盧紹朋，付 艷，宋旭光

（1.中國移動通信集團(tuán)設(shè)計院有限公司 河南分公司，河南 鄭州 450008；2.中國移動通信集團(tuán)設(shè)計院有限公司，北京 100080）

0 引 言

5G時代，為了滿足AR/VR、物聯(lián)網(wǎng)、工業(yè)自動化、無人駕駛等新業(yè)務(wù)的高帶寬、低時延需求，對5G網(wǎng)絡(luò)進(jìn)行邊緣分布式重構(gòu)將成為必然選擇[1]?；诜?wù)化架構(gòu)（Service-Based Architecture，SBA）的5G網(wǎng)絡(luò)，網(wǎng)元將控制面（Control Plane，CP）和用戶面（User Plane，UP）分離，可以靈活地將用戶面下沉到網(wǎng)絡(luò)邊緣，一跳直達(dá)，滿足毫秒級業(yè)務(wù)需求。5G系統(tǒng)中實體用戶面功能(User Plane Function，UPF)下沉到靠近接入網(wǎng)位置，可以縮短某些特定業(yè)務(wù)的時延，提高用戶的業(yè)務(wù)體驗[2]。5G UPF功能受5G核心網(wǎng)控制面統(tǒng)一管理，其分流策略由5G核心網(wǎng)統(tǒng)一配置。5G網(wǎng)絡(luò)還引入3種業(yè)務(wù)與會話連續(xù)性模式來支持邊緣計算，保證終端高移動性場景下的用戶體驗。用戶面網(wǎng)元的靈活下沉部署使5G網(wǎng)絡(luò)可以靈活地接入邊緣計算資源，促進(jìn)了邊緣計算的發(fā)展?？紤]到5G低時延、大帶寬、高流量業(yè)務(wù)特性，為提高用戶感知，降低省干資源消耗，5G用戶面設(shè)備全部下沉至各地市、區(qū)縣、企業(yè)園區(qū)等。

與傳統(tǒng)云計算相比，邊緣計算的部署位置更靠近用戶。根據(jù)UPF承載業(yè)務(wù)不同，將ToB UPF分為專線UPF、共享式邊緣UPF以及園區(qū)入駐式邊緣UPF，具體規(guī)劃拓?fù)淙鐖D1所示[3]。

圖1 ToB核心網(wǎng)規(guī)劃拓?fù)?/p>

（1）專線UPF。根據(jù)現(xiàn)網(wǎng)物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展情況，ToB網(wǎng)絡(luò)存在大量通過GRE、IPsec、L2TP等專線接入的業(yè)務(wù)平臺。為便于上述業(yè)務(wù)平臺集中接入，以省為單位集中部署ToB網(wǎng)絡(luò)專線UPF，用于疏通GRE、IPsec、L2TP等專線類業(yè)務(wù)。

（2）共享式邊緣UPF。通常部署于市、區(qū)、縣邊緣，適用于高帶寬、時延敏感、數(shù)據(jù)機(jī)密性較強(qiáng)的業(yè)務(wù)。將UPF下沉到移動邊緣節(jié)點，基于深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Networks，DNN）或IP地址等識別用戶，并根據(jù)分流策略對用戶流量進(jìn)行分流，對需要本地處理的數(shù)據(jù)流進(jìn)行本地轉(zhuǎn)發(fā)和路由，避免流量迂回，降低數(shù)據(jù)轉(zhuǎn)發(fā)時延，提升用戶體驗。

（3）園區(qū)入駐式邊緣UPF。按需部署于企業(yè)機(jī)房，行業(yè)應(yīng)用和工業(yè)環(huán)境與公眾網(wǎng)有很大的不同。企業(yè)級UPF除了實現(xiàn)基本的流量轉(zhuǎn)發(fā)、本地分流外，還從不同維度進(jìn)行了增強(qiáng)，例如功能簡化可定制、運維便捷、數(shù)據(jù)不出園區(qū)、超高安全性等[4]。

1 ToB邊緣UPF部署方案

1.1 邊緣UPF承載網(wǎng)絡(luò)組織和承載方式

針對ToB UPF組網(wǎng)要求，面向邊緣UPF用于地市范圍或地市部分區(qū)域范圍內(nèi)的基站接入ToB網(wǎng)絡(luò)，并為該地市企業(yè)用戶提供業(yè)務(wù)疏通能力，滿足業(yè)務(wù)體驗等相關(guān)需求。邊緣UPF與5G NR間的N3接口參考EPC S1-U接口，N3接口通過加密虛擬網(wǎng)絡(luò)（Secret Private Network，SPN）承載。邊緣UPF與會話管理功能（Session Management Function，SMF）間的N4接口參考EPC GW-C與GW-U間的Sx接口，UPF和SMF通過同局址CE接入IP專用承載網(wǎng)。邊緣UPF與外部數(shù)據(jù)網(wǎng)絡(luò)的N6接口參考EPC SGi接口（非VoLTE業(yè)務(wù)），采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。N9接口為邊緣UPF間接口，主要應(yīng)用于UPF分級部署場景，參考EPC S5/S8接口，采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。

依據(jù)網(wǎng)絡(luò)組織及承載要求，邊緣UPF需要接入IP專網(wǎng)、CMNET承載網(wǎng)、PTN/SPN等網(wǎng)絡(luò)。標(biāo)準(zhǔn)UPF組網(wǎng)方式為：UPF上聯(lián)同局址業(yè)務(wù)CE疏通N4接口，上聯(lián)同局址網(wǎng)管CE疏通網(wǎng)管接口；基站與AMF的N2接口通過SPN+DC方式疏通。當(dāng)邊緣入駐式UPF部署到企業(yè)園區(qū)時，由于企業(yè)園區(qū)資源不足，因此會導(dǎo)致媒體面和控制面無法互通。提出UPF非標(biāo)組網(wǎng)方式，即UPF到SMF的N4接口信令流量通過傳輸網(wǎng)+IP專網(wǎng)疏通解決方案。邊緣UPF組網(wǎng)方式對比如圖2所示。

圖2 邊緣UPF組網(wǎng)方式對比

1.2 容災(zāi)備份組網(wǎng)方案建議

共享式邊緣UPF元容災(zāi)備份組網(wǎng)方案有兩種，即主備網(wǎng)元的容災(zāi)備份實現(xiàn)機(jī)制和負(fù)荷分擔(dān)（組POOL）網(wǎng)元的容災(zāi)備份實現(xiàn)機(jī)制。主備網(wǎng)元之間的容災(zāi)備份機(jī)制包括正常情況下主備網(wǎng)元之間的工作方式、需要傳送的數(shù)據(jù)、需要同步的數(shù)據(jù)、周邊網(wǎng)元尋址主用網(wǎng)元所需要配置的數(shù)據(jù)、主用網(wǎng)元故障時主備網(wǎng)元之間的切換機(jī)制、周邊網(wǎng)元將業(yè)務(wù)切換到備份網(wǎng)元所需配置的數(shù)據(jù)等。同時，需要防止主備用網(wǎng)元的“雙活”和“乒乓”。負(fù)荷分擔(dān)（組POOL）網(wǎng)元的容災(zāi)備份實現(xiàn)機(jī)制包括正常情況下網(wǎng)元之間的工作方式、需要傳送的數(shù)據(jù)、需要同步的數(shù)據(jù)、周邊網(wǎng)元尋址POOL內(nèi)各負(fù)荷分擔(dān)網(wǎng)元所需要配置的數(shù)據(jù)、當(dāng)其中一個網(wǎng)元故障時網(wǎng)元之間的切換機(jī)制以及周邊網(wǎng)元將業(yè)務(wù)切換到備份網(wǎng)元所需配置的數(shù)據(jù)等。

備份網(wǎng)元資源配置有兩種：一是初始配置時創(chuàng)建容災(zāi)備份資源所需的虛機(jī)，當(dāng)主用網(wǎng)元故障時由備份網(wǎng)元接管業(yè)務(wù)，業(yè)務(wù)自動分配至備份資源虛機(jī)；二是初始配置時僅創(chuàng)建主用資源所需的虛機(jī)，不創(chuàng)建容災(zāi)備份資源所需的虛機(jī)，當(dāng)主用網(wǎng)元故障時由備份網(wǎng)元接管業(yè)務(wù)，自動彈性擴(kuò)容（Scale-out）出備份資源所需的虛機(jī)，并將接管的業(yè)務(wù)自動分配至備份資源虛機(jī)[5]。

園區(qū)入駐式邊緣UPF容災(zāi)要求設(shè)備內(nèi)部實現(xiàn)板塊級容災(zāi)、傳輸具備雙路由。園區(qū)邊緣UPF安全要求包括防止惡意用戶非法訪問企業(yè)內(nèi)網(wǎng)、提供終端到企業(yè)的傳輸加密、UPF數(shù)據(jù)統(tǒng)計核查、企業(yè)AAA二次鑒權(quán)等。外置物理防火墻隔離和防護(hù)，基于IPsec、TLS安全協(xié)議進(jìn)行傳輸加密，保證平臺自有應(yīng)用、第三方應(yīng)用代碼安全和接口安全，對第三方應(yīng)用實施數(shù)字簽名并進(jìn)行完整性校驗。對可信資源隔離，部署虛擬機(jī)訪問控制配置。此外，還需保證物理場所水電、結(jié)構(gòu)的安全，設(shè)置出入口控制系統(tǒng)、入侵報警系統(tǒng)、視頻監(jiān)控系統(tǒng)等。

2 企業(yè)平臺接入方案

2.1 企業(yè)平臺路由及應(yīng)用場景

用戶與企業(yè)平臺同地市時，用戶通過5G基站經(jīng)SPN至本地市ToB UPF，再接至企業(yè)平臺。用戶與企業(yè)平臺異地市時，通過5G基站接入本地市ToB UPF，通過N9接口接至企業(yè)平臺。企業(yè)平臺接入方案如圖3所示。

圖3 企業(yè)平臺接入方案

IP專網(wǎng)接入場景為全國業(yè)務(wù)場景，需要跨省與UPF互通，業(yè)務(wù)路由較長，不適合對時延要求較高的業(yè)務(wù)。CMNET接入場景中，企業(yè)業(yè)務(wù)服務(wù)器直接上公網(wǎng)，通過公網(wǎng)與UPF互通，業(yè)務(wù)邏輯隔離且按需靈活配置，可通過GRE隧道技術(shù)實現(xiàn)安全保障。傳輸專線接入場景中，企業(yè)租賃運營商傳輸專線來實現(xiàn)與UPF互通[6]。

2.2 企業(yè)接入ToB UPF的3種方式

（1）IP專網(wǎng)接入方式。省內(nèi)業(yè)務(wù)平臺通過傳輸PTN/SPN至省內(nèi)AR，再通過IP專網(wǎng)與外省UPF進(jìn)行互通，如圖4所示。

圖4 IP專網(wǎng)接入示例

（2）CMNET接入方式。UPF與DN網(wǎng)絡(luò)、其他UPF間通過CMNet實現(xiàn)互聯(lián)，UPF的N6、N9、S5接口接入配套建設(shè)的成對CMNeT路由器，CMNeT路由器成對與CMNet防火墻“口”字型連接。

（3）傳輸專線目標(biāo)接入方式。新建專線路由器/交換機(jī)和專線防火墻，再通過傳輸專線與企業(yè)業(yè)務(wù)平臺進(jìn)行互通。對于專線路由器/交換機(jī)的選擇，針對ToB業(yè)務(wù)發(fā)展?jié)摿Υ蟮牡厥信渲脤＞€路由器，其他地市配置交換機(jī)。對于一個地市，每個機(jī)房放置兩臺專線路由器/交換機(jī)，以“口”字型與同機(jī)房兩臺CMNET防火墻相連，如圖5所示。

圖5 CMNET接入混合傳輸專線目標(biāo)接入示例

（4）傳輸專線接入臨時方式。如果UPF機(jī)房尚未建設(shè)專線路由器/交換機(jī)設(shè)備，可通過CMNET防火墻與傳輸專線直接進(jìn)行互通，如圖6所示。

圖6 傳輸專線臨時接入示例

綜上所述，IP專網(wǎng)方式適用于連接跨省UPF的企業(yè)業(yè)務(wù)平臺，CMNET方式適用于沒有明確接入方式的企業(yè)或預(yù)算較少的企業(yè)，傳輸專線方式適用于有明確租賃專線業(yè)務(wù)或?qū)Π踩浴⒖煽啃砸筝^高的企業(yè)[7]。

3 結(jié) 論

5G時代背景下，UPF設(shè)備的應(yīng)用成為運營商數(shù)字化轉(zhuǎn)型的關(guān)鍵。運營商依托邊緣網(wǎng)絡(luò)出口，結(jié)合無線網(wǎng)絡(luò)感知優(yōu)化和無線能力開放，可以實現(xiàn)從連接管道向業(yè)務(wù)使能平臺的跨越式轉(zhuǎn)型。對于行業(yè)用戶來說，邊緣UPF的解決方案可將園區(qū)或企業(yè)的網(wǎng)絡(luò)流量進(jìn)行本地分流，實現(xiàn)企業(yè)網(wǎng)絡(luò)的本地管理和本地運營，滿足企業(yè)內(nèi)部的移動辦公、視頻監(jiān)控、現(xiàn)場數(shù)據(jù)采集等業(yè)務(wù)的實時性、高帶寬等需求。