ToB網(wǎng)絡(luò)邊緣用戶面功能部署及企業(yè)平臺(tái)接入方式研究

盧紹朋，付 艷，宋旭光

（1.中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司 河南分公司，河南 鄭州 450008；2.中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

0 引 言

5G時(shí)代，為了滿足AR/VR、物聯(lián)網(wǎng)、工業(yè)自動(dòng)化、無(wú)人駕駛等新業(yè)務(wù)的高帶寬、低時(shí)延需求，對(duì)5G網(wǎng)絡(luò)進(jìn)行邊緣分布式重構(gòu)將成為必然選擇[1]。基于服務(wù)化架構(gòu)（Service-Based Architecture，SBA）的5G網(wǎng)絡(luò)，網(wǎng)元將控制面（Control Plane，CP）和用戶面（User Plane，UP）分離，可以靈活地將用戶面下沉到網(wǎng)絡(luò)邊緣，一跳直達(dá)，滿足毫秒級(jí)業(yè)務(wù)需求。5G系統(tǒng)中實(shí)體用戶面功能(User Plane Function，UPF)下沉到靠近接入網(wǎng)位置，可以縮短某些特定業(yè)務(wù)的時(shí)延，提高用戶的業(yè)務(wù)體驗(yàn)[2]。5G UPF功能受5G核心網(wǎng)控制面統(tǒng)一管理，其分流策略由5G核心網(wǎng)統(tǒng)一配置。5G網(wǎng)絡(luò)還引入3種業(yè)務(wù)與會(huì)話連續(xù)性模式來(lái)支持邊緣計(jì)算，保證終端高移動(dòng)性場(chǎng)景下的用戶體驗(yàn)。用戶面網(wǎng)元的靈活下沉部署使5G網(wǎng)絡(luò)可以靈活地接入邊緣計(jì)算資源，促進(jìn)了邊緣計(jì)算的發(fā)展?？紤]到5G低時(shí)延、大帶寬、高流量業(yè)務(wù)特性，為提高用戶感知，降低省干資源消耗，5G用戶面設(shè)備全部下沉至各地市、區(qū)縣、企業(yè)園區(qū)等。

與傳統(tǒng)云計(jì)算相比，邊緣計(jì)算的部署位置更靠近用戶。根據(jù)UPF承載業(yè)務(wù)不同，將ToB UPF分為專線UPF、共享式邊緣UPF以及園區(qū)入駐式邊緣UPF，具體規(guī)劃拓?fù)淙鐖D1所示[3]。

圖1 ToB核心網(wǎng)規(guī)劃拓?fù)?/p>

（1）專線UPF。根據(jù)現(xiàn)網(wǎng)物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展情況，ToB網(wǎng)絡(luò)存在大量通過GRE、IPsec、L2TP等專線接入的業(yè)務(wù)平臺(tái)。為便于上述業(yè)務(wù)平臺(tái)集中接入，以省為單位集中部署ToB網(wǎng)絡(luò)專線UPF，用于疏通GRE、IPsec、L2TP等專線類業(yè)務(wù)。

（2）共享式邊緣UPF。通常部署于市、區(qū)、縣邊緣，適用于高帶寬、時(shí)延敏感、數(shù)據(jù)機(jī)密性較強(qiáng)的業(yè)務(wù)。將UPF下沉到移動(dòng)邊緣節(jié)點(diǎn)，基于深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Networks，DNN）或IP地址等識(shí)別用戶，并根據(jù)分流策略對(duì)用戶流量進(jìn)行分流，對(duì)需要本地處理的數(shù)據(jù)流進(jìn)行本地轉(zhuǎn)發(fā)和路由，避免流量迂回，降低數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)延，提升用戶體驗(yàn)。

（3）園區(qū)入駐式邊緣UPF。按需部署于企業(yè)機(jī)房，行業(yè)應(yīng)用和工業(yè)環(huán)境與公眾網(wǎng)有很大的不同。企業(yè)級(jí)UPF除了實(shí)現(xiàn)基本的流量轉(zhuǎn)發(fā)、本地分流外，還從不同維度進(jìn)行了增強(qiáng)，例如功能簡(jiǎn)化可定制、運(yùn)維便捷、數(shù)據(jù)不出園區(qū)、超高安全性等[4]。

1 ToB邊緣UPF部署方案

1.1 邊緣UPF承載網(wǎng)絡(luò)組織和承載方式

針對(duì)ToB UPF組網(wǎng)要求，面向邊緣UPF用于地市范圍或地市部分區(qū)域范圍內(nèi)的基站接入ToB網(wǎng)絡(luò)，并為該地市企業(yè)用戶提供業(yè)務(wù)疏通能力，滿足業(yè)務(wù)體驗(yàn)等相關(guān)需求。邊緣UPF與5G NR間的N3接口參考EPC S1-U接口，N3接口通過加密虛擬網(wǎng)絡(luò)（Secret Private Network，SPN）承載。邊緣UPF與會(huì)話管理功能（Session Management Function，SMF）間的N4接口參考EPC GW-C與GW-U間的Sx接口，UPF和SMF通過同局址CE接入IP專用承載網(wǎng)。邊緣UPF與外部數(shù)據(jù)網(wǎng)絡(luò)的N6接口參考EPC SGi接口（非VoLTE業(yè)務(wù)），采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。N9接口為邊緣UPF間接口，主要應(yīng)用于UPF分級(jí)部署場(chǎng)景，參考EPC S5/S8接口，采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。

依據(jù)網(wǎng)絡(luò)組織及承載要求，邊緣UPF需要接入IP專網(wǎng)、CMNET承載網(wǎng)、PTN/SPN等網(wǎng)絡(luò)。標(biāo)準(zhǔn)UPF組網(wǎng)方式為：UPF上聯(lián)同局址業(yè)務(wù)CE疏通N4接口，上聯(lián)同局址網(wǎng)管CE疏通網(wǎng)管接口；基站與AMF的N2接口通過SPN+DC方式疏通。當(dāng)邊緣入駐式UPF部署到企業(yè)園區(qū)時(shí)，由于企業(yè)園區(qū)資源不足，因此會(huì)導(dǎo)致媒體面和控制面無(wú)法互通。提出UPF非標(biāo)組網(wǎng)方式，即UPF到SMF的N4接口信令流量通過傳輸網(wǎng)+IP專網(wǎng)疏通解決方案。邊緣UPF組網(wǎng)方式對(duì)比如圖2所示。

圖2 邊緣UPF組網(wǎng)方式對(duì)比

1.2 容災(zāi)備份組網(wǎng)方案建議

共享式邊緣UPF元容災(zāi)備份組網(wǎng)方案有兩種，即主備網(wǎng)元的容災(zāi)備份實(shí)現(xiàn)機(jī)制和負(fù)荷分擔(dān)（組POOL）網(wǎng)元的容災(zāi)備份實(shí)現(xiàn)機(jī)制。主備網(wǎng)元之間的容災(zāi)備份機(jī)制包括正常情況下主備網(wǎng)元之間的工作方式、需要傳送的數(shù)據(jù)、需要同步的數(shù)據(jù)、周邊網(wǎng)元尋址主用網(wǎng)元所需要配置的數(shù)據(jù)、主用網(wǎng)元故障時(shí)主備網(wǎng)元之間的切換機(jī)制、周邊網(wǎng)元將業(yè)務(wù)切換到備份網(wǎng)元所需配置的數(shù)據(jù)等。同時(shí)，需要防止主備用網(wǎng)元的“雙活”和“乒乓”。負(fù)荷分擔(dān)（組POOL）網(wǎng)元的容災(zāi)備份實(shí)現(xiàn)機(jī)制包括正常情況下網(wǎng)元之間的工作方式、需要傳送的數(shù)據(jù)、需要同步的數(shù)據(jù)、周邊網(wǎng)元尋址POOL內(nèi)各負(fù)荷分擔(dān)網(wǎng)元所需要配置的數(shù)據(jù)、當(dāng)其中一個(gè)網(wǎng)元故障時(shí)網(wǎng)元之間的切換機(jī)制以及周邊網(wǎng)元將業(yè)務(wù)切換到備份網(wǎng)元所需配置的數(shù)據(jù)等。

備份網(wǎng)元資源配置有兩種：一是初始配置時(shí)創(chuàng)建容災(zāi)備份資源所需的虛機(jī)，當(dāng)主用網(wǎng)元故障時(shí)由備份網(wǎng)元接管業(yè)務(wù)，業(yè)務(wù)自動(dòng)分配至備份資源虛機(jī)；二是初始配置時(shí)僅創(chuàng)建主用資源所需的虛機(jī)，不創(chuàng)建容災(zāi)備份資源所需的虛機(jī)，當(dāng)主用網(wǎng)元故障時(shí)由備份網(wǎng)元接管業(yè)務(wù)，自動(dòng)彈性擴(kuò)容（Scale-out）出備份資源所需的虛機(jī)，并將接管的業(yè)務(wù)自動(dòng)分配至備份資源虛機(jī)[5]。

園區(qū)入駐式邊緣UPF容災(zāi)要求設(shè)備內(nèi)部實(shí)現(xiàn)板塊級(jí)容災(zāi)、傳輸具備雙路由。園區(qū)邊緣UPF安全要求包括防止惡意用戶非法訪問企業(yè)內(nèi)網(wǎng)、提供終端到企業(yè)的傳輸加密、UPF數(shù)據(jù)統(tǒng)計(jì)核查、企業(yè)AAA二次鑒權(quán)等。外置物理防火墻隔離和防護(hù)，基于IPsec、TLS安全協(xié)議進(jìn)行傳輸加密，保證平臺(tái)自有應(yīng)用、第三方應(yīng)用代碼安全和接口安全，對(duì)第三方應(yīng)用實(shí)施數(shù)字簽名并進(jìn)行完整性校驗(yàn)。對(duì)可信資源隔離，部署虛擬機(jī)訪問控制配置。此外，還需保證物理場(chǎng)所水電、結(jié)構(gòu)的安全，設(shè)置出入口控制系統(tǒng)、入侵報(bào)警系統(tǒng)、視頻監(jiān)控系統(tǒng)等。

2 企業(yè)平臺(tái)接入方案

2.1 企業(yè)平臺(tái)路由及應(yīng)用場(chǎng)景

用戶與企業(yè)平臺(tái)同地市時(shí)，用戶通過5G基站經(jīng)SPN至本地市ToB UPF，再接至企業(yè)平臺(tái)。用戶與企業(yè)平臺(tái)異地市時(shí)，通過5G基站接入本地市ToB UPF，通過N9接口接至企業(yè)平臺(tái)。企業(yè)平臺(tái)接入方案如圖3所示。

圖3 企業(yè)平臺(tái)接入方案

IP專網(wǎng)接入場(chǎng)景為全國(guó)業(yè)務(wù)場(chǎng)景，需要跨省與UPF互通，業(yè)務(wù)路由較長(zhǎng)，不適合對(duì)時(shí)延要求較高的業(yè)務(wù)。CMNET接入場(chǎng)景中，企業(yè)業(yè)務(wù)服務(wù)器直接上公網(wǎng)，通過公網(wǎng)與UPF互通，業(yè)務(wù)邏輯隔離且按需靈活配置，可通過GRE隧道技術(shù)實(shí)現(xiàn)安全保障。傳輸專線接入場(chǎng)景中，企業(yè)租賃運(yùn)營(yíng)商傳輸專線來(lái)實(shí)現(xiàn)與UPF互通[6]。

2.2 企業(yè)接入ToB UPF的3種方式

（1）IP專網(wǎng)接入方式。省內(nèi)業(yè)務(wù)平臺(tái)通過傳輸PTN/SPN至省內(nèi)AR，再通過IP專網(wǎng)與外省UPF進(jìn)行互通，如圖4所示。

圖4 IP專網(wǎng)接入示例

（2）CMNET接入方式。UPF與DN網(wǎng)絡(luò)、其他UPF間通過CMNet實(shí)現(xiàn)互聯(lián)，UPF的N6、N9、S5接口接入配套建設(shè)的成對(duì)CMNeT路由器，CMNeT路由器成對(duì)與CMNet防火墻“口”字型連接。

（3）傳輸專線目標(biāo)接入方式。新建專線路由器/交換機(jī)和專線防火墻，再通過傳輸專線與企業(yè)業(yè)務(wù)平臺(tái)進(jìn)行互通。對(duì)于專線路由器/交換機(jī)的選擇，針對(duì)ToB業(yè)務(wù)發(fā)展?jié)摿Υ蟮牡厥信渲脤＞€路由器，其他地市配置交換機(jī)。對(duì)于一個(gè)地市，每個(gè)機(jī)房放置兩臺(tái)專線路由器/交換機(jī)，以“口”字型與同機(jī)房?jī)膳_(tái)CMNET防火墻相連，如圖5所示。

圖5 CMNET接入混合傳輸專線目標(biāo)接入示例

（4）傳輸專線接入臨時(shí)方式。如果UPF機(jī)房尚未建設(shè)專線路由器/交換機(jī)設(shè)備，可通過CMNET防火墻與傳輸專線直接進(jìn)行互通，如圖6所示。

圖6 傳輸專線臨時(shí)接入示例

綜上所述，IP專網(wǎng)方式適用于連接跨省UPF的企業(yè)業(yè)務(wù)平臺(tái)，CMNET方式適用于沒有明確接入方式的企業(yè)或預(yù)算較少的企業(yè)，傳輸專線方式適用于有明確租賃專線業(yè)務(wù)或?qū)Π踩?、可靠性要求較高的企業(yè)[7]。

3 結(jié) 論

5G時(shí)代背景下，UPF設(shè)備的應(yīng)用成為運(yùn)營(yíng)商數(shù)字化轉(zhuǎn)型的關(guān)鍵。運(yùn)營(yíng)商依托邊緣網(wǎng)絡(luò)出口，結(jié)合無(wú)線網(wǎng)絡(luò)感知優(yōu)化和無(wú)線能力開放，可以實(shí)現(xiàn)從連接管道向業(yè)務(wù)使能平臺(tái)的跨越式轉(zhuǎn)型。對(duì)于行業(yè)用戶來(lái)說(shuō)，邊緣UPF的解決方案可將園區(qū)或企業(yè)的網(wǎng)絡(luò)流量進(jìn)行本地分流，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的本地管理和本地運(yùn)營(yíng)，滿足企業(yè)內(nèi)部的移動(dòng)辦公、視頻監(jiān)控、現(xiàn)場(chǎng)數(shù)據(jù)采集等業(yè)務(wù)的實(shí)時(shí)性、高帶寬等需求。