文/劉治綱

5G在新基建中是最根本的通信基礎(chǔ)設(shè)施，它不僅可以為大數(shù)據(jù)中心、人工智能和工業(yè)互聯(lián)網(wǎng)等其他基礎(chǔ)設(shè)施提供重要的網(wǎng)絡(luò)支撐，還可以將大數(shù)據(jù)、云計(jì)算等數(shù)字科技快速賦能給各行各業(yè)，是數(shù)字經(jīng)濟(jì)的重要載體。

從服務(wù)對(duì)象而言，5G網(wǎng)絡(luò)并不是完全為個(gè)人語(yǔ)音和數(shù)據(jù)業(yè)務(wù)而設(shè)計(jì)的，它還能夠?yàn)榇怪毙袠I(yè)用戶提供定制化的網(wǎng)絡(luò)服務(wù)。5G網(wǎng)絡(luò)采用網(wǎng)絡(luò)切片技術(shù)，能夠根據(jù)行業(yè)需求在帶寬、時(shí)延、可靠性等多種維度上劃分不同的網(wǎng)絡(luò)切片，并定制生成一張?zhí)摂M網(wǎng)絡(luò)，供有權(quán)限的用戶連入。

校園網(wǎng)經(jīng)過20多年的建設(shè)，形成了以下特點(diǎn)：

1.技術(shù)架構(gòu)從交換式以太網(wǎng)發(fā)展到基于網(wǎng)絡(luò)虛擬化技術(shù)的多協(xié)議泛在網(wǎng)；2.服務(wù)目標(biāo)從單純的PC互聯(lián)發(fā)展為多類型終端的“萬(wàn)物互聯(lián)”及其演進(jìn)下的“萬(wàn)物智聯(lián)”；3.計(jì)算模型從計(jì)算中心模式發(fā)展為云計(jì)算模式。

在上述變化的驅(qū)動(dòng)下，校園網(wǎng)無(wú)線網(wǎng)流量超越了有線網(wǎng)流量，大范圍、高質(zhì)量的Wi-Fi網(wǎng)絡(luò)覆蓋成為各大校園網(wǎng)的建設(shè)目標(biāo)。但是由于校園網(wǎng)本身的局限性，在AP覆蓋、物聯(lián)網(wǎng)設(shè)備VPN接入、云數(shù)據(jù)安全等方面仍然存在著瓶頸。5G網(wǎng)絡(luò)下的切片技術(shù)可以極大彌補(bǔ)校園網(wǎng)Wi-Fi接入能力不足和覆蓋范圍有限的短板，使得校園網(wǎng)與5G網(wǎng)絡(luò)融合成為可能。

校園網(wǎng)與5G網(wǎng)的融合架構(gòu)

從5G核心層面上看，歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)(ETSI)提出的網(wǎng)絡(luò)功能虛擬化(Network Functions Virtualization，NFV)基礎(chǔ)架構(gòu)促成了網(wǎng)絡(luò)功能和網(wǎng)絡(luò)底層硬件的解耦以及核心網(wǎng)絡(luò)的虛擬化[1]；從用戶面的角度看，5G網(wǎng)絡(luò)與校園網(wǎng)融合的關(guān)鍵是用戶面功能(User Plane Function，UPF)與多接入移動(dòng)邊緣計(jì)算(Multiaccess Edge Computing，MEC)的部署和使用。

UPF作為5G網(wǎng)絡(luò)用戶面網(wǎng)元，主要支持用戶業(yè)務(wù)數(shù)據(jù)的路由和轉(zhuǎn)發(fā)、數(shù)據(jù)和業(yè)務(wù)識(shí)別、動(dòng)作和策略執(zhí)行等。UPF通過N4接口與會(huì)話管理功能(Session Management Function，SMF)進(jìn)行交互，依據(jù)SMF下發(fā)的各種策略執(zhí)行業(yè)務(wù)流的處理。邊緣UPF與核心控制面分離并下沉部署至5G網(wǎng)絡(luò)邊緣后，主要負(fù)責(zé)用戶面數(shù)據(jù)的路由和轉(zhuǎn)發(fā)功能。由于其位置更靠近用戶，可以減少傳輸時(shí)延，實(shí)現(xiàn)數(shù)據(jù)流量的本地分流，緩解核心網(wǎng)的數(shù)據(jù)傳輸壓力，從而提升網(wǎng)絡(luò)數(shù)據(jù)處理效率。

MEC被ETSI定義為在移動(dòng)網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計(jì)算的能力[2]。由UPF將用戶數(shù)據(jù)流分流至MEC平臺(tái)，實(shí)現(xiàn)5G網(wǎng)邊緣計(jì)算部署。融合架構(gòu)如圖1所示。

圖1 校園網(wǎng)與5G網(wǎng)的融合架構(gòu)

邊緣UPF平臺(tái)部署在學(xué)校網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)，作為分流錨點(diǎn)，配合MEC將業(yè)務(wù)分流至校園內(nèi)網(wǎng)或同樣下沉部署的MEC虛擬化應(yīng)用平臺(tái)。以上融合架構(gòu)的主要特點(diǎn)可以歸結(jié)為以下幾點(diǎn)：

1.數(shù)據(jù)安全隔離。校內(nèi)網(wǎng)用戶進(jìn)行用戶分流策略簽約。只有簽約校園分流業(yè)務(wù)的用戶才可以同時(shí)訪問校園內(nèi)網(wǎng)和Internet，未簽約的用戶只能訪問Internet，不能訪問校園內(nèi)網(wǎng)。這樣就確保了公網(wǎng)業(yè)務(wù)與校園網(wǎng)業(yè)務(wù)的安全隔離。

2.從用戶層面實(shí)現(xiàn)5G與校園網(wǎng)合并。在校園網(wǎng)絡(luò)機(jī)房放置下沉UPF，將全市基站(或者學(xué)校指定區(qū)域基站)數(shù)據(jù)與UPF打通，提供5G專網(wǎng)服務(wù)。

3.完全取代傳統(tǒng)VPN。傳統(tǒng)的VPN通過客戶端程序主動(dòng)發(fā)起并建立加密隧道的方式訪問校內(nèi)網(wǎng)資源，存在速率低、時(shí)延大、帶寬不穩(wěn)定等問題。通過5G分流策略可以做到高速率、低時(shí)延、大帶寬訪問，從而提升用戶體驗(yàn)。特別是有內(nèi)網(wǎng)訪問需求但又無(wú)法安裝VPN認(rèn)證客戶端的工控設(shè)備或傳感器等，都可以通過安裝5G通信模塊無(wú)感知入網(wǎng)。

4.擴(kuò)展性好。如果建設(shè)新校區(qū)或設(shè)立校外分支機(jī)構(gòu)，僅需新校區(qū)或分支地點(diǎn)有5G信號(hào)覆蓋，同時(shí)將對(duì)應(yīng)基站與校本部機(jī)房?jī)?nèi)的邊緣UPF設(shè)備打通就能連入本部網(wǎng)絡(luò)。

基于MEC的分流

MEC是ETSI提出的邊緣計(jì)算參考框架。MEC平臺(tái)定義了移動(dòng)邊緣主機(jī)、移動(dòng)邊緣平臺(tái)管理、移動(dòng)邊緣編排、虛擬基礎(chǔ)設(shè)施管理等功能模塊[3]。MEC平臺(tái)是通用平臺(tái)的實(shí)體服務(wù)器，可放置在5G網(wǎng)絡(luò)邊緣的用戶網(wǎng)絡(luò)機(jī)房?jī)?nèi)，使用40G或100G以太網(wǎng)標(biāo)準(zhǔn)與校園網(wǎng)內(nèi)網(wǎng)高速互聯(lián)。邊緣化的MEC平臺(tái)提供了5G網(wǎng)絡(luò)虛擬基礎(chǔ)設(shè)施的開放能力，并且通過虛擬化應(yīng)用架構(gòu)，將MEC功能組件進(jìn)一步組合封裝成虛擬的應(yīng)用接口(例如本地分流、無(wú)線緩存、增強(qiáng)現(xiàn)實(shí)技術(shù)、業(yè)務(wù)優(yōu)化、定位等接口)開放給第三方應(yīng)用或軟件開發(fā)商調(diào)用。文獻(xiàn)[4]介紹了MEC各模塊的作用以及實(shí)現(xiàn)方式。

隨著帶寬價(jià)格的下降，以及對(duì)信息系統(tǒng)“簡(jiǎn)單快速部署”“隨時(shí)隨地訪問”的需求增加，校園網(wǎng)的計(jì)算模型從早期的數(shù)據(jù)中心模式逐漸發(fā)展為云計(jì)算模式。比較典型的應(yīng)用有基于云計(jì)算的人臉識(shí)別門禁、視頻監(jiān)控、視頻直播等。系統(tǒng)希望流量不出園區(qū)，從而在最大程度上防止敏感數(shù)據(jù)泄露。

因此，5G網(wǎng)絡(luò)與校園網(wǎng)融合架構(gòu)的實(shí)現(xiàn)需要UPF與MEC配合實(shí)現(xiàn)數(shù)據(jù)的本地分流。這樣既可以提高數(shù)據(jù)安全性、保留業(yè)務(wù)的云計(jì)算特征，又可提供低延遲和高帶寬的本地化網(wǎng)絡(luò)服務(wù)。

主流常用的分流技術(shù)主要有兩種：上行分類器(Uplink Classifier，UC)方案、數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(shí)(Data Network Name，DNN)方案。

校園網(wǎng)通信一般采用UC方案，在用戶會(huì)話建立過程中，SMF可以在會(huì)話的數(shù)據(jù)路徑中插入或者刪除一個(gè)或多個(gè)UC。UC支持基于SMF提供的流量轉(zhuǎn)發(fā)規(guī)則向不同的UPF轉(zhuǎn)發(fā)上行業(yè)務(wù)流，分流至MEC平臺(tái)或校園內(nèi)網(wǎng)；同時(shí)將來自鏈路上的不同會(huì)話錨點(diǎn)UPF的下行業(yè)務(wù)流合并到5G終端。UC采用流過濾規(guī)則，例如檢查上行IP數(shù)據(jù)包的目的IP地址或前綴，來決定數(shù)據(jù)包如何路由。UC的好處在于用戶無(wú)感知，不需要更改終端DNN設(shè)置，極大簡(jiǎn)化了設(shè)備入網(wǎng)的流程，利于非智能終端入網(wǎng)訪問。

DNN方案中，需要為各定制網(wǎng)用戶建立專用DNN，由簽約用戶的終端設(shè)備主動(dòng)發(fā)起請(qǐng)求并選擇需要連入的DNN名稱。SMF僅僅根據(jù)終端請(qǐng)求向UPF下發(fā)分流策略。該方案的好處是對(duì)網(wǎng)絡(luò)控制面而言實(shí)現(xiàn)起來更加簡(jiǎn)單，缺點(diǎn)是靈活性差，難以大規(guī)模部署[5]。

業(yè)務(wù)流程

5G網(wǎng)絡(luò)與校園網(wǎng)絡(luò)融合部署后，當(dāng)校園5G基站范圍內(nèi)既有簽約用戶又有普通用戶時(shí)，訪問學(xué)校服務(wù)器的流程如圖2所示。

圖2 融合組網(wǎng)后訪問校園服務(wù)的業(yè)務(wù)流程

1.普通用戶訪問校園網(wǎng)服務(wù)器時(shí)，由于邊緣UC沒有該用戶的分流策略，用戶域名解析服務(wù)(DNS)請(qǐng)求將正常轉(zhuǎn)發(fā)給5G核心網(wǎng)，路由到互聯(lián)網(wǎng)后到達(dá)校園網(wǎng)防火墻公網(wǎng)接口。服務(wù)器的回應(yīng)報(bào)文沿原路徑返回。

2.簽約用戶訪問校園網(wǎng)域名時(shí)(例如http://iptv.nchu.edu.cn)，邊緣UPF直接將DNS請(qǐng)求通過邊緣UPF的N6接口發(fā)送給校園網(wǎng)防火墻。防火墻進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，將源地址轉(zhuǎn)換為私有地址(例如10.xx.xx.xx)后轉(zhuǎn)發(fā)給DNS服務(wù)器，解析出該域名的私有地址(例如10.1.89.131)?；貞?yīng)報(bào)文沿原路徑返回，經(jīng)對(duì)稱的NAT后到達(dá)終端。

3.簽約用戶訪問服務(wù)器地址10.1.89.131，邊緣UPF匹配到SMF提供的基于該IP地址段(例如10.1.89.0/24)的分流策略后，直接通過N6接口訪問服務(wù)器。經(jīng)過上一步的NAT后，完成內(nèi)網(wǎng)訪問。

業(yè)務(wù)連續(xù)性問題及解決辦法

以上分流過程有可能存在業(yè)務(wù)不連續(xù)的情況。例如：當(dāng)終端設(shè)備觸發(fā)UC分流后，后續(xù)報(bào)文的目的地址無(wú)論是否屬于校園網(wǎng)，流量都會(huì)從邊緣UPF的N6接口進(jìn)入校園網(wǎng)，從而造成非校園網(wǎng)流量的業(yè)務(wù)中斷。

要解決這個(gè)問題，需要根據(jù)業(yè)務(wù)需求動(dòng)態(tài)地觸發(fā)UC策略。邊緣UPF首先匹配SMF提供的基于域名的分流策略，并在應(yīng)用發(fā)起DNS請(qǐng)求時(shí)觸發(fā)分流，這樣就可以避免因TCP斷流而造成的業(yè)務(wù)中斷。這是一種與應(yīng)用緊耦合的方案，需要應(yīng)用程序提供用戶標(biāo)識(shí)及用戶位置信息，有一定開發(fā)難度。

5G網(wǎng)絡(luò)的虛擬化切片技術(shù)和邊緣計(jì)算技術(shù)，符合校園網(wǎng)泛在接入的發(fā)展需求，使得定制化融合組網(wǎng)成為可能。這樣不僅可以豐富校園網(wǎng)的接入手段、減小接入時(shí)延、增加接入帶寬，還能充分發(fā)揮5G網(wǎng)絡(luò)的優(yōu)勢(shì)，為5G建立新的商業(yè)模式。