你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

专用移动网络设计要求

本文帮助你根据 Azure 专用 5G 核心(AP5GC)设计和准备实现专用 4G 或 5G 网络。 它旨在了解这些网络的构造方式以及规划网络时需要做出的决策。

Azure 专用 MEC 和 Azure 专用 5G 核心

Azure 专用多访问边缘计算(MEC) 是一种将Microsoft计算、网络和应用程序服务合并到企业本地(边缘)部署的解决方案。 这些边缘部署从云集中管理。 Azure 专用 5G 核心是 Azure 专用多访问边缘计算(MEC)中的 Azure 服务,可在企业边缘提供 4G 和 5G 核心网络功能。 在企业边缘站点上,设备通过手机网络无线电访问网络(RAN)进行连接,并通过 Azure 专用 5G 核心服务连接到上游网络、应用程序和资源。 (可选)设备可以使用 Azure 专用 MEC 提供的本地计算功能,以非常低的延迟处理数据流,这一切都由企业控制。

显示专用网络解决方案组件的关系图。UES、RAN 和站点位于边缘,而 Azure 区域管理位于云中。

专用移动网络的要求

必须提供以下功能才能允许用户设备(UE)连接到专用手机网络:

  • UE 必须与无线电访问网络(RAN)使用的协议和无线光谱带兼容。
  • UE 必须包含订阅者标识模块 (SIM)。 SIM 是存储设备标识的加密元素。
  • 必须有一个RAN,向包含需要服务的UE的企业站点的所有部分发送和接收手机信号。
  • 必须有一个数据包核心实例连接到 RAN 和上游网络。 数据包核心负责验证 UE 的 SIM,因为它们通过 RAN 连接并从网络请求服务。 它将策略应用于进出 UE 的最终数据流(例如,以便设置服务质量)。
  • RAN、数据包核心和上游网络基础结构必须通过以太网进行连接,以便它们可以将 IP 流量相互传递。
  • 托管数据包核心的站点必须具有与 Internet(最低 100 Mbps)的持续高速连接,以便进行服务管理、遥测、诊断和升级。

设计专用移动网络

以下部分介绍了需要考虑的网络元素,以及为部署网络做准备所需的设计决策。

拓扑学

设计和实现本地网络是 AP5GC 部署的基础部分。 需要做出网络设计决策以支持 AP5GC 数据包核心和任何其他边缘工作负载。 本部分概述了在设计网络时应考虑的一些决策,并提供一些示例网络拓扑。 下图显示了基本网络拓扑。

基本网络拓扑示意图。

设计注意事项

在 Azure Stack Edge Pro GPU(ASE)上部署时,AP5GC 使用物理端口 5 来访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点)和端口 6(核心数据(5G N6/4G SGi 参考点)。

对于 HA 部署,必须使用 VLAN 中继,其中数据网络由 VLAN 分隔。 在此设置中,所有核心数据都使用端口 6。 如果未使用 VLAN 中继,并且配置了 6 个以上的数据网络,则端口 5 用于剩余数据网络的核心数据。

AP5GC 支持在端口 5 和 6 上使用或不带第 3 层路由器的部署。 这对于避免在较小的边缘站点使用额外硬件非常有用。

  • 可以通过第 2 层交换机将 ASE 端口 5 直接连接到 RAN 节点(背靠背)。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 ASE 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 ASE 端口 6 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 ASE 端的网关。
  • 或者,可以合并这些方法。 例如,可以将 ASE 端口 6 上的路由器与 ASE 端口 5 上的平面第 2 层网络配合使用。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 ASE 的配置。

在 Azure Stack Edge 2(ASE 2)上部署时,AP5GC 使用物理端口 3 来访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点)和端口 4(5G N6/4G SGi 参考点)。

对于 HA 部署,必须使用 VLAN 中继,其中数据网络由 VLAN 分隔。 在此设置中,所有核心数据都使用端口 6。 如果不使用 VLAN 中继,并且配置了 6 个以上的数据网络,则端口 3 用于剩余数据网络的核心数据。

AP5GC 支持在端口 3 和 4 上使用或不具有第 3 层路由器的部署。 这对于避免在边缘较小的站点上使用额外硬件非常有用。

  • 可以将 ASE 端口 3 直接(背靠背)或通过第 2 层交换机将 ASE 端口 3 连接到 RAN 节点。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 ASE 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 ASE 端口 4 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 ASE 端的网关。
  • 或者,可以合并这些方法。 例如,可以将 ASE 端口 4 上的路由器与 ASE 端口 3 上的平面第 2 层网络配合使用。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 ASE 的配置。

除非封包核心启用了网络地址转换 (NAT),否则必须为本地第 3 层网络设备配置到 UE IP 池的静态路由(通过相应附加数据网络的相应 N6 IP 地址来实现)。

示例网络拓扑

可通过多种方式设置网络以用于 AP5GC。 确切的设置因需求和硬件而异。 本部分提供 ASE Pro GPU 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换的第 3 层网络(NAT)
    此网络拓扑将 ASE 连接到第 2 层设备,该设备提供与移动网络核心和访问网关的连接(分别将 ASE 连接到数据和访问网络的路由器)。 此拓扑最多支持六个数据网络。 此解决方案通常用于简化第 3 层路由。
    第 3 层网络与 N6 网络地址转换(N A T)的关系图。

  • 没有网络地址转换的第 3 层网络 (NAT)
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一跃点地址。 与前面的解决方案一样,此拓扑最多支持六个数据网络。 没有网络地址转换的第 3 层网络图(N A T)。

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建一个第 2 层网络,其中 ASE 与数据和访问网络位于同一子网中。 当你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代方法。 这要求在数据包核心上启用网络地址端口转换(NAPT)。
    第 2 层网络的示意图。

  • 具有多个数据网络的第 3 层网络

    • 对于具有多个数据网络的部署,建议设置是使用 VLAN 中继。 在此设置中,AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。 HA 部署需要 VLAN 中继。
    • 在此拓扑中,ASE 上有一个 N6 虚拟网络,没有 IP 信息。 配置每个附加的数据网络时,将完成所有 VLAN 和 IP 配置。 第 3 层网络与 VLAN 中继的关系图。
  • 具有多个数据网络的第 3 层网络,没有 VLAN 分离。

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络的一个子网或所有数据网络的一个子网。 因此,此选项需要仔细规划和配置,以防止重叠的数据网络 IP 范围或 UE IP 范围。
      具有多个数据网络的第 3 层网络拓扑图。
  • 具有 VLAN 和物理访问/核心分离的第 3 层网络(访问 VLAN)

    • 也可以将 ASE 流量分离到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分段为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将位于 ASE 端口 5(访问网络)和/或 6(核心网络)的单个链路上,因此必须将其中每个链接配置为 VLAN 中继。 第 3 层网络拓扑与 V L A N s 的关系图。
  • 具有 7-10 数据网络的第 3 层网络,无需 VLAN 中继。

    • 使用 VLAN 中继时,所有 DN 都通过端口 6 进行路由。 HA 部署需要 VLAN 中继。
    • 如果没有 VLAN 中继,如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 ASE 端口 5 上部署额外的(最多四个)数据网络。 这需要一个共享交换机或路由器,该交换机和路由器同时承载访问和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。
    • 在同一端口上可以配置不超过六个数据网络。
    • 为了获得最佳性能,应在端口 6 上配置具有最高预期负载的数据网络。 第 3 层网络拓扑图,其中包含 10 个数据网络。

设有多种方式可以配置您的网络,用于与 AP5GC 配套使用。 确切的设置因需求和硬件而异。 本部分提供 ASE Pro 2 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换的第 3 层网络(NAT)
    此网络拓扑将 ASE 连接到第 2 层设备,该设备提供与移动网络核心和访问网关的连接(分别将 ASE 连接到数据和访问网络的路由器)。 此拓扑最多支持六个数据网络。 此解决方案通常用于简化第 3 层路由。
    第 3 层网络与 N6 网络地址转换(N A T)的关系图。

  • 没有网络地址转换的第 3 层网络 (NAT)
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一跃点地址。 与前面的解决方案一样,此拓扑最多支持六个数据网络。 没有网络地址转换的第 3 层网络图(N A T)。

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建一个第 2 层网络,其中 ASE 与数据和访问网络位于同一子网中。 当你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代方法。 这要求在数据包核心上启用网络地址端口转换(NAPT)。
    第 2 层网络的示意图。

  • 具有多个数据网络的第 3 层网络

    • 对于具有多个数据网络的部署,建议设置是使用 VLAN 中继。 在此设置中,AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。 HA 部署需要 VLAN 中继。
    • 在此拓扑中,ASE 上有一个 N6 虚拟网络,没有 IP 信息。 配置每个附加的数据网络时,将完成所有 VLAN 和 IP 配置。 第 3 层网络与 VLAN 中继的关系图。
  • 具有多个数据网络的第 3 层网络,没有 VLAN 分离。

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统(DNS)、UE IP 地址池、N6 IP 配置和 NAT 配置。 可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络的一个子网或所有数据网络的一个子网。 因此,此选项需要仔细规划和配置,以防止重叠的数据网络 IP 范围或 UE IP 范围。

    具有多个数据网络的第 3 层网络拓扑图。

  • 具有 VLAN 和物理访问/核心分离的第 3 层网络(访问 VLAN)

    • 也可以将 ASE 流量分离到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分段为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将位于 ASE 端口 3(访问网络)和/或 4(核心网络)的单个链路上,因此必须将其中每个链接配置为 VLAN 中继。

    第 3 层网络拓扑与 V L A N s 的关系图。

  • 具有 7-10 数据网络的第 3 层网络,无需 VLAN 中继。

    • 如果没有 VLAN 中继,如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 ASE 端口 3 上部署额外的(最多 4 个)数据网络。 这需要一个共享交换机或路由器,该交换机和路由器同时承载访问和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。 HA 部署需要 VLAN 中继。
    • 在同一端口上可以配置不超过六个数据网络。
    • 为了获得最佳性能,应在端口 4 上配置具有最高预期负载的数据网络。

    第 3 层网络拓扑图,其中包含 10 个数据网络。

子网和 IP 地址

你可能在企业现场拥有现有 IP 网络,而这些网络需要与私有蜂窝网络进行集成。 这可能意味着,例如:

  • 为 AP5GC 选择与现有子网匹配的且不导致地址冲突的 IP 子网和 IP 地址。
  • 通过 IP 路由器或使用子网的专用 RFC 1918 地址空间隔离新网络。
  • 分配一个 IP 地址池,专门供 UE 在附加到网络时使用。
  • 在数据包核心本身或上游网络设备(例如边界路由器)上使用网络地址端口转换(NAPT)。
  • 优化网络性能,选择最大传输单元(MTU)以最小化碎片。

需要记录用于部署的 IPv4 子网,并议定用于解决方案中每个元素的 IP 地址,以及在 UE 附加时要为其分配的 IP 地址。 需要在企业站点部署(或配置现有)路由器和防火墙,以允许流量。 你们还应商定在网络中需要的 NAPT 或 MTU 更改的方式和位置,并规划相关的路由器/防火墙配置。 有关详细信息,请参阅完成部署专用移动网络的先决条件任务

高可用性 (HA)

可以选择在一对 Azure Stack Edge (ASE) 设备上将 Azure 专用 5G 核心部署为高可用性(HA)服务。 这要求在 ASE 群集和以下设备之间部署网关路由器(严格而言,是具有第 3 层功能的设备 - 路由器或 L3 交换机(路由器/交换机混合)):

  • 访问网中的 RAN 设备。
  • 数据网络。

有关详细信息,请参阅完成部署专用移动网络的先决条件任务

网络访问

你的设计必须反映企业对专用 5G 网络上的 RAN 和 UE 应可以访问哪些网络和资产的规则。 例如,他们可能被允许访问本地域名系统(DNS)、动态主机配置协议(DHCP)、互联网或 Azure,但不允许访问工厂操作的本地局域网(LAN)。 可能需要安排远程访问网络,以便无需站点访问即可排查问题。 还需要考虑企业站点如何连接到上游网络,例如 Azure 进行管理和/或访问企业站点外部的其他资源和应用程序。

需要与企业团队同意允许哪些 IP 子网和地址相互通信。 然后,创建一个路由计划和/或访问控制列表(ACL)配置,用于在本地 IP 基础结构上实现此协议。 还可以使用虚拟局域网(VLAN)在第 2 层对元素进行分区,将交换机构造配置为将连接的端口分配给特定 VLAN(例如,将用于 RAN 访问的 Azure Stack Edge 端口置于连接到以太网交换机的 RAN 单元所在的同一 VLAN 中)。 还应同意企业设置访问机制,例如虚拟专用网络(VPN),使支持人员能够远程连接到解决方案中每个元素的管理接口。 还需要 Azure 专用 5G 核心和 Azure 之间的 IP 链接才能进行管理和遥测。

RAN 合规性

用于在整个企业站点广播信号的 RAN 必须符合当地法规。 例如,这可能意味着:

  • RAN 单位已完成同质化过程,并获得了监管批准,以便在国家/地区的某些频率带上使用。
  • 你已获得在特定地点使用 RAN 频谱进行广播的权限,例如,通过电信运营商、监管机构或技术解决方案(如频谱访问系统 (SAS))授予。
  • 站点中的 RAN 单元可以访问高精度计时源,例如精度时间协议(PTP)和 GPS 位置服务。

应向 RAN 合作伙伴询问已批准 RAN 的国家/地区和频率带。 你可能会发现,你需要使用多个 RAN 合作伙伴来涵盖提供解决方案的国家和地区。 尽管 RAN、UE 和数据包核心都使用标准协议进行通信,但建议在企业客户进行任何部署之前,对 Azure 专用 5G 核心、UE 和 RAN 之间的特定 4G Long-Term 进化(LTE)或 5G 独立(SA)协议执行互作性测试。

RAN 将在其配置使用的频带上向所有 UE 传输公共陆地移动网络标识 (PLMN ID)。 应定义 PLMN ID 并确认对光谱的访问。 在某些国家/地区,必须从国家/地区监管机构或现任电信运营商获取光谱。 例如,如果使用带 48 公民宽带无线电服务(CBRS)光谱,则可能需要与 RAN 合作伙伴合作,在企业网站上部署光谱访问系统(SAS)域代理,以便 RAN 可以持续检查它是否有权广播。

最大传输单位(MTU)

最大传输单元(MTU)是 IP 链接的属性,它在链接的每个端的接口上配置。 超过接口配置的 MTU 的数据包在发送之前通过 IPv4 碎片拆分为较小的数据包,然后在目标处重新组装。 但是,如果接口配置的 MTU 高于链接支持的 MTU,则数据包将无法正确传输。

为了避免 IPv4 分段造成的传输问题,4G 或 5G 封包核心会指示 UE 应该使用哪个 MTU。 但是,UE 并不始终遵守数据包核心指示的 MTU。

来自 UE 的 IP 数据包通过隧道从 RAN 传输,这增加了封装开销。 因此,UE 的 MTU 值应小于 RAN 和数据包核心之间使用的 MTU 值,以避免传输问题。

RAN 通常预配置 MTU 为 1500。 封包核心的默认 UE MTU 为 1440 字节,这可以控制封装开销。 这些值最大化了 RAN 的互操作性,但存在某些 UE 可能无法遵循默认的 MTU 的风险,并会生成需要 IPv4 分片且可能会被网络丢弃的大型数据包。 如果你受到此问题的影响,强烈建议将 RAN 配置为使用 1560 或更高的 MTU,这样就能允许足够高的封装开销,并避免使用标准 MTU 值 1500 在 UE 中进行分段。

还可以更改封包核心指示的 UE MTU。 建议将 MTU 设置为满足您设备支持范围的值,并且比 RAN 提供的 MTU 数值低 60 字节。 请注意:

  • 数据网络 (N6) 会自动更新,以匹配 UE MTU。
  • 访问网络 (N3) 会自动更新,以匹配 UE MTU 加 60 的值。
  • 可以配置介于 1280 到 1930 字节之间的值。

若要更改数据包核心发出信号的 UE MTU,请参阅 “修改数据包核心实例”。

信号覆盖率

UE 必须能够从站点的任何位置与 RAN 通信。 这意味着信号必须在环境中有效传播(包括在有障碍物和设备干扰的情况下),以支持 UE 在站点中四处移动(例如,在室内和室外区域之间)。

应与 RAN 合作伙伴和企业进行站点调查,以确保覆盖面足够。 请确保了解不同环境中 RAN 单元的功能以及任何限制(例如,单个单元可以支持的附加 UE 数)。 如果你的 UE 将在站点内移动,还应确认 RAN 是否支持 X2(4G)或 Xn(5G)切换,从而允许 UE 在两个 RAN 单元提供的覆盖区域之间实现无缝过渡。 如果 RAN 不支持 X2 (4G) 或 Xn (5G),则 RAN 必须支持 S1 (4G) 和 N2 (5G)才能实现 UE 移动性。 请注意,UE 无法使用这些交接技术在专用企业网络与电信运营商提供的公共移动电话网络之间漫游。

SIM卡

每个 UE 都必须向网络提供一个标识,该标识在订阅者标识模块(SIM)中编码。 SIM 以不同的物理外形规格和仅软件格式(eSIM)提供。 在 SIM 上编码的数据必须与 RAN 的配置和 Azure 专用 5G Core 中预配的标识数据相匹配。

获取外形规格与 UE 兼容的,并已使用要用于部署的 PLMN ID 和密钥进行编程的 SIM。 物理 SIM 在开放市场上广泛可用,成本相对较低。 如果你偏好使用 eSIM,则需要部署所需的 eSIM 配置和预配基础结构,以便 UE 可以在附加到手机网络之前进行自我配置。 可以使用从 SIM 合作伙伴收到的预配数据来预配 Azure 专用 5G Core 中的匹配条目。 由于 SIM 数据必须保持安全,因此设置用于预配 SIM 的加密密钥不可读,因此必须考虑在需要重新预配 Azure 专用 5G Core 中的数据时如何存储它们。

自动化和集成

使用自动化和其他编程技术构建企业网络可节省时间、减少错误并产生更好的结果。 在需要重新生成网络的站点故障时,这些技术还提供恢复路径。

我们建议在部署中采用程序化的代码化基础设施方法。 可以使用模板或 Azure REST API 使用参数作为输入来生成部署,这些参数包含项目设计阶段收集的值。 应以计算机可读格式保存预配信息,例如 SIM 数据、交换机/路由器配置和网络策略,以便在发生故障时,可以像最初那样重新应用配置。 从故障中恢复的另一个最佳做法是部署备用 Azure Stack Edge 服务器,以便在第一个单元发生故障时最大程度地减少恢复时间;然后,可以使用保存的模板和输入快速重新创建部署。 有关使用模板部署网络的详细信息,请参阅 快速入门:部署专用移动网络和站点 - ARM 模板

还必须考虑如何将其他 Azure 产品和服务与专用企业网络集成。 这些产品包括 Microsoft Entra ID基于角色的访问控制(RBAC),其中必须考虑租户、订阅和资源权限如何与你与企业之间存在的业务模式保持一致,以及作为你自己的客户系统管理方法。 例如,可以使用 Azure 蓝图 设置最适合组织的订阅和资源组模型。

后续步骤