王 磊 涂 晶 鄭 圣

中國聯(lián)合網(wǎng)絡通信集團有限公司江蘇省分公司

0 引言

校園網(wǎng)作為一種專網(wǎng)需求，是高校為了實現(xiàn)校內各部門網(wǎng)絡互通、安全隔離、辦公自動化、信息化應用等功能而組建的專用網(wǎng)絡。校園網(wǎng)要求教師和學生在學校通過手機終端能隨時便捷地接入，訪問學校專網(wǎng)內容，同時又不影響訪問公網(wǎng)業(yè)務，需要對業(yè)務進行分流。如何利用5G網(wǎng)絡新特性，為學校提供安全、便捷的校園專網(wǎng)訪問方案，是本文研究的課題。針對這一場景，共提出三個方案，分別是專用DNN分流方案、通用DNN+ULCL方案、專用DNN+ULCL方案。

1 核心網(wǎng)分流技術介紹

1.1 分流業(yè)務需求分析

在核心網(wǎng)業(yè)務中，分流即對業(yè)務報文進行分流，并最終到達不同的網(wǎng)絡和服務器。在出現(xiàn)完整的“分流”概念之前的4G時代，移動網(wǎng)已經(jīng)出現(xiàn)了比較廣泛的、對數(shù)據(jù)目的地定制化的訴求，但受網(wǎng)絡局限，無法得到良好支撐。在5G時代，這些問題在分流面前迎刃而解。通過分流，將本地業(yè)務與正常的業(yè)務區(qū)分開來，并分別通過主/輔錨點UPF，送達給中心網(wǎng)絡或本地網(wǎng)絡。

目前分流主要的一個應用是——園區(qū)或者企業(yè)“數(shù)據(jù)不外流”的場景，即屬于園區(qū)內的數(shù)據(jù)就停留在園區(qū)內處理完成，不經(jīng)過外部。通過UL CL UPF對不同業(yè)務進行識別，從而達到數(shù)據(jù)的區(qū)分。舉例而言，在校園中，學生、教職工往往需要訪問學校自己的數(shù)據(jù)中心和網(wǎng)站，獲取教育資源、學校政策等信息。出于信息安全考慮，學校在校園內部署了自己的服務器，供學校人員使用。如圖1所示，在該場景下，校內資源數(shù)據(jù)、實驗操作數(shù)據(jù)作為本地業(yè)務數(shù)據(jù)，UE直接訪問DN完成，這樣所有的校內資源數(shù)據(jù)都停留在學校內部，不會外流，有效提高了數(shù)據(jù)的隱私性。除此之外的數(shù)據(jù)，作為中心業(yè)務數(shù)據(jù)，UE訪問中心DN完成。

圖1 校園網(wǎng)場景分流需求

1.2 分流技術原理

1.2.1 UPF的選擇與插入

在激活分流的過程中，SMF會在眾多UPF中，根據(jù)UPF本身的條件，決策出最合適的UPF，并插入到用戶會話中，主錨點UPF在用戶激活時插入，ULCL和輔錨點UPF根據(jù)用戶所在區(qū)域決定是否插入，實現(xiàn)用戶與本地DN間的業(yè)務，并將中心DN業(yè)務分流至主錨點UPF。

1.2.2 分流流程

用戶上線后，通過簽約的分流策略觸發(fā)分流流程，分流流程如下。

步驟1：策略下發(fā)

在UE發(fā)起PDU會話請求，AMF為UE分配SMF后，SMF通過Npcf_SMPolicyControl_Create消息與PCF建立SM策略關聯(lián)，并完成策略下發(fā)。該過程中，PCF根據(jù)來自SMF的Npcf_SMPolicyControl_Create Request消息中攜帶的用戶信息，查詢用戶簽約數(shù)據(jù)，發(fā)現(xiàn)這名用戶簽約了分流的套餐。于是，PCF在Npcf_SMPolicyControl_Create Response消息下發(fā)的消息中，會有一部分分流規(guī)則，用于指示UPF如何分流。

步驟2：PDU會話建立

在PCF向SMF下發(fā)用戶信息之后，SMF會基于DNN、切片、DNAI、UPF接口能力、是否與EPS互通等因素，為UE選擇合適的UPF（即主錨點UPF）。之后SMF會下發(fā)業(yè)務策略，并最終建立UE-基站-主錨點UPF之間的PDU會話。這一步建立的是分流前的常規(guī)PDU會話。

步驟3：觸發(fā)分流

在用戶會話過程中，SMF會實時檢測用戶的位置（一般是用戶所在的TAI區(qū)或者小區(qū)），一旦用戶的DNN+位置組合滿足分流的觸發(fā)條件（比如用戶接入時本身就在分流園區(qū)內，或者移動到了分流園區(qū)內），便會觸發(fā)分流。此時，SMF會根據(jù)UPF的條件進行決策，選擇最合適的UPF ULCL和輔錨點UPF。

完成UPF選擇之后，SMF將這兩個UPF分別建立PFCP會話，插入到當前用戶會話中。通過在建立PFCP會話的過程中，SMF會向UL CL UPF下發(fā)PDR，通知UL CL UPF需要啟用的分流規(guī)則。

向主/輔錨點UPF下發(fā)PDR，通知主/輔錨點在分流過程中收到報文時進行的業(yè)務處理（如執(zhí)行轉發(fā)或緩存動作、進行帶寬控制和計費等）。

步驟4：會話修改

在步驟3中，SMF已經(jīng)選擇好了分流使用的UL CL UPF和輔錨點UPF，距離分流功能的使用只差臨門一腳——將原有的UE-基站-主錨點UPF之間的常規(guī)PDU會話，更新為UE-基站-UL CL UPF-主錨點UPF/輔錨點UPF之間的分流PDU會話。

步驟5：分流生效

分流功能開啟后，用戶的數(shù)據(jù)報文到達UL CL UPF，UL CL UPF基于PDR對這些報文進行匹配，并后續(xù)轉發(fā)給輔錨點UPF。輔錨點UPF基于PDR繼續(xù)將報文轉發(fā)給中心/本地DN，最終完成用戶各項業(yè)務。

2 分流方案

2.1 專用DNN分流方案

2.1.1 專用DNN方案實現(xiàn)

開通校園網(wǎng)的手機卡在UDM簽約專用DNN，基于用戶簽約將校園用戶手機的默認DNN糾錯為校園用戶專用DNN，通過專用DNN選擇校園2C專網(wǎng)UPF，通過外掛路由器實現(xiàn)訪問內網(wǎng)和公網(wǎng)業(yè)務分流。SMF作為融合網(wǎng)關支持PGW-C功能時，可滿足5G及4G接入。由于4、5G接入均可接入專網(wǎng)，對校園5G覆蓋沒有要求，并且訪問專網(wǎng)范圍可以不局限于校園內。

在5G虛擬專網(wǎng)模式的接入選網(wǎng)流程中，專網(wǎng)用戶終端開機搜集到5G無線信號，并發(fā)起接入注冊流程，基站根據(jù)終端上帶切片標識選擇核心網(wǎng)AMF，AMF基于終端上帶/簽約切片對用戶進行接入認證和鑒權（UDM配合），認證成功后建立會話，用戶可正常進行數(shù)據(jù)業(yè)務。流程如圖2所示。

圖2 專用DNN+路由器分流方案業(yè)務流程

省內場景內網(wǎng)訪問數(shù)據(jù)流：終端→公眾網(wǎng)絡基站→公眾網(wǎng)絡UPF→校園內部應用。

省外漫游場景內網(wǎng)訪問數(shù)據(jù)流：終端→公眾網(wǎng)絡基站→拜訪地I-UPF→歸屬地大網(wǎng)UPF→校園內部應用。

終端適用情況：適用于所有終端，可適用4G+5G環(huán)境。

APN配置方式：APN糾錯方式，UDM只保留簽約專網(wǎng)APN。

外地漫游：可訪問公網(wǎng)+內網(wǎng)。

路由器：需手工配置，性能決定訪問公網(wǎng)速度，后期維護難度高。

安全策略：可支持固定IP址，AAA服務器的部署。

2.1.2 方案約束及存在問題

（1）4G接入需要MME開啟APN糾錯，5G接入需要AMF開啟DNN糾錯；（2）需要路由器具備分流能力及有帶寬要求，后期分流路由器維護難度高；（3）用戶出省業(yè)務需回歸屬地，增加網(wǎng)絡消耗和時延；（4）路由器分流方案DNS解析無法分流，需要專網(wǎng)DNS具備公網(wǎng)DNS解析能力。

2.2 通用DNN+ULCL分流方案

本方案根據(jù)ULCL功能實現(xiàn)校園內訪問內網(wǎng)和公網(wǎng)業(yè)務分流。通用DNN（3GNET+用戶基于PCF簽約+指定TAI區(qū)域+ULCL分流/輔錨點+大網(wǎng)2C_UPF主錨點）。本方案可以滿足5G本地接入專網(wǎng)，不滿足5G漫游、4G接入專網(wǎng)，要求校園區(qū)域5G NR信號覆蓋，否則不能接入專網(wǎng)，如圖3所示。

圖3 通用DNN+ULCL方案業(yè)務流

2.2.1 通用DNN+ULCL方案實現(xiàn)

用戶不換卡實現(xiàn)同時訪問校園內網(wǎng)和公網(wǎng)。園區(qū)部署UPF（ULCL），用戶基于位置區(qū)+PCF簽約插入ULCL分流訪問校園內網(wǎng)，同時也可訪問公網(wǎng)業(yè)務。業(yè)務流程如圖4所示。

圖4 通用DNN+ULCL方案業(yè)務流程

用戶簽約通用DNN，PCF簽約校園網(wǎng)分流業(yè)務策略。針對學校范圍規(guī)劃TAC區(qū)域，PCF配置預定義規(guī)則，并配置規(guī)則和TAC的綁定關系。在UE激活或者移動到指定的TAI時下發(fā)預定義規(guī)則給SMF。

SMF部署本地分流策略特性（即支持ULCL插入和策略下發(fā)），當UE激活或者移動到指定的TAI時，上報PCF動態(tài)獲取預定義規(guī)則，SMF使用PCF下發(fā)的預定義規(guī)則插入ULCL及下發(fā)分流策略給UPF。UPF上配置針對內網(wǎng)服務器IP的分流策略。

簽約UE在規(guī)劃區(qū)域內激活或者移入時，PCF下發(fā)預定義規(guī)則，SMF根據(jù)PCF下發(fā)的預定義規(guī)則及UE的位置，選擇UPF ULCL插入用戶會話，可以同時訪問校園內網(wǎng)和Internet。

簽約UE移出規(guī)劃區(qū)域時，PCF通知SMF卸載規(guī)則，SMF移除ULCL，不能訪問校園內網(wǎng)。

2.2.2 存在的問題及解決方案

該方案中，由于使用了公用DNN，共用了大網(wǎng)終端地址池，導致存在終端和校園內網(wǎng)IP地址沖突的問題；同時由于用戶訪問公網(wǎng)需要使用公網(wǎng)DNS，訪問學校內網(wǎng)域名需要使用學校內網(wǎng)DNS，需要根據(jù)用戶訪問的域名送到不同的DNS進行解析。為解決以上兩個問題，可采用如下解決方案。

2.2.2.1 終端IP和校園內網(wǎng)IP沖突問題解決方案

通過在防火墻配置雙向NAT，同時對源和目的IP地址進行NAT轉換，解決了終端地址與校園內網(wǎng)DNS沖突的問題。

某分流業(yè)務專網(wǎng)網(wǎng)絡拓撲如圖5所示。用戶通過公網(wǎng)DNN+ULCL實現(xiàn)同時訪問公網(wǎng)和內網(wǎng)，運營商規(guī)劃的終端IP地址池為：10.X.X.X，用戶終端在運營商地址池里面獲取一個IP地址：10.10.10.10，園區(qū)內網(wǎng)服務器IP地址：10.10.10.10，對外公網(wǎng)IP：20.10.10.10。

圖5 終端和校園網(wǎng)IP沖突場景拓撲圖

（1）用 戶 發(fā) 起 訪 問 目 的IP：20.10.10.10，源IP：10.10.10.10；

（2）防火墻將訪問的上行目的IP：20.10.10.10改成10.10.10.10，源IP由10.10.10.10做NAT轉成30.0.10.X；

（3）園區(qū)內網(wǎng)服務器收到報文，發(fā)回響應，響應報文目的IP是30.10.10.X，源IP是10.10.10.10；

（4）防火墻將下行目的地址30.10.10.X轉成10.10.10.10，源IP 10.10.10.10改成20.10.10.10；

（5）終端收到響應報文，業(yè)務完成。

2.2.2.2 DNS解析分流解決方案

通過UPF上配置DNS分流，來解決同時訪問公網(wǎng)和內網(wǎng)DNS的問題，使得用戶可以使用域名來訪問校園內網(wǎng)業(yè)務。

某分流業(yè)務組網(wǎng)如圖6所示，運營商規(guī)劃的終端IP地址池為：10.X.X.X，用戶終端在運營商地址池里面獲取一個IP地址：10.10.10.10，園區(qū)內網(wǎng)域名www.abc.com，對應的域名業(yè)務IP是10.10.10.10，DNS服務器IP地址也是10.11.11.11。

圖6 DNS解析分流解決方案拓撲圖

業(yè)務流程：

（1）用戶發(fā)起域名請求www.abc.com；

（2）UPF通過DNS重定向將報文重定向到20.11.11.11；（DNS重定向解釋）

（3）防火墻將DNS請求的目的IP由20.11.11.11改成10.11.11.11，源IP由10.10.10.10做NAT轉成30.10.10.X，將報文送到園區(qū)DNS Server；

（4）園區(qū)DNS Server基于域名www.abc.com解析出對應IP地址：10.10.10.10；

（5）DNS應答報文到防火墻，防火墻通過DNS ALG功能將DNS應答報文中攜帶的私網(wǎng)業(yè)務地址10.10.10.10，修改成20.10.10.10；（DNS ALG解釋）

（6）終端獲取DNS應答消息，域名對應的業(yè)務IP為20.10.10.10；

（7）終端發(fā)起業(yè)務請求，訪問IP地址：20.10.10.10；

（8）上行報文到防火墻，防火墻將訪問的目的IP 20.10.10.10改 成10.10.10.10，源IP由10.10.10.10做NAT轉 成30.10.10.X，報文送到業(yè)務服務器；

（9）回程報文通過目的地址30.10.10.X送到防火墻，源IP為10.10.10.10；

（10）防 火 墻 將 下 行 目 的 地 址30.10.10.X，轉 成10.10.10.10，將下行源IP 10.10.10.10轉成20.10.10.10；

（11）終端收到回應報文，業(yè)務完成。

2.2.3 方案約束及影響

要針對校園區(qū)域范圍規(guī)劃TAC；不支持5G漫游和4G接入。

2.3 專用DNN+ULCL方案

此方案類似于公網(wǎng)DNN+ULCL方案，但是用戶簽約專用DNN，并由AMF將用戶請求DNN糾錯為專用DNN，同時使用ULCL功能實現(xiàn)校園內訪問內網(wǎng)和公網(wǎng)業(yè)務分流。使用專用DNN可以解決IP地址沖突問題。業(yè)務流程如圖7所示。

圖7 專用DNN+ULCL分流方案業(yè)務流程

（1）省內

UDM簽約專用DNN-1為default DNN，給專用DNN獨立規(guī)劃IP地址池；終端請求通用DNN為3gnet，AMF使能APN糾錯將DNN改成專用DNN-1，用戶使用專用DNN-1在獨立規(guī)劃的地址池里獲取IP地址激活，專用DNN-1支持訪問公網(wǎng)；基于DNN+位置插入ULCL到用戶會話中，可以訪問校園內網(wǎng)。

（2）省外

UDM簽約專用DNN-1為default DNN，終端請求DNN為3gnet，AMF使能APN糾錯將DNN改成專用DNN-1，用戶使用專用DNN-1激活，通過專用DNN找回歸屬地支持專用DNN-1的UPF激活，支持訪問公網(wǎng)；無法訪問校園內網(wǎng)業(yè)務。

3 方案對比

將以上描述的三種方案進行總結，并在適用終端、APN配置、外地漫游等方面對比，如表1所示。

表1 校園網(wǎng)分流方案對比

通過以上對比，可以發(fā)現(xiàn)三種方案各有優(yōu)缺點，可以根據(jù)業(yè)務需求和網(wǎng)絡情況靈活選擇。

4 結束語

通過對校園網(wǎng)需求的分析和解決方案的介紹，對比分析了幾種解決方案的優(yōu)缺點，可以看出目前幾種校園網(wǎng)分流方案各有優(yōu)勢和弊端。其中，專用DNN+路由器分流方案是相對比較成熟的方案，可以向下兼容4G，但是存在增加時延與網(wǎng)絡開銷的問題，同時需要解決專網(wǎng)DNS解析的問題，可能影響用戶感知。ULCL分流作為5G網(wǎng)絡的新特性，不向下兼容4G網(wǎng)絡，但用戶可以直接使用公網(wǎng)DNN，使用公網(wǎng)業(yè)務感知較好，但存在專網(wǎng)地址沖突等問題需要規(guī)避，方案較復雜。采用專用DNN+ULCL可以解決終端和專網(wǎng)地址沖突問題，同時可以支持AAA等二次鑒權功能，但是需要使用DNN糾錯，用戶漫游出省使用數(shù)據(jù)業(yè)務時需要回歸屬地，增加網(wǎng)絡開銷和時延。在網(wǎng)絡覆蓋不好的初期，可選用專用DNN+路由器分流方案，隨著5G信號覆蓋加強，ULCL方案逐漸成熟，校園網(wǎng)方案預計會越來越多采用DNN+ULCL方案。

在未來，隨著MEC功能的逐漸完善，分流與MEC、切片等功能結合后，可以有更廣泛的應用，比如對特定的業(yè)務實現(xiàn)超低時延，或者依靠強大的邊緣計算能力輔助科研等等，分流可以為這些應用提供支撐，并逐漸演進出更加豐富的應用。