你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置 Azure 专用 5G 核心网络以访问 UE IP 地址

Azure 专用 5G 核心 (AP5GC) 为组织的通信需求提供安全可靠的网络。 若要从数据网络 (DN) 访问用户设备 (UE) IP 地址，需要配置适当的防火墙规则、路由和其他设置。 本文将指导你完成所需的步骤并了解注意事项。

先决条件

在开始之前，必须：

• 通过 Azure 门户访问 Azure 专用 5G 核心。
• 了解组织的网络拓扑。
• 禁用了网络地址端口转换 (NAPT) 的 AP5GC。

  重要

  仅当 UE 向服务器发起连接并且服务器能够使用 IP 地址和端口的组合来区分 UE 客户端时，才可使用启用 NAPT 的部署。
  如果服务器在针孔超时后尝试执行初始连接或尝试连接 UE，连接将失败。

• 访问配置所需的任何网络设备（例如路由器、防火墙、交换机、代理）。
• 能够在网络中的不同点捕获数据包跟踪。

配置 UE IP 地址访问

1. 确定要从数据网络访问的设备 IP 地址。 这些 IP 地址属于在创建站点期间定义的 IP 池。
   可以通过以下任一方式查看设备的 IP 地址：
   • 检查分布式跟踪、
   • 检查设备附加和创建会话的数据包捕获、
   • 或者对 UE 使用集成工具（例如命令行或 UI）。
2. 确认正在使用的客户端设备可以通过 AP5GC N6（在 5G 部署中）或 SGi（在 4G 部署）网络中访问 UE。
   • 如果客户端与 AP5GC N6/SGi 接口位于同一子网上，则客户端设备应具有到 UE 子网的路由，下一个跃点应是属于分配给 UE 的数据网络名称 (DNN) 的 N6/SGi IP 地址。
   • 否则，如果客户端和 AP5GC 之间存在路由器或防火墙，则到 UE 子网的路由应将路由器或防火墙作为下一个跃点。
3. 确保发往 UE 的客户端设备流量到达 AP5GC N6 网络接口。
   1. 检查 N6 地址与客户端设备 IP 地址之间的每个防火墙。
   2. 确保允许客户端设备和 UE 之间预期的流量类型通过防火墙。
   3. 对所需的 TCP/UDP 端口、IP 地址和协议重复上述操作。
   4. 确保防火墙具有将发往 UE IP 地址的流量转发到 N6 接口 IP 地址的路由。
4. 在路由器中配置适当的路由，确保来自数据网络的流量定向到 RAN 网络中正确的目标 IP 地址。
5. 测试配置，确保可以从数据网络成功访问 UE IP 地址。

示例

• UE：可以使用 HTTPS 访问的智能相机。 UE 使用 AP5GC 将信息发送到运营商的托管服务器。
• 网络拓扑：N6 网络的防火墙将其与安全的公司网络和 Internet 隔离开来。
• 要求：运营商的 IT 基础设施能够使用 HTTPS 登录到智能相机。

解决方案

1. 部署禁用 NAPT 的 AP5GC。
2. 将规则添加到企业防火墙，允许从企业网络传输到智能相机 IP 地址的 HTTPS 流量。
3. 将路由配置添加到防火墙。 将发往智能相机 IP 地址的流量转发到 AP5GC 部署中分配给 UE 的 DN 名称的 N6 IP 地址。
4. 验证 N3 和 N6 接口的预期流量流。
   1. 同时在 N3 和 N6 接口上捕获数据包。
   2. 检查 N3 接口上的流量。
      1. 检查数据包捕获中是否存在从 UE 到达 N3 接口的预期流量。
      2. 检查数据包捕获中是否有预期流量离开 N3 接口并前往 UE。
   3. 检查 N6 接口上的流量。
      1. 检查数据包捕获中是否存在从 UE 到达 N6 接口的预期流量。
      2. 检查数据包捕获中是否有预期流量离开 N6 接口并前往 UE。
5. 用数据包捕获检查防火墙是否同时接收和发送发往智能相机和客户端设备的流量。

Result

Azure 专用 5G 核心网络可以从数据网络访问 UE IP 地址。