Требования к проектированию частной мобильной сети

Эта статья поможет вам разработать и подготовиться к реализации частной сети 4G или 5G на основе Azure Private 5G Core (AP5GC). Она направлена на то, чтобы обеспечить понимание того, как создаются эти сети, и решения, которые необходимо принять по мере планирования сети.

Azure Private MEC и Azure Private 5G Core

Частное многограничное вычисление Azure (MEC) — это решение, которое объединяет вычислительные ресурсы Майкрософт, сети и службы приложений в развертывание в локальной среде предприятия (ребра). Эти пограничные развертывания управляются централизованно из облака. Azure Private 5G Core — это служба Azure в частной вычислительной среде с несколькими доступами (MEC), которая предоставляет сетевые функции 4G и 5G на корпоративном пограничном сервере. На корпоративном пограничном сайте устройства подключаются через сеть сотового радиодоступа (RAN) и подключаются через службу Azure Private 5G Core для вышестоящий сетей, приложений и ресурсов. При необходимости устройства могут использовать локальную функцию вычислений, предоставляемую Частным meC Azure для обработки потоков данных с очень низкой задержкой, все под контролем предприятия.

Требования к частной мобильной сети

Для подключения пользовательского оборудования (UEs) к частной сотовой сети должны присутствовать следующие возможности:

• UE должен быть совместим с протоколом и беспроводной полосой спектра, используемой радиодоступной сетью (RAN).
• UE должен содержать модуль удостоверения подписчика (SIM). SIM-карта — это криптографический элемент, который хранит удостоверение устройства.
• Должен быть РАН, отправка и получение сигнала сотовой связи во всех частях корпоративного сайта, содержащих необходимые службы UEs.
• Должен быть основной экземпляр пакета, подключенный к RAN и к сети вышестоящий. Ядро пакета отвечает за проверку подлинности виртуальных машин UE по мере подключения к службе RAN и запроса из сети. Она применяет политику к результирующий поток данных и из UEs; например, чтобы задать качество обслуживания.
• Служба RAN, ядро пакетов и вышестоящий сетевой инфраструктуре должна быть подключена через Ethernet, чтобы они могли передавать IP-трафик друг другу.
• Сайт, на котором размещен ядро пакета, должен иметь непрерывное, высокоскоростное подключение к Интернету (минимум 100 Мбит/с), чтобы обеспечить управление службами, телеметрию, диагностика и обновления.

Проектирование частной мобильной сети

В следующих разделах описаны элементы сети, которые необходимо учитывать, и решения по проектированию, которые необходимо принять при подготовке к развертыванию сети.

Топология

Проектирование и реализация локальной сети является основной частью развертывания AP5GC. Необходимо принять решения по проектированию сети для поддержки ядра пакетов AP5GC и других пограничных рабочих нагрузок. В этом разделе описаны некоторые решения, которые следует учитывать при проектировании сети и предоставляет некоторые примеры топологий сети. На следующей схеме показана базовая топология сети.

Рекомендации по проектированию

При развертывании на GPU Azure Stack Edge Pro (ASE) AP5GC использует физический порт 5 для сигналов доступа и данных (5G N2 и N3 ссылочных точек/4G S1 и S1-U) и порта 6 для основных данных (5G N6/4G SGi ссылочных точек). Если настроено более шести сетей данных, порт 5 также используется для основных данных.

AP5GC поддерживает развертывания с маршрутизаторами уровня 3 уровня 3 на портах 5 и 6. Это полезно для предотвращения дополнительных аппаратных средств на небольших пограничных сайтах.

• Можно подключить порт ASE 5 к узлам RAN напрямую (обратно к спине) или через коммутатор уровня 2. При использовании этой топологии необходимо настроить адрес eNodeB/gNodeB в качестве шлюза по умолчанию в сетевом интерфейсе ASE.
• Аналогичным образом можно подключить порт ASE 6 к основной сети через коммутатор уровня 2. При использовании этой топологии необходимо настроить приложение или произвольный адрес в подсети в качестве шлюза на стороне ASE.
• Кроме того, эти подходы можно объединить. Например, можно использовать маршрутизатор в порту ASE 6 с неструктурированным уровнем 2 сети в порту ASE 5. Если маршрутизатор уровня 3 присутствует в локальной сети, необходимо настроить его для сопоставления конфигурации ASE.

При развертывании в Azure Stack Edge 2 (ASE 2) AP5GC использует физический порт 3 для сигналов доступа и данных (5G N2 и N3 ссылочных точек/4G S1 и S1-U) и порта 4 для основных данных (5G N6/4G SGi ссылочных точек). Если настроено более шести сетей данных, порт 3 также используется для основных данных.

AP5GC поддерживает развертывания с маршрутизаторами уровня 3 или без нее на портах 3 и 4. Это полезно для предотвращения дополнительных аппаратных средств на небольших пограничных сайтах.

• Можно подключить порт ASE 3 к узлам RAN напрямую (назад) или через коммутатор уровня 2. При использовании этой топологии необходимо настроить адрес eNodeB/gNodeB в качестве шлюза по умолчанию в сетевом интерфейсе ASE.
• Аналогичным образом можно подключить порт ASE 4 к основной сети через коммутатор уровня 2. При использовании этой топологии необходимо настроить приложение или произвольный адрес в подсети в качестве шлюза на стороне ASE.
• Кроме того, эти подходы можно объединить. Например, можно использовать маршрутизатор в порту ASE 4 с неструктурированным уровнем 2 сети в порту ASE 3. Если маршрутизатор уровня 3 присутствует в локальной сети, необходимо настроить его для сопоставления конфигурации ASE.

Если ядро пакета не включено преобразование сетевых адресов (NAT), локальное сетевое устройство уровня 3 должно быть настроено со статическими маршрутами к пулам IP-адресов UE с помощью соответствующего IP-адреса N6 для соответствующей подключенной сети данных.

Примеры топологий сети

Существует несколько способов настройки сети для использования с AP5GC. Точную настройку зависит от потребностей и оборудования. В этом разделе приведены примеры топологий сети на оборудовании GPU ASE Pro.

• Сеть уровня 3 с преобразованием сетевых адресов N6 (NAT)
  Эта топология сети подключена к устройству уровня 2, которое обеспечивает подключение к ядру мобильной сети и шлюзам доступа (маршрутизаторы, подключающие ASE к данным и сетям доступа соответственно). Эта топология поддерживает до шести сетей данных. Это решение часто используется, так как это упрощает маршрутизацию уровня 3.
  

• Сеть уровня 3 без преобразования сетевых адресов (NAT)
  Эта топология сети является аналогичным решением, но диапазоны IP-адресов UE должны быть настроены как статические маршруты в маршрутизаторе сети данных с IP-адресом N6 NAT в качестве адреса следующего прыжка. Как и в предыдущем решении, эта топология поддерживает до шести сетей данных.

• Сеть неструктурированного уровня 2
  Ядро пакета не требует маршрутизаторов уровня 3 или функциональных возможностей, таких как маршрутизатор. Альтернативная топология может забыла использовать маршрутизаторы шлюза уровня 3 полностью и вместо этого создайте сеть уровня 2, в которой ASE находится в той же подсети, что и сети данных и доступа. Эта топология сети может быть более дешевой, если вам не требуется маршрутизация уровня 3. Для этого требуется включить преобразование портов сетевых адресов (NAPT) в ядро пакета.
  

• Сеть уровня 3 с несколькими сетями данных

  • AP5GC может поддерживать до десяти подключенных сетей данных, каждый из которых имеет собственную конфигурацию для системы доменных имен (DNS), пулов IP-адресов UE, конфигурации N6 IP-адресов и NAT. Оператор может подготавливать UEs как подписанные в одной или нескольких сетях данных и применять политику и качество обслуживания (QoS).
  • Для этой топологии требуется, чтобы интерфейс N6 был разделен на одну подсеть для каждой сети данных или одной подсети для всех сетей данных. Поэтому этот параметр требует тщательного планирования и настройки, чтобы предотвратить перекрывающиеся диапазоны IP-адресов сети данных или диапазоны IP-адресов UE.
    

• Сеть уровня 3 с виртуальной локальной сетью и физическим доступом и разделением ядер

  • Вы также можете разделить трафик ASE на виртуальные ЛС, независимо от того, хотите ли вы добавить шлюзы уровня 3 в сеть. Существует несколько преимуществ сегментирования трафика в отдельные виртуальные сети, включая более гибкое управление сетями и повышение безопасности.
  • Например, можно настроить отдельные виртуальные сети для управления, доступа и трафика данных или отдельной виртуальной локальной сети для каждой подключенной сети данных.
  • Виртуальные сети должны быть настроены на локальном сетевом оборудовании уровня 2 или уровня 3. Несколько виртуальных ЛС будут выполняться по одной ссылке из порта ASE 5 (доступ к сети) и (или) 6 (основная сеть), поэтому необходимо настроить каждую из этих ссылок в качестве магистрали виртуальной локальной сети.

• Сеть уровня 3 с сетями данных 7-10

  • Если вы хотите развернуть более шести сетей данных, разделенных виртуальной локальной сетью, необходимо развернуть дополнительные (до четырех) сетей данных на порту ASE 5. Для этого требуется один общий коммутатор или маршрутизатор, который несет как доступ, так и основной трафик. Теги виртуальной локальной сети можно назначать по мере необходимости для N2, N3 и каждой из сетей данных N6.
  • На одном порту можно настроить не более шести сетей данных.
  • Для оптимальной производительности сети данных с максимальной ожидаемой нагрузкой следует настроить на порте 6.

Существует несколько способов настройки сети для использования с AP5GC. Точную настройку зависит от потребностей и оборудования. В этом разделе приведены примеры топологий сети на оборудовании ASE Pro 2.

• Сеть уровня 3 с преобразованием сетевых адресов N6 (NAT)
  Эта топология сети подключена к устройству уровня 2, которое обеспечивает подключение к ядру мобильной сети и шлюзам доступа (маршрутизаторы, подключающие ASE к данным и сетям доступа соответственно). Эта топология поддерживает до шести сетей данных. Это решение часто используется, так как это упрощает маршрутизацию уровня 3.
  

• Сеть уровня 3 без преобразования сетевых адресов (NAT)
  Эта топология сети является аналогичным решением, но диапазоны IP-адресов UE должны быть настроены как статические маршруты в маршрутизаторе сети данных с IP-адресом N6 NAT в качестве адреса следующего прыжка. Как и в предыдущем решении, эта топология поддерживает до шести сетей данных.

• Сеть неструктурированного уровня 2
  Ядро пакета не требует маршрутизаторов уровня 3 или функциональных возможностей, таких как маршрутизатор. Альтернативная топология может забыла использовать маршрутизаторы шлюза уровня 3 полностью и вместо этого создайте сеть уровня 2, в которой ASE находится в той же подсети, что и сети данных и доступа. Эта топология сети может быть более дешевой, если вам не требуется маршрутизация уровня 3. Для этого требуется включить преобразование портов сетевых адресов (NAPT) в ядро пакета.
  

• Сеть уровня 3 с несколькими сетями данных

  • AP5GC может поддерживать до десяти подключенных сетей данных, каждый из которых имеет собственную конфигурацию для системы доменных имен (DNS), пулов IP-адресов UE, конфигурации N6 IP-адресов и NAT. Оператор может подготавливать UEs как подписанные в одной или нескольких сетях данных и применять политику и качество обслуживания (QoS).
  • Для этой топологии требуется, чтобы интерфейс N6 был разделен на одну подсеть для каждой сети данных или одной подсети для всех сетей данных. Поэтому этот параметр требует тщательного планирования и настройки, чтобы предотвратить перекрывающиеся диапазоны IP-адресов сети данных или диапазоны IP-адресов UE.

  

• Сеть уровня 3 с виртуальной локальной сетью и физическим доступом и разделением ядер

  • Вы также можете разделить трафик ASE на виртуальные ЛС, независимо от того, хотите ли вы добавить шлюзы уровня 3 в сеть. Существует несколько преимуществ сегментирования трафика в отдельные виртуальные сети, включая более гибкое управление сетями и повышение безопасности.
  • Например, можно настроить отдельные виртуальные сети для управления, доступа и трафика данных или отдельной виртуальной локальной сети для каждой подключенной сети данных.
  • Виртуальные сети должны быть настроены на локальном сетевом оборудовании уровня 2 или уровня 3. Несколько виртуальных ЛС будут осуществляться по одной ссылке из порта ASE 3 (доступ к сети) и(или) 4 (основная сеть), поэтому необходимо настроить каждую из этих ссылок в качестве магистрали виртуальной локальной сети.

  

• Сеть уровня 3 с сетями данных 7-10

  • Если требуется развернуть более шести сетей данных, разделенных виртуальной локальной сетью, необходимо развернуть дополнительные (до четырех) сетей данных на порту ASE 3. Для этого требуется один общий коммутатор или маршрутизатор, который несет как доступ, так и основной трафик. Теги виртуальной локальной сети можно назначать по мере необходимости для N2, N3 и каждой из сетей данных N6.
  • На одном порту можно настроить не более шести сетей данных.
  • Для оптимальной производительности сети данных с максимальной ожидаемой нагрузкой следует настроить на порте 4.

  

Подсети и IP-адреса

Возможно, у вас есть IP-сети на корпоративном сайте, с которыми придется интегрировать частную сеть сотовой связи. Это может означать, например:

• Выбор IP-подсетей и IP-адресов для AP5GC, которые соответствуют существующим подсетям без столкновений адресов.
• Разделение новой сети через IP-маршрутизаторы или использование частного адресного пространства RFC 1918 для подсетей.
• Назначение пула IP-адресов специально для использования UEs при подключении к сети.
• С помощью преобразования портов сетевого адреса (NAPT) на самом пакетном ядре или на вышестоящий сетевом устройстве, например маршрутизаторе границы.
• Оптимизация сети для повышения производительности путем выбора максимальной единицы передачи (MTU), которая сводит к минимуму фрагментацию.

Необходимо задокументировать подсети IPv4, которые будут использоваться для развертывания и согласовывать IP-адреса, используемые для каждого элемента решения, а также IP-адреса, которые будут выделены для UEs при присоединении. Чтобы разрешить трафик, необходимо развернуть (или настроить существующие) маршрутизаторы и брандмауэры на корпоративном сайте. Вы также должны согласиться с тем, как и где в сети требуются изменения NAPT или MTU, и запланировать связанную конфигурацию маршрутизатора или брандмауэра. Дополнительные сведения см. в разделе "Выполнение необходимых задач" для развертывания частной мобильной сети.

Доступ к сети

Ваша конструкция должна отражать правила предприятия о том, какие сети и ресурсы должны быть доступны для СЕТЕЙ и UEs в частной сети 5G. Например, они могут быть разрешены для доступа к локальной системе доменных имен (DNS), протоколу конфигурации динамических узлов (DHCP), Интернету или Azure, но не к локальной сети локальной области (LAN). Возможно, вам потребуется организовать удаленный доступ к сети, чтобы устранить неполадки, не требуя посещения сайта. Кроме того, необходимо рассмотреть вопрос о том, как корпоративный сайт будет подключен к вышестоящий сетям, таким как Azure для управления и (или) для доступа к другим ресурсам и приложениям за пределами корпоративного сайта.

Вам нужно согласиться с командой предприятия, с которой будут разрешены обмен данными между IP-подсетями и адресами. Затем создайте план маршрутизации и (или) конфигурацию списка управления доступом, реализующую это соглашение в локальной инфраструктуре IP-адресов. Вы также можете использовать виртуальные локальные сети (VLAN) для секционирования элементов на уровне 2, настраивая структуру коммутатора, чтобы назначить подключенные порты определенным виртуальным локальным сетям (например, чтобы поместить порт Azure Stack Edge, используемый для доступа к той же виртуальной локальной сети, что и единицы RAN, подключенные к коммутатору Ethernet). Вы также должны согласиться с предприятием настроить механизм доступа, например виртуальную частную сеть (VPN), которая позволяет персоналу поддержки удаленно подключаться к интерфейсу управления каждого элемента в решении. Для управления и телеметрии также требуется IP-связь между Частным 5G Core Azure и Azure.

Соответствие ТРЕБОВАНИЯМ RAN

Служба RAN, используемая для трансляции сигнала на корпоративном сайте, должна соответствовать местным нормативным требованиям. Например, это может означать:

• Единицы RAN завершили процесс гомологации и получили утверждение регулятора для их использования в определенном диапазоне частот в стране или регионе.
• Вы получили разрешение на широковещательную трансляцию с помощью спектра в определенном расположении, например путем предоставления от оператора телекоммуникации, регуляторного органа или через технологическое решение, например систему доступа к спектру (SAS).
• Единицы RAN на сайте имеют доступ к источникам времени высокой точности, таким как протокол времени точности (PTP) и службы расположения GPS.

Вы должны попросить партнера RAN по странам или регионам и диапазонам частот, для которых утверждена служба RAN. Возможно, вам потребуется использовать несколько партнеров RAN для покрытия стран и регионов, в которых вы предоставляете свое решение. Несмотря на то, что UE и ядро пакетов взаимодействуют с использованием стандартных протоколов, рекомендуется выполнять тестирование взаимодействия для конкретного протокола 4G Long-Term Evolution (LTE) или 5G standalone (SA) между частными 5G Core, UEs и RAN перед любым развертыванием на корпоративном клиенте.

Служба RAN передает удостоверение общедоступной мобильной сети (PLMN) всем UEs в диапазоне частот, который он настроен для использования. Необходимо определить идентификатор PLMN и подтвердить доступ к спектру. В некоторых странах или регионах спектр должен быть получен от национального или регионального регулятора или действующего оператора телекоммуникационной связи. Например, если вы используете диапазон 48 граждан широкополосной радиослужбы (CBRS), возможно, вам потребуется работать с партнером RAN, чтобы развернуть прокси-сервер домена системы доступа к спектру (SAS) на корпоративном сайте, чтобы RAN мог непрерывно проверка, что он авторизован для трансляции.

Максимальное количество единиц передачи (MTUs)

Максимальная единица передачи (MTU) — это свойство IP-ссылки, и оно настраивается на интерфейсах в каждой части ссылки. Пакеты, превышающие настроенный MTU интерфейса, делятся на небольшие пакеты с помощью фрагментации IPv4 перед отправкой и затем повторно собираются в месте назначения. Однако если настроенный MTU интерфейса выше поддерживаемого MTU ссылки, пакет не будет передан правильно.

Чтобы избежать проблем с передачей, вызванных фрагментацией IPv4, ядром пакетов 4G или 5G, указывает UEs, какие MTU они должны использовать. Однако UEs не всегда уважают MTU, сигналивую ядром пакета.

IP-пакеты из UEs туннелируются из RAN, что добавляет затраты из инкапсуляции. Поэтому значение MTU для UE должно быть меньше значения MTU, используемого между РАН и ядром пакетов, чтобы избежать проблем с передачей.

ЗОНЫ RAN обычно настраиваются предварительно с помощью MTU 1500. По умолчанию UE MTU ядра пакетов составляет 1440 байт, чтобы обеспечить инкапсуляцию затрат. Эти значения максимально эффективно взаимодействуют с RAN, но рискуют, что определенные UES не будут наблюдать MTU по умолчанию и будут создавать большие пакеты, требующие фрагментации IPv4 и которые могут быть удалены сетью. При возникновении этой проблемы настоятельно рекомендуется настроить RAN для использования MTU 1560 или более поздней версии, что позволяет достаточно накладных расходов для инкапсуляции и избегает фрагментации с помощью UE с использованием стандартного MTU 1500.

Вы также можете изменить UE MTU, сигналивую ядром пакета. Мы рекомендуем задать значение MTU в диапазоне, поддерживаемом UEs и 60 байтами ниже MTU, сигналивом RAN. Обратите внимание на следующие условия.

• Сеть данных (N6) автоматически обновляется для соответствия UE MTU.
• Сеть доступа (N3) автоматически обновляется для соответствия UE MTU плюс 60.
• Можно настроить значение в диапазоне от 1280 до 1930 байт.

Сведения об изменении MTU UE, сигналивного ядром пакета, см. в разделе "Изменение экземпляра ядра пакета".

Покрытие сигналов

UEs должны иметь возможность взаимодействовать с RAN из любого расположения на сайте. Это означает, что сигналы должны эффективно распространяться в среде, включая учет препятствий и оборудования, для поддержки UEs перемещения по сайту (например, между помещениями и открытыми областями).

Вы должны выполнить опрос сайта с партнером RAN и предприятием, чтобы убедиться, что покрытие достаточно. Убедитесь, что вы понимаете возможности единиц RAN в разных средах и любые ограничения (например, количество подключенных UEs, которые может поддерживать один модуль). Если uEs собирается перемещаться по сайту, вы также должны подтвердить, что RAN поддерживает передачу X2 (4G) или Xn (5G), что позволяет UE легко переходить между покрытием, предоставляемым двумя единицами RAN. Если СЛУЖБА RAN не поддерживает X2 (4G) или Xn (5G), ТО RAN должна поддерживать S1 (4G) и N2 (5G) для мобильности UE. Обратите внимание, что UEs не может использовать эти методы передачи для перемещения между частной корпоративной сетью и общедоступной мобильной сетью, предлагаемой оператором телекоммуникации.

Sims

Каждый UE должен представлять удостоверение сети, закодированное в модуле удостоверений подписчика (SIM). SIM доступны в различных физических форм-факторах и в формате, доступном только для программного обеспечения (eSIM). Данные, закодированные на SIM-интерфейсе, должны соответствовать конфигурации RAN и подготовленных данных удостоверений в Azure Private 5G Core.

Получите SIM в факторах, совместимых с UEs и запрограммированных с идентификатором PLMN и ключами, которые необходимо использовать для развертывания. Физические SIM широко доступны на открытом рынке с относительно низкой стоимостью. Если вы предпочитаете использовать ESIM, необходимо развернуть необходимую конфигурацию eSIM и инфраструктуру подготовки, чтобы пользовательские службы могли настроить себя перед подключением к сотовой сети. Вы можете использовать данные подготовки, полученные от партнера SIM-карты, для подготовки соответствующих записей в Azure Private 5G Core. Так как данные SIM-карты должны быть защищены, криптографические ключи, используемые для подготовки SIM, недоступны для чтения после установки, поэтому необходимо учитывать, как хранить их в случае необходимости повторной подготовки данных в Частном 5G Core Azure.

Автоматизация и интеграция

Создание корпоративных сетей с помощью автоматизации и других программных методов экономит время, уменьшает ошибки и дает лучшие результаты. Эти методы также предоставляют путь восстановления в случае сбоя сайта, требующего перестроения сети.

Рекомендуется использовать программную инфраструктуру в качестве подхода к развертыванию кода. Вы можете использовать шаблоны или REST API Azure для создания развертывания с помощью параметров в качестве входных данных со значениями, собранными на этапе разработки проекта. Необходимо сохранить сведения о подготовке, такие как данные SIM, конфигурация коммутатора или маршрутизатора и политики сети в формате, доступном для чтения на компьютере, чтобы при сбое можно повторно применить конфигурацию так же, как и в первоначальном режиме. Еще одна рекомендация по восстановлению после сбоя заключается в развертывании резервного сервера Azure Stack Edge, чтобы свести к минимуму время восстановления, если первый модуль завершается сбоем; Затем можно использовать сохраненные шаблоны и входные данные для быстрого повторного создания развертывания. Дополнительные сведения о развертывании сети с помощью шаблонов см . в кратком руководстве. Развертывание частной мобильной сети и сайта — шаблон ARM.

Кроме того, необходимо рассмотреть возможность интеграции других продуктов и служб Azure с частной корпоративной сетью. Эти продукты включают идентификатор Microsoft Entra и управление доступом на основе ролей (RBAC), где необходимо учитывать, как клиенты, подписки и разрешения ресурсов будут соответствовать бизнес-модели, существующей между вами и предприятием, и как собственный подход к управлению системой клиентов. Например, можно использовать Azure Blueprints для настройки подписок и модели группы ресурсов, которая лучше всего подходит для вашей организации.

Следующие шаги

• Дополнительные сведения о ключевых компонентах частной мобильной сети
• Дополнительные сведения о предварительных требованиях для развертывания частной мобильной сети