Azure Özel 5G Core ağını UE IP adreslerine erişmek için yapılandırma

Azure Özel 5G Core (AP5GC), kuruluşunuzun iletişim gereksinimleri için güvenli ve güvenilir bir ağ sağlar. Veri ağından (DN) kullanıcı donanımı (UE) IP adreslerine erişmek için uygun güvenlik duvarı kurallarını, yollarını ve diğer ayarları yapılandırmanız gerekir. Bu makale, gerekli adımlar ve dikkat edilmesi gerekenler konusunda size yol gösterir.

Ön koşullar

Başlamadan önce şunları yapmanız gerekir:

• Azure portalı üzerinden Azure Özel 5G Core'unuza erişim.
• Kuruluşunuzun ağ topolojisi hakkında bilgi.
• Ağ adresi bağlantı noktası çevirisi (NAPT) devre dışı bırakılmış bir AP5GC.

  Önemli

  NAPT'nin etkinleştirildiği bir dağıtımın kullanılması, yalnızca UE'nin sunucuya kişiyi başlatması ve sunucunun IP adresi ve bağlantı noktası birleşimini kullanarak UE istemcilerini ayırt edebilmesi durumunda çalışır.
  Sunucu, pinhole zaman aşımına uğradıktan sonra ilk kişiyi yapmaya çalışırsa veya bir UE ile iletişime geçmeye çalışırsa bağlantı başarısız olur.

• Yapılandırma için gerekli ağ cihazlarına erişim (örneğin, yönlendiriciler, güvenlik duvarları, anahtarlar, proxy'ler).
• Ağınızdaki farklı noktalarda paket izlemelerini yakalayabilme.

UE IP adresleri erişimini yapılandırma

1. Veri ağından erişmek istediğiniz cihazların IP adreslerini belirleyin. Bu IP adresleri, site oluşturma sırasında tanımlanan IP havuzuna aittir.
   Cihazların IP adreslerini şu adreslerden birini kullanarak görebilirsiniz:
   • dağıtılmış izlemeyi denetleme,
   • Cihaz ekleme ve oturum oluşturma paket yakalamalarını denetleme,
   • veya UE için tümleşik araçları (örneğin, komut satırı veya kullanıcı arabirimi) kullanma.
2. Kullandığınız istemci cihazının AP5GC N6 (5G dağıtımında) veya SGi (4G dağıtımında) ağı üzerinden UE'ye ulaşabildiğini onaylayın.
   • İstemci AP5GC N6/SGi arabirimiyle aynı alt ağdaysa, istemci cihazının UE alt ağına giden bir yolu olmalıdır ve sonraki atlama, UE'ye atanan veri ağı adına (DNN) ait olan N6/SGi IP adresine olmalıdır.
   • Aksi takdirde, istemci ile AP5GC arasında bir yönlendirici veya güvenlik duvarı varsa, UE alt asına giden yolun sonraki atlama olarak yönlendiricisi veya güvenlik duvarı olmalıdır.
3. UE'yi hedefleyen istemci cihaz trafiğinin AP5GC N6 ağ arabirimine ulaştığından emin olun.
   1. N6 adresi ile istemci cihazı IP adresi arasındaki her güvenlik duvarını denetleyin.
   2. İstemci cihazı ile UE arasında beklenen trafik türünün güvenlik duvarından geçmesine izin verildiğinden emin olun.
   3. TCP/UDP bağlantı noktaları, IP adresleri ve gerekli protokoller için yineleyin.
   4. Güvenlik duvarının UE IP adresine giden trafiği N6 arabirimi IP adresine iletmek için yolları olduğundan emin olun.
4. Veri ağından gelen trafiğin RAN ağındaki doğru hedef IP adreslerine yönlendirildiğinden emin olmak için yönlendiricilerinizde uygun yolları yapılandırın.
5. Veri ağından UE IP adreslerine başarıyla erişebildiğinizden emin olmak için yapılandırmayı test edin.

Örnek

• UE: HTTPS kullanılarak erişilebilen akıllı kamera. UE, bir operatörün yönetilen sunucusuna bilgi göndermek için AP5GC kullanıyor.
• Ağ Topolojisi: N6 ağında, güvenli şirket ağından ve İnternet'ten ayıran bir güvenlik duvarı vardır.
• Gereksinim: Operatörün BT altyapısından HTTPS kullanarak akıllı kamerada oturum açabiliyor.

Çözüm

1. NAPT devre dışı bırakılmış olarak AP5GC'yi dağıtın.
2. Kurumsal ağdan akıllı kamera IP adresine HTTPS trafiğine izin vermek için kurumsal güvenlik duvarına kurallar ekleyin.
3. Güvenlik duvarına yönlendirme yapılandırması ekleyin. Akıllı kameranın IP adresine yönlendirilen trafiği AP5GC dağıtımında UE'ye atanan DN adının N6 IP adresine iletin.
4. N3 ve N6 arabirimleri için hedeflenen trafik akışlarını doğrulayın.
   1. N3 ve N6 arabiriminde paket yakalamalarını aynı anda alın.
   2. N3 arabirimindeki trafiği denetleyin.
      1. UE'den N3 arabirimine ulaşan beklenen trafik için paket yakalamayı denetleyin.
      2. N3 arabirimini BAE'ye doğru bırakarak beklenen trafik için paket yakalamayı denetleyin.
   3. N6 arabirimindeki trafiği denetleyin.
      1. UE'den N6 arabirimine ulaşan beklenen trafik için paket yakalamayı denetleyin.
      2. N6 arabiriminden BAE'ye doğru ayrılan beklenen trafik için paket yakalamayı denetleyin.
5. Güvenlik duvarının hem akıllı kameraya hem de istemci cihazına yönelik trafiği alıp almadığını ve gönderdiğini denetlemek için paket yakalamaları alın.

Sonuç

Azure Özel 5G Core ağınız, Veri ağından BAE IP adreslerine erişebilir.