鄧 羽

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司，廣東 廣州 510000）

0 引言

2020年疫情暴發(fā)以來(lái)， 5G專網(wǎng)應(yīng)用需求與日俱增。5G專網(wǎng)主要應(yīng)用于企業(yè)普通接入應(yīng)用場(chǎng)景，如移動(dòng)辦公、高速上網(wǎng)等；移動(dòng)邊緣網(wǎng)園區(qū)場(chǎng)景，比如監(jiān)控、人臉識(shí)別，遠(yuǎn)程操控/智能理貨、人臉識(shí)別/安全帽識(shí)別； 泛媒體云網(wǎng)協(xié)同場(chǎng)景，如XR/云游戲、場(chǎng)館直播；場(chǎng)景多人游戲?qū)?zhàn)、賽事直播多視角回看等；工業(yè)/企業(yè)生產(chǎn)場(chǎng)景，如工業(yè)視覺(jué)、工業(yè)控制、智能電網(wǎng)等；實(shí)時(shí)缺陷檢測(cè)、吊車/產(chǎn)線遠(yuǎn)程控制、電網(wǎng)差動(dòng)保護(hù)；廣域萬(wàn)物智聯(lián)場(chǎng)景，如輔助駕駛/自動(dòng)駕駛、車載通信/信息娛樂(lè)[1-3]。

隨著5G專網(wǎng)應(yīng)用的爆發(fā)式增長(zhǎng)，5G核心網(wǎng)作為網(wǎng)絡(luò)與業(yè)務(wù)的結(jié)合點(diǎn)，如何選擇5G核心網(wǎng)專網(wǎng)建設(shè)模式，才能更好地支撐業(yè)務(wù)，同時(shí)節(jié)省投資？已經(jīng)成為行業(yè)用戶和運(yùn)營(yíng)商的一個(gè)難題。

1 5G核心網(wǎng)專網(wǎng)部署模式分析

1.1 部署模式

5G核心網(wǎng)采用NFV、云計(jì)算等新技術(shù)，具備控制與承載分離的特征?？刂泼娌捎梅?wù)化架構(gòu)，以虛擬化為實(shí)現(xiàn)方式，實(shí)現(xiàn)彈性擴(kuò)縮容和網(wǎng)絡(luò)切片功能。用戶面功能通過(guò)（UPF）下沉和業(yè)務(wù)應(yīng)用虛擬化，實(shí)現(xiàn)邊緣計(jì)算[4]。5G核心網(wǎng)專網(wǎng)基于無(wú)線使用方式， 有三種建設(shè)模式，分別為公網(wǎng)共用模式、公網(wǎng)專用模式和專網(wǎng)專用模式。三種部署模式如圖1所示。

圖1 5G專網(wǎng)部署模式

方式一為公網(wǎng)共用模式，即無(wú)線基站共享，通過(guò)5QI區(qū)分業(yè)務(wù)優(yōu)先級(jí)。核心網(wǎng)5GC控制面共享，用戶面UPF共享。承載網(wǎng)采用全部共享。主要典型行業(yè)為教育、醫(yī)療、政務(wù)等行業(yè)。

方式二為公網(wǎng)專用模式，即無(wú)線基站共享，通過(guò)專用RB/載波實(shí)現(xiàn)資源硬隔離。核心網(wǎng)5GC控制面共享，用戶面UPF獨(dú)占（下沉到客戶園區(qū)）或共享。承載網(wǎng)采用共享+FlexE隔離。主要典型行業(yè)為電力（變電站）、鋼鐵、煤礦、3C制造。

方式三為專網(wǎng)專用模式，即無(wú)線基站專用，實(shí)現(xiàn)設(shè)備硬隔離。核心網(wǎng)5GC控制面共享或?qū)Ｓ?，用戶面UPF專網(wǎng)專用下沉到客戶園區(qū)。承載網(wǎng)采用共享+FlexE隔離。主要典型行業(yè)為軍工、科研單位等。

1.2 專網(wǎng)應(yīng)用場(chǎng)景

1.2.1 業(yè)務(wù)隔離（切片+DNN）

（1）DNN隔離場(chǎng)景。DNN隔離：無(wú)線、傳輸共用資源，核心網(wǎng)按照DNN分配獨(dú)立IP地址段，與企業(yè)服務(wù)器構(gòu)建獨(dú)立VPN通道。

圖2 DNN隔離場(chǎng)景

（2）切片隔離場(chǎng)景。按照切片進(jìn)行端到端物理資源隔離（無(wú)線RB資源預(yù)留、傳輸時(shí)隙vLAN子接口隔離、UPF租戶隔離）。

RAN基于切片打VLAN標(biāo)簽，傳輸網(wǎng)基于VLAN標(biāo)簽走不同的，VPN傳輸，UPF基于切片配置，不同的N3接口和VLAN標(biāo)簽，UPF基于切片配置不同的N6接口（初期通過(guò)切片與DNN一一對(duì)應(yīng)解決N6隔離）。

圖3 切片隔離技術(shù)

1.2.2 本地業(yè)務(wù)保障

無(wú)線、承載、UPF簽約端到端QOS，保障多企業(yè)、多業(yè)務(wù)間不同QOS帶寬。同時(shí)UPF下沉地市， 貼近企業(yè)，提供本地業(yè)務(wù)QOS保障。

圖4 QOS保障場(chǎng)景

1.2.3 QOS加速

基于5QI通過(guò)設(shè)置空口調(diào)度優(yōu)先級(jí)，為客戶提供差異化服務(wù)，主要通過(guò)調(diào)度優(yōu)先級(jí)，比如

5QI#4＞5QI#6＞5QI#8＞5QI#9。

圖5 QOS加速場(chǎng)景

2 專網(wǎng)發(fā)展建議

2.1 專網(wǎng)建設(shè)“三目標(biāo)”和“四步法”

以業(yè)務(wù)為牽引，在進(jìn)行5G專網(wǎng)建設(shè)時(shí)，要做到三個(gè)目標(biāo)和四步法，同時(shí)提前做好網(wǎng)絡(luò)邊緣云規(guī)劃和建設(shè)，支撐全業(yè)務(wù)目標(biāo)達(dá)成。

5G專網(wǎng)建設(shè)要堅(jiān)持“三個(gè)目標(biāo)”：一是公網(wǎng)專用，要發(fā)揮成本優(yōu)勢(shì)，業(yè)務(wù)黏性；二是分層轉(zhuǎn)發(fā)，做到簡(jiǎn)化配置，網(wǎng)隨云動(dòng)；三是人物融合，做到切片技術(shù)、網(wǎng)分業(yè)融。

同時(shí)在專網(wǎng)建設(shè)中要按照“四步法”來(lái)實(shí)施：一是從物網(wǎng)到人網(wǎng)，物網(wǎng)打底，人網(wǎng)按需支撐2B和2C 業(yè)務(wù)；二是從省會(huì)到地市，要按需逐步在地市部署2C共享UPF；三是從合設(shè)到分設(shè)，地市2C共享UPF 和大網(wǎng)UPF安需分裂；四是從連接到計(jì)算，省會(huì)及地市部署計(jì)算資源，支撐企業(yè)業(yè)務(wù)上云。

5G專網(wǎng)UPF部署時(shí)，建議從三個(gè)方面進(jìn)行考慮：第一，公網(wǎng)專用，2B UPF盡快下沉到地市，引導(dǎo)行業(yè)用戶連接上公網(wǎng)。第二，2C專線UPF按需部署，在保證業(yè)務(wù)需求的基礎(chǔ)上，簡(jiǎn)化大網(wǎng)數(shù)據(jù)配置，地市部署計(jì)算節(jié)點(diǎn)，服務(wù)2B及2C用戶，逐步切入行業(yè)用戶生產(chǎn)系統(tǒng)。第三，隨著切片技術(shù)及終端產(chǎn)業(yè)鏈成熟，逐步引入U(xiǎn)RSP技術(shù)，實(shí)現(xiàn)對(duì)不同應(yīng)用的差異化服務(wù)。

2.2 5G核心網(wǎng)專網(wǎng)建設(shè)中的安全挑戰(zhàn)和建議

5G核心網(wǎng)專網(wǎng)面臨的安全挑戰(zhàn)主要有如下幾點(diǎn)：

一是園區(qū)場(chǎng)景的安全挑戰(zhàn)：園區(qū)場(chǎng)景UPF設(shè)備不由企業(yè)控制和管理，園區(qū)企業(yè)希望非法用戶不進(jìn)園區(qū)；二是網(wǎng)絡(luò)層的安全挑戰(zhàn)：網(wǎng)絡(luò)協(xié)議接口增多， 攻擊面增大；MEC部署到企業(yè)園區(qū)，信任關(guān)系變化；三是網(wǎng)元層的安全挑戰(zhàn)：第三方APP軟件安全能力參差不齊，APP容易成為安全重災(zāi)區(qū)；APP受攻擊后可能攻擊MEC；四是NFVI層的安全挑戰(zhàn)：MEC基于NFV，引入虛擬化（VM、容器）資源共享安全風(fēng)險(xiǎn)；五是硬件層的安全挑戰(zhàn)：邊緣部署場(chǎng)景存在物理入侵的安全隱患。

針對(duì)安全挑戰(zhàn)，相應(yīng)的安全建議主要如下：

（1）數(shù)據(jù)本地終結(jié)，分流安全可靠。在應(yīng)用層安全考慮，是通過(guò)APP應(yīng)用層自行加密傳輸。物理組網(wǎng)安全：UPF和本地網(wǎng)絡(luò)及APP之間采用防火墻安全隔離。ULC分流規(guī)則檢測(cè)：檢查本地分流規(guī)則與IP/FQDN一致性，確保無(wú)本地?cái)?shù)據(jù)分流到大網(wǎng)。UPF和接口流量統(tǒng)計(jì)核查，N3/N6/N9接口流量統(tǒng)計(jì)核查確保N9無(wú)多發(fā)報(bào)文，保障數(shù)據(jù)不出大網(wǎng)。

（2）外置防火墻進(jìn)行網(wǎng)絡(luò)隔離，防攻擊，構(gòu)筑安全防護(hù)邊界。標(biāo)準(zhǔn)接口防護(hù)：N3/N6/N9標(biāo)準(zhǔn)接口可選使用IPSec隧道保護(hù)數(shù)據(jù)完整性和機(jī)密性。外置防火墻隔離：通過(guò)防火墻確?？缬蛟L問(wèn)安全， 跨域攻擊可檢測(cè)和防御。

（3）打造高可靠電信級(jí)硬件，保障設(shè)備穩(wěn)定運(yùn)行。通道透明、數(shù)據(jù)不存儲(chǔ)，UPF網(wǎng)元無(wú)IMSI/ MSISDN等用戶標(biāo)識(shí)信息；UPF實(shí)時(shí)上報(bào)核心網(wǎng)計(jì)費(fèi)信息本地不存儲(chǔ)。物理端口安全，本地維護(hù)端口接入需認(rèn)證和授權(quán)。物理保護(hù)，保護(hù)機(jī)房安全、新增機(jī)柜門鎖。

3 結(jié)束語(yǔ)

5G專網(wǎng)產(chǎn)業(yè)的發(fā)展才剛剛起步，需要有決心有創(chuàng)新能力的廠商和運(yùn)營(yíng)商持續(xù)投入，以滿足行業(yè)業(yè)務(wù)需求。在這個(gè)過(guò)程中，首先，連接能力需要不斷迭代演進(jìn)，以滿足企業(yè)差異化體驗(yàn)、確定性連接、高可用與高安全需求。其次，連接能力需要持續(xù)增強(qiáng)，要對(duì)標(biāo)行業(yè)公有云，提升一云多異構(gòu)算力，從而提供豐富的資源發(fā)放和管理能力。最后，在行業(yè)解決方案創(chuàng)新方面，行業(yè)需做到從eMBB到URLLC 高價(jià)值場(chǎng)景逐步孵化。