UE IP アドレスにアクセスするための Azure Private 5G Core ネットワークを構成する
Azure Private 5G Core (AP5GC) は、組織の通信ニーズに対してセキュリティで保護された信頼性の高いネットワークを提供します。 データ ネットワーク (DN) からユーザー機器 (UE) IP アドレスにアクセスするには、適切なファイアウォール規則、ルート、およびその他の設定を構成する必要があります。 この記事では、必要な手順と考慮事項について説明します。
前提条件
開始する前に、以下が必要になります。
- Azure portal を使用した Azure Private 5G Core へのアクセス。
- 組織のネットワーク トポロジに関する知識。
- ネットワーク アドレス ポート変換 (NAPT) が無効になっている AP5GC。
重要
NAPT が有効になっているデプロイの使用は、UE がサーバーへの接続を開始し、サーバーが IP アドレスとポートの組み合わせを使用して UE クライアントを区別できる場合にのみ機能します。
サーバーが最初の接続を試みるか、ピンホールがタイムアウトになった後に UE に接続しようとすると、接続は失敗します。 - 構成に必要なネットワーク デバイス (ルーター、ファイアウォール、スイッチ、プロキシなど) へのアクセス。
- ネットワーク内のさまざまなポイントでパケット トレースをキャプチャする機能。
UE IP アドレスのアクセスを構成する
- データ ネットワークからアクセスするデバイスの IP アドレスを決定します。 これらの IP アドレスは、サイトの作成時に定義された IP プールに属します。
デバイスの IP アドレスは、次のいずれかの方法で確認できます- 分散トレースを確認するか、
- セッションをアタッチして作成するデバイスのパケット キャプチャを確認するか、
- または UE 用の統合ツール (コマンド ラインや UI など) を使用します。
- 使用しているクライアント デバイスが、AP5GC N6 (5G デプロイ) または SGi (4G デプロイ) ネットワークを介して UE に到達できることを確認します。
- クライアントが AP5GC N6/SGi インターフェイスと同じサブネット上にある場合、クライアント デバイスには UE サブネットへのルートが必要です。ネクスト ホップは、UE に割り当てられたデータ ネットワーク名 (DNN) に属する N6/SGi IP アドレスになります。
- それ以外の場合、クライアントと AP5GC の間にルーターまたはファイアウォールがある場合、UE サブネットへのルートには、ネクスト ホップとしてルーターまたはファイアウォールが必要です。
- UE 宛てのクライアント デバイス トラフィックが AP5GC N6 ネットワーク インターフェイスに到達していることを確認します。
- N6 アドレスとクライアント デバイス IP アドレスとの間の各ファイアウォールを確認します。
- クライアント デバイスと UE との間で予想されるトラフィックの種類がファイアウォール経由で許可されていることを確認します。
- TCP/UDP ポート、IP アドレス、プロトコルが必要な場合は、この手順を繰り返します。
- UE IP アドレス宛てのトラフィックを N6 インターフェイス IP アドレスに転送するルートが、ファイアウォールにあることを確認します。
- データ ネットワークからのトラフィックが RAN ネットワーク内の正しい宛先 IP アドレスに確実に転送されるように、ルーターで適切なルートを構成します。
- 構成をテストして、データ ネットワークから UE IP アドレスに正常にアクセスできることを確認します。
例
- UE: HTTPS を使用してアクセスできるスマート カメラ。 UE は AP5GC を使用して、オペレーターのマネージド サーバーに情報を送信します。
- ネットワーク トポロジ: N6 ネットワークには、セキュリティで保護された企業ネットワークとインターネットから分離するファイアウォールがあります。
- 要件: オペレーターの IT インフラストラクチャから、HTTPS を使用してスマート カメラにサインインできること。
解決策
- NAPT を無効にして AP5GC をデプロイします。
- 企業のファイアウォールにルールを追加して、企業ネットワークからスマート カメラの IP アドレスへの HTTPS トラフィックを許可します。
- ファイアウォールにルーティング構成を追加します。 スマート カメラの IP アドレス宛てのトラフィックを、AP5GC デプロイの UE に割り当てられた DN 名の N6 IP アドレスに転送します。
- N3 および N6 インターフェイスの意図するトラフィック フローを確認します。
- N3 および N6 インターフェイスでパケット キャプチャを同時に取得します。
- N3 インターフェイスでトラフィックを確認します。
- UE から N3 インターフェイスに到達すると予想されるトラフィックのパケット キャプチャを確認します。
- N3 インターフェイスから UE に向かうと予想されるトラフィックのパケット キャプチャを確認します。
- N6 インターフェイスでトラフィックを確認します。
- UE から N6 インターフェイスに到達すると予想されるトラフィックのパケット キャプチャを確認します。
- N6 インターフェイスから UE に向かうと予想されるトラフィックのパケット キャプチャを確認します。
- パケット キャプチャを取得して、ファイアウォールがスマート カメラとクライアント デバイス宛てのトラフィックを送受信していることを確認します。
結果
Azure Private 5G Core ネットワークは、データ ネットワークから UE IP アドレスにアクセスできます。