Gestore pacchetti di rete
Network Packet Broker di Azure Operator Nexus è un'offerta specializzata di Microsoft Azure personalizzata per i provider di servizi di telecomunicazione. Con Network Packet Broker di Azure Operator Nexus, gli operatori di telecomunicazioni possono acquisire, aggregare, filtrare e monitorare il traffico attraverso l'infrastruttura (AON), consentendo l'ispezione approfondita dei pacchetti, l'analisi del traffico e il monitoraggio avanzato della rete. Ciò è particolarmente cruciale nel settore delle telecomunicazioni, in cui mantenere un servizio di alta qualità, garantire la sicurezza e rispettare i requisiti normativi sono fondamentali. Sfruttando questa soluzione, gli operatori possono ottenere una migliore visibilità sul traffico di rete, risolvere i problemi in modo più efficace e infine offrire servizi migliorati ai clienti mantenendo al tempo stesso gli standard più elevati di sicurezza e prestazioni di rete.
Il server dei criteri di rete è stato progettato e modellato come risorsa di Azure Resource Manager (ARM) di primo livello separata in Microsoft.managednetworkfabric. Gli operatori possono creare, leggere, aggiornare ed eliminare tap di rete, regole tap di rete e funzioni di gruppo adiacente. Ogni broker di pacchetti di rete avrà più risorse come Network TAP, Neighbor Group e Network TAP Rules per gestire, filtrare e inoltrare il traffico designato.
Passaggi per abilitare Network Packet Broker
Prerequisiti
- I dispositivi NPB sono correttamente in rack, in pila e di cui è stato effettuato il provisioning. Per procedura su come effettuare il provisioning dell'infrastruttura di rete, vedere Provisioning di Network Fabric.
- Le rispettive vProbes devono essere configurate con indirizzi IP dedicati
- Per le vProbes interne, è necessario creare domini di isolamento di livello 3 con reti interne. Le subnet connesse necessarie devono essere configurate, oltre a esse, il flag di estensione deve essere impostato su NPB (nelle reti interne). Per procedura su come creare reti interne ed esterne in un dominio di isolamento e impostare il flag di estensione per NPB, vedere Domini di isolamento.
- Per il caso d'uso Network to Network Inter-connect (NNI), NNI deve essere creato come tipo
NPB. Le proprietà di livello 2 e 3 appropriate devono essere definite durante la creazione di NNI. Per procedura su come creare la rete per l'interconnessione di rete (NNI), vedere Provisioning di Network Fabric.
Passaggi
- Creare una regola Network TAP che fornisca la configurazione della corrispondenza (è supportato solo il metodo di input inline)
- Creare una risorsa gruppo adiacente che definisce le destinazioni.
- Creare una risorsa Tap di rete che fa riferimento alle regole di tocco e ai gruppi adiacenti.
- Abilitare la risorsa Tap di rete.
NPB
Questa risorsa verrà creata automaticamente da NNF durante il bootstrap.
Mostra server dei criteri di rete
Questo comando mostra i dettagli della risorsa logica NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Output previsto
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Regole TAP di rete
La risorsa NetworkTapRule offre la possibilità di fornire combinazioni di filtro e inoltro di condizioni e azioni.
Parametri per le regole TAP di rete
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome di gruppo di risorse appropriato in modo specifico per NetworkTapRule | ResourceGroupName | Vero |
| resource-name | Nome risorsa del tocco di rete | InternetTAPrule1 | Vero |
| posizione | AzON Azure Region usato durante la creazione NFC | eastus | Vero |
| tipo di configurazione | Metodo di input per configurare la regola di tocco di rete. | Inline o File | Vero |
| configurazioni di corrispondenza | Elenco delle configurazioni di corrispondenza. | ||
| match-configurations/matchconfigurationName | Nome del blocco di configurazione Match | ||
| match-configurations/sequenceNumber | Numero di sequenza della configurazione match | ||
| match-configurations/ipAddressType | Famiglia di indirizzi IP | ||
| match-configurations/matchconditions | Elenco di condizioni di corrispondenza dinamica basate su porte, protocollo, condizioni Vlan & Ip. | ||
| match-configurations/action | Specificare i dettagli dell'azione. Le azioni possono essere Drop, Count, Log, Goto, Redirect,Mirror | ||
| configurazioni dynamic-match-configurations | Elenco di configurazioni di corrispondenza dinamica basate su Porta, Vlan & IP |
Nota
Le regole di tocco di rete e i gruppi vicini devono essere creati prima di rifarli nel tocco di rete
Creare una regola di tocco di rete
Questo comando crea una regola di tocco di rete:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Output previsto:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Mostra regola di tocco di rete
Questo comando visualizza una risorsa della community IP:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Output previsto:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Gruppo adiacente
La risorsa gruppo adiacente ha la possibilità di raggruppare le destinazioni per l'inoltro del traffico filtrato
Parametri per il gruppo Neighbor
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome di gruppo di risorse appropriato in modo specifico per NeighborGroup | ResourceGroupName | Vero |
| resource-name | Nome risorsa di NeighborGroup | example-Neighbor | Vero |
| posizione | AzON Azure Region usato durante la creazione NFC | eastus | Vero |
| destination | Elenco di destinazioni Ipv4 o Ipv6 per inoltrare il traffico | 10.10.10.10 | Vero |
Creare un gruppo Neighbor
Questo comando crea una risorsa Gruppo adiacente:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Output previsto:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Mostra risorsa gruppo adiacente
Questo comando visualizza una risorsa community estesa IP:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Output previsto:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Tap di rete
Network TAP consente agli operatori di definire le destinazioni e il meccanismo di incapsulamento per inoltrare il traffico filtrato in base alle regole tap di rete
Parametri per Network TAP
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome appropriato per il gruppo di risorse specifico per il tocco di rete | ResourceGroupName | Vero |
| resource-name | Nome risorsa del tocco di rete | NetworkTAP-Austin | Vero |
| posizione | AzON Azure Region usato durante la creazione NFC | eastus | Vero |
| network-packet-broker-id | ARMID della risorsa Broker pacchetti di rete | Vero | |
| tipo di polling | Metodo di polling per le regole di tocco di rete (push o pull) | Pull | Vero |
| destination | Definizioni di destinazione | Vero | |
| destination/name | nome della destinazione | ||
| destinazione/tipo | tipo di destinazione. IsolationDomain o NNI | ||
| destination/IsolationDomainProperties | Dettagli del dominio di isolamento. Incapsulamento, ID gruppo Neighbor | ID di Azure Resource Manager (ARM) di rete interna o NNI | Falso |
| destinationTapRuleId | ARMID della regola tap, che deve essere applicata | Vero |
Creare un tap di rete
Questo comando crea una risorsa tap di rete:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\