本指南介绍如何设置网络数据包代理(NPB)以捕获、筛选和转发网络流量到监视工具(vProbes)。
先决条件
预配的 NPB 设备:确保 NPB 设备正确安装到机架、堆叠并完成预配。 有关详细信息,请参阅 网络构造预配。
vProbes 配置:应使用专用 IP 设置相应的 vProbes。
内部 vProbes (可选):如果使用内部 vProbes,请使用内部网络创建第 3 层隔离域。 必须配置所需的子网,并且必须为内部网络设置 NPB 扩展标志 。 有关详细信息,请参阅 隔离域。
网络到网络互连(NNI)用例:如果适用,请创建一种类型为
NPB的 NNI。 确保在创建过程中定义适当的第 2 层和第 3 层属性。 有关详细信息,请参阅 网络构造预配。
步骤 1:创建网络 TAP 规则
网络 TAP 规则定义要捕获的流量以及数据包匹配后要执行的作。
要点:
TAP 规则由一个或多个 匹配配置组成。
匹配条件 计算为逻辑 “AND” 元组;必须满足所有条件才能匹配数据包。
数据包与配置匹配后,将执行操作。
TAP 规则可以 在线 创建(Azure CLI、门户或 ARM)或通过 文件上传(从存储 URL 上传)。 文件更新支持 推送或拉取机制。
CLI 示例:
# Create a TAP rule
az networkfabric taprule create \
--resource-group <rg-name> \
--fabric-name <fabric-name> \
--name <taprule-name> \
--configurations <configurations-json>
# Update a TAP rule
az networkfabric taprule update --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>
# Delete a TAP rule
az networkfabric taprule delete --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>
# Show a TAP rule
az networkfabric taprule show --name <taprule-name> --resource-group <rg-name> --fabric-name <fabric-name>
步骤 2:创建邻居组
邻域组定义 TAP 转发的流量的目标。
要点:
- 目标可以包括 网络接口 或监视工具,如 vProbes。
- 负载均衡器后面的 IP 地址也可以用作目标,但流量将直接发送到指定的地址。
- 将多个目标分组可以简化配置。
CLI 示例:
# Create a neighbor group
az networkfabric neighborgroup create \
--resource-group <rg-name> \
--fabric-name <fabric-name> \
--name <neighborgroup-name> \
--destinations <destinations-json>
# Delete a neighbor group
az networkfabric neighborgroup delete --name <neighborgroup-name> --resource-group <rg-name> --fabric-name <fabric-name>
# Show a neighbor group
az networkfabric neighborgroup show --name <neighborgroup-name> --resource-group <rg-name> --fabric-name <fabric-name>
注释
对于邻域组,当前不支持更新操作。 通过 CLI 或 API 进行的更改将不会影响网络设备。
步骤 3:创建网络 TAP
网络 TAP 捕获来自指定源网络接口的流量,并根据 TAP 规则和邻居组转发流量。
要点:
- 关联在前面的步骤中创建的 TAP 规则和邻居组。
- 使用 Azure CLI、门户或 ARM 创建 TAP。
- 可以 启用或禁用 TAP 来启动或停止流量转发。
CLI 示例:
# Create a network TAP
az networkfabric tap create \
--resource-group <rg-name> \
--fabric-name <fabric-name> \
--name <tap-name> \
--source-interface <interface-id> \
--taprule <taprule-name> \
--neighborgroup <neighborgroup-name>
# Update a network TAP
az networkfabric tap update --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>
# Delete a network TAP
az networkfabric tap delete --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>
# Show a network TAP
az networkfabric tap show --name <tap-name> --resource-group <rg-name> --fabric-name <fabric-name>
步骤 4:启用或禁用网络 TAP
创建 TAP 后, 启用它 以启动数据包中转进程。 可以随时禁用它以停止转发流量。
CLI 示例:
# Enable a network TAP
az networkfabric tap update-admin-state \
--resource-group <rg-name> \
--fabric-name <fabric-name> \
--name <tap-name> \
--enabled true
# Disable a network TAP
az networkfabric tap update-admin-state \
--resource-group <rg-name> \
--fabric-name <fabric-name> \
--name <tap-name> \
--enabled false
操作备注
NPB 不分析流量;它仅捕获、筛选和转发数据包。
可以将多个 TAP 配置为同时监视不同的源。
可以动态应用对 TAP 规则或邻居组的更新,而不会中断其他流。
NPB 的常见错误
在网络数据包代理(NPB)配置期间,系统将所有控制路径错误分类为两大类:
错误请求 (400)
当请求无效时,将发生这种情况。 例如,缺少所需的参数、提供不正确的值或使用不受支持的架构。
建议的作: 查看请求有效负载,并确保所有必填字段和值都有效。内部服务器错误 (500)
当系统遇到意外情况(例如后端不可用或暂时性故障)时,会出现这种情况。
建议的操作: 几分钟后重试该操作。 如果问题仍然存在,请联系Microsoft支持部门。