Настройка частной сети Azure 5G Core для доступа к IP-адресам UE

Azure Private 5G Core (AP5GC) предоставляет безопасную и надежную сеть для взаимодействия вашей организации. Чтобы получить доступ к IP-адресам пользовательского оборудования (UE) из сети данных (DN), необходимо настроить соответствующие правила брандмауэра, маршруты и другие параметры. В этой статье описаны шаги и рекомендации.

Необходимые компоненты

Перед началом работы убедитесь, что у вас есть перечисленные ниже ресурсы.

• Доступ к частному 5G Core Azure через портал Azure.
• Знание топологии сети вашей организации.
• AP5GC с отключенным преобразованием портов сетевых адресов (NAPT).

  Важно!

  Использование развертывания, в котором включена функция NAPT, работает только в том случае, если UE инициирует контакт с сервером, а сервер способен различать клиенты UE с помощью сочетания IP-адресов и портов.
  Если сервер пытается сделать первоначальный контакт или пытается связаться с UE после истечения времени ожидания закрепления, подключение завершится ошибкой.

• Доступ к любым необходимым сетевым устройствам для настройки (например, маршрутизаторам, брандмауэрам, коммутаторам, прокси-серверам).
• Возможность отслеживания трассировки пакетов в разных точках в сети.

Настройка доступа к IP-адресам UE

1. Определите IP-адреса устройств, к которым вы хотите получить доступ из сети данных. Эти IP-адреса принадлежат пулу IP-адресов, определенному во время создания сайта.
   Ip-адреса для устройств можно просмотреть с помощью любого из этих устройств.
   • проверка распределенной трассировки,
   • проверка записи пакетов подключения устройства и создания сеанса;
   • или с помощью интегрированных средств для UE (например, командной строки или пользовательского интерфейса).
2. Убедитесь, что клиентское устройство, которое вы используете, может получить доступ к UE через AP5GC N6 (в развертывании 5G) или SGi (в развертывании 4G).
   • Если клиент находится в той же подсети, что и интерфейс AP5GC N6/SGi, клиентское устройство должно иметь маршрут к подсети UE, а следующий прыжок должен быть ip-адрес N6/SGi, принадлежащий имени сети данных (DNN), назначенному UE.
   • В противном случае, если между клиентом и AP5GC существует маршрутизатор или брандмауэр, маршрут к подсети UE должен иметь маршрутизатор или брандмауэр в качестве следующего прыжка.
3. Убедитесь, что трафик клиентского устройства, предназначенный для UE, достигает сетевого интерфейса AP5GC N6.
   1. Проверьте каждый брандмауэр между адресом N6 и IP-адресом клиентского устройства.
   2. Убедитесь, что тип трафика, ожидаемый между клиентским устройством и UE, разрешен через брандмауэр.
   3. Повторите для портов TCP/UDP, IP-адресов и протоколов, необходимых.
   4. Убедитесь, что брандмауэр имеет маршруты для перенаправления трафика, предназначенного для IP-адреса UE, на IP-адрес интерфейса N6.
4. Настройте соответствующие маршруты в маршрутизаторах, чтобы убедиться, что трафик из сети данных направляется на правильные IP-адреса назначения в сети RAN.
5. Проверьте конфигурацию, чтобы убедиться, что вы сможете успешно получить доступ к IP-адресам UE из сети данных.

Пример

• UE: смарт-камера, доступ к которому можно получить с помощью HTTPS. UE использует AP5GC для отправки информации на управляемый сервер оператора.
• Топология сети: сеть N6 имеет брандмауэр, разделяющий его от безопасной корпоративной сети и из Интернета.
• Требование. Из ИТ-инфраструктуры оператора сможет войти в смарт-камеру с помощью ПРОТОКОЛА HTTPS.

Решение

1. Развертывание AP5GC с отключенным NAPT.
2. Добавьте правила в брандмауэр предприятия, чтобы разрешить трафик HTTPS из корпоративной сети в IP-адрес смарт-камеры.
3. Добавьте конфигурацию маршрутизации в брандмауэр. Перенаправите трафик, предназначенный для IP-адреса смарт-камеры, к IP-адресу N6 имени DN, назначенному UE в развертывании AP5GC.
4. Проверьте предполагаемые потоки трафика для интерфейсов N3 и N6.
   1. Одновременное захват пакетов на интерфейсе N3 и N6.
   2. Проверьте трафик в интерфейсе N3.
      1. Проверьте запись пакетов, чтобы ожидаемый трафик достиг интерфейса N3 из UE.
      2. Проверьте запись пакетов для ожидаемого трафика, покидающего интерфейс N3 в сторону UE.
   3. Проверьте трафик в интерфейсе N6.
      1. Проверьте запись пакетов, чтобы ожидаемый трафик достиг интерфейса N6 из UE.
      2. Проверьте запись пакетов для ожидаемого трафика, покидающего интерфейс N6 в сторону UE.
5. Захват пакетов для проверка, что брандмауэр получает и отправляет трафик, предназначенный для интеллектуальной камеры и клиентского устройства.

Результат

Частная сеть Azure 5G Core может получить доступ к IP-адресам UE из сети данных.