Network Packet Broker
Network Packet Broker van Azure Operator Nexus is een speciaal aanbod van Microsoft Azure dat is afgestemd op telecomserviceproviders. Met de Network Packet Broker van Azure Operator Nexus kunnen telecomoperators efficiënt verkeer vastleggen, aggregeren, filteren en bewaken in hun infrastructuur (AON), waardoor deep packet inspection, traffic analysis en enhanced network monitoring mogelijk zijn. Dit is met name van cruciaal belang in de telecommunicatiesector, waarbij het handhaven van hoogwaardige service, het waarborgen van de veiligheid en het voldoen aan wettelijke vereisten van cruciaal belang zijn. Door gebruik te maken van deze oplossing kunnen operators beter inzicht krijgen in hun netwerkverkeer, problemen effectiever oplossen en uiteindelijk verbeterde services aan hun klanten leveren terwijl ze de hoogste normen voor netwerkbeveiliging en -prestaties handhaven.
De NPB is ontworpen en gemodelleerd als een afzonderlijke Arm-resource (Azure Resource Manager) op het hoogste niveau onder Microsoft.managednetworkfabric. Operators kunnen de functies Network TAP, Network TAP en Neighbor Group maken, lezen, bijwerken en verwijderen. Elke netwerkpakketbroker heeft meerdere resources, zoals Network TAP, Neighbor Group, & Network TAP Rules voor het beheren, filteren en doorsturen van aangewezen verkeer.
Stappen voor het inschakelen van Network Packet Broker
Vereisten
- NPB-apparaten zijn correct gestapeld, gestapeld en ingericht. Zie Network Fabric Provisioning voor procedure over het inrichten van de netwerkinfrastructuur.
- Respectieve vProbes moet worden ingesteld met toegewezen IP-adressen
- Voor interne vProbes moeten laag 3-isolatiedomeinen met interne netwerken worden gemaakt. Vereiste verbonden subnetten moeten worden geconfigureerd, naast deze, de extensievlag moet worden ingesteld op NPB (in interne netwerken). Zie Isolatiedomeinen voor meer informatie over het maken van interne en externe netwerken in een isolatiedomein en het instellen van de extensievlag voor NPB.
- Voor de NNI-use-case (Network to Network Inter-Connect) moet NNI worden gemaakt als type
NPB. De juiste laag 2- en laag 3-eigenschappen moeten worden gedefinieerd tijdens het maken van NNI. Zie Network Fabric Provisioning (Network Fabric Provisioning) voor procedure voor het maken van het netwerk naar netwerkconnectiviteit (NNI).
Stappen
- Een Netwerk TAP-regel maken die de overeenkomende configuratie biedt (alleen inline-invoermethode wordt ondersteund)
- Maak een Neighbor Group-resource voor het definiëren van bestemmingen.
- Maak een Netwerk TAP-resource die verwijst naar de tikregels en buurgroepen.
- Schakel de Network TAP-resource in.
NPB
Deze resource wordt automatisch gemaakt door NNF tijdens bootstrap.
NPB weergeven
Met deze opdracht worden de details van logische NPB-resource weergegeven.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Verwachte uitvoer
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Regels voor netwerkTIK
NetworkTapRule-resource biedt de mogelijkheid om combinaties van voorwaarden en acties te filteren en door te sturen.
Parameters voor netwerkTIK-regels
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een juiste resourcegroepnaam specifiek voor uw NetworkTapRule | ResourceGroupName | Waar |
| resourcenaam | Resourcenaam van de netwerktiktik | InternetTAPrule1 | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van NFC | eastus | Waar |
| configuratietype | Invoermethode voor het configureren van een regel voor netwerktik. | Inline of bestand | Waar |
| match-configurations | Lijst met overeenkomende configuraties. | ||
| match-configurations/matchconfigurationName | Naam van configuratieblok voor overeenkomst | ||
| match-configurations/sequenceNumber | Volgnummer van overeenkomstconfiguratie | ||
| match-configurations/ipAddressType | Ip-adresfamilie | ||
| match-configurations/matchconditions | Lijst met voorwaarden voor dynamische overeenkomst op basis van poort, protocol, Vlan & Ip-voorwaarden. | ||
| match-configurations/action | Geef actiedetails op. Acties kunnen vallen, tellen, logboek, goto, omleiding, spiegelen | ||
| dynamic-match-configurations | Lijst met dynamische overeenkomstconfiguraties op basis van poort, Vlan & IP |
Notitie
Regels voor netwerktik en aangrenzende groepen moeten worden gemaakt voordat ze worden verwed in Netwerktik
Regel voor netwerktik maken
Met deze opdracht maakt u een regel voor netwerktik:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Verwachte uitvoer:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Regel voor netwerktikken weergeven
Met deze opdracht wordt een IP-communityresource weergegeven:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Verwachte uitvoer:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Groep Buren
Neighbor Group-resource heeft de mogelijkheid om bestemmingen te groeperen voor het doorsturen van het gefilterde verkeer
Parameters voor buurgroep
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een geschikte resourcegroepnaam specifiek voor uw NeighborGroup | ResourceGroupName | Waar |
| resourcenaam | Resourcenaam van de NeighborGroup | example-Neighbor | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van NFC | eastus | Waar |
| destination | Lijst met Ipv4- of Ipv6-bestemmingen om verkeer door te sturen | 10.10.10.10 | Waar |
Groep Buren maken
Met deze opdracht maakt u een Neighbor Group-resource:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Verwachte uitvoer:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Resource voor buurgroep weergeven
Met deze opdracht wordt een uitgebreide IP-communityresource weergegeven:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Verwachte uitvoer:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
NetwerkTIK
Met Network TAP kunnen operators bestemmingen en inkapselingsmechanisme definiëren om gefilterd verkeer door te sturen op basis van de netwerk TAP-regels
Parameters voor Network TAP
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een geschikte resourcegroepnaam specifiek voor uw netwerktik | ResourceGroupName | Waar |
| resourcenaam | Resourcenaam van de netwerktiktik | NetworkTAP-Austin | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van NFC | eastus | Waar |
| network-packet-broker-id | ARMID van Network Packet Broker-resource | Waar | |
| polling-type | Polling-methode voor regels voor netwerktik (push of pull) | Pull | Waar |
| destination | Doeldefinities | Waar | |
| doel/naam | naam van bestemming | ||
| bestemming/type | type bestemming. IsolationDomain of NNI | ||
| destination/IsolationDomainProperties | Details van isolatiedomein. Inkapseling, groeps-id's van buren | Arm-id (Azure Resource Manager) van intern netwerk of NNI | Onwaar |
| destinationTapRuleId | ARMID van de tikregel, die moet worden toegepast | Waar |
NetwerkTIK maken
Met deze opdracht maakt u een netwerktikbron:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\