Konfigurowanie prywatnej sieci azure 5G Core na potrzeby uzyskiwania dostępu do adresów IP UE

Usługa Azure Private 5G Core (AP5GC) zapewnia bezpieczną i niezawodną sieć na potrzeby komunikacji organizacji. Aby uzyskać dostęp do adresów IP sprzętu użytkownika (UE) z sieci danych (DN), należy skonfigurować odpowiednie reguły zapory, trasy i inne ustawienia. Ten artykuł przeprowadzi Cię przez kroki i zagadnienia, które są wymagane.

Wymagania wstępne

Przed rozpoczęciem musisz mieć następujące elementy:

• Dostęp do prywatnego rdzenia 5G platformy Azure za pośrednictwem witryny Azure Portal.
• Znajomość topologii sieci organizacji.
• Protokół AP5GC z wyłączonym translacja portów adresów sieciowych (NAPT).

  Ważne

  Przy użyciu wdrożenia, w którym włączono funkcję NAPT, działa tylko wtedy, gdy ue inicjuje kontakt z serwerem, a serwer może rozróżnić klientów UE przy użyciu kombinacji adresu IP i portu.
  Jeśli serwer spróbuje nawiązać początkowy kontakt lub spróbuje skontaktować się z UE po upłynął limit czasu otworu, połączenie zakończy się niepowodzeniem.

• Dostęp do wszelkich niezbędnych urządzeń sieciowych do konfiguracji (na przykład routerów, zapór, przełączników, serwerów proxy).
• Możliwość przechwytywania śladów pakietów w różnych punktach sieci.

Konfigurowanie dostępu do adresów IP ue

1. Określ adresy IP urządzeń, do których chcesz uzyskać dostęp z sieci danych. Te adresy IP należą do puli adresów IP zdefiniowanej podczas tworzenia lokacji.
   Adresy IP dla urządzeń można wyświetlić według jednego z następujących adresów:
   • sprawdzanie śledzenia rozproszonego,
   • sprawdzanie przechwytywania pakietów urządzenia dołączającego i tworzenia sesji,
   • lub przy użyciu zintegrowanych narzędzi dla ue (na przykład wiersza polecenia lub interfejsu użytkownika).
2. Upewnij się, że używane urządzenie klienckie może uzyskać dostęp do ue za pośrednictwem sieci N6 AP5GC (we wdrożeniu 5G) lub SGi (we wdrożeniu 4G).
   • Jeśli klient znajduje się w tej samej podsieci co interfejs AP5GC N6/SGi, urządzenie klienckie powinno mieć trasę do podsieci UE, a następnym przeskokiem powinien być adres IP N6/SGi, który należy do nazwy sieci danych (DNN) przypisanej do UE.
   • W przeciwnym razie, jeśli istnieje router lub zapora między klientem a AP5GC, trasa do podsieci UE powinna mieć router lub zaporę jako następny przeskok.
3. Upewnij się, że ruch urządzenia klienckiego kierowany do ue dociera do interfejsu sieciowego AP5GC N6.
   1. Sprawdź każdą zaporę między adresem N6 i adresem IP urządzenia klienckiego.
   2. Upewnij się, że typ ruchu oczekiwanego między urządzeniem klienckim a interfejsem UE może przechodzić przez zaporę.
   3. Powtarzaj dla wymaganych portów TCP/UDP, adresów IP i protokołów.
   4. Upewnij się, że zapora ma trasy do przesyłania dalej ruchu kierowanego do adresu IP UE do adresu IP interfejsu N6.
4. Skonfiguruj odpowiednie trasy w routerach, aby upewnić się, że ruch z sieci danych jest kierowany do prawidłowych docelowych adresów IP w sieci RAN.
5. Przetestuj konfigurację, aby upewnić się, że można pomyślnie uzyskać dostęp do adresów IP UE z sieci danych.

Przykład

• UE: inteligentny aparat, do którego można uzyskać dostęp przy użyciu protokołu HTTPS. Ue używa usługi AP5GC do wysyłania informacji do serwera zarządzanego operatora.
• Topologia sieci: sieć N6 ma zaporę oddzielającą ją od bezpiecznej sieci firmowej i z Internetu.
• Wymaganie: Z poziomu infrastruktury IT operatora można zalogować się do inteligentnej kamery przy użyciu protokołu HTTPS.

Rozwiązanie

1. Wdróż usługę AP5GC z wyłączoną funkcją NAPT.
2. Dodaj reguły do zapory przedsiębiorstwa, aby zezwolić na ruch HTTPS z sieci firmowej do adresu IP inteligentnej kamery.
3. Dodaj konfigurację routingu do zapory. Przekazywanie ruchu kierowanego do adresu IP kamery inteligentnej do adresu IP N6 nazwy DN przypisanej do UE we wdrożeniu AP5GC.
4. Sprawdź zamierzony przepływ ruchu dla interfejsów N3 i N6.
   1. Przechwyć pakiety w interfejsie N3 i N6 jednocześnie.
   2. Sprawdź ruch w interfejsie N3.
      1. Sprawdź przechwytywanie pakietów pod kątem oczekiwanego ruchu docierającego do interfejsu N3 z ue.
      2. Sprawdź przechwytywanie pakietów pod kątem oczekiwanego ruchu opuszczającego interfejs N3 w kierunku UE.
   3. Sprawdź ruch w interfejsie N6.
      1. Sprawdź przechwytywanie pakietów pod kątem oczekiwanego ruchu docierającego do interfejsu N6 z ue.
      2. Sprawdź przechwytywanie pakietów pod kątem oczekiwanego ruchu opuszczającego interfejs N6 w kierunku UE.
5. Przechwyć pakiety, aby sprawdzić, czy zapora odbiera i wysyła ruch kierowany do inteligentnej kamery oraz do urządzenia klienckiego.

Wynik

Twoja sieć prywatna 5G Core platformy Azure może uzyskiwać dostęp do adresów IP UE z sieci danych.