Delen via

Voorbeelden van het maken en configureren van toegangsbeheerlijsten

  • Artikel

In dit artikel vindt u voorbeelden van het maken en bijwerken van toegangsbeheerlijsten (ACLS).

Overzicht van de stroom voor het maken van een ACL

Als u een toegangsbeheerlijst (ACL) maakt die is gekoppeld aan een NNI (Network-to-Network Interconnect), moet u de volgende stappen uitvoeren:

  • Maak een Network Fabric-resource en voeg er een onderliggende NNI-resource aan toe.

  • Maak ACL-resources voor inkomend en uitgaand verkeer met behulp van de az networkfabric acl create opdracht. U kunt overeenkomende configuraties en de standaardactie voor de ACL opgeven. U kunt ook dynamische overeenkomende configuraties opgeven, hetzij inline, hetzij in een bestand dat is opgeslagen in de blobcontainer van uw Azure-opslagaccount.

  • Werk de NNI-resource bij met de ingangs- en uitgaande ACL-id's met behulp van de az networkfabric nni update opdracht. U moet geldige ACL-resource-id's opgeven in de --ingress-acl-id en --egress-acl-id parameters.

  • Richt de Network Fabric-resource in met behulp van de az networkfabric fabric provision opdracht. Hiermee worden de basisconfiguratie en de dynamische overeenkomstconfiguratie voor de ACL's gegenereerd en naar de apparaten verzonden.

Overzicht van de ACL-updatestroom

  • Maak ACL-resources voor inkomend en uitgaand verkeer, az networkfabric acl create zoals beschreven in de vorige sectie.

  • Werk de toegangsbeheerlijst voor inkomend of uitgaand verkeer bij met behulp van de az networkfabric acl update opdracht.

  • Controleer of de configuratiestatus van de ACL is accepted.

  • Controleer of de configuratiestatus van de infrastructuur is accepted.

  • Voer Fabric Commit uit om de ACL bij te werken.

Voorbeeldopdrachten

Toegangsbeheerlijst op een netwerk-naar-netwerk-interconnect

In dit voorbeeld ziet u hoe u een NNI maakt met twee ACL's: één voor inkomend verkeer en één voor uitgaand verkeer.

De ACL's moeten worden toegepast voordat de netwerkinfrastructuur wordt ingericht. Deze beperking is tijdelijk en wordt verwijderd in toekomstige release. De toegangsbeheerlijsten voor inkomend en uitgaand verkeer worden gemaakt vóór de NNI-resource en waarnaar wordt verwezen wanneer de NNI wordt gemaakt, waardoor ook het maken van de ACL's wordt geactiveerd. Deze configuratie moet worden uitgevoerd voordat u de netwerkinfrastructuur inricht.

ACL voor inkomend verkeer maken: voorbeeldopdracht

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Uitgaande ACL maken: voorbeeldopdracht

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Toegangsbeheerlijst in een extern netwerk van een isolatiedomein

Gebruik de az networkfabric acl create opdracht om toegangsbeheerlijsten voor inkomend en uitgaand verkeer te maken voor het externe netwerk. In het voorbeeld geven we de resourcegroep, naam, locatie, netwerkinfrastructuur-id, externe netwerk-id en andere parameters op. U kunt ook de voorwaarden en acties voor overeenkomsten voor de ACL-regels opgeven met behulp van de --match en --action parameters.

Met deze opdracht maakt u een toegangsbeheerbeheerlijst met de naam die acl-ingress ICMP-verkeer van elke bron naar het externe netwerk toestaat:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

Gebruik de az networkfabric externalnetwork update opdracht om het externe netwerk bij te werken met de resourcegroep, de naam en de netwerkinfrastructuur-id. U moet ook de inkomende en uitgaande ACL-id's opgeven met behulp van de --ingress-acl-id en --egress-acl-id parameters. Met de volgende opdracht wordt bijvoorbeeld het externe netwerk bijgewerkt dat verwijst ext-net naar de toegangsbeheerlijst met de naam acl-ingress:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Meer voorbeeldscenario's en opdrachten

Als u een uitgaande ACL wilt maken voor een NNI die al het verkeer weigert, met uitzondering van HTTP en HTTPS, kunt u deze opdracht gebruiken:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Als u een bestaande ACL wilt bijwerken om een nieuwe overeenkomstvoorwaarde en actie toe te voegen, kunt u deze opdracht gebruiken:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Als u alle ACL's in een resourcegroep wilt weergeven, kunt u deze opdracht gebruiken:

az networkfabric acl list --resource-group myResourceGroup

Als u de details van een specifieke ACL wilt weergeven, kunt u deze opdracht gebruiken:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

Als u een ACL wilt verwijderen, kunt u deze opdracht gebruiken:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup