Gestore pacchetti di rete
Network Packet Broker di Azure Operator Nexus è un'offerta specializzata di Microsoft Azure personalizzata per i provider di servizi di telecomunicazione. Con Network Packet Broker di Azure Operator Nexus, gli operatori di telecomunicazioni possono acquisire, aggregare, filtrare e monitorare il traffico attraverso l'infrastruttura (AON), consentendo l'ispezione approfondita dei pacchetti, l'analisi del traffico e il monitoraggio avanzato della rete. Questo è fondamentale nel settore delle telecomunicazioni, in cui mantenere un servizio di alta qualità, garantire la sicurezza e rispettare i requisiti normativi sono fondamentali. Applicando questa soluzione, gli operatori possono ottenere una migliore visibilità sul traffico di rete, risolvere i problemi in modo più efficace e infine offrire servizi migliorati ai clienti mantenendo al tempo stesso gli standard più elevati di sicurezza e prestazioni di rete.
Network Packet Broker (NPB) è progettato e modellato come risorsa di Azure Resource Manager (ARM) separata in Microsoft.managednetworkfabric. Gli operatori possono creare, leggere, aggiornare ed eliminare tap di rete, regole tap di rete e funzioni di gruppo adiacente. Ogni broker di pacchetti di rete ha più risorse, ad esempio Network TAP, Neighbor Group e Network TAP Rules per gestire, filtrare e inoltrare il traffico designato.
Passaggi per abilitare Network Packet Broker
Prerequisiti
- I dispositivi NPB sono correttamente in rack, in pila e di cui è stato effettuato il provisioning. Per procedura su come effettuare il provisioning dell'infrastruttura di rete, vedere Provisioning di Network Fabric.
- Le rispettive vProbes devono essere configurate con indirizzi IP dedicati
- Per le vProbes interne, è necessario creare domini di isolamento di livello 3 con reti interne. Le subnet connesse necessarie devono essere configurate, inoltre, il flag di estensione deve essere impostato su NPB (nelle reti interne). Per procedura su come creare reti interne ed esterne in un dominio di isolamento e impostare il flag di estensione per NPB, vedere Domini di isolamento.
- Per il caso d'uso Network to Network Inter-connect (NNI), NNI deve essere creato come tipo
NPB. Le proprietà di livello 2 e 3 appropriate devono essere definite durante la creazione di NNI. Per procedura su come creare la rete per l'interconnessione di rete (NNI), vedere Provisioning di Network Fabric.
Passaggi
- Creare una regola Network TAP che fornisca la configurazione della corrispondenza (è supportato solo il metodo di input inline)
- Creare una risorsa gruppo adiacente che definisce le destinazioni.
- Creare una risorsa Tap di rete che fa riferimento alle regole di tocco e ai gruppi adiacenti.
- Abilitare la risorsa Tap di rete.
Server dei criteri di rete
NNF creerebbe automaticamente questa risorsa durante bootstrap..
Mostra server dei criteri di rete
Questo comando mostra i dettagli della risorsa logica NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Output previsto
{
"properties": {
"networkFabricId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Regole TAP di rete
La risorsa NetworkTapRule offre la possibilità di fornire combinazioni di filtro e inoltro di condizioni e azioni.
Parametri per le regole TAP di rete
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome di gruppo di risorse appropriato in modo specifico per NetworkTapRule | ResourceGroupName | Vero |
| resource-name | Nomi delle risorse del tocco di rete | InternetTAPrule1 | Vero |
| location | AzON Azure Region used during Network Fabric Controller (NFC) Creation | eastus | Vero |
| configuration-type | Metodi di input per configurare la regola di tocco di rete. | Inline o File | Vero |
| match-configurations | Elenco delle configurazioni di corrispondenza. | ||
| match-configurations/matchconfigurationName | Nome del blocco di configurazione Match | ||
| match-configurations/sequenceNumber | Numero di sequenza della configurazione match | ||
| match-configurations/ipAddressType | Famiglia di indirizzi IP | ||
| match-configurations/matchconditions | Elenco delle condizioni di corrispondenza dinamica in base a porte, protocollo, condizioni VLAN e IP. | ||
| match-configurations/action | Specificare i dettagli dell'azione. Le azioni possono essere Drop, Count, Log, Goto, Redirect,Mirror | ||
| configurazioni dynamic-match-configurations | Elenco delle configurazioni di corrispondenza dinamica basate su Porta, VLAN & IP |
Nota
Le regole di tocco di rete e i gruppi vicini devono essere creati prima di farvi riferimento in Tocco di rete
Creare una regola di tocco di rete
Questo comando crea una regola di tocco di rete:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'example-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Output previsto:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Mostra regola di tocco di rete
Questo comando visualizza una risorsa della community IP:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Output previsto:
{
"properties": {
"networkTapId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"example-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "example-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Gruppo adiacente
La risorsa gruppo adiacente ha la possibilità di raggruppare le destinazioni per l'inoltro del traffico filtrato
Parametri per il gruppo Neighbor
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome di gruppo di risorse appropriato in modo specifico per NeighborGroup | ResourceGroupName | Vero |
| resource-name | Nomi delle risorse di NeighborGroup | example-Neighbor | Vero |
| location | AzON Azure Region usato durante la creazione NFC | eastus | Vero |
| destination | Elenco di destinazioni Ipv4 o Ipv6 per inoltrare il traffico | 10.10.10.10 | Vero |
Creare un gruppo Neighbor
Questo comando crea una risorsa Gruppo adiacente:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Output previsto:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Mostra risorsa gruppo adiacente
Questo comando visualizza una risorsa community estesa IP:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Output previsto:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Tap di rete
Network TAP consente agli operatori di definire le destinazioni e il meccanismo di incapsulamento per inoltrare il traffico filtrato in base alle regole tap di rete
Parametri per Network TAP
| Parametro | Descrizione | Esempio | Richiesto |
|---|---|---|---|
| resource-group | Usare un nome appropriato per il gruppo di risorse specifico per il tocco di rete | ResourceGroupName | Vero |
| resource-name | Nome risorsa del tocco di rete | NetworkTAP-Austin | Vero |
| location | AzON Azure Region usato durante la creazione NFC | eastus | Vero |
| network-packet-broker-id | ARMID della risorsa Broker pacchetti di rete | Vero | |
| tipo di polling | Metodo di polling per le regole di tocco di rete (push o pull) | Pull | Vero |
| destination | Definizioni di destinazione | Vero | |
| destination/name | nome della destinazione | ||
| destinazione/tipo | tipo di destinazione. IsolationDomain o NNI | ||
| destination/IsolationDomainProperties | Dettagli del dominio di isolamento. Incapsulamento, ID gruppo Neighbor | ID di Azure Resource Manager (ARM) di rete interna o NNI | Falso |
| destinationTapRuleId | ARMID della regola tap, che deve essere applicata | Vero |
Nota
Le regole di tocco di rete e i gruppi vicini devono essere creati prima di farvi riferimento in Tocco di rete
Convenzioni di denominazione/procedure consigliate per la programmazione dei dispositivi NetworkTAP:
È essenziale assicurarsi che le configurazioni e i valori all'interno di questi nomi di set di campi (vlanGroupNames, ipGroupNames, PortGroupNames) siano univoci e non siano in conflitto tra loro.
Raccomandazioni:
Nomi univoci dei set di campi: i nomi dei set di campi in NetworkTAPRules devono essere univoci se il contenuto del set di campi è distinto.
Nomi di risorse univoci: i nomi delle risorse NetworkTAP e NetworkTAPRule devono essere univoci tra i gruppi di risorse all'interno di Fabric.
Creazione di risorse internazionali: le risorse NetworkTAP e NetworkTAPRule devono essere create all'interno dell'area e associate alla rispettiva infrastruttura all'interno dell'area.
Modifica nome destinazione: il nome di destinazione è univoco per una configurazione di destinazione della regola di tocco di rete definita. Il nome della destinazione non può essere modificato dopo il push della configurazione del tocco di rete nel dispositivo.
Creare un tap di rete
Questo comando crea una risorsa tap di rete:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\