Zprostředkovatel síťových paketů
Zprostředkovatel síťových paketů společnosti Azure Operator Nexus je specializovaná nabídka od Microsoft Azure přizpůsobená pro poskytovatele telekomunikačních služeb. Díky zprostředkovateli síťových paketů Azure Operator Nexus můžou telekomunikační operátoři efektivně zaznamenávat, agregovat, filtrovat a monitorovat provoz ve své infrastruktuře (AON), což umožňuje hloubkovou kontrolu paketů, analýzu provozu a vylepšené monitorování sítě. To je obzvláště zásadní v telekomunikačním průmyslu, kde je nejdůležitější udržovat vysoce kvalitní služby, zajistit zabezpečení a dodržovat zákonné požadavky. Díky využití tohoto řešení můžou operátoři dosáhnout lepšího přehledu o síťovém provozu, efektivněji řešit problémy a nakonec zákazníkům poskytovat vylepšené služby a současně udržovat nejvyšší standardy zabezpečení a výkonu sítě.
NpB byl navržen a modelován jako samostatný prostředek Azure Resource Manageru (ARM) nejvyšší úrovně v rámci Microsoft.managednetworkfabric. Operátoři můžou vytvářet, číst, aktualizovat a odstraňovat síťové TAP funkce, pravidlo NETWORK TAP a funkce Skupiny sousedů. Každý zprostředkovatel síťových paketů bude mít více prostředků, jako je Network TAP, Neighbor Group a Network TAP Rules to manage, filter and forward designated traffic.
Postup povolení zprostředkovatele síťových paketů
Požadavky
- Zařízení NPB jsou správně nakonfigurovaná, skládaná a zřízená. Postup zřizování síťových prostředků infrastruktury najdete v tématu Zřizování síťových prostředků infrastruktury.
- Příslušné virtuální sítě by měly být nastavené s vyhrazenými IP adresami.
- Pro interní vProbes by se měly vytvořit domény izolace vrstvy 3 s interními sítěmi. Kromě toho by měly být nakonfigurované požadované připojené podsítě, příznak rozšíření by měl být nastavený na NPB (v interních sítích). Postup vytvoření interních a externích sítí v doméně izolace a nastavení příznaku rozšíření pro NPB najdete v tématu Domény izolace.
- Pro případ použití NNI (Network to Network Inter-Connect) by se mělo vytvořit NNI jako typ
NPB. Při vytváření NNI by měly být definovány odpovídající vlastnosti vrstvy 2 a 3. Postup vytvoření sítě pro propojení sítě (NNI) najdete v tématu Zřizování síťových prostředků infrastruktury.
Kroky
- Vytvoření pravidla network TAP poskytující konfiguraci shody (podporuje se pouze vložená metoda zadávání).
- Vytvořte prostředek skupiny sousedů definující cíle.
- Vytvořte prostředek Network TAP odkazující na pravidla klepnutí a skupiny sousedů.
- Povolte prostředek Network TAP.
NPB
Tento prostředek by se automaticky vytvořil pomocí NNF během metody bootstrap.
Zobrazit NPB
Tento příkaz zobrazí podrobnosti o logickém prostředku NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Očekávaný výstup
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Pravidla network TAP
Prostředek NetworkTapRule poskytuje možnost poskytovat filtrování a předávání kombinací podmínek a akcí.
Parametry pro pravidla network TAP
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro networkTapRule. | ResourceGroupName | True |
| název prostředku | Název prostředku síťového klepnutí | InternetTAPrule1 | True |
| location | Oblast Azure AzON používaná při vytváření NFC | eastus | True |
| typ konfigurace | Metoda zadávání pro konfiguraci pravidla síťového klepnutí | Vložený nebo soubor | True |
| konfigurace shody | Seznam konfigurací shody | ||
| match-configurations/matchconfigurationName | Název bloku konfigurace Shody | ||
| match-configurations/sequenceNumber | Pořadové číslo konfigurace shody | ||
| match-configurations/ipAddressType | Řada IP adres | ||
| match-configurations/matchconditions | Seznam podmínek dynamické shody na základě podmínek portu, protokolu, sítě Vlan a IP. | ||
| match-configurations/action | Zadejte podrobnosti o akci. Akce můžou být drop, Count, Log, Goto, Redirect, Mirror | ||
| dynamické konfigurace shody | Seznamkonfiguracích |
Poznámka:
Pravidla síťového klepnutí a skupiny sousedů je nutné vytvořit před jejich refrencováním v síťovém klepnutí.
Vytvoření pravidla pro klepnutí na síť
Tento příkaz vytvoří pravidlo síťového klepnutí:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Očekávaný výstup:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Zobrazit pravidlo klepnutí na síť
Tento příkaz zobrazí prostředek komunity IP adres:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Očekávaný výstup:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Skupina sousedů
Prostředek skupiny sousedů má možnost seskupit cíle pro předávání filtrovaného provozu.
Parametry pro skupinu sousedů
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro vaši skupinu sousedů. | ResourceGroupName | True |
| název prostředku | Název prostředku skupiny NeighborGroup | example-Neighbor | True |
| location | Oblast Azure AzON používaná při vytváření NFC | eastus | True |
| destination | Seznam cílů Ipv4 nebo Ipv6 pro předávání provozu | 10.10.10.10 | True |
Vytvoření skupiny sousedů
Tento příkaz vytvoří prostředek skupiny sousedů:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Očekávaný výstup:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Zobrazit prostředek skupiny sousedů
Tento příkaz zobrazí prostředek rozšířené komunity IP adres:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Očekávaný výstup:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Network TAP
Network TAP umožňuje operátorům definovat cíle a zapouzdření mechanismu přesměrování filtrovaného provozu na základě pravidel network TAP.
Parametry pro network TAP
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro síťové klepnutí. | ResourceGroupName | True |
| název prostředku | Název prostředku síťového klepnutí | NetworkTAP-Austin | True |
| location | Oblast Azure AzON používaná při vytváření NFC | eastus | True |
| network-packet-broker-id | ARMID prostředku zprostředkovatele síťových paketů | True | |
| typ dotazování | Metoda dotazování pro pravidla síťového klepnutí (push nebo pull) | Pull. | True |
| destination | Definice cíle | True | |
| cíl/název | název cíle | ||
| cíl/typ | typ cíle. IsolationDomain nebo NNI | ||
| destination/IsolationDomainProperties | Podrobnosti o doméně izolace Zapouzdření, ID skupiny sousedů | ID Azure Resource Manageru (ARM) interní sítě nebo NNI | False |
| destinationTapRuleId | ARMID pravidla klepnutí, které je potřeba použít | True |
Vytvoření síťového TAP
Tento příkaz vytvoří prostředek síťového klepnutí:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\