5G專網在校園2C業務中的應用部署研究

馮忠義 楊福理 苗玉斌

中國聯合網絡通信集團有限公司江蘇省分公司

0 引言

隨著移動互聯網深入發展，移動無線終端接入成為校園網建設關注的重點，目前WLAN無線網絡覆蓋是校園網絡的重要組成部分，但隨著校園網環境下智能終端的增多，以及高帶寬應用的廣泛使用，無線校園網建設關注的首要問題是無線網絡的帶寬問題，解決多終端、高并發、大流量的接入；其次是無線網絡需要做到全校覆蓋，使用戶真正能無縫漫游。由于WLAN無線網絡方案在技術上的先天性限制，無法達到高質量要求。隨著5G網絡全面鋪開建設，5G網絡擁有大帶寬速率，且資費大幅下降，已逐步被大眾接受。對于封閉的園區來說，分流解決方案能將園區內部的網絡流量進行本地分流，實現園區網絡的本地管理和本地運營，滿足園區內部的移動辦公、視頻監控、現場數據采集等業務的實時性、高帶寬和高安全訴求。從這些應用場景分析來看，校園網絡是典型封閉的專網場景，重點是滿足內部的網絡訪問。近年來，不少高校在建設校園無線網絡覆蓋時，提出5G專網方案為主的可選解決方案。本研究根據5GC體系架構，結合實際現網情況，分析討論針對校園2C業務的5G校園專網建設方案。

1 5G校園專網的架構

1.1 5G SA網絡架構和分流技術方案

在標準的5G SA系統架構中，5G核心網控制面功能進行了融合和統一，并分解為多個獨立的網絡服務，可以根據業務需求進行靈活組合，每個網絡服務和其他服務在業務功能上解耦，統一服務調用方式，提升網絡的靈活性。基于C/U分離式的架構，UPF作為用戶數據面可以根據業務需要部署在不同網絡位置，實現客戶業務靈活本地分流。

分流技術主要有三種方式：（1）基于ULCL（Uplink Classifier，上行分類器）核心網方案，ULCL分流方案通過動態分流策略實現，以URLUE位置目的IP端口為分流維度實現業務分流。（2）DNN分流方案，通過設置不同的DNN，以位置信息、網絡切片標識為分流維度實現業務分流。（3）基于IPv6 Multi-homing（BP）分流，以源IPv6地址前綴為分流維度實現業務分流。

當前比較多的場景是基于DNN的無線上行N3接口分流和基于ULCL的核心網分流。當然還可以基于PCF疊加各種策略的分流方式，以滿足不同業務場景需求。

基于DNN分流，終端用戶根據從核心網獲得的DNN信息、網絡切片標識以及用戶自身位置信息等，請求并建立本地會話接入，當終端用戶不在位置區域時，則無法本地接入，從而實現用戶只能在企業園區使用企業應用，且基于DNN實現和Internet業務的隔離，保障業務安全。

基于ULCL分流方案下，客戶可以不用提前做特殊簽約策略，可以根據業務需求靈活進行分流策略配置，適用性和靈活性更好（上行和下行數據流如圖1所示），因此是邊緣節點UPF下沉部署主要推薦的分流方式。

圖1 ULCL數據分流工作方式

1.2 聯通5G專網架構

5G專網利用運營商網絡頻譜資源及移動網絡運營優勢，針對不同行業場景，為客戶打造專有網絡，提供以5G為核心技術的綜合型專網，融合切片、MEC等技術，為客戶提供具有定制化QoS保障、業務隔離的安全獨立網絡，實現大帶寬、低時延、安全可靠的數據傳輸，滿足客戶生產、辦公、管理等應用的通信服務需求。根據網絡定制化程度，聯通5G專網分為5G獨立專網、5G混合專網、5G虛擬專網三種模式。

在完成校園5G網絡覆蓋后，運營商一般不會再拿出頻段單獨建設獨立5G校園專網。因此，校園5G專網建設一般采用混合專網或虛擬專網模式。對于混合專網模式，一般也僅是單獨建設下沉專用的UPF。當前階段，主推5G共享型虛擬專網模式，配置多個校園客戶或其他行業類客戶專用的共享UPF，共享專用UPF至校園開通專線，該方案投入小，專網品質效果明顯。5G校園專網架構如圖2所示。

圖2 5G校園專網基本架構示意圖

在5G虛擬專網模式下，專網用戶終端開機搜索到5G無線信號，通過認證后，用戶可正常使用數據業務。訪問內網時，數據流如下：校園專網用戶—＞聯通公網基站—＞聯通共享專用UPF—＞校園內部應用。

2 5G校園專網部署實施方案

目前，校園客戶對5G校園專網的業務訴求主要是相對現有WLAN無線網絡使用習慣和問題來說，關鍵包含如下幾點：（1）5G校園專網可替代校園WLAN；（2）校園用戶手機不換卡不換號；（3）既能訪問校園內網，也可以訪問公網；（4）校園內或外部特定區域內可訪問校園內網。討論確定5G共享專網架構，考慮不同網絡（4G/5G）用戶差異，提出以下幾種實施方案來解決校園客戶需求，

2.1 方案一 部署校園客戶共享式專網UPF，基于位置+PCF簽約插入ULCL分流

按照5G共享虛擬專網架構，部署校園客戶共享式專網UPF，基于位置+PCF簽約插入ULCL分流來滿足專網需求，如圖3所示。校園用戶配置公共DNN，并簽約分流業務策略；PCF都會基于簽約+位置觸發下發分流策略，通過ULCL UPF將內網流量分流到校園內網。簽約校園分流業務的用戶可以同時訪問校園內網和Internet，未簽約的用戶只能訪問Internet，不能訪問校園內網。以校園在江蘇南京為例，范圍可以是南京或江蘇省內或者校園區域。

圖3 基于位置+PCF簽約插入ULCL分流技術方案（以南京為例）

方案優點：簽約5G用戶訪問的區域可調整；用戶漫游不受影響；網絡配置簡單。

方案缺點：僅支持5G網絡接入，回落4G網絡后無法訪問校園內網，可訪問公網；可能存在私網地址沖突，需要提前規劃好方案；SMF新增資源消耗，每個用戶會多一個N9會話，建議單獨新建專用SMF。

對于IP地址沖突，可以通過防火墻對源和目的IP地址均進行雙向NAT從而解決問題。校園的DNS服務器可以通過重定向方式解決地址沖突。

2.2 方案二 部署校園客戶共享式專網UPF，配置ULCL專網DDN方案

如同方案一方式，部署校園客戶共享式專網ULCL UPF，但為避免終端地址與企業側地址沖突，校園用戶采用專有DDN，規劃專有IP地址，地址由AAA進行分配；進入規定范圍內接入的5G手機用戶可以同時訪問校園內網和Internet，離開范圍之后，只能訪問公網。該共享式專網ULCL UPF需要開通至互聯網通道和校園客戶的專線。該專用的ULCL UPF與主輔錨點UPF合設如圖4所示，可以主、輔錨點UPF分設，輔錨點UPF可部署到園區或校園。

圖4 ULCL專網DDN方案分流技術方案

方案優點：解決地址沖突問題，方案配置簡單。

方案缺點：用戶漫游必須回歸屬地接入，時延較大；ULCL UPF增加互聯網出口，網絡復雜度增加；另外，如果主、輔錨點UPF分設，等于再增加一個專用UPF，投資建設成本加大。

2.3 方案三 部署共享式專網UPF，通過防火墻分流

部署共享式專網UPF，通過防火墻分流。該方案為校園2C客戶規劃一個5G專用的DNN，簽約校園用戶4/5G網絡接入時，根據DNN選擇到共享式專網UPF，UPF通過不同的VPN區分不同的客戶，所有業務流量通過UPF，經防火墻分流至互聯網和校園內網，大客戶交換機通過專線與校園內網互通，采用三層VPN（如圖5所示）。該方案要求4G用戶需要遷轉UDM轉成5G用戶，才能實現用戶的業務分流。

圖5 通過防火墻分流技術方案

方案效果：終端發起訪問時，公網、專網訪問流量均由核心網UPF統一匯聚到防火墻，公網訪問由China169網承載，專網流量通過專線引流至學校機房內，最終實現終端的公網、專網自切換無感訪問。

方案優點：簽約5G用戶在4/5G接入均能訪問公網和校園內網。訪問的區域在省內。

方案缺點：不能限定具體范圍，默認就是全省；而且由于所有業務回歸屬地接入，存在用戶漫游外省，訪問互聯網時延感知可能下降；需要新增接入CE路由器、大客戶接入交換機，投資成本增加；公網和內網業務分流需要手工配置，操作復雜，不便于運營維護。

3 5G校園專網2C業務方案對比選擇

前述三種方案都有各自的優缺點。方案一，完全使用5G SA標準分流特性，可以實現靈活的分流策略，網絡管理配置標準，維護管理方便，但由于5G網絡目前正在大規模建設推廣中，特別是室內覆蓋部分很多地方還沒有建設到位，存在網絡覆蓋不全、沒有信號的問題，影響客戶使用。方案二，實際上是方案一的延伸，方案一的優缺點均存在，雖可以解決地址沖突問題，但又會產生漫游外地感知下降和增加成本等問題。方案三，4G/5G網絡用戶均可以實現分流，但是需要人工在防火墻配置分流策略，網絡維護不方便，當校園用戶較多時，很難及時響應，業務調整不靈活。

綜合分析比較來說，在5G網絡完全到位的情況下，建議選擇方案一。在5G網絡覆蓋不全，或者覆蓋投資巨大的情況下，由于4G網絡建設早，覆蓋已比較全面，可使用方案三。兩種方案均要求用戶簽約5G套餐，才能進行分流。

4 具體實施部署測試情況

根據南京浦口某高校客戶測試要求，采用5G ULCL技術方案來搭建5G校園專網。本次采用共享專用分流UPF搭建5G校園專網，使用ULCL和輔錨點合設場景分流UPF部署模式，主錨點使用2C大網UPF。策略采用基于PCF簽約+位置的ULCL分流方式。如圖6所示。

圖6 校園專網測試方案

測試業務流程：

（1）5G用戶終端開機，主錨點UPF分配IP地址給終端，用戶完成激活，建立會話，可以上互聯網。

（2）用戶在特定位置，終端上報位置信息給PCF，PCF下發分流策略給SMF，SMF基于分流策略選擇ULCL UPF和輔錨點UPF插入到會話中。

（3）ULCL基于目的IP或者DNS將訪問本地內網的流量分流到輔錨點，訪問企業內網，將訪問公網的流量通過N9分流到主錨點，訪問互聯網。

對該方案中存在的手機終端和企業內網地址沖突問題，采用防火墻方案解決。即防火墻實現IP包源地址和目的地址雙向NAT，如圖7所示；對DNS應答的域名解析地址，防火墻通過DNS ALG功能將DNS應答報文中攜帶的私網業務地址進行轉換。

圖7 防火墻實現雙向NAT示意圖

測試網絡架構如圖8所示，圈出的部分為本次測試涉及到的部署網元。

圖8 測試網絡架構拓撲圖

測試網絡設備和準備工作：（1）SMF共用大網，主錨點共用大網2C UPF；（2）ULCL/輔錨點UPF新建，本次試點可以用VPDN UPF；（3）防火墻共用2C人網防火墻；（4）新增一臺客戶接入匯聚交換機，對接客戶網絡；（5）開通至校園內網一條萬兆專線；（6）開通覆蓋校園的公網5G基站。

測試結果：實現了方案預期目標。用戶可使用原號卡，無需換卡；終端接入點DNN只需完成首次設置，公網/內網的訪問無需切換DNN。

5 結束語

利用5G網絡滿足校園專網2C業務需求，是一種比較節省成本的方案，發揮5G網絡特性，逐步替代WLAN無線網絡，實現校園信息化網絡建設升級。該方案的最大特點是實現校園客戶不換卡不換號，在校園區域內無感知差異訪問校園內網和外網。但是由于5G行業應用終端產品產業鏈還不成熟，筆記本電腦、平板電腦等2C終端大多沒有5G模組配置，導致必須外接5G CPE或者5G手機作為AP來使用5G網絡。另外，5G網絡覆蓋投資巨大，存在投入和收益問題，運營商會慎重決策。因此，利用5G網絡完全替代WLAN無線網絡還需要一定時間。

從業務發展角度來講，可以結合智慧校園建設，2C業務網絡建設可同時兼顧2B業務需求。未來UPF既可掛接人網又可掛接物網，可支持智慧園區，擴展應用空間，利用UPF的虛擬化和切片技術來實現校園不同業務。利用5G校園專網優勢，后期可開展用戶的精細化管理、無線定位、無線大數據等增值應用，助力智慧校園建設。