Konfigurowanie domen izolacji L2 i L3 przy użyciu zarządzanych usług sieci szkieletowej sieci szkieletowej
Domeny izolacji umożliwiają komunikację między obciążeniami hostowanymi w tym samym stojaku (komunikacja wewnątrz stojaka) lub różnymi stojakami (komunikacja między stojakami). W tym przewodniku opisano sposób zarządzania domenami izolacji warstwy 2 i warstwy 3 przy użyciu interfejsu wiersza polecenia platformy Azure (AzureCLI). Można tworzyć, aktualizować, usuwać i sprawdzać stan domen izolacji warstwy 2 i warstwy 3.
Wymagania wstępne
Upewnij się, że utworzono kontroler sieci szkieletowej sieci szkieletowej (NFC) i sieć szkieletową sieci szkieletowej.
Zainstaluj najnowszą wersję niezbędnych rozszerzeń interfejsu wiersza polecenia.
Użyj następującego polecenia, aby zalogować się do konta platformy Azure i ustawić subskrypcję na identyfikator subskrypcji platformy Azure. Powinien to być ten sam identyfikator subskrypcji, który jest używany dla wszystkich zasobów w wystąpieniu operatora platformy Azure Nexus.
az login
az account set --subscription ********-****-****-****-*********
- Zarejestruj dostawców dla sieci szkieletowej sieci zarządzanej:
W interfejsie wiersza polecenia platformy Azure wprowadź polecenie
az provider register --namespace Microsoft.ManagedNetworkFabric.Monitoruj proces rejestracji przy użyciu polecenia
az provider show -n Microsoft.ManagedNetworkFabric -o table.Rejestracja może potrwać do 10 minut. Po zakończeniu
RegistrationStatew danych wyjściowych zmieni się naRegistered.
Domeny izolacji służą do włączania łączności warstwy 2 lub warstwy 3 między obciążeniami hostowanymi w wystąpieniu operatora platformy Azure i sieciach zewnętrznych.
Uwaga
Operator Nexus rezerwuje sieci VLAN <=500 do użycia platformy, dlatego sieci VLAN w tym zakresie nie mogą być używane dla sieci roboczych (dzierżawców). Należy użyć wartości sieci VLAN z zakresu od 501 do 4095.
Parametry zarządzania domenami izolacji
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
resource-group |
Użyj odpowiedniej nazwy grupy zasobów specjalnie dla wybranego identyfikatora ISD | ResourceGroupName | Prawda |
resource-name |
Nazwa zasobu l2isolationDomain | example-l2domain | Prawda |
location |
Region świadczenia usługi Azure AODS używany podczas tworzenia komunikacji NFC | eastus | Prawda |
nf-Id |
identyfikator sieci szkieletowej sieci szkieletowej | "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" | Prawda |
Vlan-id |
Wartość identyfikatora sieci VLAN. Sieci VLAN 1–500 są zarezerwowane i nie można ich używać. Nie można zmienić wartości identyfikatora sieci VLAN po określeniu. Domena izolacji musi zostać usunięta i utworzona ponownie, jeśli należy zmodyfikować wartość identyfikatora sieci VLAN. Zakres wynosi od 501 do 4095 | 501 | Prawda |
mtu |
maksymalna jednostka transmisji wynosi domyślnie 1500, jeśli nie zostanie określona | 1500 | |
administrativeState |
Włączanie/wyłączanie wskazuje stan administracyjny izolacjiDomain | Włącz | |
subscriptionId |
Identyfikator subskrypcji platformy Azure dla wystąpienia operatora Nexus. | ||
provisioningState |
Wskazuje stan aprowizacji |
Domena izolacji L2
Domena izolacji L2 służy do ustanawiania łączności warstwy 2 między obciążeniami uruchomionymi w węzłach obliczeniowych Operator Nexus.
Tworzenie domeny izolacji L2
Utwórz domenę izolacji L2:
az networkfabric l2domain create \
--resource-group "ResourceGroupName" \
--resource-name "example-l2domain" \
--location "eastus" \
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFname" \
--vlan-id 750\
--mtu 1501
Oczekiwane dane wyjściowe:
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFresourcegroupname/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Pokaż domeny izolacji L2
To polecenie zawiera szczegółowe informacje o domenach izolacji L2, w tym o ich stanach administracyjnych:
az networkfabric l2domain show --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Oczekiwane dane wyjściowe
{
"administrativeState": "Disabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e1078890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Wyświetlanie listy wszystkich domen izolacji L2
To polecenie wyświetla listę wszystkich domen izolacji l2 dostępnych w grupie zasobów.
az networkfabric l2domain list --resource-group "ResourceGroupName"
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxxxxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT22:26:33.065672+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT14:46:45.753165+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 750
}
Zmienianie stanu administracyjnego domeny izolacji L2
Należy włączyć domenę izolacji, aby wypchnąć konfigurację do urządzeń sieci szkieletowej sieci szkieletowej. Użyj następującego polecenia, aby zmienić stan administracyjny domeny izolacji:
az networkfabric l2domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l2domain" --state Enable/Disable
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l2IsolationDomains/example-l2domain",
"location": "eastus",
"mtu": 1501,
"name": "example-l2domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT14:57:59.167177+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT14:57:59.167177+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e107873d7",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l2isolationdomains",
"vlanId": 501
}
Usuwanie domeny izolacji L2
Użyj tego polecenia, aby usunąć domenę izolacji L2:
az networkfabric l2domain delete --resource-group "ResourceGroupName" --resource-name "example-l2domain"
Oczekiwane dane wyjściowe:
Please use show or list command to validate that isolation-domain is deleted. Deleted resources will not appear in result
Konfigurowanie domeny izolacji L3
Domena izolacji warstwy 3 umożliwia łączność warstwy 3 między obciążeniami uruchomionymi w węzłach obliczeniowych Operator Nexus. Domena izolacji L3 umożliwia obciążenia wymiany informacji warstwy 3 z urządzeniami sieci szkieletowej sieci szkieletowej.
Domena izolacji warstwy 3 ma dwa składniki:
- Sieć wewnętrzna definiuje łączność warstwy 3 między sieciami szkieletowymi działającymi w węzłach obliczeniowych Operatora platformy Azure i opcjonalną siecią zewnętrzną. Należy utworzyć co najmniej jedną sieć wewnętrzną.
- Sieć zewnętrzna zapewnia łączność między Internetem a sieciami wewnętrznymi za pośrednictwem Twoich punktów sprzedaży.
Domena izolacji L3 umożliwia wdrażanie obciążeń anonsujących adresy IP usługi w sieci szkieletowej za pośrednictwem protokołu BGP.
Domena izolacji L3 ma dwie sieci ASN:
- Sieć szkieletowa ASN odnosi się do asN urządzeń sieciowych w sieci szkieletowej. Sieć szkieletowa ASN została określona podczas tworzenia sieci szkieletowej.
- Równorzędna nazwa ASN odnosi się do ASN funkcji sieciowych w operatorze Nexus i nie może być taka sama jak sieć szkieletowa ASN.
Przepływ pracy pomyślnej aprowizacji domeny izolacji L3 jest następujący:
- Tworzenie domeny izolacji L3
- Tworzenie co najmniej jednej sieci wewnętrznej
- Włączanie domeny izolacji L3
Aby wprowadzić zmiany w domenie izolacji L3, najpierw wyłącz domenę izolacji L3 (stan Administracja istracyjny). Ponownie włącz domenę izolacji L3 (stan Administracja istrativeState) po zakończeniu zmian:
- Wyłączanie domeny izolacji L3
- Wprowadzanie zmian w domenie izolacji L3
- Ponowne włączanie domeny izolacji L3
Procedura wyświetlania, włączania/wyłączania i usuwania domen izolacji opartych na protokole IPv6 jest taka sama jak w przypadku protokołu IPv4. zakres sieci VLAN do tworzenia domeny izolacji 501-4095
Poniższe parametry są dostępne do konfigurowania domen izolacji L3.
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
resource-group |
Użyj odpowiedniej nazwy grupy zasobów specjalnie dla wybranego identyfikatora ISD | ResourceGroupName | Prawda |
resource-name |
Nazwa zasobu l3isolationDomain | example-l3domain | Prawda |
location |
Region świadczenia usługi Azure AODS używany podczas tworzenia komunikacji NFC | eastus | Prawda |
nf-Id |
Identyfikator subskrypcji platformy Azure używany podczas tworzenia komunikacji NFC | /subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName" | Prawda |
Następujące parametry dla domen izolacji są opcjonalne.
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
redistributeConnectedSubnet |
Anonsuj wartość domyślną połączonych podsieci to True | Prawda | |
redistributeStaticRoutes |
Anonsowanie tras statycznych może mieć wartość true/False. Wartość domyślna to Fałsz | Fałsz | |
aggregateRouteConfiguration |
Lista konfiguracji tras Ipv4 i Ipv6 | ||
connectedSubnetRoutePolicy |
Konfiguracja zasad tras dla połączonych podsieci IPv4 lub Ipv6 L3 ISD. Zapoznaj się z plikiem pomocy, aby użyć poprawnej składni |
Tworzenie domeny izolacji L3
Użyj tego polecenia, aby utworzyć domenę izolacji L3:
az networkfabric l3domain create
--resource-group "ResourceGroupName"
--resource-name "example-l3domain"
--location "eastus"
--nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/NetworkFabrics/NFName"
Uwaga
W przypadku opcji MPLS 10 (B) łączności z sieciami zewnętrznymi za pośrednictwem urządzeń PE można określić parametry opcji (B) podczas tworzenia domeny izolacji.
Oczekiwane dane wyjściowe
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:38.815959+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787367",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Tworzenie niezaufanej domeny izolacji L3
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3untrust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Tworzenie zaufanej domeny izolacji L3
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3trust" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Tworzenie domeny izolacji L3 zarządzania
az networkfabric l3domain create --resource-group "ResourceGroupName" --resource-name "l3mgmt" --location "eastus" --nf-id "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName"
Pokaż domeny izolacji L3
Możesz uzyskać szczegóły domen izolacji L3 i stan administracyjny.
az networkfabric l3domain show --resource-group "ResourceGroupName" --resource-name "example-l3domain"
Oczekiwane dane wyjściowe
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "2023-XX-XXT09:40:38.815959+00:00",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787456",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Wyświetlanie listy wszystkich domen izolacji L3
Użyj tego polecenia, aby uzyskać listę wszystkich domen izolacji L3 dostępnych w grupie zasobów:
az networkfabric l3domain list --resource-group "ResourceGroupName"
Oczekiwane dane wyjściowe
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT09:40:38.815959+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT09:40:46.923037+00:00",
"lastModifiedBy": "d1bd24c7-b27f-477e-86dd-939e10787890",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Zmienianie stanu administracyjnego domeny izolacji L3
Użyj następującego polecenia, aby zmienić stan administracyjny domeny izolacji L3 w celu włączenia lub wyłączenia:
##Note: Co najmniej jedna sieć wewnętrzna powinna być dostępna, aby zmienić stan administracyjny domeny izolacji L3.
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "example-l3domain" --state Enable/Disable
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/ResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain",
"location": "eastus",
"name": "example-l3domain",
"networkFabricId": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/NFresourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabrics/NFName",
"provisioningState": "Succeeded",
"redistributeConnectedSubnets": "True",
"redistributeStaticRoutes": "False",
"resourceGroup": "NFResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT06:23:43.372461+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT06:25:53.240975+00:00",
"lastModifiedBy": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx",
"lastModifiedByType": "Application"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains"
}
Użyj polecenia , az show aby sprawdzić, czy stan administracyjny został zmieniony na Enabled.
Usuwanie domen izolacji L3
Użyj tego polecenia, aby usunąć domenę izolacji L3:
az networkfabric l3domain delete --resource-group "ResourceGroupName" --resource-name "example-l3domain"
show Użyj poleceń lublist, aby sprawdzić, czy domena izolacji została usunięta.
Tworzenie sieci wewnętrznej
Po pomyślnym utworzeniu domeny izolacji L3 następnym krokiem jest utworzenie sieci wewnętrznej. Sieci wewnętrzne umożliwiają komunikację między stojakami warstwy 3 i wewnątrz stojaka między obciążeniami przez wymianę tras z siecią szkieletową. Domena izolacji L3 może obsługiwać wiele sieci wewnętrznych, z których każda ma oddzielną sieć VLAN.
Na poniższym diagramie przedstawiono przykładową funkcję sieciową z trzema sieciami wewnętrznymi: zaufaną, niezaufaną i zarządzaną. Każda z sieci wewnętrznych jest tworzona we własnej domenie izolacji L3.
Prefiksy IPv4 dla tych sieci to:
- Zaufana sieć: 10.151.1.11/24
- Sieć zarządzania: 10.151.2.11/24
- Niezaufana sieć: 10.151.3.11/24
Następujące parametry są dostępne do tworzenia sieci wewnętrznych.
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
vlan-Id |
Identyfikator sieci Vlan z zakresem od 501 do 4095 | 1001 | Prawda |
resource-group |
Użyj odpowiedniej nazwy grupy zasobów NFC | Nazwa grupy zasobów NF | Prawda |
l3-isolation-domain-name |
Nazwa zasobu l3isolationDomain | example-l3domain | Prawda |
location |
Region świadczenia usługi Azure AODS używany podczas tworzenia komunikacji NFC | eastus | Prawda |
Poniższe parametry są opcjonalne do tworzenia sieci wewnętrznych.
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
connectedIPv4Subnets |
Podsieć IPv4 używana przez obciążenia klastra HAKS | 10.0.0.0/24 | |
connectedIPv6Subnets |
Podsieć IPv6 używana przez obciążenia klastra HAKS | 10:101:1::1/64 | |
staticRouteConfiguration |
Prefiks IPv4/IPv6 trasy statycznej | IPv4 10.0.0.0/24 i Ipv6 10:101:1::1/64 | |
staticRouteConfiguration->extension |
flaga rozszerzenia dla trasy statycznej sieci wewnętrznej | NoExtension/NPB | |
bgpConfiguration |
Adres nexthop protokołu IPv4 | 10.0.0.0/24 | |
defaultRouteOriginate |
Prawda/fałsz "Umożliwia tworzenie trasy domyślnej podczas reklamowania tras za pośrednictwem protokołu BGP" | Prawda | |
peerASN |
Równorzędna nazwa ASN funkcji sieciowej | 65047 | |
allowAS |
Umożliwia odbieranie i przetwarzanie tras, nawet jeśli router wykryje własną nazwę ASN w ścieżce AS. Dane wejściowe jako 0 są wyłączone. Możliwe wartości to 1–10, wartość domyślna to 2. | 2 | |
allowASOverride |
Włączanie lub wyłączanie allowAS | Włącz | |
extension |
flaga rozszerzenia dla sieci wewnętrznej | NoExtension/NPB | |
ipv4ListenRangePrefixes |
Zakres nasłuchiwania protokołu IPv4 protokołu BGP, maksymalny zakres dozwolony w /28 | 10.1.0.0/26 | |
ipv6ListenRangePrefixes |
Zakres nasłuchiwania protokołu IPv6 protokołu BGP, maksymalny zakres dozwolony w /127 | 3FFE:FFFF:0:CD30::/127 | |
ipv4ListenRangePrefixes |
Zakres nasłuchiwania protokołu IPv4 protokołu BGP, maksymalny zakres dozwolony w /28 | 10.1.0.0/26 | |
ipv4NeighborAddress |
Adres sąsiada IPv4 | 10.0.0.11 | |
ipv6NeighborAddress |
Adres sąsiada IPv6 | 10:101:1::11 | |
isMonitoringEnabled |
ABY włączyć lub uniemożliwić monitorowanie w sieci wewnętrznej | Fałsz |
Przed włączeniem domeny izolacji L3 należy utworzyć sieć wewnętrzną. To polecenie tworzy sieć wewnętrzną z konfiguracją protokołu BGP i określonym adresem komunikacji równorzędnej:
az networkfabric internalnetwork create
--resource-group "ResourceGroupName"
--l3-isolation-domain-name "example-l3domain"
--resource-name "example-internalnetwork"
--vlan-id 805
--connected-ipv4-subnets '[{"prefix":"10.1.2.0/24"}]'
--mtu 1500
--bgp-configuration '{"defaultRouteOriginate": "True", "allowAS": 2, "allowASOverride": "Enable", "PeerASN": 65535, "ipv4ListenRangePrefixes": ["10.1.2.0/28"]}'
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"bgpConfiguration": {
"allowAS": 2,
"allowASOverride": "Enable",
"defaultRouteOriginate": "True",
"fabricASN": 65050,
"ipv4ListenRangePrefixes": [
"10.1.2.0/28"
],
"peerASN": 65535
},
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.1.2.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT04:32:00.8159767Z",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT04:32:00.8159767Z",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 805
}
Tworzenie niezaufanej sieci wewnętrznej dla domeny izolacji L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3untrust --resource-name untrustnetwork --location "eastus" --vlan-id 502 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.3.11/24" --mtu 1500
Tworzenie zaufanej sieci wewnętrznej dla domeny izolacji L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3trust --resource-name trustnetwork --location "eastus" --vlan-id 503 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.1.11/24" --mtu 1500
Tworzenie wewnętrznej sieci zarządzania dla domeny izolacji L3
az networkfabric internalnetwork create --resource-group "ResourceGroupName" --l3-isolation-domain-name l3mgmt --resource-name mgmtnetwork --location "eastus" --vlan-id 504 --fabric-asn 65048 --peer-asn 65047--connected-i-pv4-subnets prefix="10.151.2.11/24" --mtu 1500
Tworzenie wielu tras statycznych przy użyciu pojedynczego następnego przeskoku
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalNetwork" --vlan-id 2600 --mtu 1500 --connected-ipv4-subnets "[{prefix:'10.2.0.0/24'}]" --static-route-configuration '{extension:NPB,bfdConfiguration:{multiplier:5,intervalInMilliSeconds:300},ipv4Routes:[{prefix:'10.3.0.0/24',nextHop:['10.5.0.1']},{prefix:'10.4.0.0/24',nextHop:['10.6.0.1']}]}'
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv4Subnets": [
{
"prefix": "10.2.0.0/24"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalNetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"staticRouteConfiguration": {
"bfdConfiguration": {
"administrativeState": "Disabled",
"intervalInMilliSeconds": 300,
"multiplier": 5
},
"extension": "NoExtension",
"ipv4Routes": [
{
"nextHop": [
"10.5.0.1"
],
"prefix": "10.3.0.0/24"
},
{
"nextHop": [
"10.6.0.1"
],
"prefix": "10.4.0.0/24"
}
]
},
"systemData": {
"createdAt": "2023-XX-XXT13:46:26.394343+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT13:46:26.394343+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2600
}
Tworzenie sieci wewnętrznej przy użyciu protokołu IPv6
az networkfabric internalnetwork create --resource-group "fab2nfrg180723" --l3-isolation-domain-name "example-l3domain" --resource-name "example-internalnetwork" --vlan-id 2800 --connected-ipv6-subnets '[{"prefix":"10:101:1::0/64"}]' --mtu 1500
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"configurationState": "Succeeded",
"connectedIPv6Subnets": [
{
"prefix": "10:101:1::0/64"
}
],
"extension": "NoExtension",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/l3domain2/internalNetworks/example-internalnetwork",
"isMonitoringEnabled": "True",
"mtu": 1500,
"name": "example-internalnetwork",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT10:34:33.933814+00:00",
"createdBy": "email@example.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT10:34:33.933814+00:00",
"lastModifiedBy": "email@example.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/internalnetworks",
"vlanId": 2800
}
Tworzenie sieci zewnętrznych
Sieci zewnętrzne umożliwiają obciążeniom łączność warstwy 3 z krawędzią dostawcy. Umożliwiają one również interakcję obciążeń z usługami zewnętrznymi, takimi jak zapory i system DNS. Do utworzenia sieci zewnętrznych potrzebna jest sieć szkieletowa ASN (utworzona podczas tworzenia sieci szkieletowej).
Polecenia służące do tworzenia sieci zewnętrznej przy użyciu interfejsu wiersza polecenia platformy Azure zawierają następujące parametry.
| Parametr | Opis | Przykład | Wymagania |
|---|---|---|---|
| komunikacja równorzędnaOption | Komunikacja równorzędna przy użyciu opcjiA lub opcji. Możliwe wartości OptionA i OptionB | OpcjaB | Prawda |
| optionBProperties | Konfiguracja właściwości opcjiB. Aby określić użycie polecenia exportIPv4/IPv6RouteTargets lub importIpv4/Ipv6RouteTargets | "exportIpv4/Ipv6RouteTargets": ["1234:1234"]}} | |
| optionAProperties | Konfiguracja właściwości OptionA. Zapoznaj się z przykładem opcjiA w poniższej sekcji | ||
| external | Jest to opcjonalny parametr umożliwiający wprowadzenie łączności MPLS Option 10 (B) z sieciami zewnętrznymi za pośrednictwem urządzeń usługi Provider Edge. Korzystając z tej opcji, użytkownik może wprowadzić import i wyeksportować cele trasy, jak pokazano w przykładzie |
W przypadku opcji A należy utworzyć sieć zewnętrzną przed włączeniem domeny izolacji L3. Zewnętrzny jest zależny od sieci wewnętrznej, więc nie można włączyć zewnętrznego bez sieci wewnętrznej. Wartość vlan-id powinna należeć do zakresu od 501 do 4095.
Tworzenie sieci zewnętrznej przy użyciu opcji B
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "examplel3-externalnetwork" --resource-name "examplel3-externalnetwork" --peering-option "OptionB" --option-b-properties "{routeTargets:{exportIpv4RouteTargets:['65045:2001'],importIpv4RouteTargets:['65045:2001']}}"
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/examplel3-externalnetwork",
"name": "examplel3-externalnetwork",
"optionBProperties": {
"exportRouteTargets": [
"65045:2001"
],
"importRouteTargets": [
"65045:2001"
],
"routeTargets": {
"exportIpv4RouteTargets": [
"65045:2001"
],
"importIpv4RouteTargets": [
"65045:2001"
]
}
},
"peeringOption": "OptionB",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-XX-XXT15:45:31.938216+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2023-XX-XXT15:45:31.938216+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Tworzenie sieci zewnętrznej przy użyciu opcji A
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv4network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv4Prefix": "10.18.0.148/30", "secondaryIpv4Prefix": "10.18.0.152/30"}'
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"id": "/subscriptions/xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv4network",
"name": "example-externalipv4network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv4Prefix": "10.21.0.148/30",
"secondaryIpv4Prefix": "10.21.0.152/30",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2023-07-19T09:54:00.4244793Z",
"createdAt": "2023-XX-XXT07:23:54.396679+00:00",
"createdBy": "email@address.com",
"lastModifiedAt": "2023-XX-XX1T07:23:54.396679+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Tworzenie sieci zewnętrznej przy użyciu protokołu Ipv6
az networkfabric externalnetwork create --resource-group "ResourceGroupName" --l3domain "example-l3domain" --resource-name "example-externalipv6network" --peering-option "OptionA" --option-a-properties '{"peerASN": 65026,"vlanId": 2423, "mtu": 1500, "primaryIpv6Prefix": "fda0:d59c:da16::/127", "secondaryIpv6Prefix": "fda0:d59c:da17::/127"}'
Obsługiwany rozmiar prefiksu podstawowego i pomocniczego protokołu IPv6 to /127.
Oczekiwane dane wyjściowe
{
"administrativeState": "Enabled",
"id": "/subscriptions//xxxxxx-xxxxxx-xxxx-xxxx-xxxxxx/resourceGroups/NFResourceGroupName/providers/Microsoft.ManagedNetworkFabric/l3IsolationDomains/example-l3domain/externalNetworks/example-externalipv6network",
"name": "example-externalipv6network",
"optionAProperties": {
"fabricASN": 65050,
"mtu": 1500,
"peerASN": 65026,
"primaryIpv6Prefix": "fda0:d59c:da16::/127",
"secondaryIpv6Prefix": "fda0:d59c:da17::/127",
"vlanId": 2423
},
"peeringOption": "OptionA",
"provisioningState": "Succeeded",
"resourceGroup": "ResourceGroupName",
"systemData": {
"createdAt": "2022-XX-XXT07:52:26.366069+00:00",
"createdBy": "email@address.com",
"createdByType": "User",
"lastModifiedAt": "2022-XX-XXT07:52:26.366069+00:00",
"lastModifiedBy": "email@address.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/l3isolationdomains/externalnetworks"
}
Włączanie domeny izolacji L2
az networkfabric l2domain update-administrative-state --resource-group "ResourceGroupName" --resource-name "l2HAnetwork" --state Enable
Włączanie domeny izolacji L3
Użyj tego polecenia, aby włączyć niezaufaną domenę izolacji L3:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3untrust" --state Enable
Użyj tego polecenia, aby włączyć zaufaną domenę izolacji L3:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3trust" --state Enable
Użyj tego polecenia, aby włączyć domenę izolacji L3 zarządzania:
az networkfabric l3domain update-admin-state --resource-group "ResourceGroupName" --resource-name "l3mgmt" --state Enable