AZ-104

Deep Dive

Volver a guías
D1Identidad y Acceso
Microsoft Entra ID (Azure AD)Control de Acceso Basado en RolesAutenticacion Multi-FactorIdentidades AdministradasAcceso CondicionalGestion de ContrasenasAzure Policy y CumplimientoGobernanza y Jerarquia de Recursos
D2Almacenamiento
Cuentas de AlmacenamientoSQL Database y MIAzure Cosmos DBBackup y RecuperacionProteccion de DatosReplicacion de DatosAzure Files y File SyncSeguridad de Almacenamiento
D3Computo
Maquinas VirtualesAzure App ServiceContenedores y AKSAutoscaling y VMSSDisponibilidad y RedundanciaOptimizacion de RendimientoARM Templates y BicepAzure Functions
D4Redes
Redes Virtuales (VNet)Grupos de SeguridadBalanceo de CargaVPN Gateway y ExpressRouteDNS y Resolucion de NombresMonitoreo de Red
D5Monitoreo
Azure MonitorLog AnalyticsAlertas y NotificacionesMetricas y KPIsDiagnosticosApplication Insights
D6Recuperacion
Azure Site RecoveryBackup VaultEstrategia de DRRTO y RPOFailover y FailbackContinuidad del Negocio
Practicar ahora
D4 · Redes

Monitoreo de Red

Azure Network Watcher es el centro de diagnóstico y monitoreo de red. El AZ-104 evalúa sus herramientas de diagnóstico: IP Flow Verify, Next Hop, NSG Flow Logs y Connection Monitor para troubleshooting de conectividad.

Contenido

Azure Network Watcher

Azure Network Watcher es un servicio regional de monitoreo, diagnóstico y visualización de métricas de redes en Azure. Se habilita automáticamente por región cuando se crean recursos de red. Proporciona herramientas para diagnosticar problemas de conectividad, capturar paquetes, ver rutas y analizar tráfico.

Diagnóstico de conectividad

  • IP Flow Verify — ¿NSG bloquea este tráfico?
  • Next Hop — ¿hacia dónde va este paquete?
  • Effective Security Rules — todas las reglas NSG aplicadas
  • Connection Monitor — monitoreo continuo de conectividad
  • Connectivity Check — prueba un path específico

Captura y análisis

  • Packet Capture — captura de paquetes en la VM
  • NSG Flow Logs — logs de flujos TCP/UDP aceptados/rechazados
  • Traffic Analytics — análisis de NSG Flow Logs con Log Analytics
  • VPN Diagnostics — diagnóstico de VPN Gateway

Visualización de topología

  • Topology — mapa visual de recursos de red en una VNet
  • Connection Troubleshoot — diagnóstico de conexiones VM-to-VM o VM-to-URL
  • Reachability Analysis — verifica si un destino es alcanzable

IP Flow Verify

IP Flow Verify responde a la pregunta: "¿Por qué no puedo conectarme desde esta VM a esta IP en este puerto?". Evalúa las reglas NSG aplicadas a la NIC y subred de la VM y dice exactamente qué regla permite o bloquea el tráfico.

Inputs requeridos

VM y NIC: la máquina virtual de origen

Dirección: Inbound o Outbound

Protocolo: TCP o UDP

IP local: IP privada de la NIC

Puerto local: puerto de origen

IP remota: IP destino del tráfico

Puerto remoto: puerto destino

Output del diagnóstico

Allow

Nombre de la regla NSG que permite el tráfico. Ej: AllowHTTPSFromInternet (prioridad 100)

Deny

Nombre de la regla NSG que bloquea el tráfico. Ej: DenyAllInBound (prioridad 65500)

Solo verifica NSG — no verifica routing, Azure Firewall ni OS firewall.

Next Hop

Next Hop responde: "¿Por dónde sale el tráfico desde esta VM hacia esta IP?". Evalúa la tabla de rutas efectivas (rutas del sistema + UDRs) y muestra el next hop — importante para verificar que el routing sea el esperado o detectar rutas incorrectas.

Tipos de next hop que puede mostrar

VirtualNetworkTráfico dentro de la misma VNet — routing directo
InternetTráfico sale a internet por la ruta predeterminada
VirtualNetworkGatewayTráfico va al VPN Gateway o ExpressRoute Gateway
VirtualApplianceTráfico va a un NVA o Azure Firewall (UDR activo)
NoneSin ruta — el tráfico será descartado (black hole)

Cuándo usar Next Hop

  • → Una VM no puede conectar a internet — verificar si la ruta 0.0.0.0/0 va a Internet o a None
  • → Verificar que el tráfico pasa por Azure Firewall (UDR correctamente aplicado)
  • → Detectar routing asimétrico en topologías hub-spoke
  • → Confirmar que el gateway VPN está recibiendo el tráfico on-premises
  • → Verificar que peering VNet tiene las rutas correctas propagadas

Connection Monitor

Connection Monitor realiza pruebas de conectividad continuas (no one-shot como IP Flow Verify) y registra métricas de latencia, pérdida de paquetes y disponibilidad. Ideal para detectar degradación intermitente de red.

Orígenes soportados

  • • Azure VMs (con Network Watcher agent)
  • • Azure Arc machines
  • • On-premises machines (con Log Analytics agent)

Destinos soportados

  • • IPs privadas (otras VMs, endpoints)
  • • URLs / FQDNs públicos
  • • Puertos específicos (TCP check)
  • • Servicios Azure (Storage, SQL, etc.)

Métricas que proporciona

ChecksFailedPercent

% de checks que fallaron

RoundTripTimeMs

Latencia RTT en ms

ProbesFailedPercent

% de probes fallidos (legacy)

AvgRoundTripTimeMs

Latencia promedio (legacy)

NSG Flow Logs

Los NSG Flow Logs registran información sobre el tráfico IP que fluye a través de un NSG — incluyendo el 5-tuple (IP src, IP dst, puerto src, puerto dst, protocolo), la acción (Allow/Deny) y el estado de la conexión (TCP: Initiated, Established, Terminated).

Versiones de Flow Logs

Version 1

Registra 5-tuple básico + Allow/Deny. Sin throughput. Para análisis básico.

Version 2

Todo de V1 + estado de conexión TCP (INIT/SYN, SYN_ACK, FIN, RST) + bytes/paquetes por sesión. Recomendado.

Almacenamiento y análisis

  • • Los logs se almacenan en una Storage Account (JSON)
  • • Retención configurable (días en la Storage Account)
  • • Enviar a Log Analytics para análisis con KQL
  • Traffic Analytics: procesa NSG Flow Logs en Log Analytics y genera dashboards de top talkers, geo-distribución, puertos usados, flujos maliciosos detectados
  • • Latencia: logs aparecen ~1 min después del tráfico

Packet Capture

Packet Capture captura paquetes de red de una VM específica sin necesidad de conectarse a ella. Los paquetes se guardan en formato PCAP (compatible con Wireshark) en un Storage Account o en la VM directamente.

Filtros disponibles

  • • Protocolo: TCP, UDP, Any
  • • IP local (de la NIC)
  • • IP remota
  • • Puerto local y remoto
  • • Duración máxima de la captura (segundos)
  • • Tamaño máximo del archivo PCAP

Requisitos

  • • VM Agent instalado en la VM
  • • Network Watcher Agent extension instalada
  • • Storage Account o disco local de la VM como destino
  • • La captura se puede iniciar/detener desde Portal, CLI o PowerShell
  • • Útil para troubleshooting de aplicaciones (ej: ver headers HTTP, analizar retransmisiones TCP)

Herramientas de diagnóstico adicionales

Effective Security Rules

Muestra todas las reglas NSG efectivas (combinación de NSG de subred + NSG de NIC) para una NIC específica. Útil cuando no puedes identificar qué NSG está bloqueando el tráfico.

Effective Routes

Muestra la tabla de rutas efectivas para una NIC: rutas del sistema + UDRs + rutas BGP propagadas. Complementa a Next Hop mostrando la tabla completa.

VPN Diagnostics

Ejecuta diagnósticos en un VPN Gateway o una conexión VPN específica. Guarda logs en un Storage Account para análisis. Identifica configuraciones incorrectas de IKE, PSK, etc.

Connection Troubleshoot

Prueba one-shot de conectividad entre dos endpoints. Muestra si hay problemas de NSG, routing, SO firewall o si el destino es inalcanzable. Diferente de Connection Monitor (que es continuo).

Pregunta de diagnósticoHerramienta correcta
¿Qué regla NSG está bloqueando este tráfico?IP Flow Verify
¿Hacia dónde sale este paquete desde esta VM?Next Hop
¿La conexión entre VM-A y VM-B tiene pérdida de paquetes?Connection Monitor (monitoreo continuo)
¿Qué combinación de reglas NSG se aplica a esta NIC?Effective Security Rules
¿Qué tráfico ha pasado por este NSG en los últimos 30 min?NSG Flow Logs + Traffic Analytics
¿Cuál es la tabla de rutas completa de esta VM?Effective Routes
Necesito capturar paquetes para analizar en WiresharkPacket Capture
¿Por qué falla el túnel VPN entre Azure y on-premises?VPN Diagnostics

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Un administrador necesita saber por qué una VM en Azure no puede conectarse a una IP on-premises en el puerto 443. La VM tiene NSG en la subred y en la NIC. ¿Qué herramienta de Network Watcher responde directamente si es un problema de NSG?