你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure 专用 5G 核心配置 UE 到 UE 内部转发 - Azure 门户

  • 项目

Azure 专用 5G Core 使附加到同一数据网络的用户设备(UES)之间的流量可以保留在该网络中。 这称为 UI 之间的内部转发。 UE 之间的内部转发可最大程度地减少延迟,并最大程度地提高 UE-UE 流量的安全性和隐私性。 可以使用 SIM 策略启用或禁用此行为。

如果使用 默认服务和允许的所有 SIM 策略,将启用内部转发。 如果使用限制性更高的策略,则可能需要启用内部转发。

如果使用的是 默认服务和允许所有 SIM 策略 ,并且希望禁用内部转发,要么是因为使用外部网关,要么是因为不希望 UES 相互通信,则可以创建一个服务来执行此操作,然后将其应用于允许的所有 SIM 策略。

先决条件

创建服务以允许内部转发

在此步骤中,我们将创建一个服务,该服务允许在配置为 UE(本示例中为 10.20.0.0/16)的远程地址标记的流量流向两个方向。

创建服务:

  1. 登录 Azure 门户

  2. 搜索并选择代表专用移动网络的移动网络资源。

    Screenshot of the Azure portal showing the results for a search for a Mobile Network resource.

  3. 在“资源”菜单中,选择“服务”。

    Screenshot of the Azure portal showing the Services option in the resource menu of a Mobile Network resource.

  4. 在“命令”栏中,选择“创建”。

    Screenshot of the Azure portal showing the Create option in the command bar.

  5. 现在,我们将输入一些值来定义 QoS 特征,这些特征将应用于与此服务匹配的服务数据流 (SDF)。 在“基本信息”选项卡上,按如下所示填写字段。

    字段
    服务名称 service_allow_internal_forwarding
    服务优先级 200
    最大比特率 (MBR) - 上行 2 Gbps
    最大比特率 (MBR) - 下行 2 Gbps
    分配和保留优先级 2
    5QI/QCI 9
    抢占功能 选择“不能抢占”。
    抢占漏洞 选择“不可抢占”。

  6. 在“数据流策略规则”下,选择“添加策略规则”。

  7. 现在,我们将创建一个数据流策略规则,该规则允许任何与我们将在下一步中配置的数据流模板匹配的数据包。 在右侧的“添加策略规则”下,按如下所示填写字段。

    字段
    规则名称 rule_allow_internal_forwarding
    策略规则优先级 选择 200
    允许流量 选择“启用”。

  8. 现在,我们将创建一个数据流模板,该模板在 10.20.0.0/16 中流向或离开 UE 的数据包上匹配,以便允许它们。rule_allow_internal_forwarding 在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。

    字段
    模板名称 internal_forwarding
    协议 选择“全部”。
    方向 选择“双向”。
    远程 IP 10.20.0.0/16
    端口 留空。

  9. 选择添加

  10. 在“基本信息”配置选项卡上,选择“查看 + 创建”。

  11. 选择“创建” 来创建服务。

  12. 创建服务后,Azure 门户将显示以下确认屏幕。 选择“转到资源”来查看新的服务资源。

    Screenshot of the Azure portal showing the successful deployment of a service and the Go to resource button.

  13. 确认按预期配置了屏幕底部列出的 QoS 特征、数据流策略规则和服务数据流模板。

创建服务以阻止内部转发

在此步骤中,我们将创建一个服务,用于阻止两个方向上为 UE (10.20.0.0.0/16)配置范围内的远程地址标记的流量。

创建服务:

  1. 登录 Azure 门户

  2. 搜索并选择代表专用移动网络的移动网络资源。

    Screenshot of the Azure portal showing the results for a search for a Mobile Network resource.

  3. 在“资源”菜单中,选择“服务”。

    Screenshot of the Azure portal showing the Services option in the resource menu of a Mobile Network resource.

  4. 在“命令”栏中,选择“创建”。

    Screenshot of the Azure portal showing the Create option in the command bar.

  5. 输入值以定义将应用于与此服务匹配的服务数据流(SDF)的 QoS 特征。 在“基本信息”选项卡上,按如下所示填写字段。

    字段
    服务名称 service_block_internal_forwarding
    服务优先级 200
    最大比特率 (MBR) - 上行 2 Gbps
    最大比特率 (MBR) - 下行 2 Gbps
    分配和保留优先级 2
    5QI/QCI 9
    抢占功能 选择“不能抢占”。
    抢占漏洞 选择“不可抢占”。

    重要

    服务 优先级 必须低于任何冲突服务的值(例如“允许所有”服务)。 服务按优先顺序与流量匹配。

  6. 在“数据流策略规则”下,选择“添加策略规则”。

  7. 现在,我们将创建一个数据流策略规则,它将阻止与下一步中配置的数据流模板相匹配的任何数据包。 在右侧的“添加策略规则”下,按如下所示填写字段。

    字段
    规则名称 rule_block_internal_forwarding
    策略规则优先级 选择 200
    允许流量 选择“阻止”。

  8. 现在,我们将创建一个数据流模板,该模板在 10.20.0.0/16 中流向或离开 UE 的数据包上匹配,以便可以阻止 rule_block_internal_forwarding它们。 在“数据流模板”下,选择“添加数据流模板”。 在“添加数据流模板”弹出窗口中,按如下所示填写字段。

    字段
    模板名称 internal_forwarding
    协议 选择“全部”。
    方向 选择“双向”。
    远程 IP 10.20.0.0/16
    端口 留空。

  9. 选择添加

  10. 在“基本信息”配置选项卡上,选择“查看 + 创建”。

  11. 选择“创建” 来创建服务。

  12. 创建服务后,Azure 门户将显示以下确认屏幕。 选择“转到资源”来查看新的服务资源。

    Screenshot of the Azure portal showing the successful deployment of a service and the Go to resource button.

  13. 确认按预期配置了屏幕底部列出的 QoS 特征、数据流策略规则和服务数据流模板。

修改现有 SIM 策略以分配新服务

在此步骤中,我们将新服务(service_allow_internal_forwardingservice_block_internal_forwarding)分配给现有的 SIM 卡策略。

  1. 查找为 UI 配置的 SIM 策略。

    Screenshot of the Azure portal showing the SIM policies option in the resource menu of a Mobile Network resource.

  2. 选择要修改的 SIM 策略,然后选择“ 修改所选 SIM 卡策略”。

    Screenshot of the Azure portal showing the modify SIM policies option.

  3. 为 UI 配置的现有切片和数据网络选择“ 修改网络范围 ”。

  4. 在“服务配置”,添加新服务。

  5. 选择“修改”。

  6. 选择“ 分配给 SIM”。

  7. 选择“ 审阅 + 修改”。

  8. 查看更新后的 SIM 策略并检查配置是否按预期方式。

    • SIM 策略的概要设置显示在“概要”标题下。
    • 网络范围配置显示在“网络范围”标题下,其中已配置服务显示在“服务配置”下,服务质量配置显示在“服务质量 (QoS)”下。

后续步骤