Broker pakietów sieciowych
Broker pakietów sieciowych w systemie Nexus platformy Azure to wyspecjalizowana oferta oferowana przez platformę Microsoft Azure dostosowaną do dostawców usług telekomunikacyjnych. Dzięki brokerowi pakietów sieciowych operatora platformy Azure Nexus operatorzy telekomunikacyjni mogą efektywnie przechwytywać, agregować, filtrować i monitorować ruch w całej infrastrukturze (AON), co pozwala na głęboką inspekcję pakietów, analizę ruchu i ulepszone monitorowanie sieci. Ma to kluczowe znaczenie w branży telekomunikacyjnej, w której utrzymanie wysokiej jakości usług, zapewnienie bezpieczeństwa i spełnienie wymagań regulacyjnych jest najważniejsze. Dzięki zastosowaniu tego rozwiązania operatorzy mogą uzyskać lepszy wgląd w ruch sieciowy, skuteczniej rozwiązywać problemy i ostatecznie dostarczać ulepszone usługi klientom przy zachowaniu najwyższych standardów zabezpieczeń i wydajności sieci.
Broker pakietów sieciowych (NPB) jest zaprojektowany i modelowany jako oddzielny zasób usługi Azure Resource Manager (ARM) najwyższego poziomu w obszarze Microsoft.managednetworkfabric. Operatory mogą tworzyć, odczytywać, aktualizować i usuwać funkcje sieci TAP, reguł interfejsu TAP sieci i grupy sąsiadów. Każdy broker pakietów sieciowych ma wiele zasobów, takich jak sieć TAP, grupa sąsiadów i reguły tap sieci do zarządzania, filtrowania i przekazywania wyznaczonego ruchu.
Kroki włączania brokera pakietów sieciowych
Wymagania wstępne
- Urządzenia NPB są poprawnie montowane, ułożone i aprowidowane. Aby zapoznać się z procedurą aprowizacji sieci szkieletowej sieci szkieletowej, zobacz Network Fabric Provisioning (Aprowizowanie sieci szkieletowej sieci szkieletowej).
- Odpowiednie pakiety vProbe należy skonfigurować przy użyciu dedykowanych adresów IP
- W przypadku wewnętrznych środowisk vProbe należy utworzyć domeny izolacji warstwy 3 z sieciami wewnętrznymi. Wymagane połączone podsieci należy skonfigurować, a ponadto flaga rozszerzenia powinna być ustawiona na NPB (w sieciach wewnętrznych). Aby uzyskać procedurę tworzenia sieci wewnętrznych i zewnętrznych w domenie izolacji i ustawiania flagi rozszerzenia dla serwera NPB, zobacz Domeny izolacji.
- W przypadku użycia network to Network Inter-connect (NNI) należy utworzyć NNI jako typ
NPB. Podczas tworzenia sieci NNI należy zdefiniować odpowiednie właściwości warstwy 2 i warstwy 3. Aby zapoznać się z procedurą tworzenia sieci do połączenia sieciowego (NNI), zobacz Network Fabric Provisioning (Aprowizowanie sieci szkieletowej).
Kroki
- Utwórz regułę interfejsu TAP sieci, podając konfigurację dopasowania (obsługiwana jest tylko metoda wejściowa śródliniowa)
- Utwórz zasób grupy sąsiadów definiujący miejsca docelowe.
- Utwórz zasób network TAP odwołując się do reguł tap i grup sąsiadów.
- Włącz zasób network TAP.
NpB
Serwer NNF automatycznie utworzy ten zasób podczas uruchamiania.
Pokaż serwer NPB
To polecenie pokazuje szczegóły zasobu logicznego serwera NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Oczekiwane dane wyjściowe
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Reguły interfejsu TAP sieci
Zasób NetworkTapRule zapewnia możliwość udostępniania kombinacji warunków i akcji filtrowania i przesyłania dalej.
Parametry reguł interfejsu TAP sieci
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
| resource-group | Użyj odpowiedniej nazwy grupy zasobów specjalnie dla elementu NetworkTapRule | ResourceGroupName | Prawda |
| nazwa zasobu | Nazwy zasobów tap sieci | InternetTAPrule1 | Prawda |
| lokalizacja | Region azON platformy Azure używany podczas tworzenia kontrolera sieci szkieletowej (NFC) | eastus | Prawda |
| typ konfiguracji | Metody wprowadzania w celu skonfigurowania reguły naciśnięcia sieci. | Wbudowany lub plik | Prawda |
| konfiguracje dopasowania | Lista konfiguracji dopasowania. | ||
| match-configurations/matchconfigurationName | Nazwa bloku konfiguracji Dopasowania | ||
| match-configurations/sequenceNumber | Numer sekwencji konfiguracji dopasowania | ||
| match-configurations/ipAddressType | Rodzina adresów IP | ||
| match-configurations/matchconditions | Lista warunków dopasowania dynamicznego na podstawie portu, protokołu, warunków sieci VLAN i adresu IP. | ||
| match-configurations/action | Podaj szczegóły akcji. Akcje mogą być drop, Count, Log,Goto,Redirect,Mirror | ||
| dynamiczne konfiguracje dopasowania | Lista konfiguracji dynamicznych dopasowań opartych na portach, sieci VLAN i adresach IP |
Uwaga
Reguły naciśnięcia sieci i grupy sąsiadów należy utworzyć przed odwoływaniem się do nich w obszarze Naciśnij sieć
Tworzenie reguły naciśnięcia sieci
To polecenie tworzy regułę naciśnięcia sieci:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Oczekiwane dane wyjściowe:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Pokaż regułę naciśnięcia sieci
To polecenie wyświetla zasób społeczności adresów IP:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Oczekiwane dane wyjściowe:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Grupa sąsiadów
Zasób grupy sąsiadów ma możliwość grupowania miejsc docelowych na potrzeby przesyłania dalej filtrowanego ruchu
Parametry grupy sąsiadów
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
| resource-group | Użyj odpowiedniej nazwy grupy zasobów specjalnie dla grupy sąsiadów | ResourceGroupName | Prawda |
| nazwa zasobu | Nazwy zasobów grupy sąsiadów | example-Neighbor | Prawda |
| lokalizacja | Region platformy Azure AzON używany podczas tworzenia nfc | eastus | Prawda |
| destination | Lista miejsc docelowych Ipv4 lub Ipv6 do przesyłania dalej ruchu | 10.10.10.10 | Prawda |
Utwórz grupę sąsiadów
To polecenie tworzy zasób Grupy sąsiadów:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Oczekiwane dane wyjściowe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Pokaż zasób grupy sąsiadów
To polecenie wyświetla rozszerzony zasób społeczności ip:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Oczekiwane dane wyjściowe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Sieć TAP
Funkcja TAP sieci umożliwia operatorom definiowanie miejsc docelowych i mechanizmu hermetyzacji w celu przekazywania filtrowanego ruchu na podstawie reguł interfejsu TAP sieci
Parametry dla sieci TAP
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
| resource-group | Użyj odpowiedniej nazwy grupy zasobów specjalnie dla pozycji Network Tap | ResourceGroupName | Prawda |
| nazwa zasobu | Nazwa zasobu naciśnięcia sieci | NetworkTAP-Austin | Prawda |
| lokalizacja | Region platformy Azure AzON używany podczas tworzenia nfc | eastus | Prawda |
| network-packet-broker-id | ArmiD zasobu brokera pakietów sieciowych | Prawda | |
| typ sondowania | Metoda sondowania reguł naciśnięcia sieci (wypychanie lub ściąganie) | Pull (Git: ściągnij) | Prawda |
| destination | Definicje docelowe | Prawda | |
| miejsce docelowe/nazwa | nazwa miejsca docelowego | ||
| miejsce docelowe/typ | typ miejsca docelowego. IzolacjaDomain lub NNI | ||
| destination/IsolationDomainProperties | Szczegóły domeny izolacji. Hermetyzacja, identyfikatory grup sąsiadów | Identyfikator usługi Azure Resource Manager (ARM) sieci wewnętrznej lub NNI | Fałsz |
| destinationTapRuleId | ARMID reguły Tap, która musi być stosowana | Prawda |
Uwaga
Reguły naciśnięcia sieci i grupy sąsiadów należy utworzyć przed odwoływaniem się do nich w obszarze Naciśnij sieć
Konwencje nazewnictwa programowania urządzeń NetworkTAP/ najlepsze rozwiązania:
Należy upewnić się, że konfiguracje i wartości w tych nazwach zestawów pól (vlanGroupNames, ipGroupNames, PortGroupNames) są unikatowe i nie powodują konfliktu ze sobą.
Rekomendacje:
Unikatowe nazwy zestawów pól: nazwy zestawów pól w regułach NetworkTAPRules muszą być unikatowe, jeśli zawartość zestawu pól jest odrębna.
Unikatowe nazwy zasobów: nazwy zasobów NetworkTAP i NetworkTAPRule muszą być unikatowe w grupach zasobów w sieci szkieletowej.
Tworzenie zasobów regionalnych: zasoby NetworkTAP i NetworkTAPRule muszą zostać utworzone w regionie i skojarzone z odpowiednią siecią szkieletową w regionie.
Modyfikacja nazwy docelowej: nazwa docelowa jest unikatowa dla zdefiniowanej konfiguracji docelowej reguły naciśnięcia sieci. Nie można zmodyfikować nazwy docelowej po wypchnięciu konfiguracji naciśnięcia sieci do urządzenia.
Tworzenie interfejsu TAP sieci
To polecenie tworzy zasób network Tap:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\