Network Packet Broker
Network Packet Broker van Azure Operator Nexus is een speciaal aanbod van Microsoft Azure dat is afgestemd op telecomserviceproviders. Met de Network Packet Broker van Azure Operator Nexus kunnen telecomoperators efficiënt verkeer vastleggen, aggregeren, filteren en bewaken in hun infrastructuur (AON), waardoor deep packet inspection, traffic analysis en enhanced network monitoring mogelijk zijn. Dit is van cruciaal belang in de telecommunicatiesector, waarbij het handhaven van hoogwaardige service, het waarborgen van beveiliging en het voldoen aan wettelijke vereisten van cruciaal belang zijn. Door deze oplossing toe te passen, kunnen operators beter inzicht krijgen in hun netwerkverkeer, problemen effectiever oplossen en uiteindelijk verbeterde services leveren aan hun klanten, terwijl de hoogste normen voor netwerkbeveiliging en prestaties worden gehandhaafd.
De NETWORK Packet Broker (NPB) is ontworpen en gemodelleerd als een afzonderlijke ARM-resource (Azure Resource Manager) op het hoogste niveau onder Microsoft.managednetworkfabric. Operators kunnen de functies Network TAP, Network TAP en Neighbor Group maken, lezen, bijwerken en verwijderen. Elke netwerkpakketbroker heeft meerdere resources, zoals Network TAP, Neighbor Group, & Network TAP Rules voor het beheren, filteren en doorsturen van aangewezen verkeer.
Stappen voor het inschakelen van Network Packet Broker
Vereisten
- NPB-apparaten zijn correct gestapeld, gestapeld en ingericht. Zie Network Fabric Provisioning voor procedure over het inrichten van de netwerkinfrastructuur.
- Respectieve vProbes moet worden ingesteld met toegewezen IP-adressen
- Voor interne vProbes moeten laag 3-isolatiedomeinen met interne netwerken worden gemaakt. Vereiste verbonden subnetten moeten worden geconfigureerd, bovendien moet de extensievlag worden ingesteld op NPB (in interne netwerken). Zie Isolatiedomeinen voor meer informatie over het maken van interne en externe netwerken in een isolatiedomein en het instellen van de extensievlag voor NPB.
- Voor de NNI-use-case (Network to Network Inter-Connect) moet NNI worden gemaakt als type
NPB. De juiste laag 2- en laag 3-eigenschappen moeten worden gedefinieerd tijdens het maken van NNI. Zie Network Fabric Provisioning (Network Fabric Provisioning) voor procedure voor het maken van het netwerk naar netwerkconnectiviteit (NNI).
Stappen
- Een Netwerk TAP-regel maken die de overeenkomende configuratie biedt (alleen inline-invoermethode wordt ondersteund)
- Maak een Neighbor Group-resource voor het definiëren van bestemmingen.
- Maak een Netwerk TAP-resource die verwijst naar de tikregels en buurgroepen.
- Schakel de Network TAP-resource in.
NPB
NNF maakt deze resource automatisch tijdens bootstrap..
NPB weergeven
Met deze opdracht worden de details van logische NPB-resource weergegeven.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Verwachte uitvoer
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Regels voor netwerkTIK
NetworkTapRule-resource biedt de mogelijkheid om combinaties van voorwaarden en acties te filteren en door te sturen.
Parameters voor netwerkTIK-regels
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een juiste resourcegroepnaam specifiek voor uw NetworkTapRule | ResourceGroupName | Waar |
| resourcenaam | Resourcenamen van de netwerktiktik | InternetTAPrule1 | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van Network Fabric Controller (NFC) | eastus | Waar |
| configuratietype | Invoermethoden voor het configureren van regel voor netwerktik. | Inline of bestand | Waar |
| match-configurations | Lijst met overeenkomende configuraties. | ||
| match-configurations/matchconfigurationName | Naam van configuratieblok voor overeenkomst | ||
| match-configurations/sequenceNumber | Volgnummer van overeenkomstconfiguratie | ||
| match-configurations/ipAddressType | Ip-adresfamilie | ||
| match-configurations/matchconditions | Lijst met voorwaarden voor dynamische overeenkomsten op basis van poort, protocol, VLAN & IP-voorwaarden. | ||
| match-configurations/action | Geef actiedetails op. Acties kunnen vallen, tellen, logboek, goto, omleiding, spiegelen | ||
| dynamic-match-configurations | Lijst met dynamische overeenkomstconfiguraties op basis van poort, VLAN & IP |
Notitie
Regels voor netwerktik en aangrenzende groepen moeten worden gemaakt voordat u ernaar verwijst in Netwerktik
Regel voor netwerktik maken
Met deze opdracht maakt u een regel voor netwerktik:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Verwachte uitvoer:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Regel voor netwerktikken weergeven
Met deze opdracht wordt een IP-communityresource weergegeven:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Verwachte uitvoer:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Groep Buren
Neighbor Group-resource heeft de mogelijkheid om bestemmingen te groeperen voor het doorsturen van het gefilterde verkeer
Parameters voor buurgroep
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een geschikte resourcegroepnaam specifiek voor uw NeighborGroup | ResourceGroupName | Waar |
| resourcenaam | Resourcenamen van de NeighborGroup | example-Neighbor | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van NFC | eastus | Waar |
| destination | Lijst met Ipv4- of Ipv6-bestemmingen om verkeer door te sturen | 10.10.10.10 | Waar |
Groep Buren maken
Met deze opdracht maakt u een Neighbor Group-resource:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Verwachte uitvoer:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Resource voor buurgroep weergeven
Met deze opdracht wordt een uitgebreide IP-communityresource weergegeven:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Verwachte uitvoer:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
NetwerkTIK
Met Network TAP kunnen operators bestemmingen en inkapselingsmechanisme definiëren om gefilterd verkeer door te sturen op basis van de netwerk TAP-regels
Parameters voor Network TAP
| Parameter | Description | Voorbeeld | Vereist |
|---|---|---|---|
| resource-group | Gebruik een geschikte resourcegroepnaam specifiek voor uw netwerktik | ResourceGroupName | Waar |
| resourcenaam | Resourcenaam van de netwerktiktik | NetworkTAP-Austin | Waar |
| locatie | AzON Azure-regio die wordt gebruikt tijdens het maken van NFC | eastus | Waar |
| network-packet-broker-id | ARMID van Network Packet Broker-resource | Waar | |
| polling-type | Polling-methode voor regels voor netwerktik (push of pull) | Pull | Waar |
| destination | Doeldefinities | Waar | |
| doel/naam | naam van bestemming | ||
| bestemming/type | type bestemming. IsolationDomain of NNI | ||
| destination/IsolationDomainProperties | Details van isolatiedomein. Inkapseling, groeps-id's van buren | Arm-id (Azure Resource Manager) van intern netwerk of NNI | Onwaar |
| destinationTapRuleId | ARMID van de tikregel, die moet worden toegepast | Waar |
Notitie
Regels voor netwerktik en aangrenzende groepen moeten worden gemaakt voordat u ernaar verwijst in Netwerktik
Naamconventies voor networkTAP-apparaatprogrammering/ best practices:
Het is essentieel om ervoor te zorgen dat de configuraties en waarden binnen deze veldenetnamen (vlanGroupNames, ipGroupNames, PortGroupNames) uniek zijn en niet met elkaar conflicteren.
Aanbevelingen:
Unieke veldsetnamen: de veldsetnamen in NetworkTAPRules moeten uniek zijn als de inhoud van de veldenset uniek is.
Unieke resourcenamen: de resourcenamen NetworkTAP en NetworkTAPRule moeten uniek zijn binnen resourcegroepen binnen de infrastructuur.
Regionale resource maken: de resources NetworkTAP en NetworkTAPRule moeten worden gemaakt binnen de regio en gekoppeld aan de respectieve infrastructuur binnen de regio.
Doelnaam wijzigen: de doelnaam is uniek voor een gedefinieerde netwerk tap regel doel configuratie. De doelnaam kan niet worden gewijzigd zodra de netwerktikconfiguratie naar het apparaat wordt gepusht.
NetwerkTIK maken
Met deze opdracht maakt u een netwerktikbron:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\