Configurar a rede Azure Private 5G Core para aceder a endereços IP da UE

O Azure Private 5G Core (AP5GC) fornece uma rede segura e fiável para as necessidades de comunicação da sua organização. Para aceder aos endereços IP do equipamento do utilizador (UE) a partir da rede de dados (DN), tem de configurar regras de firewall, rotas e outras definições adequadas. Este artigo irá guiá-lo através das etapas e considerações necessárias.

Pré-requisitos

Antes de começar, você deve ter:

• Acesso ao seu Azure Private 5G Core através do portal do Azure.
• Conhecimento da topologia de rede da sua organização.
• Um AP5GC com conversão de porta de endereço de rede (NAPT) desativado.

  Importante

  A utilização de uma implementação em que o NAPT está ativado só funciona se a UE iniciar o contacto com o servidor e o servidor for capaz de diferenciar os clientes UE utilizando uma combinação de endereço IP e porta.
  Se o servidor tentar fazer o contato inicial ou tentar entrar em contato com uma UE depois que o pinhole tiver expirado, a conexão falhará.

• Acesso a quaisquer dispositivos de rede necessários para configuração (por exemplo, routers, firewalls, switches, proxies).
• Capacidade de capturar rastreamentos de pacotes em diferentes pontos da sua rede.

Configurar o acesso a endereços IP da UE

1. Determine os endereços IP dos dispositivos que você deseja acessar a partir da rede de dados. Esses endereços IP pertencem ao pool de IP definido durante a criação do site.
   Você pode ver os endereços IP dos dispositivos por
   • verificação do rastreio distribuído,
   • verificação de capturas de pacotes do dispositivo anexando e criando uma sessão,
   • ou utilizando ferramentas integradas para a UE (por exemplo, linha de comandos ou IU).
2. Confirme se o dispositivo cliente que está a utilizar pode chegar à UE através da rede AP5GC N6 (numa implementação 5G) ou SGi (numa implementação 4G).
   • Se o cliente estiver na mesma sub-rede que a interface AP5GC N6/SGi, o dispositivo cliente deve ter uma rota para a sub-rede UE e o próximo salto deve ser para o endereço IP N6/SGi que pertence ao nome da rede de dados (DNN) atribuído à UE.
   • Caso contrário, se houver um roteador ou firewall entre o cliente e o AP5GC, a rota para a sub-rede UE deve ter o roteador ou firewall como o próximo salto.
3. Certifique-se de que o tráfego de dispositivo cliente destinado à UE atinja a interface de rede AP5GC N6.
   1. Verifique cada firewall entre o endereço N6 e o endereço IP do dispositivo cliente.
   2. Certifique-se de que o tipo de tráfego esperado entre o dispositivo cliente e a UE tem permissão para passar pelo firewall.
   3. Repita o procedimento para portas TCP/UDP, endereços IP e protocolos necessários.
   4. Verifique se o firewall tem rotas para encaminhar o tráfego destinado ao endereço IP da UE para o endereço IP da interface N6.
4. Configure rotas apropriadas em seus roteadores para garantir que o tráfego da rede de dados seja direcionado para os endereços IP de destino corretos na rede RAN.
5. Teste a configuração para garantir que pode aceder com êxito aos endereços IP da UE a partir da rede de dados.

Exemplo

• UE: Uma câmera inteligente que pode ser acessada usando HTTPS. A UE está a utilizar o AP5GC para enviar informações para o servidor gerido por um operador.
• Topologia de rede: A rede N6 tem um firewall que a separa da rede corporativa segura e da internet.
• Requisito: A partir da infraestrutura de TI do operador, ser capaz de entrar na câmera inteligente usando HTTPS.

Solução

1. Implante o AP5GC com NAPT desativado.
2. Adicione regras ao firewall corporativo para permitir o tráfego HTTPS da rede corporativa para o endereço IP da câmera inteligente.
3. Adicione a configuração de roteamento ao firewall. Encaminhe o tráfego destinado ao endereço IP da câmera inteligente para o endereço IP N6 do nome DN atribuído à UE na implantação do AP5GC.
4. Verifique os fluxos de tráfego pretendidos para as interfaces N3 e N6.
   1. Faça capturas de pacotes na interface N3 e N6 simultaneamente.
   2. Verifique o tráfego na interface N3.
      1. Verifique na captura de pacotes o tráfego esperado que chega à interface N3 a partir da UE.
      2. Verifique a captura de pacotes para o tráfego esperado saindo da interface N3 em direção à UE.
   3. Verifique o tráfego na interface N6.
      1. Verifique a captura de pacotes para o tráfego esperado que chega à interface N6 a partir da UE.
      2. Verifique a captura de pacotes para o tráfego esperado saindo da interface N6 em direção à UE.
5. Faça capturas de pacotes para verificar se o firewall está recebendo e enviando tráfego destinado à câmera inteligente e ao dispositivo cliente.

Resultado

A sua rede 5G Core privada do Azure pode aceder a endereços IP da UE a partir da rede de dados.