你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

专用移动网络设计要求

  • 项目

本文帮助你根据 Azure 专用 5G 核心(AP5GC)设计和准备实现专用 4G 或 5G 网络。 它旨在了解这些网络的构造方式以及规划网络时需要做出的决策。

Azure 专用 MEC 和 Azure 专用 5G 核心

Azure 专用多访问边缘计算(MEC)是一种将 Microsoft 计算、网络和应用程序服务合并到企业本地(边缘) 部署的解决方案。 这些边缘部署从云集中管理。 Azure 专用 5G 核心是 Azure 专用多访问边缘计算(MEC)中的 Azure 服务,可在企业边缘提供 4G 和 5G 核心网络功能。 在企业边缘站点上,设备通过手机网络无线电接入网络 (RAN) 进行连接,并通过 Azure 专用 5G 核心服务连接到上游网络、应用程序和资源。 (可选)设备可以使用 Azure 专用 MEC 提供的本地计算功能,以非常低的延迟处理数据流,这一切都由企业控制。

Diagram displaying the components of a private network solution. UEs, RANs and sites are at the edge, while Azure region management is in the cloud.

专用移动网络的要求

必须具备以下功能才能允许用户设备 (UE) 连接到专用手机网络:

  • UE 必须与无线电接入网络 (RAN) 使用的协议和无线频谱带兼容。
  • UE 必须包含订阅者标识模块 (SIM)。 SIM 是存储设备标识的加密元素。
  • 必须有一个可以向/从企业站点(其中包含需要服务的 UE)的所有组成部分发送和接收手机网络信号的 RAN。
  • 必须有一个数据包核心实例连接到 RAN 和上游网络。 数据包核心负责在 UE 的 SIM 通过 RAN 进行连接以及从网络请求服务时对其进行身份验证。 它将策略应用于结果数据流到 UE 和从 UE 流出;例如,设置服务质量。
  • RAN、数据包核心和上游网络基础结构必须通过以太网连接,以便可以相互传递 IP 流量。
  • 托管数据包核心的站点必须具有与 Internet(最低 100 Mbps)的持续高速连接,才能允许服务管理、遥测、诊断和升级。

设计专用移动网络

以下部分介绍了需要考虑的网络元素,以及为部署网络做准备所需的设计决策。

拓扑

设计和实现本地网络是 AP5GC 部署的基础部分。 需要做出网络设计决策以支持 AP5GC 数据包核心和任何其他边缘工作负载。 本部分概述了在设计网络时应考虑的一些决策,并提供一些示例网络拓扑。 下图显示了基本网络拓扑。

Diagram of a basic network topology.

设计注意事项

在 Azure Stack Edge Pro GPU(A标准版)上部署时,AP5GC 使用物理端口 5 来访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点)和端口 6(核心数据(5G N6/4G SGi 参考点)。 如果配置了 6 个以上的数据网络,端口 5 也用于核心数据。

AP5GC 支持在端口 5 和 6 上使用或不带第 3 层路由器的部署。 这对于避免在较小的边缘站点上额外硬件非常有用。

  • 可以直接将 A标准版 端口 5 连接到 RAN 节点(背靠背)或通过第 2 层交换机。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 A标准版 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 A标准版 端口 6 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 A标准版 端的网关。
  • 或者,可以合并这些方法。 例如,可以将 A标准版 端口 6 上的路由器与 A标准版 端口 5 上的平面第 2 层网络配合使用。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 A标准版 的配置。

在 Azure Stack Edge 2(A标准版 2)上部署时,AP5GC 使用物理端口 3 访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点)和端口 4(核心数据(5G N6/4G SGi 参考点)。 如果配置了六个以上的数据网络,端口 3 也用于核心数据。

AP5GC 支持在端口 3 和 4 上使用或不具有第 3 层路由器的部署。 这对于避免在较小的边缘站点上额外硬件非常有用。

  • 可以直接将 A标准版 端口 3 连接到 RAN 节点(背靠背)或通过第 2 层交换机。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 A标准版 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 A标准版 端口 4 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 A标准版 端的网关。
  • 或者,可以合并这些方法。 例如,可以在 A标准版 端口 4 上使用路由器,A标准版 端口 3 上有平面第 2 层网络。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 A标准版 的配置。

除非数据包核心启用了网络地址转换(NAT),否则必须使用静态路由配置本地第 3 层网络设备,以便通过相应的附加数据网络的相应 N6 IP 地址将静态路由到 UE IP 池。

示例网络拓扑

可通过多种方式设置网络以用于 AP5GC。 确切的设置因需求和硬件而异。 本部分提供 A标准版 Pro GPU 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换的第 3 层网络(NAT)
    此网络拓扑具有 A标准版连接到第 2 层设备,该设备分别连接到移动网络核心和访问网关(分别将标准版 A 连接到数据和访问网络的路由器)。 此拓扑最多支持六个数据网络。 此解决方案通常用于简化第 3 层路由。
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • 没有网络地址转换的第 3 层网络 (NAT)
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一跃点地址。 与前面的解决方案一样,此拓扑最多支持六个数据网络。 Diagram of a layer 3 network without Network Address Translation (N A T).

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建 A标准版 与数据和访问网络位于同一子网中的第 2 层网络。 当你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代方法。 这要求在数据包核心上启用网络地址端口转换(NAPT)。
    Diagram of a layer 2 network.

  • 具有多个数据网络的第 3 层网络

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 操作员可以根据一个或多个数据网络中的订阅预配 UI,并应用数据网络特定的策略和服务质量(QoS)配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络的一个子网或所有数据网络的一个子网。 因此,此选项需要仔细规划和配置,以防止重叠的数据网络 IP 范围或 UE IP 范围。
      Diagram of layer 3 network topology with multiple data networks.

  • 具有 VLAN 和物理访问/核心分离的第 3 层网络

    • 还可以将 A标准版 流量分隔到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分段为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将从 A标准版 端口 5(访问网络)和/或 6(核心网络)进行单个链路,因此必须将其中每个链接配置为 VLAN 中继。 Diagram of layer 3 network topology with V L A N s.

  • 具有 7-10 数据网络的第 3 层网络

    • 如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 A标准版 端口 5 上部署额外的(最多 4 个)数据网络。 这需要一个共享交换机或路由器,该交换机和路由器同时承载访问和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。
    • 在同一端口上可以配置不超过六个数据网络。
    • 为了获得最佳性能,应在端口 6 上配置具有最高预期负载的数据网络。 Diagram of layer 3 network topology with 10 data networks.

可通过多种方式设置网络以用于 AP5GC。 确切的设置因需求和硬件而异。 本部分提供 A标准版 Pro 2 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换的第 3 层网络(NAT)
    此网络拓扑具有 A标准版连接到第 2 层设备,该设备分别连接到移动网络核心和访问网关(分别将标准版 A 连接到数据和访问网络的路由器)。 此拓扑最多支持六个数据网络。 此解决方案通常用于简化第 3 层路由。
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • 没有网络地址转换的第 3 层网络 (NAT)
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一跃点地址。 与前面的解决方案一样,此拓扑最多支持六个数据网络。 Diagram of a layer 3 network without Network Address Translation (N A T).

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建 A标准版 与数据和访问网络位于同一子网中的第 2 层网络。 当你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代方法。 这要求在数据包核心上启用网络地址端口转换(NAPT)。
    Diagram of a layer 2 network.

  • 具有多个数据网络的第 3 层网络

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 操作员可以根据一个或多个数据网络中的订阅预配 UI,并应用数据网络特定的策略和服务质量(QoS)配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络的一个子网或所有数据网络的一个子网。 因此,此选项需要仔细规划和配置,以防止重叠的数据网络 IP 范围或 UE IP 范围。

    Diagram of layer 3 network topology with multiple data networks.

  • 具有 VLAN 和物理访问/核心分离的第 3 层网络

    • 还可以将 A标准版 流量分隔到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分段为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将从 A标准版 端口 3(访问网络)和/或 4(核心网络)进行单个链路,因此必须将其中每个链接配置为 VLAN 中继。

    Diagram of layer 3 network topology with V L A N s.

  • 具有 7-10 数据网络的第 3 层网络

    • 如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 A标准版 端口 3 上部署额外的(最多 4 个)数据网络。 这需要一个共享交换机或路由器,该交换机和路由器同时承载访问和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。
    • 在同一端口上可以配置不超过六个数据网络。
    • 为了获得最佳性能,应在端口 4 上配置具有最高预期负载的数据网络。

    Diagram of layer 3 network topology with 10 data networks.

子网和 IP 地址

你可能在企业站点上拥有专用手机网络必须与之集成的现有 IP 网络。 例如,这可能意味着:

  • 为与现有子网匹配的 AP5GC 选择 IP 子网和 IP 地址,而不会冲突地址。
  • 通过 IP 路由器或使用子网的专用 RFC 1918 地址空间隔离新网络。
  • 分配 IP 地址池,这些地址在连接到网络时专门供 UE 使用。
  • 在数据包核心本身或上游网络设备(如边界路由器)上使用网络地址端口转换(NAPT)。
  • 通过选择可以最大程度地减少分段的最大传输单元 (MTU) 来优化网络性能。

需要记录将用于部署的 IPv4 子网,并同意用于解决方案中每个元素的 IP 地址,以及附加 IP 地址时将分配给 UE 的 IP 地址。 需要在企业站点部署(或配置现有)路由器和防火墙,以允许流量。 还应该议定在网络中如何以及在何处进行任何 NAPT 或 MTU 更改,并规划相关的路由器/防火墙配置。 有关详细信息,请参阅完成部署专用移动网络的先决条件任务

网络访问

设计必须反映企业中有关专用 5G 网络上的 RAN 和 UE 应可访问哪些网络和资产的规则。 例如,可以允许它们访问本地域名系统 (DNS)、动态主机配置协议 (DHCP)、Internet 或 Azure,但不允许访问工厂运营局域网 (LAN)。 可能需要安排远程访问网络,以便无需站点访问即可排查问题。 还需要考虑企业站点如何连接到上游网络,例如 Azure 进行管理和/或访问企业站点外部的其他资源和应用程序。

需要与企业团队同意允许哪些 IP 子网和地址相互通信。 然后,创建路由计划和/或访问控制列表 (ACL) 配置,以便在本地 IP 基础结构上实现此协议。 还可以使用虚拟局域网(VLAN)在第 2 层对元素进行分区,将交换机构造配置为将连接的端口分配给特定 VLAN(例如,将用于 RAN 访问的 Azure Stack Edge 端口置于连接到以太网交换机的 RAN 单元所在的同一 VLAN 中)。 还应该与企业议定如何设置访问机制,例如虚拟专用网络 (VPN),以便支持人员能够远程连接到解决方案中每个元素的管理接口。 还需要 Azure 专用 5G 核心和 Azure 之间的 IP 链接才能进行管理和遥测。

RAN 合规性

用于在整个企业站点广播信号的 RAN 必须符合当地法规。 例如,这可能意味着:

  • RAN 单位已完成同质化过程,并获得了监管批准,以便在国家/地区的某些频率带上使用。
  • 已获得 RAN 在特定位置使用频谱进行广播的许可,例如,已获得电信运营商、监管机构的授权,或已通过频谱接入系统 (SAS) 等技术解决方案获得授权。
  • 站点中的 RAN 单元可以访问高精度计时源,例如精确时间协议 (PTP) 和 GPS 定位服务。

应向 RAN 合作伙伴询问已批准 RAN 的国家/地区和频率带。 你可能会发现,你需要使用多个 RAN 合作伙伴来涵盖提供解决方案的国家和地区。 尽管 RAN、UE 和数据包核心都使用标准协议进行通信,但建议在企业客户进行任何部署之前,对 Azure 专用 5G 核心、UE 和 RAN 之间的特定 4G 长期演变(LTE)或 5G 独立(SA)协议执行互操作性测试。

RAN 将在其配置使用的频带上向所有 UE 传输公共陆地移动网络标识 (PLMN ID)。 应该定义 PLMN ID 并确认对频谱的访问。 在某些国家/地区,必须从国家/地区监管机构或现任电信运营商获取光谱。 例如,如果使用带 48 公民宽带无线电服务(CBRS)光谱,则可能需要与 RAN 合作伙伴合作,在企业网站上部署光谱访问系统(SAS)域代理,以便 RAN 可以持续检查它有权广播。

最大传输单元 (MTU)

最大传输单元 (MTU) 是 IP 链路的一个属性,它是在链路每一端的接口上配置的。 超过接口的已配置 MTU 的数据包在发送之前将通过 IPv4 分段拆分为较小的数据包,然后在其目标位置重新组合。 但是,如果接口的已配置 MTU 高于链路支持的 MTU,则数据包将无法正确传输。

为了避免 IPv4 碎片导致的传输问题,4G 或 5G 数据包核心指示 UES 应使用哪些 MTU。 但是,UE 并不总是遵循数据包核心发出信号的 MTU。

来自 UE 的 IP 数据包通过 RAN 进行隧道传输,这增加了封装的开销。 因此,UE 的 MTU 值应小于 RAN 和数据包核心之间使用的 MTU 值,以避免传输问题。

RAN 预先配置的 MTU 通常为 1500。 数据包核心的默认 UE MTU 为 1440 字节,用于封装开销。 这些值最大化 RAN 互操作性,但某些 UE 不会观察到默认 MTU 的风险,并生成需要 IPv4 碎片且可能由网络丢弃的大型数据包。 如果受此问题影响,强烈建议将 RAN 配置为使用 1560 或更高版本的 MTU,这允许封装有足够的开销,并避免使用标准 MTU 为 1500 的 UE 碎片。

还可以更改数据包核心发出信号的 UE MTU。 建议将 MTU 设置为 UE 支持的范围内的值,并在 RAN 发出信号的 MTU 下方 60 字节。 请注意:

  • 数据网络 (N6) 会自动更新,以匹配 UE MTU。
  • 访问网络 (N3) 会自动更新,以匹配 UE MTU 和 60。
  • 可以配置介于 1280 到 1930 字节之间的值。

若要更改数据包核心发出信号的 UE MTU,请参阅 “修改数据包核心实例”。

信号覆盖

UE 必须能够从站点中的任何位置与 RAN 通信。 这意味着信号必须在环境中有效传播(包括在有障碍物和设备干扰的情况下),以支持 UE 在站点中四处移动(例如,在室内和室外区域之间)。

应该与 RAN 合作伙伴和企业一起执行现场调查,以确保覆盖范围足够。 确保了解 RAN 单元在不同环境中的功能和任何限制(例如,单个单元可以支持的连接 UE 数量)。 如果 UE 要在站点中四处移动,则你还应确认 RAN 支持 X2 (4G) 或 Xn (5G) 切换,这样,UE 就可以在两个 RAN 单元提供的覆盖范围之间无缝转换。 如果 RAN 不支持 X2 (4G) 或 Xn (5G),则 RAN 必须支持 S1 (4G) 和 N2 (5G)才能实现 UE 移动性。 请注意,UE 不能使用这些切换技术在专用企业网络和电信运营商提供的公共手机网络之间漫游。

SIM

每个 UE 必须向网络提供一个标识,该标识已在订阅者标识模块 (SIM) 中编码。 SIM 以不同的物理外形规格和仅软件格式(eSIM)提供。 在 SIM 上编码的数据必须与 RAN 的配置和 Azure 专用 5G Core 中预配的标识数据相匹配。

获取外形规格与 UE 兼容的,并已使用要用于部署的 PLMN ID 和密钥进行编程的 SIM。 物理 SIM 在开放市场中以相对较低的价格广泛提供。 如果想要使用 eSIM,则需要部署必要的 eSIM 配置和预配基础结构,以便 UE 可以在它们附加到手机网络之前自行配置。 可以使用从 SIM 合作伙伴获得的预配数据在 Azure 专用 5G 核心中预配匹配的条目。 由于 SIM 数据必须保持安全,因此设置用于预配 SIM 的加密密钥不可读,因此必须考虑在需要重新预配 Azure 专用 5G Core 中的数据时如何存储它们。

自动化和集成

使用自动化和其他编程技术构建企业网络可节省时间、减少错误并产生更好的结果。 在需要重新生成网络的站点故障时,这些技术还提供恢复路径。

我们建议采用编程的 基础结构作为部署的代码 方法。 可以在模板或 Azure REST API 中,使用参数作为输入并提供在项目设计阶段收集的值来构建部署。 应该以机器可读的格式保存预配信息(例如 SIM 数据、交换机/路由器配置和网络策略),以便在出现故障时,可以按照与最初相同的方式重新应用配置。 在故障后进行恢复的另一种最佳做法是部署一个备用的 Azure Stack Edge 服务器,以便在第一个单元出现故障时最大程度地减少恢复时间;然后,可以使用保存的模板和输入来快速重新创建部署。 有关使用模板部署网络的详细信息,请参阅快速入门:部署专用移动网络和站点 - ARM 模板

还必须考虑如何将其他 Azure 产品和服务与专用企业网络集成。 这些产品包括 Microsoft Entra ID基于角色的访问控制(RBAC),你必须考虑租户、订阅和资源权限如何与你与企业之间存在的业务模型保持一致,以及作为你自己的客户系统管理方法。 例如,可以使用 Azure 蓝图来设置最适合你的组织的订阅和资源组模型。

后续步骤