Koordinator för nätverkspaket
Azure Operator Nexus Network Packet Broker är ett specialiserat erbjudande från Microsoft Azure som är skräddarsytt för telekommunikationstjänstleverantörer. Med Azure Operator Nexus Network Packet Broker kan telekomoperatörer effektivt samla in, aggregera, filtrera och övervaka trafik i infrastrukturen (AON), vilket möjliggör djup paketinspektion, trafikanalys och förbättrad nätverksövervakning. Detta är avgörande för telekommunikationsindustrin, där det är av största vikt att upprätthålla högkvalitativa tjänster, garantera säkerhet och uppfylla regelkrav. Genom att tillämpa den här lösningen kan operatörerna få bättre insyn i sin nätverkstrafik, felsöka problem mer effektivt och i slutändan leverera förbättrade tjänster till sina kunder samtidigt som de upprätthåller högsta möjliga standard för nätverkssäkerhet och prestanda.
Network Packet Broker (NPB) är utformad och modellerad som en separat resurs på den översta nivån i Azure Resource Manager (ARM) under Microsoft.managednetworkfabric. Operatorer kan skapa, läsa, uppdatera och ta bort funktionerna Network TAP, Network TAP och Neighbor Group. Varje nätverkspaketkö har flera resurser, till exempel Network TAP, Neighbor Group, & Network TAP Rules för att hantera, filtrera och vidarebefordra angiven trafik.
Steg för att aktivera koordinator för nätverkspaket
Förutsättningar
- NPB-enheter är korrekt rackade, staplade och etablerade. Information om hur du etablerar nätverksinfrastrukturen finns i Network Fabric Provisioning.
- Respektive vProbes bör konfigureras med dedikerade IP-adresser
- För interna vProbes bör Layer 3-isoleringsdomäner med interna nätverk skapas. Nödvändiga anslutna undernät bör konfigureras. Dessutom bör tilläggsflaggan anges till NPB (i interna nätverk). Information om hur du skapar interna och externa nätverk på en isoleringsdomän och anger tilläggsflagga för NPB finns i Isoleringsdomäner.
- För användningsfallet Network to Network Inter-connect (NNI) ska NNI skapas som typ
NPB. Lämpliga lager 2- och lager 3-egenskaper bör definieras när NNI skapas. För Procedure on how to create the network to network interconnect (NNI), se Network Fabric Provisioning.
Steg
- Skapa en network TAP-regel som tillhandahåller matchningskonfigurationen (endast infogad indatametod stöds)
- Skapa en granngruppresurs som definierar mål.
- Skapa en TAP-resurs för nätverk som refererar till Tryckregler och Granngrupper.
- Aktivera TAP-resursen för nätverk.
NPB
NNF skulle skapa den här resursen automatiskt under bootstrap..
Visa NPB
Det här kommandot visar information om den logiska NPB-resursen.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Förväntade utdata
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
TAP-regler för nätverk
NetworkTapRule-resursen ger möjlighet att tillhandahålla filtrering och vidarebefordran av kombinationer av villkor och åtgärder.
Parametrar för TAP-regler för nätverk
| Parameter | Description | Exempel | Obligatoriskt |
|---|---|---|---|
| resource-group | Använd ett lämpligt resursgruppsnamn specifikt för din NetworkTapRule | ResourceGroupName | Sant |
| resource-name | Resursnamn för nätverkstryckningen | InternetTAPrule1 | Sant |
| plats | AzON Azure-region som används vid skapande av Network Fabric Controller (NFC) | eastus | Sant |
| configuration-type | Indatametoder för att konfigurera regel för nätverkstryckning. | Infogad eller fil | Sant |
| match-configurations | Lista över matchningskonfigurationer. | ||
| match-configurations/matchconfigurationName | Namn på matchningskonfigurationsblock | ||
| match-configurations/sequenceNumber | Sekvensnummer för matchningskonfiguration | ||
| match-configurations/ipAddressType | Ip-adressfamilj | ||
| match-configurations/matchconditions | Lista över dynamiska matchningsvillkor baserat på port, protokoll, VLAN och IP-villkor. | ||
| match-configurations/action | Ange åtgärdsinformation. Åtgärder kan vara Drop, Count, Log,Goto,Redirect,Mirror | ||
| dynamic-match-configurations | Lista över konfigurationsbaserade dynamiska matchningskonfigurationer, VLAN och IP |
Kommentar
Regler för nätverkstryck och närliggande grupper måste skapas innan de refereras i Nätverkstryckning
Skapa regel för nätverkstryckning
Det här kommandot skapar en regel för nätverkstryckning:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Förväntad utdata:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Visa regel för nätverkstryckning
Det här kommandot visar en IP-communityresurs:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Förväntad utdata:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Granngrupp
Närliggande gruppresurs har möjlighet att gruppera mål för vidarebefordran av filtrerad trafik
Parametrar för granngrupp
| Parameter | Description | Exempel | Obligatoriskt |
|---|---|---|---|
| resource-group | Använd ett lämpligt resursgruppsnamn specifikt för din NeighborGroup | ResourceGroupName | Sant |
| resource-name | Resursnamn för NeighborGroup | example-Neighbor | Sant |
| plats | AzON Azure-region som användes när NFC skapades | eastus | Sant |
| destination | Lista över Ipv4- eller Ipv6-mål för vidarebefordran av trafik | 10.10.10.10 | Sant |
Skapa granngrupp
Det här kommandot skapar en resurs för granngruppen:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Förväntad utdata:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Visa gruppresurs för granne
Det här kommandot visar en utökad IP-communityresurs:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Förväntad utdata:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
NÄTVERK TAP
Med network TAP kan operatörer definiera mål och inkapslingsmekanismer för att vidarebefordra filtrerad trafik baserat på TAP-regler för nätverk
Parametrar för NETWORK TAP
| Parameter | Description | Exempel | Obligatoriskt |
|---|---|---|---|
| resource-group | Använd ett lämpligt resursgruppnamn specifikt för nätverkstryckning | ResourceGroupName | Sant |
| resource-name | Resursnamn för nätverkstryckningen | NetworkTAP-Austin | Sant |
| plats | AzON Azure-region som användes när NFC skapades | eastus | Sant |
| network-packet-broker-id | ARMID för network packet broker-resurs | Sant | |
| avsökningstyp | Avsökningsmetod för regler för nätverkstryckning (push eller pull) | Pull | Sant |
| destination | Måldefinitioner | Sant | |
| mål/namn | namnet på målet | ||
| mål/typ | typ av mål. IsolationDomain eller NNI | ||
| destination/IsolationDomainProperties | Information om isoleringsdomän. Inkapsling, grupp-ID för granne | Azure Resource Manager (ARM) ID för internt nätverk eller NNI | Falsk |
| destinationTapRuleId | ARMID för tap-regeln, som måste tillämpas | Sant |
Kommentar
Regler för nätverkstryck och närliggande grupper måste skapas innan de refereras i Nätverkstryckning
Namngivningskonventioner/metodtips för NetworkTAP-enhetsprogrammering:
Det är viktigt att se till att konfigurationerna och värdena i dessa fältuppsättningsnamn (vlanGroupNames, ipGroupNames, PortGroupNames) är unika och inte står i konflikt med varandra.
Rekommendationer:
Unika fältuppsättningsnamn: Fältuppsättningsnamnen i NetworkTAPRules måste vara unika om fältuppsättningsinnehållet är distinkt.
Unika resursnamn: Resursnamnen NetworkTAP och NetworkTAPRule måste vara unika för resursgrupper i infrastrukturresurserna.
Regional resursskapande: Resurserna NetworkTAP och NetworkTAPRule måste skapas i regionen och associeras med respektive infrastrukturresurs i regionen.
Ändring av målnamn: Målnamnet är unikt för en definierad nätverkstryckningsregel för målkonfiguration. Målnamnet kan inte ändras när nätverkstryckkonfigurationen har push-överförts till enheten.
Skapa nätverkstryckning
Det här kommandot skapar nätverkstryckresurs:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\