Megosztás a következőn keresztül:

Hozzáférés-vezérlési lista létrehozása és konfigurációs példák

  • Cikk

Ez a cikk példákat mutat be a hozzáférés-vezérlési listák (ACLS) létrehozására és frissítésére.

Az ACL létrehozási folyamatának áttekintése

Az NNI-hez (Network-to-Network Interconnect, NNI) társított hozzáférés-vezérlési lista (ACL) létrehozása az alábbi lépéseket foglalja magában:

  • Hozzon létre egy Network Fabric-erőforrást, és adjon hozzá egy NNI-gyermekerőforrást.

  • Hozzon létre bejövő és kimenő ACL-erőforrásokat a az networkfabric acl create parancs használatával. Az ACL-hez megadhat egyezéskonfigurációkat és az alapértelmezett műveletet. A dinamikus egyeztetési konfigurációkat beágyazottan vagy az Azure Storage-fiók blobtárolójában tárolt fájlban is megadhatja.

  • Frissítse az NNI-erőforrást a bejövő és kimenő ACL azonosítókkal a az networkfabric nni update parancs használatával. A paraméterekben --ingress-acl-id --egress-acl-id érvényes ACL-erőforrásazonosítókat kell megadnia.

  • A Network Fabric-erőforrás kiépítése a az networkfabric fabric provision paranccsal. Ez létrehozza az ACL-ek alapkonfigurációját és dinamikus egyeztetési konfigurációját, és elküldi őket az eszközöknek.

Az ACL frissítési folyamatának áttekintése

  • Bejövő és kimenő ACL-erőforrások az networkfabric acl create létrehozása az előző szakaszban leírtak szerint.

  • Frissítse a bejövő vagy kimenő ACL-t a az networkfabric acl update paranccsal.

  • Ellenőrizze az ACL acceptedkonfigurációs állapotát.

  • Ellenőrizze, hogy a háló konfigurációs állapota van-e accepted.

  • Futtassa a Fabric Committ az ACL frissítéséhez.

Példaparancsok

Hozzáférés-vezérlési lista hálózat–hálózat összekapcsoláson

Ez a példa bemutatja, hogyan hozhat létre NNI-t két ACL-vel – egyet a bejövő forgalomhoz, egyet pedig a kimenő forgalomhoz.

Az ACL-eket a Network Fabric kiépítése előtt kell alkalmazni. Ez a korlátozás ideiglenes, és a későbbi kiadásban el lesz távolítva. A bejövő és kimenő ACL-ek az NNI-erőforrás előtt jönnek létre, és az NNI létrehozásakor hivatkoznak rá, ami szintén aktiválja az ACL-ek létrehozását. Ezt a konfigurációt a hálózati háló kiépítése előtt kell elvégezni.

Bejövő ACL létrehozása: példaparancs

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Kimenő ACL létrehozása: példaparancs

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Hozzáférés-vezérlési lista egy elkülönítési tartomány külső hálózatán

az networkfabric acl create A parancs használatával bejövő és kimenő ACL-eket hozhat létre a külső hálózathoz. A példában meg kell adnia az erőforráscsoportot, a nevet, a helyet, a hálózati háló azonosítóját, a külső hálózati azonosítót és egyéb paramétereket. Az ACL-szabályok egyeztetési feltételeit és műveleteit is megadhatja a paraméterek és --action a --match paraméterek használatával.

Ez a parancs létrehoz egy bejövő ACL-t, amely acl-ingress lehetővé teszi az ICMP-forgalmat bármely forrásból a külső hálózatra:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update A parancs használatával frissítse a külső hálózatot az erőforráscsoporttal, a névvel és a hálózati háló azonosítójával. Meg kell adnia a bejövő és kimenő ACL azonosítókat is a paraméterek és --egress-acl-id a --ingress-acl-id paraméterek használatával. A következő parancs például frissíti a külső hálózatot ext-net , amely a következő nevű acl-ingressbejövő ACL-re hivatkozik:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

További példaforgatókönyvek és parancsok

Ha olyan kimenő ACL-t szeretne létrehozni egy NNI-hez, amely a HTTP és a HTTPS kivételével minden forgalmat tagad, használhatja ezt a parancsot:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Ha frissíteni szeretne egy meglévő ACL-t egy új egyeztetési feltétel és művelet hozzáadásához, használja a következő parancsot:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Az erőforráscsoport összes ACL-jének listázásához használja ezt a parancsot:

az networkfabric acl list --resource-group myResourceGroup

Egy adott ACL részleteinek megjelenítéséhez használja ezt a parancsot:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

ACL törléséhez használja a következő parancsot:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup