Configurar a rede do Azure Private 5G Core para acessar endereços IP da UE
O Azure Private 5G Core (AP5GC) fornece uma rede segura e confiável para as necessidades de comunicação da sua organização. Para acessar endereços IP do equipamento do usuário (UE) a partir da rede de dados (DN), você precisa definir regras de firewall, rotas e outras configurações apropriadas. Este artigo irá guiá-lo através das etapas e considerações necessárias.
Pré-requisitos
Antes de começar, você precisa ter:
- Acesso ao seu Azure Private 5G Core por meio do portal do Azure.
- Conhecimento da topologia de rede da sua organização.
- Um AP5GC com conversão de porta de endereço de rede (NAPT) desabilitada.
Importante
O uso de uma implantação em que o NAPT está habilitado só funciona se a UE iniciar o contato com o servidor e o servidor for capaz de diferenciar clientes UE usando uma combinação de endereço IP e porta.
Se o servidor tentar fazer o contato inicial ou tentar entrar em contato com uma UE depois que o pinhole atingir o tempo limite, a conexão falhará. - Acesso a quaisquer dispositivos de rede necessários para configuração (por exemplo, roteadores, firewalls, switches, proxies).
- Capacidade de capturar rastreamentos de pacotes em diferentes pontos da rede.
Configurar o acesso a endereços IP da UE
- Determine os endereços IP dos dispositivos que você deseja acessar a partir da rede de dados. Esses endereços IP pertencem ao pool de IP definido durante a criação do site.
Você pode ver os endereços IP dos dispositivos por- verificação do rastreio distribuído,
- verificar as capturas de pacotes do dispositivo que está conectando e criando uma sessão,
- ou usando ferramentas integradas para a UE (por exemplo, linha de comando ou interface do usuário).
- Confirme se o dispositivo cliente que você está usando pode alcançar a UE por meio da rede AP5GC N6 (em uma implantação 5G) ou SGi (em uma implantação 4G).
- Se o cliente estiver na mesma sub-rede que a interface AP5GC N6/SGi, o dispositivo cliente deverá ter uma rota para a sub-rede UE e o próximo salto deverá ser para o endereço IP N6/SGi que pertence ao nome da rede de dados (DNN) atribuído ao UE.
- Caso contrário, se houver um roteador ou firewall entre o cliente e o AP5GC, a rota para a sub-rede UE deverá ter o roteador ou firewall como o próximo salto.
- Certifique-se de que o tráfego do dispositivo cliente destinado à UE atinja a interface de rede AP5GC N6.
- Verifique cada firewall entre o endereço N6 e o endereço IP do dispositivo cliente.
- Certifique-se de que o tipo de tráfego esperado entre o dispositivo cliente e a UE tenha permissão para passar pelo firewall.
- Repita para portas TCP/UDP, endereços IP e protocolos necessários.
- Verifique se o firewall tem rotas para encaminhar o tráfego destinado ao endereço IP da UE para o endereço IP da interface N6.
- Configure rotas apropriadas em seus roteadores para garantir que o tráfego da rede de dados seja direcionado para os endereços IP de destino corretos na rede RAN.
- Teste a configuração para garantir que você possa acessar com êxito os endereços IP da UE a partir da rede de dados.
Exemplo
- UE: Uma câmera inteligente que pode ser acessada usando HTTPS. A UE está usando AP5GC para enviar informações para o servidor gerenciado de um operador.
- Topologia de rede: A rede N6 possui um firewall que a separa da rede corporativa segura e da internet.
- Requisito: A partir da infraestrutura de TI da operadora ser capaz de entrar na câmera inteligente usando HTTPS.
Solução
- Implante o AP5GC com o NAPT desabilitado.
- Adicione regras ao firewall corporativo para permitir o tráfego HTTPS da rede corporativa para o endereço IP da câmera inteligente.
- Adicione a configuração de roteamento ao firewall. Encaminhe o tráfego destinado ao endereço IP da câmera inteligente para o endereço IP N6 do nome DN atribuído à UE na implantação do AP5GC.
- Verifique os fluxos de tráfego pretendidos para as interfaces N3 e N6.
- Faça capturas de pacotes na interface N3 e N6 simultaneamente.
- Verifique o tráfego na interface N3.
- Verifique a captura de pacotes para o tráfego esperado que atinge a interface N3 a partir da UE.
- Verifique a captura de pacotes para o tráfego esperado que sai da interface N3 em direção à UE.
- Verifique o tráfego na interface N6.
- Verifique a captura de pacotes para o tráfego esperado que atinge a interface N6 a partir da UE.
- Verifique a captura de pacotes para o tráfego esperado que sai da interface N6 em direção à UE.
- Faça capturas de pacotes para verificar se o firewall está recebendo e enviando tráfego destinado à câmera inteligente e ao dispositivo cliente.
Resultado
Sua rede principal 5G privada do Azure pode acessar endereços IP da UE a partir da rede de dados.