Configurer le réseau Azure Private 5G Core pour accéder aux adresses IP de l’équipement utilisateur

Azure Private 5G Core (AP5GC) fournit un réseau sécurisé et fiable pour les besoins de communication de votre organisation. Pour accéder aux adresses IP de l'équipement utilisateur (UE) à partir du réseau de données (DN), vous devez configurer les règles de pare-feu, les itinéraires et d'autres paramètres appropriés. Cet article vous guidera à travers les étapes et les considérations requises.

Prérequis

Avant de commencer, vous devez disposer des éléments suivants :

• Accédez à votre Azure Private 5G Core via le portail Azure.
• Connaissance de la topologie du réseau de votre organisation.
• Un AP5GC avec traduction de port d'adresse réseau (NAPT) désactivée.

  Important

  L’utilisation d’un déploiement où NAPT est activé ne fonctionne que si l’UE initie le contact avec le serveur et que le serveur est capable de différencier les clients UE à l’aide d’une combinaison d’adresse IP et de port.
  Si le serveur tente d'établir le contact initial ou tente de contacter un UE après l'expiration du délai d'attente, la connexion échouera.

• Accès à tous les périphériques réseau nécessaires à la configuration (par exemple, routeurs, pare-feu, commutateurs, proxys).
• Capacité à capturer des traces de paquets à différents points de votre réseau.

Configurez l'accès aux adresses IP UE

1. Déterminez les adresses IP des appareils auxquels vous souhaitez accéder à partir du réseau de données. Ces adresses IP appartiennent au pool IP défini lors de la création du site.
   Vous pouvez voir les adresses IP des appareils soit en
   • vérification du traçage distribué,
   • vérification des captures de paquets du périphérique se connectant et créant une session,
   • ou en utilisant des outils intégrés pour l'UE (par exemple, la ligne de commande ou l'interface utilisateur).
2. Confirmez que le périphérique client que vous utilisez peut atteindre l'UE via le réseau AP5GC N6 (dans un déploiement 5G) ou SGi (dans un déploiement 4G).
   • Si le client se trouve sur le même sous-réseau que l'interface AP5GC N6/SGi, le périphérique client doit disposer d'une route vers le sous-réseau UE et le saut suivant doit être vers l'adresse IP N6/SGi qui appartient au nom du réseau de données (DNN) attribué à l'UE.
   • Sinon, s’il existe un routeur ou un pare-feu entre le client et AP5GC, la route vers le sous-réseau UE doit avoir le routeur ou le pare-feu comme saut suivant.
3. Assurez-vous que le trafic du périphérique client destiné à l'UE atteint l'interface réseau AP5GC N6.
   1. Vérifiez chaque pare-feu entre l’adresse N6 et l’adresse IP du périphérique client.
   2. Assurez-vous que le type de trafic attendu entre le périphérique client et l’UE est autorisé à traverser le pare-feu.
   3. Répétez l'opération pour les ports TCP/UDP, les adresses IP et les protocoles requis.
   4. Assurez-vous que le pare-feu dispose de routes pour transférer le trafic destiné à l’adresse IP UE vers l’adresse IP de l’interface N6.
4. Configurez les itinéraires appropriés dans vos routeurs pour garantir que le trafic du réseau de données est dirigé vers les adresses IP de destination correctes dans le réseau RAN.
5. Testez la configuration pour vous assurer que vous pouvez accéder avec succès aux adresses IP UE à partir du réseau de données.

Exemple

• UE : Une caméra intelligente accessible via HTTPS. L'UE utilise AP5GC pour envoyer des informations au serveur géré par un opérateur.
• Topologie du réseau : Le réseau N6 dispose d'un pare-feu le séparant du réseau sécurisé de l'entreprise et d'Internet.
• Exigence : Depuis l'infrastructure informatique de l'opérateur, il est possible de se connecter à la caméra intelligente via HTTPS.

Solution

1. Déployez AP5GC avec NAPT désactivé.
2. Ajoutez des règles au pare-feu d’entreprise pour autoriser le trafic HTTPS du réseau d’entreprise vers l’adresse IP de la caméra intelligente.
3. Ajoutez une configuration de routage au pare-feu. Transférez le trafic destiné à l'adresse IP de la caméra intelligente vers l'adresse IP N6 du nom DN attribué à l'UE dans le déploiement AP5GC.
4. Vérifiez les flux de trafic prévus pour les interfaces N3 et N6.
   1. Effectuez des captures de paquets sur les interfaces N3 et N6 simultanément.
   2. Vérifiez le trafic sur l'interface N3.
      1. Vérifiez la capture de paquets pour le trafic attendu atteignant l'interface N3 depuis l'UE.
      2. Vérifiez la capture de paquets pour le trafic attendu quittant l'interface N3 vers l'UE.
   3. Vérifiez le trafic sur l'interface N6.
      1. Vérifiez la capture de paquets pour le trafic attendu atteignant l'interface N6 depuis l'UE.
      2. Vérifiez la capture de paquets pour le trafic attendu quittant l'interface N6 vers l'UE.
5. Effectuez des captures de paquets pour vérifier que le pare-feu reçoit et envoie le trafic destiné à la caméra intelligente et au périphérique client.

Résultat

Votre réseau Azure Private 5G Core peut accéder aux adresses IP UE à partir du réseau de données.