Azure Private 5G Core-netwerk configureren voor toegang tot UE-IP-adressen

Azure Private 5G Core (AP5GC) biedt een veilig en betrouwbaar netwerk voor de communicatiebehoeften van uw organisatie. Als u toegang wilt krijgen tot UE-IP-adressen (User Equipment) vanuit het gegevensnetwerk (DN), moet u de juiste firewallregels, routes en andere instellingen configureren. In dit artikel wordt u begeleid bij de stappen en overwegingen die nodig zijn.

Vereisten

Voordat u begint, moet u het volgende hebben:

• Toegang tot uw Azure Private 5G Core via Azure Portal.
• Kennis van de netwerktopologie van uw organisatie.
• Een AP5GC met NETWORK Address Port Translation (NAPT) is uitgeschakeld.

  Belangrijk

  Het gebruik van een implementatie waarbij NAPT is ingeschakeld, werkt alleen als de UE de contactpersoon naar de server initieert en de server UE-clients kan differentiëren met behulp van een combinatie van IP-adres en poort.
  Als de server probeert de eerste contactpersoon te maken of contact probeert te maken met een UE nadat er een time-out is opgetreden voor de pinhole, mislukt de verbinding.

• Toegang tot alle benodigde netwerkapparaten voor configuratie (bijvoorbeeld routers, firewalls, switches, proxy's).
• Mogelijkheid om pakkettraceringen vast te leggen op verschillende punten in uw netwerk.

UE-IP-adressentoegang configureren

1. Bepaal de IP-adressen van de apparaten waartoe u toegang wilt krijgen vanuit het gegevensnetwerk. Deze IP-adressen behoren tot de IP-adresgroep die is gedefinieerd tijdens het maken van de site.
   U kunt de IP-adressen voor apparaten zien door een van beide
   • gedistribueerde tracering controleren,
   • het controleren van pakketopnamen van het apparaat dat een sessie koppelt en maakt,
   • of met geïntegreerde hulpprogramma's voor de UE (bijvoorbeeld opdrachtregel of gebruikersinterface).
2. Controleer of het clientapparaat dat u gebruikt, de UE kan bereiken via het NETWERK AP5GC N6 (in een 5G-implementatie) of SGi (in een 4G-implementatie).
   • Als de client zich op hetzelfde subnet bevindt als de AP5GC N6/SGi-interface, moet het clientapparaat een route hebben naar het UE-subnet en moet de volgende hop zijn naar het N6/SGi-IP-adres dat deel uitmaakt van de naam van het gegevensnetwerk (DNN) die is toegewezen aan de UE.
   • Als er anders een router of firewall is tussen de client en AP5GC, moet de route naar het UE-subnet de router of firewall als de volgende hop hebben.
3. Zorg ervoor dat het verkeer van het clientapparaat dat is bestemd voor de UE de AP5GC N6-netwerkinterface bereikt.
   1. Controleer elke firewall tussen het N6-adres en het IP-adres van het clientapparaat.
   2. Zorg ervoor dat het type verkeer dat wordt verwacht tussen het clientapparaat en de UE, de firewall mag passeren.
   3. Herhaal dit voor TCP/UDP-poorten, IP-adressen en protocollen die vereist zijn.
   4. Zorg ervoor dat de firewall routes heeft om het verkeer dat is bestemd voor het UE-IP-adres door te sturen naar het IP-adres van de N6-interface.
4. Configureer de juiste routes in uw routers om ervoor te zorgen dat verkeer van het gegevensnetwerk wordt omgeleid naar de juiste doel-IP-adressen in het RAN-netwerk.
5. Test de configuratie om ervoor te zorgen dat u toegang hebt tot de UE-IP-adressen vanuit het gegevensnetwerk.

voorbeeld

• UE: een slimme camera die toegankelijk is via HTTPS. De UE gebruikt AP5GC om informatie te verzenden naar de beheerde server van een operator.
• Netwerktopologie: Het N6-netwerk heeft een firewall die het van het beveiligde bedrijfsnetwerk en van internet scheidt.
• Vereiste: Vanuit de IT-infrastructuur van de operator kan zich met HTTPS aanmelden bij de slimme camera.

Oplossing

1. IMPLEMENTeer AP5GC met NAPT uitgeschakeld.
2. Voeg regels toe aan de bedrijfsfirewall om HTTPS-verkeer van het bedrijfsnetwerk naar het IP-adres van de slimme camera toe te staan.
3. Routeringsconfiguratie toevoegen aan de firewall. Verkeer dat is bestemd voor het IP-adres van de slimme camera doorsturen naar het N6-IP-adres van de DN-naam die is toegewezen aan de UE in de AP5GC-implementatie.
4. Controleer de beoogde verkeersstromen voor de N3- en N6-interfaces.
   1. Pak pakketopnamen tegelijkertijd op de N3- en N6-interface.
   2. Controleer het verkeer op de N3-interface.
      1. Controleer de pakketopname voor verwacht verkeer dat de N3-interface van de UE bereikt.
      2. Controleer de pakketopname voor verwacht verkeer dat de N3-interface naar de UE verlaat.
   3. Controleer het verkeer op de N6-interface.
      1. Controleer de pakketopname voor verwacht verkeer dat de N6-interface van de UE bereikt.
      2. Controleer de pakketopname voor verwacht verkeer dat de N6-interface naar de UE verlaat.
5. Neem pakketopnamen om te controleren of de firewall verkeer ontvangt en verzendt dat bestemd is voor de slimme camera en naar het clientapparaat.

Result

Uw Azure Private 5G Core-netwerk heeft toegang tot UE-IP-adressen vanuit het gegevensnetwerk.