UE IP アドレスにアクセスするための Azure Private 5G Core ネットワークを構成する

Azure Private 5G Core (AP5GC) は、組織の通信ニーズに対してセキュリティで保護された信頼性の高いネットワークを提供します。 データ ネットワーク (DN) からユーザー機器 (UE) IP アドレスにアクセスするには、適切なファイアウォール規則、ルート、およびその他の設定を構成する必要があります。 この記事では、必要な手順と考慮事項について説明します。

前提条件

開始する前に、以下が必要になります。

• Azure portal を使用した Azure Private 5G Core へのアクセス。
• 組織のネットワーク トポロジに関する知識。
• ネットワーク アドレス ポート変換 (NAPT) が無効になっている AP5GC。

  重要

  NAPT が有効になっているデプロイの使用は、UE がサーバーへの接続を開始し、サーバーが IP アドレスとポートの組み合わせを使用して UE クライアントを区別できる場合にのみ機能します。
  サーバーが最初の接続を試みるか、ピンホールがタイムアウトになった後に UE に接続しようとすると、接続は失敗します。

• 構成に必要なネットワーク デバイス (ルーター、ファイアウォール、スイッチ、プロキシなど) へのアクセス。
• ネットワーク内のさまざまなポイントでパケット トレースをキャプチャする機能。

UE IP アドレスのアクセスを構成する

1. データ ネットワークからアクセスするデバイスの IP アドレスを決定します。 これらの IP アドレスは、サイトの作成時に定義された IP プールに属します。
   デバイスの IP アドレスは、次のいずれかの方法で確認できます
   • 分散トレースを確認するか、
   • セッションをアタッチして作成するデバイスのパケット キャプチャを確認するか、
   • または UE 用の統合ツール (コマンド ラインや UI など) を使用します。
2. 使用しているクライアント デバイスが、AP5GC N6 (5G デプロイ) または SGi (4G デプロイ) ネットワークを介して UE に到達できることを確認します。
   • クライアントが AP5GC N6/SGi インターフェイスと同じサブネット上にある場合、クライアント デバイスには UE サブネットへのルートが必要です。ネクスト ホップは、UE に割り当てられたデータ ネットワーク名 (DNN) に属する N6/SGi IP アドレスになります。
   • それ以外の場合、クライアントと AP5GC の間にルーターまたはファイアウォールがある場合、UE サブネットへのルートには、ネクスト ホップとしてルーターまたはファイアウォールが必要です。
3. UE 宛てのクライアント デバイス トラフィックが AP5GC N6 ネットワーク インターフェイスに到達していることを確認します。
   1. N6 アドレスとクライアント デバイス IP アドレスとの間の各ファイアウォールを確認します。
   2. クライアント デバイスと UE との間で予想されるトラフィックの種類がファイアウォール経由で許可されていることを確認します。
   3. TCP/UDP ポート、IP アドレス、プロトコルが必要な場合は、この手順を繰り返します。
   4. UE IP アドレス宛てのトラフィックを N6 インターフェイス IP アドレスに転送するルートが、ファイアウォールにあることを確認します。
4. データ ネットワークからのトラフィックが RAN ネットワーク内の正しい宛先 IP アドレスに確実に転送されるように、ルーターで適切なルートを構成します。
5. 構成をテストして、データ ネットワークから UE IP アドレスに正常にアクセスできることを確認します。

例

• UE: HTTPS を使用してアクセスできるスマート カメラ。 UE は AP5GC を使用して、オペレーターのマネージド サーバーに情報を送信します。
• ネットワーク トポロジ: N6 ネットワークには、セキュリティで保護された企業ネットワークとインターネットから分離するファイアウォールがあります。
• 要件: オペレーターの IT インフラストラクチャから、HTTPS を使用してスマート カメラにサインインできること。

解決策

1. NAPT を無効にして AP5GC をデプロイします。
2. 企業のファイアウォールにルールを追加して、企業ネットワークからスマート カメラの IP アドレスへの HTTPS トラフィックを許可します。
3. ファイアウォールにルーティング構成を追加します。 スマート カメラの IP アドレス宛てのトラフィックを、AP5GC デプロイの UE に割り当てられた DN 名の N6 IP アドレスに転送します。
4. N3 および N6 インターフェイスの意図するトラフィック フローを確認します。
   1. N3 および N6 インターフェイスでパケット キャプチャを同時に取得します。
   2. N3 インターフェイスでトラフィックを確認します。
      1. UE から N3 インターフェイスに到達すると予想されるトラフィックのパケット キャプチャを確認します。
      2. N3 インターフェイスから UE に向かうと予想されるトラフィックのパケット キャプチャを確認します。
   3. N6 インターフェイスでトラフィックを確認します。
      1. UE から N6 インターフェイスに到達すると予想されるトラフィックのパケット キャプチャを確認します。
      2. N6 インターフェイスから UE に向かうと予想されるトラフィックのパケット キャプチャを確認します。
5. パケット キャプチャを取得して、ファイアウォールがスマート カメラとクライアント デバイス宛てのトラフィックを送受信していることを確認します。

結果

Azure Private 5G Core ネットワークは、データ ネットワークから UE IP アドレスにアクセスできます。