Aracılığıyla paylaş


Azure Operatör Nexus Network Fabric'te Erişim Denetimi Listesi

Erişim Denetim Listeleri (ACL'ler), bir ağ içindeki gelen ve giden paket akışını düzenleyen bir dizi kuraldır. Azure'ın Nexus Network Fabric hizmeti, ağdan ağa bağlantılar ve katman 3 yalıtım etki alanı dış ağları için ACL'leri yapılandırmak için API tabanlı bir mekanizma sunar. Bu API'ler, trafik sınıflarının belirtimini ve ACL'ler içindeki tanımlı kuralları ve eylemleri temel alan performans eylemlerini etkinleştirir. ACL kuralları, filtreleme amacıyla paket içeriğinin karşılaştırıldığı verileri tanımlar.

Hedefleme

ACL'lerin birincil amacı, ağdan ağa bağlantılar (NNI'ler) veya katman 3 yalıtım etki alanı dış ağları aracılığıyla Nexus Network Fabric üzerinden akan gelen ve giden kiracı trafiğinin güvenliğini sağlamak ve düzenlemektir. ACL API'leri yöneticilerin belirli trafik sınıfları için veri oranlarını denetlemesini ve trafik yapılandırılmış eşikleri aştığında eylem gerçekleştirmesini sağlar. Bu, giriş ACL'leri uygulayarak kiracıları ağ tehditlerinden korur ve çıkış ACL'leri aracılığıyla ağı kiracı etkinliklerinden korur. ACL uygulaması, ağların güvenliğini sağlayarak ve API'ler aracılığıyla toplu kuralların ve eylemlerin yapılandırmasını kolaylaştırarak ağ yönetimini basitleştirir.

İşlev

ACL'ler, NNI'ler ve dış ağlar gibi farklı ağ kaynakları için uyarlanmış eşleştirme ölçütlerini ve eylemleri kullanır. ACL'ler iki birincil biçimde uygulanabilir:

  • Giriş ACL'si: Gelen paket akışını denetler.
  • Çıkış ACL'si: Giden paket akışını düzenler.

Her iki ACL türü de trafiği çeşitli eşleştirme ölçütlerine ve eylemlerine göre filtrelemek ve işlemek için NNI'lere veya dış ağ kaynaklarına uygulanabilir.

Desteklenen ağ kaynakları:

Kaynak Adı Desteklenir SKU
NNI Yes Tümü
Yalıtım Etki Alanı Dış Ağı A seçeneğiyle Dış Ağda Evet Tümünü

Yapılandırmayı eşleştir

Eşleştirme ölçütleri IP adresi, protokol, bağlantı noktası, VLAN, DSCP, ethertype, parça, TTL gibi özniteliklere göre paketleri eşleştirmek için kullanılan koşullardır. Her eşleşme ölçütünde bir ad, bir sıra numarası, bir IP adresi türü ve eşleşme koşullarının listesi bulunur. Eşleştirme koşulları mantıksal AND işleci kullanılarak değerlendirilir.

  • dot1q: Paketleri 802.1Q etiketindeki VLAN kimliğine göre eşleştirir.
  • Parça: Paketleri IP parçaları olup olmadıklarına göre eşleştirir.
  • IP: Paketleri kaynak/hedef IP adresi, protokol ve DSCP gibi IP üst bilgi alanlarına göre eşleştirir.
  • Protokol: Paketleri protokol türüne göre eşleştirir.
  • Kaynak/Hedef: Paketleri bağlantı noktası numarasına veya aralığına göre eşleştirir.
  • TTL: Ip üst bilgisindeki Yaşam Süresi (TTL) değerine göre paketleri eşleştirir.
  • DSCP: PAKETLERI IP üst bilgisindeki Farklılaştırılmış Hizmetler Kod Noktası (DSCP) değerine göre eşleştirir.

Erişim Denetim Listesi'nin eylem özelliği

ACL deyiminin eylem özelliği aşağıdaki türlerden birine sahip olabilir:

  • İzin Ver: Belirtilen koşullarla eşleşen paketlere izin verir.
  • Bırakma: Belirtilen koşullarla eşleşen paketleri atar.
  • Sayı: Belirtilen koşullarla eşleşen paket sayısını sayar.

Sonraki adımlar:

NNI ve katman 3 yalıtım etki alanı dış ağları için Erişim Denetim Listesi (ACL) yönetimi oluşturma