Konfigurieren des Azure Private 5G Core-Netzwerks für den Zugriff auf UE-IP-Adressen

Azure Private 5G Core (AP5GC) bietet ein sicheres und zuverlässiges Netzwerk für die Kommunikationsanforderungen Ihrer Organisation. Für den Zugriff auf UE-IP-Adressen aus dem Datennetzwerk (Data Network, DN) müssen Sie geeignete Firewallregeln, Routen und andere Einstellungen konfigurieren. Dieser Artikel führt Sie durch die erforderlichen Schritte und Überlegungen.

Voraussetzungen

Bevor Sie beginnen, müssen Sie :

• Zugriff auf Ihr Azure Private 5G Core über die Azure-Portal.
• Wissen über die Netzwerktopologie Ihrer Organisation.
• Eine AP5GC mit deaktivierter Netzwerkadressenportübersetzung (NAPT).

  Wichtig

  Die Verwendung einer Bereitstellung, bei der NAPT aktiviert ist, funktioniert nur, wenn der UE den Kontakt mit dem Server initiiert, und der Server kann UE-Clients mithilfe einer Kombination aus IP-Adresse und Port unterscheiden.
  Wenn der Server versucht, den ersten Kontakt herzustellen oder versucht, eine UE zu kontaktieren, nachdem das Pinhole ein Timeout erreicht hat, schlägt die Verbindung fehl.

• Zugriff auf alle erforderlichen Netzwerkgeräte für die Konfiguration (z. B. Router, Firewalls, Switches, Proxys).
• Möglichkeit zum Erfassen von Paketablaufverfolgungen an verschiedenen Stellen in Ihrem Netzwerk.

Konfigurieren des Zugriffs auf UE-IP-Adressen

1. Ermitteln Sie die IP-Adressen der Geräte, auf die Sie über das Datennetzwerk zugreifen möchten. Diese IP-Adressen gehören zum IP-Pool, der während der Websiteerstellung definiert ist.
   Sie können die IP-Adressen für Geräte entweder anzeigen
   • Überprüfen der verteilten Ablaufverfolgung,
   • Überprüfen von Paketerfassungen des Geräts, das eine Sitzung anfügt und erstellt,
   • oder verwenden Sie integrierte Tools für die UE (z. B. Befehlszeile oder Benutzeroberfläche).
2. Vergewissern Sie sich, dass das verwendete Clientgerät die UE über die AP5GC N6 (in einer 5G-Bereitstellung) oder SGi (in einem 4G-Bereitstellungsnetzwerk) erreichen kann.
   • Wenn sich der Client im selben Subnetz wie die AP5GC N6/SGi-Schnittstelle befindet, sollte das Clientgerät über eine Route zum UE-Subnetz verfügen, und der nächste Hop sollte die N6/SGi-IP-Adresse sein, die zum Datennetzwerknamen (Data Network Name, DNN) gehört, der der UE zugewiesen ist.
   • Andernfalls sollte die Route zum UE-Subnetz den Router oder die Firewall als nächsten Hop aufweisen, wenn ein Router oder eine Firewall zwischen dem Client und AP5GC vorhanden ist.
3. Stellen Sie sicher, dass der an die UE fähige Clientgerätedatenverkehr die AP5GC N6-Netzwerkschnittstelle erreicht.
   1. Überprüfen Sie jede Firewall zwischen der N6-Adresse und der IP-Adresse des Clientgeräts.
   2. Stellen Sie sicher, dass der typ des erwarteten Datenverkehrs zwischen Clientgerät und UE die Firewall durchlaufen darf.
   3. Wiederholen Sie diesen Vorgang für TCP/UDP-Ports, IP-Adressen und erforderliche Protokolle.
   4. Stellen Sie sicher, dass die Firewall Routen zum Weiterleiten des Datenverkehrs an die UE-IP-Adresse an die IP-Adresse der N6-Schnittstelle hat.
4. Konfigurieren Sie geeignete Routen in Ihren Routern, um sicherzustellen, dass der Datenverkehr aus dem Datennetzwerk an die richtigen Ziel-IP-Adressen im RAN-Netzwerk weitergeleitet wird.
5. Testen Sie die Konfiguration, um sicherzustellen, dass Sie erfolgreich über das Datennetzwerk auf die UE-IP-Adressen zugreifen können.

Beispiel

• UE: Eine Intelligente Kamera, auf die mit HTTPS zugegriffen werden kann. Die UE verwendet AP5GC, um Informationen an den verwalteten Server eines Operators zu senden.
• Netzwerktopologie: Das N6-Netzwerk hat eine Firewall, die sie vom sicheren Unternehmensnetzwerk und vom Internet trennt.
• Anforderung: Aus der IT-Infrastruktur des Betreibers kann sich mit HTTPS bei der Smart Camera anmelden.

Lösung

1. Bereitstellen von AP5GC mit deaktivierter NAPT-Funktion.
2. Fügen Sie der Unternehmensfirewall Regeln hinzu, um HTTPS-Datenverkehr aus dem Unternehmensnetzwerk an die IP-Adresse der Intelligenten Kamera zuzulassen.
3. Fügen Sie der Firewall die Routingkonfiguration hinzu. Weiterleiten des Datenverkehrs, der an die IP-Adresse der Smart camera an die N6-IP-Adresse des DN-Namens weitergeleitet wird, der der UE in der AP5GC-Bereitstellung zugewiesen ist.
4. Überprüfen Sie die beabsichtigten Datenverkehrsflüsse für die N3- und N6-Schnittstellen.
   1. Erfassen Sie Pakete gleichzeitig auf der N3- und N6-Schnittstelle.
   2. Überprüfen Sie den Datenverkehr auf der N3-Schnittstelle.
      1. Überprüfen Sie die Paketerfassung auf erwarteten Datenverkehr, der die N3-Schnittstelle von der UE erreicht.
      2. Überprüfen Sie die Paketerfassung auf erwarteten Datenverkehr, der die N3-Schnittstelle in Richtung UE verlässt.
   3. Überprüfen Sie den Datenverkehr auf der N6-Schnittstelle.
      1. Überprüfen Sie die Paketerfassung auf erwarteten Datenverkehr, der die N6-Schnittstelle von der UE erreicht.
      2. Überprüfen Sie die Paketerfassung auf erwarteten Datenverkehr, der die N6-Schnittstelle in Richtung UE verlässt.
5. Nehmen Sie Paketaufnahmen auf, um zu überprüfen, ob die Firewall sowohl Datenverkehr empfängt als auch sendet, der an die Smartkamera und an das Clientgerät bestimmt ist.

Ergebnis

Ihr Privates Azure 5G Core-Netzwerk kann über das Datennetzwerk auf UE-IP-Adressen zugreifen.