Compartilhar via


Agente de Pacotes de Rede

O Agente de Pacotes de Rede do Nexus da Operadora Azure é uma oferta especializada do Microsoft Azure personalizada para provedores de serviços de telecomunicações. Com o Agente de Pacotes de Rede do Nexus do Operador do Azure, as operadoras de telecomunicações podem capturar, agregar, filtrar e monitorar o tráfego em sua infraestrutura (AON) com eficiência, permitindo inspeção profunda de pacotes, análise de tráfego e monitoramento de rede aprimorado. Isso é particularmente crucial no setor de telecomunicações, onde manter um serviço de alta qualidade, garantir a segurança e cumprir os requisitos regulatórios são primordiais. Ao aproveitar essa solução, as operadoras podem obter melhor visibilidade de seu tráfego de rede, solucionar problemas de forma mais eficaz e, finalmente, fornecer serviços aprimorados a seus clientes, mantendo os mais altos padrões de segurança e desempenho de rede.

O NPB foi projetado e modelado como um recurso separado do Azure Resource Manager (ARM) de nível superior em Microsoft.managednetworkfabric. Os operadores podem criar, ler, atualizar e excluir funções de TAP de rede, regra de TAP de rede e grupo de vizinhos. Cada agente de pacotes de rede terá vários recursos, como Network TAP, Neighbor Group, & Network TAP Rules para gerenciar, filtrar e encaminhar o tráfego designado.

Etapas para habilitar o agente de pacotes de rede

Pré-requisitos

  • Os dispositivos NPB são corretamente armazenados em rack, empilhados e provisionados. Para obter Procedimento sobre como provisionar a malha de rede, consulte Provisionamento de malha de rede.
  • Os respectivos vProbes devem ser configurados com IPs dedicados
  • Para vProbes internos, domínios de isolamento de camada 3 com redes internas devem ser criados. As sub-redes conectadas necessárias devem ser configuradas, além disso, o sinalizador de extensão deve ser definido como NPB (em redes internas). Para Procedimento sobre como criar redes internas e externas em um domínio de isolamento e definir sinalizador de extensão para NPB, consulte Domínios de isolamento.
  • Para o caso de uso NNI (Network to Network Inter-connect), o NNI deve ser criado como tipo NPB. As propriedades apropriadas da camada 2 e da camada 3 devem ser definidas durante a criação do NNI. Para Procedimento sobre como criar a rede para interconexão de rede (NNI), consulte Provisionamento de malha de rede.

Etapas

  1. Criar uma regra de TAP de rede fornecendo a configuração de correspondência (somente o método de entrada embutido é suportado)
  2. Crie um recurso Grupo de Vizinhos definindo destinos.
  3. Crie um recurso TAP de Rede referenciando as regras de Toque e Grupos de Vizinhos.
  4. Habilite o recurso TAP de rede.

NPB

Esse recurso seria criado automaticamente pelo NNF durante o bootstrap.

Mostrar NPB

Este comando mostra os detalhes do recurso lógico NPB.

 az networkfabric npb show --resource-group "example-rg" --resource-name "NPB1"

Saída Esperada

{
  "properties": {
    "networkFabricId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkFabrics/example-networkFabric",
    "networkDeviceIds": [
      "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice"
    ],
    "sourceInterfaceIds": [
      "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkDevices/example-networkDevice/networkInterfaces/example-networkInterface"
    ],
    "networkTapIds": [
      "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-networkTap"
    ],
    "neighborGroupIds": [
      "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup"
    ],
    "provisioningState": "Succeeded"
  },
  "tags": {
    "key2806": "key"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker",
  "name": "example-networkPacketBroker",
  "type": "microsoft.managednetworkfabric/networkPacketBrokers",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-05-17T11:56:12.100Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-17T11:56:12.100Z"
  }
}

Regras de Rede TAP

O recurso NetworkTapRule fornece capacidade para fornecer combinações de filtragem e encaminhamento de condições e ações.

Parâmetros para Regras de TAP de Rede

Parâmetro Descrição Exemplo Obrigatório
resource-group Use um nome de grupo de recursos apropriado especificamente para seu NetworkTapRule ResourceGroupName Verdadeiro
nome-do-recurso Nome do recurso da rede Toque em InternetTAPrule1 Verdadeiro
local Região do Azure AzON usada durante a criação de NFC eastus Verdadeiro
tipo de configuração Método de entrada para configurar a Regra de Toque de Rede. Inline ou Arquivo Verdadeiro
configurações de correspondência Lista de configurações de correspondência.
match-configurations/matchconfigurationName Nome do bloco de configuração Match
configurações de correspondência/sequenceNumber Número de sequência da configuração de correspondência
match-configurations/ipAddressType Família de endereços IP
configurações de correspondência/condições de correspondência Lista de condições de correspondência dinâmica com base na porta, protocolo, condições de Vlan & IP.
configurações de correspondência/ação Forneça detalhes da ação. As ações podem ser Drop, Count, Log,Goto,Redirect,Mirror
configurações de correspondência dinâmica Lista de configurações de correspondência dinâmica baseadas em Porta, Vlan & IP

Observação

As regras de Toque de Rede e os Grupos de Vizinhos devem ser criados antes de reincidi-los no Toque de Rede

Criar regra de toque de rede

Este comando cria uma regra de Toque de Rede:

az networkfabric taprule create --resource-group "example-rg" --location "westus3"--resource-name "example-networktaprule"\
 --configuration-type "Inline" \
 --match-configurations "[{matchConfigurationName:config1,sequenceNumber:10,ipAddressType:IPv4,matchConditions:[{encapsulationType:None,portCondition:{portType:SourcePort,layer4Protocol:TCP,ports:[100],portGroupNames:['example-portGroup1']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['10'],innerVlans:['11-20']},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.10.10.10/20']}}],\
 actions:[{type:Drop,truncate:100,isTimestampEnabled:True,destinationId:'/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup',matchConfigurationName:match1}]}]"\
 --dynamic-match-configurations"[{ipGroups:[{name:'example-ipGroup1',ipAddressType:IPv4,ipPrefixes:['10.10.10.10/30']}],vlanGroups:[{name:'exmaple-vlanGroup',vlans:['10']}],portGroups:[{name:'example-portGroup1',ports:['100-200']}]}]"

Saída esperada:

{
  "properties": {
    "networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
    "pollingIntervalInSeconds": 30,
    "lastSyncedTime": "2023-06-12T07:11:22.485Z",
    "configurationState": "Succeeded",
    "provisioningState": "Accepted",
    "administrativeState": "Enabled",
    "annotation": "annotation",
    "configurationType": "Inline",
    "tapRulesUrl": "",
    "matchConfigurations": [
      {
        "matchConfigurationName": "config1",
        "sequenceNumber": 10,
        "ipAddressType": "IPv4",
        "matchConditions": [
          {
            "encapsulationType": "None",
            "portCondition": {
              "portType": "SourcePort",
              "l4Protocol": "TCP",
              "ports": [
                "100"
              ],
              "portGroupNames": [
                "example-portGroup1"
              ]
            },
            "protocolTypes": [
              "TCP"
            ],
            "vlanMatchCondition": {
              "vlans": [
                "10"
              ],
              "innerVlans": [
                "11-20"
              ],
              "vlanGroupNames": [
                "exmaple-vlanGroup"
              ]
            },
            "ipCondition": {
              "type": "SourceIP",
              "prefixType": "Prefix",
              "ipPrefixValues": [
                "10.10.10.10/20"
              ],
              "ipGroupNames": [
                "example-ipGroup"
              ]
            }
          }
        ],
        "actions": [
          {
            "type": "Drop",
            "truncate": "100",
            "isTimestampEnabled": "True",
            "destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
            "matchConfigurationName": "match1"
          }
        ]
      }
    ],
    "dynamicMatchConfigurations": [
      {
        "ipGroups": [
          {
            "name": "example-ipGroup1",
            "ipPrefixes": [
              "10.10.10.10/30"
            ]
          }
        ],
        "vlanGroups": [
          {
            "name": "exmaple-vlanGroup",
            "vlans": [
              "10",
              "100-200"
            ]
          }
        ],
        "portGroups": [
          {
            "name": "example-portGroup1",
            "ports": [
              "100-200"
            ]
          },
          {
            "name": "example-portGroup2",
            "ports": [
              "900",
              "1000-2000"
            ]
          }
        ]
      }
    ]
  },
  "tags": {
    "keyID": "keyValue"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
  "name": "example-tapRule",
  "type": "microsoft.managednetworkfabric/networkTapRules",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-06-12T07:11:22.488Z",
    "lastModifiedBy": "user@mail.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-06-12T07:11:22.488Z"
  }
}

Mostrar regra de toque de rede

Este comando exibe um recurso de comunidade IP:

az networkfabric taprule show --resource-group "example-rg" --resource-name "example-networktaprule"

Saída esperada:

{
  "properties": {
    "networkTapId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTaps/example-taprule",
    "pollingIntervalInSeconds": 30,
    "lastSyncedTime": "2023-06-12T07:11:22.485Z",
    "configurationState": "Succeeded",
    "provisioningState": "Accepted",
    "administrativeState": "Enabled",
    "annotation": "annotation",
    "configurationType": "Inline",
    "tapRulesUrl": "",
    "matchConfigurations": [
      {
        "matchConfigurationName": "config1",
        "sequenceNumber": 10,
        "ipAddressType": "IPv4",
        "matchConditions": [
          {
            "encapsulationType": "None",
            "portCondition": {
              "portType": "SourcePort",
              "l4Protocol": "TCP",
              "ports": [
                "100"
              ],
              "portGroupNames": [
                "example-portGroup1"
              ]
            },
            "protocolTypes": [
              "TCP"
            ],
            "vlanMatchCondition": {
              "vlans": [
                "10"
              ],
              "innerVlans": [
                "11-20"
              ],
              "vlanGroupNames": [
                "exmaple-vlanGroup"
              ]
            },
            "ipCondition": {
              "type": "SourceIP",
              "prefixType": "Prefix",
              "ipPrefixValues": [
                "10.10.10.10/20"
              ],
              "ipGroupNames": [
                "example-ipGroup"
              ]
            }
          }
        ],
        "actions": [
          {
            "type": "Drop",
            "truncate": "100",
            "isTimestampEnabled": "True",
            "destinationId": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
            "matchConfigurationName": "match1"
          }
        ]
      }
    ],
    "dynamicMatchConfigurations": [
      {
        "ipGroups": [
          {
            "name": "example-ipGroup1",
            "ipPrefixes": [
              "10.10.10.10/30"
            ]
          }
        ],
        "vlanGroups": [
          {
            "name": "exmaple-vlanGroup",
            "vlans": [
              "10",
              "100-200"
            ]
          }
        ],
        "portGroups": [
          {
            "name": "example-portGroup1",
            "ports": [
              "100-200"
            ]
          },
          {
            "name": "example-portGroup2",
            "ports": [
              "900",
              "1000-2000"
            ]
          }
        ]
      }
    ]
  },
  "tags": {
    "keyID": "keyValue"
  },
  "location": "eastuseuap",
  "id": "/subscriptions/1234ABCD-0A1B-1234-5678-123456ABCDEF/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkTapRules/example-tapRule",
  "name": "example-tapRule",
  "type": "microsoft.managednetworkfabric/networkTapRules",
  "systemData": {
    "createdBy": "email@address.com",
    "createdByType": "User",
    "createdAt": "2023-06-12T07:11:22.488Z",
    "lastModifiedBy": "user@mail.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-06-12T07:11:22.488Z"
  }
}

Grupo de vizinhos

O recurso Grupo de Vizinhos tem a capacidade de agrupar destinos para encaminhar o tráfego filtrado

Parâmetros para grupo vizinho

Parâmetro Descrição Exemplo Obrigatório
resource-group Use um nome de grupo de recursos apropriado especificamente para seu NeighborGroup ResourceGroupName Verdadeiro
nome-do-recurso Nome do recurso do NeighborGroup exemplo-Vizinho Verdadeiro
local Região do Azure AzON usada durante a criação de NFC eastus Verdadeiro
destino Lista de destinos Ipv4 ou Ipv6 para encaminhar o tráfego 10.10.10.10 Verdadeiro

Criar grupo Vizinho

Este comando cria um recurso Grupo de Vizinhos:

 az networkfabric neighborgroup create --resource-group "example-rg" --location "westus3"
--resource-name "example-neighborgroup" --destination "{ipv4Addresses:['10.10.10.10']}"

Saída esperada:

{
  "properties": {
    "networkTapIds": [
    ],
    "networkTapRuleIds": [
    ],
    "destination": {
      "ipv4Addresses": [
        "10.10.10.10",
      ]
    },
    "provisioningState": "Succeeded",
    "annotation": "annotation"
  },
  "tags": {
    "keyID": "KeyValue"
  },
  "location": "eastus",
  "id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
  "name": "example-neighborGroup",
  "type": "microsoft.managednetworkfabric/neighborGroups",
  "systemData": {
    "createdBy": "user@mail.com",
    "createdByType": "User",
    "createdAt": "2023-05-23T05:49:59.193Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-23T05:49:59.194Z"
  }
}

Mostrar recurso de grupo Vizinho

Este comando exibe um recurso de comunidade estendida de IP:

 az networkfabric neighborgroup show --resource-group "example-rg" --resource-name "example-neighborgroup"

Saída esperada:

{
  "properties": {
    "networkTapIds": [
    ],
    "networkTapRuleIds": [
    ],
    "destination": {
      "ipv4Addresses": [
        "10.10.10.10",
      ]
    },
    "provisioningState": "Succeeded",
    "annotation": "annotation"
  },
  "tags": {
    "keyID": "KeyValue"
  },
  "location": "eastus",
  "id": "/subscriptions/subscriptionId/resourceGroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup",
  "name": "example-neighborGroup",
  "type": "microsoft.managednetworkfabric/neighborGroups",
  "systemData": {
    "createdBy": "user@mail.com",
    "createdByType": "User",
    "createdAt": "2023-05-23T05:49:59.193Z",
    "lastModifiedBy": "email@address.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2023-05-23T05:49:59.194Z"
  }
}

Rede de TAP

A Rede TAP permite que os Operadores definam destinos e mecanismo de encapsulamento para encaminhar o tráfego filtrado com base nas Regras da Rede TAP

Parâmetros para TAP de rede

Parâmetro Descrição Exemplo Obrigatório
resource-group Use um nome de grupo de recursos apropriado especificamente para o Toque em Rede ResourceGroupName Verdadeiro
nome-do-recurso Nome do recurso da rede Toque em NetworkTAP-Austin Verdadeiro
local Região do Azure AzON usada durante a criação de NFC eastus Verdadeiro
network-packet-broker-id ARMID do recurso Network Packet Broker Verdadeiro
tipo de sondagem Método de sondagem para regras de Toque de Rede (Push ou Pull) Pull Verdadeiro
destino Definições de destino Verdadeiro
destino/nome Nome do destino
destino/tipo tipo de destino. IsolationDomain ou NNI
destination/IsolationDomainProperties Detalhes do domínio Isolamento. Encapsulamento, IDs de grupo vizinho ID do Azure Resource Manager (ARM) da rede interna ou NNI Falso
destinationTapRuleId ARMID da regra Tap, que precisa ser aplicada Verdadeiro

Criar rede TAP

Este comando cria o recurso Tap de rede:

az networkfabric tap create --resource-group "example-rg" --location "westus3" \
--resource-name "example-networktap" \
--network-packet-broker-id "/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/networkPacketBrokers/example-networkPacketBroker" \
--polling-type "Pull"\
--destinations "[{name:'example-destinationName',destinationType:IsolationDomain,destinationId:'/subscriptions/xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/l3IsloationDomains/example-l3Domain/internalNetworks/example-internalNetwork',\
isolationDomainProperties:{encapsulation:None,neighborGroupIds:['/subscriptions/xxxxx-xxxx-xxxx-xxxx-xxxxx/resourcegroups/example-rg/providers/Microsoft.ManagedNetworkFabric/neighborGroups/example-neighborGroup']},\