你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:为 Azure 专用 5G 核心创建示例策略控制配置集
Azure 专用 5G 核心提供灵活的流量处理。 你可以自定义数据包核心实例对流量应用服务质量 (QoS) 特征的方式,以满足其需求。 还可阻止或限制特定流。 本教程将引导你完成对常见用例创建服务和 SIM 策略,然后预配 SIM 以使用新的策略控制配置的步骤。
本教程介绍以下操作:
- 创建一个基于协议筛选数据包的新服务。
- 创建一个新服务,阻止标有特定远程 IP 地址和端口的流量。
- 创建一个新服务,限制匹配流的流量带宽。
- 创建两个新的 SIM 策略并向其分配服务。
- 预配两个新的 SIM 并向其分配 SIM 策略。
先决条件
- 阅读策略控制中的信息,并熟悉 Azure 专用 5G 核心策略控制配置。
- 确保你可以使用一个对在完成部署专用移动网络的先决条件任务中标识的活动订阅具有访问权限的帐户登录 Azure 门户。 此帐户必须具有订阅范围内的内置参与者角色。
- 标识与专用移动网络相对应的移动网络资源的名称。
- 标识与网络切片相对应的切片资源的名称。
- 如果要向 5G SIM 分配策略,可选择任意切片。
- 如果要向 4G SIM 分配策略,必须选择具有以下配置的切片:切片/服务类型 (SST) 值为 1,并且切片差异区分器 (SD) 为空。
创建用于协议筛选的服务
在此步骤中,我们将创建一个服务,该服务根据数据包的协议对其进行筛选。 具体而言,它将执行以下操作:
- 阻止从 UE 流出的 ICMP 数据包。
- 阻止从端口 11 上的 UE 流出的 UDP 数据包。
- 允许其他所有 ICMP 和 UDP 双向流量,但不允许其他 IP 流量。
创建服务:
登录 Azure 门户。
搜索并选择代表专用移动网络的移动网络资源。
在“资源”菜单中,选择“服务”。
在“命令”栏中,选择“创建”。
现在,我们将输入一些值来定义 QoS 特征,这些特征将应用于与此服务匹配的服务数据流 (SDF)。 在“基本信息”选项卡上,按如下所示填写字段。
字段 值 服务名称 service_restricted_udp_and_icmp
服务优先级 100
最大比特率 (MBR) - 上行 2 Gbps
最大比特率 (MBR) - 下行 2 Gbps
分配和保留优先级 2
5QI/QCI 9
抢占功能 选择“不能抢占”。 抢占漏洞 选择“不可抢占”。 在“数据流策略规则”下,选择“添加策略规则”。
现在,我们将创建一个数据流策略规则,它将阻止与下一步中配置的数据流模板相匹配的任何数据包。 在右侧的“添加策略规则”下,按如下所示填写字段。
字段 值 规则名称 rule_block_icmp_and_udp_uplink_traffic
策略规则优先级 选择“10”。 允许流量 选择“阻止”。 现在,我们将创建一个数据流模板,该模板与从 UE 流出的 ICMP 数据包匹配,因此
rule_block_icmp_uplink_traffic
规则可以阻止它们。 在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。字段 值 模板名称 icmp_uplink_traffic
协议 选择“ICMP”。 方向 选择“上行”。 远程 IP any
端口 留空。 选择 添加 。
让我们为相同的规则创建另一个数据流模板,该模板与从端口 11 上的 UE 流出的 UDP 数据包匹配。
在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。
字段 值 模板名称 udp_uplink_traffic_port_11
协议 选择“UDP”。 方向 选择“上行”。 远程 IP any
端口 11
选择 添加 。
我们现在可以完成该规则。 在“添加策略规则”下,选择“添加”。
最后,我们将创建一个允许其他所有 ICMP 和 UDP 流量的数据策略流规则。
选择“添加策略规则”,然后填写右侧“添加策略规则”下的字段,如下所示。
字段 值 规则名称 rule_allow_other_icmp_and_udp_traffic
策略规则优先级 选择“15”。 允许流量 选择“启用”。 现在,我们回到“创建服务”屏幕。 我们将一个数据流模板,该模板与所有双向 ICMP 和 UDP 相匹配。
在“数据流策略规则”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。
字段 值 模板名称 icmp_and_udp_traffic
协议 同时选择“UDP”和“ICMP”复选框。 方向 选择“双向”。 远程 IP any
端口 留空。 选择 添加 。
我们现在可以完成该规则。 在“添加策略规则”下,选择“添加”。
现在,我们对服务配置了两个数据流策略规则,这些规则显示在“数据流策略规则”标题下。
请注意,对于“策略规则”优先级字段的值,
rule_block_icmp_and_udp_uplink_traffic
规则比rule_allow_other_icmp_and_udp_traffic
规则低(分别为 10 和 15)。 值越低的规则优先级越高。 这可确保首先应用阻止数据包的rule_block_icmp_and_udp_uplink_traffic
规则,然后再对剩余所有数据包应用范围更广的rule_allow_other_icmp_and_udp_traffic
。在“基本信息”配置选项卡上,选择“查看 + 创建”。
选择“创建” 来创建服务。
创建服务后,Azure 门户将显示以下确认屏幕。 选择“转到资源”来查看新的服务资源。
确认按预期配置了屏幕底部列出的 QoS 特征、数据流策略规则和服务数据流模板。
创建用于阻止来自特定源的流量的服务
在此步骤中,我们将创建一个阻止来自特定源的流量的服务。 具体而言,它将执行以下操作:
- 阻止流向 UE 的标有远程地址 10.204.141.200 和端口 12 的 UDP 数据包。
- 阻止双向流动的标有 10.204.141.0/24 范围内任何远程地址和端口 15 的 UDP 数据包
创建服务:
搜索并选择代表专用移动网络的移动网络资源。
在“资源”菜单中,选择“服务”。
在“命令”栏中,选择“创建”。
现在,我们将输入一些值来定义 QoS 特征,这些特征将应用于与此服务匹配的 SDF。 在“基本信息”选项卡上,按如下所示填写字段。
字段 值 服务名称 service_blocking_udp_from_specific_sources
服务优先级 150
最大比特率 (MBR) - 上行 2 Gbps
最大比特率 (MBR) - 下行 2 Gbps
分配和保留优先级 2
5QI/QCI 9
抢占功能 选择“不能抢占”。 抢占漏洞 选择“不可抢占”。 在“数据流策略规则”下,选择“添加策略规则”。
现在,我们将创建一个数据流策略规则,它将阻止与下一步中配置的数据流模板相匹配的任何数据包。 在右侧的“添加策略规则”下,按如下所示填写字段。
字段 值 规则名称 rule_block_udp_from_specific_sources
策略规则优先级 选择“11”。 允许流量 选择“阻止”。 接下来,我们将创建一个数据流模板,该模板与从端口 12 上的 10.204.141.200 流向 UE 的 UDP 数据包相匹配,因此
rule_block_udp_from_specific_sources
规则可以阻止它们。在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。
字段 值 模板名称 udp_downlink_traffic
协议 选择“UDP”。 方向 选择“下行”。 远程 IP 10.204.141.200/32
端口 12
选择 添加 。
最后,我们将为同一规则创建另一个数据流模板,该模板与在任一方向流动的 UDP 数据包匹配,这些数据包标有 10.204.141.0/24 范围内的任何远程地址和端口 15。
在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。
字段 值 模板名称 udp_bidirectional_traffic
协议 选择“UDP”。 方向 选择“双向”。 远程 IP 10.204.141.0/24
端口 15
选择 添加 。
我们现在可以完成该规则。 在“添加策略规则”下,选择“添加”。
Azure 门户的屏幕截图。 它显示“添加策略规则”屏幕,其中正确填写了阻止特定 UDP 流量的规则的所有字段。 它包括两个配置的数据流模板。 第一个模板与从端口 12 上的 10.204.141.200 流向 UE 的 UDP 数据包匹配。 第二个模板与在任一方向流动的 UDP 数据包匹配,这些数据包标有 10.204.141.0/24 范围内的任何远程地址和端口 15。 突出显示“添加”按钮。
现在,我们在服务上有一个用于阻止 UDP 流量的单个数据流策略规则。 这显示在“数据流策略规则”标题下。
在“基本信息”配置选项卡上,选择“查看 + 创建”。
选择“创建” 来创建服务。
创建服务后,Azure 门户将显示以下确认屏幕。 选择“转到资源”来查看新的服务资源。
确认按预期配置了屏幕底部列出的数据流策略规则和服务数据流模板。
创建用于限制流量的服务
在此步骤中,我们将创建一个新服务,用于限制匹配流上的流量带宽。 具体而言,它将执行以下操作:
- 将从 UE 流出的数据包的最大比特率 (MBR) 限制为 10 Mbps。
- 将流向的 UE 的数据包的最大比特率 (MBR) 限制为 15 Mbps。
创建服务:
搜索并选择代表专用移动网络的移动网络资源。
在“资源”菜单中,选择“服务”。
在“命令”栏中,选择“创建”。
现在,我们将输入一些值来定义 QoS 特征,这些特征将应用于与此服务匹配的 SDF。 我们将使用“最大比特率 (MBR) - 上行”和“最大比特率 (MBR) - 下行”字段来设置带宽限制。 在“基本信息”选项卡上,按如下所示填写字段。
字段 值 服务名称 service_traffic_limits
服务优先级 250
最大比特率 (MBR) - 上行 10 Mbps
最大比特率 (MBR) - 下行 15 Mbps
分配和保留优先级 2
5QI/QCI 9
抢占功能 选择“不能抢占”。 抢占漏洞 选择“可抢占”。 在“数据流策略规则”下,选择“添加策略规则”。
在右侧的“添加策略规则”下,按如下所示填写字段。
字段 值 规则名称 rule_bidirectional_limits
策略规则优先级 选择“22”。 允许流量 选择“启用”。 我们现在将一个数据流模板,该模板与所有双向 IP 流量相匹配。
选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。
字段 值 模板名称 ip_traffic
协议 选择“全部”。 方向 选择“双向”。 远程 IP any
端口 留空 选择 添加 。
我们现在可以完成该规则。 在“添加策略规则”下,选择“添加”。
现在,我们在服务上配置了单个数据流策略规则。
在“基本信息”配置选项卡上,选择“查看 + 创建”。
选择“创建” 来创建服务。
创建服务后,Azure 门户将显示以下确认屏幕。 选择“转到资源”来查看新的服务资源。
确认按预期配置了屏幕底部列出的数据流策略规则和服务数据流模板。
配置 SIM 策略
在此步骤中,我们将创建两个 SIM 策略。 第一个 SIM 策略将使用我们在创建用于协议筛选的服务中创建的服务,第二个协议将使用我们在创建用于阻止来自特定源的流量的服务中创建的服务。 这两个 SIM 策略都将使用我们在创建用于限制流量的服务中创建的第三个服务。
注意
由于每个 SIM 策略都将具有多个服务,因此在这些服务中会有与多个规则匹配的数据包。 例如,下行 ICMP 数据包将与以下规则匹配:
-
service_restricted_udp_and_icmp
服务的rule_allow_other_icmp_and_udp_traffic
规则。 -
service_traffic_limits
服务的rule_bidirectional_limits
规则。
在这种情况下,数据包核心实例将优先考虑“服务优先级”字段值最小的服务。 然后,它会将此服务的 QoS 特征应用于数据包。 在上面的示例中,service_restricted_udp_and_icmp
服务的值 (100) 低于 service_traffic_limits
服务的值 (250)。 因此,数据包核心实例会将 service_restricted_udp_and_icmp
服务上给定的 QoS 特征应用于下行 ICMP 数据包。
让我们创建 SIM 策略。
搜索并选择代表专用移动网络的移动网络资源。
在“资源”菜单中,选择“SIM 策略”。
在“命令”栏中,选择“创建”。
在“创建 SIM 策略”下,按如下所示填写字段。
字段 值 策略名称 sim-policy-1
允许的总带宽 - 上行 10 Gbps
允许的总带宽 - 下行 10 Gbps
默认切片 选择网络切片的名称。 注册计时器 3240
RFSP 索引 2
选择“添加网络范围”。
在“添加网络范围”下,按如下所示填写字段。
字段 值 切片 选择默认切片。 数据网络 选择专用移动网络要连接到的任何数据网络。 服务配置 选择 service_restricted_udp_and_icmp 和 service_traffic_limits。 会话聚合最大比特率 - 上行 2 Gbps
会话聚合最大比特率 - 下行 2 Gbps
5QI/QCI 9
分配和保留优先级 9
抢占功能 选择“不能抢占”。 抢占漏洞 选择“可抢占”。 默认会话类型 选择“IPv4”。 选择 添加 。
在“基本信息”配置选项卡上,选择“查看 + 创建”。
在“查看 + 创建”选项卡上,选择“查看 + 创建”。
创建 SIM 策略时,Azure 门户将显示以下确认屏幕。
选择“转到资源组”。
在出现的“资源组”中,选择代表专用移动网络的“移动网络”资源。
在“资源”菜单中,选择“SIM 策略”。
选择“sim-policy-1”。
检查 SIM 策略的配置是否符合预期。
- SIM 策略的概要设置显示在“概要”标题下。
- 网络范围配置显示在“网络范围”标题下,其中已配置服务显示在“服务配置”下,服务质量配置显示在“服务质量 (QoS)”下。
现在,我们将创建另一个 SIM 策略。 搜索并选择代表要为其配置服务的专用移动网络的移动网络资源。
在“资源”菜单中,选择“SIM 策略”。
在“命令”栏中,选择“创建”。
在右侧的“创建 SIM 策略”下,按如下所示填写字段。
字段 值 策略名称 sim-policy-2
允许的总带宽 - 上行 10 Gbps
允许的总带宽 - 下行 10 Gbps
默认切片 选择网络切片的名称。 注册计时器 3240
RFSP 索引 2
选择“添加网络范围”。
在“添加网络范围”边栏选项卡上,按如下所示填写字段。
字段 值 切片 选择默认切片。 数据网络 选择专用移动网络要连接到的任何数据网络。 服务配置 选择 service_blocking_udp_from_specific_sources 和 service_traffic_limits。 会话聚合最大比特率 - 上行 2 Gbps
会话聚合最大比特率 - 下行 2 Gbps
5QI/QCI 9
分配和保留优先级 9
抢占功能 选择“不能抢占”。 抢占漏洞 选择“可抢占”。 默认会话类型 选择“IPv4”。 选择 添加 。
在“基本信息”配置选项卡上,选择“查看 + 创建”。
在“查看 + 创建”配置选项卡上,选择“查看 + 创建”。
创建 SIM 策略后,Azure 门户将显示以下确认屏幕。
选择“转到资源组”。
在出现的“资源组”中,选择代表专用移动网络的“移动网络”资源。
在“资源”菜单中,选择“SIM 策略”。
选择“sim-policy-2”。
检查 SIM 策略的配置是否符合预期。
- SIM 策略的概要设置显示在“概要”标题下。
- 网络范围配置显示在“网络范围”标题下,其中已配置服务显示在“服务配置”下,服务质量配置显示在“服务质量 (QoS)”下。
预配 SIM
在此步骤中,我们将预配两个 SIM,并为每个 SIM 分配一个 SIM 策略。 这样,SIM 可连接到专用移动网络并接收正确的 QoS 策略。
将以下内容另存为 JSON 文件,并记下文件路径。
[ { "simName": "SIM1", "integratedCircuitCardIdentifier": "8912345678901234566", "internationalMobileSubscriberIdentity": "001019990010001", "authenticationKey": "00112233445566778899AABBCCDDEEFF", "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88737d", "deviceType": "Cellphone" }, { "simName": "SIM2", "integratedCircuitCardIdentifier": "8922345678901234567", "internationalMobileSubscriberIdentity": "001019990010002", "authenticationKey": "11112233445566778899AABBCCDDEEFF", "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88738d", "deviceType": "Sensor" } ]
搜索并选择代表专用移动网络的移动网络资源。
选择“管理 SIM”。
依次选择“创建”和“从文件中上传 JSON”。
选择“纯文本”作为文件类型。
选择“浏览”,然后选择在此步骤开始时创建的 JSON 文件。
在“SIM 组名称”下,选择“新建”,然后在显示的字段中输入“SIMGroup1”。
选择 添加 。
现在,Azure 门户将开始部署 SIM 组和 SIM。 部署完成后,选择“转到资源组”。
在显示的“资源组”中,选择刚刚创建的 SIMGroup1 资源。 然后,就会在 SIM 组中看到新的 SIM。
选择“SIM1”旁边的复选框。
在“命令”栏中,选择“分配 SIM 策略”。
在右侧的“分配 SIM 策略”下,将“SIM 策略”字段设置为“sim-policy-1”。
选择“分配 SIM 策略”。
部署完成后,选择“转到资源”。
检查“管理”部分中的“SIM 策略”字段,确认已成功分配“sim-policy-1”。
在“基本信息”下的“SIM 组”字段中,选择 SIMGroup1 以返回 SIM 组。
选择“SIM2”旁边的复选框。
在“命令”栏中,选择“分配 SIM 策略”。
在右侧的“分配 SIM 策略”下,将“SIM 策略”字段设置为“sim-policy-2”。
选择“分配 SIM 策略”按钮。
部署完成后,选择“转到资源”。
检查“管理”部分中的“SIM 策略”字段,确认已成功分配“sim-policy-2”。
现已预配两个 SIM,并为每个 SIM 分配了不同的 SIM 策略。 其中每个 SIM 策略都提供对不同服务集的访问权限。
清理资源
你现在可以删除我们在本教程中创建的每个资源。
- 搜索并选择代表专用移动网络的移动网络资源。
- 在“资源”菜单中,选择“SIM 组”。
- 选择“SIMGroup1”旁边的复选框,然后从“命令”栏中选择“删除”。
- 选择“删除”来确认你的选择。
- 删除 SIM 组后,请从“资源”菜单中选择“SIM 策略”。
- 选择“sim-policy-1”和“sim-policy-2”旁边的复选框,然后从“命令”栏中选择“删除”。
- 选择“删除”来确认你的选择。
- 删除 SIM 策略后,请从“资源”菜单中选择“服务”。
- 选择“service_unrestricted_udp_and_icmp”、“service_blocking_udp_from_specific_sources”和“service_traffic_limits”旁边的复选框,然后从命令栏中选择“删除”。
- 选择“删除”来确认你的选择。