Delen via

IP-voorvoegsels maken en beheren

  • Artikel

In dit artikel worden de belangrijkste beheerbewerkingen voor IP-voorvoegsels en IP-voorvoegselregels in Azure Operator Nexus uitgelegd.

Bewerkingen voor IP-voorvoegsel

Een IP-voorvoegsel maken

Voer de volgende stappen uit om een IP-voorvoegselresource te maken:

  1. Geef de eigenschappen en regels van de IP-voorvoegselresource op. U kunt de volgende azcli-opdracht gebruiken als referentie: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    De eigenschappen en regels van de RESOURCE voor het IP-voorvoegsel zijn:

    • resource-group: De naam van de resourcegroep waarin u de IP-voorvoegselresource wilt maken. 

    • name: De naam van de IP-voorvoegselresource. 

    • location: De Azure-regio waar u de IP-voorvoegselresource wilt maken. 

    • ip-prefix-rules: De lijst met regels waarmee de criteria en actie voor het IP-voorvoegsel worden gedefinieerd. Elke regel heeft de volgende eigenschappen:

      • action: De actie die moet worden ondernomen wanneer aan de voorwaarde wordt voldaan. Het kan een of Permit Deny. Permit betekent dat de route wordt toegestaan en Deny dat de route moet worden geweigerd. 

      • condition: De voorwaarde om het netwerkvoorvoegsel van de route te vergelijken met het netwerkvoorvoegsel van de regel. Dit kan een van de volgende waarden zijn:

        • EqualTo: De voorwaarde is waar wanneer het netwerkvoorvoegsel van de route gelijk is aan het netwerkvoorvoegsel van de regel. 

        • NotEqualTo: De voorwaarde is waar wanneer het netwerkvoorvoegsel van de route niet gelijk is aan het netwerkvoorvoegsel van de regel. 

        • GreaterThanOrEqualTo: De voorwaarde is waar wanneer het netwerkvoorvoegsel van de route groter is dan of gelijk is aan het netwerkvoorvoegsel van de regel.

      • networkPrefix: Het netwerksegment dat moet worden vergeleken. Het is een IP-adres en een voorvoegsellengte, zoals 10.10.10.0/28 of 2001:db8::/64. Voor IPv4 moet de lengte van het voorvoegsel 1-32 zijn. Voor IPv6 moet de lengte van het voorvoegsel 1-128 zijn.

      • sequenceNumber: De evaluatievolgorde van de regel, van laag naar hoog. De regel met het laagste volgnummer wordt eerst geĆ«valueerd en de regel met het hoogste volgnummer wordt als laatste geĆ«valueerd. Als een regel overeenkomt met de route, stopt de evaluatie en wordt de actie van de regel uitgevoerd. Als er geen regel overeenkomt met de route, is de standaardactie Weigeren. 

  2. Maak de IP-voorvoegselresource met behulp van de azcli-opdracht. U kunt dezelfde opdracht gebruiken als in de vorige stap of wijzigen volgens uw vereisten.

  3. Controleer of de RESOURCE voor het IP-voorvoegsel is gemaakt. U kunt de az networkfabric ipprefix show opdracht gebruiken om de details van de IP-voorvoegselresource weer te geven. U kunt het volgende voorbeeld als referentie gebruiken: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

In dit voorbeeld myResourceGroup is dit de naam van de resourcegroep waarin u de IP-voorvoegselresource hebt gemaakt en myIpPrefix de naam van de IP-voorvoegselresource is. 

Het antwoord moet de eigenschappen en regels van de IP-voorvoegselresource bevatten, zoals de id, het type, ipPrefixRules, locatie, naam, provisioningState, resourceGroup en tags. 

Een IP-voorvoegselresource weergeven

Gebruik de volgende opdracht om de details van een bestaande IP-voorvoegselresource op basis van de id of naam op te halen: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

De hoofdtekst van de REST API-antwoord is als volgt: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Een IP-voorvoegselresource bijwerken

Voer de volgende stappen uit om een IP-voorvoegselresource bij te werken:

  1. Geef de eigenschappen en regels op van de IP-voorvoegselresource die u wilt bijwerken. U kunt dezelfde JSON-sjabloon gebruiken als in de vorige sectie of wijzigen volgens uw vereisten. 

  2. Werk de IP-voorvoegselresource bij met behulp van de Azure CLI-opdracht of de REST API-methode. U kunt de volgende voorbeelden gebruiken als referentie: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

In dit voorbeeld resourceGroupName is dit de naam van de resourcegroep waarin u de IP-voorvoegselresource hebt gemaakt, ipPrefixName de naam van de IP-voorvoegselresource en wordt met de --add optie een nieuwe regel toegevoegd aan de eigenschap ipPrefixRules. De nieuwe regel weigert routes met netwerkvoorvoegsel 30.30.30.0/24 en heeft een volgnummer van 30. 

Een IP-voorvoegselresource verwijderen

Als u een bestaande IP-voorvoegselresource wilt verwijderen op basis van de id of naam, gebruikt u de volgende opdracht: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

De REST API-aanvraagbody voor het verwijderen van een IP-voorvoegselresource met de id is als volgt: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Voorbeeld van IP-voorvoegselbronnen

ipprefixv4-externalnetwork1-export

Deze resource wordt gebruikt voor het beheren van netwerkverkeersregels voor een specifiek extern netwerk in een resourcegroep. Het bevat regels die verkeer naar de netwerkvoorvoegsels 20.20.20.0/24 en 50.50.50.0/24 toestaan, maar verkeer naar het netwerkvoorvoegsel 10.10.10.0/28 weigeren. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Deze resource weigert verkeer naar het netwerkvoorvoegsel 10.10.10.0/28 en staat verkeer toe naar de netwerkvoorvoegsels 20.20.20.0/24 en 50.50.50.0/24.

ipprefixv4-1204-cn1

Deze resource wordt gebruikt voor het beheren van netwerkverkeersregels voor een specifiek netwerk in een resourcegroep. Het bevat regels die verkeer naar de netwerkvoorvoegsels 10.10.10.0/28 en 20.20.20.0/24 toestaan. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Deze resource staat verkeer toe naar de netwerkvoorvoegsels 10.10.0/28 en 20.20.20.0/24.

ipprefix-v6-inkomend verkeer

Deze resource bevindt zich in de eastus regio en maakt deel uit van een resourcegroep. Deze is geconfigureerd, maar is momenteel uitgeschakeld. De resource is van het type microsoft.managednetworkfabric/ipprefixes.

De resource heeft twee IP-voorvoegselregels:

  1. Hiermee staat u verkeer toe van netwerkvoorvoegsels die groter zijn dan of gelijk zijn aan fda0:d59c:db12::/59 met een subnetmaskerlengte van 59. 

  2. Hiermee staat u verkeer toe van netwerkvoorvoegsels die groter zijn dan of gelijk zijn aan fc00:f853:ccd:e793::/64 met een subnetmaskerlengte van 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Deze resource is geconfigureerd om IPv6-verkeer vanaf de opgegeven netwerkvoorvoegsels toe te staan.