Configurar a rede do Azure Private 5G Core para acessar endereços IP da UE

O AP5GC (Azure Private 5G Core) oferece uma rede segura e confiável para as necessidades de comunicação da sua organização. Para acessar os endereços IP de UE (equipamento do usuário) a partir da DN (rede de dados), você precisa configurar regras de firewall, rotas e outras definições. Este artigo guiará você pelas etapas e considerações necessárias.

Pré-requisitos

Antes de começar, você precisa ter:

• Acesso ao Azure Private 5G Core por meio do portal do Azure.
• Conhecimento da topologia de rede da sua organização.
• Um AP5GC com NAPT (conversão de porta de endereços de rede) desabilitado.

  Importante

  O uso de uma implantação com a NAPT habilitada só funciona se o UE iniciar o contato com o servidor e este conseguir diferenciar os clientes de UE usando uma combinação de endereço IP e porta.
  Se o servidor tentar iniciar o contato ou tentar contatar um UE após o tempo limite do pinhole, a conexão falhará.

• Acesso a todos os dispositivos de rede necessários para configuração (por exemplo, roteadores, firewalls, comutadores, proxies).
• Capacidade de capturar rastreamentos de pacotes em diferentes pontos da sua rede.

Como configurar o acesso aos endereços IP de UE

1. Determine os endereços IP dos dispositivos que deseja acessar a partir da rede de dados. Esses endereços IP pertencem ao pool de IP definido na criação do site.
   Você pode ver os endereços IP para dispositivos ao
   • verificar o rastreamento distribuído,
   • verificar as capturas de pacotes durante a conexão e criação de sessão pelo dispositivo,
   • ou usando ferramentas integradas para o UE (por exemplo, linha de comando ou interface do usuário).
2. Confirme se o dispositivo cliente que você está usando pode acessar o UE por meio do AP5GC N6 (em uma implantação 5G) ou SGi (em uma implantação 4G).
   • Se o cliente estiver na mesma sub-rede da interface AP5GC N6/SGi, o dispositivo cliente deverá ter uma rota para a sub-rede do UE e o próximo salto deverá ser para o endereço IP N6/SGi que pertence ao DNN (nome da rede de dados) atribuído ao UE.
   • Caso contrário, se houver um roteador ou firewall entre o cliente e o AP5GC, a rota para a sub-rede do UE deverá usar o roteador ou o firewall como o próximo salto.
3. Garanta que o tráfego do dispositivo cliente destinado ao UE alcance a interface de rede do AP5GC N6.
   1. Verifique cada firewall entre o endereço N6 e o endereço IP do dispositivo cliente.
   2. Confirme se o tipo de tráfego esperado entre o dispositivo cliente e o UE é permitido pelo firewall.
   3. Repita para portas TCP/UDP, endereços IP e protocolos necessários.
   4. Certifique-se de que o firewall tenha rotas para encaminhar o tráfego destinado ao endereço IP do UE para o endereço IP da interface N6.
4. Configure as rotas apropriadas nos seus roteadores para garantir que o tráfego da rede de dados seja direcionado para os endereços IP de destino corretos na rede RAN.
5. Teste a configuração para garantir que é possível acessar os endereços IP do UE a partir da rede de dados.

Exemplo

• UE: uma câmera inteligente que pode ser acessada usando HTTPS. O UE está usando o AP5GC para enviar informações para o servidor gerenciado de um operador.
• Topologia de rede: a rede N6 possui um firewall separando-a da rede corporativa segura e da internet.
• Requisito: a partir da infraestrutura de TI do operador, seja possível entrar na câmera inteligente usando HTTPS.

Solução

1. Implante o AP5GC com a NAPT desabilitada.
2. Adicione regras ao firewall corporativo para permitir o tráfego HTTPS da rede corporativa para o endereço IP da câmera inteligente.
3. Adicione configurações de roteamento ao firewall. Encaminhe o tráfego destinado ao endereço IP da câmera inteligente para o endereço IP N6 associado ao nome DN atribuído ao UE na implantação do AP5GC.
4. Verifique os fluxos de tráfego pretendidos para as interfaces N3 e N6.
   1. Capture pacotes simultaneamente nas interfaces N3 e N6.
   2. Verifique o tráfego na interface N3.
      1. Verifique a captura de pacotes para o tráfego esperado que chega à interface N3 do UE.
      2. Verifique a captura de pacotes para o tráfego esperado que sai da interface N3 em direção ao UE.
   3. Verifique o tráfego na interface N6.
      1. Verifique a captura de pacotes para o tráfego esperado que chega à interface N6 do UE.
      2. Verifique a captura de pacotes para o tráfego esperado que sai da interface N6 em direção ao UE.
5. Capture pacotes para verificar se o firewall está recebendo e enviando tráfego destinado à câmera inteligente e ao dispositivo cliente.

Resultado

A rede do Azure Private 5G Core pode acessar endereços IP do UE da rede de dados.