5G校園專網(wǎng)解決方案研究

王 磊 涂 晶 鄭 圣

中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司江蘇省分公司

0 引言

校園網(wǎng)作為一種專網(wǎng)需求，是高校為了實(shí)現(xiàn)校內(nèi)各部門網(wǎng)絡(luò)互通、安全隔離、辦公自動(dòng)化、信息化應(yīng)用等功能而組建的專用網(wǎng)絡(luò)。校園網(wǎng)要求教師和學(xué)生在學(xué)校通過手機(jī)終端能隨時(shí)便捷地接入，訪問學(xué)校專網(wǎng)內(nèi)容，同時(shí)又不影響訪問公網(wǎng)業(yè)務(wù)，需要對(duì)業(yè)務(wù)進(jìn)行分流。如何利用5G網(wǎng)絡(luò)新特性，為學(xué)校提供安全、便捷的校園專網(wǎng)訪問方案，是本文研究的課題。針對(duì)這一場(chǎng)景，共提出三個(gè)方案，分別是專用DNN分流方案、通用DNN+ULCL方案、專用DNN+ULCL方案。

1 核心網(wǎng)分流技術(shù)介紹

1.1 分流業(yè)務(wù)需求分析

在核心網(wǎng)業(yè)務(wù)中，分流即對(duì)業(yè)務(wù)報(bào)文進(jìn)行分流，并最終到達(dá)不同的網(wǎng)絡(luò)和服務(wù)器。在出現(xiàn)完整的“分流”概念之前的4G時(shí)代，移動(dòng)網(wǎng)已經(jīng)出現(xiàn)了比較廣泛的、對(duì)數(shù)據(jù)目的地定制化的訴求，但受網(wǎng)絡(luò)局限，無法得到良好支撐。在5G時(shí)代，這些問題在分流面前迎刃而解。通過分流，將本地業(yè)務(wù)與正常的業(yè)務(wù)區(qū)分開來，并分別通過主/輔錨點(diǎn)UPF，送達(dá)給中心網(wǎng)絡(luò)或本地網(wǎng)絡(luò)。

目前分流主要的一個(gè)應(yīng)用是——園區(qū)或者企業(yè)“數(shù)據(jù)不外流”的場(chǎng)景，即屬于園區(qū)內(nèi)的數(shù)據(jù)就停留在園區(qū)內(nèi)處理完成，不經(jīng)過外部。通過UL CL UPF對(duì)不同業(yè)務(wù)進(jìn)行識(shí)別，從而達(dá)到數(shù)據(jù)的區(qū)分。舉例而言，在校園中，學(xué)生、教職工往往需要訪問學(xué)校自己的數(shù)據(jù)中心和網(wǎng)站，獲取教育資源、學(xué)校政策等信息。出于信息安全考慮，學(xué)校在校園內(nèi)部署了自己的服務(wù)器，供學(xué)校人員使用。如圖1所示，在該場(chǎng)景下，校內(nèi)資源數(shù)據(jù)、實(shí)驗(yàn)操作數(shù)據(jù)作為本地業(yè)務(wù)數(shù)據(jù)，UE直接訪問DN完成，這樣所有的校內(nèi)資源數(shù)據(jù)都停留在學(xué)校內(nèi)部，不會(huì)外流，有效提高了數(shù)據(jù)的隱私性。除此之外的數(shù)據(jù)，作為中心業(yè)務(wù)數(shù)據(jù)，UE訪問中心DN完成。

圖1 校園網(wǎng)場(chǎng)景分流需求

1.2 分流技術(shù)原理

1.2.1 UPF的選擇與插入

在激活分流的過程中，SMF會(huì)在眾多UPF中，根據(jù)UPF本身的條件，決策出最合適的UPF，并插入到用戶會(huì)話中，主錨點(diǎn)UPF在用戶激活時(shí)插入，ULCL和輔錨點(diǎn)UPF根據(jù)用戶所在區(qū)域決定是否插入，實(shí)現(xiàn)用戶與本地DN間的業(yè)務(wù)，并將中心DN業(yè)務(wù)分流至主錨點(diǎn)UPF。

1.2.2 分流流程

用戶上線后，通過簽約的分流策略觸發(fā)分流流程，分流流程如下。

步驟1：策略下發(fā)

在UE發(fā)起PDU會(huì)話請(qǐng)求，AMF為UE分配SMF后，SMF通過Npcf_SMPolicyControl_Create消息與PCF建立SM策略關(guān)聯(lián)，并完成策略下發(fā)。該過程中，PCF根據(jù)來自SMF的Npcf_SMPolicyControl_Create Request消息中攜帶的用戶信息，查詢用戶簽約數(shù)據(jù)，發(fā)現(xiàn)這名用戶簽約了分流的套餐。于是，PCF在Npcf_SMPolicyControl_Create Response消息下發(fā)的消息中，會(huì)有一部分分流規(guī)則，用于指示UPF如何分流。

步驟2：PDU會(huì)話建立

在PCF向SMF下發(fā)用戶信息之后，SMF會(huì)基于DNN、切片、DNAI、UPF接口能力、是否與EPS互通等因素，為UE選擇合適的UPF（即主錨點(diǎn)UPF）。之后SMF會(huì)下發(fā)業(yè)務(wù)策略，并最終建立UE-基站-主錨點(diǎn)UPF之間的PDU會(huì)話。這一步建立的是分流前的常規(guī)PDU會(huì)話。

步驟3：觸發(fā)分流

在用戶會(huì)話過程中，SMF會(huì)實(shí)時(shí)檢測(cè)用戶的位置（一般是用戶所在的TAI區(qū)或者小區(qū)），一旦用戶的DNN+位置組合滿足分流的觸發(fā)條件（比如用戶接入時(shí)本身就在分流園區(qū)內(nèi)，或者移動(dòng)到了分流園區(qū)內(nèi)），便會(huì)觸發(fā)分流。此時(shí)，SMF會(huì)根據(jù)UPF的條件進(jìn)行決策，選擇最合適的UPF ULCL和輔錨點(diǎn)UPF。

完成UPF選擇之后，SMF將這兩個(gè)UPF分別建立PFCP會(huì)話，插入到當(dāng)前用戶會(huì)話中。通過在建立PFCP會(huì)話的過程中，SMF會(huì)向UL CL UPF下發(fā)PDR，通知UL CL UPF需要啟用的分流規(guī)則。

向主/輔錨點(diǎn)UPF下發(fā)PDR，通知主/輔錨點(diǎn)在分流過程中收到報(bào)文時(shí)進(jìn)行的業(yè)務(wù)處理（如執(zhí)行轉(zhuǎn)發(fā)或緩存動(dòng)作、進(jìn)行帶寬控制和計(jì)費(fèi)等）。

步驟4：會(huì)話修改

在步驟3中，SMF已經(jīng)選擇好了分流使用的UL CL UPF和輔錨點(diǎn)UPF，距離分流功能的使用只差臨門一腳——將原有的UE-基站-主錨點(diǎn)UPF之間的常規(guī)PDU會(huì)話，更新為UE-基站-UL CL UPF-主錨點(diǎn)UPF/輔錨點(diǎn)UPF之間的分流PDU會(huì)話。

步驟5：分流生效

分流功能開啟后，用戶的數(shù)據(jù)報(bào)文到達(dá)UL CL UPF，UL CL UPF基于PDR對(duì)這些報(bào)文進(jìn)行匹配，并后續(xù)轉(zhuǎn)發(fā)給輔錨點(diǎn)UPF。輔錨點(diǎn)UPF基于PDR繼續(xù)將報(bào)文轉(zhuǎn)發(fā)給中心/本地DN，最終完成用戶各項(xiàng)業(yè)務(wù)。

2 分流方案

2.1 專用DNN分流方案

2.1.1 專用DNN方案實(shí)現(xiàn)

開通校園網(wǎng)的手機(jī)卡在UDM簽約專用DNN，基于用戶簽約將校園用戶手機(jī)的默認(rèn)DNN糾錯(cuò)為校園用戶專用DNN，通過專用DNN選擇校園2C專網(wǎng)UPF，通過外掛路由器實(shí)現(xiàn)訪問內(nèi)網(wǎng)和公網(wǎng)業(yè)務(wù)分流。SMF作為融合網(wǎng)關(guān)支持PGW-C功能時(shí)，可滿足5G及4G接入。由于4、5G接入均可接入專網(wǎng)，對(duì)校園5G覆蓋沒有要求，并且訪問專網(wǎng)范圍可以不局限于校園內(nèi)。

在5G虛擬專網(wǎng)模式的接入選網(wǎng)流程中，專網(wǎng)用戶終端開機(jī)搜集到5G無線信號(hào)，并發(fā)起接入注冊(cè)流程，基站根據(jù)終端上帶切片標(biāo)識(shí)選擇核心網(wǎng)AMF，AMF基于終端上帶/簽約切片對(duì)用戶進(jìn)行接入認(rèn)證和鑒權(quán)（UDM配合），認(rèn)證成功后建立會(huì)話，用戶可正常進(jìn)行數(shù)據(jù)業(yè)務(wù)。流程如圖2所示。

圖2 專用DNN+路由器分流方案業(yè)務(wù)流程

省內(nèi)場(chǎng)景內(nèi)網(wǎng)訪問數(shù)據(jù)流：終端→公眾網(wǎng)絡(luò)基站→公眾網(wǎng)絡(luò)UPF→校園內(nèi)部應(yīng)用。

省外漫游場(chǎng)景內(nèi)網(wǎng)訪問數(shù)據(jù)流：終端→公眾網(wǎng)絡(luò)基站→拜訪地I-UPF→歸屬地大網(wǎng)UPF→校園內(nèi)部應(yīng)用。

終端適用情況：適用于所有終端，可適用4G+5G環(huán)境。

APN配置方式：APN糾錯(cuò)方式，UDM只保留簽約專網(wǎng)APN。

外地漫游：可訪問公網(wǎng)+內(nèi)網(wǎng)。

路由器：需手工配置，性能決定訪問公網(wǎng)速度，后期維護(hù)難度高。

安全策略：可支持固定IP址，AAA服務(wù)器的部署。

2.1.2 方案約束及存在問題

（1）4G接入需要MME開啟APN糾錯(cuò)，5G接入需要AMF開啟DNN糾錯(cuò)；（2）需要路由器具備分流能力及有帶寬要求，后期分流路由器維護(hù)難度高；（3）用戶出省業(yè)務(wù)需回歸屬地，增加網(wǎng)絡(luò)消耗和時(shí)延；（4）路由器分流方案DNS解析無法分流，需要專網(wǎng)DNS具備公網(wǎng)DNS解析能力。

2.2 通用DNN+ULCL分流方案

本方案根據(jù)ULCL功能實(shí)現(xiàn)校園內(nèi)訪問內(nèi)網(wǎng)和公網(wǎng)業(yè)務(wù)分流。通用DNN（3GNET+用戶基于PCF簽約+指定TAI區(qū)域+ULCL分流/輔錨點(diǎn)+大網(wǎng)2C_UPF主錨點(diǎn)）。本方案可以滿足5G本地接入專網(wǎng)，不滿足5G漫游、4G接入專網(wǎng)，要求校園區(qū)域5G NR信號(hào)覆蓋，否則不能接入專網(wǎng)，如圖3所示。

圖3 通用DNN+ULCL方案業(yè)務(wù)流

2.2.1 通用DNN+ULCL方案實(shí)現(xiàn)

用戶不換卡實(shí)現(xiàn)同時(shí)訪問校園內(nèi)網(wǎng)和公網(wǎng)。園區(qū)部署UPF（ULCL），用戶基于位置區(qū)+PCF簽約插入U(xiǎn)LCL分流訪問校園內(nèi)網(wǎng)，同時(shí)也可訪問公網(wǎng)業(yè)務(wù)。業(yè)務(wù)流程如圖4所示。

圖4 通用DNN+ULCL方案業(yè)務(wù)流程

用戶簽約通用DNN，PCF簽約校園網(wǎng)分流業(yè)務(wù)策略。針對(duì)學(xué)校范圍規(guī)劃TAC區(qū)域，PCF配置預(yù)定義規(guī)則，并配置規(guī)則和TAC的綁定關(guān)系。在UE激活或者移動(dòng)到指定的TAI時(shí)下發(fā)預(yù)定義規(guī)則給SMF。

SMF部署本地分流策略特性（即支持ULCL插入和策略下發(fā)），當(dāng)UE激活或者移動(dòng)到指定的TAI時(shí)，上報(bào)PCF動(dòng)態(tài)獲取預(yù)定義規(guī)則，SMF使用PCF下發(fā)的預(yù)定義規(guī)則插入U(xiǎn)LCL及下發(fā)分流策略給UPF。UPF上配置針對(duì)內(nèi)網(wǎng)服務(wù)器IP的分流策略。

簽約UE在規(guī)劃區(qū)域內(nèi)激活或者移入時(shí)，PCF下發(fā)預(yù)定義規(guī)則，SMF根據(jù)PCF下發(fā)的預(yù)定義規(guī)則及UE的位置，選擇UPF ULCL插入用戶會(huì)話，可以同時(shí)訪問校園內(nèi)網(wǎng)和Internet。

簽約UE移出規(guī)劃區(qū)域時(shí)，PCF通知SMF卸載規(guī)則，SMF移除ULCL，不能訪問校園內(nèi)網(wǎng)。

2.2.2 存在的問題及解決方案

該方案中，由于使用了公用DNN，共用了大網(wǎng)終端地址池，導(dǎo)致存在終端和校園內(nèi)網(wǎng)IP地址沖突的問題；同時(shí)由于用戶訪問公網(wǎng)需要使用公網(wǎng)DNS，訪問學(xué)校內(nèi)網(wǎng)域名需要使用學(xué)校內(nèi)網(wǎng)DNS，需要根據(jù)用戶訪問的域名送到不同的DNS進(jìn)行解析。為解決以上兩個(gè)問題，可采用如下解決方案。

2.2.2.1 終端IP和校園內(nèi)網(wǎng)IP沖突問題解決方案

通過在防火墻配置雙向NAT，同時(shí)對(duì)源和目的IP地址進(jìn)行NAT轉(zhuǎn)換，解決了終端地址與校園內(nèi)網(wǎng)DNS沖突的問題。

某分流業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)拓?fù)淙鐖D5所示。用戶通過公網(wǎng)DNN+ULCL實(shí)現(xiàn)同時(shí)訪問公網(wǎng)和內(nèi)網(wǎng)，運(yùn)營商規(guī)劃的終端IP地址池為：10.X.X.X，用戶終端在運(yùn)營商地址池里面獲取一個(gè)IP地址：10.10.10.10，園區(qū)內(nèi)網(wǎng)服務(wù)器IP地址：10.10.10.10，對(duì)外公網(wǎng)IP：20.10.10.10。

圖5 終端和校園網(wǎng)IP沖突場(chǎng)景拓?fù)鋱D

（1）用 戶 發(fā) 起 訪 問 目 的IP：20.10.10.10，源IP：10.10.10.10；

（2）防火墻將訪問的上行目的IP：20.10.10.10改成10.10.10.10，源IP由10.10.10.10做NAT轉(zhuǎn)成30.0.10.X；

（3）園區(qū)內(nèi)網(wǎng)服務(wù)器收到報(bào)文，發(fā)回響應(yīng)，響應(yīng)報(bào)文目的IP是30.10.10.X，源IP是10.10.10.10；

（4）防火墻將下行目的地址30.10.10.X轉(zhuǎn)成10.10.10.10，源IP 10.10.10.10改成20.10.10.10；

（5）終端收到響應(yīng)報(bào)文，業(yè)務(wù)完成。

2.2.2.2 DNS解析分流解決方案

通過UPF上配置DNS分流，來解決同時(shí)訪問公網(wǎng)和內(nèi)網(wǎng)DNS的問題，使得用戶可以使用域名來訪問校園內(nèi)網(wǎng)業(yè)務(wù)。

某分流業(yè)務(wù)組網(wǎng)如圖6所示，運(yùn)營商規(guī)劃的終端IP地址池為：10.X.X.X，用戶終端在運(yùn)營商地址池里面獲取一個(gè)IP地址：10.10.10.10，園區(qū)內(nèi)網(wǎng)域名www.abc.com，對(duì)應(yīng)的域名業(yè)務(wù)IP是10.10.10.10，DNS服務(wù)器IP地址也是10.11.11.11。

圖6 DNS解析分流解決方案拓?fù)鋱D

業(yè)務(wù)流程：

（1）用戶發(fā)起域名請(qǐng)求www.abc.com；

（2）UPF通過DNS重定向?qū)?bào)文重定向到20.11.11.11；（DNS重定向解釋）

（3）防火墻將DNS請(qǐng)求的目的IP由20.11.11.11改成10.11.11.11，源IP由10.10.10.10做NAT轉(zhuǎn)成30.10.10.X，將報(bào)文送到園區(qū)DNS Server；

（4）園區(qū)DNS Server基于域名www.abc.com解析出對(duì)應(yīng)IP地址：10.10.10.10；

（5）DNS應(yīng)答報(bào)文到防火墻，防火墻通過DNS ALG功能將DNS應(yīng)答報(bào)文中攜帶的私網(wǎng)業(yè)務(wù)地址10.10.10.10，修改成20.10.10.10；（DNS ALG解釋）

（6）終端獲取DNS應(yīng)答消息，域名對(duì)應(yīng)的業(yè)務(wù)IP為20.10.10.10；

（7）終端發(fā)起業(yè)務(wù)請(qǐng)求，訪問IP地址：20.10.10.10；

（8）上行報(bào)文到防火墻，防火墻將訪問的目的IP 20.10.10.10改 成10.10.10.10，源IP由10.10.10.10做NAT轉(zhuǎn) 成30.10.10.X，報(bào)文送到業(yè)務(wù)服務(wù)器；

（9）回程報(bào)文通過目的地址30.10.10.X送到防火墻，源IP為10.10.10.10；

（10）防 火 墻 將 下 行 目 的 地 址30.10.10.X，轉(zhuǎn) 成10.10.10.10，將下行源IP 10.10.10.10轉(zhuǎn)成20.10.10.10；

（11）終端收到回應(yīng)報(bào)文，業(yè)務(wù)完成。

2.2.3 方案約束及影響

要針對(duì)校園區(qū)域范圍規(guī)劃TAC；不支持5G漫游和4G接入。

2.3 專用DNN+ULCL方案

此方案類似于公網(wǎng)DNN+ULCL方案，但是用戶簽約專用DNN，并由AMF將用戶請(qǐng)求DNN糾錯(cuò)為專用DNN，同時(shí)使用ULCL功能實(shí)現(xiàn)校園內(nèi)訪問內(nèi)網(wǎng)和公網(wǎng)業(yè)務(wù)分流。使用專用DNN可以解決IP地址沖突問題。業(yè)務(wù)流程如圖7所示。

圖7 專用DNN+ULCL分流方案業(yè)務(wù)流程

（1）省內(nèi)

UDM簽約專用DNN-1為default DNN，給專用DNN獨(dú)立規(guī)劃IP地址池；終端請(qǐng)求通用DNN為3gnet，AMF使能APN糾錯(cuò)將DNN改成專用DNN-1，用戶使用專用DNN-1在獨(dú)立規(guī)劃的地址池里獲取IP地址激活，專用DNN-1支持訪問公網(wǎng)；基于DNN+位置插入U(xiǎn)LCL到用戶會(huì)話中，可以訪問校園內(nèi)網(wǎng)。

（2）省外

UDM簽約專用DNN-1為default DNN，終端請(qǐng)求DNN為3gnet，AMF使能APN糾錯(cuò)將DNN改成專用DNN-1，用戶使用專用DNN-1激活，通過專用DNN找回歸屬地支持專用DNN-1的UPF激活，支持訪問公網(wǎng)；無法訪問校園內(nèi)網(wǎng)業(yè)務(wù)。

3 方案對(duì)比

將以上描述的三種方案進(jìn)行總結(jié)，并在適用終端、APN配置、外地漫游等方面對(duì)比，如表1所示。

表1 校園網(wǎng)分流方案對(duì)比

通過以上對(duì)比，可以發(fā)現(xiàn)三種方案各有優(yōu)缺點(diǎn)，可以根據(jù)業(yè)務(wù)需求和網(wǎng)絡(luò)情況靈活選擇。

4 結(jié)束語

通過對(duì)校園網(wǎng)需求的分析和解決方案的介紹，對(duì)比分析了幾種解決方案的優(yōu)缺點(diǎn)，可以看出目前幾種校園網(wǎng)分流方案各有優(yōu)勢(shì)和弊端。其中，專用DNN+路由器分流方案是相對(duì)比較成熟的方案，可以向下兼容4G，但是存在增加時(shí)延與網(wǎng)絡(luò)開銷的問題，同時(shí)需要解決專網(wǎng)DNS解析的問題，可能影響用戶感知。ULCL分流作為5G網(wǎng)絡(luò)的新特性，不向下兼容4G網(wǎng)絡(luò)，但用戶可以直接使用公網(wǎng)DNN，使用公網(wǎng)業(yè)務(wù)感知較好，但存在專網(wǎng)地址沖突等問題需要規(guī)避，方案較復(fù)雜。采用專用DNN+ULCL可以解決終端和專網(wǎng)地址沖突問題，同時(shí)可以支持AAA等二次鑒權(quán)功能，但是需要使用DNN糾錯(cuò)，用戶漫游出省使用數(shù)據(jù)業(yè)務(wù)時(shí)需要回歸屬地，增加網(wǎng)絡(luò)開銷和時(shí)延。在網(wǎng)絡(luò)覆蓋不好的初期，可選用專用DNN+路由器分流方案，隨著5G信號(hào)覆蓋加強(qiáng)，ULCL方案逐漸成熟，校園網(wǎng)方案預(yù)計(jì)會(huì)越來越多采用DNN+ULCL方案。

在未來，隨著MEC功能的逐漸完善，分流與MEC、切片等功能結(jié)合后，可以有更廣泛的應(yīng)用，比如對(duì)特定的業(yè)務(wù)實(shí)現(xiàn)超低時(shí)延，或者依靠強(qiáng)大的邊緣計(jì)算能力輔助科研等等，分流可以為這些應(yīng)用提供支撐，并逐漸演進(jìn)出更加豐富的應(yīng)用。