Répartiteur de paquet réseau
Le répartiteur de paquets réseau d’Azure Operator Nexus est une offre spécialisée de Microsoft Azure adaptée aux fournisseurs de services de télécommunication. Avec le répartiteur de paquets réseau d’Azure Operator Nexus, les opérateurs de télécommunications peuvent capturer, agréger, filtrer et surveiller efficacement le trafic sur leur infrastructure (AON), ce qui permet une inspection approfondie des paquets, l’analyse du trafic et une surveillance réseau améliorée. Cela est particulièrement crucial dans l’industrie des télécommunications, où le maintien d’un service de haute qualité, la garantie de la sécurité et la conformité aux exigences réglementaires sont primordiales. En tirant parti de cette solution, les opérateurs peuvent obtenir une meilleure visibilité sur leur trafic réseau, résoudre les problèmes de manière plus efficace et fournir des services améliorés à leurs clients tout en conservant les normes de sécurité et de performances réseau les plus élevées.
Le NPB a été conçu et modélisé en tant que ressource Azure Resource Manager (ARM) de niveau supérieur distincte sous Microsoft.managednetworkfabric. Les opérateurs peuvent créer, lire, mettre à jour et supprimer un tap réseau, une règle TAP réseau et des fonctions de groupe voisin. Chaque répartiteur de paquets réseau aura plusieurs ressources telles que le TAP réseau, le groupe voisin et les règles TAP réseau pour gérer, filtrer et transférer le trafic désigné.
Étapes d’activation du répartiteur de paquets réseau
Conditions préalables
- Les appareils NPB sont correctement rackés, empilés et approvisionnés. Pour connaître la procédure d’approvisionnement de l’infrastructure réseau, consultez Network Fabric Provisioning.
- Les vProbes respectifs doivent être configurés avec des adresses IP dédiées
- Pour les vProbes internes, les domaines d’isolation de couche 3 avec des réseaux internes doivent être créés. Les sous-réseaux connectés requis doivent être configurés, en plus de celui-ci, l’indicateur d’extension doit être défini sur NPB (dans les réseaux internes). Pour savoir comment créer des réseaux internes et externes sur un domaine d’isolation et définir un indicateur d’extension pour NPB, consultez Domaines d’isolation.
- Pour le cas d’usage réseau à connexion réseau (NNI), NNI doit être créé en tant que type
NPB. Les propriétés de couche 2 et de couche 3 appropriées doivent être définies lors de la création de NNI. Pour connaître la procédure de création du réseau à l’interconnexion réseau (NNI), consultez Network Fabric Provisioning.
Étapes
- Créer une règle TAP réseau fournissant la configuration de correspondance (seule la méthode d’entrée inline est prise en charge)
- Créez une ressource de groupe voisin définissant des destinations.
- Créez une ressource TAP réseau référençant les règles d’appui et les groupes voisins.
- Activez la ressource TAP réseau.
CNLC
Cette ressource est créée automatiquement par NNF pendant le démarrage.
Afficher NPB
Cette commande affiche les détails de la ressource logique NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Résultat attendu
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Règles TAP réseau
La ressource NetworkTapRule offre la possibilité de fournir des combinaisons de filtrage et de transfert de conditions et d’actions.
Paramètres des règles TAP réseau
| Paramètre | Description | Exemple | Requis |
|---|---|---|---|
| resource-group | Utilisez un nom de groupe de ressources approprié spécifiquement pour votre NetworkTapRule | ResourceGroupName | True |
| nom de ressource | Nom de la ressource de l’appui réseau | InternetTAPrule1 | True |
| location | Région Azure AzON utilisée lors de la création NFC | eastus | True |
| type de configuration | Méthode d’entrée pour configurer la règle d’appui réseau. | Inline ou File | True |
| correspondance-configurations | Liste des configurations de correspondance. | ||
| match-configurations/matchconfigurationName | Nom du bloc de configuration Match | ||
| match-configurations/sequenceNumber | Numéro de séquence de la configuration match | ||
| match-configurations/ipAddressType | Famille d’adresses IP | ||
| match-configurations/matchconditions | Liste des conditions de correspondance dynamique basées sur les conditions port, protocole, Vlan &Ip. | ||
| match-configurations/action | Fournissez les détails de l’action. Les actions peuvent être drop, Count, Log,Goto,Redirect,Mirror | ||
| dynamic-match-configurations | Liste des configurations de correspondance dynamique basée sur le port, le réseau virtuel et l’adresse IP |
Remarque
Les règles d’appui réseau et les groupes voisins doivent être créés avant de les réinscrire dans Network Tap
Créer une règle d’appui réseau
Cette commande crée une règle Network Tap :
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Sortie attendue :
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Afficher la règle d’appui réseau
Cette commande affiche une ressource de communauté IP :
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Sortie attendue :
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Groupe voisin
La ressource groupe voisin a la possibilité de regrouper les destinations pour transférer le trafic filtré
Paramètres du groupe voisin
| Paramètre | Description | Exemple | Requis |
|---|---|---|---|
| resource-group | Utiliser un nom de groupe de ressources approprié spécifiquement pour votre voisinGroup | ResourceGroupName | True |
| nom de ressource | Nom de la ressource du groupe voisin | example-Neighbor | True |
| location | Région Azure AzON utilisée lors de la création NFC | eastus | True |
| destination | Liste des destinations Ipv4 ou Ipv6 pour transférer le trafic | 10.10.10.10 | True |
Créer un groupe voisin
Cette commande crée une ressource de groupe voisin :
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Sortie attendue :
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Afficher la ressource de groupe Voisin
Cette commande affiche une ressource de communauté étendue IP :
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Sortie attendue :
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Point d’accès terminal réseau
Network TAP permet aux opérateurs de définir des destinations et un mécanisme d’encapsulation pour transférer le trafic filtré en fonction des règles TAP réseau
Paramètres du TAP réseau
| Paramètre | Description | Exemple | Requis |
|---|---|---|---|
| resource-group | Utiliser un nom de groupe de ressources approprié spécifiquement pour votre appui réseau | ResourceGroupName | True |
| nom de ressource | Nom de la ressource de l’appui réseau | NetworkTAP-Austin | True |
| location | Région Azure AzON utilisée lors de la création NFC | eastus | True |
| network-packet-broker-id | ARMID de la ressource Network Packet Broker | True | |
| type d’interrogation | Méthode d’interrogation pour les règles d’appui réseau (Push ou Pull) | Extraction | True |
| destination | Définitions de destination | True | |
| destination/nom | nom de destination | ||
| destination/type | type de destination. IsolationDomain ou NNI | ||
| destination/IsolationDomainProperties | Détails du domaine d’isolation. Encapsulation, ID de groupe voisin | ID Azure Resource Manager (ARM) du réseau interne ou NNI | False |
| destinationTapRuleId | ARMID de la règle d’appui, qui doit être appliqué | True |
Créer un TAP réseau
Cette commande crée une ressource network Tap :
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\