Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

专用移动网络设计要求

  • 项目

本文帮助你基于 Azure 专用 5G 核心 (AP5GC) 设计和准备实现专用 4G 或 5G 网络。 本文旨在介绍这些网络的构造方式,以及在规划网络时需要做出的决策。

Azure 专用 MEC 和 Azure 专用 5G 核心

Azure 专用多接入边缘计算 (MEC) 是将 Microsoft 计算、网络和应用程序服务组合到企业(边缘)部署中的一种解决方案。 这些边缘部署是从云集中管理的。 Azure 专用 5G 核心是 Azure 专用多接入边缘计算 (MEC) 中的一项 Azure 服务,它可以在企业边缘提供 4G 和 5G 核心网络功能。 在企业边缘站点上,设备通过手机网络无线电接入网络 (RAN) 进行连接,并通过 Azure 专用 5G 核心服务连接到上游网络、应用程序和资源。 或者,设备可以使用 Azure 专用 MEC 提供的本地计算功能来以极低的延迟处理数据流,所有这些处理都受企业的控制。

显示专用网络解决方案组件的示意图。UE、RAN 和站点位于边缘,而 Azure 区域管理在云中进行。

专用移动网络的要求

必须具备以下功能才能允许用户设备 (UE) 连接到专用手机网络:

  • UE 必须与无线电接入网络 (RAN) 使用的协议和无线频谱带兼容。
  • UE 必须包含订阅者标识模块 (SIM)。 SIM 是一个用于存储设备标识的加密元素。
  • 必须有一个可以向/从企业站点(其中包含需要服务的 UE)的所有组成部分发送和接收手机网络信号的 RAN。
  • 必须存在连接到 RAN 和上游网络的数据包核心实例。 数据包核心负责在 UE 的 SIM 通过 RAN 进行连接以及从网络请求服务时对其进行身份验证。 它将策略应用于进出 UE 的最终数据流(例如,以便设置服务质量)。
  • RAN、数据包核心和上游网络基础结构必须通过以太网连接,以便可以相互传递 IP 流量。
  • 用于托管数据包核心的站点必须具有与 Internet(最低 100 Mbps)的持续高速连接,以便进行服务管理、遥测、诊断和升级。

设计专用移动网络

以下部分介绍需要考虑的网络元素,以及在准备部署网络时需要做出的设计决策。

拓扑

设计和实现本地网络是 AP5GC 部署的基础部分。 需要做出网络设计决策以支持 AP5GC 数据包核心和任何其他边缘工作负载。 本部分概述了在设计网络时应考虑的一些决策,并提供了一些示例网络拓扑。 下图显示了基本网络拓扑。

基本网络拓扑的示意图。

设计注意事项

在 Azure Stack Edge Pro GPU (ASE) 上部署时,AP5GC 使用物理端口 5 来访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点),并使用端口 6 访问核心数据(5G N6/4G SGi 参考点)。 如果配置了 6 个以上的数据网络,则端口 5 也用于访问核心数据。

AP5GC 支持在端口 5 和 6 上使用或不使用第 3 层路由器进行部署。 这对于避免在较小的边缘站点使用额外的硬件非常有用。

  • 可以直接(背靠背)或通过第 2 层交换机将 ASE 端口 5 连接到 RAN 节点。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 ASE 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 ASE 端口 6 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 ASE 端的网关。
  • 或者,也可以组合使用这些方法。 例如,可以将 ASE 端口 6 上的路由器与 ASE 端口 5 上的平面第 2 层网络配合使用。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 ASE 的配置。

在 Azure Stack Edge 2 (ASE 2) 上部署时,AP5GC 使用物理端口 3 来访问信号和数据(5G N2 和 N3 参考点/4G S1 和 S1-U 参考点),并使用端口 4 访问核心数据(5G N6/4G SGi 参考点)。 如果配置了 6 个以上的数据网络,则端口 3 也用于访问核心数据。

AP5GC 支持在端口 3 和 4 上使用或不使用第 3 层路由器进行部署。 这对于避免在较小的边缘站点使用额外的硬件非常有用。

  • 可以直接(背靠背)或通过第 2 层交换机将 ASE 端口 3 连接到 RAN 节点。 使用此拓扑时,必须将 eNodeB/gNodeB 地址配置为 ASE 网络接口上的默认网关。
  • 同样,可以通过第 2 层交换机将 ASE 端口 4 连接到核心网络。 使用此拓扑时,必须将子网上的应用程序或任意地址设置为 ASE 端的网关。
  • 或者,也可以组合使用这些方法。 例如,可以将 ASE 端口 4 上的路由器与 ASE 端口 3 上的平面第 2 层网络配合使用。 如果本地网络中存在第 3 层路由器,则必须将其配置为匹配 ASE 的配置。

除非数据包核心启用了网络地址转换 (NAT),否则必须为本地第 3 层网络设备配置到 UE IP 池的静态路由(通过相应附加数据网络的相应 N6 IP 地址来实现)。

示例网络拓扑

可通过多种方式设置网络以用于 AP5GC。 具体设置因你的需求和硬件而异。 本部分提供 ASE Pro GPU 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换 (NAT) 的第 3 层网络
    此网络拓扑将 ASE 连接到第 2 层设备,该设备提供与移动网络核心和接入网关(分别将 ASE 连接到数据网络和接入网络的路由器)的连接。 此拓扑最多支持 6 个数据网络。 此解决方案通常用于简化第 3 层路由。
    具有 N6 网络地址转换 (NAT) 的第 3 层网络的示意图。

  • 不具有网络地址转换 (NAT) 的第 3 层网络
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一个跃点地址。 与以前的解决方案一样,此拓扑最多支持 6 个数据网络。 不具有网络地址转换 (NAT) 的第 3 层网络的示意图。

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似于路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建一个第 2 层网络,其中 ASE 与数据网络和接入网络位于同一子网中。 如果你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代选项。 这要求在数据包核心上启用网络地址端口转换 (NAPT)。
    第 2 层网络的示意图。

  • 具有多个数据网络的第 3 层网络

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统 (DNS) 配置、UE IP 地址池、N6 IP 配置和 NAT。 运营商可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络一个子网或所有数据网络一个子网。 因此,此选项需要仔细规划和配置,以防止出现重叠的数据网络 IP 范围或 UE IP 范围。
      具有多个数据网络的第 3 层网络拓扑的示意图。

  • 具有 VLAN 和物理访问/核心分离的第 3 层网络

    • 也可以将 ASE 流量分离到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分割为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将位于 ASE 端口 5(接入网络)和/或 6(核心网络)的单个链路上,因此必须将每个链路配置为 VLAN Trunk。 具有 VLAN 的第 3 层网络拓扑的示意图。

  • 具有 7-10 个数据网络的第 3 层网络

    • 如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 ASE 端口 5 上部署额外的(最多 4 个)数据网络。 这需要一个共享交换机或路由器,用于同时承载接入和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。
    • 在同一端口上可以配置不超过 6 个数据网络。
    • 为了获得最佳性能,应在端口 6 上配置具有最高预期负载的数据网络。 具有 10 个数据网络的第 3 层网络拓扑的示意图。

可通过多种方式设置网络以用于 AP5GC。 具体设置因你的需求和硬件而异。 本部分提供 ASE Pro 2 硬件上的一些示例网络拓扑。

  • 具有 N6 网络地址转换 (NAT) 的第 3 层网络
    此网络拓扑将 ASE 连接到第 2 层设备,该设备提供与移动网络核心和接入网关(分别将 ASE 连接到数据网络和接入网络的路由器)的连接。 此拓扑最多支持 6 个数据网络。 此解决方案通常用于简化第 3 层路由。
    具有 N6 网络地址转换 (NAT) 的第 3 层网络的示意图。

  • 不具有网络地址转换 (NAT) 的第 3 层网络
    此网络拓扑是类似的解决方案,但必须将 UE IP 地址范围配置为数据网络路由器中的静态路由,并将 N6 NAT IP 地址配置为下一个跃点地址。 与以前的解决方案一样,此拓扑最多支持 6 个数据网络。 不具有网络地址转换 (NAT) 的第 3 层网络的示意图。

  • 平面第 2 层网络
    数据包核心不需要第 3 层路由器或任何类似于路由器的功能。 替代拓扑可以完全放弃使用第 3 层网关路由器,而是构建一个第 2 层网络,其中 ASE 与数据网络和接入网络位于同一子网中。 如果你不需要第 3 层路由时,此网络拓扑可能是一种更便宜的替代选项。 这要求在数据包核心上启用网络地址端口转换 (NAPT)。
    第 2 层网络的示意图。

  • 具有多个数据网络的第 3 层网络

    • AP5GC 最多可以支持 10 个附加的数据网络,每个网络都有自己的域名系统 (DNS) 配置、UE IP 地址池、N6 IP 配置和 NAT。 运营商可以根据一个或多个数据网络中的订阅来预配 UE,并应用数据网络特定的策略和服务质量 (QoS) 配置。
    • 此拓扑要求将 N6 接口拆分为每个数据网络一个子网或所有数据网络一个子网。 因此,此选项需要仔细规划和配置,以防止出现重叠的数据网络 IP 范围或 UE IP 范围。

    具有多个数据网络的第 3 层网络拓扑的示意图。

  • 具有 VLAN 和物理访问/核心分离的第 3 层网络

    • 也可以将 ASE 流量分离到 VLAN 中,无论是否选择将第 3 层网关添加到网络。 将流量分割为单独的 VLAN 有多种好处,包括更灵活的网络管理和增强的安全性。
    • 例如,可以为管理、访问和数据流量配置单独的 VLAN,或为每个附加的数据网络配置单独的 VLAN。
    • 必须在本地第 2 层或第 3 层网络设备上配置 VLAN。 多个 VLAN 将位于 ASE 端口 3(接入网络)和/或 4(核心网络)的单个链路上,因此必须将每个链路配置为 VLAN Trunk。

    具有 VLAN 的第 3 层网络拓扑的示意图。

  • 具有 7-10 个数据网络的第 3 层网络

    • 如果要部署 6 个以上的 VLAN 分隔数据网络,则必须在 ASE 端口 3 上部署额外的(最多 4 个)数据网络。 这需要一个共享交换机或路由器,用于同时承载接入和核心流量。 VLAN 标记可以根据需要分配给 N2、N3 和每个 N6 数据网络。
    • 在同一端口上可以配置不超过 6 个数据网络。
    • 为了获得最佳性能,应在端口 4 上配置具有最高预期负载的数据网络。

    具有 10 个数据网络的第 3 层网络拓扑的示意图。

子网和 IP 地址

可以在企业站点上使用专用手机网络必须与其集成的现有 IP 网络。 例如,这可能意味着:

  • 为 AP5GC 选择与现有子网匹配的且不导致地址冲突的 IP 子网和 IP 地址。
  • 通过 IP 路由器隔离新网络,或者为子网使用专用 RFC 1918 地址空间。
  • 分配一个 IP 地址池,专门供 UE 在连接到网络时使用。
  • 在数据包核心本身或上游网络设备(例如边界路由器)上使用网络地址和端口转换 (NAPT)。
  • 通过选择可以最大程度地减少分段的最大传输单元 (MTU) 来优化网络性能。

需要记录用于部署的 IPv4 子网,并议定用于解决方案中每个元素的 IP 地址,以及在 UE 连接时要为其分配的 IP 地址。 需要在企业站点上部署(或配置现有的)路由器和防火墙以允许传输流量。 还应该议定在网络中如何以及在何处进行任何 NAPT 或 MTU 更改,并规划相关的路由器/防火墙配置。 有关详细信息,请参阅完成部署专用移动网络的先决条件任务

高可用性 (HA)

可以选择在一对 Azure Stack Edge (ASE) 设备上将 Azure 专用 5G 核心部署为高可用性 (HA) 服务。 这要求在 ASE 群集和以下设备之间部署网关路由器(严格而言,是具有第 3 层功能的设备 - 路由器或 L3 交换机(路由器/交换机混合)):

  • 访问网中的 RAN 设备。
  • 数据网络。

有关详细信息,请参阅完成部署专用移动网络的先决条件任务

网络访问

设计必须反映企业中有关专用 5G 网络上的 RAN 和 UE 应可访问哪些网络和资产的规则。 例如,可以允许它们访问本地域名系统 (DNS)、动态主机配置协议 (DHCP)、Internet 或 Azure,但不允许访问工厂运营局域网 (LAN)。 可能需要安排对网络的远程访问,以便无需莅临现场即可排查问题。 还需要考虑企业站点如何连接到上游网络(例如 Azure)以进行管理,和/或访问企业站点外部的其他资源和应用程序。

需要与企业团队达成一致,确定允许哪些 IP 子网和地址相互通信。 然后,创建路由计划和/或访问控制列表 (ACL) 配置,以便在本地 IP 基础结构上实现此协议。 还可以使用虚拟局域网 (VLAN) 将第 2 层的元素分区,配置交换结构以将连接的端口分配到特定的 VLAN(例如,将用于 RAN 访问的 Azure Stack Edge 端口放入连接到以太网交换机的 RAN 单元所在的同一 VLAN 中)。 还应该与企业议定如何设置访问机制,例如虚拟专用网络 (VPN),以便支持人员能够远程连接到解决方案中每个元素的管理接口。 还需要在 Azure 专用 5G 核心和 Azure 之间建立 IP 链路,以便进行管理和遥测。

RAN 合规性

用于在整个企业站点中广播信号的 RAN 必须符合当地法规。 例如,这可能意味着:

  • RAN 单元已完成鉴定过程,相关国家/地区监管部门已批准在特定频段上使用它们。
  • 已获得 RAN 在特定位置使用频谱进行广播的许可,例如,已获得电信运营商、监管机构的授权,或已通过频谱接入系统 (SAS) 等技术解决方案获得授权。
  • 站点中的 RAN 单元可以访问高精度计时源,例如精确时间协议 (PTP) 和 GPS 定位服务。

应该向 RAN 合作伙伴询问 RAN 已批准用于哪些国家/地区和频段。 可能需要与多家 RAN 合作伙伴合作才能在多个国家/地区提供你的解决方案。 尽管 RAN、UE 和数据包核心都使用标准协议通信,但我们建议先对 Azure 专用 5G 核心、UE 和 RAN 之间的特定 4G 长期演进 (LTE) 或 5G 独立 (SA) 协议执行互操作性测试,然后才在企业客户场地进行任何部署。

RAN 将在其配置使用的频带上向所有 UE 传输公共陆地移动网络标识 (PLMN ID)。 应该定义 PLMN ID 并确认对频谱的访问。 在某些国家/地区,必须从国家/地区监管机构或负责的电信运营商获得频谱。 例如,如果你使用的是第 48 频段公民宽带无线电服务 (CBRS) 频谱,可能需要与 RAN 合作伙伴合作在企业站点上部署频谱接入系统 (SAS) 域代理,以便 RAN 可以连续检查它是否已获得广播授权。

最大传输单元 (MTU)

最大传输单元 (MTU) 是 IP 链路的一个属性,它是在链路每一端的接口上配置的。 超过接口的已配置 MTU 的数据包在发送之前将通过 IPv4 分段拆分为较小的数据包,然后在其目标位置重新组合。 但是,如果接口的已配置 MTU 高于链路支持的 MTU,则数据包将无法正确传输。

为了避免 IPv4 分段造成的传输问题,4G 或 5G 数据包核心会指示 UE 应该使用哪个 MTU。 但是,UE 并不始终遵守数据包核心指示的 MTU。

来自 UE 的 IP 数据包通过隧道从 RAN 传输,这增加了封装开销。 因此,UE 的 MTU 值应小于 RAN 和数据包核心之间使用的 MTU 值,以避免传输问题。

RAN 预先配置的 MTU 通常为 1500。 数据包核心的默认 UE MTU 为 1440 字节,这可以控制封装开销。 这些值可以最大程度地提高 RAN 互操作性,但风险是某些 UE 不会遵守默认 MTU,并且会生成较大的数据包,而这些数据包需要进行 IPv4 分段,并可能会被网络丢弃。 如果你受到此问题的影响,强烈建议将 RAN 配置为使用 1560 或更高的 MTU,这样就能允许足够高的封装开销,并避免使用标准 MTU 值 1500 在 UE 中进行分段。

还可以更改数据包核心指示的 UE MTU。 建议将 MTU 设置为 UE 支持的范围内的值(比 RAN 指示的 MTU 低 60 字节)。 请注意:

  • 数据网络 (N6) 会自动更新,以匹配 UE MTU。
  • 接入网络 (N3) 会自动更新,以匹配 UE MTU + 60。
  • 可以配置介于 1280 到 1930 字节之间的值。

若要更改数据包核心发出信号的 UE MTU,请参阅“修改数据包核心实例”

信号覆盖

UE 必须能够从站点中的任何位置与 RAN 通信。 这意味着信号必须在环境中有效传播(包括在有障碍物和设备干扰的情况下),以支持 UE 在站点中四处移动(例如,在室内和室外区域之间)。

应该与 RAN 合作伙伴和企业一起执行现场调查,以确保覆盖范围足够。 确保了解 RAN 单元在不同环境中的功能和任何限制(例如,单个单元可以支持的连接 UE 数量)。 如果 UE 要在站点中四处移动,则你还应确认 RAN 支持 X2 (4G) 或 Xn (5G) 切换,这样,UE 就可以在两个 RAN 单元提供的覆盖范围之间无缝转换。 如果 RAN 不支持 X2 (4G) 或 Xn (5G),则 RAN 必须支持 S1 (4G) 和 N2 (5G) 才能实现 UE 移动性。 请注意,UE 不能使用这些切换技术在专用企业网络和电信运营商提供的公共手机网络之间漫游。

SIM

每个 UE 必须向网络提供一个标识,该标识已在订阅者标识模块 (SIM) 中编码。 SIM 有不同的物理外形规格,并采用纯软件格式 (eSIM)。 SIM 上编码的数据必须与 RAN 的配置以及 Azure 专用 5G 核心中预配的标识数据相匹配。

获取外形规格与 UE 兼容的,并已使用要用于部署的 PLMN ID 和密钥进行编程的 SIM。 物理 SIM 在开放市场中以相对较低的价格广泛提供。 如果你偏好使用 eSIM,则需要部署所需的 eSIM 配置和预配基础结构,以便 UE 可以在连接到手机网络之前进行自我配置。 可以使用从 SIM 合作伙伴获得的预配数据在 Azure 专用 5G 核心中预配匹配的条目。 由于 SIM 数据必须保持安全,用于预配 SIM 的加密密钥一经设置就无法读取,因此必须考虑如何存储它们,以便今后在 Azure 专用 5G 核心中重新预配数据时能够使用它们。

自动化和集成

使用自动化和其他编程技术构建企业网络可以节省时间、减少错误并产生更好的结果。 发生需要重建网络的站点故障时,这些技术还能提供恢复路径。

建议采用编程式的基础结构即代码方法来进行部署。 可以在模板或 Azure REST API 中,使用参数作为输入并提供在项目设计阶段收集的值来构建部署。 应该以机器可读的格式保存预配信息(例如 SIM 数据、交换机/路由器配置和网络策略),以便在出现故障时,可以按照与最初相同的方式重新应用配置。 在故障后进行恢复的另一种最佳做法是部署一个备用的 Azure Stack Edge 服务器,以便在第一个单元出现故障时最大程度地减少恢复时间;然后,可以使用保存的模板和输入来快速重新创建部署。 有关使用模板部署网络的详细信息,请参阅快速入门:部署专用移动网络和站点 - ARM 模板

还必须考虑如何将其他 Azure 产品和服务与专用企业网络集成。 这些产品包括 Microsoft Entra ID基于角色的访问控制 (RBAC),必须在其中考虑租户、订阅和资源权限将如何与你和企业之间存在的业务模型保持一致,以及你自己的客户系统管理方法。 例如,可以使用 Azure 蓝图来设置最适合你的组织的订阅和资源组模型。

后续步骤