Konfigurace privátní sítě Azure 5G Core pro přístup k IP adresě UE

Azure Private 5G Core (AP5GC) poskytuje zabezpečenou a spolehlivou síť pro potřeby komunikace vaší organizace. Pokud chcete získat přístup k IP adresám uživatelských zařízení z datové sítě (DN), musíte nakonfigurovat příslušná pravidla brány firewall, trasy a další nastavení. Tento článek vás provede kroky a požadavky.

Požadavky

Než začnete, musíte mít:

• Přístup k privátnímu 5G Core Azure prostřednictvím webu Azure Portal.
• Znalost síťové topologie vaší organizace
• Ap5GC se zakázaným překladem síťových adres (NAPT).

  Důležité

  Použití nasazení s povoleným překladem adres (NAPT) funguje jenom v případě, že UE inicializuje kontakt na server a server dokáže lišit klienty UE pomocí kombinace IP adresy a portu.
  Pokud se server pokusí vytvořit počáteční kontakt nebo se pokusí kontaktovat uživatele po vypršení časového limitu pinhole, připojení se nezdaří.

• Přístup ke všem potřebným síťovým zařízením pro konfiguraci (například směrovače, brány firewall, přepínače, proxy servery).
• Schopnost zachytávat trasování paketů v různých bodech sítě

Konfigurace přístupu IP adres UE

1. Určete IP adresy zařízení, ke kterým chcete získat přístup z datové sítě. Tyto IP adresy patří fond IP adres definovaný během vytváření lokality.
   IP adresy pro zařízení můžete zobrazit pomocí
   • kontrola distribuovaného trasování,
   • kontrola zachytávání paketů při připojování a vytváření relace,
   • nebo použijte integrované nástroje pro UE (například příkazový řádek nebo uživatelské rozhraní).
2. Ověřte, že klientské zařízení, které používáte, se může spojit s uživatelem prostřednictvím sítě AP5GC N6 (v nasazení 5G) nebo SGi (v síti pro nasazení 4G).
   • Pokud je klient ve stejné podsíti jako rozhraní AP5GC N6/SGi, klientské zařízení by mělo mít trasu do podsítě UE a dalším segmentem směrování by mělo být IP adresa N6/SGi, která patří k názvu datové sítě (DNN) přiřazené k uživatelskému prostředí.
   • Jinak pokud je mezi klientem nebo bránou firewall směrovač nebo brána firewall, měla by trasa do podsítě UE obsahovat směrovač nebo bránu firewall jako další segment směrování.
3. Ujistěte se, že provoz klientských zařízení určených k uživatelskému prostředí dosáhne síťového rozhraní AP5GC N6.
   1. Zkontrolujte každou bránu firewall mezi adresou N6 a IP adresou klientského zařízení.
   2. Ujistěte se, že typ očekávaného provozu mezi klientským zařízením a uživatelským prostředím může projít bránou firewall.
   3. Opakujte pro porty TCP/UDP, požadované IP adresy a protokoly.
   4. Ujistěte se, že brána firewall obsahuje trasy pro přesměrování provozu směřujícího na IP adresu uživatelského rozhraní na IP adresu rozhraní N6.
4. Nakonfigurujte ve směrovačích odpovídající trasy, abyste měli jistotu, že se provoz z datové sítě směruje na správné cílové IP adresy v síti RAN.
5. Otestujte konfiguraci, abyste měli jistotu, že se z datové sítě úspěšně dostanete k IP adresě UE.

Příklad

• UE: Inteligentní fotoaparát, ke kterému je možné přistupovat pomocí protokolu HTTPS. UE používá AP5GC k odesílání informací na spravovaný server operátora.
• Síťová topologie: Síť N6 má bránu firewall, která ji odděluje od zabezpečené podnikové sítě a od internetu.
• Požadavek: Z INFRASTRUKTURY IT operátora se může přihlásit k inteligentní kameře pomocí PROTOKOLU HTTPS.

Řešení

1. Nasaďte AP5GC se zakázaným naPT.
2. Přidejte do podnikové brány firewall pravidla, která povolí provoz HTTPS z podnikové sítě na IP adresu inteligentní kamery.
3. Přidejte konfiguraci směrování do brány firewall. Přesměrovávat provoz směřující na IP adresu inteligentní kamery na IP adresu N6 názvu DN přiřazeného uživatelskému prostředí v nasazení AP5GC.
4. Ověřte zamýšlené toky provozu pro rozhraní N3 a N6.
   1. Zachytávání paketů na rozhraní N3 a N6 současně.
   2. Zkontrolujte provoz v rozhraní N3.
      1. Zkontrolujte zachytávání paketů očekávané přenosy do rozhraní N3 z UE.
      2. Zkontrolujte zachytávání paketů očekávaný provoz, který opouští rozhraní N3 směrem k uživatelskému prostředí.
   3. Zkontrolujte provoz v rozhraní N6.
      1. Zkontrolujte zachytávání paketů očekávané přenosy do rozhraní N6 z UE.
      2. Zkontrolujte zachytávání paketů očekávaný provoz, který opouští rozhraní N6 směrem k uživatelskému prostředí.
5. Zachytávání paketů zkontrolujte, jestli brána firewall přijímá i odesílá provoz směřující do inteligentní kamery a do klientského zařízení.

Výsledek

Vaše privátní síť Azure 5G Core má přístup k IP adresě UE z datové sítě.