Aracılığıyla paylaş

Erişim Denetim Listesi Oluşturma ve Yapılandırma Örnekleri

  • Makale

Bu makalede Erişim Denetim Listeleri (ACLS) oluşturma ve güncelleştirme örnekleri verilmektedir.

ACL oluşturma akışına genel bakış

Ağdan Ağa Bağlantı (NNI) ile ilişkilendirilmiş bir Erişim Denetim Listesi (ACL) oluşturmak şu adımları içerir:

  • Bir Network Fabric kaynağı oluşturun ve buna bir NNI alt kaynağı ekleyin.

  • komutunu kullanarak az networkfabric acl create giriş ve çıkış ACL kaynakları oluşturun. Eşleştirme yapılandırmalarını ve ACL için varsayılan eylemi sağlayabilirsiniz. Dinamik eşleştirme yapılandırmalarını satır içinde veya Azure depolama hesabı blob kapsayıcınızda depolanan bir dosyada da sağlayabilirsiniz.

  • komutunu kullanarak NNI kaynağını giriş ve çıkış ACL kimlikleriyle güncelleştirin az networkfabric nni update . ve --egress-acl-id parametrelerinde --ingress-acl-id geçerli ACL kaynak kimlikleri sağlamanız gerekir.

  • komutunu kullanarak Network Fabric kaynağını sağlayın az networkfabric fabric provision . Bu, ACL'ler için temel yapılandırmayı ve dinamik eşleşme yapılandırmasını oluşturur ve bunları cihazlara gönderir.

ACL güncelleştirme akışına genel bakış

  • Önceki bölümde açıklandığı gibi kullanarak az networkfabric acl create giriş ve çıkış ACL kaynakları oluşturun.

  • komutunu kullanarak giriş veya çıkış ACL'sini güncelleştirin az networkfabric acl update .

  • ACL'nin yapılandırma durumunun olduğunu accepteddoğrulayın.

  • Doku yapılandırma durumunun olduğunu accepteddoğrulayın.

  • ACL'yi güncelleştirmek için Doku İşleme'yi yürütür.

Örnek komutlar

Ağdan Ağa Bağlantıda Erişim Denetimi listesi

Bu örnekte, biri giriş, diğeri çıkış için olmak üzere iki ACL ile NNI'nin nasıl oluşturulacağı gösterilmektedir.

Ağ Dokusu sağlanmadan önce ACL'lerin uygulanması gerekir. Bu sınırlama geçicidir ve gelecek sürümde kaldırılacaktır. Giriş ve çıkış ACL'leri NNI kaynağından önce oluşturulur ve NNI oluşturulduğunda başvurulur ve bu da ACL'lerin oluşturulmasını tetikler. Ağ dokusu sağlanmadan önce bu yapılandırma yapılmalıdır.

Giriş ACL'sini oluşturma: örnek komut

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Çıkış ACL'si oluştur: örnek komut

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Yalıtım etki alanı dış ağında Erişim Denetimi Listesi

Komutunu kullanarak az networkfabric acl create dış ağ için giriş ve çıkış ACL'leri oluşturun. Örnekte kaynak grubunu, adı, konumu, ağ dokusu kimliğini, dış ağ kimliğini ve diğer parametreleri belirteceğiz. ve --action parametrelerini kullanarak --match ACL kuralları için eşleştirme koşullarını ve eylemlerini de belirtebilirsiniz.

Bu komut, herhangi bir kaynaktan dış ağa ICMP trafiğine izin veren adlı acl-ingress bir giriş ACL'sini oluşturur:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update Dış ağı kaynak grubu, ad ve ağ dokusu kimliğiyle güncelleştirmek için komutunu kullanın. Ve parametrelerini kullanarak --ingress-acl-id --egress-acl-id giriş ve çıkış ACL kimliklerini de belirtmeniz gerekir. Örneğin, aşağıdaki komut adlı dış ağı, adlı ext-net giriş ACL'sine başvuracak şekilde acl-ingressgüncelleştirir:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Diğer örnek senaryolar ve komutlar

HTTP ve HTTPS dışındaki tüm trafiği reddeden bir NNI için çıkış ACL'sini oluşturmak için şu komutu kullanabilirsiniz:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Mevcut bir ACL'yi yeni bir eşleşme koşulu ve eylemi eklemek üzere güncelleştirmek için şu komutu kullanabilirsiniz:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Bir kaynak grubundaki tüm ACL'leri listelemek için şu komutu kullanabilirsiniz:

az networkfabric acl list --resource-group myResourceGroup

Belirli bir ACL'nin ayrıntılarını göstermek için şu komutu kullanabilirsiniz:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

ACL'yi silmek için şu komutu kullanabilirsiniz:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup