5G核心网专网部署模式研究

邓 羽

（中国移动通信集团广东有限公司，广东 广州 510000）

0 引言

2020年疫情暴发以来， 5G专网应用需求与日俱增。5G专网主要应用于企业普通接入应用场景，如移动办公、高速上网等；移动边缘网园区场景，比如监控、人脸识别，远程操控/智能理货、人脸识别/安全帽识别； 泛媒体云网协同场景，如XR/云游戏、场馆直播；场景多人游戏对战、赛事直播多视角回看等；工业/企业生产场景，如工业视觉、工业控制、智能电网等；实时缺陷检测、吊车/产线远程控制、电网差动保护；广域万物智联场景，如辅助驾驶/自动驾驶、车载通信/信息娱乐[1-3]。

随着5G专网应用的爆发式增长，5G核心网作为网络与业务的结合点，如何选择5G核心网专网建设模式，才能更好地支撑业务，同时节省投资？已经成为行业用户和运营商的一个难题。

1 5G核心网专网部署模式分析

1.1 部署模式

5G核心网采用NFV、云计算等新技术，具备控制与承载分离的特征。控制面采用服务化架构，以虚拟化为实现方式，实现弹性扩缩容和网络切片功能。用户面功能通过（UPF）下沉和业务应用虚拟化，实现边缘计算[4]。5G核心网专网基于无线使用方式， 有三种建设模式，分别为公网共用模式、公网专用模式和专网专用模式。三种部署模式如图1所示。

图1 5G专网部署模式

方式一为公网共用模式，即无线基站共享，通过5QI区分业务优先级。核心网5GC控制面共享，用户面UPF共享。承载网采用全部共享。主要典型行业为教育、医疗、政务等行业。

方式二为公网专用模式，即无线基站共享，通过专用RB/载波实现资源硬隔离。核心网5GC控制面共享，用户面UPF独占（下沉到客户园区）或共享。承载网采用共享+FlexE隔离。主要典型行业为电力（变电站）、钢铁、煤矿、3C制造。

方式三为专网专用模式，即无线基站专用，实现设备硬隔离。核心网5GC控制面共享或专用，用户面UPF专网专用下沉到客户园区。承载网采用共享+FlexE隔离。主要典型行业为军工、科研单位等。

1.2 专网应用场景

1.2.1 业务隔离（切片+DNN）

（1）DNN隔离场景。DNN隔离：无线、传输共用资源，核心网按照DNN分配独立IP地址段，与企业服务器构建独立VPN通道。

图2 DNN隔离场景

（2）切片隔离场景。按照切片进行端到端物理资源隔离（无线RB资源预留、传输时隙vLAN子接口隔离、UPF租户隔离）。

RAN基于切片打VLAN标签，传输网基于VLAN标签走不同的，VPN传输，UPF基于切片配置，不同的N3接口和VLAN标签，UPF基于切片配置不同的N6接口（初期通过切片与DNN一一对应解决N6隔离）。

图3 切片隔离技术

1.2.2 本地业务保障

无线、承载、UPF签约端到端QOS，保障多企业、多业务间不同QOS带宽。同时UPF下沉地市， 贴近企业，提供本地业务QOS保障。

图4 QOS保障场景

1.2.3 QOS加速

基于5QI通过设置空口调度优先级，为客户提供差异化服务，主要通过调度优先级，比如

5QI#4＞5QI#6＞5QI#8＞5QI#9。

图5 QOS加速场景

2 专网发展建议

2.1 专网建设“三目标”和“四步法”

以业务为牵引，在进行5G专网建设时，要做到三个目标和四步法，同时提前做好网络边缘云规划和建设，支撑全业务目标达成。

5G专网建设要坚持“三个目标”：一是公网专用，要发挥成本优势，业务黏性；二是分层转发，做到简化配置，网随云动；三是人物融合，做到切片技术、网分业融。

同时在专网建设中要按照“四步法”来实施：一是从物网到人网，物网打底，人网按需支撑2B和2C 业务；二是从省会到地市，要按需逐步在地市部署2C共享UPF；三是从合设到分设，地市2C共享UPF 和大网UPF安需分裂；四是从连接到计算，省会及地市部署计算资源，支撑企业业务上云。

5G专网UPF部署时，建议从三个方面进行考虑：第一，公网专用，2B UPF尽快下沉到地市，引导行业用户连接上公网。第二，2C专线UPF按需部署，在保证业务需求的基础上，简化大网数据配置，地市部署计算节点，服务2B及2C用户，逐步切入行业用户生产系统。第三，随着切片技术及终端产业链成熟，逐步引入URSP技术，实现对不同应用的差异化服务。

2.2 5G核心网专网建设中的安全挑战和建议

5G核心网专网面临的安全挑战主要有如下几点：

一是园区场景的安全挑战：园区场景UPF设备不由企业控制和管理，园区企业希望非法用户不进园区；二是网络层的安全挑战：网络协议接口增多， 攻击面增大；MEC部署到企业园区，信任关系变化；三是网元层的安全挑战：第三方APP软件安全能力参差不齐，APP容易成为安全重灾区；APP受攻击后可能攻击MEC；四是NFVI层的安全挑战：MEC基于NFV，引入虚拟化（VM、容器）资源共享安全风险；五是硬件层的安全挑战：边缘部署场景存在物理入侵的安全隐患。

针对安全挑战，相应的安全建议主要如下：

（1）数据本地终结，分流安全可靠。在应用层安全考虑，是通过APP应用层自行加密传输。物理组网安全：UPF和本地网络及APP之间采用防火墙安全隔离。ULC分流规则检测：检查本地分流规则与IP/FQDN一致性，确保无本地数据分流到大网。UPF和接口流量统计核查，N3/N6/N9接口流量统计核查确保N9无多发报文，保障数据不出大网。

（2）外置防火墙进行网络隔离，防攻击，构筑安全防护边界。标准接口防护：N3/N6/N9标准接口可选使用IPSec隧道保护数据完整性和机密性。外置防火墙隔离：通过防火墙确保跨域访问安全， 跨域攻击可检测和防御。

（3）打造高可靠电信级硬件，保障设备稳定运行。通道透明、数据不存储，UPF网元无IMSI/ MSISDN等用户标识信息；UPF实时上报核心网计费信息本地不存储。物理端口安全，本地维护端口接入需认证和授权。物理保护，保护机房安全、新增机柜门锁。

3 结束语

5G专网产业的发展才刚刚起步，需要有决心有创新能力的厂商和运营商持续投入，以满足行业业务需求。在这个过程中，首先，连接能力需要不断迭代演进，以满足企业差异化体验、确定性连接、高可用与高安全需求。其次，连接能力需要持续增强，要对标行业公有云，提升一云多异构算力，从而提供丰富的资源发放和管理能力。最后，在行业解决方案创新方面，行业需做到从eMBB到URLLC 高价值场景逐步孵化。