Agente de paquetes de red
El Agente de paquetes de red de Nexus del operador de Azure es una oferta especializada de Microsoft Azure adaptada para proveedores de servicios de telecomunicaciones. Con el agente de paquetes de red del Operador de Azure Nexus, los operadores de telecomunicaciones pueden capturar, agregar, filtrar y supervisar el tráfico en toda su infraestructura (AON), lo que permite una inspección profunda de paquetes, análisis de tráfico y supervisión de red mejorada. Esto es especialmente crucial en la industria de las telecomunicaciones, donde mantener un servicio de alta calidad, garantizar la seguridad y cumplir con los requisitos normativos son primordiales. Al aprovechar esta solución, los operadores pueden lograr una mejor visibilidad del tráfico de red, solucionar problemas de forma más eficaz y, en última instancia, ofrecer servicios mejorados a sus clientes a la vez que mantienen los estándares más altos de seguridad y rendimiento de red.
El NPB se ha diseñado y modelado como un recurso independiente de Azure Resource Manager (ARM) de nivel superior en Microsoft.managednetworkfabric. Los operadores pueden crear, leer, actualizar y eliminar tap de red, reglas network TAP y funciones de grupo vecino. Cada agente de paquetes de red tendrá varios recursos, como Network TAP, Neighbor Group y Network TAP Rules para administrar, filtrar y reenviar el tráfico designado.
Pasos para habilitar el agente de paquetes de red
Requisitos previos
- Los dispositivos NPB están correctamente en bastidor, apilados y aprovisionados. Para obtener información sobre cómo aprovisionar el tejido de red, consulte Aprovisionamiento de Tejido de red.
- Las vProbes respectivas deben configurarse con direcciones IP dedicadas
- Para vProbes internos, se deben crear dominios de aislamiento de capa 3 con redes internas. Se deben configurar subredes conectadas necesarias, además de ellas, la marca de extensión debe establecerse en NPB (en redes internas). Para procedimiento sobre cómo crear redes internas y externas en un dominio de aislamiento y establecer la marca de extensión para NPB, consulte Dominios de aislamiento.
- Para el caso de uso Red a conexión entre redes (NNI), se debe crear NNI como tipo
NPB. Las propiedades de nivel 2 y 3 adecuadas deben definirse durante la creación de NNI. Para obtener información sobre cómo crear la red a la interconexión de red (NNI), consulte Network Fabric Provisioning.
Pasos
- Crear una regla tap de red que proporcione la configuración de coincidencia (solo se admite el método de entrada insertado)
- Cree un recurso de grupo vecino que defina destinos.
- Cree un recurso tap de red que haga referencia a las reglas de tap y a los grupos vecinos.
- Habilite el recurso Tap de red.
NPB
Este recurso lo crearía automáticamente NNF durante el arranque.
Mostrar NPB
Este comando muestra los detalles del recurso lógico NPB.
az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"
Resultado esperado
{
"properties": {
"networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
"networkDeviceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
],
"sourceInterfaceIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
],
"networkTapIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
],
"neighborGroupIds": [
"/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
],
"provisioningState": "Succeeded"
},
"tags": {
"key2806": "key"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
"name": "example-networkPacketBroker",
"type": "microsoft.managednetworkfabric/networkPacketBrokers",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-05-17T11:56:12.100Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-17T11:56:12.100Z"
}
}
Reglas de TAP de red
El recurso NetworkTapRule proporciona capacidad para proporcionar combinaciones de filtrado y reenvío de condiciones y acciones.
Parámetros para reglas de TAP de red
| Parámetro | Descripción | Ejemplo | Obligatorio |
|---|---|---|---|
| resource-group | Uso de un nombre de grupo de recursos adecuado específicamente para networkTapRule | ResourceGroupName | True |
| resource-name | Nombre del recurso de la pulsación de red | InternetTAPrule1 | True |
| ubicación | Región de Azure de AzON usada durante la creación de NFC | estado | True |
| tipo de configuración | Método de entrada para configurar la regla de pulsación de red. | Inline o File | True |
| configuraciones de coincidencias | Lista de configuraciones de coincidencias. | ||
| match-configurations/matchconfigurationName | Nombre del bloque de configuración De coincidencia | ||
| match-configurations/sequenceNumber | Número de secuencia de configuración de coincidencia | ||
| match-configurations/ipAddressType | Familia de direcciones IP | ||
| match-configurations/matchconditions | Lista de condiciones de coincidencia dinámica basadas en las condiciones de puerto, protocolo, Vlan e Ip. | ||
| match-configurations/action | Proporcione los detalles de la acción. Las acciones pueden ser Drop, Count, Log,Goto,Redirect,Mirror | ||
| dynamic-match-configurations | Lista de configuraciones de coincidencia dinámica basadas en puerto, Vlan e IP |
Nota:
Las reglas de punteo de red y los grupos vecinos deben crearse antes de volver a abrirlas en La pulsación de red
Crear regla de pulsación de red
Este comando crea una regla de tap de red:
az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
--configuration-type "Inline" \
--match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
--dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"
Resultado esperado:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Mostrar regla de pulsación de red
Este comando muestra un recurso de la comunidad ip:
az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"
Resultado esperado:
{
"properties": {
"networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
"pollingIntervalInSeconds": 30,
"lastSyncedTime": "2023-06-12T07:11:22.485Z",
"configurationState": "Succeeded",
"provisioningState": "Accepted",
"administrativeState": "Enabled",
"annotation": "annotation",
"configurationType": "Inline",
"tapRulesUrl": "",
"matchConfigurations": [
{
"matchConfigurationName": "config1",
"sequenceNumber": 10,
"ipAddressType": "IPv4",
"matchConditions": [
{
"encapsulationType": "None",
"portCondition": {
"portType": "SourcePort",
"l4Protocol": "TCP",
"ports": [
"100"
],
"portGroupNames": [
"example-portGroup1"
]
},
"protocolTypes": [
"TCP"
],
"vlanMatchCondition": {
"vlans": [
"10"
],
"innerVlans": [
"11-20"
],
"vlanGroupNames": [
"exmaple-vlanGroup"
]
},
"ipCondition": {
"type": "SourceIP",
"prefixType": "Prefix",
"ipPrefixValues": [
"10.10.10.10/20"
],
"ipGroupNames": [
"example-ipGroup"
]
}
}
],
"actions": [
{
"type": "Drop",
"truncate": "100",
"isTimestampEnabled": "True",
"destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"matchConfigurationName": "match1"
}
]
}
],
"dynamicMatchConfigurations": [
{
"ipGroups": [
{
"name": "example-ipGroup1",
"ipPrefixes": [
"10.10.10.10/30"
]
}
],
"vlanGroups": [
{
"name": "exmaple-vlanGroup",
"vlans": [
"10",
"100-200"
]
}
],
"portGroups": [
{
"name": "example-portGroup1",
"ports": [
"100-200"
]
},
{
"name": "example-portGroup2",
"ports": [
"900",
"1000-2000"
]
}
]
}
]
},
"tags": {
"keyID": "keyValue"
},
"location": "eastuseuap",
"id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
"name": "example-tapRule",
"type": "microsoft.managednetworkfabric/networkTapRules",
"systemData": {
"createdBy": "email@address.com",
"createdByType": "User",
"createdAt": "2023-06-12T07:11:22.488Z",
"lastModifiedBy": "user@mail.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-06-12T07:11:22.488Z"
}
}
Grupo vecino
El recurso de grupo vecino tiene la capacidad de agrupar destinos para reenviar el tráfico filtrado.
Parámetros para el grupo vecino
| Parámetro | Descripción | Ejemplo | Obligatorio |
|---|---|---|---|
| resource-group | Uso de un nombre de grupo de recursos adecuado específicamente para el grupo vecino | ResourceGroupName | True |
| resource-name | Nombre del recurso del grupo vecino | example-Neighbor | True |
| ubicación | Región de Azure de AzON usada durante la creación de NFC | estado | True |
| destination | Lista de destinos Ipv4 o Ipv6 para reenviar el tráfico | 10.10.10.10 | True |
Crear grupo vecino
Este comando crea un recurso de grupo vecino:
az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"
Resultado esperado:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
Mostrar recurso de grupo vecino
Este comando muestra un recurso de comunidad extendida por IP:
az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"
Resultado esperado:
{
"properties": {
"networkTapIds": [
],
"networkTapRuleIds": [
],
"destination": {
"ipv4Addresses": [
"10.10.10.10",
]
},
"provisioningState": "Succeeded",
"annotation": "annotation"
},
"tags": {
"keyID": "KeyValue"
},
"location": "eastus",
"id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
"name": "example-neighborGroup",
"type": "microsoft.managednetworkfabric/neighborGroups",
"systemData": {
"createdBy": "user@mail.com",
"createdByType": "User",
"createdAt": "2023-05-23T05:49:59.193Z",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User",
"lastModifiedAt": "2023-05-23T05:49:59.194Z"
}
}
de Azure
Network TAP permite a los operadores definir destinos y mecanismo de encapsulación para reenviar el tráfico filtrado en función de las reglas de TAP de red
Parámetros para Network TAP
| Parámetro | Descripción | Ejemplo | Obligatorio |
|---|---|---|---|
| resource-group | Uso de un nombre de grupo de recursos adecuado específicamente para la pulsación de red | ResourceGroupName | True |
| resource-name | Nombre del recurso de la pulsación de red | NetworkTAP-Austin | True |
| ubicación | Región de Azure de AzON usada durante la creación de NFC | estado | True |
| network-packet-broker-id | ARMID del recurso de Agente de paquetes de red | True | |
| tipo de sondeo | Método de sondeo para reglas de punteo de red (inserción o extracción) | Extraer (pull) | True |
| destination | Definiciones de destino | True | |
| destination/name | nombre del destino | ||
| destination/type | tipo de destino. IsolationDomain o NNI | ||
| destination/IsolationDomainProperties | Detalles del dominio de aislamiento. Encapsulación, identificadores de grupo vecino | Identificador de Azure Resource Manager (ARM) de la red interna o NNI | False |
| destinationTapRuleId | ARMID de la regla tap, que se debe aplicar | True |
Crear TAP de red
Este comando crea el recurso tap de red:
az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de