Condividi tramite

Come creare e gestire prefissi IP

  • Articolo

Questo articolo illustra le principali operazioni di gestione per i prefissi IP e le regole di prefisso IP in Nexus dell'operatore di Azure.

Operazioni di prefisso IP

Creare un prefisso IP

Per creare una risorsa prefisso IP, seguire questa procedura:

  1. Specificare le proprietà e le regole della risorsa prefisso IP. È possibile usare il comando azcli seguente come riferimento: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    Le proprietà e le regole della risorsa prefisso IP sono:

    • resource-group: nome del gruppo di risorse in cui si vuole creare la risorsa prefisso IP. 

    • name: nome della risorsa prefisso IP. 

    • location: area di Azure in cui si vuole creare la risorsa prefisso IP. 

    • ip-prefix-rules: elenco di regole che definiscono i criteri di corrispondenza e l'azione per la risorsa prefisso IP. Ogni regola ha le proprietà seguenti:

      • action: azione da eseguire quando viene soddisfatta la condizione. Può essere Permit o Deny. Permit significa consentire il percorso e Deny significa rifiutare il percorso. 

      • condition: condizione per confrontare il prefisso di rete della route con il prefisso di rete della regola. Può essere uno dei valori seguenti:

        • EqualTo: la condizione è true quando il prefisso di rete della route è uguale al prefisso di rete della regola. 

        • NotEqualTo: la condizione è true quando il prefisso di rete della route non è uguale al prefisso di rete della regola. 

        • GreaterThanOrEqualTo: la condizione è true quando il prefisso di rete della route è maggiore o uguale al prefisso di rete della regola.

      • networkPrefix: segmento di rete di cui trovare la corrispondenza. Si tratta di un indirizzo IP e di una lunghezza del prefisso, ad esempio 10.10.10.0/28 o 2001:db8::/64. Per IPv4, la lunghezza del prefisso deve essere 1-32. Per IPv6, la lunghezza del prefisso deve essere 1-128.

      • sequenceNumber: ordine di valutazione della regola, dal più basso al più alto. La regola con il numero di sequenza più basso viene valutata per prima e la regola con il numero di sequenza più alto viene valutata per ultima. Se una regola corrisponde alla route, la valutazione si arresta e viene eseguita l'azione della regola. Se nessuna regola corrisponde alla route, l'azione predefinita è Nega. 

  2. Creare la risorsa prefisso IP usando il comando azcli. È possibile usare lo stesso comando del passaggio precedente o modificarlo in base alle esigenze.

  3. Verificare che la risorsa prefisso IP sia stata creata correttamente. È possibile usare il az networkfabric ipprefix show comando per visualizzare i dettagli della risorsa prefisso IP. È possibile usare l'esempio seguente come riferimento: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

In questo esempio, myResourceGroup è il nome del gruppo di risorse in cui è stata creata la risorsa prefisso IP e myIpPrefix è il nome della risorsa prefisso IP. 

La risposta deve contenere le proprietà e le regole della risorsa prefisso IP, ad esempio ID, tipo, ipPrefixRules, location, name, provisioningState, resourceGroup e tag. 

Visualizzare una risorsa prefisso IP

Per ottenere i dettagli di una risorsa prefisso IP esistente in base al relativo ID o nome, usare il comando seguente: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Il corpo della risposta dell'API REST è il seguente: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Aggiornamento di una risorsa prefisso IP

Per aggiornare una risorsa prefisso IP, seguire questa procedura:

  1. Specificare le proprietà e le regole della risorsa prefisso IP da aggiornare. È possibile usare lo stesso modello JSON della sezione precedente o modificarlo in base alle esigenze. 

  2. Aggiornare la risorsa prefisso IP usando il comando dell'interfaccia della riga di comando di Azure o il metodo DELL'API REST. È possibile usare gli esempi seguenti come riferimento: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

In questo esempio, resourceGroupName è il nome del gruppo di risorse in cui è stata creata la risorsa prefisso IP, ipPrefixName è il nome della risorsa prefisso IP e l'opzione --add aggiunge una nuova regola alla proprietà ipPrefixRules. La nuova regola nega le route con prefisso di rete 30.30.30.0/24 e ha un numero di sequenza pari a 30. 

Eliminazione di una risorsa prefisso IP

Per eliminare una risorsa prefisso IP esistente in base al relativo ID o nome, usare il comando seguente: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Il corpo della richiesta dell'API REST per l'eliminazione di una risorsa prefisso IP in base al relativo ID è il seguente: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Risorse di prefisso IP di esempio

ipprefixv4-externalnetwork1-export

Questa risorsa viene usata per gestire le regole del traffico di rete per una rete esterna specifica in un gruppo di risorse. Contiene regole che consentono il traffico verso i prefissi di rete 20.20.20.0/24 e 50.50.50.0/24, ma negano il traffico verso il prefisso di rete 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Questa risorsa nega il traffico verso il prefisso di rete 10.10.10.0/28 e consente il traffico verso i prefissi di rete 20.20.20.0/24 e 50.50.50.0/24.

ipprefixv4-1204-cn1

Questa risorsa viene usata per gestire le regole del traffico di rete per una rete specifica in un gruppo di risorse. Contiene regole che consentono il traffico ai prefissi di rete 10.10.10.0/28 e 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Questa risorsa consente il traffico verso i prefissi di rete 10.10.0/28 e 20.20.20.0/24.

ipprefix-v6-ingress

Questa risorsa si trova nell'area eastus e fa parte di un gruppo di risorse. È configurato, ma attualmente disabilitato. La risorsa è di tipo microsoft.managednetworkfabric/ipprefixes.

La risorsa ha due regole di prefisso IP:

  1. Consente il traffico dai prefissi di rete maggiori o uguali a fda0:d59c:db12::/59 con una lunghezza della subnet mask pari a 59. 

  2. Consente il traffico dai prefissi di rete maggiori o uguali a fc00:f853:ccd:e793::/64 con una lunghezza della subnet mask pari a 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Questa risorsa è configurata per consentire il traffico IPv6 dai prefissi di rete specificati.