Network Packet Broker
Der Netzwerkpaketbroker von Azure Operator Nexus ist ein spezielles Angebot von Microsoft Azure, das auf Telekommunikationsdienstanbieter zugeschnitten ist. Mit dem Netzwerkpaketbroker von Azure Operator Nexus können Telekommunikationsbetreiber Den Datenverkehr über ihre Infrastruktur (AON) effizient erfassen, aggregieren, filtern und überwachen, sodass umfassende Paketüberprüfungen, Datenverkehrsanalysen und erweiterte Netzwerküberwachungen ermöglicht werden. Dies ist insbesondere in der Telekommunikationsindustrie von entscheidender Bedeutung, wo Standard hochwertigen Dienst beibehalten, Sicherheit gewährleisten und regulatorische Anforderungen einhalten. Durch die Nutzung dieser Lösung können Betreiber einen besseren Einblick in ihren Netzwerkdatenverkehr erzielen, Probleme effektiver behandeln und letztendlich verbesserte Dienste für ihre Kunden bereitstellen, während Standard höchste Standards für Netzwerksicherheit und Leistung erhalten.
Der NPB wurde als separate Azure Resource Manager (ARM)-Ressource auf oberster Ebene unter Microsoft.managednetworkfabric entwickelt und modelliert. Operatoren können Netzwerk-TAP-Funktionen erstellen, lesen, aktualisieren und löschen, Netzwerk-TAP-Regel und Benachbarte Gruppe. Jeder Netzwerkpaketbroker verfügt über mehrere Ressourcen wie Network TAP, Neighbor Group und Network TAP Rules zum Verwalten, Filtern und Weiterleiten von festgelegten Datenverkehr.
Schritte zum Aktivieren des Netzwerkpaketbrokers
Voraussetzungen
- NPB-Geräte sind korrekt gegestellt, gestapelt und bereitgestellt. Verfahren zum Bereitstellen der Netzwerk fabric finden Sie unter Network Fabric Provisioning.
- Entsprechende vProbes sollten mit dedizierten IPs eingerichtet werden
- Für interne vProbes sollten Layer 3 Isolations-Do Standard mit internen Netzwerken erstellt werden. Erforderliche verbundene Subnetze sollten zusätzlich zu diesem konfiguriert werden, die Erweiterungskennzeichnung sollte auf NPB (in internen Netzwerken) festgelegt werden. For Procedure on how to create internal and external networks on an Isolation Do Standard and set extension flag for NPB, see Isolation Do Standard s.
- Für den Anwendungsfall Network to Network Inter-Connect (NNI) sollte NNI als Typ
NPBerstellt werden. Während der Erstellung von NNI sollten geeignete Layer 2- und Layer 3-Eigenschaften definiert werden. Verfahren zum Erstellen des Netzwerks zur Netzwerkverbindung (Network To Network Interconnect, NNI) finden Sie unter Network Fabric Provisioning.
Schritte
- Erstellen einer Netzwerk-TAP-Regel, die die Übereinstimmungskonfiguration bereitstellt (nur Inlineeingabemethode wird unterstützt)
- Erstellen Sie eine Nachbargruppenressource, die Ziele definiert.
- Erstellen Sie eine Netzwerk TAP-Ressource, die auf die Tippregeln und Benachbarte Gruppen verweist.
- Aktivieren Sie die Netzwerk-TAP-Ressource.
NPB
Diese Ressource würde während des Bootstraps von NNF automatisch erstellt werden.
NPB anzeigen
Dieser Befehl zeigt die Details der logischen NPB-Ressource an.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Erwartete Ausgabe
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Netzwerk-TAP-Regeln
NetworkTapRule-Ressource bietet die Möglichkeit, Filter- und Weiterleitungskombinationen von Bedingungen und Aktionen bereitzustellen.
Parameter für Netzwerk-TAP-Regeln
| Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
|---|---|---|---|
| resource-group | Verwenden Eines geeigneten Ressourcengruppennamens speziell für Ihr NetworkTapRule | ResourceGroupName | True |
| Ressourcenname | Ressourcenname des Netzwerktippens | InternetTAPrule1 | True |
| location | AzON Azure Region, die während der NFC-Erstellung verwendet wird | eastus | True |
| Konfigurationstyp | Eingabemethode zum Konfigurieren der Netzwerktippenregel. | Inline oder Datei | True |
| Übereinstimmungskonfigurationen | Liste der Übereinstimmungskonfigurationen. | ||
| match-configurations/matchconfigurationName | Name des Konfigurationsblocks "Übereinstimmung" | ||
| match-configurations/sequenceNumber | Sequenznummer der Übereinstimmungskonfiguration | ||
| match-configurations/ipAddressType | IP-Adressfamilie | ||
| match-configurations/matchconditions | Liste der dynamischen Übereinstimmungsbedingungen basierend auf Port,Protokoll, Vlan & IP-Bedingungen. | ||
| Match-Configurations/Action | Geben Sie Aktionsdetails an. Aktionen können ablegen, zählen, Protokoll,Geheto,Umleitung,Spiegel | ||
| Dynamische Übereinstimmungskonfigurationen | Liste der dynamischen Übereinstimmungskonfigurationen basierender Port, Vlan & IP |
Hinweis
Regeln für Netzwerktippen und Benachbarte Gruppen müssen erstellt werden, bevor sie in "Netzwerk tippen" wieder verwendet werden.
Netzwerktippenregel erstellen
Mit diesem Befehl wird eine Regel für netzwerktippen erstellt:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Erwartete Ausgabe:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Netzwerktippenregel anzeigen
Mit diesem Befehl wird eine IP-Communityressource angezeigt:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Erwartete Ausgabe:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Nachbargruppe
Die Ressource "Benachbarte Gruppe" hat die Möglichkeit, Ziele zum Weiterleiten des gefilterten Datenverkehrs zu gruppieren
Parameter für Benachbarte Gruppe
| Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
|---|---|---|---|
| resource-group | Verwenden Sie speziell für Ihre NeighborGroup einen geeigneten Ressourcengruppennamen. | ResourceGroupName | True |
| Ressourcenname | Ressourcenname der NeighborGroup | example-Neighbor | True |
| location | AzON Azure Region, die während der NFC-Erstellung verwendet wird | eastus | True |
| destination | Liste der Ipv4- oder Ipv6-Ziele zum Weiterleiten von Datenverkehr | 10.10.10.10 | True |
Gruppe "Nachbar erstellen"
Mit diesem Befehl wird eine Nachbargruppenressource erstellt:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Erwartete Ausgabe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Nachbargruppenressource anzeigen
Mit diesem Befehl wird eine erweiterte IP-Communityressource angezeigt:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Erwartete Ausgabe:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Network TAP
Mit Network TAP können Betreiber Ziele und Kapselungsmechanismus definieren, um gefilterten Datenverkehr basierend auf den Netzwerk-TAP-Regeln weiterzuleiten.
Parameter für Network TAP
| Parameter | BESCHREIBUNG | Beispiel | Erforderlich |
|---|---|---|---|
| resource-group | Verwenden Eines geeigneten Ressourcengruppennamens speziell für den Netzwerktippen | ResourceGroupName | True |
| Ressourcenname | Ressourcenname des Netzwerktippens | NetworkTAP-Austin | True |
| location | AzON Azure Region, die während der NFC-Erstellung verwendet wird | eastus | True |
| network-packet-broker-id | ARMID der Netzwerkpaketbrokerressource | True | |
| Abruftyp | Abrufmethode für Netzwerktippenregeln (Push oder Pull) | Pull | True |
| destination | Zieldefinitionen | True | |
| Ziel/Name | Name des Ziels | ||
| Ziel/Typ | Typ des Ziels. IsolationDo Standard oder NNI | ||
| destination/IsolationDo Standard Properties | Details zur Isolation Standard. Kapselung, Nachbargruppen-IDs | Azure Resource Manager (ARM)-ID des internen Netzwerks oder NNI | False |
| destinationTapRuleId | ARMID der Tippregel, die angewendet werden muss | True |
Netzwerk TAP erstellen
Mit diesem Befehl wird eine Netzwerktippenressource erstellt:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\