Freigeben über


Network Packet Broker

Der Netzwerkpaketbroker von Azure Operator Nexus ist ein spezielles Angebot von Microsoft Azure, das auf Telekommunikationsdienstanbieter zugeschnitten ist. Mit dem Netzwerkpaketbroker von Azure Operator Nexus können Telekommunikationsbetreiber Datenverkehr in der Infrastruktur (AON) effizient erfassen, aggregieren, filtern und überwachen, sodass umfassende Paketüberprüfungen, Datenverkehrsanalysen und erweiterte Netzwerküberwachungen ermöglicht werden. Dies ist insbesondere in der Telekommunikationsbranche von entscheidender Bedeutung, wo die Aufrechterhaltung qualitativ hochwertiger Dienste, die Gewährleistung von Sicherheit und die Einhaltung gesetzlicher Vorschriften von größter Wichtigkeit sind. Durch die Nutzung dieser Lösung können Betreiber einen besseren Einblick in den Netzwerkdatenverkehr erhalten, Probleme effektiver behandeln und letztendlich ihren Kunden bessere Dienste bereitstellen, während sie gleichzeitig die höchsten Standards für Netzwerksicherheit und -leistung einhalten.

Der NPB wurde als separate ARM-Ressource (Azure Resource Manager) auf oberster Ebene unter Microsoft.managednetworkfabric entwickelt und modelliert. Operatoren können Funktionen für Netzwerk-TAPs, Netzwerk-TAP-Regeln und Nachbargruppen erstellen, lesen, aktualisieren und löschen. Jeder Netzwerkpaketbroker verfügt über mehrere Ressourcen wie Netzwerk-TAP, Nachbargruppen und Netzwerk-TAP-Regeln zum Verwalten, Filtern und Weiterleiten von festgelegtem Datenverkehr.

Schritte zum Aktivieren des Netzwerkpaketbrokers

Voraussetzungen

  • NPB-Geräte sind korrekt installiert, gestapelt und bereitgestellt. Verfahren zum Bereitstellen des Netzwerk-Fabric finden Sie unter Bereitstellen eines Netzwerk-Fabrics.
  • Entsprechende vProbes sollten mit dedizierten IPs eingerichtet werden.
  • Für interne vProbes sollten Layer 3-Isolationsdomänen mit internen Netzwerken erstellt werden. Erforderliche verbundene Subnetze sollten konfiguriert werden, und außerdem sollte das Erweiterungsflag auf NPB (in internen Netzwerken) festgelegt werden. Verfahren zum Erstellen interner und externer Netzwerke in einer Isolationsdomäne und Festlegen des Erweiterungsflags für NPB finden Sie unter Isolationsdomänen.
  • Für den Anwendungsfall einer Netzwerk-zu-Netzwerk-Verbindung (Network to Network Interconnect, NNI) sollte die NNI als Typ NPB erstellt werden. Während der Erstellung der NNI sollten geeignete Layer 2- und Layer 3-Eigenschaften definiert werden. Verfahren zum Erstellen der Netzwerk-zu-Netzwerk-Verbindung (NNI) finden Sie unter Bereitstellen eines Netzwerk-Fabrics.

Schritte

  1. Erstellen einer Netzwerk-TAP-Regel, die die Abgleichskonfiguration angibt (nur die Inlineeingabemethode wird unterstützt)
  2. Erstellen einer Nachbargruppenressource, die Ziele definiert
  3. Erstellen einer Netzwerk-TAP-Ressource, die auf die TAP-Regeln und Nachbargruppen verweist
  4. Aktivieren der Netzwerk-TAP-Ressource

NPB

Diese Ressource wird während des Bootstrap-Vorgangs von NNF automatisch erstellt.

Anzeigen des NPB

Der folgende Befehl zeigt die Details der logischen NPB-Ressource an:

 az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"

Erwartete Ausgabe

{
  "properties": {
    "networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
    "networkDeviceIds": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
    ],
    "sourceInterfaceIds": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
    ],
    "networkTapIds": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
    ],
    "neighborGroupIds": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
    ],
    "provisioningState": "Succeeded"
  },
  "tags": {
    "key2806": "key"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
  "name": "example-networkPacketBroker",
  "type": "microsoft.managednetworkfabric/networkPacketBrokers",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-05-17T11:56:12.100Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-17T11:56:12.100Z"
  }
}

Netzwerk-TAP-Regeln

Eine NetworkTapRule-Ressource bietet die Möglichkeit, Filter- und Weiterleitungskombinationen von Bedingungen und Aktionen bereitzustellen.

Parameter für Netzwerk-TAP-Regeln

Parameter BESCHREIBUNG Beispiel Erforderlich
resource-group Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Netzwerk-TAP-Regel (NetworkTapRule) ResourceGroupName Richtig
resource-name Ressourcenname der Netzwerk-TAP-Ressource InternetTAPrule1 Richtig
location Die während der NFC-Erstellung verwendete Azure-Region (AzON) eastus Richtig
configuration-type Eingabemethode zum Konfigurieren der Netzwerk-TAP-Regel Inline oder Datei Richtig
match-configurations Liste der Abgleichskonfigurationen
match-configurations/matchconfigurationName Name des Abgleichskonfigurationsblocks
match-configurations/sequenceNumber Sequenznummer der Abgleichskonfiguration
match-configurations/ipAddressType IP-Adressfamilie
match-configurations/matchconditions Liste der dynamischen Abgleichskonfigurationen basierend auf Port-, Protokoll-, VLAN- und IP-Bedingungen
match-configurations/action Angeben von Aktionsdetails. Mögliche Aktionen: Drop, Count, Log, Goto, Redirect, Mirror
dynamic-match-configurations Liste der dynamischen Abgleichskonfigurationen basierend auf Port, VLAN und IP

Hinweis

Netzwerk-TAP-Regeln und Nachbargruppen müssen erstellt werden, bevor in der Netzwerk-TAP-Ressource darauf verwiesen wird.

Erstellen einer Netzwerk-TAP-Regel

Mit diesem Befehl wird Netzwerk-TAP-Regel erstellt:

az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
 --configuration-type "Inline" \
 --match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
 actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
 --dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"

Erwartete Ausgabe:

{
  "properties": {
    "networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
    "pollingIntervalInSeconds": 30,
    "lastSyncedTime": "2023-06-12T07:11:22.485Z",
    "configurationState": "Succeeded",
    "provisioningState": "Accepted",
    "administrativeState": "Enabled",
    "annotation": "annotation",
    "configurationType": "Inline",
    "tapRulesUrl": "",
    "matchConfigurations": [
      {
        "matchConfigurationName": "config1",
        "sequenceNumber": 10,
        "ipAddressType": "IPv4",
        "matchConditions": [
          {
            "encapsulationType": "None",
            "portCondition": {
              "portType": "SourcePort",
              "l4Protocol": "TCP",
              "ports": [
                "100"
              ],
              "portGroupNames": [
                "example-portGroup1"
              ]
            },
            "protocolTypes": [
              "TCP"
            ],
            "vlanMatchCondition": {
              "vlans": [
                "10"
              ],
              "innerVlans": [
                "11-20"
              ],
              "vlanGroupNames": [
                "example-vlanGroup"
              ]
            },
            "ipCondition": {
              "type": "SourceIP",
              "prefixType": "Prefix",
              "ipPrefixValues": [
                "10.10.10.10/20"
              ],
              "ipGroupNames": [
                "example-ipGroup"
              ]
            }
          }
        ],
        "actions": [
          {
            "type": "Drop",
            "truncate": "100",
            "isTimestampEnabled": "True",
            "destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
            "matchConfigurationName": "match1"
          }
        ]
      }
    ],
    "dynamicMatchConfigurations": [
      {
        "ipGroups": [
          {
            "name": "example-ipGroup1",
            "ipPrefixes": [
              "10.10.10.10/30"
            ]
          }
        ],
        "vlanGroups": [
          {
            "name": "example-vlanGroup",
            "vlans": [
              "10",
              "100-200"
            ]
          }
        ],
        "portGroups": [
          {
            "name": "example-portGroup1",
            "ports": [
              "100-200"
            ]
          },
          {
            "name": "example-portGroup2",
            "ports": [
              "900",
              "1000-2000"
            ]
          }
        ]
      }
    ]
  },
  "tags": {
    "keyID": "keyValue"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
  "name": "example-tapRule",
  "type": "microsoft.managednetworkfabric/networkTapRules",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-06-12T07:11:22.488Z",
    "lastModifiedBy": "user@mail.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-06-12T07:11:22.488Z"
  }
}

Anzeigen einer Netzwerk-TAP-Regel

Mit dem folgenden Befehl wird eine IP-Communityressource angezeigt:

az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"

Erwartete Ausgabe:

{
  "properties": {
    "networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
    "pollingIntervalInSeconds": 30,
    "lastSyncedTime": "2023-06-12T07:11:22.485Z",
    "configurationState": "Succeeded",
    "provisioningState": "Accepted",
    "administrativeState": "Enabled",
    "annotation": "annotation",
    "configurationType": "Inline",
    "tapRulesUrl": "",
    "matchConfigurations": [
      {
        "matchConfigurationName": "config1",
        "sequenceNumber": 10,
        "ipAddressType": "IPv4",
        "matchConditions": [
          {
            "encapsulationType": "None",
            "portCondition": {
              "portType": "SourcePort",
              "l4Protocol": "TCP",
              "ports": [
                "100"
              ],
              "portGroupNames": [
                "example-portGroup1"
              ]
            },
            "protocolTypes": [
              "TCP"
            ],
            "vlanMatchCondition": {
              "vlans": [
                "10"
              ],
              "innerVlans": [
                "11-20"
              ],
              "vlanGroupNames": [
                "example-vlanGroup"
              ]
            },
            "ipCondition": {
              "type": "SourceIP",
              "prefixType": "Prefix",
              "ipPrefixValues": [
                "10.10.10.10/20"
              ],
              "ipGroupNames": [
                "example-ipGroup"
              ]
            }
          }
        ],
        "actions": [
          {
            "type": "Drop",
            "truncate": "100",
            "isTimestampEnabled": "True",
            "destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
            "matchConfigurationName": "match1"
          }
        ]
      }
    ],
    "dynamicMatchConfigurations": [
      {
        "ipGroups": [
          {
            "name": "example-ipGroup1",
            "ipPrefixes": [
              "10.10.10.10/30"
            ]
          }
        ],
        "vlanGroups": [
          {
            "name": "example-vlanGroup",
            "vlans": [
              "10",
              "100-200"
            ]
          }
        ],
        "portGroups": [
          {
            "name": "example-portGroup1",
            "ports": [
              "100-200"
            ]
          },
          {
            "name": "example-portGroup2",
            "ports": [
              "900",
              "1000-2000"
            ]
          }
        ]
      }
    ]
  },
  "tags": {
    "keyID": "keyValue"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
  "name": "example-tapRule",
  "type": "microsoft.managednetworkfabric/networkTapRules",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-06-12T07:11:22.488Z",
    "lastModifiedBy": "user@mail.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-06-12T07:11:22.488Z"
  }
}

Nachbargruppe

Die Nachbargruppenressource hat die Möglichkeit, Ziele zum Weiterleiten des gefilterten Datenverkehrs zu gruppieren.

Parameter für Nachbargruppen

Parameter BESCHREIBUNG Beispiel Erforderlich
resource-group Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Nachbargruppe (NeighborGroup) ResourceGroupName Richtig
resource-name Ressourcenname von „NeighborGroup“ example-Neighbor Richtig
location Die während der NFC-Erstellung verwendete Azure-Region (AzON) eastus Richtig
destination Liste der Ipv4- oder Ipv6-Ziele zum Weiterleiten von Datenverkehr 10.10.10.10 Richtig

Erstellen einer Nachbargruppe

Mit diesem Befehl wird eine Nachbargruppenressource erstellt:

 az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"

Erwartete Ausgabe:

{
  "properties": {
    "networkTapIds": [
    ],
    "networkTapRuleIds": [
    ],
    "destination": {
      "ipv4Addresses": [
        "10.10.10.10",
      ]
    },
    "provisioningState": "Succeeded",
    "annotation": "annotation"
  },
  "tags": {
    "keyID": "KeyValue"
  },
  "location": "eastus",
  "id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
  "name": "example-neighborGroup",
  "type": "microsoft.managednetworkfabric/neighborGroups",
  "systemData": {
    "createdBy": "user@mail.com",
    "createdByType": "User",
    "createdAt": "2023-05-23T05:49:59.193Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-23T05:49:59.194Z"
  }
}

Anzeigen der Nachbargruppenressource

Mit diesem Befehl wird eine erweiterte IP-Communityressource angezeigt:

 az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"

Erwartete Ausgabe:

{
  "properties": {
    "networkTapIds": [
    ],
    "networkTapRuleIds": [
    ],
    "destination": {
      "ipv4Addresses": [
        "10.10.10.10",
      ]
    },
    "provisioningState": "Succeeded",
    "annotation": "annotation"
  },
  "tags": {
    "keyID": "KeyValue"
  },
  "location": "eastus",
  "id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
  "name": "example-neighborGroup",
  "type": "microsoft.managednetworkfabric/neighborGroups",
  "systemData": {
    "createdBy": "user@mail.com",
    "createdByType": "User",
    "createdAt": "2023-05-23T05:49:59.193Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-23T05:49:59.194Z"
  }
}

Network TAP

Mit Network-TAP können Operatoren Ziele und den Kapselungsmechanismus definieren, um gefilterten Datenverkehr basierend auf den Netzwerk-TAP-Regeln weiterzuleiten.

Parameter für Netzwerk-TAP

Parameter BESCHREIBUNG Beispiel Erforderlich
resource-group Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Netzwerk-TAP-Ressource ResourceGroupName Richtig
resource-name Ressourcenname der Netzwerk-TAP-Ressource NetworkTAP-Austin Richtig
location Die während der NFC-Erstellung verwendete Azure-Region (AzON) eastus Richtig
network-packet-broker-id ARMID der Ressource für den Netzwerkpaketbroker Richtig
polling-type Abrufmethode für Netzwerk-TAP-Regeln (Push oder Pull) Pull Richtig
destination Zieldefinitionen Richtig
destination/name Name des Ziels
destination/type Typ „destination.IsolationDomain“ oder NNI
destination/IsolationDomainProperties Details der Isolationsdomäne. Kapselung, Nachbargruppen-IDs ARM-ID (Azure Resource Manager) des internen Netzwerks oder NNI False
destinationTapRuleId ARMID der TAP-Regel, die angewendet werden muss Richtig

Erstellen eines Netzwerk-TAP

Mit diesem Befehl wird eine Netzwerk-TAP-Ressource erstellt:

az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\