ToB网络边缘用户面功能部署及企业平台接入方式研究

卢绍朋，付 艳，宋旭光

（1.中国移动通信集团设计院有限公司 河南分公司，河南 郑州 450008；2.中国移动通信集团设计院有限公司，北京 100080）

0 引 言

5G时代，为了满足AR/VR、物联网、工业自动化、无人驾驶等新业务的高带宽、低时延需求，对5G网络进行边缘分布式重构将成为必然选择[1]。基于服务化架构（Service-Based Architecture，SBA）的5G网络，网元将控制面（Control Plane，CP）和用户面（User Plane，UP）分离，可以灵活地将用户面下沉到网络边缘，一跳直达，满足毫秒级业务需求。5G系统中实体用户面功能(User Plane Function，UPF)下沉到靠近接入网位置，可以缩短某些特定业务的时延，提高用户的业务体验[2]。5G UPF功能受5G核心网控制面统一管理，其分流策略由5G核心网统一配置。5G网络还引入3种业务与会话连续性模式来支持边缘计算，保证终端高移动性场景下的用户体验。用户面网元的灵活下沉部署使5G网络可以灵活地接入边缘计算资源，促进了边缘计算的发展。考虑到5G低时延、大带宽、高流量业务特性，为提高用户感知，降低省干资源消耗，5G用户面设备全部下沉至各地市、区县、企业园区等。

与传统云计算相比，边缘计算的部署位置更靠近用户。根据UPF承载业务不同，将ToB UPF分为专线UPF、共享式边缘UPF以及园区入驻式边缘UPF，具体规划拓扑如图1所示[3]。

图1 ToB核心网规划拓扑

（1）专线UPF。根据现网物联网业务发展情况，ToB网络存在大量通过GRE、IPsec、L2TP等专线接入的业务平台。为便于上述业务平台集中接入，以省为单位集中部署ToB网络专线UPF，用于疏通GRE、IPsec、L2TP等专线类业务。

（2）共享式边缘UPF。通常部署于市、区、县边缘，适用于高带宽、时延敏感、数据机密性较强的业务。将UPF下沉到移动边缘节点，基于深度神经网络（Deep Neural Networks，DNN）或IP地址等识别用户，并根据分流策略对用户流量进行分流，对需要本地处理的数据流进行本地转发和路由，避免流量迂回，降低数据转发时延，提升用户体验。

（3）园区入驻式边缘UPF。按需部署于企业机房，行业应用和工业环境与公众网有很大的不同。企业级UPF除了实现基本的流量转发、本地分流外，还从不同维度进行了增强，例如功能简化可定制、运维便捷、数据不出园区、超高安全性等[4]。

1 ToB边缘UPF部署方案

1.1 边缘UPF承载网络组织和承载方式

针对ToB UPF组网要求，面向边缘UPF用于地市范围或地市部分区域范围内的基站接入ToB网络，并为该地市企业用户提供业务疏通能力，满足业务体验等相关需求。边缘UPF与5G NR间的N3接口参考EPC S1-U接口，N3接口通过加密虚拟网络（Secret Private Network，SPN）承载。边缘UPF与会话管理功能（Session Management Function，SMF）间的N4接口参考EPC GW-C与GW-U间的Sx接口，UPF和SMF通过同局址CE接入IP专用承载网。边缘UPF与外部数据网络的N6接口参考EPC SGi接口（非VoLTE业务），采用CMNet承载，UPF通过CMNet防火墙接入CMNet接入路由器。N9接口为边缘UPF间接口，主要应用于UPF分级部署场景，参考EPC S5/S8接口，采用CMNet承载，UPF通过CMNet防火墙接入CMNet接入路由器。

依据网络组织及承载要求，边缘UPF需要接入IP专网、CMNET承载网、PTN/SPN等网络。标准UPF组网方式为：UPF上联同局址业务CE疏通N4接口，上联同局址网管CE疏通网管接口；基站与AMF的N2接口通过SPN+DC方式疏通。当边缘入驻式UPF部署到企业园区时，由于企业园区资源不足，因此会导致媒体面和控制面无法互通。提出UPF非标组网方式，即UPF到SMF的N4接口信令流量通过传输网+IP专网疏通解决方案。边缘UPF组网方式对比如图2所示。

图2 边缘UPF组网方式对比

1.2 容灾备份组网方案建议

共享式边缘UPF元容灾备份组网方案有两种，即主备网元的容灾备份实现机制和负荷分担（组POOL）网元的容灾备份实现机制。主备网元之间的容灾备份机制包括正常情况下主备网元之间的工作方式、需要传送的数据、需要同步的数据、周边网元寻址主用网元所需要配置的数据、主用网元故障时主备网元之间的切换机制、周边网元将业务切换到备份网元所需配置的数据等。同时，需要防止主备用网元的“双活”和“乒乓”。负荷分担（组POOL）网元的容灾备份实现机制包括正常情况下网元之间的工作方式、需要传送的数据、需要同步的数据、周边网元寻址POOL内各负荷分担网元所需要配置的数据、当其中一个网元故障时网元之间的切换机制以及周边网元将业务切换到备份网元所需配置的数据等。

备份网元资源配置有两种：一是初始配置时创建容灾备份资源所需的虚机，当主用网元故障时由备份网元接管业务，业务自动分配至备份资源虚机；二是初始配置时仅创建主用资源所需的虚机，不创建容灾备份资源所需的虚机，当主用网元故障时由备份网元接管业务，自动弹性扩容（Scale-out）出备份资源所需的虚机，并将接管的业务自动分配至备份资源虚机[5]。

园区入驻式边缘UPF容灾要求设备内部实现板块级容灾、传输具备双路由。园区边缘UPF安全要求包括防止恶意用户非法访问企业内网、提供终端到企业的传输加密、UPF数据统计核查、企业AAA二次鉴权等。外置物理防火墙隔离和防护，基于IPsec、TLS安全协议进行传输加密，保证平台自有应用、第三方应用代码安全和接口安全，对第三方应用实施数字签名并进行完整性校验。对可信资源隔离，部署虚拟机访问控制配置。此外，还需保证物理场所水电、结构的安全，设置出入口控制系统、入侵报警系统、视频监控系统等。

2 企业平台接入方案

2.1 企业平台路由及应用场景

用户与企业平台同地市时，用户通过5G基站经SPN至本地市ToB UPF，再接至企业平台。用户与企业平台异地市时，通过5G基站接入本地市ToB UPF，通过N9接口接至企业平台。企业平台接入方案如图3所示。

图3 企业平台接入方案

IP专网接入场景为全国业务场景，需要跨省与UPF互通，业务路由较长，不适合对时延要求较高的业务。CMNET接入场景中，企业业务服务器直接上公网，通过公网与UPF互通，业务逻辑隔离且按需灵活配置，可通过GRE隧道技术实现安全保障。传输专线接入场景中，企业租赁运营商传输专线来实现与UPF互通[6]。

2.2 企业接入ToB UPF的3种方式

（1）IP专网接入方式。省内业务平台通过传输PTN/SPN至省内AR，再通过IP专网与外省UPF进行互通，如图4所示。

图4 IP专网接入示例

（2）CMNET接入方式。UPF与DN网络、其他UPF间通过CMNet实现互联，UPF的N6、N9、S5接口接入配套建设的成对CMNeT路由器，CMNeT路由器成对与CMNet防火墙“口”字型连接。

（3）传输专线目标接入方式。新建专线路由器/交换机和专线防火墙，再通过传输专线与企业业务平台进行互通。对于专线路由器/交换机的选择，针对ToB业务发展潜力大的地市配置专线路由器，其他地市配置交换机。对于一个地市，每个机房放置两台专线路由器/交换机，以“口”字型与同机房两台CMNET防火墙相连，如图5所示。

图5 CMNET接入混合传输专线目标接入示例

（4）传输专线接入临时方式。如果UPF机房尚未建设专线路由器/交换机设备，可通过CMNET防火墙与传输专线直接进行互通，如图6所示。

图6 传输专线临时接入示例

综上所述，IP专网方式适用于连接跨省UPF的企业业务平台，CMNET方式适用于没有明确接入方式的企业或预算较少的企业，传输专线方式适用于有明确租赁专线业务或对安全性、可靠性要求较高的企业[7]。

3 结 论

5G时代背景下，UPF设备的应用成为运营商数字化转型的关键。运营商依托边缘网络出口，结合无线网络感知优化和无线能力开放，可以实现从连接管道向业务使能平台的跨越式转型。对于行业用户来说，边缘UPF的解决方案可将园区或企业的网络流量进行本地分流，实现企业网络的本地管理和本地运营，满足企业内部的移动办公、视频监控、现场数据采集等业务的实时性、高带宽等需求。