私人行動網路設計需求

  • 發行項

本文可協助您根據 Azure Private 5G Core (AP5GC) 來設計和準備實作私人 4G 或 5G 網路。 其旨在讓您了解這些網路的建構方式,以及您在規劃網路時需要做出的決策。

Azure Private MEC 和 Azure Private 5G Core

Azure 私人多重存取邊緣計算 (MEC) 是一種解決方案,可將 Microsoft 計算、網路和應用程式服務結合到企業內部部署(邊緣)。 這些邊緣部署會從雲端集中管理。 Azure Private 5G Core 是 Azure 私人多重存取 Edge Compute (MEC) 內的 Azure 服務,可在企業邊緣提供 4G 和 5G 核心網路功能。 在企業邊緣站臺上,裝置會透過行動數據無線電存取網路 (RAN) 連結,並透過 Azure 私人 5G 核心服務連線到上游網路、應用程式和資源。 或者,裝置可能會使用 Azure 私人 MEC 所提供的本機計算功能,以非常低的延遲處理數據流,全都在企業控制之下。

Diagram displaying the components of a private network solution. UEs, RANs and sites are at the edge, while Azure region management is in the cloud.

私人行動網路的需求

必須提供下列功能,才能允許使用者裝置 (UE) 連接到私人行動電話網路:

  • UE 必須與無線電存取網路 (RAN) 所使用的通訊協定和無線頻譜帶相容。
  • UE 必須包含訂閱者身分識別模組 (SIM)。 SIM 是儲存裝置身分識別的密碼編譯專案。
  • 必須有一個 RAN,傳送和接收行動數據訊號,到包含需要服務之 UE 的企業網站的所有部分。
  • 必須有連線到 RAN 和上游網路的封包核心實例。 封包核心負責在從網路連線到 RAN 和要求服務時驗證 UE 的 SIM。 它會將原則套用至產生的數據流,以及從 UE 來回的數據流;例如,若要設定服務品質。
  • RAN、封包核心和上游網路基礎結構必須透過乙太網路連線,才能將IP流量傳遞至彼此。
  • 裝載封包核心的月台必須具有因特網的持續高速連線(最低 100 Mbps),才能允許服務管理、遙測、診斷和升級。

設計私人行動網路

下列各節說明您需要考慮的網路元素,以及準備部署網路所需的設計決策。

拓撲

設計和實作局域網路是AP5GC部署的基礎部分。 您必須進行網路設計決策,以支援您的AP5GC封包核心和任何其他邊緣工作負載。 本節概述設計網路時應考慮的一些決策,並提供一些範例網路拓撲。 下圖顯示基本網路拓撲。

Diagram of a basic network topology.

設計考量

在 Azure Stack Edge Pro GPU 上部署時,AP5GC 會使用實體埠 5 來存取訊號和數據 (5G N2 和 N3 參考點/4G S1 和 S1-U 參考點),以及核心數據埠 6(5G N6/4G SGi 參考點)。 如果設定了六個以上的數據網路,埠 5 也會用於核心數據。

AP5GC 支援在埠 5 和 6 上使用或不含第 3 層路由器的部署。 這對於避免小型邊緣月臺的額外硬體很有用。

  • 可以直接將 ASE 連接埠 5 連線到 RAN 節點(背對背)或透過第 2 層交換器。 使用此拓撲時,您必須將 eNodeB/gNodeB 位址設定為 ASE 網路介面上的預設網關。
  • 同樣地,您可以透過第 2 層交換器將 ASE 連接埠 6 連線到核心網路。 使用此拓撲時,您必須將子網上的應用程式或任意位址設定為 ASE 端的閘道。
  • 或者,您可以結合這些方法。 例如,您可以在 ASE 連接埠 6 上使用路由器,並在 ASE 連接埠 5 上使用平面第 2 層網路。 如果局域網路中有第 3 層路由器,您必須將其設定為符合 ASE 的設定。

在 Azure Stack Edge 2 上部署時(ASE 2),AP5GC 會使用實體埠 3 來存取訊號和數據(5G N2 和 N3 參考點/4G S1 和 S1-U 參考點),以及核心數據的埠 4(5G N6/4G SGi 參考點)。 如果已設定六個以上的數據網路,埠 3 也會用於核心數據。

AP5GC 支援在埠 3 和 4 上使用或不含第 3 層路由器的部署。 這對於避免小型邊緣月臺的額外硬體很有用。

  • 可以直接將 ASE 連接埠 3 連線到 RAN 節點(背靠背)或透過第 2 層交換器。 使用此拓撲時,您必須將 eNodeB/gNodeB 位址設定為 ASE 網路介面上的預設網關。
  • 同樣地,您可以透過第 2 層交換器將 ASE 連接埠 4 連線到核心網路。 使用此拓撲時,您必須將子網上的應用程式或任意位址設定為 ASE 端的閘道。
  • 或者,您可以結合這些方法。 例如,您可以在 ASE 連接埠 4 上使用路由器,並在 ASE 連接埠 3 上使用平面第 2 層網路。 如果局域網路中有第 3 層路由器,您必須將其設定為符合 ASE 的設定。

除非您的封包核心已啟用網路位址轉換 (NAT),否則本機第 3 層網路裝置必須透過對應連結數據網路的適當 N6 IP 位址,設定靜態路由至 UE IP 集區。

範例網路拓撲

有多種方式可設定您的網路以搭配AP5GC使用。 確切的設定會根據您的需求和硬體而有所不同。 本節提供 ASE Pro GPU 硬體上的一些範例網路拓撲。

  • 第 3 層網路與 N6 網路位址轉換 (NAT)
    此網路拓撲會將您的 ASE 連線到第 2 層裝置,以提供與行動網路核心和存取網關的連線能力(分別將您的 ASE 連線到您的數據和存取網路的路由器)。 此拓撲最多可支援六個數據網路。 此解決方案通常用於簡化第 3 層路由。
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • 第 3 層網路沒有網路位址轉換 (NAT)
    此網路拓撲是類似的解決方案,但 UE IP 位址範圍必須設定為數據網路路由器中的靜態路由,並將 N6 NAT IP 位址設定為下一個躍點位址。 如同先前的解決方案,此拓撲最多支援六個數據網路。 Diagram of a layer 3 network without Network Address Translation (N A T).

  • 平面第 2 層網路
    封包核心不需要第 3 層路由器或任何類似路由器的功能。 替代拓撲可以完全放棄使用第 3 層閘道路由器,而是建構 ASE 與數據和存取網路位於相同子網的第 2 層網路。 當您不需要第 3 層路由時,此網路拓撲可以是更便宜的替代方案。 這需要封包核心上啟用網路位址埠轉譯 (NAPT)。
    Diagram of a layer 2 network.

  • 具有多個數據網路的第 3 層網路

    • AP5GC 最多可支援十個鏈接的數據網路,每個網路都有自己的域名系統設定(DNS)、UE IP 位址池、N6 IP 組態和 NAT。 操作員可以在一或多個數據網路中布建 UE,並套用數據網路特定的原則和服務品質(QoS) 設定。
    • 此拓撲要求 N6 介面會針對每個數據網路分割成一個子網,或所有數據網路的一個子網。 因此,此選項需要仔細規劃和設定,以防止重疊的數據網路IP範圍或UE IP範圍。
      Diagram of layer 3 network topology with multiple data networks.

  • 具有 VLAN 和實體存取/核心分隔的第 3 層網路

    • 您也可以將 ASE 流量分成 VLAN,不論您是否選擇將第 3 層閘道新增至您的網路。 將流量分割成不同的 VLAN 有許多優點,包括更有彈性的網路管理和更高的安全性。
    • 例如,您可以設定不同的 VLAN 來管理、存取和數據流量,或為每個鏈接的數據網路設定個別的 VLAN。
    • VLAN 必須在本機第 2 層或第 3 層網路設備上設定。 多個 VLAN 將會從 ASE 連接埠 5(存取網路)和/或 6(核心網路)進行單一連結,因此您必須將每個連結設定為 VLAN 主幹。 Diagram of layer 3 network topology with V L A N s.

  • 第 3 層網路與 7-10 個數據網路

    • 如果您想要部署六個以上的 VLAN 分隔數據網路,則必須在 ASE 連接埠 5 上部署額外的(最多四個)數據網路。 這需要一個共用交換器或路由器,其同時具有存取權和核心流量。 VLAN 標籤可以視需要指派給 N2、N3 和每個 N6 數據網路。
    • 相同的埠上不能設定超過六個數據網路。
    • 為了達到最佳效能,應該在埠 6 上設定具有最高預期負載的數據網路。 Diagram of layer 3 network topology with 10 data networks.

有多種方式可設定您的網路以搭配AP5GC使用。 確切的設定會根據您的需求和硬體而有所不同。 本節提供 ASE Pro 2 硬體上的一些範例網路拓撲。

  • 第 3 層網路與 N6 網路位址轉換 (NAT)
    此網路拓撲會將您的 ASE 連線到第 2 層裝置,以提供與行動網路核心和存取網關的連線能力(分別將您的 ASE 連線到您的數據和存取網路的路由器)。 此拓撲最多可支援六個數據網路。 此解決方案通常用於簡化第 3 層路由。
    Diagram of a layer 3 network with N6 Network Address Translation (N A T).

  • 第 3 層網路沒有網路位址轉換 (NAT)
    此網路拓撲是類似的解決方案,但 UE IP 位址範圍必須設定為數據網路路由器中的靜態路由,並將 N6 NAT IP 位址設定為下一個躍點位址。 如同先前的解決方案,此拓撲最多支援六個數據網路。 Diagram of a layer 3 network without Network Address Translation (N A T).

  • 平面第 2 層網路
    封包核心不需要第 3 層路由器或任何類似路由器的功能。 替代拓撲可以完全放棄使用第 3 層閘道路由器,而是建構 ASE 與數據和存取網路位於相同子網的第 2 層網路。 當您不需要第 3 層路由時,此網路拓撲可以是更便宜的替代方案。 這需要封包核心上啟用網路位址埠轉譯 (NAPT)。
    Diagram of a layer 2 network.

  • 具有多個數據網路的第 3 層網路

    • AP5GC 最多可支援十個鏈接的數據網路,每個網路都有自己的域名系統設定(DNS)、UE IP 位址池、N6 IP 組態和 NAT。 操作員可以在一或多個數據網路中布建 UE,並套用數據網路特定的原則和服務品質(QoS) 設定。
    • 此拓撲要求 N6 介面會針對每個數據網路分割成一個子網,或所有數據網路的一個子網。 因此,此選項需要仔細規劃和設定,以防止重疊的數據網路IP範圍或UE IP範圍。

    Diagram of layer 3 network topology with multiple data networks.

  • 具有 VLAN 和實體存取/核心分隔的第 3 層網路

    • 您也可以將 ASE 流量分成 VLAN,不論您是否選擇將第 3 層閘道新增至您的網路。 將流量分割成不同的 VLAN 有許多優點,包括更有彈性的網路管理和更高的安全性。
    • 例如,您可以設定不同的 VLAN 來管理、存取和數據流量,或為每個鏈接的數據網路設定個別的 VLAN。
    • VLAN 必須在本機第 2 層或第 3 層網路設備上設定。 多個 VLAN 將會從 ASE 連接埠 3(存取網路)和/或 4(核心網路)進行單一連結,因此您必須將每個連結設定為 VLAN 主幹。

    Diagram of layer 3 network topology with V L A N s.

  • 第 3 層網路與 7-10 個數據網路

    • 如果您想要部署六個以上的 VLAN 分隔數據網路,則必須在 ASE 連接埠 3 上部署額外的(最多四個)數據網路。 這需要一個共用交換器或路由器,其同時具有存取權和核心流量。 VLAN 標籤可以視需要指派給 N2、N3 和每個 N6 數據網路。
    • 相同的埠上不能設定超過六個數據網路。
    • 為了達到最佳效能,應該在埠 4 上設定具有最高預期負載的數據網路。

    Diagram of layer 3 network topology with 10 data networks.

子網和IP位址

您可能在企業網站上有私人行動數據網路必須與之整合的現有IP網路。 這可能表示,例如:

  • 針對符合現有子網的AP5GC選取IP子網和IP位址,而不會衝突位址。
  • 透過IP路由器或使用子網的私人 RFC 1918 位址空間來隔離新網路。
  • 指派IP位址集區,以供 UE 附加至網路時使用。
  • 在封包核心本身或上游網路裝置上,例如邊界路由器,使用網路位址埠轉換 (NAPT)。
  • 藉由選擇將分散降到最低的最大傳輸單位 (MTU) 來優化網路以達到效能。

您需要記錄將用於部署的 IPv4 子網,並同意要用於解決方案中每個元素的 IP 位址,以及附加時配置給 UE 的 IP 位址。 您必須在企業網站部署(或設定現有的)路由器和防火牆,以允許流量。 您也應該同意網路中的任何 NAPT 或 MTU 變更需要的方式和位置,並規劃相關聯的路由器/防火牆設定。 如需詳細資訊,請參閱 完成部署私人行動網路的必要條件工作。

網路存取

您的設計必須反映企業在私人 5G 網路上可連線到哪些網路和資產的規則。 例如,他們可能會允許存取本機域名系統(DNS)、動態主機設定通訊協定(DHCP)、因特網或 Azure,但不能存取工廠作業局域網路(LAN)。 您可能需要安排遠端訪問網路,以便您可以針對問題進行疑難解答,而不需要網站流覽。 您也必須考慮企業網站如何連線到上游網路,例如 Azure 來管理和/或存取企業網站外部的其他資源和應用程式。

您必須與企業小組同意允許哪些IP子網和位址彼此通訊。 然後,建立路由計劃和/或訪問控制清單 (ACL) 設定,以在本機IP基礎結構上實作此合約。 您也可以使用虛擬局域網路 (VLAN) 在第 2 層分割元素,設定交換器網狀架構將連線的埠指派給特定的 VLAN(例如,將用於 RAN 存取的 Azure Stack Edge 埠放入與連線至乙太網路交換器之 RAN 單位相同的 VLAN)。 您也應該同意企業設定存取機制,例如虛擬專用網(VPN),讓您的支持人員從遠端連線到解決方案中每個元素的管理介面。 您也需要 Azure Private 5G Core 與 Azure 之間的 IP 連結,以進行管理和遙測。

RAN 合規性

您用來在整個企業網站廣播訊號的 RAN 必須符合當地法規。 例如,這可能表示:

  • RAN 單位已完成同構程式,並獲得了監管批准,以用於國家/地區的特定頻率頻帶。
  • 您已獲得 RAN 在特定位置使用頻譜廣播的許可權,例如,透過電信運營商、法規授權單位或頻譜存取系統(SAS)等技術解決方案的授與。
  • 站台中的 RAN 單位可以存取高精確度計時來源,例如精確度時間通訊協定 (PTP) 和 GPS 位置服務。

您應該向 RAN 合作夥伴詢問已核准 RAN 的國家/地區和頻率頻帶。 您可能會發現需要使用多個 RAN 合作夥伴來涵蓋您提供解決方案的國家/地區。 雖然 RAN、UE 和封包核心都使用標準通訊協議進行通訊,但建議您在企業客戶進行任何部署之前,針對 Azure Private 5G Core、UE 和 RAN 之間的特定 4G 長期演進 (LTE) 或 5G 獨立通訊協定執行互操作性測試。

您的 RAN 會將公用土地行動網路身分識別 (PLMN 識別符) 傳輸到設定為使用之頻率頻帶上的所有 UE。 您應該定義 PLMN 識別碼,並確認您對頻譜的存取。 在某些國家/地區,必須從國家/地區監管機構或現任電信運營商取得頻譜。 例如,如果您使用頻帶 48 公民寬頻無線電服務 (CBRS) 頻譜,您可能需要與 RAN 合作夥伴合作,在企業網站上部署頻譜存取系統 (SAS) 網域 Proxy,讓 RAN 可以持續檢查它是否已獲得廣播授權。

最大傳輸單位(MTU)

最大傳輸單位 (MTU) 是 IP 連結的屬性,而且會在連結的每個連接埠上設定它。 超過介面所設定 MTU 的封包會在傳送之前透過 IPv4 片段分割成較小的封包,然後在目的地重新組合。 不過,如果介面的設定 MTU 高於連結支援的 MTU,封包將無法正確傳輸。

為了避免 IPv4 分散所造成的傳輸問題,4G 或 5G 封包核心會指示其應該使用的 MTU。 不過,UE 不一定會遵守封包核心所發出訊號的 MTU。

來自 UE 的 IP 封包會透過 RAN 進行通道,這會增加封裝的額外負荷。 因此,UE 的 MTU 值應該小於 RAN 與封包核心之間所使用的 MTU 值,以避免傳輸問題。

RAN 通常會預先設定為 1500 的 MTU。 封包核心的預設 UE MTU 為 1440 位元組,以允許封裝額外負荷。 這些值會將 RAN 互操作性最大化,但某些 UE 不會觀察到預設 MTU 的風險,而且會產生需要 IPv4 片段且可能由網路捨棄的較大封包。 如果您受此問題影響,強烈建議您將 RAN 設定為使用 1560 或更新版本的 MTU,以允許封裝有足夠的額外負荷,並避免使用標準 MTU 1500 的 UE 分散。

您也可以變更封包核心發出訊號的 UE MTU。 建議您將 MTU 設定為 UE 所支援範圍內的值,並在 RAN 所發出訊號的 MTU 下方設定為 60 個字節。 請注意:

  • 數據網路 (N6) 會自動更新,以符合 UE MTU。
  • 存取網路 (N3) 會自動更新,以符合 UE MTU 加上 60。
  • 您可以設定介於 1280 到 1930 個字節之間的值。

若要變更封包核心發出訊號的 UE MTU,請參閱 修改封包核心實例

訊號涵蓋範圍

UE 必須能夠從月臺的任何位置與 RAN 通訊。 這意味著信號必須在環境中有效傳播,包括考慮障礙和設備,以支援在場地周圍移動的UE(例如,在室內和戶外區域之間)。

您應該與 RAN 合作夥伴和企業執行網站問卷調查,以確保涵蓋範圍已足夠。 請確定您瞭解不同環境和任何限制中的 RAN 單位功能(例如,單一單位可支援的附加 UE 數目)。 如果您的 UI 會繞著網站移動,您也應該確認 RAN 支援 X2 (4G) 或 Xn (5G) 交接,這可讓 UE 在兩個 RAN 單位所提供的涵蓋範圍之間順暢地轉換。 如果 RAN 不支援 X2 (4G) 或 Xn (5G),則 RAN 必須支援 UE 行動性的 S1 (4G) 和 N2 (5G)。 請注意,UE 無法使用這些交接技術,在私人企業網路與電信運營商所提供的公用行動電話網路之間漫遊。

SIM 卡

每個 UE 都必須向網路呈現身分識別,以訂閱者身分識別模組 (SIM) 編碼。 SIM 以不同的實體尺寸和僅限軟體格式 (eSIM) 提供。 在 SIM 上編碼的數據必須符合 RAN 的組態,以及 Azure Private 5G Core 中布建的身分識別數據。

取得與 UE 相容的因素中的 SIM,並以您想要用於部署的 PLMN 識別碼和金鑰進行程式設計。 實體 SIM 在開放市場上廣泛使用,成本相對較低。 如果您想要使用 eSIM,您必須部署必要的 eSIM 組態和布建基礎結構,讓 UES 可以先自行設定,再附加至行動數據網路。 您可以使用您從 SIM 合作夥伴收到的布建數據,在 Azure Private 5G Core 中布建相符的專案。 由於 SIM 數據必須保持安全,因此一旦設定後,用來佈建 SIM 的密碼編譯密鑰將無法讀取,因此您必須考慮儲存它們的方式,以防您需要在 Azure Private 5G Core 中重新佈建數據。

自動化和整合

使用自動化和其他程式設計技術建置企業網路可節省時間、減少錯誤,併產生更好的結果。 這些技術也會在需要重建網路的月台失敗時提供復原路徑。

建議您採用程式設計、 基礎結構即程式代碼 方法來部署。 您可以使用範本或 Azure REST API,使用參數作為輸入,以及您在專案設計階段收集的值來建置部署。 您應該以計算機可讀取的格式儲存布建資訊,例如 SIM 數據、交換器/路由器組態和網路原則,如此一來,在發生失敗時,您就可以以與原先相同的方式重新套用設定。 從失敗中復原的另一個最佳做法是部署備用的 Azure Stack Edge 伺服器,以將第一個單位失敗時的復原時間降到最低;然後,您可以使用已儲存的範本和輸入來快速重新建立部署。 如需使用範本部署網路的詳細資訊,請參閱 快速入門:部署私人行動網路和網站 - ARM 範本

您也必須考慮如何將其他 Azure 產品和服務與私人企業網路整合。 這些產品包括 Microsoft Entra ID角色型存取控制 (RBAC),您必須考慮租使用者、訂用帳戶和資源許可權如何符合您與企業之間存在的商業模式,以及作為您自己客戶系統管理的方法。 例如,您可以使用 Azure 藍圖 來設定最適合您組織的訂用帳戶和資源群組模型。

下一步