ToB網絡邊緣用戶面功能部署及企業平臺接入方式研究

盧紹朋，付 艷，宋旭光

（1.中國移動通信集團設計院有限公司 河南分公司，河南 鄭州 450008；2.中國移動通信集團設計院有限公司，北京 100080）

0 引 言

5G時代，為了滿足AR/VR、物聯網、工業自動化、無人駕駛等新業務的高帶寬、低時延需求，對5G網絡進行邊緣分布式重構將成為必然選擇[1]?；诜栈軜嫞⊿ervice-Based Architecture，SBA）的5G網絡，網元將控制面（Control Plane，CP）和用戶面（User Plane，UP）分離，可以靈活地將用戶面下沉到網絡邊緣，一跳直達，滿足毫秒級業務需求。5G系統中實體用戶面功能(User Plane Function，UPF)下沉到靠近接入網位置，可以縮短某些特定業務的時延，提高用戶的業務體驗[2]。5G UPF功能受5G核心網控制面統一管理，其分流策略由5G核心網統一配置。5G網絡還引入3種業務與會話連續性模式來支持邊緣計算，保證終端高移動性場景下的用戶體驗。用戶面網元的靈活下沉部署使5G網絡可以靈活地接入邊緣計算資源，促進了邊緣計算的發展。考慮到5G低時延、大帶寬、高流量業務特性，為提高用戶感知，降低省干資源消耗，5G用戶面設備全部下沉至各地市、區縣、企業園區等。

與傳統云計算相比，邊緣計算的部署位置更靠近用戶。根據UPF承載業務不同，將ToB UPF分為專線UPF、共享式邊緣UPF以及園區入駐式邊緣UPF，具體規劃拓撲如圖1所示[3]。

圖1 ToB核心網規劃拓撲

（1）專線UPF。根據現網物聯網業務發展情況，ToB網絡存在大量通過GRE、IPsec、L2TP等專線接入的業務平臺。為便于上述業務平臺集中接入，以省為單位集中部署ToB網絡專線UPF，用于疏通GRE、IPsec、L2TP等專線類業務。

（2）共享式邊緣UPF。通常部署于市、區、縣邊緣，適用于高帶寬、時延敏感、數據機密性較強的業務。將UPF下沉到移動邊緣節點，基于深度神經網絡（Deep Neural Networks，DNN）或IP地址等識別用戶，并根據分流策略對用戶流量進行分流，對需要本地處理的數據流進行本地轉發和路由，避免流量迂回，降低數據轉發時延，提升用戶體驗。

（3）園區入駐式邊緣UPF。按需部署于企業機房，行業應用和工業環境與公眾網有很大的不同。企業級UPF除了實現基本的流量轉發、本地分流外，還從不同維度進行了增強，例如功能簡化可定制、運維便捷、數據不出園區、超高安全性等[4]。

1 ToB邊緣UPF部署方案

1.1 邊緣UPF承載網絡組織和承載方式

針對ToB UPF組網要求，面向邊緣UPF用于地市范圍或地市部分區域范圍內的基站接入ToB網絡，并為該地市企業用戶提供業務疏通能力，滿足業務體驗等相關需求。邊緣UPF與5G NR間的N3接口參考EPC S1-U接口，N3接口通過加密虛擬網絡（Secret Private Network，SPN）承載。邊緣UPF與會話管理功能（Session Management Function，SMF）間的N4接口參考EPC GW-C與GW-U間的Sx接口，UPF和SMF通過同局址CE接入IP專用承載網。邊緣UPF與外部數據網絡的N6接口參考EPC SGi接口（非VoLTE業務），采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。N9接口為邊緣UPF間接口，主要應用于UPF分級部署場景，參考EPC S5/S8接口，采用CMNet承載，UPF通過CMNet防火墻接入CMNet接入路由器。

依據網絡組織及承載要求，邊緣UPF需要接入IP專網、CMNET承載網、PTN/SPN等網絡。標準UPF組網方式為：UPF上聯同局址業務CE疏通N4接口，上聯同局址網管CE疏通網管接口；基站與AMF的N2接口通過SPN+DC方式疏通。當邊緣入駐式UPF部署到企業園區時，由于企業園區資源不足，因此會導致媒體面和控制面無法互通。提出UPF非標組網方式，即UPF到SMF的N4接口信令流量通過傳輸網+IP專網疏通解決方案。邊緣UPF組網方式對比如圖2所示。

圖2 邊緣UPF組網方式對比

1.2 容災備份組網方案建議

共享式邊緣UPF元容災備份組網方案有兩種，即主備網元的容災備份實現機制和負荷分擔（組POOL）網元的容災備份實現機制。主備網元之間的容災備份機制包括正常情況下主備網元之間的工作方式、需要傳送的數據、需要同步的數據、周邊網元尋址主用網元所需要配置的數據、主用網元故障時主備網元之間的切換機制、周邊網元將業務切換到備份網元所需配置的數據等。同時，需要防止主備用網元的“雙活”和“乒乓”。負荷分擔（組POOL）網元的容災備份實現機制包括正常情況下網元之間的工作方式、需要傳送的數據、需要同步的數據、周邊網元尋址POOL內各負荷分擔網元所需要配置的數據、當其中一個網元故障時網元之間的切換機制以及周邊網元將業務切換到備份網元所需配置的數據等。

備份網元資源配置有兩種：一是初始配置時創建容災備份資源所需的虛機，當主用網元故障時由備份網元接管業務，業務自動分配至備份資源虛機；二是初始配置時僅創建主用資源所需的虛機，不創建容災備份資源所需的虛機，當主用網元故障時由備份網元接管業務，自動彈性擴容（Scale-out）出備份資源所需的虛機，并將接管的業務自動分配至備份資源虛機[5]。

園區入駐式邊緣UPF容災要求設備內部實現板塊級容災、傳輸具備雙路由。園區邊緣UPF安全要求包括防止惡意用戶非法訪問企業內網、提供終端到企業的傳輸加密、UPF數據統計核查、企業AAA二次鑒權等。外置物理防火墻隔離和防護，基于IPsec、TLS安全協議進行傳輸加密，保證平臺自有應用、第三方應用代碼安全和接口安全，對第三方應用實施數字簽名并進行完整性校驗。對可信資源隔離，部署虛擬機訪問控制配置。此外，還需保證物理場所水電、結構的安全，設置出入口控制系統、入侵報警系統、視頻監控系統等。

2 企業平臺接入方案

2.1 企業平臺路由及應用場景

用戶與企業平臺同地市時，用戶通過5G基站經SPN至本地市ToB UPF，再接至企業平臺。用戶與企業平臺異地市時，通過5G基站接入本地市ToB UPF，通過N9接口接至企業平臺。企業平臺接入方案如圖3所示。

圖3 企業平臺接入方案

IP專網接入場景為全國業務場景，需要跨省與UPF互通，業務路由較長，不適合對時延要求較高的業務。CMNET接入場景中，企業業務服務器直接上公網，通過公網與UPF互通，業務邏輯隔離且按需靈活配置，可通過GRE隧道技術實現安全保障。傳輸專線接入場景中，企業租賃運營商傳輸專線來實現與UPF互通[6]。

2.2 企業接入ToB UPF的3種方式

（1）IP專網接入方式。省內業務平臺通過傳輸PTN/SPN至省內AR，再通過IP專網與外省UPF進行互通，如圖4所示。

圖4 IP專網接入示例

（2）CMNET接入方式。UPF與DN網絡、其他UPF間通過CMNet實現互聯，UPF的N6、N9、S5接口接入配套建設的成對CMNeT路由器，CMNeT路由器成對與CMNet防火墻“口”字型連接。

（3）傳輸專線目標接入方式。新建專線路由器/交換機和專線防火墻，再通過傳輸專線與企業業務平臺進行互通。對于專線路由器/交換機的選擇，針對ToB業務發展潛力大的地市配置專線路由器，其他地市配置交換機。對于一個地市，每個機房放置兩臺專線路由器/交換機，以“口”字型與同機房兩臺CMNET防火墻相連，如圖5所示。

圖5 CMNET接入混合傳輸專線目標接入示例

（4）傳輸專線接入臨時方式。如果UPF機房尚未建設專線路由器/交換機設備，可通過CMNET防火墻與傳輸專線直接進行互通，如圖6所示。

圖6 傳輸專線臨時接入示例

綜上所述，IP專網方式適用于連接跨省UPF的企業業務平臺，CMNET方式適用于沒有明確接入方式的企業或預算較少的企業，傳輸專線方式適用于有明確租賃專線業務或對安全性、可靠性要求較高的企業[7]。

3 結 論

5G時代背景下，UPF設備的應用成為運營商數字化轉型的關鍵。運營商依托邊緣網絡出口，結合無線網絡感知優化和無線能力開放，可以實現從連接管道向業務使能平臺的跨越式轉型。對于行業用戶來說，邊緣UPF的解決方案可將園區或企業的網絡流量進行本地分流，實現企業網絡的本地管理和本地運營，滿足企業內部的移動辦公、視頻監控、現場數據采集等業務的實時性、高帶寬等需求。