Konfigurowanie wewnętrznego przekazywania ue do ue dla usługi Azure Private 5G Core — Azure Portal
Usługa Azure Private 5G Core umożliwia przepływ ruchu między sprzętem użytkownika (UE) dołączonym do tej samej sieci danych, aby pozostać w tej sieci. Jest to nazywane wewnętrznym przekazywaniem między interfejsami użytkownika. Wewnętrzne przekazywanie między użytkownikami minimalizuje opóźnienia i maksymalizuje bezpieczeństwo i prywatność ruchu UE-UE. To zachowanie można włączyć lub wyłączyć przy użyciu zasad SIM.
Jeśli używasz usługi Domyślne i zezwalasz na wszystkie zasady sim, wewnętrzne przekazywanie zostanie włączone. Jeśli używasz bardziej restrykcyjnych zasad, może być konieczne włączenie przekazywania wewnętrznego.
Jeśli używasz usługi Domyślnej i zezwalaj na wszystkie zasady sim i chcesz wyłączyć przekazywanie wewnętrzne, ponieważ używasz bramy zewnętrznej lub dlatego, że nie chcesz, aby interfejsy użytkownika komunikowały się ze sobą, możesz utworzyć usługę, aby to zrobić, a następnie zastosować ją do zasad zezwalania na wszystkie karty SIM.
Wymagania wstępne
- Upewnij się, że możesz zalogować się do witryny Azure Portal przy użyciu konta z dostępem do aktywnej subskrypcji zidentyfikowanej w temacie Wykonywanie zadań wstępnych dotyczących wdrażania prywatnej sieci komórkowej. To konto musi mieć wbudowaną rolę Współautor lub Właściciel w zakresie subskrypcji.
- Zidentyfikuj nazwę zasobu usługi Mobile Network odpowiadającej prywatnej sieci komórkowej.
- Zbierz wszystkie wartości konfiguracji w sekcji Zbieranie wymaganych informacji dotyczących usługi dla wybranej usługi .
Tworzenie usługi w celu zezwolenia na przekazywanie wewnętrzne
W tym kroku utworzymy usługę, która umożliwia ruch oznaczony za pomocą adresu zdalnego w zakresie skonfigurowanym dla interfejsów UŻYTKOWNIKA (10.20.0.0/16, w tym przykładzie) do przepływu w obu kierunkach.
Aby utworzyć usługę:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz zasób usługi Mobile Network reprezentujący prywatną sieć komórkową.
W menu Zasób wybierz pozycję Usługi.
Na pasku poleceń wybierz pozycję Utwórz.
Teraz wprowadzimy wartości, aby zdefiniować charakterystykę QoS, która będzie stosowana do przepływów danych usługi (SDFs), które pasują do tej usługi. Na karcie Podstawy wypełnij pola w następujący sposób.
Pole Wartość Nazwa usługi service_allow_internal_forwardingPierwszeństwo usługi 200Maksymalna szybkość bitów (MBR) — pasma 2 GbpsMaksymalna szybkość bitów (MBR) — odłączanie 2 GbpsPoziom priorytetu alokacji i przechowywania 25QI/QCI 9Możliwość wywłaszczania Wybierz pozycję Nie wywłaszczaj. Luka w zabezpieczeniach dotycząca wywłaszczania Wybierz pozycję Nieuwzględnialne. W obszarze Reguły zasad przepływu danych wybierz pozycję Dodaj regułę zasad.
Teraz utworzymy regułę zasad przepływu danych, która zezwala na wszystkie pakiety zgodne z szablonem przepływu danych, które skonfigurujemy w następnym kroku. W obszarze Dodaj regułę zasad po prawej stronie wypełnij pola w następujący sposób.
Pole Wartość Nazwa reguły rule_allow_internal_forwardingPierwszeństwo reguły zasad Wybierz pozycję 200. Zezwalaj na ruch Wybierz pozycję Włączone. Teraz utworzymy szablon przepływu danych, który jest zgodny z pakietami przepływającym w kierunku lub z dala od interfejsów UŻYTKOWNIKA w wersji 10.20.0.0/16, dzięki czemu mogą być dozwolone przez
rule_allow_internal_forwardingusługę . W obszarze Szablony przepływu danych wybierz pozycję Dodaj szablon przepływu danych. W oknie podręcznym Dodawanie szablonu przepływu danych wypełnij pola w następujący sposób.Pole Wartość Nazwa szablonu internal_forwardingProtokoły Zaznacz Wszystko. Kierunek Wybierz pozycję Dwukierunkowe. Zdalne adresy IP 10.20.0.0/16Porty Pozostaw to pole puste. Wybierz pozycję Dodaj.
Na karcie Konfiguracja podstaw wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz, aby utworzyć usługę.
Po utworzeniu usługi witryna Azure Portal wyświetli następujący ekran potwierdzenia. Wybierz pozycję Przejdź do zasobu , aby wyświetlić nowy zasób usługi.
Upewnij się, że właściwości QoS, reguły zasad przepływu danych i szablony przepływu danych usługi wymienione w dolnej części ekranu są skonfigurowane zgodnie z oczekiwaniami.
Tworzenie usługi blokującej przekazywanie wewnętrzne
W tym kroku utworzymy usługę, która blokuje ruch oznaczony adresem zdalnym w zakresie skonfigurowanym dla adresów amerykańskich (10.20.0.0/16) w obu kierunkach.
Aby utworzyć usługę:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz zasób usługi Mobile Network reprezentujący prywatną sieć komórkową.
W menu Zasób wybierz pozycję Usługi.
Na pasku poleceń wybierz pozycję Utwórz.
Wprowadź wartości, aby zdefiniować charakterystykę QoS, która będzie stosowana do przepływów danych usługi (SDFs), które pasują do tej usługi. Na karcie Podstawy wypełnij pola w następujący sposób.
Pole Wartość Nazwa usługi service_block_internal_forwardingPierwszeństwo usługi 200Maksymalna szybkość bitów (MBR) — pasma 2 GbpsMaksymalna szybkość bitów (MBR) — odłączanie 2 GbpsPoziom priorytetu alokacji i przechowywania 25QI/QCI 9Możliwość wywłaszczania Wybierz pozycję Nie wywłaszczaj. Luka w zabezpieczeniach dotycząca wywłaszczania Wybierz pozycję Nieuwzględnialne. Ważne
Pierwszeństwo usługi musi być niższą wartością niż jakakolwiek usługa powodująca konflikt (na przykład "zezwalaj na wszystkie"). Usługi są dopasowywane do ruchu w kolejności pierwszeństwa.
W obszarze Reguły zasad przepływu danych wybierz pozycję Dodaj regułę zasad.
Teraz utworzymy regułę zasad przepływu danych, która blokuje wszystkie pakiety zgodne z szablonem przepływu danych, który skonfigurujemy w następnym kroku. W obszarze Dodaj regułę zasad po prawej stronie wypełnij pola w następujący sposób.
Pole Wartość Nazwa reguły rule_block_internal_forwardingPierwszeństwo reguły zasad Wybierz pozycję 200. Zezwalaj na ruch Wybierz pozycję Zablokowane. Teraz utworzymy szablon przepływu danych zgodny z pakietami przepływającym w kierunku lub z dala od interfejsów UŻYTKOWNIKA w wersji 10.20.0.0/16, dzięki czemu mogą być blokowane przez
rule_block_internal_forwardingprogram . W obszarze Szablony przepływu danych wybierz pozycję Dodaj szablon przepływu danych. W oknie podręcznym Dodawanie szablonu przepływu danych wypełnij pola w następujący sposób.Pole Wartość Nazwa szablonu internal_forwardingProtokoły Zaznacz Wszystko. Kierunek Wybierz pozycję Dwukierunkowe. Zdalne adresy IP 10.20.0.0/16Porty Pozostaw to pole puste. Wybierz pozycję Dodaj.
Na karcie Konfiguracja podstaw wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz, aby utworzyć usługę.
Po utworzeniu usługi witryna Azure Portal wyświetli następujący ekran potwierdzenia. Wybierz pozycję Przejdź do zasobu , aby wyświetlić nowy zasób usługi.
Upewnij się, że właściwości QoS, reguły zasad przepływu danych i szablony przepływu danych usługi wymienione w dolnej części ekranu są skonfigurowane zgodnie z oczekiwaniami.
Modyfikowanie istniejących zasad SIM w celu przypisania nowej usługi
W tym kroku przypiszemy nową usługę (service_allow_internal_forwarding lub service_block_internal_forwarding) do istniejących zasad SIM.
Znajdź zasady SIM skonfigurowane dla Twoich interfejsów użytkownika.
Wybierz zasady SIM, które chcesz zmodyfikować, i wybierz pozycję Modyfikuj wybrane zasady SIM.
Wybierz pozycję Modyfikuj zakres sieci dla istniejącego wycinka i sieci danych skonfigurowanej dla Twoich interfejsów użytkownika.
W obszarze Konfiguracja usługi dodaj nową usługę.
Wybierz pozycję Modyfikuj.
Wybierz pozycję Przypisz do maszyn SIM.
Wybierz pozycję Przejrzyj i zmodyfikuj.
Przejrzyj zaktualizowane zasady sim i sprawdź, czy konfiguracja jest zgodnie z oczekiwaniami.
- Ustawienia najwyższego poziomu zasad SIM są wyświetlane pod nagłówkiem Podstawy .
- Konfiguracja zakresu sieci jest wyświetlana w nagłówku Zakres sieci, w tym usługi skonfigurowane w obszarze Konfiguracja usługi i jakość konfiguracji usługi w obszarze Jakość usługi (QoS).