Creación y administración de prefijos IP
En este artículo se explican las principales operaciones de administración para los prefijos IP y las reglas de prefijo de IP en el operador de Azure Nexus.
Operaciones de prefijo de IP
Creación de un prefijo IP
Para crear un recurso de prefijo IP, siga estos pasos:
Especifique las propiedades y reglas del recurso de prefijo IP. Puede usar el siguiente comando azcli como referencia:
az networkfabric ipprefix create--resource-group myResourceGroup \ --name myIpPrefix \ --location eastus \ --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \ --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20
Las propiedades y reglas del recurso de prefijo IP son:
resource-group
: el nombre del grupo de recursos donde desea crear el recurso de prefijo IP.name
: el nombre del recurso de prefijo IP.location
: la región de Azure donde desea crear el recurso de prefijo IP.ip-prefix-rules
: la lista de reglas que definen los criterios de coincidencia y la acción para el recurso de prefijo IP. Cada regla tiene las siguientes propiedades:action
: la acción que se debe realizar cuando se cumple la condición. Puede serPermit
oDeny
.Permit
significa permitir la ruta yDeny
significa rechazar la ruta.condition
: condición para comparar el prefijo de red de la ruta con el prefijo de red de la regla. Puede ser uno de los siguientes valores:EqualTo
: la condición es true cuando el prefijo de red de la ruta es igual al prefijo de red de la regla.NotEqualTo
: la condición es true cuando el prefijo de red de la ruta no es igual al prefijo de red de la regla.GreaterThanOrEqualTo
: la condición es verdadera cuando el prefijo de red de la ruta es mayor o igual que el prefijo de red de la regla.
networkPrefix
: el segmento de red que se va a coincidir. Es una dirección IP y una longitud de prefijo, como 10.10.10.0/28 o 2001:db8::/64. Para IPv4, la longitud del prefijo debe ser de 1 a 32. Para IPv6, la longitud del prefijo debe ser de 1 a 128.sequenceNumber
: el orden de evaluación de la regla, de menor a mayor. La regla con el número de secuencia más bajo se evalúa primero y la regla con el número de secuencia más alto se evalúa en último lugar. Si una regla coincide con la ruta, la evaluación se detiene y se ejecuta la acción de la regla. Si ninguna regla coincide con la ruta, la acción predeterminada es Denegar.
Cree el recurso de prefijo IP mediante el comando azcli. Puede usar el mismo comando que en el paso anterior o modificarlo según sus requisitos.
Compruebe que el recurso de prefijo IP se ha creado correctamente. Puede usar el comando
az networkfabric ipprefix show
para mostrar los detalles del recurso de prefijo IP. Puede usar el ejemplo siguiente como referencia:az networkfabric ipprefix show \ --resource-group myResourceGroup \ --name myIpPrefix
En este ejemplo, myResourceGroup
es el nombre del grupo de recursos donde creó el recurso de prefijo IP y myIpPrefix
es el nombre del recurso de prefijo IP.
La respuesta debe contener las propiedades y reglas del recurso de prefijo IP, como el identificador, el tipo, ipPrefixRules, la ubicación, el nombre, provisioningState, resourceGroup y las etiquetas.
Mostrar un recurso de prefijo IP
Para obtener los detalles de un recurso de prefijo IP existente por su identificador o nombre, use el siguiente comando:
# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
--resource-group myResourceGroup \
--name myIpPrefix
El cuerpo de la respuesta de la API de REST es el siguiente:
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
"location": "eastus",
"name": "myIpPrefix",
"properties": {
"ipPrefixRules": [
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 20
}
]
}
}
Actualización de un recurso de prefijo IP
Para actualizar un recurso de prefijo IP, siga estos pasos:
Especifique las propiedades y reglas del recurso de prefijo IP que desea actualizar. Puede usar la misma plantilla JSON que en la sección anterior o modificarla según sus requisitos.
Actualice el recurso de prefijo IP mediante el comando de la CLI de Azure o el método de la API de REST. Puede usar los ejemplos siguientes como referencia:
az networkfabric ipprefix update \ -g "example-rg" \ --resource-name "example-ipprefix" \ --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"
En este ejemplo, resourceGroupName
es el nombre del grupo de recursos donde creó el recurso de prefijo IP, ipPrefixName
es el nombre del recurso de prefijo IP y la opción --add
agrega una nueva regla a la propiedad ipPrefixRules. La nueva regla deniega las rutas con el prefijo de red 30.30.30.0/24 y tiene un número de secuencia de 30.
Eliminación de un recurso de prefijo IP
Para eliminar un recurso de prefijo IP existente por su identificador o nombre, use el siguiente comando:
# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
--resource-group myResourceGroup \
--name myIpPrefix
El cuerpo de la solicitud de la API de REST para eliminar un recurso de prefijo IP por su identificador es el siguiente:
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}
Recursos de prefijo IP de ejemplo
ipprefixv4-externalnetwork1-export
Este recurso se usa para administrar reglas de tráfico de red para una red externa específica en un grupo de recursos. Contiene reglas que permiten el tráfico a los prefijos de red 20.20.20.0/24 y 50.50.50.0/24, pero deniegan el tráfico al prefijo de red 10.10.10.0/28.
{
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
"ipPrefixRules": [
{
"action": "Deny",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 12
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "50.50.50.0/24",
"sequenceNumber": 13
}
],
"location": "eastus",
"name": "ipprefixv4-externalnetwork1-export",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
Este recurso deniega el tráfico al prefijo de red 10.10.10.0/28 y permite el tráfico a los prefijos de red 20.20.20.0/24 y 50.50.50.0/24.
ipprefixv4-1204-cn1
Este recurso se usa para administrar reglas de tráfico de red para una red específica de un grupo de recursos. Contiene reglas que permiten el tráfico a los prefijos de red 10.10.10.0/28 y 20.20.20.0/24.
{
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
"ipPrefixRules": [
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 12
}
],
"location": "eastus",
"name": "ipprefixv4-1204-cn1",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
Este recurso permite el tráfico a los prefijos de red 10.10.10.0/28 y 20.20.20.0/24.
ipprefix-v6-ingress
Este recurso se encuentra en la región de eastus
y forma parte de un grupo de recursos. Está configurado, pero actualmente deshabilitado. El recurso es de tipo microsoft.managednetworkfabric/ipprefixes
.
El recurso tiene dos reglas de prefijo IP:
Permite el tráfico de prefijos de red mayores o iguales que fda0:d59c:db12::/59 con una longitud de máscara de subred de 59.
Permite el tráfico de prefijos de red mayores o iguales que fc00:f853:ccd:e793::/64 con una longitud de máscara de subred de 64.
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
"ipPrefixRules": [
{
"action": "Permit",
"condition": "GreaterThanOrEqualTo",
"networkPrefix": "fda0:d59c:db12::/59",
"sequenceNumber": 10,
"subnetMaskLength": "59"
},
{
"action": "Permit",
"condition": "GreaterThanOrEqualTo",
"networkPrefix": "fc00:f853:ccd:e793::/64",
"sequenceNumber": 20,
"subnetMaskLength": "64"
}
],
"location": "eastus",
"name": "ipprefix-v6-ingress",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
Este recurso está configurado para permitir el tráfico IPv6 desde los prefijos de red especificados.