Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una configuración de coincidencia de directiva de tráfico define las condiciones y parámetros para los criterios coincidentes en una directiva de tráfico. Una directiva de tráfico la usa una lista de control de acceso (ACL) para controlar el flujo de paquetes dentro o fuera de las interfaces de red en función de los criterios de coincidencia y las acciones relacionadas. Una directiva de tráfico puede coincidir con paquetes mediante propiedades como:
dot1q: el identificador de VLAN en la etiqueta 802.1Q.
ethertype: el campo EtherType en el encabezado Ethernet.
fragment: si el paquete es un fragmento de IP.
protocol: el tipo de protocolo de transporte, como TCP, UDP, ICMP o IGMP.
source: la dirección IP de origen, el número de puerto o el intervalo de puertos.
destination: la dirección IP de destino, el número de puerto o el intervalo de puertos.
ttl: el valor de período de vida (TTL) en el encabezado IP.
dscp: el valor de punto de código de servicios diferenciados (DSCP) en el encabezado IP.
Condiciones de coincidencia de ejemplo
Coincidencia con los prefijos IP de origen y destino: puede usar las condiciones de prefijo de origen y de destino para que coincidan en las direcciones IP de un paquete. Por ejemplo,
source prefix 10.0.0.0/24coincide con cualquier paquete con una dirección IP de origen en el intervalo de 10.0.0.0 a 10.0.0.255. También puede usar la opción de prefijo más larga para que coincida con el prefijo más específico. Por ejemplo,destination longest-prefix 10.0.0.0/24 10.0.0.128/25coincidirá cualquier paquete con una dirección IP de destino en el intervalo de 10.0.0.128 a 10.0.0.255, pero no 10.0.0.0.0. a 10.0.0.127.Coincidencia en el protocolo: puede usar la condición de protocolo para que coincida con el protocolo de transporte de un paquete, como TCP, UDP o ICMP. También puede especificar el número de protocolo, como 1 para ICMP, 6 para TCP y 17 para UDP. Por ejemplo,
protocol tcpcoincidirá con cualquier paquete con TCP como protocolo.Coincidencia en números de puerto: cuando el protocolo de transporte usa puertos (multiplexación), puede usar las condiciones del puerto de origen y del puerto de destino para que coincidan con los números de puerto de los paquetes. Por ejemplo,
protocol tcp destination port 80coincidirá con cualquier paquete con TCP como protocolo y 80 como número de puerto de destino. También puede usar una lista de puertos, un intervalo de puertos o un nombre de conjunto de campos para que coincidan en varios números de puerto. Por ejemplo,protocol udp source port 53, 67-69, field-set udpport1coincidirá con cualquier paquete con UDP como protocolo y 53, 67, 68, 69 o cualquier número de puerto del conjuntoudpport1de campos como número de puerto de origen.Coincidencia con el valor de DSCP: puede usar la condición dscp para que coincida con el valor de punto de código de servicios diferenciados (DSCP) de los paquetes. El valor de DSCP es un campo de 6 bits en el encabezado IP que indica la calidad del servicio (QoS) de los paquetes.
Configuración de coincidencia dinámica
La configuración de coincidencia dinámica usa conjuntos de campos para simplificar y reutilizar las condiciones de coincidencia para los campos definidos por el usuario. Puede almacenar el campo definido por el usuario y las definiciones del conjunto de campos en un archivo en su propio contenedor de blobs de la cuenta de Azure Storage y proporcionar la dirección URL del blob en la propiedad aclsUrl de la carga de ACL. El contenido del archivo debe enviarse al servicio de utilidad Southbound por separado después de generar la configuración base.
La configuración de coincidencia dinámica facilita el control de escenarios de coincidencia complejos como estos:
Coincidencia en valores de VLAN y DSCP mediante conjuntos de campos: puede usar las condiciones dot1q y dscp para que coincidan con los valores de VLAN y DSCP de los paquetes. También puede usar conjuntos de campos para simplificar y reutilizar las condiciones de coincidencia para los valores de VLAN y DSCP. Por ejemplo, puede definir un conjunto de campos denominado
voice-vlancon una lista de identificadores de VLAN que se usan para el tráfico de voz, como 100, 200 y 300. A continuación, puede usar el nombre del conjunto de campos en la condición de coincidencia, comodot1q vlan field-set voice-vlan, para que coincida con cualquier paquete con un identificador de VLAN en el conjunto de campos voice-vlan. Del mismo modo, puede definir un conjunto de campos denominadovoice-dscpcon una lista de valores DSCP que se usan para el tráfico de voz, como 40, 46 y 48. A continuación, puede usar el nombre del conjunto de campos en la condición de coincidencia, comodscp field-set voice-dscp, para que coincida con cualquier paquete con un valor DSCP en elvoice-dscpconjunto de campos.Coincidencia en prefijos IP de origen y destino mediante conjuntos de campos: también puede usar conjuntos de campos para simplificar y reutilizar las condiciones de coincidencia para los prefijos IP. Por ejemplo, puede definir un conjunto de campos denominado
internal-networkscon una lista de prefijos IP que pertenecen a la red interna, como 10.0.0.0/24 o 172.16.0.0/24. A continuación, puede usar el nombre del conjunto de campos en la condición de coincidencia, comosource prefix field-set internal-networks, para que coincida con cualquier paquete con una dirección IP de origen en la red interna.
Puede almacenar la definición del conjunto de campos en un archivo en su propio contenedor de blobs de la cuenta de Azure Storage y proporcionar la dirección URL del blob en la propiedad aclsUrl en la carga de ACL.
Parámetros de configuración para una lista de control de acceso
| Parámetro | Descripción | Ejemplo |
|---|---|---|
| resource-group | Nombre del grupo de recursos donde se encuentra el tejido de red. | example-rg |
| ubicación | Ubicación del tejido de red | eastus2euap |
| resource-name | Nombre de la ACL. | example-Ipv4ingressACL |
| tipo de configuración | Tipo de configuración de la ACL. Puede ser Inline o File. |
Inline |
| default-action | Acción predeterminada que se va a realizar para la ACL. Puede ser Permit o Deny. |
Permit |
| configuraciones de coincidencias | Lista de configuraciones de coincidencia para la ACL. Cada configuración de coincidencia tiene un nombre, un número de secuencia, un tipo de dirección IP, una lista de condiciones de coincidencia y una lista de acciones. | [{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[...],actions:[...]}] |
| dynamic-match-configurations | Lista de configuraciones de coincidencia dinámica para la ACL. Cada configuración de coincidencia dinámica tiene una lista de grupos IP, grupos de VLAN y grupos de puertos. | [{ipGroups:[...],vlanGroups:[...],portGroups:[...]}] |
| acls-url | Dirección URL del archivo ACL. Este parámetro solo es necesario si el tipo de configuración es File. |
https://ACL-Storage-URL |
| annotation | Anotación opcional para la ACL. | annotation |