阜寧阿特斯下沉UPF從STN A設(shè)備接入實例

蔡 曜

中國電信股份有限公司鹽城分公司

0 引言

我國高度重視5G與工業(yè)互聯(lián)網(wǎng)的融合發(fā)展，各省市也紛紛推進(jìn)“5G+工業(yè)互聯(lián)網(wǎng)”的應(yīng)用示范落地。2017年11月，國務(wù)院明確將5G列為工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并開展5G面向工業(yè)互聯(lián)網(wǎng)應(yīng)用的網(wǎng)絡(luò)技術(shù)試驗，協(xié)同推進(jìn)5G在工業(yè)企業(yè)的應(yīng)用部署。2018年12月，工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)及推廣指南》，工作目標(biāo)中指出，到2020年，形成相對完善的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)頂層設(shè)計，初步建成工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和技術(shù)產(chǎn)業(yè)體系。5G作為工廠外網(wǎng)及內(nèi)網(wǎng)的重要組成部分，將在標(biāo)準(zhǔn)、標(biāo)桿網(wǎng)絡(luò)、公共服務(wù)平臺、測試床等方面獲得國家項目及政策支撐。2019年，工業(yè)和信息化部在工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程中設(shè)置工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)5G網(wǎng)絡(luò)化改造及推廣服務(wù)平臺項目，支持5家國內(nèi)工業(yè)企業(yè)及聯(lián)合體開展5G內(nèi)網(wǎng)部署模式、應(yīng)用孵化推廣、對外公共服務(wù)等方面的探索。

1 問題描述

1.1 概述

阜寧阿特斯公司坐落于鹽城阜寧縣經(jīng)濟(jì)開發(fā)區(qū)，占地350畝，是一家集高效太陽能電池片的研發(fā)和生產(chǎn)為一體的高新技術(shù)企業(yè)。阜寧阿特斯陽光電力科技有限公司“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用建設(shè)項目，由總控中心、MES生產(chǎn)制造執(zhí)行系統(tǒng)、SCADA設(shè)備數(shù)據(jù)管理采集系統(tǒng)、EMS能源管理系統(tǒng)、廠區(qū)監(jiān)控AI分析系統(tǒng)、其他輔助系統(tǒng)等六個部分組成，藍(lán)圖如圖1所示。

圖1 數(shù)字化阿特斯建設(shè)藍(lán)圖

建設(shè)藍(lán)圖的設(shè)計基于國家及相關(guān)國際標(biāo)準(zhǔn)組織的定義。智能工廠管理平臺目前分為智能基礎(chǔ)服務(wù)、設(shè)備、應(yīng)用、智能管理及展現(xiàn)層五個層次。基礎(chǔ)服務(wù)層主要是為平臺提供強(qiáng)大的不間斷運行及擴(kuò)展能力；設(shè)備層則是通過各類設(shè)備及儀表自動化的數(shù)據(jù)采集為相關(guān)業(yè)務(wù)系統(tǒng)提供高質(zhì)量的大數(shù)據(jù)基礎(chǔ)保障；在應(yīng)用層，MES等強(qiáng)大的業(yè)務(wù)管理系統(tǒng)將為各項業(yè)務(wù)工作的開展提供穩(wěn)健支持；在智能管理層，基于ERP及大數(shù)據(jù)經(jīng)營決策輔助系統(tǒng)，為企業(yè)各級管理者提供全面有效的經(jīng)營決策支持，最終通過私有大數(shù)據(jù)平臺衍生的領(lǐng)導(dǎo)、部門、個人、供應(yīng)商、客戶等多類門戶為各類用戶提供完善的業(yè)務(wù)支持。

1.2 網(wǎng)絡(luò)架構(gòu)

依據(jù)阜寧阿特斯5G工業(yè)互聯(lián)網(wǎng)項目藍(lán)圖，在SA組網(wǎng)情況下，部署MEC和UPF，UPF下沉到用戶側(cè)機(jī)房，實現(xiàn)本地業(yè)務(wù)和非本地業(yè)務(wù)的分流。組網(wǎng)充分發(fā)揮5G專網(wǎng)具有大帶寬、廣連接、低時延、安全性高等諸多優(yōu)勢，其網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)架構(gòu)圖

云平臺服務(wù)器、算法推理和終端管理服務(wù)器、大屏可視化服務(wù)器等專線接入核心三層交換機(jī)，在公司內(nèi)部建立局域網(wǎng)。同時交換機(jī)與UPF和STN A設(shè)備相連，UPF對基站的訪問控制實現(xiàn)公司內(nèi)部與內(nèi)部、內(nèi)部與外部的信息共享。同時依據(jù)用戶策略表，UPF分析用戶的訪問權(quán)限，實現(xiàn)內(nèi)網(wǎng)的保護(hù)。

1.3 小結(jié)

阜寧阿特斯5G工業(yè)互聯(lián)網(wǎng)項目，采用UPF下沉的方式實現(xiàn)5G專網(wǎng)。UPF如何接入STN網(wǎng)絡(luò)，實現(xiàn)與B設(shè)備的互通，UPF和B設(shè)備怎樣配置，可以區(qū)分不同業(yè)務(wù)類型，實現(xiàn)訪問的控制。

2 分析過程

2.1 業(yè)務(wù)數(shù)據(jù)流

內(nèi)網(wǎng)業(yè)務(wù)：部分應(yīng)用載體（數(shù)采盒子、5G攝像頭、5G網(wǎng)關(guān)等）發(fā)起媒體面數(shù)據(jù)交互請求時，訪問的目的地址為廠區(qū)內(nèi)網(wǎng)的服務(wù)器基站，根據(jù)目的地址將數(shù)據(jù)包發(fā)送給傳輸A設(shè)備（A設(shè)備會給數(shù)據(jù)包打上VLAN標(biāo)簽），A設(shè)備收到數(shù)據(jù)包后，分析數(shù)據(jù)包的VLAN值（A設(shè)備根據(jù)配置的VLAN值找到B設(shè)備），將數(shù)據(jù)包發(fā)給B設(shè)備，B設(shè)備分析基站的原IP地址，如果是廠區(qū)的基站，會做路由重定向，就將數(shù)據(jù)包發(fā)給MEC UPF設(shè)備，UPF設(shè)備根據(jù)之前保存的用戶策略表分析用戶訪問權(quán)限，發(fā)現(xiàn)該用戶只能訪問企業(yè)內(nèi)網(wǎng)，并且數(shù)據(jù)包的目的地址為廠區(qū)內(nèi)網(wǎng)，將數(shù)據(jù)包發(fā)送給企業(yè)內(nèi)部服務(wù)器，如果B設(shè)備分析數(shù)據(jù)包來源于非廠區(qū)基站，會將數(shù)據(jù)包發(fā)送到南京的核心網(wǎng)UPF設(shè)備，進(jìn)而訪問公網(wǎng)。

公網(wǎng)業(yè)務(wù)：用戶訪問公網(wǎng)地址發(fā)起數(shù)據(jù)包，數(shù)據(jù)包發(fā)給基站后，基站將數(shù)據(jù)包轉(zhuǎn)發(fā)給A設(shè)備（A設(shè)備會給數(shù)據(jù)打上VLAN標(biāo)簽），A設(shè)備根據(jù)數(shù)據(jù)包的VLAN標(biāo)簽，將數(shù)據(jù)包轉(zhuǎn)發(fā)給B設(shè)備，B設(shè)備分析數(shù)據(jù)包的原IP地址為廠區(qū)基站地址，對數(shù)據(jù)包原IP做路由重定向，將數(shù)據(jù)包發(fā)送給MEC UPF設(shè)備，UPF設(shè)備根據(jù)之前保存的用戶策略表分析用戶訪問權(quán)限，發(fā)現(xiàn)該用戶訪問公網(wǎng)地址，把數(shù)據(jù)包發(fā)送給B設(shè)備，B設(shè)備根據(jù)目的地址通過省際長途傳輸網(wǎng)發(fā)送給南京核心網(wǎng)MEC UPF設(shè)備，南京核心網(wǎng)UPF設(shè)備根據(jù)公網(wǎng)的目的地址發(fā)送給CTNET設(shè)備，用戶可以訪問公網(wǎng)。

2.2 配置思路

參考STN網(wǎng)絡(luò)業(yè)務(wù)配置，VPN的配置在B設(shè)備以上，不同的VPN實例可以做路由、端口和策略等的區(qū)分，本次阜寧阿特斯5G工業(yè)互聯(lián)網(wǎng)項目包含UPF的下沉等操作，需要4G、5G流量業(yè)務(wù)并新增VPN，在B設(shè)備上做不同的VPN區(qū)分是最合理的。

考慮實際網(wǎng)關(guān)路由器DC-GW端口和STN A設(shè)備端口兼容，同時A設(shè)備端口較為靈活，適合擴(kuò)容和調(diào)整，二層的透傳應(yīng)在A設(shè)備上配置。根據(jù)省公司統(tǒng)一規(guī)劃的地址段，生成相應(yīng)的配置清單，再請省公司打通省核心到阜寧阿特斯UPF的路由，方便該項目以后的安裝調(diào)測。

3 解決方案

3.1 設(shè)備接入

阜寧阿特斯5G工業(yè)互聯(lián)網(wǎng)項目配置的網(wǎng)關(guān)路由器DC-GW型號為NE8000，提供的端口有10G和25G兩種類型，而鹽城STN網(wǎng)絡(luò)B設(shè)備CX600-X8A只能提供50G或100G端口，并不能實現(xiàn)直接的對接，但是STN網(wǎng)絡(luò)A設(shè)備ATN-980C可以提供10G端口，因此UPF通過A設(shè)備與B設(shè)備對接，拓?fù)淙缦拢涸谑┣f的A設(shè)備和阿特斯的A設(shè)備上各使用一個10G端口，做雙上行主備用保護(hù)，物理端口的接入方式如圖3所示。

圖3 UPF雙上行接入STN A設(shè)備

其中，施莊A1、阿特斯A1屬于同一A環(huán)，上行至721B1、738B1運行OSPF協(xié)議；721B1、738B1上行至兩臺ER運行ISIS協(xié)議，具體網(wǎng)絡(luò)拓?fù)淙鐖D4所示。STN網(wǎng)絡(luò)為5G基站的回傳傳輸網(wǎng)絡(luò)，4G、5G業(yè)務(wù)VPN實例的名稱為CDMARAN。

圖4 STN網(wǎng)絡(luò)拓?fù)鋱D

3.2 VPN區(qū)分業(yè)務(wù)類型

根據(jù)業(yè)務(wù)類型規(guī)劃對應(yīng)的VPN，其中CDMA-RAN已存在，在B設(shè)備上新建CDMA-EPC做下沉和CDMA-Outband做管理。

表1 中UPF的N3/N6口基于IPsec傳輸加密，生產(chǎn)數(shù)據(jù)可實現(xiàn)5GC網(wǎng)絡(luò)層數(shù)據(jù)加密和應(yīng)用層自行數(shù)據(jù)加密，數(shù)據(jù)實現(xiàn)雙重加密；UPF和企業(yè)內(nèi)網(wǎng)之間采用防火墻隔離，遵循數(shù)據(jù)最小化使用、最小化接觸原則，僅保證企業(yè)需要傳輸?shù)臄?shù)據(jù)通過UPF轉(zhuǎn)發(fā)；UPF的N3/N6口均可實現(xiàn)流量監(jiān)控統(tǒng)計，可有效識別異常流量，并自證無外發(fā)流量；生產(chǎn)數(shù)據(jù)通過下沉UPF轉(zhuǎn)發(fā)，上下行流量均在企業(yè)內(nèi)完成轉(zhuǎn)發(fā)，數(shù)據(jù)不出企業(yè)，有效控制生產(chǎn)數(shù)據(jù)泄露風(fēng)險。

表1 VPN規(guī)劃表

本項目使用定制DNN及切片，所有終端號碼簽約定制DNN+切片，UPF僅支持該DNN及切片接入，實現(xiàn)僅允許授權(quán)用戶接入用戶網(wǎng)絡(luò)功能；在用戶網(wǎng)絡(luò)內(nèi)設(shè)置DMZ域，新建一套二次認(rèn)證AAA，當(dāng)5G終端接入5G制造專網(wǎng)時，企業(yè)能自主對網(wǎng)絡(luò)、終端進(jìn)行接入認(rèn)證，防止號卡被盜引起的惡意接入，5G網(wǎng)絡(luò)需提供必要認(rèn)證信息；認(rèn)證消息由SMF發(fā)出，通過N4接口由UPF透傳至二次認(rèn)證AAA，有效規(guī)避大網(wǎng)設(shè)備域企業(yè)設(shè)備的直接對接。5G網(wǎng)路提供接口，當(dāng)企業(yè)發(fā)現(xiàn)設(shè)備風(fēng)險時，可進(jìn)行阻斷接入、踢設(shè)備下線等操作。

3.3 Eth-Trunk和二層VSI透傳

由于A只做二層透傳，A設(shè)備上建立VSI（虛擬交換實例），同時建立Eth-Trunk接口，將Eth-Trunk子接口的實際二層鏈路綁定VSI，實現(xiàn)不同業(yè)務(wù)的透傳。建立Eth-Trunk方便以后的擴(kuò)容需求，配置如表2所示。

表2 VSI配置示例

3.4 B設(shè)備子接口對接和路由保護(hù)

B設(shè)備根據(jù)VLAN、VPN和規(guī)劃的地址建立與DC-GW對應(yīng)的子接口，實現(xiàn)B到UPF業(yè)務(wù)的互通，B設(shè)備作為業(yè)務(wù)的網(wǎng)關(guān)，根據(jù)業(yè)務(wù)的不同建立不同的靜態(tài)路由，實現(xiàn)業(yè)務(wù)流量的分離。最后，建立BFD等保護(hù)機(jī)制完成B設(shè)備配置，接口配置如表3所示。

表3 B設(shè)備接口配置示例

4 結(jié)束語

阜寧阿特斯5G工業(yè)互聯(lián)網(wǎng)項目下沉UPF的接入，涉及的設(shè)備和配置較多，本次的實現(xiàn)方式為二層VSI和Eth-Trunk透傳，三層子接口綁定VPN和靜態(tài)路由，實際調(diào)測時雖然可根據(jù)省公司規(guī)劃的地址段編寫配置模板，但更需要主動與省公司、廠家溝通，防止配置的出入導(dǎo)致后期反復(fù)調(diào)測，減少總體的調(diào)測時間。由于是人工配置，沒有網(wǎng)管模板，所以在編寫和輸入時，應(yīng)一人操作一人核查，防止輸入錯誤的配置清單導(dǎo)致失效。