李朝陽 中國電信股份有限公司江西分公司 江西省南昌市 330000

胡鵬飛 周輝福 江西省郵電規(guī)劃設(shè)計院有限公司 江西省南昌市 330002

0 引言

為應(yīng)對未來不斷涌現(xiàn)的各類新業(yè)務(wù)和應(yīng)用場景，同時與行業(yè)深度融合，推動社會經(jīng)濟數(shù)字化轉(zhuǎn)型，各通信運營商都啟動了5G SA網(wǎng)絡(luò)的建設(shè)及商用。綜合利用5G、物聯(lián)網(wǎng)、邊緣計算和大數(shù)據(jù)等技術(shù)，基于客戶需要建設(shè)5G定制專網(wǎng)，實現(xiàn)5G與企業(yè)內(nèi)網(wǎng)的深度融合，提升企業(yè)在安全、環(huán)保、質(zhì)量和經(jīng)營等方面的管理水平，成為5G商用以來的新的課題。本文結(jié)合用戶數(shù)據(jù)不出工業(yè)園區(qū)的具體案例，探討相應(yīng)的5G定制專網(wǎng)部署方案和安全策略的研究。

1 5G定制專網(wǎng)建設(shè)原則

1.1 總體原則

5G定制專網(wǎng)某運營商采用大區(qū)集約管理、省級集中控制的方式，按需構(gòu)建多級2B業(yè)務(wù)轉(zhuǎn)發(fā)面，形成“2+31”5G定制專網(wǎng)框架結(jié)構(gòu)。

在集約層面，為滿足物聯(lián)類等有明確集約管理要求的2B業(yè)務(wù)需求，在sysynsyny核心城市部署5G定制專網(wǎng)集約節(jié)點，包括數(shù)據(jù)面網(wǎng)元UDM和部分信令面網(wǎng)元（PCF、NRF、SCP），滿足用戶數(shù)據(jù)、業(yè)務(wù)策略統(tǒng)一集約管理。

在省層面，分省部署控制面和用戶面網(wǎng)元，2B/2C統(tǒng)籌規(guī)劃與資源復(fù)用，充分發(fā)揮云網(wǎng)融合的優(yōu)勢，實現(xiàn)資源池化共享、彈性伸縮，在滿足初期2B客戶和業(yè)務(wù)需求的基礎(chǔ)上，節(jié)省投資。后期隨著用戶規(guī)模的增長，根據(jù)方便網(wǎng)絡(luò)維護管理等需求，逐步考慮獨立2B網(wǎng)元。

在轉(zhuǎn)發(fā)層面，依據(jù)客戶需求和業(yè)務(wù)要求，轉(zhuǎn)發(fā)面UPF按需下沉到地市級和園區(qū)級部署，形成轉(zhuǎn)發(fā)面分級結(jié)構(gòu)。

1.2 UPF下沉部署原則

省級UPF主要承載省內(nèi)允許數(shù)據(jù)出園區(qū)的2B服務(wù)，以及有4G/5G互操作需求和跨多地市需求的2B業(yè)務(wù)；地市級UPF主要承載地市級允許數(shù)據(jù)出園區(qū)的2B服務(wù)；園區(qū)級主要承載明確數(shù)據(jù)管控要求的2B業(yè)務(wù)。

在5G定制專網(wǎng)中，UPF下沉部署原則和具體要求如下：

（1）地市級UPF部署

◎ 針對2B業(yè)務(wù)規(guī)模發(fā)展迅速的區(qū)域，如果由傳輸時延導(dǎo)致業(yè)務(wù)發(fā)展瓶頸，可考慮選取配套設(shè)施完善的地市部署UPF；

◎ 依據(jù)端到端時延測試結(jié)果，對比2B業(yè)務(wù)時延要求，作為UPF是否下沉部署地市級的重要依據(jù)；

◎ 綜合評估部署成本、運維難度、配套條件等多重因素，重點關(guān)注投資效益。

（2）園區(qū)級UPF部署

◎ 針對明確數(shù)據(jù)管控需求的業(yè)務(wù)，可考慮下沉部署園區(qū)級UPF；

◎ 考慮運維和可管可控要求，建議將UPF部署在運營商機房；

◎ 根據(jù)客戶需求，進行容災(zāi)部署；

◎ 網(wǎng)絡(luò)與信息安全方面，園區(qū)級UPF與省級UPF同等要求；

◎ 綜合評估客戶要求、部署成本、運維難度、配套條件、終端成本等多重因素，重點關(guān)注投資效益。

1.3 5G定制專網(wǎng)優(yōu)勢

5G定制專網(wǎng)是“網(wǎng)定制、邊智能、云協(xié)同、應(yīng)用隨選”融合協(xié)同的綜合解決方案，是為行業(yè)客戶打造的一體化定制融合服務(wù)，實現(xiàn)“云網(wǎng)一體、按需定制”。

5G 2B定制專網(wǎng)控制面采用集中部署和服務(wù)化架構(gòu)，以虛擬化為實現(xiàn)方式，實現(xiàn)彈性擴縮容和網(wǎng)絡(luò)切片功能；用戶面下沉到各省、各地市和用戶近端，實現(xiàn)流量就近引導(dǎo)和邊緣計算。專網(wǎng)還可為行業(yè)客戶部署專屬無線接入和專屬虛擬化網(wǎng)絡(luò)，提供業(yè)務(wù)隔離和數(shù)據(jù)安全服務(wù)，助力行業(yè)數(shù)字化轉(zhuǎn)型升級。

其部署的5G SA核心網(wǎng)為4/5G融合設(shè)備，可支持5G用戶回落從4G基站接入。當(dāng)5G用戶從4G基站接入時，由MME負責(zé)識別并選擇5G融合網(wǎng)元負責(zé)處理5G用戶的業(yè)務(wù)，保持UPF/GW-C錨點不變，媒體流通過4G基站直連UPF/GW-C，不經(jīng)EPC SGW繞轉(zhuǎn)。這種網(wǎng)絡(luò)優(yōu)勢可以彌補5G建設(shè)初期無線網(wǎng)絡(luò)覆蓋不足問題，保障用戶業(yè)務(wù)不中斷，提升用戶使用感知。

2 園區(qū)5G定制網(wǎng)部署方案

現(xiàn)結(jié)合一個案例，具體分析數(shù)據(jù)不出園區(qū)的5G定制專網(wǎng)部署方案。下面這個案例是江西某縣的一個結(jié)合5G的化工行業(yè)數(shù)據(jù)孿生工業(yè)互聯(lián)網(wǎng)工程的應(yīng)用。

2.1 需求分析

（1）時延要求

客戶提出的需求中，有以實時數(shù)據(jù)監(jiān)控為基礎(chǔ)的大帶寬、低時延特性需求，如無人機巡檢、機器視覺安防監(jiān)測等，時延要求一般為10~50ms。

（2）部署地點要求

客戶要求數(shù)據(jù)不出園區(qū)，并要求核心網(wǎng)轉(zhuǎn)發(fā)物理設(shè)備也要部署在客戶園區(qū)內(nèi)。

（3）容災(zāi)要求

客戶暫未提出容災(zāi)備份需求，可接受一定時間內(nèi)的業(yè)務(wù)中斷，系統(tǒng)可用度99.9%（業(yè)務(wù)中斷時長一年內(nèi)可為8.76小時）。

2.2 UPF下沉部署方案

UPF是5G核心網(wǎng)的轉(zhuǎn)發(fā)面，隨著5G SA網(wǎng)絡(luò)商用，5G核心網(wǎng)轉(zhuǎn)發(fā)面UPF可以下沉，以縮短時延，并可根據(jù)用戶需要，在地理位置上貼近用戶，實現(xiàn)數(shù)據(jù)不出園區(qū)的需要。2B UPF部署方案主要有三類：

（1）省中心共享UPF；

（2）下沉地市級共享UPF；

（3）下沉園區(qū)級獨享UPF。

由于客戶要求物理設(shè)備不能出園區(qū)，UPF下沉部署只能按照在客戶園區(qū)部署考慮。通過下沉園區(qū)級獨享UPF，將生產(chǎn)終端與辦公終端等內(nèi)網(wǎng)5G業(yè)務(wù)流量分流到客戶企業(yè)信息化網(wǎng)絡(luò)，實現(xiàn)數(shù)據(jù)不出園區(qū)。

UPF下沉部署在園區(qū)，客戶內(nèi)網(wǎng)數(shù)據(jù)路由為三種2B UPF部署方案中最短的方案，因而可滿足客戶的時延要求。由于客戶無容災(zāi)需求，只部署一套下沉園區(qū)級UPF；如后期客戶有容災(zāi)需求，且有投資效益，可按1+1備份方式再部署一套UPF。

圖1 2B UPF下沉園區(qū)典型組網(wǎng)架構(gòu)

2.3 時延測試分析

為了滿足業(yè)務(wù)對時延的要求，對該客戶的UPF下沉前后的時延進行了多次測試分析，主要測試數(shù)據(jù)及分析情況如下。

（1）時延測試情況

①通過下沉園區(qū)級UPF訪問園區(qū)服務(wù)器：最短6ms，最高15ms，平均10ms；

②通過園區(qū)公網(wǎng)訪問園區(qū)服務(wù)器（即通過省中心UPF訪問園區(qū)服務(wù)器）：最短26ms，最高51ms，平均28ms。

圖2 時延測試數(shù)據(jù)所經(jīng)網(wǎng)元連接示意圖

（2）進一步時延測試

由于2種方式測試時延相差較大，針對通過園區(qū)公網(wǎng)訪問園區(qū)服務(wù)器（即通過省中心UPF訪問園區(qū)服務(wù)器）的方式進行了進一步的時延測試，如下表所示。

?

（3）時延測試分析

通過時延測試發(fā)現(xiàn)，UPF未下沉?xí)r用戶報文需要經(jīng)基站、承載網(wǎng)、核心網(wǎng)、骨干網(wǎng)及城域網(wǎng)再到達客戶園區(qū)服務(wù)器， UPF下沉以后本地可以直達，縮短了報文傳輸?shù)木嚯x和跳數(shù)，明顯減少了時延；因此，UPF貼近客戶側(cè)部署有助于明顯改善數(shù)據(jù)時延。

5G網(wǎng)絡(luò)主要用于滿足客戶低時延、大帶寬業(yè)務(wù)需求，而UPF貼近客戶側(cè)部署可降低時延，并且可控制帶寬需求在較小范圍的網(wǎng)絡(luò)內(nèi)；因此，UPF貼近客戶側(cè)部署將是大勢所趨。

2.4 分流方案

基于下沉部署的邊緣UPF，園區(qū)生產(chǎn)及工作終端的業(yè)務(wù)數(shù)據(jù)在本地進行分流和處理，避免了流量在省中心層面核心網(wǎng)的迂回，既減少了業(yè)務(wù)傳輸時延，又滿足數(shù)據(jù)安全性和隔離性需求。

圖3 園區(qū)UPF分流示意圖

針對園區(qū)特殊終端業(yè)務(wù)數(shù)據(jù)不出園的場景，如工業(yè)控制、視頻監(jiān)控等，采用專用DNN方案實現(xiàn)本地業(yè)務(wù)分流，分流架構(gòu)如下：

圖4 專用DNN分流架構(gòu)圖

園區(qū)生產(chǎn)及工作終端（UE）號卡在5G網(wǎng)絡(luò)簽約專用DNN（如CTmec/xx.xx.iot），實現(xiàn)用戶PDU會話直接建立錨定在邊緣UPF，終端通過邊緣UPF直接訪問MEC平臺及企業(yè)內(nèi)網(wǎng)，從而不直接接入Internet。傳統(tǒng)大網(wǎng)用戶簽約 Internet DNN（如CTnet），業(yè)務(wù)訪問走省中心UPF訪問Internet。

3 下沉園區(qū)級UPF安全策略

UPF網(wǎng)元下沉，尤其是下沉到園區(qū)，部署在客戶端對5GC的信息安全防護帶來了很大的挑戰(zhàn)和困難。由于5GC信息安全是個較大的課題，本文僅對下沉園區(qū)級UPF的相關(guān)安全策略進行初步研究。

3.1 下沉UPF設(shè)置機房要求

根據(jù)5G定制專網(wǎng)建設(shè)原則，考慮運維和可管可控要求，建議將UPF部署在運營商機房。

如UPF設(shè)置機房為客戶機房，建議UPF設(shè)置在客戶的獨立機房，該機房由運營商直接管理，機房內(nèi)部所有設(shè)備由運營商維護，機房動環(huán)、門禁系統(tǒng)由運營商管理，只有經(jīng)運營商授權(quán)，其他人員方可進入機房，沒有運營商人員陪同情況下，外部人員不得進入機房。

3.2 下沉UPF安全策略

下沉UPF是5GC與客戶應(yīng)用平臺交互的重要通道，針對其自身安全防護策略，主要包括但不限于以下要求。

（1）UPF系統(tǒng)安全

a）安全域隔離功能

下沉園區(qū)級UPF和園區(qū)數(shù)據(jù)中心之間、和IPRAN承載網(wǎng)之間，通過防火墻進行隔離，保障園區(qū)數(shù)據(jù)中心、5GC的安全。

UPF可對管理域、核心網(wǎng)絡(luò)域、無線接入域等進行VLAN劃分隔離。UPF的數(shù)據(jù)面與信令面、管理面互相隔離。

b）TEID的唯一性

TEID由UPF分配，UPF保證所分配的TEID唯一。

c）用戶數(shù)據(jù)的加密

UPF可保證N3口傳輸?shù)挠脩魯?shù)據(jù)的完整性、機密性和防重放攻擊。

d）信令數(shù)據(jù)安全

UPF可對N4口傳輸信令進行機密性和完整性保護。（2）UPF業(yè)務(wù)安全

a）防DDoS等網(wǎng)絡(luò)攻擊

UPF可對DDoS攻擊進行防范，可配置包過濾規(guī)則（訪問控制列表）并據(jù)此對終端數(shù)據(jù)報文進行過濾。b）協(xié)議控制功能

UPF具備協(xié)議控制功能，允許禁止特定協(xié)議報文進入5GC網(wǎng)絡(luò)，以保證網(wǎng)絡(luò)的安全，該功能可通過防火墻實現(xiàn)。

c）UPF流量控制

包括信令和用戶面數(shù)據(jù)流量的控制：

UPF對發(fā)送給SMF的信令流量及從SMF接收的信令流量進行限速以防發(fā)生DDoS攻擊。

UPF對來自UE的及APP的流量進行限速，防止發(fā)生DDoS攻擊。

4 結(jié)束語

隨著政企5G行業(yè)應(yīng)用業(yè)務(wù)的推廣，對于低時延、大帶寬的業(yè)務(wù)需求逐步增多，UPF的下沉部署也將增加，如何根據(jù)客戶需求提供合理的UPF下沉方案將是后續(xù)建設(shè)時討論的焦點，既需要考慮投資效益，又要考慮維護管理效益，還要兼顧信息安全。一般認為，對于數(shù)據(jù)可出園區(qū)、時延要求不高、帶寬較小的需求，建議直接使用省集中部署的UPF；對于數(shù)據(jù)可出園區(qū)、時延要求較高且省集中UPF無法滿足時延要求的需求，建議下沉部署地市級共享型UPF；對于數(shù)據(jù)不可出園區(qū)的需求，則建議下沉部署園區(qū)級獨享型UPF。某運營商5G定制專網(wǎng)有4/5G融合的覆蓋優(yōu)勢，這種網(wǎng)絡(luò)優(yōu)勢可以彌補5G建設(shè)初期無線網(wǎng)絡(luò)覆蓋不足問題，保障用戶業(yè)務(wù)不中斷，提升用戶使用感知。