skapa en virtuell datorskriver eller väljer du värdena på fliken Grunder:

    Inställning Värde
    Project information
    Prenumeration Välj din Azure-prenumeration
    Resursgrupp Välj myResourceGroup
    Instansinformation
    Namn på virtuell dator Ange myVMPrivate
    Region Välj (USA) östra USA
    Tillgänglighetsalternativ Välj Ingen överflödig infrastruktur krävs
    Bild Välj Windows Server 2019-datacentret
    Azure Spot-instans Välj Nej
    Storlek Välj VM-storlek eller välj standardinställning
    Administratörskonto
    Användarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord
    Bekräfta lösenordet Ange lösenordet igen
    Regler för inkommande port
    Offentliga inkommande portar Välj Ingen.
  3. Välj fliken Nätverk eller välj Nästa: Diskar ochsedan Nästa: Nätverk.

  4. På fliken Nätverk väljer eller anger du:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVirtualNetwork.
    Undernät Välj Privat
    Offentlig IP Välj Ingen
    NIC-nätverkssäkerhetsgrupp Välj Grundläggande
    Offentligt inkommande portnätverk Välj Ingen.
  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Granska inställningarna och välj sedan Skapa.

Dirigera trafik via en NVA

Logga in på privat VM

  1. Gå till Azure-portalen för att hantera din privata VM. Sök efter och välj Virtuella datorer.

  2. Välj namnet på din privata virtuella dator myVmPrivate.

  3. I menyraden för virtuella maskiner väljer Anslutoch sedan Bastion.

  4. Anslut väljer du den blå knappen Använd bastion.

  5. På sidan Bastion anger du användarnamnet och lösenordet som du skapade för den virtuella datorn tidigare.

  6. Välj Anslut.

Konfigurera brandväggen

I ett senare steg ska du använda verktyget Spårningsdirigering för att testa routningen. Trace Route använder ICMP (Internet Control Message Protocol), som Windows brandväggen nekar som standard.

Aktivera ICMP genom Windows brandväggen.

  1. I bastionsanslutningen för myVMPrivateöppnar du PowerShell med administrativ behörighet.

  2. Ange det här kommandot:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4
    

    Du kommer att använda spårningsdirigering för att testa routning i den här självstudiekursen. För produktionsmiljöer rekommenderar vi inte att du tillåter ICMP via Windows brandväggen.

Aktivera IP-vidarebefordran inom myVMNVA

Du har aktiverat IP-vidarebefordran för den virtuella datorns nätverksgränssnitt med Hjälp av Azure. Den virtuella datorns operativsystem måste också vidarebefordra nätverkstrafik.

Aktivera IP-vidarebefordran för myVMNVA med de här kommandona.

  1. Från PowerShell på myVMPrivate VM öppnar du ett fjärrskrivbord till myVMNVA VM:

    mstsc /v:myvmnva
    
  2. Från PowerShell på myVMNVA VM anger du det här kommandot för att aktivera IP-vidarebefordran:

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IpEnableRouter -Value 1
    
  3. Starta om minVMNVA.

    Restart-Computer
    
  4. När myVMNVA har startats om skapar du en fjärrskrivbordssession till myVMPublic.

    Medan du är ansluten till myVMPrivateöppnar du PowerShell och kör det här kommandot:

    mstsc /v:myvmpublic
    
  5. På fjärrskrivbordet i myVMPublicöppnar du PowerShell.

  6. Aktivera ICMP genom Windows genom att ange det här kommandot:

    New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4
    

Testa routning av nätverkstrafik

Först testar vi dirigeringen av nätverkstrafik från myVMPublic till myVMPrivate.

  1. Från PowerShell på myVMPublicanger du det här kommandot:

    tracert myvmprivate
    

    Svaret liknar det här exemplet:

    Tracing route to myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.1.4]
    over a maximum of 30 hops:
    
      1     1 ms     *        2 ms  myvmnva.internal.cloudapp.net [10.0.2.4]
      2     2 ms     1 ms     1 ms  myvmprivate.internal.cloudapp.net [10.0.1.4]
    
    Trace complete.
    
    • Du kan se att det första hopp är till 10.0.2.4, vilket är myVMNVA:s privata IP-adress.

    • Det andra hoppet är till den privata IP-adressen för myVMPrivate: 10.0.1.4.

    Tidigare lade du till routen i tabellen myRouteTablePublic route och kopplade den till det offentliga undernätet. Azure skickade trafiken via NVA och inte direkt till det privata undernätet.

  2. Stäng fjärrskrivbordssessionen till myVMPublic,vilket gör att du fortfarande är ansluten till myVMPrivate.

  3. Öppna PowerShell på myVMPrivate, ange det här kommandot:

    tracert myvmpublic
    

    Det här kommandot testar routning av nätverkstrafik från myVmPrivate VM till myVmPublic VM. Svaret liknar det här exemplet:

    Tracing route to myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net [10.0.0.4]
    over a maximum of 30 hops:
    
      1     1 ms     1 ms     1 ms  myvmpublic.internal.cloudapp.net [10.0.0.4]
    
    Trace complete.
    

    Du kan se att Azure dirigerar trafik direkt från myVMPrivate till myVMPublic. Som standard dirigerar Azure trafik direkt mellan undernät.

  4. Stäng bastionssessionen till myVMPrivate.

Rensa resurser

När resursgruppen inte längre behövs tar du bort minResourceGroup och alla resurser som den innehåller:

  1. Gå till Azure Portal för att hantera resursgruppen. Sök efter och välj Resursgrupper.

  2. Välj namnet på resursgruppen myResourceGroup.

  3. Välj Ta bort resursgrupp.

  4. I bekräftelsedialogrutan anger du myResourceGroup för ANGE RESURSGRUPPENS NAMNoch väljer sedan Ta bort.

Nästa steg

I den här självstudiekursen gör du följande:

  • Skapat en routetabell och kopplat den till ett undernät.
  • Skapat en enkel NVA som dirigerat trafik från ett offentligt undernät till ett privat undernät.

Du kan distribuera olika förkonfigurerade NVAs från Azure Marketplace,som erbjuder många användbara nätverksfunktioner.

Mer information om routning finns i Dirigeringsöversiktoch Hantera en routningstabell.

Information om hur du filtrerar nätverkstrafik i ett virtuellt nätverk finns i: