Network Packet Broker
Der Netzwerkpaketbroker von Azure Operator Nexus ist ein spezielles Angebot von Microsoft Azure, das auf Telekommunikationsdienstanbieter zugeschnitten ist. Mit dem Netzwerkpaketbroker von Azure Operator Nexus können Telekommunikationsbetreiber Datenverkehr in der Infrastruktur (AON) effizient erfassen, aggregieren, filtern und überwachen, sodass umfassende Paketüberprüfungen, Datenverkehrsanalysen und erweiterte Netzwerküberwachungen ermöglicht werden. Dies ist insbesondere in der Telekommunikationsbranche von entscheidender Bedeutung, wo die Aufrechterhaltung qualitativ hochwertiger Dienste, die Gewährleistung von Sicherheit und die Einhaltung gesetzlicher Vorschriften von größter Wichtigkeit sind. Durch die Nutzung dieser Lösung können Betreiber einen besseren Einblick in den Netzwerkdatenverkehr erhalten, Probleme effektiver behandeln und letztendlich ihren Kunden bessere Dienste bereitstellen, während sie gleichzeitig die höchsten Standards für Netzwerksicherheit und -leistung einhalten.
Der NPB wurde als separate ARM-Ressource (Azure Resource Manager) auf oberster Ebene unter Microsoft.managednetworkfabric entwickelt und modelliert. Operatoren können Funktionen für Netzwerk-TAPs, Netzwerk-TAP-Regeln und Nachbargruppen erstellen, lesen, aktualisieren und löschen. Jeder Netzwerkpaketbroker verfügt über mehrere Ressourcen wie Netzwerk-TAP, Nachbargruppen und Netzwerk-TAP-Regeln zum Verwalten, Filtern und Weiterleiten von festgelegtem Datenverkehr.
Schritte zum Aktivieren des Netzwerkpaketbrokers
Voraussetzungen
- NPB-Geräte sind korrekt installiert, gestapelt und bereitgestellt. Verfahren zum Bereitstellen des Netzwerk-Fabric finden Sie unter Bereitstellen eines Netzwerk-Fabrics.
- Entsprechende vProbes sollten mit dedizierten IPs eingerichtet werden.
- Für interne vProbes sollten Layer 3-Isolationsdomänen mit internen Netzwerken erstellt werden. Erforderliche verbundene Subnetze sollten konfiguriert werden, und außerdem sollte das Erweiterungsflag auf NPB (in internen Netzwerken) festgelegt werden. Verfahren zum Erstellen interner und externer Netzwerke in einer Isolationsdomäne und Festlegen des Erweiterungsflags für NPB finden Sie unter Isolationsdomänen.
- Für den Anwendungsfall einer Netzwerk-zu-Netzwerk-Verbindung (Network to Network Interconnect, NNI) sollte die NNI als Typ
NPB
erstellt werden. Während der Erstellung der NNI sollten geeignete Layer 2- und Layer 3-Eigenschaften definiert werden. Verfahren zum Erstellen der Netzwerk-zu-Netzwerk-Verbindung (NNI) finden Sie unter Bereitstellen eines Netzwerk-Fabrics.
Schritte
- Erstellen einer Netzwerk-TAP-Regel, die die Abgleichskonfiguration angibt (nur die Inlineeingabemethode wird unterstützt)
- Erstellen einer Nachbargruppenressource, die Ziele definiert
- Erstellen einer Netzwerk-TAP-Ressource, die auf die TAP-Regeln und Nachbargruppen verweist
- Aktivieren der Netzwerk-TAP-Ressource
NPB
Diese Ressource wird während des Bootstrap-Vorgangs von NNF automatisch erstellt.
Anzeigen des NPB
Der folgende Befehl zeigt die Details der logischen NPB-Ressource an:
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Erwartete Ausgabe
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Netzwerk-TAP-Regeln
Eine NetworkTapRule-Ressource bietet die Möglichkeit, Filter- und Weiterleitungskombinationen von Bedingungen und Aktionen bereitzustellen.
Parameter für Netzwerk-TAP-Regeln
Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
---|---|---|---|
resource-group | Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Netzwerk-TAP-Regel (NetworkTapRule) | ResourceGroupName | Richtig |
resource-name | Ressourcenname der Netzwerk-TAP-Ressource | InternetTAPrule1 | Richtig |
location | Die während der NFC-Erstellung verwendete Azure-Region (AzON) | eastus | Richtig |
configuration-type | Eingabemethode zum Konfigurieren der Netzwerk-TAP-Regel | Inline oder Datei | Richtig |
match-configurations | Liste der Abgleichskonfigurationen | ||
match-configurations/matchconfigurationName | Name des Abgleichskonfigurationsblocks | ||
match-configurations/sequenceNumber | Sequenznummer der Abgleichskonfiguration | ||
match-configurations/ipAddressType | IP-Adressfamilie | ||
match-configurations/matchconditions | Liste der dynamischen Abgleichskonfigurationen basierend auf Port-, Protokoll-, VLAN- und IP-Bedingungen | ||
match-configurations/action | Angeben von Aktionsdetails. Mögliche Aktionen: Drop, Count, Log, Goto, Redirect, Mirror | ||
dynamic-match-configurations | Liste der dynamischen Abgleichskonfigurationen basierend auf Port, VLAN und IP |
Hinweis
Netzwerk-TAP-Regeln und Nachbargruppen müssen erstellt werden, bevor in der Netzwerk-TAP-Ressource darauf verwiesen wird.
Erstellen einer Netzwerk-TAP-Regel
Mit diesem Befehl wird Netzwerk-TAP-Regel erstellt:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Erwartete Ausgabe:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Anzeigen einer Netzwerk-TAP-Regel
Mit dem folgenden Befehl wird eine IP-Communityressource angezeigt:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Erwartete Ausgabe:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Nachbargruppe
Die Nachbargruppenressource hat die Möglichkeit, Ziele zum Weiterleiten des gefilterten Datenverkehrs zu gruppieren.
Parameter für Nachbargruppen
Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
---|---|---|---|
resource-group | Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Nachbargruppe (NeighborGroup) | ResourceGroupName | Richtig |
resource-name | Ressourcenname von „NeighborGroup“ | example-Neighbor | Richtig |
location | Die während der NFC-Erstellung verwendete Azure-Region (AzON) | eastus | Richtig |
destination | Liste der Ipv4- oder Ipv6-Ziele zum Weiterleiten von Datenverkehr | 10.10.10.10 | Richtig |
Erstellen einer Nachbargruppe
Mit diesem Befehl wird eine Nachbargruppenressource erstellt:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Erwartete Ausgabe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Anzeigen der Nachbargruppenressource
Mit diesem Befehl wird eine erweiterte IP-Communityressource angezeigt:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Erwartete Ausgabe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Network TAP
Mit Network-TAP können Operatoren Ziele und den Kapselungsmechanismus definieren, um gefilterten Datenverkehr basierend auf den Netzwerk-TAP-Regeln weiterzuleiten.
Parameter für Netzwerk-TAP
Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
---|---|---|---|
resource-group | Verwenden eines geeigneten Ressourcengruppennamens speziell für Ihre Netzwerk-TAP-Ressource | ResourceGroupName | Richtig |
resource-name | Ressourcenname der Netzwerk-TAP-Ressource | NetworkTAP-Austin | Richtig |
location | Die während der NFC-Erstellung verwendete Azure-Region (AzON) | eastus | Richtig |
network-packet-broker-id | ARMID der Ressource für den Netzwerkpaketbroker | Richtig | |
polling-type | Abrufmethode für Netzwerk-TAP-Regeln (Push oder Pull) | Pull | Richtig |
destination | Zieldefinitionen | Richtig | |
destination/name | Name des Ziels | ||
destination/type | Typ „destination.IsolationDomain“ oder NNI | ||
destination/IsolationDomainProperties | Details der Isolationsdomäne. Kapselung, Nachbargruppen-IDs | ARM-ID (Azure Resource Manager) des internen Netzwerks oder NNI | False |
destinationTapRuleId | ARMID der TAP-Regel, die angewendet werden muss | Richtig |
Erstellen eines Netzwerk-TAP
Mit diesem Befehl wird eine Netzwerk-TAP-Ressource erstellt:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\