Konfigurieren der internen UE-Weiterleitung für Azure Private 5G Core – Azure-Portal

Azure Private 5G Core ermöglicht den Datenverkehr zwischen Benutzergeräten (UEs), die mit demselben Datennetzwerk verbunden sind, um innerhalb dieses Netzwerks zu bleiben. Dies wird als interne Weiterleitung zwischen UEs bezeichnet. Die interne Weiterleitung zwischen UEs minimiert die Latenz und maximiert die Sicherheit und den Datenschutz für UE-UE-Datenverkehr. Sie können dieses Verhalten mithilfe von SIM-Richtlinien aktivieren oder deaktivieren.

Wenn Sie den Standarddienst verwenden und die SIM-Richtlinie zulassen, wird die interne Weiterleitung aktiviert. Wenn Sie eine restriktivere Richtlinie verwenden, müssen Sie möglicherweise die interne Weiterleitung aktivieren.

Wenn Sie den Standarddienst verwenden und die SIM-Richtlinie zulassen und die interne Weiterleitung deaktivieren möchten, entweder weil Sie ein externes Gateway verwenden oder nicht möchten, dass UEs miteinander kommunizieren sollen, können Sie einen Dienst erstellen, um dies zu tun, und sie dann auf Ihre allow-all SIM-Richtlinie anwenden.

Voraussetzungen

• Stellen Sie sicher, dass Sie sich beim Azure-Portal unter Verwendung eines Kontos mit Zugriff auf das aktive Abonnement anmelden können, das Sie beim Ausführen der erforderlichen Aufgaben für die Bereitstellung eines privaten Mobilfunknetzes identifiziert haben. Dieses Konto muss im Abonnementbereich über die integrierte Rolle „Mitwirkender“ oder „Besitzer“ verfügen.
• Identifizieren Sie den Namen der Mobilfunknetz-Ressource, die Ihrem privaten Mobilfunknetz entspricht.
• Sammeln Sie alle Konfigurationswerte für den gewählten Dienst. Eine entsprechende Anleitung finden Sie unter Sammeln der erforderlichen Informationen für einen Dienst für Azure Private 5G Core (Vorschauversion).

Erstellen eines Diensts zum Zulassen der internen Weiterleitung

In diesem Schritt erstellen wir einen Dienst, der den Datenverkehr mit der Remoteadresse im Bereich ermöglicht, der für UEs (10.20.0.0.0/16, in diesem Beispiel) konfiguriert ist, in beide Richtungen zu fließen.

So erstellen Sie den Dienst:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach der Mobilfunknetz-Ressource, die Ihr privates Mobilfunknetz repräsentiert, und wählen Sie diese aus.

   

3. Wählen Sie im Menü Ressource die Option Dienste aus.

   

4. Wählen Sie auf der Befehlsleiste die Option Erstellen aus.

   

5. Wir geben jetzt Werte ein, um die QoS-Merkmale zu definieren, die auf Dienstdatenflüsse (Service Data Flows, SDFs) angewendet werden, die mit diesem Dienst übereinstimmen. Füllen Sie auf der Registerkarte Grundlegende Einstellungen die Felder wie folgt aus.

   Feld	Wert
   Dienstname	service_allow_internal_forwarding
   Service precedence (Dienstrangfolge)	200
   Maximum bit rate (MBR) - Uplink (Maximale Bitrate (MBR) – Uplink)	2 Gbps
   Maximum bit rate (MBR) - Downlink (Maximale Bitrate (MBR) – Downlink)	2 Gbps
   Allocation and Retention Priority level (Zuordnungs- und Aufbewahrungsprioritätsstufe)	2
   5QI/QCI	9
   Preemption capability (Funktion zur vorübergehenden Unterbrechung)	Wählen Sie May not preempt (Möglicherweise keine vorübergehende Unterbrechung) aus.
   Preemption vulnerability (Sicherheitsrisiko der vorübergehenden Unterbrechung)	Wählen Sie Not preemptable (Nicht vorübergehend unterbrechbar) aus.

6. Wählen Sie unter Data flow policy rules (Richtlinienregeln für den Datenfluss) die Option Add a policy rule (Richtlinienregel hinzufügen) aus.

7. Wir erstellen nun eine Datenflussrichtlinienregel, die alle Pakete zulässt, die der Datenflussvorlage entsprechen, die wir im nächsten Schritt konfigurieren. Füllen Sie unter Add a policy rule (Richtlinie hinzufügen) auf der rechten Seite die Felder wie folgt aus.

   Feld	Wert
   Regelname	rule_allow_internal_forwarding
   Policy rule precedence (Rangfolge der Richtlinienregel)	Wählen Sie 200 aus.
   Allow traffic (Datenverkehr zulassen)	Wählen Sie Aktiviert.

8. Wir erstellen jetzt eine Datenflussvorlage, die mit Paketen übereinstimmt, die in 10.20.0.0.0/16 von UEs fließen oder weg, damit sie zulässig rule_allow_internal_forwardingsind. Wählen Sie unter Data flow templates (Datenflussvorlagen) die Option Add a data flow template (Datenflussvorlage hinzufügen) aus. Füllen Sie im Popupfenster Add a data flow template (Datenflussvorlage hinzufügen) die Felder wie folgt aus.

   Feld	Wert
   Vorlagenname	internal_forwarding
   Protokolle	Wählen Sie All (Alle) aus.
   Richtung	Wählen Sie Bidirectional (Bidirektional) aus.
   Remote-IPs	10.20.0.0/16
   Ports	Lassen Sie dieses Feld leer.

9. Klicken Sie auf Hinzufügen.

10. Wählen Sie auf der Konfigurationsregisterkarte Allgemeine Informationen die Option Überprüfen + erstellen aus.

11. Wählen Sie Erstellen, um den Dienst zu erstellen.

12. Wenn der Dienst erstellt wurde, wird im Azure-Portal der folgende Bestätigungsbildschirm angezeigt. Wählen Sie Zu Ressource wechseln aus, um die neue Dienstressource anzuzeigen.

    

13. Vergewissern Sie sich, dass die im unteren Bildschirmbereich aufgeführten QoS-Merkmale, Datenflussrichtlinienregeln und Dienstdatenflussvorlagen wie erwartet konfiguriert sind.

Erstellen eines Diensts zum Blockieren der internen Weiterleitung

In diesem Schritt erstellen wir einen Dienst, der den Datenverkehr blockiert, der mit der Remoteadresse im Bereich gekennzeichnet ist, der für UEs (10.20.0.0.0/16, in diesem Beispiel) in beiden Richtungen konfiguriert ist.

So erstellen Sie den Dienst:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach der Mobilfunknetz-Ressource, die Ihr privates Mobilfunknetz repräsentiert, und wählen Sie diese aus.

   

3. Wählen Sie im Menü Ressource die Option Dienste aus.

   

4. Wählen Sie auf der Befehlsleiste die Option Erstellen aus.

   

5. Geben Sie Werte ein, um die QoS-Merkmale zu definieren, die auf Dienstdatenflüsse (SDFs) angewendet werden, die diesem Dienst entsprechen. Füllen Sie auf der Registerkarte Grundlegende Einstellungen die Felder wie folgt aus.

   Feld	Wert
   Dienstname	service_block_internal_forwarding
   Service precedence (Dienstrangfolge)	200
   Maximum bit rate (MBR) - Uplink (Maximale Bitrate (MBR) – Uplink)	2 Gbps
   Maximum bit rate (MBR) - Downlink (Maximale Bitrate (MBR) – Downlink)	2 Gbps
   Allocation and Retention Priority level (Zuordnungs- und Aufbewahrungsprioritätsstufe)	2
   5QI/QCI	9
   Preemption capability (Funktion zur vorübergehenden Unterbrechung)	Wählen Sie May not preempt (Möglicherweise keine vorübergehende Unterbrechung) aus.
   Preemption vulnerability (Sicherheitsrisiko der vorübergehenden Unterbrechung)	Wählen Sie Not preemptable (Nicht vorübergehend unterbrechbar) aus.

   Wichtig

   Die Rangfolge des Diensts muss einen niedrigeren Wert als alle in Konflikt stehenden Dienste (z. B. einen Dienst "alle zulassen") aufweisen. Dienste werden mit dem Datenverkehr in Der Reihenfolge der Rangfolge abgeglichen.

6. Wählen Sie unter Data flow policy rules (Richtlinienregeln für den Datenfluss) die Option Add a policy rule (Richtlinienregel hinzufügen) aus.

7. Wir erstellen nun eine Datenflussrichtlinienregel, die alle Pakete blockiert, die der Datenflussvorlage entsprechen, die wir im nächsten Schritt konfigurieren. Füllen Sie unter Add a policy rule (Richtlinie hinzufügen) auf der rechten Seite die Felder wie folgt aus.

   Feld	Wert
   Regelname	rule_block_internal_forwarding
   Policy rule precedence (Rangfolge der Richtlinienregel)	Wählen Sie 200 aus.
   Allow traffic (Datenverkehr zulassen)	Wählen Sie Blocked (Blockiert) aus.

8. Wir erstellen nun eine Datenflussvorlage, die mit Paketen übereinstimmt, die in 10.20.0.0.0/16 von UEs fließen, sodass sie durch rule_block_internal_forwardingblockiert werden können. Wählen Sie unter Data flow templates (Datenflussvorlagen) die Option Add a data flow template (Datenflussvorlage hinzufügen) aus. Füllen Sie im Popupfenster Add a data flow template (Datenflussvorlage hinzufügen) die Felder wie folgt aus.

   Feld	Wert
   Vorlagenname	internal_forwarding
   Protokolle	Wählen Sie All (Alle) aus.
   Richtung	Wählen Sie Bidirectional (Bidirektional) aus.
   Remote-IPs	10.20.0.0/16
   Ports	Lassen Sie dieses Feld leer.

9. Klicken Sie auf Hinzufügen.

10. Wählen Sie auf der Konfigurationsregisterkarte Allgemeine Informationen die Option Überprüfen + erstellen aus.

11. Wählen Sie Erstellen, um den Dienst zu erstellen.

12. Wenn der Dienst erstellt wurde, wird im Azure-Portal der folgende Bestätigungsbildschirm angezeigt. Wählen Sie Zu Ressource wechseln aus, um die neue Dienstressource anzuzeigen.

    

13. Vergewissern Sie sich, dass die im unteren Bildschirmbereich aufgeführten QoS-Merkmale, Datenflussrichtlinienregeln und Dienstdatenflussvorlagen wie erwartet konfiguriert sind.

Ändern einer vorhandenen SIM-Richtlinie zum Zuweisen des neuen Diensts

In diesem Schritt weisen wir den neuen Dienst (service_allow_internal_forwarding oder service_block_internal_forwarding) einer vorhandenen SIM-Richtlinie zu.

1. Suchen Sie die SIM-Richtlinie, die für Ihre Benutzer konfiguriert ist.

   

2. Wählen Sie die SIM-Richtlinie aus, die Sie ändern möchten, und wählen Sie "Die ausgewählte SIM-Richtlinie ändern" aus.

   

3. Wählen Sie "Netzwerkbereich ändern" für das vorhandene Datensegment und das für Ihre Benutzer konfigurierte Datennetzwerk aus.

4. Fügen Sie unter "Dienstkonfiguration" den neuen Dienst hinzu.

5. Wählen Sie Ändern aus.

6. Wählen Sie "Zu SIMs zuweisen" aus.

7. Wählen Sie "Überprüfen" und "Ändern" aus.

8. Überprüfen Sie Ihre aktualisierte SIM-Richtlinie, und überprüfen Sie, ob die Konfiguration wie erwartet ist.

   • Die Einstellungen der obersten Ebene für die SIM-Richtlinie werden unter der Überschrift Essentials angezeigt.
   • Die Konfiguration des Netzwerkbereichs wird unter der Überschrift Netzwerkbereich einschließlich konfigurierter Dienste unter Dienstkonfiguration und Konfiguration der Servicequalität unter Quality of Service (QoS) angezeigt.

Nächste Schritte

• Erfahren Sie, wie Sie Ihre eigene Richtliniensteuerungskonfiguration entwerfen.