Dela via

Skapa och hantera IP-prefix

  • Artikel

Den här artikeln beskriver de viktigaste hanteringsåtgärderna för IP-prefix och IP-prefixregler i Azure Operator Nexus.

IP-prefixåtgärder

Skapa ett IP-prefix

Följ dessa steg för att skapa en IP-prefixresurs:

  1. Ange egenskaper och regler för IP-prefixresursen. Du kan använda följande azcli-kommando som referens: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    Egenskaperna och reglerna för IP-prefixresursen är:

    • resource-group: Namnet på resursgruppen där du vill skapa IP-prefixresursen. 

    • name: Namnet på IP-prefixresursen. 

    • location: Den Azure-region där du vill skapa IP-prefixresursen. 

    • ip-prefix-rules: Listan över regler som definierar matchningskriterierna och åtgärden för IP-prefixresursen. Varje regel har följande egenskaper:

      • action: Den åtgärd som ska vidtas när villkoret uppfylls. Det kan vara antingen Permit eller Deny. Permit innebär att tillåta vägen och Deny metoder för att avvisa vägen. 

      • condition: Villkoret för att jämföra nätverksprefixet för vägen med nätverksprefixet för regeln. Det kan vara något av följande värden:

        • EqualTo: Villkoret är sant när nätverksprefixet för vägen är lika med regelns nätverksprefix. 

        • NotEqualTo: Villkoret är sant när nätverksprefixet för vägen inte är lika med regelns nätverksprefix. 

        • GreaterThanOrEqualTo: Villkoret är sant när nätverksprefixet för vägen är större än eller lika med regelns nätverksprefix.

      • networkPrefix: Det nätverkssegment som ska matchas. Det är en IP-adress och en prefixlängd, till exempel 10.10.10.0/28 eller 2001:db8::/64. För IPv4 måste prefixets längd vara 1–32. För IPv6 måste prefixets längd vara 1–128.

      • sequenceNumber: Ordningen på utvärderingen av regeln, från lägsta till högsta. Regeln med det lägsta sekvensnumret utvärderas först och regeln med det högsta sekvensnumret utvärderas sist. Om en regel matchar vägen stoppas utvärderingen och regelns åtgärd körs. Om ingen regel matchar vägen är standardåtgärden Neka. 

  2. Skapa IP-prefixresursen med kommandot azcli. Du kan använda samma kommando som i föregående steg eller ändra det enligt dina krav.

  3. Kontrollera att IP-prefixresursen har skapats. Du kan använda az networkfabric ipprefix show kommandot för att visa information om IP-prefixresursen. Du kan använda följande exempel som referens: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

I det här exemplet myResourceGroup är namnet på resursgruppen där du skapade IP-prefixresursen och myIpPrefix är namnet på IP-prefixresursen. 

Svaret bör innehålla egenskaperna och reglerna för IP-prefixresursen, till exempel ID, typ, ipPrefixRules, plats, namn, provisioningState, resourceGroup och taggar. 

Visa en IP-prefixresurs

Använd följande kommando för att hämta information om en befintlig IP-prefixresurs med dess ID eller namn: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

REST API-svarstexten är följande: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Uppdatera en IP-prefixresurs

Följ dessa steg för att uppdatera en IP-prefixresurs:

  1. Ange egenskaperna och reglerna för den IP-prefixresurs som du vill uppdatera. Du kan använda samma JSON-mall som i föregående avsnitt eller ändra den enligt dina behov. 

  2. Uppdatera IP-prefixresursen med hjälp av Azure CLI-kommandot eller REST API-metoden. Du kan använda följande exempel som referens: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

I det här exemplet resourceGroupName är namnet på resursgruppen där du skapade IP-prefixresursen, ipPrefixName är namnet på IP-prefixresursen --add och alternativet lägger till en ny regel i egenskapen ipPrefixRules. Den nya regeln nekar vägar med nätverksprefixet 30.30.30.0/24 och har ett sekvensnummer på 30. 

Ta bort en IP-prefixresurs

Om du vill ta bort en befintlig IP-prefixresurs med dess ID eller namn använder du följande kommando: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

REST API-begärandetexten för att ta bort en IP-prefixresurs med dess ID är följande: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Exempel på IP-prefixresurser

ipprefixv4-externalnetwork1-export

Den här resursen används för att hantera regler för nätverkstrafik för ett specifikt externt nätverk i en resursgrupp. Den innehåller regler som tillåter trafik till nätverksprefixen 20.20.20.0/24 och 50.50.50.0/24, men nekar trafik till nätverksprefixet 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Den här resursen nekar trafik till nätverksprefixet 10.10.10.0/28 och tillåter trafik till nätverksprefixet 20.20.20.0/24 och 50.50.50.0/24.

ipprefixv4-1204-cn1

Den här resursen används för att hantera regler för nätverkstrafik för ett specifikt nätverk i en resursgrupp. Den innehåller regler som tillåter trafik till nätverksprefixen 10.10.10.0/28 och 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Den här resursen tillåter trafik till nätverksprefixen 10.10.10.0/28 och 20.20.20.0/24.

ipprefix-v6-ingress

Den här resursen eastus finns i regionen och ingår i en resursgrupp. Den är konfigurerad, men inaktiverad för närvarande. Resursen är av typen microsoft.managednetworkfabric/ipprefixes.

Resursen har två IP-prefixregler:

  1. Tillåter trafik från nätverksprefix som är större än eller lika med fda0:d59c:db12::/59 med en nätmasklängd på 59. 

  2. Tillåter trafik från nätverksprefix som är större än eller lika med fc00:f853:ccd:e793::/64 med en nätmasklängd på 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Den här resursen är konfigurerad för att tillåta IPv6-trafik från de angivna nätverksprefixen.