Zprostředkovatel síťových paketů
Zprostředkovatel síťových paketů společnosti Azure Operator Nexus je specializovaná nabídka od Microsoft Azure přizpůsobená pro poskytovatele telekomunikačních služeb. Díky zprostředkovateli síťových paketů Azure Operator Nexus můžou telekomunikační operátoři efektivně zaznamenávat, agregovat, filtrovat a monitorovat provoz ve své infrastruktuře (AON), což umožňuje hloubkovou kontrolu paketů, analýzu provozu a vylepšené monitorování sítě. To je zásadní v telekomunikačním průmyslu, kde je nejdůležitější udržovat vysoce kvalitní služby, zajistit zabezpečení a dodržovat zákonné požadavky. Díky použití tohoto řešení můžou operátoři dosáhnout lepšího přehledu o síťovém provozu, efektivněji řešit problémy a nakonec zákazníkům poskytovat vylepšené služby a současně udržovat nejvyšší standardy zabezpečení a výkonu sítě.
Zprostředkovatel síťových paketů (NPB) je navržený a modelovaný jako samostatný prostředek Azure Resource Manageru (ARM) nejvyšší úrovně v rámci Microsoft.managednetworkfabric. Operátoři můžou vytvářet, číst, aktualizovat a odstraňovat síťové TAP funkce, pravidlo NETWORK TAP a funkce Skupiny sousedů. Každý zprostředkovatel síťových paketů má několik prostředků, jako je network TAP, skupina sousedů a pravidla TAP sítě pro správu, filtrování a předávání určených přenosů.
Postup povolení zprostředkovatele síťových paketů
Požadavky
- Zařízení NPB jsou správně nakonfigurovaná, skládaná a zřízená. Postup zřizování síťových prostředků infrastruktury najdete v tématu Zřizování síťových prostředků infrastruktury.
- Příslušné virtuální sítě by měly být nastavené s vyhrazenými IP adresami.
- Pro interní vProbes by se měly vytvořit domény izolace vrstvy 3 s interními sítěmi. Kromě toho by se měly nakonfigurovat požadované připojené podsítě, příznak rozšíření by měl být nastavený na NPB (v interních sítích). Postup vytvoření interních a externích sítí v doméně izolace a nastavení příznaku rozšíření pro NPB najdete v tématu Domény izolace.
- Pro případ použití NNI (Network to Network Inter-Connect) by se mělo vytvořit NNI jako typ
NPB. Při vytváření NNI by měly být definovány odpovídající vlastnosti vrstvy 2 a 3. Postup vytvoření sítě pro propojení sítě (NNI) najdete v tématu Zřizování síťových prostředků infrastruktury.
Kroky
- Vytvoření pravidla network TAP poskytující konfiguraci shody (podporuje se pouze vložená metoda zadávání).
- Vytvořte prostředek skupiny sousedů definující cíle.
- Vytvořte prostředek Network TAP odkazující na pravidla klepnutí a skupiny sousedů.
- Povolte prostředek Network TAP.
NPB
NNF by tento prostředek automaticky vytvořil během metody bootstrap..
Zobrazit NPB
Tento příkaz zobrazí podrobnosti o logickém prostředku NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Očekávaný výstup
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Pravidla network TAP
Prostředek NetworkTapRule poskytuje možnost poskytovat filtrování a předávání kombinací podmínek a akcí.
Parametry pro pravidla network TAP
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro networkTapRule. | ResourceGroupName | True |
| název prostředku | Názvy prostředků síťového klepnutí | InternetTAPrule1 | True |
| location | Oblast Azure AzON používaná při vytváření síťového adaptéru (NFC) | eastus | True |
| typ konfigurace | Metody zadávání pro konfiguraci pravidla síťového klepnutí | Vložený nebo soubor | True |
| konfigurace shody | Seznam konfigurací shody | ||
| match-configurations/matchconfigurationName | Název bloku konfigurace Shody | ||
| match-configurations/sequenceNumber | Pořadové číslo konfigurace shody | ||
| match-configurations/ipAddressType | Řada IP adres | ||
| match-configurations/matchconditions | Seznam podmínek dynamické shody na základě podmínek portu, protokolu, sítě VLAN a IP. | ||
| match-configurations/action | Zadejte podrobnosti o akci. Akce můžou být drop, Count, Log, Goto, Redirect, Mirror | ||
| dynamické konfigurace shody | Seznam konfigurací založených na dynamické shodě – Port, síť VLAN a IP adresa |
Poznámka:
Před odkazem na ně v nástroji Network Tap je nutné vytvořit pravidla a skupiny sousedů.
Vytvoření pravidla pro klepnutí na síť
Tento příkaz vytvoří pravidlo síťového klepnutí:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Očekávaný výstup:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Zobrazit pravidlo klepnutí na síť
Tento příkaz zobrazí prostředek komunity IP adres:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Očekávaný výstup:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Skupina sousedů
Prostředek skupiny sousedů má možnost seskupit cíle pro předávání filtrovaného provozu.
Parametry pro skupinu sousedů
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro vaši skupinu sousedů. | ResourceGroupName | True |
| název prostředku | Názvy prostředků skupiny sousedů | example-Neighbor | True |
| location | Oblast Azure AzON používaná při vytváření NFC | eastus | True |
| destination | Seznam cílů Ipv4 nebo Ipv6 pro předávání provozu | 10.10.10.10 | True |
Vytvoření skupiny sousedů
Tento příkaz vytvoří prostředek skupiny sousedů:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Očekávaný výstup:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Zobrazit prostředek skupiny sousedů
Tento příkaz zobrazí prostředek rozšířené komunity IP adres:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Očekávaný výstup:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Network TAP
Network TAP umožňuje operátorům definovat cíle a zapouzdření mechanismu přesměrování filtrovaného provozu na základě pravidel network TAP.
Parametry pro network TAP
| Parametr | Popis | Příklad | Požaduje se |
|---|---|---|---|
| resource-group | Použijte vhodný název skupiny prostředků speciálně pro síťové klepnutí. | ResourceGroupName | True |
| název prostředku | Název prostředku síťového klepnutí | NetworkTAP-Austin | True |
| location | Oblast Azure AzON používaná při vytváření NFC | eastus | True |
| network-packet-broker-id | ARMID prostředku zprostředkovatele síťových paketů | True | |
| typ dotazování | Metoda dotazování pro pravidla síťového klepnutí (push nebo pull) | Pull. | True |
| destination | Definice cíle | True | |
| cíl/název | název cíle | ||
| cíl/typ | typ cíle. IsolationDomain nebo NNI | ||
| destination/IsolationDomainProperties | Podrobnosti o doméně izolace Zapouzdření, ID skupiny sousedů | ID Azure Resource Manageru (ARM) interní sítě nebo NNI | False |
| destinationTapRuleId | ARMID pravidla klepnutí, které je potřeba použít | True |
Poznámka:
Před odkazem na ně v nástroji Network Tap je nutné vytvořit pravidla a skupiny sousedů.
Zásady vytváření názvů zařízení networkTAP / osvědčené postupy:
Je nezbytné zajistit, aby konfigurace a hodnoty v těchto názvech sad polí (vlanGroupNames, ipGroupNames, PortGroupNames) byly jedinečné a nebyly v konfliktu s ostatními.
Doporučení:
Jedinečné názvy sady polí: Názvy sady polí napříč networkTAPRules musí být jedinečné, pokud je obsah sady polí jedinečný.
Jedinečné názvy prostředků: Názvy prostředků NetworkTAP a NetworkTAPRule musí být jedinečné napříč skupinami prostředků v rámci prostředků infrastruktury.
Vytvoření regionálního prostředku: Prostředky NetworkTAP a NetworkTAPRule musí být vytvořeny v rámci oblasti a přidružené k příslušným prostředkům infrastruktury v rámci oblasti.
Úprava názvu cíle: Název cíle je jedinečný pro definovanou konfiguraci cíle pravidla síťového klepnutí. Název cíle nelze změnit, jakmile se konfigurace síťového klepnutí odešle do zařízení.
Vytvoření síťového TAP
Tento příkaz vytvoří prostředek síťového klepnutí:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\