Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las listas de control de acceso (ACL) son un conjunto de reglas que regulan el flujo de paquetes entrantes y salientes dentro de una red. El servicio Nexus Network Fabric de Azure ofrece un mecanismo basado en API para configurar las ACL para las interconexiones de red a red y redes externas de dominio de aislamiento de capa 3. Estas API habilitan la especificación de las clases de tráfico y las acciones de rendimiento basadas en reglas y acciones definidas dentro de las ACL. Las reglas de ACL definen los datos con los que se compara el contenido del paquete con fines de filtrado.
Objetivo
El objetivo principal de las ACL es proteger y regular el tráfico de inquilino entrante y saliente que fluye a través de Nexus Network Fabric a través de interconexiones de red a red (NNIs) o redes externas de dominio de aislamiento de nivel 3. Las API de ACL permiten a los administradores controlar las tasas de datos de clases de tráfico específicas y tomar medidas cuando el tráfico supera los umbrales configurados. Esto protege a los inquilinos frente a amenazas de red aplicando ACL de entrada y protege la red de actividades de inquilino a través de ACL de salida. La implementación de ACL simplifica la administración de red al proteger las redes y facilitar la configuración de reglas y acciones masivas a través de las API.
Funcionalidad
Las ACL usan criterios de coincidencia y acciones adaptados para distintos tipos de recursos de red, como NNIs y redes externas. Las ACL se pueden aplicar en dos formas principales:
- ACL de entrada: controla el flujo de paquetes entrantes.
- ACL de salida: regula el flujo de paquetes salientes.
Ambos tipos de ACL se pueden aplicar a NNIs o recursos de red externos para filtrar y manipular el tráfico en función de varios criterios de coincidencia y acciones.
Recursos de red admitidos:
| Nombre de recurso | Compatible | SKU |
|---|---|---|
| NNI | Sí | All |
| Dominio de aislamiento de red externa | Sí en la red externa con la opción A | All |
Configuración de coincidencias
Los criterios de coincidencia son condiciones que se usan para buscar coincidencias de paquetes basados en atributos como dirección IP, protocolo, puerto, VLAN, DSCP, ethertype, fragmento, TTL, etc. Cada criterio de coincidencia tiene un nombre, un número de secuencia, un tipo de dirección IP y una lista de condiciones de coincidencia. Las condiciones de coincidencia se evalúan mediante el operador lógico AND.
- dot1q: coincide con paquetes basados en el identificador de VLAN en la etiqueta 802.1Q.
- Fragmento: coincide con paquetes en función de si son fragmentos IP o no.
- IP: coincide con paquetes basados en campos de encabezado IP, como la dirección IP de origen o destino, el protocolo y DSCP.
- Protocolo: coincide con paquetes basados en el tipo de protocolo.
- Origen o destino: coincide con paquetes basados en el número de puerto o el intervalo.
- TTL: coincide con los paquetes basados en el valor de período de vida (TTL) en el encabezado IP.
- DSCP: coincide con paquetes basados en el valor de punto de código de servicios diferenciados (DSCP) en el encabezado IP.
Propiedad action de la lista de control de acceso
La propiedad action de una instrucción ACL puede tener uno de los siguientes tipos:
- Permiso: permite paquetes que coinciden con las condiciones especificadas.
- Drop: descarta paquetes que coinciden con las condiciones especificadas.
- Recuento: cuenta el número de paquetes que coinciden con las condiciones especificadas.