Мы принимаем к оплате:

«Подарочный сертификат» от нашего Учебного Центра – это лучший подарок для тех, кто Вам дорог! Оплате обучение и подарите Вашим родным и близким обучение по любому из курсов!!!

«Сертификат на повторное обучение» дает возможность повторно пройти обучение в нашем Учебном Центре со скидкой 1000 рублей!

А также:


Как просматривать трафик с роутера


Отслеживание устройств через пассивное прослушивание WiFi / Хабр

За последний год мне попадалось много историй использования пассивного отслеживания WiFi. В основном все сосредотачиваются на вопросах безопасности и приватности, но мало кто рассказывает, как это работает. Я сделал целый проект Casual Encounters и могу поделиться информацией о работе системы, о том, как избежать слежки, и как её построить (в исследовательских целях, разумеется). Не пробуйте повторить это дома.

Пробные запросы

Когда WiFi клиент пробует связаться с известной сетью, у него есть два варианта. Первый используют ноутбуки и прочие устройства, не являющиеся смартфонами. Он включает поиск сигнальных пакетов (Beacon Frames). Эти пакеты рассылают роутеры, чтобы объявить о своём присутствии. Клиент находит уже известную ему сеть и соединяется с ней. Второй вариант, который обычно используется смартфонами, включает периодическую рассылку пробных запросов (Probe Requests), содержащих уникальный мак-адрес клиента и иногда имя сети, которое ему известно. Преимущество второго подхода в том, что он срабатывает быстрее. А кроме этого, его гораздо легче использовать в своих целях.
Режим прослушивания (Monitor Mode)

Устройства WiFi умеют работать в шести режимах. Чтобы прослушивать трафик, устройству надо переключиться в режим прослушивания. После этого оно не афиширует себя, поэтому наличие таких устройств очень сложно установить.
Защита

Теоретически, от этих прослушек очень просто защититься. Если выключать WiFi на телефоне, когда он не нужен (то есть, вы далеко от тех мест, где имеются доверенные сети), телефон перестанет отправлять запросы и вас отследить будет нельзя. Практически же каждый раз выключать WiFi было бы довольно нудно.

Для андроида есть несколько приложений для облегчения процесса. Например, AVG PrivacyFix позволяет настроить список доверенных сетей, при наличии которых ваш WiFi будет включён. Есть и другие приложения на эту тему.

В случае iOS ваш выбор ограничен. Если не использовать jailbroken, защищённый режим работы яблофона не пустит приложения к рубильнику WiFi. В iOS 7 появился разве что более удобный доступ к меню WiFi, но это всё равно надо делать вручную.

Строим трекер

Можно, конечно, просто использовать ноутбук – даже MacBook. Устанавливаете Wireshark и настраиваете фильтр для пробных запросов. Но это не так интересно, к тому же, если вы захотите построить целую сеть трекеров, использовать для этого ноутбуки будет довольно накладно.

Для таких ненакладных целей хватит и Raspberry Pi с беспроводным адаптером, или (что мне больше нравится), роутера TP-LINK MR-3020 со специальной прошивкой. Эти варианты небольшие и их можно запитать от 5-вольтовой батарейки.

Настройка Pi будет совсем простой, т.к. там уже есть рабочая файловая система, но я предпочитаю роутер MR-3020. Это недорогое и автономное решение. Поэтому я буду описывать настройку роутера, а если вам захочется использовать Pi, то:

— можно пропустить шаги до Настройки режима прослушивания
— у этих двух устройств разные версии Linux, поэтому какие-то файлы с настройками могут находиться в разных местах и у них могут быть разные менеджеры пакетов
— более мощные радио типа AWUS036H могут потребовать USB-хаб с внешним питанием

Настройка роутера

Вам понадобятся:

— TP-LINK MR-3020 router ($34.99 на Amazon). Должны работать и аналоги, типа TP-LINK TL-WR703N
— USB флэшка (2-4 Гб)
— Ethernet-кабель

Первая часть инструкций взята от проекта PirateBox, поскольку первичная настройка устройств идентична.

1. Скачайте копию OpenWrt для MR3020 (модификация от Matthias Strubel включает все необходимые модули ядра).
Дополнительная информация: forum.daviddarts.com/read.php?2,3974,4009#msg-4009
Обсуждение прошивки: forum.openwrt.org/viewtopic.php?pid=207769#p207769
Прошивка для WR703N: downloads.openwrt.org/attitude_adjustment/12.09-beta2/ar71xx/generic

2. Переключите переключатель рядом с портом LAN/WAN в положение WISP

3. Отключите WiFi ноутбука

4. Подключите роутер через ethernet к компьютеру и откройте в браузере 192.168.0.254 (MR3020) или 192.168.1.1 (WR703N)

5. Введите логин/пароль (admin / admin)

6. Перейдите к System Tools > Firmware Upgrade, выберите прошивку OpenWRT

Текст прошивки WR703N китайский. Для прошивки через веб-интерфейс выберите последнее меню слева, затем третий пункт подменю. Подробнее.

7. После апгрейда система перезапустится

8. Зайдите туда через telnet

 telnet 192.168.1.1 

9. Командой passwd задайте пароль. Это даст доступ к SSH

passwd 

10. При помощи vi отредактируйте настройки сети. Предположим, что ваш основной шлюз имеет адрес 192.168.2.1. Адрес OpenWrt не должен совпадать с ним, но должен быть в той же подсети.

 vi /etc/config/network 

Поменяйте файл до такого состояния:

 config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config interface 'lan' option ifname 'eth0' option type 'bridge' option proto 'static' option ipaddr '192.168.2.111' option netmask '255.255.255.0' option gateway '192.168.2.1' list dns '192.168.2.1' list dns '8.8.8.8' 

11. Отключите роутер от сети

12. Включите WiFi на ноутбуке

13. Подключите MR3020 (или WR703N) к роутеру-шлюзу через Ethernet и включите настроенный роутер в сет. Подождите минуту. С компьютера, подключённого к локалке, попробуйте зайти на роутер

 ssh [email protected] 

14. Пинганите google для проверки настроек

 ping google.com 

15. Добавьте поддержку USB в OpenWrt (если вы не использовали уже настроенную прошивку из шага 1):

 opkg update opkg install kmod-usb-uhci insmod usbcore ## may return: file exists insmod uhci opkg install kmod-usb-ohci ## may return: up to date. insmod usb-ohci 

Настройка USB

Отформатируйте флэшку на две партиции – основная Ext4 и swap. swap должна быть между 256 и 512 Мб.
Зайдите по ssh на роутер.
Установите пакеты для поддержки Ext4:

 root@OpenWrt:~# opkg update root@OpenWrt:~# opkg install block-mount kmod-fs-ext4 

Вставьте флэшку в роутер. Проверьте, что она определилась.

 root@OpenWrt:~# ls /dev | grep sda sda sda1 sda2 

Настройка файловой системы

Теперь мы сделаем sda1 основой корневой файловой системы
(как описано тут wiki.openwrt.org/doc/howto/extroot#openwrt)

root@OpenWrt:~# mkdir /mnt/sda1 root@OpenWrt:~# mount /dev/sda1 /mnt/sda1 

Проверим, что всё замаунтилось (должно вернуть /dev/sda1 на /mnt/sda1 type ext4):

root@OpenWrt:~# mount | grep sda1 

Скопируем файлы с роутера на флэшку, чтобы все необходимые настройки были доступны, когда мы перезагрузимся и USB окажется основой файловой системы.

root@OpenWrt:~# tar -C /overlay -cvf - . | tar -C /mnt/sda1 -xf - 

Добавьте в /etc/config/fstab автоматическое подключение /dev/sda1.

root@OpenWrt:~# vi /etc/config/fstab 

Используйте следующие настройки:

config global automount option from_fstab 1 option anon_mount 1 config global autoswap option from_fstab 1 option anon_swap 0 config mount option target /overlay option device /dev/sda1 option fstype ext4 option options rw,sync option enabled 1 option enabled_fsck 0 config swap option device /dev/sda2 option enabled 0 

Перезагрузите роутер

root@OpenWrt:~# reboot 

Когда все огоньки вновь загорятся, зайдите по ssh и проверьте, что флэшка правильно подцепилась.

root@OpenWrt:~# mount | grep sda1 /dev/sda1 on /overlay type ext4 (rw,sync,relatime,user_xattr,barrier=1,data=ordered) 

Если вы не можете зайти через ssh, значит копирование файлов прошло неправильно. Выньте флэшку, перезагрузите его через питание. Когда он запустится, вы сможете зайти туда через ssh. Затем снова вставьте флэшку и повторите предыдущие шаги.

Настраиваем swap

У роутера немного памяти, долгие процессы могут занять её всю. Для проверки памяти введите
root@OpenWrt:~# free 

Для решения проблем с памятью можно использовать партицию swap. Сначала проверим, что она работает:

root@OpenWrt:~# mkswap /dev/sda2 

Теперь подключим её к свопу:

root@OpenWrt:~# swapon /dev/sda2 

Снова запустим free для проверки того, что она подключилась.

root@OpenWrt:~# free total used free shared buffers Mem: 29212 19160 10052 0 1972 -/+ buffers: 17188 12024 Swap: 475644 0 475644 

Чтобы это происходило автоматически лучше всего сделать отдельный скрипт. Кстати, заодно вы узнаете, как делать такие скрипты.

Скрипт для подключения Swap при старте

Начнём с создания скрипта:
root@OpenWrt:~# vi /etc/init.d/swapon 

Введите в файл следующее:

#!/bin/ash /etc/rc.common START=109 STOP=151 start() { echo "start swap" swapon /dev/sda2 } stop(){ echo "stop" } 

Сделайте его исполняемым:

root@OpenWrt:~# chmod +x /etc/init.d/swapon 

Теперь нужно сделать symlink с /etc/rc.d на него:

root@OpenWrt:~# ln -s /etc/init.d/swapon /etc/rc.d/S109swapon 

S109 сообщает системе приоритет скрипта. Все файлы в /etc/rc.d начинаются с S##. S109 должен разместить его в самом конце, после того, как запустятся все остальные.

Перезагрузимся, зайдём через ssh и проверим подключение свопа:

root@OpenWrt:~# free total used free shared buffers Mem: 29212 19276 9936 0 2152 -/+ buffers: 17124 12088 Swap: 475644 0 475644 
Настраиваем режим прослушивания

Почти всё готово. Нам надо отредактировать настройки беспроводного подключения:
root@OpenWrt:~# vi /etc/config/wireless 

Закомментируйте строчку запрета wifi:

#option disabled 1 

Используйте следующие настройки:

config wifi-iface option device radio0 option network lan option mode monitor option hidden 1 

Перезапустите wifi interface:

root@OpenWrt:~# wifi down; wifi up 

Сообщения об ошибках типа тех, что представлены ниже, не должны повлиять на работу wifi:

ifconfig: SIOCSIFHWADDR: Invalid argument command failed: Device or resource busy (-16) 

Проверьте, что wifi работает и находится в режиме monitor:

root@OpenWrt:~# iwconfig lo no wireless extensions. wlan0 IEEE 802.11bgn Mode:Monitor Frequency:2.412 GHz Tx-Power=15 dBm RTS thr:off Fragment thr:off Power Management:on eth0 no wireless extensions. br-lan no wireless extensions. 
Установка пакетов

Теперь мы установим все необходимые для сканера пакеты:
root@OpenWrt:~# opkg update root@OpenWrt:~# opkg upgrade tar wget root@OpenWrt:~# opkg install python tcpdump unzip root@OpenWrt:~# wget http://www.secdev.org/projects/scapy/files/scapy-latest.tar.gz root@OpenWrt:~# tar -xvf scapy-latest.tar.gz root@OpenWrt:~# cd scapy* root@OpenWrt:~# python setup.py install root@OpenWrt:~# cd ..; rm -rf scapy* 
Проверка скрипта сканирования

Скопируем скрипты с git (или их можно скачать в виде zip)
root@OpenWrt:~# mkdir /overlay/scripts; cd /overlay/scripts root@OpenWrt:/overlay/scripts# wget http://bitbucket.org/edkeeble/wifi-scan/get/e2a08627f05d.zip --no-check-certificate -O wifiscan.zip root@OpenWrt:/overlay/scripts# unzip wifiscan.zip root@OpenWrt:/overlay/scripts# mv edkeeble-wifi-scan-e2a08627f05d wifi-scan 

Как ответственные хакеры, мы не будем перехватывать все запросы. Мы сделаем белый список, куда включим только наши телефоны.

root@OpenWrt:/overlay/scripts# cd wifi-scan root@OpenWrt:/overlay/scripts/wifi-scan# vi wifiscan.py WHITELIST = [‘00:00:00:00:00:00’,] # замените на мак-адрес телефона 

Проверим скрипт:

root@OpenWrt:/overlay/scripts/wifi-scan# python wifiscan.py wlan0 

Достаньте телефон, отсоединитесь от текущей сети, но не выключайте wifi. В терминале вы должны начать видеть запросы, отправляемые им. Можно заметить, что не у всех запросов будет указан SSID. Запросы без SSID – широковещательные, они предназначены для всех точек доступа, находящихся в пределах досягаемости.

Ctrl-C остановит работу скрипта

Итоги

Ну и всё. Теперь у вас есть роутер, который отслеживает проходящие мимо него смартфоны. Конечно, наш скрипт не особо полезен в таком виде. Его, например, можно подредактировать так, чтобы он собирал больше данных, писал их в лог, отслеживал перемещение смартфонов между разными вашими устройствами, и т.д.

аналитика трафика Azure | Документы Microsoft

  • 15 минут на чтение

В этой статье

Traffic Analytics - это облачное решение, которое обеспечивает видимость активности пользователей и приложений в облачных сетях. Аналитика трафика анализирует журналы потоков группы безопасности сети (NSG) Network Watcher, чтобы получить представление о потоке трафика в вашем облаке Azure.С помощью аналитики трафика вы можете:

  • Визуализируйте сетевую активность в своих подписках Azure и определяйте горячие точки.
  • Выявление угроз безопасности и защита вашей сети с помощью такой информации, как открытые порты, приложения, пытающиеся получить доступ в Интернет, и виртуальные машины (ВМ), подключающиеся к мошенническим сетям.
  • Изучите шаблоны потоков трафика в регионах Azure и в Интернете, чтобы оптимизировать развертывание сети с точки зрения производительности и емкости.
  • Определите неверную конфигурацию сети, ведущую к сбою соединений в вашей сети.

Примечание

Traffic Analytics теперь поддерживает сбор данных журналов потоков NSG с более высокой частотой - 10 минут

Примечание

Эта статья была обновлена ​​для использования новой оболочки Azure PowerShell Az. модуль. Вы по-прежнему можете использовать модуль AzureRM, который будет получать исправления ошибок как минимум до декабря 2020 года. Чтобы узнать больше о новом модуле Az и совместимости с AzureRM, см. Представляем новый модуль Azure PowerShell Az. За Инструкции по установке модуля Az см. В разделе Установка Azure PowerShell.

Почему аналитика трафика?

Жизненно важно контролировать, управлять и знать свою собственную сеть для обеспечения бескомпромиссной безопасности, соответствия требованиям и производительности. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Вам часто нужно знать текущее состояние сети, кто подключается, откуда они подключаются, какие порты открыты для Интернета, ожидаемое поведение сети, нерегулярное поведение сети и внезапный рост трафика.

Облачные сети отличаются от локальных корпоративных сетей, где у вас есть маршрутизаторы и коммутаторы с поддержкой протокола netflow или аналогичного протокола, которые обеспечивают возможность сбора сетевого трафика IP, когда он входит или выходит из сетевого интерфейса.Анализируя данные о потоке трафика, вы можете построить анализ потока и объема сетевого трафика.

Виртуальные сети

Azure имеют журналы потоков NSG, которые предоставляют вам информацию о входящем и исходящем IP-трафике через группу безопасности сети, связанную с отдельными сетевыми интерфейсами, виртуальными машинами или подсетями. Анализируя необработанные журналы потоков NSG и добавляя сведения о безопасности, топологии и географии, аналитика трафика может предоставить вам представление о потоке трафика в вашей среде. Аналитика трафика предоставляет такую ​​информацию, как большинство взаимодействующих хостов, большинство взаимодействующих протоколов приложений, большинство взаимодействующих пар хостов, разрешенный / заблокированный трафик, входящий / исходящий трафик, открытые интернет-порты, большинство правил блокировки, распределение трафика по центрам обработки данных Azure, виртуальной сети, подсетям или мошеннические сети.

Ключевые компоненты

  • Группа безопасности сети (NSG) : содержит список правил безопасности, которые разрешают или запрещают сетевой трафик к ресурсам, подключенным к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, отдельными виртуальными машинами (классические) или отдельными сетевыми интерфейсами (NIC), подключенными к виртуальным машинам (диспетчер ресурсов). Дополнительные сведения см. В разделе Обзор группы безопасности сети.
  • Журналы потоков группы безопасности сети (NSG) : позволяют просматривать информацию о входящем и исходящем IP-трафике через группу безопасности сети.Журналы потоков NSG записываются в формате json и показывают исходящие и входящие потоки для каждого правила, сетевой адаптер, к которому применяется поток, пятикортежную информацию о потоке (IP-адрес источника / назначения, порт источника / назначения и протокол), и был ли трафик разрешен или запрещен. Дополнительные сведения о журналах потоков NSG см. В разделе Журналы потоков NSG.
  • Log Analytics : служба Azure, которая собирает данные мониторинга и хранит данные в центральном репозитории. Эти данные могут включать в себя события, данные о производительности или пользовательские данные, предоставленные через Azure API.После сбора данные доступны для оповещения, анализа и экспорта. Приложения для мониторинга, такие как мониторинг производительности сети и аналитика трафика, создаются с использованием журналов Azure Monitor в качестве основы. Дополнительные сведения см. В разделе журналы Azure Monitor.
  • Рабочая область Log Analytics : экземпляр журналов Azure Monitor, в которых хранятся данные, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. В разделе Создание рабочей области Log Analytics.
  • Наблюдатель за сетями : региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure.Вы можете включать и отключать журналы потоков NSG с помощью Network Watcher. Для получения дополнительной информации см. Наблюдатель за сетью.

Как работает аналитика трафика

Traffic Analytics изучает необработанные журналы потоков NSG и фиксирует сокращенные журналы путем объединения общих потоков для одного и того же исходного IP-адреса, IP-адреса назначения, порта назначения и протокола. Например, узел 1 (IP-адрес: 10.10.10.10) обменивается данными с узлом 2 (IP-адрес: 10.10.20.10) 100 раз в течение 1 часа, используя порт (например, 80) и протокол (например, http) .В сокращенном журнале есть одна запись, что хост 1 и хост 2 обменивались данными 100 раз в течение 1 часа с использованием порта 80 и протокола HTTP вместо 100 записей. Сокращенные журналы дополняются информацией о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующем рисунке показан поток данных:

Поддерживаемые регионы: NSG

Вы можете использовать аналитику трафика для групп безопасности сети в любом из следующих поддерживаемых регионов:

Центральная Австралия
Восточная Австралия
Юго-восточная Австралия
Бразилия Юг
Канада Центральная
Восточная Канада
Центральная Индия
Центральная США
Восточный Китай 2
Северный Китай 2

Восточная Азия
Восток США
Восток США 2
Восток США 2 EUAP
Франция Центральная
Япония Восточная
Япония Западная
Корея Центральная
Корея Южная
Северная Центральная США

Северная Европа
Южная Африка Северная
Южно-Центральная США
Южная Индия
Юго-Восточная Азия
Швейцария Север
Швейцария Запад
Великобритания Юг
Великобритания Запад
Правительство США Аризона

США, штат Техас,
, США, Вирджиния,
, США, Восток,
, США, Запад,
, USSec, Восток,
, USSec, Запад,
, запад, центральный регион, США,
, Западная Европа,
, западные страны, США,
, западные, США, 2

Поддерживаемые регионы: Log Analytics Workspaces

Рабочая область Log Analytics должна существовать в следующих регионах:

Центральная Австралия
Восточная Австралия
Юго-восточная Австралия
Бразилия Южная
Канада Центральная
Центральная Индия
Центральная США
Восточный Китай 2
Восточная Азия
Восток США

Восток США 2
Восток США 2 EUAP
Франция Центральная
Германия Западно-Центральная
Япония Восточная
Центральная Корея
Северная Центральная США
Северная Европа
Южная Африка Северная
Южно-Центральная США

Юго-Восточная Азия
Швейцария Север
Швейцария Запад
Центральный ОАЭ
Великобритания Юг
Великобритания Запад
Правительство США Аризона
Правительство США Вирджиния
США Нат Восток
США Нат Запад

USSec East
USSec West
West Central US
West Europe
West US
West US 2

Предварительные требования

Требования к доступу пользователей

Ваша учетная запись должна быть членом одной из следующих встроенных ролей Azure:

Модель развертывания роль
Менеджер ресурсов Владелец
Автор
Считыватель
Участник сети

Если вашей учетной записи не назначена одна из встроенных ролей, она должна быть назначена настраиваемой роли, которой назначены следующие действия на уровне подписки:

  • "Microsoft.Сеть / ApplicationGateways / читать "
  • "
  • «Microsoft.Network/connections/read»
  • «Microsoft.Network/loadBalancers/read»
  • «Microsoft.Network/localNetworkGateways/read»
  • «Microsoft.Network/networkInterfaces/read»
  • «Microsoft.Network/networkSecurityGroups/read»
  • «Microsoft.Network/publicIPAddresses/read»
  • «Microsoft.Network/routeTables/read»
  • «Microsoft.Network/virtualNetworkGateways/read»
  • "Microsoft.Сеть / virtualNetworks / читать "
  • "
  • «Microsoft.Network/expressRouteCircuits/read»

Для получения информации о том, как проверить права доступа пользователей, см. Часто задаваемые вопросы по аналитике трафика.

Включить мониторинг сети

Для анализа трафика у вас должен быть существующий сетевой наблюдатель или активировать сетевой наблюдатель в каждом регионе, где есть группы безопасности сети, для которых вы хотите анализировать трафик. Аналитику трафика можно включить для групп безопасности сети, размещенных в любом из поддерживаемых регионов.

Выберите группу безопасности сети

Перед включением ведения журнала потоков NSG необходимо иметь группу безопасности сети, для которой будут регистрироваться потоки.Если у вас нет группы безопасности сети, см. Раздел Создание группы безопасности сети, чтобы создать ее.

На портале Azure перейдите к Наблюдатель за сетями , а затем выберите Журналы потоков NSG . Выберите группу безопасности сети, для которой вы хотите включить журнал потока NSG, как показано на следующем рисунке:

Если вы попытаетесь включить аналитику трафика для группы безопасности сети, которая размещена в любом регионе, кроме поддерживаемых, вы получите ошибку «Не найдено».

Включить настройки журнала потока

Перед включением настроек журнала потоков необходимо выполнить следующие задачи:

Зарегистрируйте поставщика Azure Insights, если он еще не зарегистрирован для вашей подписки:

  Register-AzResourceProvider -ProviderNamespace Microsoft.Insights  

Если у вас еще нет учетной записи хранения Azure для хранения журналов потока NSG, необходимо создать учетную запись хранения. Вы можете создать учетную запись хранения с помощью следующей команды. Перед запуском команды замените на имя, уникальное для всех расположений Azure, длиной от 3 до 24 символов, используя только цифры и строчные буквы. . При необходимости вы также можете изменить имя группы ресурсов.

  New-AzStorageAccount ` -Местоположение westcentralus ` -Name  ` -ResourceGroupName myResourceGroup ` -SkuName Standard_LRS ` -Доброе хранениеV2  

Выберите следующие параметры, как показано на рисунке:

  1. Выберите На для Статус
  2. Выберите Version 2 для Flow Logs версии . Версия 2 содержит статистику сеанса потока (байты и пакеты)
  3. Выберите существующую учетную запись хранения для хранения журналов потока.Убедитесь, что для вашего хранилища не задано значение true для параметра «Иерархическое пространство имен Data Lake Storage 2-го поколения включено».
  4. Задайте для Хранение количество дней, в течение которых вы хотите хранить данные. Если вы хотите хранить данные вечно, установите значение 0 . За учетную запись хранения взимается плата за хранилище Azure.
  5. Выберите на для статуса аналитики трафика .
  6. Выберите интервал обработки. По вашему выбору журналы потоков будут собираться из учетной записи хранения и обрабатываться аналитикой трафика.Вы можете выбрать интервал обработки: каждый час или каждые 10 минут.
  7. Выберите существующую рабочую область Log Analytics (OMS) или выберите Создать новую рабочую область , чтобы создать новую. Рабочая область Log Analytics используется в Traffic Analytics для хранения агрегированных и проиндексированных данных, которые затем используются для создания аналитики. Если вы выберете существующую рабочую область, она должна существовать в одном из поддерживаемых регионов и быть обновлена ​​до нового языка запросов. Если вы не хотите обновлять существующее рабочее пространство или у вас нет рабочего пространства в поддерживаемом регионе, создайте новое.Дополнительные сведения о языках запросов см. В разделе Обновление Azure Log Analytics до нового поиска по журналам.

Примечание

Рабочая область аналитики журналов, в которой размещается решение для анализа трафика и группы безопасности сети, не обязательно должны находиться в одном регионе. Например, у вас может быть аналитика трафика в рабочей области в регионе Западной Европы, в то время как у вас могут быть группы безопасности сети в восточной и западной частях США. В одной рабочей области можно настроить несколько групп безопасности сети.

  1. Выбрать Сохранить .

Повторите предыдущие шаги для всех других групп безопасности сети, для которых вы хотите включить аналитику трафика.Данные из журналов потоков отправляются в рабочую область, поэтому убедитесь, что местные законы и правила в вашей стране / регионе разрешают хранение данных в регионе, где существует рабочая область. Если вы установили разные интервалы обработки для разных NSG, данные будут собираться через разные интервалы. Например: вы можете включить интервал обработки 10 минут для критических виртуальных сетей и 1 час для некритических виртуальных сетей.

Вы также можете настроить аналитику трафика с помощью командлета Set-AzNetworkWatcherConfigFlowLog PowerShell в Azure PowerShell.Запустите Get-Module -ListAvailable Az , чтобы найти установленную версию. Если вам нужно выполнить обновление, см. Раздел Установка модуля Azure PowerShell.

Просмотр аналитики трафика

Для просмотра аналитики трафика найдите Network Watcher в строке поиска портала. Зайдя в Network Watcher, чтобы изучить аналитику трафика и ее возможности, выберите Traffic Analytics в левом меню.

Панель мониторинга может появиться в первый раз в течение 30 минут, потому что аналитика трафика должна сначала собрать достаточно данных для получения значимой информации, прежде чем она сможет создавать какие-либо отчеты.

Сценарии использования

Вот некоторые идеи, которые вы можете получить после полной настройки аналитики трафика:

Найдите точки доступа

Ищите

  • Какие хосты, подсети и виртуальные сети отправляют или получают наибольший трафик, проходя максимальный вредоносный трафик и блокируя значительные потоки?

    • Проверьте сравнительную таблицу для хоста, подсети и виртуальной сети. Понимание того, какие узлы, подсети и виртуальные сети отправляют или получают наибольший трафик, может помочь вам определить узлы, которые обрабатывают наибольший трафик, и правильно ли выполнено распределение трафика.
    • Вы можете оценить, подходит ли объем трафика для хоста. Является ли объем трафика нормальным явлением или заслуживает дальнейшего изучения?
  • Каков объем входящего / исходящего трафика?

    • Ожидается ли, что хост получит больше входящего трафика, чем исходящего, или наоборот?
  • Статистика заблокированного трафика.

    • Почему хост блокирует значительный объем легкого трафика? Это поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации
    • .
  • Статистика разрешенного / заблокированного вредоносного трафика

    • Почему хост получает вредоносный трафик и почему потоки из вредоносного источника разрешены? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации.

      Выберите См. Все , под Хост , как показано на следующем рисунке:

  • На следующем рисунке показаны временные тенденции для пяти ведущих говорящих хостов и детали, связанные с потоками (разрешенные - входящие / исходящие и запрещенные - входящие / исходящие потоки) для хоста:

Ищите

  • Какие пары хостов наиболее часто разговаривают?

    • Ожидаемое поведение, такое как внешняя или внутренняя связь, или нестандартное поведение, например, внутренний интернет-трафик.
  • Статистика разрешенного / заблокированного трафика

    • Почему хост разрешает или блокирует значительный объем трафика
  • Наиболее часто используемый протокол приложений среди большинства взаимодействующих пар хостов:

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они подходящий протокол для связи? Выберите См. Все под Частый разговор , как показано на следующем рисунке:

  • На следующем рисунке показаны временные тенденции для пяти основных диалогов и детали, связанные с потоком, такие как разрешенные и запрещенные входящие и исходящие потоки для пары разговоров:

Ищите

  • Какой протокол приложения наиболее часто используется в вашей среде и какие пары взаимодействующих хостов используют протокол приложения больше всего?

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они подходящий протокол для связи? Ожидаемое поведение - обычные порты, такие как 80 и 443.Для стандартной связи, если отображаются какие-либо необычные порты, может потребоваться изменение конфигурации. Выберите См. Все в разделе Порт приложения , на следующем рисунке:

  • На следующих рисунках показаны временные тенденции для пяти основных протоколов L7 и детали, связанные с потоками (например, разрешенные и запрещенные потоки) для протокола L7:

Ищите

  • Тенденции использования емкости шлюза VPN в вашей среде.

    • Каждый SKU VPN допускает определенную полосу пропускания. Шлюзы VPN используются недостаточно?
    • Достигнута ли емкость ваших шлюзов? Следует ли вам перейти на следующий более высокий SKU?
  • Какие хосты чаще всего общаются, через какой шлюз VPN, через какой порт?

  • На следующем рисунке показаны временные тенденции использования емкости VPN-шлюза Azure и детали, связанные с потоками (например, разрешенные потоки и порты):

Визуализируйте распределение трафика по географии

Ищите

  • Распределение трафика по центрам обработки данных, например основные источники трафика к центру обработки данных, основные мошеннические сети, взаимодействующие с центром обработки данных, и основные протоколы приложений для обмена данными.

    • Если вы наблюдаете большую нагрузку на центр обработки данных, вы можете спланировать эффективное распределение трафика.

    • Если мошеннические сети взаимодействуют в центре обработки данных, исправьте правила NSG, чтобы заблокировать их.

      Выберите Просмотреть карту под Ваша среда , как показано на следующем рисунке:

  • На географической карте отображается верхняя лента для выбора таких параметров, как центры обработки данных (Развернутый / Без развертывания / Активный / Неактивный / Аналитика трафика включена / Аналитика трафика не включена) и страны / регионы, вносящие доброкачественный / вредоносный трафик в активный развертывание:

  • Геокарта показывает распределение трафика к центру обработки данных из стран / регионов и континентов, связывающихся с ним, синими (доброкачественный трафик) и красными (вредоносный трафик) линиями:

Визуализировать распределение трафика по виртуальным сетям

Ищите

  • Распределение трафика по виртуальной сети, топологии, основным источникам трафика в виртуальную сеть, основным мошенническим сетям, взаимодействующим с виртуальной сетью, и основным протоколам взаимодействующих приложений.

    • Информация о том, какая виртуальная сеть взаимодействует с какой виртуальной сетью. Если разговор не ожидается, его можно исправить.

    • Если мошеннические сети взаимодействуют с виртуальной сетью, вы можете исправить правила NSG, чтобы заблокировать мошеннические сети.

      Выберите Просмотреть виртуальные сети под Ваша среда , как показано на следующем рисунке:

  • Топология виртуальной сети показывает верхнюю ленту для выбора таких параметров, как виртуальная сеть (Подключения к виртуальной сети / Активный / Неактивный), Внешние подключения, Активные потоки и Вредоносные потоки виртуальной сети.

  • Вы можете фильтровать топологию виртуальной сети на основе подписок, рабочих областей, групп ресурсов и временного интервала. Дополнительные фильтры, которые помогут вам понять поток: Тип потока (InterVNet, IntraVNET и т. Д.), Направление потока (входящий, исходящий), состояние потока (разрешено, заблокировано), виртуальные сети (целевые и подключенные), тип подключения (пиринг или шлюз - P2S и S2S) и NSG. Используйте эти фильтры, чтобы сосредоточиться на виртуальных сетях, которые вы хотите изучить подробно.

  • Топология виртуальной сети показывает распределение трафика в виртуальную сеть в отношении потоков (разрешенных / заблокированных / входящих / исходящих / доброкачественных / вредоносных), протокола приложения и групп сетевой безопасности, например:

Ищите

  • Распределение трафика по подсети, топологии, основным источникам трафика в подсеть, основным мошенническим сетям, взаимодействующим с подсетью, и основным протоколам взаимодействующих приложений.

    • Знание, какая подсеть с какой подсетью обращается. Если вы видите неожиданные разговоры, вы можете исправить свою конфигурацию.
    • Если мошеннические сети взаимодействуют с подсетью, вы можете исправить это, настроив правила NSG для блокирования мошеннических сетей.
  • Топология подсетей показывает верхнюю ленту для выбора таких параметров, как активная / неактивная подсеть, внешние соединения, активные потоки и вредоносные потоки подсети.

  • Топология подсети показывает распределение трафика в виртуальной сети в отношении потоков (разрешенных / заблокированных / входящих / исходящих / добросовестных / вредоносных), протокола приложения и групп безопасности сети, например:

Ищите

Распределение трафика на шлюз приложений и балансировщик нагрузки, топологию, основные источники трафика, основные мошеннические сети, взаимодействующие со шлюзом приложений и балансировщиком нагрузки, а также основные протоколы взаимодействия приложений.

  • Информация о том, какая подсеть взаимодействует с каким шлюзом приложений или балансировщиком нагрузки. Если вы наблюдаете неожиданные разговоры, вы можете исправить свою конфигурацию.

  • Если мошеннические сети взаимодействуют со шлюзом приложений или балансировщиком нагрузки, вы можете исправить это, настроив правила NSG для блокировки мошеннических сетей.

Просмотр портов и виртуальных машин, получающих трафик из Интернета

Ищите

  • Какие открытые порты обмениваются данными через Интернет?

Ищите

Есть ли в вашей среде вредоносный трафик? Откуда это происходит? Куда ему суждено?

Визуализируйте тенденции в правилах NSG / NSG.

Ищите

  • Какие правила NSG / NSG имеют больше всего совпадений в сравнительной диаграмме с распределением потоков?

  • Каковы основные пары разговоров источника и назначения в соответствии с правилами NSG / NSG?

  • На следующих рисунках показаны временные тенденции для совпадений правил NSG и подробные сведения о потоке источника-назначения для группы безопасности сети:

    • Быстро определять, какие группы безопасности сети и правила группы безопасности сети пересекают вредоносные потоки, а какие - основные вредоносные IP-адреса, получающие доступ к вашей облачной среде

    • Определите, какие правила NSG / NSG разрешают / блокируют значительный сетевой трафик

    • Выберите верхние фильтры для детальной проверки правил NSG или NSG

Часто задаваемые вопросы

Чтобы получить ответы на часто задаваемые вопросы, см. Часто задаваемые вопросы по аналитике трафика.

Следующие шаги

.Учебное пособие по

: маршрутизация трафика к взвешенным конечным точкам - Azure Traffic Manager

  • 8 минут на чтение

В этой статье

В этом руководстве описывается, как использовать диспетчер трафика Azure для управления маршрутизацией пользовательского трафика между конечными точками с помощью метода взвешенной маршрутизации. В этом методе маршрутизации вы назначаете веса каждой конечной точке в конфигурации профиля диспетчера трафика.Затем пользовательский трафик маршрутизируется на основе веса, назначенного каждой конечной точке. Вес - целое число от 1 до 1000. Чем выше значение веса, присвоенное конечной точке, тем выше ее приоритет.

Из этого руководства вы узнаете, как:

  • Создайте две виртуальные машины с базовым веб-сайтом в IIS.
  • Создайте две тестовые виртуальные машины для просмотра диспетчера трафика в действии.
  • Настройте DNS-имя для виртуальных машин, на которых запущены IIS.
  • Создайте профиль диспетчера трафика.
  • Добавьте конечные точки ВМ в профиль диспетчера трафика.
  • Посмотрите на Traffic Manager в действии.

Если у вас нет подписки Azure, прежде чем начать, создайте бесплатную учетную запись.

Предварительные требования

Чтобы увидеть диспетчер трафика в действии, разверните следующее для этого руководства:

  • Два экземпляра базовых веб-сайтов, работающих в разных регионах Azure: Восточная США и Западная Европа.
  • Две тестовые виртуальные машины для тестирования диспетчера трафика: одна в восточной части США, а другая в Западной Европе. Тестовые виртуальные машины используются для иллюстрации того, как диспетчер трафика направляет пользовательский трафик на веб-сайт, конечной точке которого назначен более высокий вес.

Войти в Azure

Войдите на портал Azure.

Создание сайтов

В этом разделе вы создаете два экземпляра веб-сайта, которые предоставляют две конечные точки службы для профиля диспетчера трафика в двух регионах Azure. Чтобы создать два веб-сайта, выполните следующие действия:

  1. Создайте две виртуальные машины для запуска базового веб-сайта: одну в восточной части США, а другую в Западной Европе.
  2. Установите сервер IIS на каждую виртуальную машину. Обновите веб-страницу по умолчанию, которая описывает имя виртуальной машины, к которой подключается пользователь при посещении веб-сайта.
Создание виртуальных машин для работы веб-сайтов

В этом разделе вы создадите две виртуальные машины ( myIISVMEastUS и myIISVMWestEurope ) в регионах Azure в Восточной США и Западной Европе.

  1. В верхнем левом углу портала Azure выберите Создать ресурс > Compute > Windows Server 2019 Datacenter .

  2. В Создайте виртуальную машину , введите или выберите следующие значения на вкладке Основы :

    • Подписка > Группа ресурсов : выберите Создать новый и затем введите myResourceGroupTM1 .
    • Подробная информация об экземпляре > Имя виртуальной машины : введите myIISVMEastUS .
    • Сведения об экземпляре > Регион : выберите East US .
    • Учетная запись администратора > Имя пользователя : введите имя пользователя по вашему выбору.
    • Учетная запись администратора > Пароль : введите пароль по вашему выбору. Пароль должен состоять не менее чем из 12 символов и соответствовать определенным требованиям сложности.
    • Правила для входящего порта > Общедоступные входящие порты : выберите Разрешить выбранные порты .
    • Правила для входящих портов > Выберите входящие порты : выберите RDP и HTTP в раскрывающемся списке.
  3. Выберите вкладку Management или выберите Далее: Диски , затем Далее: Сеть , затем Далее: Управление . В разделе Мониторинг установите Диагностика загрузки с на Выкл. .

  4. Выбрать Просмотр + создать .

  5. Проверьте настройки и нажмите Создать .

  6. Выполните следующие действия, чтобы создать вторую виртуальную машину с именем myIISVMWestEurope , с именем группы ресурсов myResourceGroupTM2 , расположением из West Europe и всеми другими настройками, такими же, как myIISVMEastUS .

  7. Создание виртуальных машин занимает несколько минут.Не продолжайте выполнять оставшиеся шаги, пока не будут созданы обе виртуальные машины.

Установите IIS и настройте веб-страницу по умолчанию

В этом разделе вы устанавливаете сервер IIS на две виртуальные машины myIISVMEastUS и myIISVMWestEurope, а затем обновляете веб-страницу по умолчанию. На настроенной веб-странице отображается имя виртуальной машины, к которой вы подключаетесь, когда вы посещаете веб-сайт из веб-браузера.

  1. Выберите Все ресурсы в левом меню.В списке ресурсов выберите myIISVMEastUS в группе ресурсов myResourceGroupTM1 .

  2. На странице Overview выберите Connect . В Подключиться к виртуальной машине выберите Загрузить файл RDP .

  3. Откройте загруженный RDP-файл. Если вам будет предложено, выберите Connect . Введите имя пользователя и пароль, которые вы указали при создании виртуальной машины. Возможно, вам потребуется выбрать Дополнительные варианты > Использовать другую учетную запись , чтобы указать учетные данные, которые вы ввели при создании виртуальной машины.

  4. Выбрать ОК .

  5. Вы можете получить предупреждение о сертификате во время входа в систему. Если вы получили предупреждение, выберите Да или Продолжить , чтобы продолжить подключение.

  6. На рабочем столе сервера перейдите к Инструменты администрирования Windows > Диспетчер сервера .

  7. Откройте Windows PowerShell на ВМ1. Используйте следующие команды для установки сервера IIS и обновления значения по умолчанию.htm файл.

      # Установить IIS Установить-WindowsFeature -name Web-Server -IncludeManagementTools # Удалить файл .htm по умолчанию удалить элемент C: \ inetpub \ wwwroot \ iisstart.htm # Добавить собственный файл .htm Add-Content -Path "C: \ inetpub \ wwwroot \ iisstart.htm" -Value $ ("Hello World from" + $ env: computername)  

  8. Закройте соединение RDP с myIISVMEastUS .

  9. Повторите шаги 1-8. Создайте RDP-соединение с виртуальной машиной myIISVMWestEurope в группе ресурсов myResourceGroupTM2 , чтобы установить IIS и настроить его веб-страницу по умолчанию.

Настроить DNS-имена для виртуальных машин, на которых запущен IIS

Traffic Manager направляет пользовательский трафик на основе DNS-имени конечных точек службы. В этом разделе вы настраиваете DNS-имена для серверов IIS myIISVMEastUS и myIISVMWestEurope.

  1. Выберите Все ресурсы в левом меню. В списке ресурсов выберите myIISVMEastUS в группе ресурсов myResourceGroupTM1 .
  2. На странице Обзор в разделе DNS-имя выберите Настроить .
  3. На странице Configuration под меткой DNS-имени добавьте уникальное имя. Затем выберите Сохранить .
  4. Повторите шаги 1–3 для виртуальной машины с именем myIISVMWestEurope в группе ресурсов myResourceGroupTM2 .

Создать тестовую ВМ

В этом разделе вы создадите виртуальную машину ( myVMEastUS и myVMWestEurope ) в каждом регионе Azure ( East US и West Europe ). Вы будете использовать эти виртуальные машины, чтобы проверить, как диспетчер трафика направляет трафик на конечную точку веб-сайта, которая имеет более высокое значение веса.

  1. В верхнем левом углу портала Azure выберите Создать ресурс > Compute > Windows Server 2019 Datacenter .

  2. В Создайте виртуальную машину , введите или выберите следующие значения на вкладке Основы :

    • Подписка > Группа ресурсов : выберите myResourceGroupTM1 .
    • Подробная информация об экземпляре > Имя виртуальной машины : введите myVMEastUS .
    • Сведения об экземпляре > Регион : выберите East US .
    • Учетная запись администратора > Имя пользователя : введите имя пользователя по вашему выбору.
    • Учетная запись администратора > Пароль : введите пароль по вашему выбору. Пароль должен состоять не менее чем из 12 символов и соответствовать определенным требованиям сложности.
    • Правила для входящего порта > Общедоступные входящие порты : выберите Разрешить выбранные порты .
    • Правила для входящих портов > Выберите входящие порты : выберите RDP в раскрывающемся списке.
  3. Выберите вкладку Management или выберите Далее: Диски , затем Далее: Сеть , затем Далее: Управление . В разделе Мониторинг установите Диагностика загрузки с на Выкл. .

  4. Выбрать Просмотр + создать .

  5. Проверьте настройки и нажмите Создать .

  6. Выполните следующие действия, чтобы создать вторую виртуальную машину с именем myVMWestEurope , с именем группы ресурсов myResourceGroupTM2 , местоположением из West Europe и всеми другими настройками, такими же, как myVMEastUS .

  7. Создание виртуальных машин занимает несколько минут. Не продолжайте выполнять оставшиеся шаги, пока не будут созданы обе виртуальные машины.

Создать профиль диспетчера трафика

Создайте профиль диспетчера трафика на основе метода маршрутизации Weighted .

  1. В верхнем левом углу экрана выберите Создать ресурс > Сеть > Профиль диспетчера трафика > Создать .

  2. В профиле Create Traffic Manager введите или выберите следующую информацию. Примите значения по умолчанию для других настроек, а затем выберите Create .

    Настройка Значение
    Имя Введите уникальное имя в диспетчере трафика.чистая зона. В результате получается DNS-имя trafficmanager.net, которое используется для доступа к вашему профилю диспетчера трафика.
    Метод маршрутизации Выберите метод маршрутизации Взвешенный .
    Подписка Выберите подписку.
    Группа ресурсов Выберите Использовать существующий , а затем выберите myResourceGroupTM1 .

Добавить конечные точки диспетчера трафика

Добавьте две виртуальные машины, на которых запущены серверы IIS myIISVMEastUS и myIISVMWestEurope, чтобы направлять на них пользовательский трафик.

  1. В строке поиска портала найдите профиль диспетчера трафика, который вы создали в предыдущем разделе. Выберите профиль в отображаемых результатах.

  2. В профиле диспетчера трафика в разделе Настройки выберите Конечные точки > Добавить .

  3. Введите или выберите следующую информацию. Примите значения по умолчанию для других настроек, а затем выберите OK .

    Настройка Значение
    Тип Введите конечную точку Azure.
    Имя Введите myEastUSEndpoint .
    Тип целевого ресурса Выберите Общедоступный IP-адрес .
    Целевой ресурс Выберите общедоступный IP-адрес, чтобы отобразить список ресурсов с общедоступными IP-адресами в рамках одной подписки.В Resource выберите общедоступный IP-адрес с именем myIISVMEastUS-ip . Это общедоступный IP-адрес виртуальной машины сервера IIS в восточной части США.
    Вес Введите 100 .
  4. Повторите шаги 2 и 3 для добавления другой конечной точки с именем myWestEuropeEndpoint для общедоступного IP-адреса myIISVMWestEurope-ip . Этот адрес связан с виртуальной машиной сервера IIS с именем myIISVMWestEurope.Для веса введите 25 .

  5. Когда добавление обеих конечных точек завершено, они отображаются в профиле диспетчера трафика вместе с их статусом мониторинга как Online .

Проверить профиль диспетчера трафика

Чтобы увидеть диспетчер трафика в действии, выполните следующие действия:

  1. Определите DNS-имя вашего профиля диспетчера трафика.
  2. Посмотрите на Traffic Manager в действии.

Определить DNS-имя профиля диспетчера трафика

В этом руководстве для простоты вы используете DNS-имя профиля диспетчера трафика для посещения веб-сайтов.

Вы можете определить DNS-имя профиля диспетчера трафика следующим образом:

  1. В строке поиска портала найдите профиль диспетчера трафика, который вы создали в предыдущем разделе. В отображаемых результатах выберите профиль диспетчера трафика.

  2. Выбрать Обзор .

  3. Профиль диспетчера трафика отображает его DNS-имя. В производственных развертываниях вы настраиваете собственное доменное имя так, чтобы оно указывало на имя домена диспетчера трафика, с помощью записи DNS CNAME.

Посмотреть диспетчер трафика в действии

В этом разделе вы можете увидеть диспетчер трафика в действии.

  1. Выберите Все ресурсы в левом меню. В списке ресурсов выберите myVMEastUS в группе ресурсов myResourceGroupTM1 .

  2. На странице Overview выберите Connect . В Подключиться к виртуальной машине выберите Загрузить файл RDP .

  3. Откройте загруженный RDP-файл. Если вам будет предложено, выберите Connect . Введите имя пользователя и пароль, которые вы указали при создании виртуальной машины. Возможно, вам потребуется выбрать Дополнительные варианты > Использовать другую учетную запись , чтобы указать учетные данные, которые вы ввели при создании виртуальной машины.

  4. Выбрать ОК .

  5. Вы можете получить предупреждение о сертификате во время входа в систему. Если вы получили предупреждение, выберите Да или Продолжить , чтобы продолжить подключение.

  6. В веб-браузере виртуальной машины myVMEastUS введите DNS-имя своего профиля диспетчера трафика, чтобы просмотреть свой веб-сайт. Вы перенаправляетесь на веб-сайт, размещенный на сервере IIS myIISVMEastUS, потому что ему назначен более высокий вес 100 .Серверу IIS myIISVMWestEurope назначается более низкое значение веса конечной точки 25 .

  7. Повторите шаги 1–6 на виртуальной машине myVMWestEurope, чтобы увидеть взвешенный ответ веб-сайта.

Удалить профиль диспетчера трафика

Если вам больше не нужны группы ресурсов, созданные в этом руководстве, вы можете удалить их. Для этого выберите группу ресурсов ( ResourceGroupTM1 или ResourceGroupTM2 ), а затем выберите Delete .

Следующие шаги

.Учебное пособие по

- настройка маршрутизации трафика подсети с помощью Azure Traffic Manager

  • 10 минут на чтение

В этой статье

В этой статье описывается, как настроить метод маршрутизации трафика подсети. Метод маршрутизации трафика Subnet позволяет сопоставить набор диапазонов IP-адресов с конкретными конечными точками, и когда запрос получен диспетчером трафика, он проверяет исходный IP-адрес запроса и возвращает конечную точку, связанную с ним.

В этом руководстве с использованием маршрутизации подсети, в зависимости от IP-адреса запроса пользователя, трафик направляется либо на внутренний веб-сайт, либо на рабочий веб-сайт.

Из этого руководства вы узнаете, как:

  • Создайте две виртуальные машины с базовым веб-сайтом на IIS
  • Создайте две тестовые виртуальные машины для просмотра диспетчера трафика в действии
  • Настроить DNS-имя для виртуальных машин, на которых запущен IIS
  • Создание профиля диспетчера трафика для маршрутизации трафика на основе подсети пользователя
  • Добавить конечные точки ВМ в профиль диспетчера трафика
  • Посмотреть Traffic Manager в действии

Если у вас нет подписки Azure, прежде чем начать, создайте бесплатную учетную запись.

Предварительные требования

Чтобы увидеть диспетчер трафика в действии, в этом руководстве необходимо развернуть следующее:

  • два основных веб-сайта, работающих в разных регионах Azure - East US (служит внутренним веб-сайтом) и West Europe (служит рабочим веб-сайтом).
  • две тестовые виртуальные машины для тестирования диспетчера трафика - одна виртуальная машина в East US и вторая виртуальная машина в West Europe .

Тестовые виртуальные машины используются для демонстрации того, как диспетчер трафика направляет пользовательский трафик на внутренний или рабочий веб-сайт в зависимости от подсети, из которой исходит пользовательский запрос.

Войдите в Azure

Войдите на портал Azure по адресу https://portal.azure.com.

Создание сайтов

В этом разделе вы создаете два экземпляра веб-сайта, которые предоставляют две конечные точки службы для профиля диспетчера трафика в двух регионах Azure. Создание двух веб-сайтов включает следующие шаги:

  1. Создайте две виртуальные машины для запуска базового веб-сайта - одну в East US , а другую в West Europe .
  2. Установите сервер IIS на каждую виртуальную машину и обновите страницу веб-сайта по умолчанию, которая описывает имя виртуальной машины, к которой пользователь подключается при посещении веб-сайта.
Создание виртуальных машин для работы веб-сайтов

В этом разделе вы создадите две виртуальные машины myIISVMEastUS и myIISVMWestEurope в регионах East US и West Europe Azure.

  1. В верхнем левом углу портала Azure выберите Создать ресурс > Compute > Windows Server 2019 Datacenter .

  2. В Создайте виртуальную машину , введите или выберите следующие значения на вкладке Basics :

    • Подписка > Группа ресурсов : выберите Создать новый и затем введите myResourceGroupTM1 .
    • Сведения об экземпляре > Имя виртуальной машины : Введите myIISVMEastUS .
    • Подробная информация об экземпляре > Регион : выберите East US .
    • Учетная запись администратора > Имя пользователя : Введите имя пользователя по вашему выбору.
    • Учетная запись администратора > Пароль : введите пароль по вашему выбору. Пароль должен состоять не менее чем из 12 символов и соответствовать определенным требованиям сложности.
    • Правила для входящего порта > Общедоступные входящие порты : выберите Разрешить выбранные порты .
    • Правила для входящего порта > Выберите входящие порты : выберите RDP и HTTP в раскрывающемся списке.
  3. Выберите вкладку Management или выберите Далее: Диски , затем Далее: Сеть , затем Далее: Управление . В разделе Мониторинг установите Диагностика загрузки с на Выкл. .

  4. Выбрать Просмотр + создать .

  5. Проверьте настройки и нажмите Создать .

  6. Выполните следующие действия, чтобы создать вторую виртуальную машину с именем myIISVMWestEurope , с именем группы ресурсов myResourceGroupTM2 , местоположением из West Europe и всеми другими настройками, такими же, как myIISVMEastUS .

  7. Создание виртуальных машин занимает несколько минут.Не продолжайте выполнять оставшиеся шаги, пока не будут созданы обе виртуальные машины.

Установите IIS и настройте веб-страницу по умолчанию

В этом разделе вы устанавливаете сервер IIS на две виртуальные машины - myIISVMEastUS и myIISVMWestEurope , а затем обновляете страницу веб-сайта по умолчанию. На настроенной странице веб-сайта отображается имя виртуальной машины, к которой вы подключаетесь при посещении веб-сайта из веб-браузера.

  1. Выберите Все ресурсы в левом меню, а затем в списке ресурсов щелкните myIISVMEastUS , который находится в группе ресурсов myResourceGroupTM1 .

  2. На странице Overview щелкните Connect , а затем в Connect to virtual machine выберите Download RDP file .

  3. Откройте загруженный файл rdp. При появлении запроса выберите Connect . Введите имя пользователя и пароль, которые вы указали при создании виртуальной машины. Возможно, вам потребуется выбрать Дополнительные варианты , затем Использовать другую учетную запись , чтобы указать учетные данные, которые вы ввели при создании виртуальной машины.

  4. Выбрать ОК .

  5. Вы можете получить предупреждение о сертификате во время входа в систему. Если вы получили предупреждение, выберите Да или Продолжить , чтобы продолжить подключение.

  6. На рабочем столе сервера перейдите к Инструменты администрирования Windows > Диспетчер сервера .

  7. Запустите Windows PowerShell на виртуальной машине myIISVMEastUS и используйте следующие команды для установки сервера IIS и обновления файла htm по умолчанию.

      # Установить IIS Установить-WindowsFeature -name Web-Server -IncludeManagementTools # Удалить файл htm по умолчанию удалить элемент C: \ inetpub \ wwwroot \ iisstart.htm # Добавить собственный htm-файл Add-Content -Path "C: \ inetpub \ wwwroot \ iisstart.htm" -Value $ ("Hello World from my" + $ env: computername)  
  8. Закройте соединение RDP с myIISVMEastUS VM.

  9. Повторите шаги 1–6, создав соединение RDP с виртуальной машиной myIISVMWestEurope в группе ресурсов myResourceGroupTM2 , чтобы установить IIS и настроить его веб-страницу по умолчанию.

  10. Запустите Windows PowerShell на myIISVMWestEurope VM и, используя следующие команды, установите сервер IIS и обновите htm-файл по умолчанию.

      # Установить IIS Установить-WindowsFeature -name Web-Server -IncludeManagementTools # Удалить файл htm по умолчанию удалить элемент C: \ inetpub \ wwwroot \ iisstart.htm # Добавить собственный htm-файл Add-Content -Path "C: \ inetpub \ wwwroot \ iisstart.htm" -Value $ ("Hello World from my" + $ env: computername)  
Настроить DNS-имена для виртуальных машин, на которых запущен IIS

Traffic Manager направляет пользовательский трафик на основе DNS-имени конечных точек службы.В этом разделе вы настраиваете DNS-имена для серверов IIS - myIISVMEastUS и myIISVMWestEurope .

  1. Щелкните Все ресурсы в левом меню, а затем в списке ресурсов выберите myIISVMEastUS , который находится в группе ресурсов myResourceGroupTM1 .
  2. На странице Обзор под именем DNS выберите Настроить .
  3. На странице Configuration в разделе DNS name label добавьте уникальное имя, а затем выберите Сохранить .
  4. Повторите шаги 1–3 для виртуальной машины с именем myIISVMWestEurope , которая находится в группе ресурсов myResourceGroupTM2 .

Создать тестовые ВМ

В этом разделе вы создаете виртуальную машину ( myVMEastUS и myVMWestEurope ) в каждом регионе Azure ( Восток США и Западная Европа ). Вы будете использовать эти виртуальные машины, чтобы проверить, как диспетчер трафика направляет пользовательский трафик на основе подсети запроса пользователя.

  1. В верхнем левом углу портала Azure выберите Создать ресурс > Compute > Windows Server 2019 Datacenter .

  2. В Создайте виртуальную машину , введите или выберите следующие значения на вкладке Basics :

    • Подписка > Группа ресурсов : выберите myResourceGroupTM1 .
    • Подробная информация об экземпляре > Имя виртуальной машины : Введите myVMEastUS .
    • Подробная информация об экземпляре > Регион : выберите East US .
    • Учетная запись администратора > Имя пользователя : Введите имя пользователя по вашему выбору.
    • Учетная запись администратора > Пароль : введите пароль по вашему выбору. Пароль должен состоять не менее чем из 12 символов и соответствовать определенным требованиям сложности.
    • Правила для входящего порта > Общедоступные входящие порты : выберите Разрешить выбранные порты .
    • Правила входящего порта > Выберите входящие порты : выберите RDP в раскрывающемся списке.
  3. Выберите вкладку Management или выберите Далее: Диски , затем Далее: Сеть , затем Далее: Управление .В разделе Мониторинг установите Диагностика загрузки с на Выкл. .

  4. Выбрать Просмотр + создать .

  5. Проверьте настройки и нажмите Создать .

  6. Выполните следующие действия, чтобы создать вторую виртуальную машину с именем myVMWestEurope , с именем группы ресурсов myResourceGroupTM2 , местоположением из West Europe и всеми другими настройками, такими же, как myVMEastUS .

  7. Создание виртуальных машин занимает несколько минут. Не продолжайте выполнять оставшиеся шаги, пока не будут созданы обе виртуальные машины.

Создать профиль диспетчера трафика

Создайте профиль диспетчера трафика, который позволяет вам возвращать определенные конечные точки на основе IP-адреса источника запроса.

  1. В верхнем левом углу экрана выберите Создать ресурс > Сеть > Профиль диспетчера трафика > Создать .

  2. В профиле Create Traffic Manager введите или выберите следующую информацию, примите значения по умолчанию для остальных настроек, а затем выберите Create :

    Настройка Значение
    Имя Это имя должно быть уникальным в зоне trafficmanager.net, и в результате должно получиться DNS-имя trafficmanager.net, которое используется для доступа к вашему профилю диспетчера трафика.
    Метод маршрутизации Выберите метод маршрутизации Подсеть .
    Подписка Выберите подписку.
    Группа ресурсов Выберите Existing и введите myResourceGroupTM1 .

Добавить конечные точки диспетчера трафика

Добавьте две виртуальные машины, на которых запущены серверы IIS - myIISVMEastUS и myIISVMWestEurope для маршрутизации пользовательского трафика на основе подсети запроса пользователя.

  1. В строке поиска портала найдите имя профиля диспетчера трафика, которое вы создали в предыдущем разделе, и выберите профиль в отображаемых результатах.

  2. В профиле диспетчера трафика в разделе Настройки щелкните Конечные точки , а затем щелкните Добавить .

  3. Введите или выберите следующую информацию, примите значения по умолчанию для остальных настроек, а затем выберите OK :

    Настройка Значение
    Тип Конечная точка Azure
    Имя myInternalWebSiteEndpoint
    Тип целевого ресурса Общедоступный IP-адрес
    Целевой ресурс Выберите общедоступный IP-адрес , чтобы отобразить список ресурсов с общедоступными IP-адресами в рамках одной подписки.В Resource выберите общедоступный IP-адрес с именем myIISVMEastUS-ip . Это общедоступный IP-адрес виртуальной машины сервера IIS в восточной части США.
    Настройки маршрутизации подсети Добавьте IP-адрес тестовой виртуальной машины myVMEastUS . Любой пользовательский запрос, исходящий от этой виртуальной машины, будет направлен на myInternalWebSiteEndpoint .
  4. Повторите шаги 2 и 3, чтобы добавить другую конечную точку с именем myProdWebsiteEndpoint для общедоступного IP-адреса myIISVMWestEurope-ip , связанного с виртуальной машиной сервера IIS с именем myIISVMWestEurope .Для настройки маршрутизации в подсети добавьте IP-адрес тестовой виртуальной машины - myVMWestEurope . Любой пользовательский запрос от этой тестовой виртуальной машины будет перенаправлен на конечную точку - myProdWebsiteEndpoint .

  5. Когда добавление обеих конечных точек завершено, они отображаются в профиле диспетчера трафика вместе с их статусом мониторинга как Online .

Тестовый профиль диспетчера трафика

В этом разделе вы проверяете, как диспетчер трафика направляет пользовательский трафик из заданной подсети в конкретную конечную точку.Чтобы увидеть диспетчер трафика в действии, выполните следующие действия:

  1. Определите DNS-имя вашего профиля диспетчера трафика.
  2. Просмотрите Traffic Manager в действии следующим образом:
    • На тестовой виртуальной машине ( myVMEastUS ), расположенной в регионе East US , в веб-браузере перейдите к DNS-имени вашего профиля диспетчера трафика.
    • На тестовой виртуальной машине ( myVMWestEurope ), расположенной в регионе West Europe , в веб-браузере перейдите к DNS-имени вашего профиля диспетчера трафика.

Определить DNS-имя профиля диспетчера трафика

В этом руководстве для простоты вы используете DNS-имя профиля диспетчера трафика для посещения веб-сайтов.

Вы можете определить DNS-имя профиля диспетчера трафика следующим образом:

  1. В строке поиска портала найдите профиль Traffic Manager, имя , которое вы создали в предыдущем разделе. В отображаемых результатах щелкните профиль диспетчера трафика.
  2. Щелкните Обзор .
  3. Профиль диспетчера трафика отображает DNS-имя вашего вновь созданного профиля диспетчера трафика. В производственных развертываниях вы настраиваете собственное доменное имя так, чтобы оно указывало на имя домена диспетчера трафика, используя запись DNS CNAME.

Посмотреть диспетчер трафика в действии

В этом разделе вы можете увидеть действие диспетчера трафика.

  1. Выберите Все ресурсы в левом меню, а затем в списке ресурсов щелкните myVMEastUS , который находится в группе ресурсов myResourceGroupTM1 .

  2. На странице Overview щелкните Connect , а затем в Connect to virtual machine выберите Download RDP file .

  3. Откройте загруженный файл rdp. При появлении запроса выберите Connect . Введите имя пользователя и пароль, которые вы указали при создании виртуальной машины. Возможно, вам потребуется выбрать Дополнительные варианты , затем Использовать другую учетную запись , чтобы указать учетные данные, которые вы ввели при создании виртуальной машины.

  4. Выбрать ОК .

  5. Вы можете получить предупреждение о сертификате во время входа в систему. Если вы получили предупреждение, выберите Да или Продолжить , чтобы продолжить подключение.

  6. В веб-браузере виртуальной машины myVMEastUS введите DNS-имя своего профиля диспетчера трафика, чтобы просмотреть свой веб-сайт. Поскольку IP-адрес виртуальной машины myVMEastUS связан с конечной точкой myInternalWebsiteEndpoint , веб-браузер запускает сервер тестового веб-сайта - myIISVMEastUS .

  7. Затем подключитесь к виртуальной машине myVMWestEurope , расположенной в West Europe , используя шаги 1–5, и перейдите к имени домена профиля диспетчера трафика с этой виртуальной машины. Поскольку IP-адрес VM myVMWestEurope связан с конечной точкой myProductionWebsiteEndpoint , веб-браузер запускает сервер тестового веб-сайта - myIISVMWestEurope .

Удалить профиль диспетчера трафика

Когда они больше не нужны, удалите группы ресурсов ( ResourceGroupTM1 и ResourceGroupTM2 ).Для этого выберите группу ресурсов ( ResourceGroupTM1 или ResourceGroupTM2 ), а затем выберите Delete .

Следующие шаги

.

Как маршрутизировать трафик между интерфейсами на одном маршрутизаторе

У меня есть маршрутизатор cisco 1841 с двумя интерфейсами fastethernet 0/0 и 0/1.

Настроено 0/0 как внешнее с 10.10.10.100 255.255.255.0 (сеть 1) и настроено 0/1 как 10.100.100.200 255.255.255.0 (сеть 2) как внутреннее с

IP-маршрут 0.0.0.0 0.0.0.0 10.10. 10.1, поэтому весь внутренний трафик гаснет.

Обе сети имеют клиентов, но только сеть 10.10.10.100 имеет подключение к Интернету через другое устройство в их сети.

Я хочу иметь возможность включить трафик для обоих интерфейсов, чтобы хосты в каждой сети могли взаимодействовать друг с другом и по-прежнему выходить на WAN на интерфейсе 10.10.10.100.

У меня не настроены вланы, только интерфейсы. Нет ACL. Я думал, мне нужно только сделать таблицу маршрутизации.


Я могу выйти из внутренней сети 2 в Интернет. Однако хосты в любой сети не могут получить доступ друг к другу. Я знаю, что что-то упускаю, но не знаю, что именно. Может кто-нибудь посоветовать, что я делаю не так?

.

Смотрите также



Компьютерные курсы по направлениям:

Для начинающих


A

Компьютер для начинающих: Word, Excel, Access и другие программы!

Графические пакеты


B

Популярные пакеты Adobe Photoshop, CorelDraw, ArchiCAD, AutoCAD и другие!

WEB + анимация


C

Курсы по созданию сайтов, WEB-дизайну и крутой анимации в Adobe Flash!

Бухгалтерия + делопроизводство

Сетевые технологии


E

Курсы сборки ПК, системных администраторов и защиты информации!