Compartir a través de

Configuración del reenvío interno de UE para Azure Private 5G Core: Azure Portal

  • Artículo

Azure Private 5G Core permite que el tráfico fluya entre equipos de usuario (UE) conectados a la misma red de datos para permanecer dentro de esa red. Esto se denomina reenvío interno entre las UE. El reenvío interno entre las UE minimiza la latencia y maximiza la seguridad y la privacidad del tráfico UE-UE. Puede habilitar o deshabilitar este comportamiento mediante directivas SIM.

Si usa el servicio Predeterminado y la directiva sim allow-all, se habilitará el reenvío interno. Si usa una directiva más restrictiva, es posible que tenga que habilitar el reenvío interno.

Si usa el servicio predeterminado y la directiva sim de permitir todos y desea deshabilitar el reenvío interno, ya sea porque usa una puerta de enlace externa o porque no desea que los UE se comuniquen entre sí, puede crear un servicio para hacerlo y, a continuación, aplicarlo a la directiva de SIM allow-all.

Requisitos previos

Creación de un servicio para permitir el reenvío interno

En este paso, crearemos un servicio que permita que el tráfico etiquetado con la dirección remota en el intervalo configurado para UE (10.20.0.0.0/16, en este ejemplo) fluya en ambas direcciones.

Para crear el servicio:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione el recurso de red móvil que representa la red móvil privada.

    Screenshot of the Azure portal showing the results for a search for a Mobile Network resource.

  3. En el menú Recurso, seleccione Servicios.

    Screenshot of the Azure portal showing the Services option in the resource menu of a Mobile Network resource.

  4. En la barra de comandos, seleccione Crear.

    Screenshot of the Azure portal showing the Create option in the command bar.

  5. Ahora especificaremos valores para definir las características de QoS que se aplicarán a los flujos de datos del servicio (SDF) que coincidan con este servicio. En la pestaña Datos básicos, rellene los campos como se indica a continuación.

    Campo Valor
    Nombre del servicio service_allow_internal_forwarding
    Prioridad del servicio 200
    Velocidad máxima de bits (MBR): vínculo superior 2 Gbps
    Velocidad máxima de bits (MBR): vínculo descendente 2 Gbps
    Nivel de prioridad de asignación y retención 2
    5QI/QCI 9
    Funcionalidad de adelantamiento Seleccione May not preempt (No se puede adelantar).
    Vulnerabilidad de adelantamiento Seleccione No preferente.

  6. En Data flow policy rules (Reglas de directiva de flujo de datos), seleccione Add a policy rule (Agregar una regla de directiva).

  7. Ahora crearemos una regla de directiva de flujo de datos que permita los paquetes que coincidan con la plantilla de flujo de datos que configuraremos en el paso siguiente. En Add a policy rule (Agregar una regla de directiva) a la derecha, rellene los campos como se muestra a continuación.

    Campo Valor
    Nombre de regla rule_allow_internal_forwarding
    Prioridad de la regla de directiva Seleccione 200.
    Permitir el tráfico Seleccione Habilitado.

  8. Ahora crearemos una plantilla de flujo de datos que coincida con los paquetes que fluyen hacia o lejos de las UE en la versión 10.20.0.0/16, de modo que se puedan permitir mediante rule_allow_internal_forwarding. En Data flow templates (Plantillas de flujo de datos), seleccione Add a data flow template (Agregar una plantilla de flujo de datos). En el elemento emergente Add a data flow template (Agregar una plantilla de flujo de datos), rellene los campos como se indica a continuación.

    Campo Valor
    Nombre de plantilla internal_forwarding
    Protocolos Seleccione Todos.
    Dirección Seleccione Bidireccional.
    IP remotas 10.20.0.0/16
    Puertos déjelo en blanco.

  9. Seleccione Agregar.

  10. En la pestaña Configuración básica, seleccione Revisar y crear.

  11. Seleccione Crear para crear el servicio.

  12. Azure Portal mostrará la siguiente pantalla de confirmación cuando se haya creado el servicio. Seleccione Ir al recurso para ver el nuevo recurso de servicio.

    Screenshot of the Azure portal showing the successful deployment of a service and the Go to resource button.

  13. Confirme que las características de QoS, las reglas de directiva del flujo de datos y las plantillas de flujo de datos del servicio que aparecen en la parte inferior de la pantalla están configuradas según lo previsto.

Creación de un servicio para bloquear el reenvío interno

En este paso, crearemos un servicio que bloquee el tráfico etiquetado con la dirección remota en el intervalo configurado para UE (10.20.0.0.0/16, en este ejemplo) en ambas direcciones.

Para crear el servicio:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione el recurso de red móvil que representa la red móvil privada.

    Screenshot of the Azure portal showing the results for a search for a Mobile Network resource.

  3. En el menú Recurso, seleccione Servicios.

    Screenshot of the Azure portal showing the Services option in the resource menu of a Mobile Network resource.

  4. En la barra de comandos, seleccione Crear.

    Screenshot of the Azure portal showing the Create option in the command bar.

  5. Escriba los valores para definir las características de QoS que se aplicarán a los flujos de datos de servicio (SDF) que coincidan con este servicio. En la pestaña Datos básicos, rellene los campos como se indica a continuación.

    Campo Valor
    Nombre del servicio service_block_internal_forwarding
    Prioridad del servicio 200
    Velocidad máxima de bits (MBR): vínculo superior 2 Gbps
    Velocidad máxima de bits (MBR): vínculo descendente 2 Gbps
    Nivel de prioridad de asignación y retención 2
    5QI/QCI 9
    Funcionalidad de adelantamiento Seleccione May not preempt (No se puede adelantar).
    Vulnerabilidad de adelantamiento Seleccione No preferente.

    Importante

    La prioridad del servicio debe ser un valor menor que cualquier servicio en conflicto (por ejemplo, un servicio "permitir todo"). Los servicios se coinciden con el tráfico en orden de prioridad.

  6. En Data flow policy rules (Reglas de directiva de flujo de datos), seleccione Add a policy rule (Agregar una regla de directiva).

  7. Ahora crearemos una regla de directiva de flujo de datos que bloquee los paquetes que coincidan con la plantilla del flujo de datos que configuraremos en el paso siguiente. En Add a policy rule (Agregar una regla de directiva) a la derecha, rellene los campos como se muestra a continuación.

    Campo Valor
    Nombre de regla rule_block_internal_forwarding
    Prioridad de la regla de directiva Seleccione 200.
    Permitir el tráfico Seleccione Bloqueado.

  8. Ahora crearemos una plantilla de flujo de datos que coincida con los paquetes que fluyen hacia o lejos de las UE en la versión 10.20.0.0/16, de modo que se puedan bloquear mediante rule_block_internal_forwarding. En Data flow templates (Plantillas de flujo de datos), seleccione Add a data flow template (Agregar una plantilla de flujo de datos). En el elemento emergente Add a data flow template (Agregar una plantilla de flujo de datos), rellene los campos como se indica a continuación.

    Campo Valor
    Nombre de plantilla internal_forwarding
    Protocolos Seleccione Todos.
    Dirección Seleccione Bidireccional.
    IP remotas 10.20.0.0/16
    Puertos déjelo en blanco.

  9. Seleccione Agregar.

  10. En la pestaña Configuración básica, seleccione Revisar y crear.

  11. Seleccione Crear para crear el servicio.

  12. Azure Portal mostrará la siguiente pantalla de confirmación cuando se haya creado el servicio. Seleccione Ir al recurso para ver el nuevo recurso de servicio.

    Screenshot of the Azure portal showing the successful deployment of a service and the Go to resource button.

  13. Confirme que las características de QoS, las reglas de directiva del flujo de datos y las plantillas de flujo de datos del servicio que aparecen en la parte inferior de la pantalla están configuradas según lo previsto.

Modificación de una directiva SIM existente para asignar el nuevo servicio

En este paso, asignaremos el nuevo servicio (service_allow_internal_forwarding o service_block_internal_forwarding) a una directiva SIM existente.

  1. Busque la directiva SIM configurada para las UE.

    Screenshot of the Azure portal showing the SIM policies option in the resource menu of a Mobile Network resource.

  2. Seleccione la directiva sim que desea modificar y seleccione Modificar la directiva sim seleccionada.

    Screenshot of the Azure portal showing the modify SIM policies option.

  3. Seleccione Modificar ámbito de red para el segmento existente y la red de datos configurada para los UE.

  4. En Configuración del servicio, agregue el nuevo servicio.

  5. Seleccione Modificar.

  6. Seleccione Asignar a SIM.

  7. Seleccione Revisar y modificar.

  8. Revise la directiva sim actualizada y compruebe que la configuración es la esperada.

    • La configuración de nivel superior de la directiva de SIM se muestra en el encabezado Información esencial.
    • La configuración del ámbito de red se muestra en el encabezado Ámbito de red, incluidos los servicios configurados en Configuración del servicio y la calidad de servicio en Calidad de servicio (QoS).

Pasos siguientes