王飛飛，孫 穎，曹亞平

（中國電信股份有限公司研究院，北京 102209）

0 引言

5G 2B 業(yè)務(wù)呈現(xiàn)有別于2C 的新商業(yè)模式，5G 為三大運營商帶來較大的To B 增量業(yè)務(wù)，5G 的發(fā)展趨勢將從消費互聯(lián)網(wǎng)的(C 端)轉(zhuǎn)向產(chǎn)業(yè)互聯(lián)網(wǎng)(B 端)，應(yīng)用場景的發(fā)展?jié)摿薮?，有較大的開發(fā)空間，市場前景廣闊。5G 2B 業(yè)務(wù)應(yīng)用場景與終端形態(tài)向多樣化、融合化、智能化發(fā)展，對網(wǎng)絡(luò)服務(wù)的功能和形態(tài)提出了新的要求。傳統(tǒng)網(wǎng)絡(luò)服務(wù)已無法滿足企業(yè)用戶高速上網(wǎng)、安全互聯(lián)、業(yè)務(wù)隔離、快速靈活組網(wǎng)等眾多業(yè)務(wù)需求。

近年來，研究重點是利用5G 網(wǎng)絡(luò)技術(shù)構(gòu)建5G 虛擬專用網(wǎng)，為5G 2B 行業(yè)客戶提供端到端靈活的安全服務(wù)。

然而在當前固移融合網(wǎng)絡(luò)的研究中，多以三層組網(wǎng)方案為主，組網(wǎng)配置較為復(fù)雜，在實施應(yīng)用中難以靈活擴展和大量部署。本文在固定和移動融合業(yè)務(wù)的應(yīng)用方面的創(chuàng)新主要是引入5G 網(wǎng)絡(luò)能力的增強和5G LAN的技術(shù)方案，重點研究面向5G 2B 應(yīng)用多樣化的場景，可以基于通用的基礎(chǔ)設(shè)施和5G 局部區(qū)域網(wǎng)（Local Area Network,LAN）的網(wǎng)絡(luò)增強，靈活提供低成本的差異化、定制化組網(wǎng)的能力。通過在原有固定接入方式的基礎(chǔ)上增加移動接入，擴大廣域網(wǎng)接入范圍，保障局域網(wǎng)的安全可靠接入，實現(xiàn)5G 網(wǎng)絡(luò)與工業(yè)等網(wǎng)絡(luò)的深度融合。

1 標準化工作進展

5G LAN 為3GPP R16 中新引入功能，主要基于5G終端連接能力和5G 網(wǎng)絡(luò)提供私有移動LAN 服務(wù)，允許制定的終端組基于Ethernet（以太網(wǎng)）或IP 進行點對點（Peer to Peer，P2P）通信，滿足工業(yè)互聯(lián)網(wǎng)、企業(yè)辦公、車聯(lián)網(wǎng)等業(yè)務(wù)需求[1]。

其中，5G LAN 在3GPP R16 版本立項，主要研究5G VN 組管理方案，描述了5G VN 組成員間的通信方案，包括用戶面的路徑管理以及組播、廣播管理，解決了專網(wǎng)無線接入鏈路可配置性差、組網(wǎng)部署不靈活等問題[2-3]。在3GPP R17 版本中，又對5G LAN 進行了深入研究，主要解決了跨SMF 管理的5G LAN 會話建立、支持多PLMN（公共陸地移動通信網(wǎng)）的5G VN 組以及組間UE交互，并對組播和廣播通信管理進一步優(yōu)化。關(guān)于5G LAN 的可能會引起的廣播環(huán)路風暴、二次鑒權(quán)等諸多問題細化研究將在R18 版本中完善[4]。

2 關(guān)鍵技術(shù)分析

2.1 VN 組隔離

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)基于VLAN 向客戶提供廣播域的隔離，通過端口控制廣播范圍，劃分不同的邏輯局域網(wǎng)，進而提高網(wǎng)絡(luò)的安全性。5G LAN 基于VN 組進行策略管理，將終端用戶劃分至不同的VN 組，通過能力開放配置相應(yīng)的VN 組信息和業(yè)務(wù)類型對VN 組進行動態(tài)簽約管理，實現(xiàn)定制化差異性網(wǎng)絡(luò)服務(wù)[5]。

運營商在UDM 網(wǎng)元為用戶簽約VN 組，統(tǒng)一數(shù)據(jù)管理（Unified Data Management，UDM）在用戶注冊信息時獲得用戶所屬的VN 組、DNN 和S-NSSAI 等簽約信息。認證管理功能（Authentication Management Function，AMF）網(wǎng)元根據(jù)DNN、S-NSSAI 信息通過NRF 為同一個VN 組的用戶選擇固定SMF，并為用戶發(fā)起會話建立。業(yè)務(wù)管理功能（Service Management Function，SMF）網(wǎng)元為當前用戶選擇用戶面功能網(wǎng)元（User Plane Function，UPF），并結(jié)合本地配置的組播/廣播信息以及組內(nèi)相關(guān)用戶選擇錨點UPF 的情況，下發(fā)報文檢測和轉(zhuǎn)發(fā)策略，按需建立用戶面隧道[6-7]。終端通過建立會話向UPF 發(fā)送數(shù)據(jù)，UPF 根據(jù)SMF 下發(fā)的報文檢測和轉(zhuǎn)發(fā)策略將數(shù)據(jù)直接本地轉(zhuǎn)發(fā)或經(jīng)由N19/N6 接口發(fā)送至其他終端。

2.2 流量轉(zhuǎn)發(fā)

2.2.1 基于N9 接口流量轉(zhuǎn)發(fā)

基于N9 轉(zhuǎn)發(fā)方式主要應(yīng)用于園區(qū)覆蓋場景，適用于終端移動性較強的應(yīng)用，組網(wǎng)比較靈活，可在簽約允許的情況可通過插入錨點UPF 的方式，實現(xiàn)VN 組內(nèi)通信[8]。該流量轉(zhuǎn)發(fā)方式適用于同一個VN 組內(nèi)的終端需通過單個UPF 進行通信，由于單UPF 性能受限，發(fā)送端和接收端均為空口接入，在時延抖動方面表現(xiàn)較差，不適用于服務(wù)器端一對多、流量轉(zhuǎn)發(fā)性能要求較高的超低時延、超高帶寬穩(wěn)定場景。

2.2.2 基于N6 接口流量轉(zhuǎn)發(fā)

基于N6 接口的流量轉(zhuǎn)發(fā)方式主要應(yīng)用于大流量轉(zhuǎn)發(fā)場景，支持星狀網(wǎng)絡(luò)拓撲，實現(xiàn)多終端匯聚。該流量轉(zhuǎn)發(fā)方式適用于終端和N6 接口側(cè)連接的成員設(shè)備或企業(yè)DN 內(nèi)部成員設(shè)備之間進行轉(zhuǎn)發(fā)通信[9]。UPF 的N6接口側(cè)可適用于固網(wǎng)專線傳輸，具備時延、帶寬穩(wěn)定的特點，易結(jié)合三層交換機實現(xiàn)企業(yè)站點和分支站點間的三層通信，支持穩(wěn)定大流量業(yè)務(wù)轉(zhuǎn)發(fā)。

2.2.3 基于N19 接口流量轉(zhuǎn)發(fā)

基于N19 接口的流量轉(zhuǎn)發(fā)方式主要應(yīng)用于跨域/廣域互聯(lián)通信場景，支持點對點網(wǎng)絡(luò)拓撲，終端連接范圍廣泛，不受空間限制。該流量轉(zhuǎn)發(fā)方式適用于同一個VN 組內(nèi)的終端通過不同的UPF 之間進行轉(zhuǎn)發(fā)通信，多個UPF 之間依靠N19 口連接[10]。目前該流量轉(zhuǎn)發(fā)方式由于N4 接口尚未解耦，受設(shè)備廠家限制，N19 接口連接的多個UPF 需與SMF 屬于同一廠家設(shè)備，且該方式組網(wǎng)復(fù)雜度較高，由于跨域使得時延較大，影響業(yè)務(wù)感知。

3 2B 業(yè)務(wù)應(yīng)用場景分析

近年來，基于以太的二層通信需求在2B 領(lǐng)域廣泛存在，5G LAN 也由此應(yīng)運而生。5G LAN 是基于5G 終端接入能力和5G 網(wǎng)絡(luò)提供的私有移動LAN 服務(wù)，即通過為企業(yè)的終端建“群”，不經(jīng)過業(yè)務(wù)服務(wù)器，為群內(nèi)終端提供靈活的通信服務(wù)。

3.1 廣域網(wǎng)絡(luò)應(yīng)用場景

在傳統(tǒng)網(wǎng)絡(luò)部署中，2B 行業(yè)客戶多部署廣域企業(yè)專網(wǎng)，手機、辦公電腦等移動終端主要通過企業(yè)APN 接入網(wǎng)絡(luò)，這些移動終端可能來自行政、IT、生產(chǎn)等部門，數(shù)據(jù)混合傳送到企業(yè)私網(wǎng)內(nèi)部，數(shù)據(jù)的傳輸優(yōu)先級、安全隔離等均沒有保障。

5G LAN 模式下，企業(yè)網(wǎng)絡(luò)可以通過開放接口，按照客戶自定義的類別如部門歸屬、地域、業(yè)務(wù)類型等，將終端劃分到不同的VN 組中，每個VN 組能夠獨立規(guī)劃傳輸路徑，同時可以設(shè)置其傳輸質(zhì)量要求。每個VN 組內(nèi)的終端可互通，VN 組間的終端相互隔離。由此，行政、IT、生產(chǎn)等各個業(yè)務(wù)部門就能夠獨立管理和發(fā)展自己的子網(wǎng)，使專網(wǎng)的價值得到充分體現(xiàn)。

3.2 局域網(wǎng)絡(luò)應(yīng)用場景

在傳統(tǒng)園區(qū)網(wǎng)絡(luò)部署中，主要基于有線網(wǎng)絡(luò)或者Wi-Fi 接入，大量依賴二層的廣播、組播協(xié)議協(xié)同工作，組網(wǎng)復(fù)雜，設(shè)備較多，對空間要求較大，建設(shè)和維護成本高，欠缺網(wǎng)絡(luò)改造靈活性。

5G LAN 模式下，其業(yè)務(wù)網(wǎng)絡(luò)可將終端劃分到不同的VN 組中，組建小型移動無線局域網(wǎng)，具備和Wi-Fi 相同的使用體驗。在局域園區(qū)網(wǎng)絡(luò)服務(wù)中，基于5G LAN的移動局域網(wǎng)能夠打破地域限制，基于二次鑒權(quán)、VLAN 隔離等功能為遠程辦公、移動警務(wù)、無人機協(xié)同、遠程操控等眾多場景提供更靈活、更安全、更可靠的業(yè)務(wù)傳輸質(zhì)量服務(wù)，如表1 所示。

表1 5G 2B 業(yè)務(wù)場景指標要求

4 網(wǎng)絡(luò)方案對比

5G 網(wǎng)絡(luò)已經(jīng)在企業(yè)園區(qū)、港口碼頭、智慧工廠、電力資源等多個行業(yè)領(lǐng)域進行了部署和應(yīng)用，但無法滿足特定行業(yè)應(yīng)用的大量終端無線接入、低時延、安全隔離等更高要求，當前5G 網(wǎng)絡(luò)應(yīng)用解決方案多用AR 路由器配置虛擬二層網(wǎng)絡(luò)，或引入融合網(wǎng)關(guān)設(shè)備實現(xiàn)二進三以實現(xiàn)終端的5G 無線接入，為客戶提供網(wǎng)絡(luò)服務(wù)。5G 網(wǎng)絡(luò)引入增強網(wǎng)絡(luò)技術(shù)后，5G LAN 以其原生極簡二層組網(wǎng)的優(yōu)勢，為客戶提供安全可靠的網(wǎng)絡(luò)服務(wù)。

4.1 廣域網(wǎng)絡(luò)方案

4.1.1 當前廣域網(wǎng)絡(luò)方案

以工業(yè)互聯(lián)網(wǎng)場景的工業(yè)遠程數(shù)據(jù)傳輸場景為例，運營商提供的網(wǎng)絡(luò)方案為在生產(chǎn)現(xiàn)場部署5G CPE 以提供以太終端接入能力，工業(yè)終端通過5G CPE 接入，自終端接入至UPF N3 接口采用通用數(shù)據(jù)傳輸平臺（General Data Transfer Platform，GTP）隧道技術(shù)互聯(lián)，由融合網(wǎng)關(guān)設(shè)備作為5G 接入側(cè)和固網(wǎng)側(cè)的銜接，實現(xiàn)二三層協(xié)議轉(zhuǎn)換，在融合網(wǎng)關(guān)和客戶U 設(shè)備之間配置傳統(tǒng)的偽線（Pseudo Wire，PW）二層專線，將5G 網(wǎng)絡(luò)的5G 接入側(cè)和固網(wǎng)側(cè)有效銜接，實現(xiàn)端到端互通，如圖1 所示。

圖1 融合網(wǎng)關(guān)廣域組網(wǎng)方案

由于5G 網(wǎng)絡(luò)原本不支持二層通信，面對大量終端無線接入的需求，多在端側(cè)和服務(wù)側(cè)對齊部署AR 路由器以實現(xiàn)二層三層協(xié)議轉(zhuǎn)換，以實現(xiàn)一對設(shè)備的點對點二層通信，如圖2 所示。該方案需額外部署AR 路由器設(shè)備，成本較高，且組網(wǎng)和配置相對復(fù)雜。該方案主要適用于點對點通信模式，難以靈活拓展多點組網(wǎng)，大量部署和推廣。

圖2 AR 路由器廣域組網(wǎng)方案

4.1.2 5G LAN 廣域網(wǎng)絡(luò)方案

5G LAN 可以為工業(yè)控制、工業(yè)自動化生產(chǎn)等領(lǐng)域提供以太局域網(wǎng)，通過無線替代有線實現(xiàn)生產(chǎn)設(shè)備的遠程控制，如圖3 所示。5G LAN 可以是全新建網(wǎng)絡(luò)，也可以通過N6 接口連通現(xiàn)有網(wǎng)絡(luò)。流量通過二層網(wǎng)絡(luò)進行通信，有利于目前存量網(wǎng)絡(luò)5G 化演進。VN 組內(nèi)可支持廣播，無縫移植LAN 能力，能夠?qū)崿F(xiàn)端側(cè)免配置和應(yīng)用免改造，客戶業(yè)務(wù)體驗較好，便于業(yè)務(wù)推廣。

圖3 5G LAN 廣域組網(wǎng)方案

4.2 局域固移融合網(wǎng)絡(luò)方案

4.2.1 當前局域網(wǎng)絡(luò)方案

園區(qū)場景中以遠程控制業(yè)務(wù)場景為例，例如圖4 所示的遠程天車控制，在天車PLC 和天車控制平臺之間增加一對AR 路由器，在AR 路由器之間建立GRE 隧道，通過數(shù)據(jù)隧道打通二層。兩側(cè)AR 路由器配置虛擬二層接口和隧道接口，配置Eth Over GRE 隧道；CPE 需配置橋接模式，簽約對端固定IP，由AR 路由器1 負責包裝Eth Over GRE 隧道，AR 路由器2 負責解析Eth Over GRE 隧道傳遞的二層協(xié)議，并轉(zhuǎn)換成對應(yīng)的控制流傳送給天車控制平臺。

圖4 AR 路由器局域組網(wǎng)方案

該方案痛點較多，需要部署AR 路由器，增加成本和空間需求；對于終端側(cè)的配置比較復(fù)雜，維護相對困難；并且該方案設(shè)備較多，組網(wǎng)復(fù)雜，靈活度低，引入多故障點，通信保障相對困難。

4.2.2 5G LAN 局域網(wǎng)絡(luò)方案

5G LAN 方案中天車PLC 和天車控制平臺之間無需部署AR 路由器新建隧道，5G CPE 可提供5G 以太終端接入能力，簽約5G LAN 組；UPF 可識別終端的MAC 地址，扮演虛擬交換機的角色，實現(xiàn)二層通信。

該方案基于5G 原生二層網(wǎng)絡(luò)，組網(wǎng)簡單，業(yè)務(wù)場景應(yīng)用靈活，可保持原有組網(wǎng)和組間隔離關(guān)系；終端側(cè)可實現(xiàn)即插即用，易維護；無需新增設(shè)備，節(jié)約網(wǎng)絡(luò)部署成本，最大程度保證時延、可靠性指標。5G LAN 局域網(wǎng)方案如圖5 所示。

圖5 5G LAN 局域組網(wǎng)方案

5 問題與挑戰(zhàn)

5G LAN 以其原生二層網(wǎng)絡(luò)的技術(shù)優(yōu)勢、靈活的組網(wǎng)方式和良好的擴展性正逐漸廣泛應(yīng)用于各行各業(yè)。但關(guān)于5G LAN 應(yīng)用的可能會引起的廣播環(huán)路風暴、二次鑒權(quán)等諸多問題的細化研究還未有標準解決方案。

5.1 環(huán)路廣播問題

由于5G LAN 基于當前的以太協(xié)議，組網(wǎng)中的轉(zhuǎn)發(fā)設(shè)備不能終結(jié)二層BUM（廣播、未知單播、組播）報文，也沒有類似TTL 標志丟棄二層報文，只按照報文要求進行廣播，因此無法識別報文是否被環(huán)回或者被多次復(fù)制轉(zhuǎn)發(fā)。這就導(dǎo)致5G LAN 在報文轉(zhuǎn)發(fā)過程中會發(fā)生單個報文在環(huán)路上被廣播或無窮復(fù)制，可能會導(dǎo)致網(wǎng)絡(luò)癱瘓。目前3GPP 未考慮破環(huán)方案，當前這類問題可通過廣播抑制的方式進行網(wǎng)絡(luò)自保，避免網(wǎng)絡(luò)癱瘓[11]。

5.2 二次鑒權(quán)組網(wǎng)

對于攻擊者惡意接入5G LAN 內(nèi)部以及二層通信特有的例如MAC 仿冒攻擊、ARP flood 攻擊，針對5G LAN的網(wǎng)絡(luò)防護，可依托5G 本身的安全機制，在已有5GC 安全防護基礎(chǔ)上，針對傳統(tǒng)的二層威脅進行針對性增強，通過二次鑒權(quán)限制終端接入，如用戶名/密碼、機卡綁定、基于位置的控制等，還可通過升級UPF/SMF 功能支持內(nèi)部流控，通過流控解決廣播包攻擊[12]。

6 結(jié)論

綜上所述，隨著5G 網(wǎng)絡(luò)技術(shù)的不斷演進，5G LAN技術(shù)賦能網(wǎng)絡(luò)二層能力，為5G 2B 業(yè)務(wù)的拓展提供了新的技術(shù)選擇。本文介紹面向5G 2B 業(yè)務(wù)的5G LAN 技術(shù)解決方案，包括關(guān)鍵技術(shù)分析、業(yè)務(wù)場景和網(wǎng)絡(luò)方案分析等。5G LAN 技術(shù)的引入一方面完善了固移融合網(wǎng)絡(luò)方案的5G 能力，帶來了新的機遇和需求，隨著5G LAN技術(shù)和產(chǎn)品的不斷成熟，將助力5G 2B 業(yè)務(wù)在各行各業(yè)的應(yīng)用拓展；另一方面關(guān)于廣播環(huán)路風暴和用戶二次鑒權(quán)等問題還應(yīng)進一步深入研究，不斷優(yōu)化網(wǎng)絡(luò)方案，助力5G 時代固移融合網(wǎng)絡(luò)的發(fā)展。