教學課程：建立 Azure Private 5G Core 的範例原則控制組態集

發行項
05/10/2023

Azure Private 5G Core 提供彈性的流量處理。您可以自訂封包核心實例如何將服務品質套用 (QoS) 特性，以符合其需求。您也可以封鎖或限制特定流程。本教學課程會引導您完成為常見使用案例建立服務和 SIM 原則的步驟，然後布建 SIM 以使用新的原則控制組態。

在本教學課程中，您將了解如何：

建立新的服務，以根據其通訊協定篩選封包。
建立新的服務，以封鎖標示為特定遠端 IP 位址和埠的流量。
建立新的服務，以限制比對流程上的流量頻寬。
建立兩個新的 SIM 卡原則，並將服務指派給他們。
布建兩個新的 SIM，並指派 SIM 卡原則。

必要條件

閱讀原則控制中的資訊，並熟悉 Azure 私人 5G 核心原則控制設定。
確認您可以使用帳戶登入 Azure 入口網站，並存取您在完成部署私人行動網路的必要工作所識別的有效訂閱。此帳戶必須具有訂閱範圍的內建參與者角色。
找出對應至私人行動網路的行動網路資源名稱。
識別對應至網路配量之配量資源的名稱。
- 如果您想要將原則指派給 5G SIM 卡，您可以選擇任何配量。
- 如果您想要將原則指派給 4G SIM，您必須選擇以配量/服務類型設定的配量， (SST) 值為 1，而空的配量差異 (SD) 。

建立通訊協定篩選的服務

在此步驟中，我們將建立服務，以根據其通訊協定篩選封包。具體而言，它會執行下列動作：

封鎖來自 UE 的 ICMP 封包。
封鎖來自埠 11 上 UE 的 UDP 封包。
允許雙向所有其他 ICMP 和 UDP 流量，但沒有其他 IP 流量。

若要建立服務：

登入 Azure 入口網站。
搜尋並選取代表私人行動網路的行動網路資源。
在 [資源] 功能表中，選取 [服務]。
在 [命令列] 上，選取 [建立]。

我們現在會輸入值，以定義將套用至服務資料流程的 QoS 特性， (SDF) 符合此服務的 SDF。在 [ 基本] 索引 標籤上，填寫欄位，如下所示。

欄位	值
服務名稱	`service_restricted_udp_and_icmp`
服務優先順序	`100`
最大位元速率 (MBR) - 上行	`2 Gbps`
最大位元速率 (MBR) - 下行	`2 Gbps`
配置和保留優先順序等級	`2`
5QI/QCI	`9`
先佔功能	選取 [可能未優先使用]。
先佔弱點	選取 [無法優先使用]。

在 [資料流程原則規則] 底下，選取 [ 新增原則規則]。
我們現在會建立資料流程原則規則，以封鎖任何符合下一個步驟中設定之資料流程範本的封包。在右側的 [新增原則規則 ] 底下，填寫欄位，如下所示。

欄位值

規則名稱 rule_block_icmp_and_udp_uplink_traffic

原則規則優先順序 選取 [10]。

允許流量 選取 [已封鎖]。

欄位	值
規則名稱	`rule_block_icmp_and_udp_uplink_traffic`
原則規則優先順序	選取 [10]。
允許流量	選取 [已封鎖]。

我們現在會建立符合從 UE 流出之 ICMP 封包上的資料流程範本，讓規則可以封鎖 rule_block_icmp_uplink_traffic 它們。在 [資料流程範本] 底下，選取 [ 新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`icmp_uplink_traffic`
通訊協定	選取 [ICMP]。
方向	選取 [上行連結]。
遠端 IP	`any`
連接埠	保留空白。

選取 [新增]。

讓我們針對與埠 11 上流出 UE 的 UDP 封包相符的相同規則，建立另一個資料流程範本。

在 [資料流程範本] 底下，選取 [ 新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`udp_uplink_traffic_port_11`
通訊協定	選取 [UDP]。
方向	選取 [上行連結]。
遠端 IP	`any`
連接埠	`11`

選取 [新增]。
我們現在可以完成規則。在 [新增原則規則]底下，選取 [ 新增]。
最後，我們將建立允許所有其他 ICMP 和 UDP 流量的資料流程規則。

選取 [新增原則規則 ]，然後填寫右側 [ 新增原則規則 ] 底下的欄位，如下所示。

欄位值

規則名稱 rule_allow_other_icmp_and_udp_traffic

原則規則優先順序 選取 [15]。

允許流量 選取 [啟用] 。

欄位	值
規則名稱	`rule_allow_other_icmp_and_udp_traffic`
原則規則優先順序	選取 [15]。
允許流量	選取 [啟用] 。

我們現在回到 [建立服務 ] 畫面。我們將建立一個資料流程範本，以雙向比對所有 ICMP 和 UDP。

在 [資料流程原則規則]底下，選取 [ 新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`icmp_and_udp_traffic`
通訊協定	同時選取 UDP 和 ICMP 核取方塊。
方向	選取 [雙向]。
遠端 IP	`any`
連接埠	保留空白。

選取 [新增]。
我們現在可以完成規則。在 [新增原則規則]底下，選取 [ 新增]。
我們現在在服務上有兩個設定的資料流程原則規則，這些規則會顯示在 [ 資料流程原則規則] 標題之下。

請注意，規則 rule_block_icmp_and_udp_uplink_traffic 的 [原則規則優先順序] 欄位的值比 rule_allow_other_icmp_and_udp_traffic 規則 (10 和 15 分別) 低。具有較低值的規則會獲得較高的優先順序。這可確保 rule_block_icmp_and_udp_uplink_traffic 先套用封鎖封包的規則，再將較寬 rule_allow_other_icmp_and_udp_traffic 的封包套用至所有剩餘的封包。
在 [基本設定] 索引標籤中，選取 [檢閱 + 建立]。
選取 [建立] 以建立服務。
服務建立後，Azure 入口網站會顯示下列確認畫面。選取 [前往資源] 查看新的服務資源。
確認畫面底部所列的 QoS 特性、資料流程原則規則和服務資料流程範本已設定為預期。

建立服務來封鎖來自特定來源的流量

在此步驟中，我們將建立服務來封鎖來自特定來源的流量。具體而言，它會執行下列動作：

封鎖使用遠端位址 10.204.141.200 和埠 12 流向 UE 的 UDP 封包。
封鎖標示為 10.204.141.0/24 範圍中任何遠端位址的 UDP 封包，以及雙向流動的埠 15

若要建立服務：

搜尋並選取代表私人行動網路的行動網路資源。
在 [資源] 功能表中，選取 [服務]。
在 [命令列] 上，選取 [建立]。

我們現在會輸入值，以定義將套用至符合此服務的 SDF 的 QoS 特性。在 [ 基本] 索引 標籤上，填寫欄位，如下所示。

欄位	值
服務名稱	`service_blocking_udp_from_specific_sources`
服務優先順序	`150`
最大位元速率 (MBR) - 上行	`2 Gbps`
最大位元速率 (MBR) - 下行	`2 Gbps`
配置和保留優先順序等級	`2`
5QI/QCI	`9`
先佔功能	選取 [可能未優先使用]。
先佔弱點	選取 [無法優先使用]。

在 [資料流程原則規則] 底下，選取 [ 新增原則規則]。
我們現在會建立資料流程原則規則，以封鎖任何符合下一個步驟中設定之資料流程範本的封包。在右側的 [新增原則規則 ] 底下，填寫欄位，如下所示。

欄位值

規則名稱 rule_block_udp_from_specific_sources

原則規則優先順序 選取 [11]。

允許流量 選取 [已封鎖]。

欄位	值
規則名稱	`rule_block_udp_from_specific_sources`
原則規則優先順序	選取 [11]。
允許流量	選取 [已封鎖]。

接下來，我們將在埠 12 上的 UDP 封包上建立符合的資料流程範本，使其可由規則封鎖 rule_block_udp_from_specific_sources 。

在 [資料流程範本] 底下，選取 [ 新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`udp_downlink_traffic`
通訊協定	選取 [UDP]。
方向	選取 [下行連結]。
遠端 IP	`10.204.141.200/32`
連接埠	`12`

選取 [新增]。

最後，我們將針對相同規則建立另一個資料流程範本，以 10.204.141.0/24 和埠 15 範圍中的任何遠端位址標示的 UDP 封包。

在 [資料流程範本] 底下，選取 [ 新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`udp_bidirectional_traffic`
通訊協定	選取 [UDP]。
方向	選取 [雙向]。
遠端 IP	`10.204.141.0/24`
連接埠	`15`

選取 [新增]。
我們現在可以完成規則。在 [新增原則規則]底下，選取 [ 新增]。

Azure 入口網站的螢幕擷取畫面。它會顯示 [新增原則規則] 畫面，其中已正確填寫所有欄位，以封鎖特定 UDP 流量。其中包含兩個已設定的資料流程範本。第一個符合的 UDP 封包在埠 12 上流向 10.204.141.200 的 UE。第二個符合的 UDP 封包會以 10.204.141.0/24 和埠 15 的任何遠端位址標示的任一方向。 [新增] 按鈕會反白顯示。
我們現在在服務上有單一資料流程原則規則，可封鎖 UDP 流量。這會顯示在 [資料流程原則規則] 標題下。
在 [基本設定] 索引標籤中，選取 [檢閱 + 建立]。
選取 [建立] 以建立服務。
服務建立後，Azure 入口網站會顯示下列確認畫面。選取 [前往資源] 查看新的服務資源。
確認畫面底部所列的資料流程原則規則和服務資料流程範本已如預期般設定。

建立服務以限制流量

在此步驟中，我們將建立一個服務，以限制比對流程上的流量頻寬。具體而言，它會執行下列動作：

限制從 UE 流向 10 Mbps 之封包的最大位元速率 (MBR) 。
限制流向 15 Mbps 之封包的最大位元速率 (MBR) 。

若要建立服務：

搜尋並選取代表私人行動網路的行動網路資源。
在 [資源] 功能表中，選取 [服務]。
在 [命令列] 上，選取 [建立]。

我們現在會輸入值，以定義將套用至符合此服務的 SDF 的 QoS 特性。我們將使用 MBR (最大位元速率) - 上行連結 和 最大位元速率 (MBR) - 下行連結 欄位來設定頻寬限制。在 [ 基本] 索引 標籤上，填寫欄位，如下所示。

欄位	值
服務名稱	`service_traffic_limits`
服務優先順序	`250`
最大位元速率 (MBR) - 上行	`10 Mbps`
最大位元速率 (MBR) - 下行	`15 Mbps`
配置和保留優先順序等級	`2`
5QI/QCI	`9`
先佔功能	選取 [可能未優先使用]。
先佔弱點	選取 [先占]。

在 [資料流程原則規則] 底下，選取 [ 新增原則規則]。
在右側的 [新增原則規則 ] 底下，填寫欄位，如下所示。

欄位值

規則名稱 rule_bidirectional_limits

原則規則優先順序 選取 [22]。

允許流量 選取 [啟用] 。

欄位	值
規則名稱	`rule_bidirectional_limits`
原則規則優先順序	選取 [22]。
允許流量	選取 [啟用] 。

我們現在會建立符合雙向所有 IP 流量的資料流程範本。

選取 [新增資料流程範本]。在 [ 新增資料流程範本 ] 快顯視窗中，填寫欄位，如下所示。

欄位	值
範本名稱	`ip_traffic`
通訊協定	選取 [全部]。
方向	選取 [雙向]。
遠端 IP	`any`
連接埠	保留空白

選取 [新增]。
我們現在可以完成規則。在 [新增原則規則]底下，選取 [ 新增]。
我們現在已在服務上設定單一資料流程原則規則。
在 [基本設定] 索引標籤中，選取 [檢閱 + 建立]。
選取 [建立] 以建立服務。
服務建立後，Azure 入口網站會顯示下列確認畫面。選取 [前往資源] 查看新的服務資源。
確認畫面底部所列的資料流程原則規則和服務資料流程範本已如預期般設定。

設定 SIM 卡原則

在此步驟中，我們將建立兩個 SIM 卡原則。第一個 SIM 原則將使用我們在建立服務中建立的服務進行通訊協定篩選，第二個原則將使用我們在建立服務中建立的服務來封鎖來自特定來源的流量。這兩個 SIM 卡原則都會使用我們在建立服務中建立的第三個服務來限制流量。

注意

由於每個 SIM 卡原則都會有多個服務，因此這些服務會有一個以上的規則相符的封包。例如，下行 ICMP 封包會符合下列規則：

服務 rule_allow_other_icmp_and_udp_traffic 上的 service_restricted_udp_and_icmp 規則。
服務 rule_bidirectional_limits 上的 service_traffic_limits 規則。

在此情況下，封包核心實例會將服務優先順序設定為 [服務優先順序 ] 欄位的最低值。然後，它會將此服務的 QoS 特性套用至封包。在上述範例中 service_restricted_udp_and_icmp ，服務的值比服務 (250) 低 service_traffic_limits (100) 。因此，封包核心實例會將服務上 service_restricted_udp_and_icmp 提供的 QoS 特性套用至下行 ICMP 封包。

讓我們建立 SIM 卡原則。

搜尋並選取代表私人行動網路的行動網路資源。
在 [資源] 功能表中，選取 [SIM 原則]。
在 [命令列] 上，選取 [建立]。

在 [建立 SIM 卡原則] 底下，填寫欄位，如下所示。

欄位	值
原則名稱	`sim-policy-1`
允許的總頻寬 - 上行	`10 Gbps`
允許的總頻寬 - 下行	`10 Gbps`
預設配量	選取網路配量的名稱。
註冊計時器	`3240`
RFSP 索引	`2`

選取 [新增網路範圍]。

在 [新增網路範圍] 底下，填寫欄位，如下所示。

欄位	值
配量	選取 [預設配量]。
資料網路	選取私人行動網路所連線的任何資料網路。
服務設定	選取 [service_restricted_udp_and_icmp ] 和 [service_traffic_limits]。
工作階段彙總最大位元速率 - 上行	`2 Gbps`
工作階段彙總最大位元速率 - 下行	`2 Gbps`
5QI/QCI	`9`
配置和保留優先順序等級	`9`
先佔功能	選取 [不可先占]。
先佔弱點	選取[先占]。
預設工作階段類型	選取 [IPv4]。

選取 [新增]。
在 [基本設定] 索引標籤中，選取 [檢閱 + 建立]。
在 [ 檢閱 + 建立] 索引標籤上，選取 [ 檢閱 + 建立]。
SIM 原則建立後，Azure 入口網站會顯示下列確認畫面。
選取 [前往資源群組]。
在出現的 [資源] 群組 中，選取代表私人行動 網路的行動網路 資源。
在 [資源] 功能表中，選取 [SIM 原則]。
選取 sim-policy-1。
檢查 SIM 原則的設定是否如預期般。
- SIM 原則的最上層設定會顯示在 [基本資訊 ] 標題下方。
- 網路範圍設定會顯示在 [ 網路範圍 ] 標題底下，包括 [服務設定] 底下的 [ 服務設定 ] 和 [服務品質] 底下的 [ 服務品質] 下的 [服務品質] () 。
我們現在會建立另一個 SIM 卡原則。搜尋並選取用於設定服務私人行動網路的行動網路資源。
在 [資源] 功能表中，選取 [SIM 原則]。
在 [命令列] 上，選取 [建立]。

在右側 的 [建立 SIM 卡原則 ] 底下，填寫欄位，如下所示。

欄位	值
原則名稱	`sim-policy-2`
允許的總頻寬 - 上行	`10 Gbps`
允許的總頻寬 - 下行	`10 Gbps`
預設配量	選取網路配量的名稱。
註冊計時器	`3240`
RFSP 索引	`2`

選取 [新增網路範圍]。

在 [ 新增網路範圍 ] 刀鋒視窗上，填寫欄位，如下所示。

欄位	值
配量	選取 [預設配量]。
資料網路	選取私人行動網路所連線的任何資料網路。
服務設定	選取 [service_blocking_udp_from_specific_sources ] 和 [service_traffic_limits]。
工作階段彙總最大位元速率 - 上行	`2 Gbps`
工作階段彙總最大位元速率 - 下行	`2 Gbps`
5QI/QCI	`9`
配置和保留優先順序等級	`9`
先佔功能	選取 [不可先占]。
先佔弱點	選取[先占]。
預設工作階段類型	選取 [IPv4]。

選取 [新增]。
在 [基本設定] 索引標籤中，選取 [檢閱 + 建立]。
在 [ 檢閱 + 建立 組態] 索引標籤上，選取 [ 檢閱 + 建立]。
SIM 原則建立後，Azure 入口網站會顯示下列確認畫面。
選取 [前往資源群組]。
在出現的 [資源] 群組 中，選取代表私人行動 網路的行動網路 資源。
在 [資源] 功能表中，選取 [SIM 原則]。
選取 sim-policy-2。
檢查 SIM 原則的設定是否如預期般。
- SIM 原則的最上層設定會顯示在 [基本資訊 ] 標題下方。
- 網路範圍設定會顯示在 [ 網路範圍 ] 標題底下，包括 [服務設定] 底下的 [ 服務設定 ] 和 [服務品質] 底下的 [ 服務品質] 下的 [服務品質] () 。

布建 SIM

在此步驟中，我們將布建兩個 SIM，並將 SIM 原則指派給每一個 SIM。這可讓 SIM 連線到私人行動網路，並接收正確的 QoS 原則。

將下列內容儲存為 JSON 檔案，並記下 filepath。

[
 {
  "simName": "SIM1",
  "integratedCircuitCardIdentifier": "8912345678901234566",
  "internationalMobileSubscriberIdentity": "001019990010001",
  "authenticationKey": "00112233445566778899AABBCCDDEEFF",
  "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88737d",
  "deviceType": "Cellphone"
 },
 {
  "simName": "SIM2",
  "integratedCircuitCardIdentifier": "8922345678901234567",
  "internationalMobileSubscriberIdentity": "001019990010002",
  "authenticationKey": "11112233445566778899AABBCCDDEEFF",
  "operatorKeyCode": "63bfa50ee6523365ff14c1f45f88738d",
  "deviceType": "Sensor"
 }
]

搜尋並選取代表私人行動網路的行動網路資源。
選取 [管理 SIM]。
選取 [建立 ]，然後 從檔案上傳 JSON。
選取 [純文字 ] 作為檔案類型。
選取 [流覽 ]，然後選取您在此步驟開始時建立的 JSON 檔案。
在 [SIM 組名] 底下，選取 [ 新建 ]，然後在出現的欄位中輸入 SIMGroup1 。
選取 [新增]。
Azure 入口網站現在會開始部署 SIM 群組和 SIM。部署完成後，請選取 [移至資源群組]。
在出現的 [資源群組 ] 中，選取您剛才建立的 SIMGroup1 資源。然後，您會在 SIM 卡群組中看到新的 SIM。
選取 SIM1旁的核取方塊。
在 命令列 中，選取 [指派 SIM 原則]。
在右側的 [指派 SIM 原則 ] 底下，將 [SIM 原則 ] 欄位設定為 sim-policy-1。
選取 [指派 SIM 卡原則]。
部署完成後，請選取 [前往資源]。
檢查[管理] 區段中的SIM原則欄位，確認已成功指派sim-policy-1。
在[基本資訊] 底下的[SIM 群組] 欄位中，選取[SIMGroup1] 以返回 SIM 群組。
選取 SIM2旁的核取方塊。
在 命令列 中，選取 [指派 SIM 原則]。
在右側 [ 指派 SIM 卡原則 ] 底下，將 [SIM 原則 ] 欄位設定為 sim-policy-2。
選取 [ 指派 SIM 卡原則 ] 按鈕。
部署完成後，請選取 [前往資源]。
檢查[管理] 區段中的SIM原則欄位，確認已成功指派sim-policy-2。

您現在已布建兩個 SIM，並為其指派不同的 SIM 原則。每一個 SIM 卡原則都會提供不同服務集的存取權。

清除資源

您現在可以刪除本教學課程期間所建立的每個資源。

搜尋並選取代表私人行動網路的行動網路資源。
在 [ 資源] 功能表中，選取 [SIM 群組]。
選取SIMGroup1旁的核取方塊，然後從命令列選取 [刪除]。
選取 [刪除 ] 以確認您的選擇。
刪除 SIM 群組之後，請從 [資源] 功能表中選取 [SIM原則 ]。
選取sim-policy-1和sim-policy-2旁的核取方塊，然後從命令列選取[刪除]。
選取 [刪除 ] 以確認您的選擇。
一旦刪除 SIM 原則，請從 [資源] 功能表中選取[服務]。
選取service_unrestricted_udp_and_icmp、service_blocking_udp_from_specific_sources和service_traffic_limits旁的核取方塊，然後從命令列選取 [刪除]。
選取 [刪除 ] 以確認您的選擇。

下一步

瞭解如何設計您自己的原則控制組態

共用方式為

教學課程：建立 Azure Private 5G Core 的範例原則控制組態集

必要條件

建立通訊協定篩選的服務

建立服務來封鎖來自特定來源的流量

建立服務以限制流量

設定 SIM 卡原則

布建 SIM

清除資源

下一步

意見反應

其他資源