通信世界网消息(CWW)5G是“新基建”的领头羊,也是数字经济发展的重要引擎,我国已建成全球最大规模的5G SA网络,正在依托5G推动千行百业的数智化转型。在5G时代,以行业应用为中心的to B业务以及增强的to C业务,都对网络提出了更高的要求,海量连接、大带宽、低时延、高可靠的需求不断推动着5G专网行业应用的发展。
5G建网优势显著
当前,Wi-Fi网络存在覆盖范围小、传输不稳定、移动性差、安全性较差等劣势,导致企业不愿意选择Wi-Fi技术建网。相比Wi-Fi,5G网络性能更强大、时延更低、覆盖更广、更稳定可靠、更安全,能够确保业务的连续性和海量接入。因此,大部分企业寻求将网络接入方案切换到4G或5G。5G与Wi-Fi网络性能对比如表1所示。
表1 5G与Wi-Fi网络性能对比
5G与4G关键性能指标对比如表2所示,与4G相比,5G网络关键性能指标有了质的提升,具有高速率、低时延、大容量、高可靠、海量连接等特点。
表2 5G与4G关键性能指标对比
5G是实现“人机物”互联的网络基础设施。5G标准的3个演进版本(R15、R16、R17)都已正式完成,紧接着是R18的立项与启动。R15版本奠定了5G基础,侧重eMBB(增强型移动宽带);R16主要面向行业拓展,侧重uRLLC(低延迟高可靠性);R17持续加强技术基础和垂直行业应用领域,侧重mMTC(大规模机器通信),将5G扩展至全新终端和应用;而R18则将5G扩展至所有终端和用例。基于5G技术的支撑,移动通信得以全面赋能行业和社会的数智化转型。
5G行业应用关键技术方案
电信运营商利用5G组网、网络切片和MEC等技术,为用户提供专属覆盖、网络定制、数据隔离、海量连接、高质量保障的差异化网络,从而实现大带宽和低时延的数据传输。同时,运营商还提供多租户网络隔离、数据不出园区的高安全可靠服务,满足业务自动发放、网络自主管理、智能运维等多样化网络服务需求。
MEC
在多接入边缘计算MEC(Multi-access edge computing)的支持下,云端算力下沉,终端算力上移,从而在边缘计算节点形成兼顾时延、成本和算力的汇聚点,这就是MEC存在的核心价值。同时,在园区的网络还存在数据安全和内网访问的需求,MEC可以作为运营商和企业内网之间的桥梁,实现大带宽、低时延、海量连接、实时交互、隐私保护、数据分流。行业用户可按需选择不同类型的MEC服务:选择共享型MEC,则以“多租户”方式共享边缘服务;选择专享型MEC,则实现物理隔离和数据本地卸载。
通过本地流量卸载以及与中心协同,MEC可以实现边缘数据计费、业务控制、安全管控。中国联通5G MEC网络功能如图1所示,边缘数据业务通过5GC核心网联动技术、同步本地流量计费技术、适配数据监听技术、本地业务的差异化QoS技术实现。其中5GC包含计费下发、业务控制策略、用户及业务使能策略等功能,通过MEC的边缘用户面网关与中心DC的GW-C/SMF之间支持Sx/N4接口,传送业务策略信息,GW-U/UPF作为核心网策略的执行者,执行计费、LI、业务控制功能。
图1 中国联通5G MEC网络功能中心DC部署集团级MEC业务平台(包含运营平台、运维平台和用户自助控制平台ME-Console),对内对接集团OSS、政企中台、NFVO、统一CT云管,对外提供开放能力接口及应用镜像供用户及开发者使用并集成开发。
本地DC在每个省分公司分别进行部署,包括MEPM、MEP等系统,MEPM负责所辖区域/省内所有边缘节点的MEP管理、镜像管理、数据采集功能。
边缘DC对应地市级核心/汇聚/接入节点以及用户现场节点,节点部署边缘UPF、ME_ICT-IaaS、MEP、ME-VAS,承载用户的具体业务应用。核心/汇聚节点一般承载布局类共享型业务,现场接入节点一般承载特定用户专享型业务。
UPF分流
MEC是一个边缘云平台,通过与5G网络结合(其中UPF是结合点),提供一种新的网络架构,将移动接入网与互联网业务深度融合。一方面通过本地分流来降低时延,满足用户极致体验需求,并节省带宽资源;另一方面将计算能力下沉到网络边缘位置,提供第三方应用集成,为移动边缘入口的服务创新提供了无限可能。MEC与UPF关系如图2所示。
图2 MEC与UPF关系UPF作为5GC网络用户面网元,主要支持UE业务数据的路由和转发、数据和业务识别、动作和策略执行等。在5G网络中,所有核心网数据必须经过UPF转发,才能流向外部网络。下面将介绍ULCL、LADN、IPv6等3种主要的UPF分流技术。
●ULCL分流
上行链路分类器ULCL(Uplink Classifiter)分流方案通过动态分流策略实现,以URL/UE位置/目的IP端口为分流维度实现业务分流。用户可沿用公网DNN,不换卡号无感切换内外网,移动办公舒心;本地流量本地卸载,本地数据不出园区,提供端到端安全保障,数据安全放心;to B/to C终端管理统一,简单省心。
ULCL分流业务实现流程如图3所示,通过NEF能力开放接口将业务信息(如UE位置、IP地址等)存储在UDR统一数据库中;在PCF上制定业务就近选择UPF的分流策略,用户访问大网和本地业务时,PCF将从UDR获取的业务应用信息和分流策略下发给SMF;SMF根据报文目的IP地址、UE位置和分流策略选择就近的ULCL UPF和PSA UPF;ULCL UPF基于对上行业务流特征的识别,把数据分流到本地服务器和远端会话锚点PSA UPF,实现不同业务的访问。
图3 ULCL分流业务实现流程●LADN分流
LADN(Local Area Data Network)技术以位置信息为分流维度实现业务分流。终端用户根据从核心网获得的LADN信息以及用户自身位置信息等,请求建立本地PDU会话。SMF通过合适的本地边缘UPF的选择和本地PDU会话的建立,实现本地边缘网络接入和本地应用访问,SMF发现终端用户移出LADN区域时,断开原PDU会话连接。当终端用户不在LADN区域时,即使发起LADN会话请求,SMF也会拒绝。
LADN分流业务实现流程如图4所示,基于LADN分流,可以实现企业应用本地分流和Internet业务隔离,UE只能在企业园区使用企业应用,实现安全隔离。同时,LADN借助URSP可精细地实现企业园区不同业务的控制,企业园区内不同业务选择不同的切片,实现差异化控制。该方式可以应用在有安全隔离需求、差异化控制需求的业务场景。
图4 LADN分流业务实现流程●IPv6分流
IPv6 Multi-homing(BP)分流业务实现流程如图5所示,以源IPv6地址前缀为分流维度实现业务分流。基于IPv6 Multi-homing(BP)分流,需要UE侧支持分流IPv6 Multi-homing,其业务实现流程与ULCL一致,通过对业务流IPv6 Multi-homing前缀的识别,支持分流数据到不同的UPF会话锚点。BP分流可以实现业务连续性多归属PDU会话与本地接入DN的多归属PDU会话。业务连续性多归属PDU会话可以实现在锚点切换过程中UE业务不受影响,可以获得连续性服务。本地接入DN的多归属PDU会话用于UE既需要接入本地业务(如本地服务器),又需要接入中心服务(如Internet)的应用场景。
图5 IPv6 Multi-homing(BP)分流业务实现流程网络切片
网络切片技术架构如图6所示,通过对5G无线网、承载网和核心网进行差异化配置,将一个物理网络切割成多个端到端的逻辑网络,基于用户签订的SLA业务服务协议,为不同垂直行业场景提供相互隔离、网络能力可定制的网络服务,提供特定网络能力和特性,贯通网络各环节,实现端到端的专网级SLA业务保障。
图6 网络切片技术架构无线侧通过QoS调度、RB资源预留进行切片配置及服务保障如表3所示。QoS调度通过5QI或切片ID+5QI为业务提供差异化服务保障;RB资源预留允许多切片共用同一个小区RB资源,并为一个切片或切片组分配不同的PRB份额,基站根据分配的份额进行资源的调度。
表3 无线侧配置及服务保障
承载网侧支持VPN+QoS、以太独立端口和Flex-E等3种切片技术。其中VPN+QoS是根据QoS优先级标识、时延等需求,在相应的虚拟网络上建立面向业务的连接隧道,实现承载切片。
核心网侧的用户面UPF根据时延、分流需求,可按需下沉部署。根据核心网网元部署不同,有完全共享、部分共享和完全独立3种模式可供选择。
安全架构
5G在行业应用部署中会出现新的安全风险。由于部署位置下沉至边缘节点,用户面网元下沉至网络边缘侧,而网络边缘侧是网络非信任域,存在安全防护弱、易被攻击的安全风险。由于系统云化部署,应用共享存储资源,存在业务系统之间非法访问数据、虚拟机镜像被篡改、虚拟迁移引发数据泄露等安全风险。由于引入第三方不可信应用,将会出现MEP管理权限遭非法窃取、集成不可信第三方应用、恶意应用伪装成为合法应用获取相应网络资源等安全风险。
通过新的网络安全架构应对上述安全风险,通过多点隔离、层层防护,建立安全可信的5G行业应用部署,可以依据行业用户需求、实际部署情况调整安全网络部署架构,5G行业应用安全架构如图7所示。
图7 5G行业应用安全架构●外部攻击防护
在DC入口部署防火墙,防止类似DDos的攻击,内部硬件资源合理划分、预留,应用实现流控。
●领域隔离
DC内部按照RAN、CN、第三方APP划分为3个VDC,通过硬件隔离的同时部署独立防火墙实现领域隔离。
●CN子域隔离
由于子域可能源自不同厂家,需划分网元子域和MEC子域,隔离I层资源,按照实际业务需求增加vFW实现CN子域隔离。
●应用隔离
不同APP部署在不同主机组上,隔离I层资源,因内容安全较为敏感,需要通过增加vFW实现应用隔离。
●安全加密隧道
需要基于TLS、IPSEC等安全加密隧道实现安全的业务云边协同。
●分权分域管理
需要运营商与APP应用操作管理界面上分权分域,确保业务安全。
在5G高速发展的今天,5G行业应用的推广至关重要。目前已经具备了5G组网、MEC、UPF分流、切片、安全架构等较为完善的技术支撑体系,一大批垂直行业应用已有5G的身影。而如何使5G更好地赋能社会和行业的数智化转型,仍需多方共同探讨。