Руководство. Создание примера набора конфигурации управления политикой для Azure Private 5G Core

Azure Private 5G Core обеспечивает гибкую обработку трафика. Вы можете настроить, как экземпляр ядра пакета применяет характеристики качества обслуживания (QoS) к трафику в соответствии с потребностями. Вы также можете блокировать или ограничивать определенные потоки. В этом руководстве описано, как создать службы и политики SIM-карты для распространенных вариантов использования, а затем подготовить SIM-карты для использования новой конфигурации управления политикой.

Из этого руководства вы узнаете, как выполнять следующие задачи:

• Создайте новую службу, которая фильтрует пакеты по протоколу.
• Создайте новую службу, которая блокирует трафик, помеченный определенными удаленными IP-адресами и портами.
• Создайте новую службу, которая ограничивает пропускную способность трафика в соответствующих потоках.
• Создайте две новые политики SIM-карты и назначьте им службы.
• Подготовьте две новые SIM-карты и назначьте им политики SIM.

Предварительные требования

• Ознакомьтесь со сведениями в разделе Управление политиками и ознакомьтесь с конфигурацией элемента управления политиками 5G Core для частных клиентов Azure.
• Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, определенной в разделе Выполнение необходимых задач для развертывания частной мобильной сети. Эта учетная запись должна иметь встроенную роль Участника в область подписки.
• Определите имя ресурса мобильной сети, соответствующее вашей частной мобильной сети.
• Определите имя ресурса Slice, соответствующего вашему сетевому срезу.
  • Если вы хотите назначить политику для SIM-карты 5G, можно выбрать любой срез.
  • Если вы хотите назначить политику для SIM-карты 4G, необходимо выбрать срез, настроенный со значением типа среза или службы (SST), равным 1, и пустым разделителем среза (SD).

Создание службы для фильтрации протоколов

На этом шаге мы создадим службу, которая фильтрует пакеты по их протоколу. В частности, он будет выполнять следующие действия:

• Блокировать передачу пакетов ICMP из UEs.
• Блокировать UDP-пакеты, исходящие из UEs через порт 11.
• Разрешите весь остальной трафик ICMP и UDP в обоих направлениях, но без другого IP-трафика.

Чтобы создать службу, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.

   

3. В меню Ресурс выберите Службы.

   

4. На панели команд выберите Создать.

   

5. Теперь мы введем значения, чтобы определить характеристики качества обслуживания, которые будут применяться к потокам данных службы (SDF), соответствующим этой службе. На вкладке Основные сведения заполните поля следующим образом.

   Поле	Значение
   Имя службы	service_restricted_udp_and_icmp
   Приоритет службы	100
   Максимальная скорость передачи (MBR) — исходящей связи	2 Gbps
   Максимальная скорость передачи (MBR) — по downlink	2 Gbps
   Уровень приоритета распределения и хранения	2
   5QI/QCI	9
   Возможность вытеснения	Выберите Может не упрещать.
   Уязвимость вытеснения	Выберите Не вытесняемый.

6. В разделе Правила политики потока данных выберите Добавить правило политики.

   

7. Теперь мы создадим правило политики потока данных, которое блокирует все пакеты, соответствующие шаблону потока данных, который мы настроим на следующем шаге. В разделе Добавление правила политики справа заполните поля, как показано ниже.

   Поле	Значение
   Имя правила	rule_block_icmp_and_udp_uplink_traffic
   Приоритет правил политики	Выберите 10.
   Разрешить трафик	Выберите Заблокировано.

8. Теперь мы создадим шаблон потока данных, соответствующий пакетам ICMP, исходящим из UEs, чтобы они могли быть заблокированы правилом rule_block_icmp_uplink_traffic . В разделе Шаблоны потока данных выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

   Поле	Значение
   Имя шаблона	icmp_uplink_traffic
   Протоколы	Выберите ICMP.
   Направление	Выберите Канал исходящей связи.
   Удаленные IP-адреса	any
   Порты	Не указывайте.

9. Выберите Добавить.

   

10. Давайте создадим еще один шаблон потока данных для того же правила, которое соответствует UDP-пакетам, исходящим из UEs через порт 11.

    В разделе Шаблоны потока данных выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

    Поле	Значение
    Имя шаблона	udp_uplink_traffic_port_11
    Протоколы	Выберите UDP.
    Направление	Выберите Канал исходящей связи.
    Удаленные IP-адреса	any
    Порты	11

11. Выберите Добавить.

12. Теперь мы можем завершить правило. В разделе Добавление правила политики выберите Добавить.

    

13. Наконец, мы создадим правило потока политики данных, которое разрешает весь остальной трафик ICMP и UDP.

    Выберите Добавить правило политики , а затем заполните поля в разделе Добавление правила политики справа, как показано ниже.

    Поле	Значение
    Имя правила	rule_allow_other_icmp_and_udp_traffic
    Приоритет правил политики	Выберите 15.
    Разрешить трафик	Щелкните Включено.

14. Теперь мы вернемся к экрану Создание службы . Мы создадим шаблон потока данных, который соответствует всем ICMP и UDP в обоих направлениях.

    В разделе Правила политики потока данных выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

    Поле	Значение
    Имя шаблона	icmp_and_udp_traffic
    Протоколы	Установите флажки UDP и ICMP .
    Направление	Выберите Двунаправленный.
    Удаленные IP-адреса	any
    Порты	Не указывайте.

15. Выберите Добавить.

16. Теперь мы можем завершить работу с правилом. В разделе Добавление правила политики выберите Добавить.

17. Теперь у нас есть два настроенных правила политики потока данных для службы, которые отображаются под заголовком Правила политики потока данных .

    Обратите внимание, что rule_block_icmp_and_udp_uplink_traffic правило имеет меньшее значение для поля Приоритет правила политики , чем rule_allow_other_icmp_and_udp_traffic правило (10 и 15 соответственно). Правила с более низкими значениями имеют более высокий приоритет. Это гарантирует, что rule_block_icmp_and_udp_uplink_traffic правило блокировки пакетов будет применено первым, прежде чем более широкое rule_allow_other_icmp_and_udp_traffic применяется ко всем оставшимся пакетам.

    

18. На вкладке Основные сведения о конфигурации выберите Просмотр и создание.

19. Выберите Создать, чтобы создать службу.

    

20. При создании службы в портал Azure отобразится следующий экран подтверждения. Выберите Перейти к ресурсу , чтобы просмотреть новый ресурс службы.

    

21. Убедитесь, что характеристики QoS, правила политики потока данных и шаблоны потоков данных службы, перечисленные в нижней части экрана, настроены должным образом.

    

Создание службы для блокировки трафика из определенных источников

На этом шаге мы создадим службу, которая блокирует трафик из определенных источников. В частности, он будет выполнять следующие действия:

• Блокировать UDP-пакеты с удаленным адресом 10.204.141.200 и портом 12, поступающими в UEs.
• Блокировать UDP-пакеты, помеченные любым удаленным адресом в диапазоне 10.204.141.0/24 и порте 15, которые передаются в обоих направлениях

Чтобы создать службу, выполните следующие действия.

1. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.

2. В меню Ресурс выберите Службы.

3. На панели команд выберите Создать.

4. Теперь мы введем значения, чтобы определить характеристики качества обслуживания, которые будут применяться к sdfs, которые соответствуют этой службе. На вкладке Основные сведения заполните поля следующим образом.

   Поле	Значение
   Имя службы	service_blocking_udp_from_specific_sources
   Приоритет службы	150
   Максимальная скорость передачи (MBR) — исходящей связи	2 Gbps
   Максимальная скорость передачи (MBR) — нисходящей связи	2 Gbps
   Уровень приоритета выделения и хранения	2
   5QI/QCI	9
   Возможность вытеснения	Выберите Может не вытеснять.
   Уязвимость вытеснения	Выберите Не вытесняемый.

5. В разделе Правила политики потока данных выберите Добавить правило политики.

   

6. Теперь мы создадим правило политики потока данных, которое блокирует все пакеты, соответствующие шаблону потока данных, который мы настроим на следующем шаге. В разделе Добавление правила политики справа заполните поля следующим образом.

   Поле	Значение
   Имя правила	rule_block_udp_from_specific_sources
   Приоритет правил политики	Выберите 11.
   Разрешить трафик	Выберите Заблокировано.

7. Далее мы создадим шаблон потока данных, который соответствует UDP-пакетам, передаваемым в UEs с 10.204.141.200 через порт 12, чтобы они могли быть заблокированы правилом rule_block_udp_from_specific_sources .

   В разделе Шаблоны потока данных выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

   Поле	Значение
   Имя шаблона	udp_downlink_traffic
   Протоколы	Выберите UDP.
   Направление	Выберите Понижаемая ссылка.
   Удаленные IP-адреса	10.204.141.200/32
   Порты	12

8. Выберите Добавить.

9. Наконец, мы создадим еще один шаблон потока данных для того же правила, которое соответствует UDP-пакетам, передаваемым в любом направлении, помеченным любым удаленным адресом в диапазоне 10.204.141.0/24 и портом 15.

   В разделе Шаблоны потока данных выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

   Поле	Значение
   Имя шаблона	udp_bidirectional_traffic
   Протоколы	Выберите UDP.
   Направление	Выберите Двунаправленный.
   Удаленные IP-адреса	10.204.141.0/24
   Порты	15

10. Выберите Добавить.

11. Теперь мы можем завершить работу с правилом. В разделе Добавление правила политики выберите Добавить.

    

    Снимок экрана: портал Azure. На нем отображается экран Добавление правила политики со всеми полями, правильно заполненными для правила блокировки определенного трафика UDP. Он включает два настроенных шаблона потока данных. Первые совпадения с UDP-пакетами, поступающими в UEs, с 10.204.141.200 через порт 12. Второй соответствует UDP-пакетам, передаваемым в любом направлении, которые помечены любым удаленным адресом в диапазоне 10.204.141.0/24 и портом 15. Выбрана кнопка "Добавить".

12. Теперь у нас есть одно правило политики потока данных для службы для блокировки трафика UDP. Он отображается под заголовком Правила политики потока данных .

    

13. На вкладке Основные сведения о конфигурации выберите Просмотр и создание.

14. Выберите Создать, чтобы создать службу.

    

15. При создании службы в портал Azure отобразится следующий экран подтверждения. Выберите Перейти к ресурсу , чтобы просмотреть новый ресурс службы.

    

16. Убедитесь, что правила политики потока данных и шаблоны потоков данных службы, перечисленные в нижней части экрана, настроены должным образом.

    

Создание службы для ограничения трафика

На этом шаге мы создадим службу, которая ограничивает пропускную способность трафика в соответствующих потоках. В частности, он будет выполнять следующие действия:

• Ограничьте максимальную скорость передачи (MBR) для пакетов, передаваемых из UEs, до 10 Мбит/с.
• Ограничьте максимальную скорость передачи пакетов (MBR) до 15 Мбит/с.

Чтобы создать службу, выполните следующие действия.

1. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.

2. В меню Ресурс выберите Службы.

3. На панели команд выберите Создать.

4. Теперь мы введем значения, чтобы определить характеристики качества обслуживания, которые будут применяться к sdfs, которые соответствуют этой службе. Для установки ограничений пропускной способности мы будем использовать поля Максимальная скорость передачи данных (MBR) — исходящей канал и Максимальная скорость передачи (MBR) — нисходящей связи . На вкладке Основные сведения заполните поля следующим образом.

   Поле	Значение
   Имя службы	service_traffic_limits
   Приоритет службы	250
   Максимальная скорость передачи (MBR) — исходящей связи	10 Mbps
   Максимальная скорость передачи (MBR) — нисходящей связи	15 Mbps
   Уровень приоритета выделения и хранения	2
   5QI/QCI	9
   Возможность вытеснения	Выберите Может не вытеснять.
   Уязвимость вытеснения	Выберите Выемка.

5. В разделе Правила политики потока данных выберите Добавить правило политики.

   

6. В разделе Добавление правила политики справа заполните поля следующим образом.

   Поле	Значение
   Имя правила	rule_bidirectional_limits
   Приоритет правил политики	Выберите 22.
   Разрешить трафик	Щелкните Включено.

7. Теперь мы создадим шаблон потока данных, который соответствует всему IP-трафику в обоих направлениях.

   Выберите Добавить шаблон потока данных. Во всплывающем окне Добавление шаблона потока данных заполните поля следующим образом.

   Поле	Значение
   Имя шаблона	ip_traffic
   Протоколы	Выберите Все.
   Направление	Выберите Двунаправленный.
   Удаленные IP-адреса	any
   Порты	Не указывайте

8. Выберите Добавить.

9. Теперь мы можем завершить работу с правилом. В разделе Добавление правила политики выберите Добавить.

   

10. Теперь в службе настроено одно правило политики потока данных.

    

11. На вкладке Основные сведения о конфигурации выберите Просмотр и создание.

12. Выберите Создать, чтобы создать службу.

    

13. При создании службы в портал Azure отобразится следующий экран подтверждения. Выберите Перейти к ресурсу , чтобы просмотреть новый ресурс службы.

    

14. Убедитесь, что правила политики потока данных и шаблоны потоков данных службы, перечисленные в нижней части экрана, настроены должным образом.

    

Настройка политик SIM-карт

На этом шаге мы создадим две политики SIM-карты. Первая политика SIM-карты будет использовать службу, созданную в разделе Создание службы для фильтрации протокола, а вторая — службу, созданную в разделе Создание службы, для блокировки трафика из определенных источников. Обе политики SIM-карты будут использовать третью службу, созданную в разделе Создание службы для ограничения трафика.

Примечание

Так как каждая политика SIM-карты будет иметь несколько служб, в этих службах будут пакеты, соответствующие нескольким правилам. Например, пакеты ICMP для нисходящей ссылки будут соответствовать следующим правилам:

• Правило rule_allow_other_icmp_and_udp_traffic для service_restricted_udp_and_icmp службы.
• Правило rule_bidirectional_limits для service_traffic_limits службы.

В этом случае экземпляр ядра пакета будет определять приоритет службы с наименьшим значением поля Приоритет службы . Затем к пакетам будут применены характеристики качества обслуживания этой службы. В приведенном выше service_restricted_udp_and_icmp примере служба имеет меньшее значение (100), чем service_traffic_limits служба (250). Таким образом, экземпляр ядра пакета будет применять характеристики качества обслуживания, заданные service_restricted_udp_and_icmp в службе, для нисходящей связи пакетов ICMP.

Давайте создадим политики SIM-карты.

1. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.

   

2. В меню Ресурс выберите Политики SIM-карты.

   

3. На панели команд выберите Создать.

4. В разделе Создание политики SIM-карты заполните поля следующим образом.

   Поле	Значение
   Имя политики	sim-policy-1
   Общая разрешенная пропускная способность — исходящей связи	10 Gbps
   Общая разрешенная пропускная способность — нисходящей связи	10 Gbps
   Срез по умолчанию	Выберите имя сетевого среза.
   Таймер регистрации	3240
   Индекс RFSP	2

5. Выберите Добавить сетевой область.

   

6. В разделе Добавление сетевого область заполните поля следующим образом.

   Поле	Значение
   Срез	Выберите срез по умолчанию .
   Сеть данных	Выберите любую сеть передачи данных, к которой подключается частная мобильная сеть.
   Конфигурация службы	Выберите service_restricted_udp_and_icmp и service_traffic_limits.
   Максимальная скорость агрегирования сеанса — исходящей связи	2 Gbps
   Максимальная скорость агрегирования сеанса — понижаемая связь	2 Gbps
   5QI/QCI	9
   Уровень приоритета распределения и хранения	9
   Возможность вытеснения	Выберите Может не упрещать.
   Уязвимость вытеснения	Выберите Preemptible (Вымещать).
   Тип сеанса по умолчанию	Выберите значение IPv4.

7. Выберите Добавить.

   

8. На вкладке Основные сведения о конфигурации выберите Просмотр и создание.

9. На вкладке Проверка и создание выберите Проверка и создание.

   

10. При создании политики SIM-карты в портал Azure отобразится следующий экран подтверждения.

    

11. Выберите Перейти к группе ресурсов.

12. В появившемся списке ресурсов выберите ресурс Мобильной сети , представляющий частную мобильную сеть.

13. В меню Ресурс выберите Политики SIM-карты.

    

14. Выберите sim-policy-1.

    

15. Убедитесь, что конфигурация политики SIM-карты соответствует ожидаемой.

    • Параметры верхнего уровня для политики SIM-карты отображаются под заголовком Основные сведения .
    • Конфигурация область сети отображается в разделе Сетевые область, включая настроенные службы в разделе Конфигурация службы и конфигурация качества обслуживания в разделе Качество обслуживания (QoS).

    

16. Теперь мы создадим другую политику SIM-карты. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть, для которой требуется настроить службу.

17. В меню Ресурс выберите Политики SIM-карты.

18. На панели команд выберите Создать.

19. В разделе Создание политики SIM-карты справа заполните поля следующим образом.

    Поле	Значение
    Имя политики	sim-policy-2
    Общая разрешенная пропускная способность — исходящей связи	10 Gbps
    Общая разрешенная пропускная способность — попустимая связь	10 Gbps
    Срез по умолчанию	Выберите имя среза сети.
    Таймер регистрации	3240
    Индекс RFSP	2

20. Выберите Добавить сетевой область.

21. В колонке Добавление сетевого область заполните поля следующим образом.

    Поле	Значение
    Срез	Выберите срез по умолчанию .
    Сеть данных	Выберите любую сеть передачи данных, к которой подключается частная мобильная сеть.
    Конфигурация службы	Выберите service_blocking_udp_from_specific_sources и service_traffic_limits.
    Максимальная скорость агрегирования сеанса — исходящей связи	2 Gbps
    Максимальная скорость агрегирования сеанса — понижаемая связь	2 Gbps
    5QI/QCI	9
    Уровень приоритета распределения и хранения	9
    Возможность вытеснения	Выберите Может не упрещать.
    Уязвимость вытеснения	Выберите Preemptible (Вымещать).
    Тип сеанса по умолчанию	Выберите значение IPv4.

22. Выберите Добавить.

23. На вкладке Основные сведения о конфигурации выберите Просмотр и создание.

24. На вкладке Просмотр и создание конфигурации выберите Проверка и создание.

25. При создании политики SIM-карты в портал Azure отобразится следующий экран подтверждения.

    

26. Выберите Перейти к группе ресурсов.

27. В появившемся списке ресурсов выберите ресурс Мобильной сети , представляющий частную мобильную сеть.

28. В меню Ресурс выберите Политики SIM-карты.

29. Выберите sim-policy-2.

    

30. Убедитесь, что конфигурация политики SIM-карты соответствует ожидаемой.

    • Параметры верхнего уровня для политики SIM-карты отображаются под заголовком Основные сведения .
    • Конфигурация область сети отображается в разделе Сетевые область, включая настроенные службы в разделе Конфигурация службы и конфигурация качества обслуживания в разделе Качество обслуживания (QoS).

    

Подготовка SIM-модулей

На этом шаге мы подготовим две SIM-карты и назначим политику SIM для каждой из них. Это позволит SIM-картам подключаться к частной мобильной сети и получать правильную политику качества обслуживания.

1. Сохраните следующее содержимое в виде JSON-файла и запишите путь к файлу.

   [
    {
     "simName": "SIM1",
     "integratedCircuitCardIdentifier": "8912345678901234566",
     "internationalMobileSubscriberIdentity": "001019990010001",
     "authenticationKey": "00112233445566778899AABBCCDDEEFF",
     "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88737d",
     "deviceType": "Cellphone"
    },
    {
     "simName": "SIM2",
     "integratedCircuitCardIdentifier": "8922345678901234567",
     "internationalMobileSubscriberIdentity": "001019990010002",
     "authenticationKey": "11112233445566778899AABBCCDDEEFF",
     "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88738d",
     "deviceType": "Sensor"
    }
   ]
   

2. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.

   

3. Выберите Управление SIM-картами.

   

4. Выберите Создать , а затем — Отправить JSON из файла.

   

5. Выберите Обычный текст в качестве типа файла.

6. Нажмите кнопку Обзор , а затем выберите JSON-файл, созданный в начале этого шага.

7. В разделе Имя группы SIM-карт выберите Создать, а затем введите SIMGroup1 в появившемся поле.

8. Выберите Добавить.

9. Теперь портал Azure начнет развертывание группы SIM-карт и SIM-карт. После завершения развертывания выберите Перейти к группе ресурсов.

   

10. В появившемся разделе Группа ресурсов выберите только что созданный ресурс SIMGroup1 . Затем вы увидите новые SIM-карты в группе SIM-карт.

    

11. Установите флажок рядом с SIM1.

12. На панели команд выберите Назначить политику SIM-карты.

    

13. В разделе Назначение политики SIM-карты справа задайте для поля политикаSIM-карты значение sim-policy-1.

14. Выберите Назначить политику SIM-карты.

    

15. После завершения развертывания выберите Перейти к ресурсу.

16. Проверьте поле политика SIM-карты в разделе Управление , чтобы убедиться, что sim-policy-1 успешно назначена.

    

17. В поле Группа SIM-карт в разделе Основные компоненты выберите SIMGroup1 , чтобы вернуться в группу SIM-карт.

18. Установите флажок рядом с SIM2.

19. На панели команд выберите Назначить политику SIM-карты.

20. В разделе Назначение политики SIM-карты справа задайте для поля политикаSIM-карты значение sim-policy-2.

21. Нажмите кнопку Назначить политику SIM-карты .

22. После завершения работы развернутой службы выберите Перейти к ресурсу.

23. Проверьте поле политика SIM-карты в разделе Управление , чтобы убедиться, что sim-policy-2 успешно назначена.

Теперь вы подготовили две SIM-карты и назначили каждой из них другую политику SIM-карты. Каждая из этих политик SIM-карты предоставляет доступ к разным наборам служб.

Очистка ресурсов

Теперь вы можете удалить все ресурсы, созданные в рамках этого руководства.

1. Найдите и выберите ресурс мобильной сети, представляющий частную мобильную сеть.
2. В меню Ресурс выберите Группы SIM-карт.
3. Установите флажок рядом с SIMGroup1, а затем выберите Удалить на панели команд .
4. Выберите Удалить , чтобы подтвердить выбор.
5. После удаления группы SIM-карт выберите Политики SIM-карты в меню Ресурсы .
6. Установите флажки рядом с sim-policy-1 и sim-policy-2, а затем на панели команд выберите Удалить.
7. Выберите Удалить , чтобы подтвердить выбор.
8. После удаления политик SIM-карты выберите Службы в меню Ресурсов .
9. Установите флажки рядом с service_unrestricted_udp_and_icmp, service_blocking_udp_from_specific_sources и service_traffic_limits, а затем на панели команд выберите Удалить .
10. Выберите Удалить , чтобы подтвердить выбор.

Дальнейшие действия

Узнайте, как спроектировать собственную конфигурацию управления политикой