Configuración de la red Azure Private 5G Core para acceder a direcciones IP de UE

Azure Private 5G Core (AP5GC) proporciona una red segura y confiable para las necesidades de comunicación de su organización. Para acceder a las direcciones IP del equipo de usuario (UE) desde la red de datos (DN), debe configurar las reglas de firewall, las rutas y otras opciones adecuadas. Este artículo le guiará por los pasos y consideraciones necesarios.

Requisitos previos

Antes de empezar, debe disponer de lo siguiente:

• Acceso a Azure Private 5G Core a través de Azure Portal.
• Conocimiento de la topología de red de la organización.
• Ap5GC con traducción de puertos de dirección de red (NAPT) deshabilitado.

  Importante

  El uso de una implementación en la que NAPT solo funciona si la UE inicia el contacto con el servidor y el servidor es capaz de diferenciar a los clientes ue mediante una combinación de dirección IP y puerto.
  Si el servidor intenta realizar el contacto inicial o intenta ponerse en contacto con una UE después de que se agote el tiempo de espera, se producirá un error en la conexión.

• Acceso a los dispositivos de red necesarios para la configuración (por ejemplo, enrutadores, firewalls, conmutadores, servidores proxy).
• Capacidad de capturar seguimientos de paquetes en distintos puntos de la red.

Configuración del acceso a direcciones IP de UE

1. Determine las direcciones IP de los dispositivos a los que desea acceder desde la red de datos. Estas direcciones IP pertenecen al grupo de DIRECCIONES IP definido durante la creación del sitio.
   Puede ver las direcciones IP de los dispositivos.
   • comprobación del seguimiento distribuido,
   • comprobar capturas de paquetes de la conexión de dispositivos y crear una sesión,
   • o mediante herramientas integradas para la UE (por ejemplo, la línea de comandos o la interfaz de usuario).
2. Confirme que el dispositivo cliente que usa puede acceder a la UE a través de ap5GC N6 (en una implementación 5G) o SGi (en una implementación 4G).
   • Si el cliente está en la misma subred que la interfaz AP5GC N6/SGi, el dispositivo cliente debe tener una ruta a la subred ue y el próximo salto debe ser a la dirección IP N6/SGi que pertenece al nombre de red de datos (DNN) asignado a la UE.
   • De lo contrario, si hay un enrutador o firewall entre el cliente y AP5GC, la ruta a la subred ue debe tener el enrutador o firewall como próximo salto.
3. Asegúrese de que el tráfico del dispositivo cliente destinado a la UE llega a la interfaz de red AP5GC N6.
   1. Compruebe cada firewall entre la dirección N6 y la dirección IP del dispositivo cliente.
   2. Asegúrese de que el tipo de tráfico esperado entre el dispositivo cliente y UE puede pasar a través del firewall.
   3. Repita el proceso para los puertos TCP/UDP, las direcciones IP y los protocolos necesarios.
   4. Asegúrese de que el firewall tiene rutas para reenviar el tráfico destinado a la dirección IP de ue a la dirección IP de la interfaz N6.
4. Configure las rutas adecuadas en los enrutadores para asegurarse de que el tráfico de la red de datos se dirige a las direcciones IP de destino correctas en la red RAN.
5. Pruebe la configuración para asegurarse de que puede acceder correctamente a las direcciones IP de UE desde la red de datos.

Ejemplo

• UE: una cámara inteligente a la que se puede acceder mediante HTTPS. La UE usa AP5GC para enviar información al servidor administrado de un operador.
• Topología de red: la red N6 tiene un firewall que lo separa de la red corporativa segura y de Internet.
• Requisito: Desde la infraestructura de TI del operador, podrá iniciar sesión en la cámara inteligente mediante HTTPS.

Solución

1. Implemente AP5GC con NAPT deshabilitado.
2. Agregue reglas al firewall de empresa para permitir el tráfico HTTPS desde la red corporativa a la dirección IP de la cámara inteligente.
3. Agregue la configuración de enrutamiento al firewall. Reenvíe el tráfico destinado a la dirección IP de la cámara inteligente a la dirección IP N6 del nombre de DN asignado a la UE en la implementación de AP5GC.
4. Compruebe los flujos de tráfico previstos para las interfaces N3 y N6.
   1. Tome capturas de paquetes en la interfaz N3 y N6 simultáneamente.
   2. Compruebe el tráfico en la interfaz N3.
      1. Compruebe la captura de paquetes para ver el tráfico esperado que llega a la interfaz N3 desde la UE.
      2. Compruebe la captura de paquetes para ver el tráfico esperado que sale de la interfaz N3 hacia la UE.
   3. Compruebe el tráfico en la interfaz N6.
      1. Compruebe la captura de paquetes para ver el tráfico esperado que llega a la interfaz N6 desde la UE.
      2. Compruebe la captura de paquetes para ver el tráfico esperado que sale de la interfaz N6 hacia la UE.
5. Tome capturas de paquetes para comprobar que el firewall recibe y envía tráfico destinado a la cámara inteligente y al dispositivo cliente.

Resultado

La red 5G Core privada de Azure puede acceder a las direcciones IP de UE desde la red de datos.