5G边缘计算组网关键技术研究

冯征，周维，卜忠贵，马洪源，杨小乐

（中国移动通信集团设计院有限公司，北京 100080）

0 引言

2014 年9 月，ETSI（European Telecommunication Standard Institute，欧洲电信标准化组织）首次提出了MEC（Mobile Edge Computing）系统，旨在移动通信网RAN（Radio Access Network，无线接入网）侧部署计算能力，以降低业务时延、提升用户的业务体验，同时优化业务路由、提升网络效率。2018 年6 月，ETSI 发布了《MEC in 5G networks》的白皮书，提出了在5G 系统中部署和集成MEC 的方法，并将MEC 更名为：Multiaccess Edge Computing。ETSI 此后发布的MEC 相关标准均将MEC 解释为Multi-access Edge Computing，从而将无线局域网接入（WLAN Access）和固定接入（Fixed Access）也纳入进了边缘计算（EC,Edge Computing）的范畴。本文将重点讨论5G 网络中的边缘计算组网关键技术。

1 MEC系统的体系结构

ETSIGSMEC003 V 2.2.1“Multi-access Edge Computing (MEC);Framework and Reference Architecture”（2020-12）中给出了MEC 系统的参考体系结构[1]，如图1 所示。

图1 中的左图为MEC 系统的通用参考体系结构，其中：

图1 MEC系统参考体系结构图

（1）Data plane：负责用户终端UE（User Equipment）与MEC Platform 之间的业务流转发[1]，即是MEC 中的E（Edge），ETSI 希望此网元更靠近用户，因此建议是移动通信网无线基站（4G 网络中的eNB、5G 网络中的gNB）或无线基站的流量汇聚点[2]，但在3GPP 制定的5G 标准中选择的则是5G 核心网中靠近用户和无线基站部署的UPF[4-5]。

（2）MEC Platform（MEP）：MEC 平台为各类边缘计算业务应用提供环境[1,3]。MEC Application（MEC APP）：各类边缘计算应用可以直接或通过Mp1 接口调用MEP 提供的边缘计算能力（例如DNS 代理/服务等），为用户提供边缘计算服务/业务（MEC service），MEP 自身也可以为用户提供边缘计算服务/业务[1,3]。MEP 和MEC APP 均需要占用一定的硬件资源，通常采用虚拟化方式部署。

（3）MEC Platform Manager（MEPM）：MEC 平台管理器负责对MEC 平台的管理，包括对MEC 平台的管理和MEC 平台上MEC 应用的管理[1]。一方面，MEPM 与OSS 通过Mm2 接口通信以实现对MEC 平台的配置、故障和性能管理，MEPM 与MEO（MEC Orchestrator）通过Mm3 接口通信以实现对MEP 上各个MEC 应用的生命周期管理、规则和需求管理，并保持对MEC 服务可用性的跟踪。另一方面，MEPM 通过Mm5 接口与MEP 通信，执行MEC Platform 配置、MEC APP 规则和需求的配置、MEC APP 生命周期、MEC APP 重定位管理等[1]。

（4）MEC Orchestrator（MEO）：ME 编排器负责对MEC 提供的各个MEC 服务/业务进行编排[1]。一方面，MEO 通过Mm1 接口接收OSS 的指令，触发MEC APP 的创建和终止；另一方面，MEO 根据MEP 承担的业务、资源情况、时延等约束条件为MEC APP 选择合适的MEP，并通过Mm3 接口指示MEPM 将MEC APP 部署在相应的MEP[1]。

（5）MEP 及MEC APP、MEPM 均应基于虚拟化方式部署，MEO 通过Mm4 接口管理MEP 及MEC APP 的虚拟化资源、MEPM 通过Mm6 接口管理例如MEC APP生命周期管理的虚拟化资源[1]。ETSI 在图1 中的右图给出了基于NFV 云资源池部署MEC APP、MEP、MEPM的参考体系结构[1]。

（6）Data plane 可以是虚拟化的VNF，也可以是物理的PNF，根据MEP 通过Mp2 接口指示的MEC 业务流量疏通规则，将相关MEC 业务流疏通至MEC 平台，MEC 平台负责业务处理，并可根据需要与其他的MEC平台之间通过Mp3 接口通信[1]。

如上所述，MEC 实际上包含两重含义：其一是“边缘（Edge）”，业务平台部署在靠近用户接入的边缘侧，相应地要求网络应能够在靠近业务平台的边缘侧将相关的业务分流至对应的业务平台；其二是“计算（Computing）”，包 括MEP 及MEC APP、MEPM、MEO 及其占用的硬件资源，负责提供具体的业务应用。

实际上，MEC 的标准可以称为“双标发展制”，无论是Mobile Edge Computing 还是Multi-access Edge Computing，ETSI 制定的MEC 标准更关注的还是Edge Computing（EC）本身，并对业务接入的网络提出分流要求和建议；而3GPP负责制定移动通信网（3G/4G/5G）连接并分流至MEP 以及与MEP 交互的相关标准。

本文将结合MEC 的应用场景及MEP 的部署方式，重点讨论5G 网络与边缘计算平台之间的组网关键技术。

2 MEC应用场景及MEP部署方式归类

5G 网络通过UPF 连接外部数据网（DN）的业务平台，并通过UPF 疏通5G 用户终端UE 与业务平台之间的业务以及UE 之间的业务。5G 用户终端UE 接入5G 网络，请求网络为用户建立PDU 会话（PDU Session），5G 核心网AMF 根据5G 用户UE 提供的网络切片信息（S-NSSAI）和DNN 以及用户当前的TAI（Tracking Area Identity）等信息选择SMF（或I-SMF 和目标SMF），SMF 再根据用户5G 用户终端UE 提供的S-NSSAI、DNN 以及用户当前的TAI 等信息选择合适的UPF，为用户建立PDU 会话。

从实际组网的角度来看，MEC 的部署包括5G 网络和业务平台两部分内容，二者相互独立又密切相关。二者相互独立体现在：业务平台包含了MEP 和MEC APP 及其管理系统，负责向用户终端UE 提供具体的应用服务，其部署方式取决于业务/服务的业务特性、服务范围、规模、管理方式等因素，不同的业务平台差异较大；5G 网络由一系列的网元组成，为5G 用户终端UE 提供访问业务平台的通道，与业务平台关系较大的是UPF 和控制UPF 的SMF。二者密切相关体现在：5G 网络需要根据业务平台的部署位置、服务范围等因素选择UPF 连接业务平台，并且在满足业务疏通要求的同时提供较优的路由。业务平台及其与5G UPF 的互联方式大致可以归类为4 种类型，如图2 所示。

（1）第1 类如图2 中的业务平台1，即：业务平台采用分布式架构，在靠近用户接入的边缘侧部署边缘节点，中心节点接受用户的业务请求后，为用户选择就近的边缘节点（例如根据用户IP 地址）疏通业务，如图2 中所示，5G 用户位于区域1-2，通过UPF 1-2 接入业务平台1 的边缘节点1-2疏通业务，当5G 用户移动到区域1-1 时，通过UPF 1-1 和边缘节点1-1 疏通业务，当5G 用户移动到区域2 时，通过UPF 2 和边缘节点2 疏通业务，例如手机游戏等业务。

（2）第2 类如图2 中的业务平台2，即：业务平台仅部署在特定区域（图2 中的区域1-2），当5G 用户位于特定区域（图2 中的区域1-2）时，优先通过特定UPF（图2 中的UPF 1-2）疏通业务，以获得低时延等更好的业务体验，当5G 用户位于其他区域（图2 中的区域1-1、区域2）时，仅保证业务能够疏通（经图2 中的UPF 1-1、UPF 2）即可，例如园区内的可供互联网访问的业务资源。

（3）第3 类如图2 中的业务平台3，即：业务平台通过专线（也可以是利用互联网承载的点到点的GRE 等隧道）仅接入特定的UPF（图2 中的UPF 1-3），并开通专用DNN，5G 用户通过专用DNN 经特定的UPF（图2 中的UPF 1-3）访问业务平台，支持5G 用户的全国漫游；同时，业务平台具备访问互联网的通道，5G 用户也可以利用互联网DNN 建立与业务平台之间的VPN 通道（在业务平台提供互联网VPN 接入的情况下）访问业务平台，例如企业的内网资源。

（4）第4 类如图2 中的业务平台4，即：业务平台通过物理专线或运营商专线仅接入特定的UPF（图2中的UPF 1-3），并开通专用DNN，5G 用户通过专用DNN 经特定的UPF（图2 中的UPF 1-3）访问业务平台；业务平台不能被互联网访问，具体又包括：“存在5G 用户漫游接入需求”和“仅存在5G 用户特定区域接入（无漫游）需求”2 种，例如部分5G 垂直行业应用场景。

图2 5G UPF与业务平台互联方式示意图

3 5G PDU会话建立及业务分流技术

3.1 5G PDU会话建立方式

5G 网络负责为用户终端UE 建立与对应业务平台之间的PDU 会话用户面数据传送通道，3GPP 提供了3 种方式，如图3 所示。在实际组网中需要重点关注网络对业务的疏通能力（选择到对应的UPF）和UE 移动过程中的业务连续性（UPF 改变时的业务不中断或业务允许的最大中断时长），同时需要兼顾终端UE、5G 网络设备以及业务平台对相关功能的支持情况。

图3 5G PDU会话和业务连续性的3种PDU会话示意图

（1）SSC Mode1[4-5]。如图3 中的左图所示，5G 用户终端UE 发起PDU 会话建立请求，AMF1 向NRF 执行SMF 服务发现，请求消息中包含UE 提供的S-NSSAI和DNN，然后AMF1 根据NRF 返回的结果以及UE 当前的TAI（UE 当前所处的地理位置）选择相应的SMF（图中的SMF1），SMF 再根据UE 提供的S-NSSAI 和DNN以及UE 当前的TAI 等信息选择相应的UPF（图中的UPF1），为UE 建立与外部数据网DN（例如互联网）的PDU 会话用户面，如图3 中左图的②蓝色实线。当5G用户终端UE 移动出UPF1 和SMF1 的覆盖范围，AMF2从AMF1 获 得SMF1 的 地 址，判 断UE 当 前TAI 超 出了SMF1 的覆盖范围，则以UE 当前的TAI 向NRF 执行SMF 服务发现，并根据NRF 返回的结果选择I-SMF（图中的SMF2），然后向I-SMF 发送UE 的PDU 会话建立请求消息，消息中同时包含了SMF1 的地址，I-SMF 根据UE 的TAI 等信息选择合适的I-UPF（图中的UPF2），再将UE 的PDU 会话建立请求消息发送给SMF1，从而为UE 建立UE—gNB2—UPF2—UPF1 的PDU 会话用户面，如图3 中左图的④红色实线，即：UE 跨区域移动，连接外部数据网DN 的锚点UPF（图中的UPF1）不变，在此过程中插入了I-UPF（图中的UPF2），并由5G 网络保证UE 从gNB1 切换至gNB2 的业务连续性。UE 接入外部数据网DN 的IP 地址由SMF（图中的SMF1）分配，是UPF（图中的UPF1）负责的IP 地址段内的地址，插入I-UPF 后用户IP 地址不变，以保证UE 业务连续性。

（2）SSC Mode2 为“先拆后建”[4-5]，如图3 中的右上图所示，UE 移动出SMF1 覆盖范围，首先拆除用户现有的用户面通道（②蓝色实线），然后再建立新的用户面通道（⑥红色实线）；在⑥重建之后，UE 的IP 地址变更为UPF2 负责的IP 地址段内的地址。此方式需要SMF1 判断UE 移动出了其覆盖范围后，通知UE 释放现有PDU 会话后再请求建立新的PDU 会话，在释放现有PDU 会话④后到新的PDU 会话建立⑥之前的这一段时间，UE 的业务中断。

（3）SSC Mode3 为“先建后拆”[4-5]，如图3 中的右下图所示，UE 移动出SMF1 覆盖范围，首先建立新的用户面通道（⑤红色实线），然后再拆除用户原有的用户面通道（②蓝色实线）；在⑤重建之后，UE 的IP 地址变更为UPF2 负责的IP 地址段内的地址。此方式需要SMF1 判断UE 移动出了其覆盖范围后，通知UE 重建新的PDU 会话后再删除原有PDU 会话。

如上所述，SSC Mode2 和SSC Mode3 均能够实现“通过物理位置最近的UPF 为UE 疏通业务”，但是需要注意：（1）锚点UPF 改变，用户IP 地址改变，需要“业务应用对用户IP 地址不敏感”，即：用户IP 地址改变而上层业务不中断，否则需要重新激活UE 的业务应用；（2）SSC Mode2 存在瞬时的业务中断；（3）SSC Mode3 标准现阶段仅支持IP PDU 类型；（4）UE 终端需要支持能够执行SMF 下发的“先拆后建”、“先建后拆”的指令，并且支持将正在执行的业务迁移到本端新的IP 地址，尤其是SSC Mode3 还需要UE 在新旧PDU 会话切换过程中支持单PDU 会话双IP 地址的功能，目前市面上的5G UE 终端均不支持；（5）需要5G 核心网SMF 支持识别UE 移动出其覆盖范围后向UE 下发“先拆后建”、“先建后拆”指令的功能，相关厂家设备的功能仍待加强。可见，SSC Mode1 仍是当前的主流方式，但由于在用户移动过程中其锚点UPF 不变，对于图2 中的第1 类业务平台1 和第2 类业务平台2，难以满足其“通过物理位置最近的UPF 为UE 疏通业务”的需求，因此需要考虑SSC Mode1 下的5G 业务分流技术，即：随着5G UE 的移动为其选择地理位置最近的UPF。

3.2 5G业务分流组网技术

（1）5G UL CL 组网技术

3GPP 为5G 网络规范了Uplink Classifier（UL CL）和IPv6 multi-homing[4-5]这两种单PDU 会话的业务分流技术，其中：对于5G UE 的不同业务流，需要为IPv6 multi-homing 分配不同的IPv6 地址，要求UE 终端和业务应用必须支持采用IPv6，单PDU 会话的情况下，UE需要采用不同的IPv6 地址访问不同的业务应用，目前UE 尚不支持，本文重点介绍UL CL 技术的组网应用。

图4 描述了UL CL 组网技术的2 种应用场景。

1）5G UL CL 能够实现基于业务内容的分流。如图4中的左图所示，5G UE 通过锚点UPF（PSA UPF1）疏通业务，当SMF 识别出（PSA UPF1 识别出并上报SMF）UE 访问特定业务内容（例如基于目标URL、目标IP 地址）时（即图中的①红色实线），触发UL CL 流程，为UE 选定靠近相应业务平台的PSA UPF2 疏通这部分业务，在此过程中，UE 的IP 地址不变，仍旧是PSA UPF1 的IP 地址段内的地址，但在经过PSA UPF2 外接的防火墙完成NAT 转换后，APP_B 至UE 的DL 下行流量将通过PSA UPF2 疏通。此时，PSA UPF2 即为UL CL UPF，作为一个UL 上行流量分类器，将特定业务UL 流量通过PSA UPF2 疏通至对应的业务平台，其他流量仍通过PSA UPF1 疏通，如图4 中左图的④红色实线和黑色实线，相应的经由PSA UPF2 和PSA UPF1 的DL下行流量也经由PSA UPF2 汇聚后疏通至UE。如上所述，此方式能够满足图2 中的第1 类业务平台1 的本地分流需求，图4 中左图的APP_B 即为业务平台1 的边缘节点；当同一用户UE 存在多个第1 类业务平台的业务需要分流时，允许其单PDU 会话存在多个PSA UPF，构成“1 个UL CL UPF+N 个PSA UPF”的结构，为其各个业务平台边缘节点分流业务，例如：同一用户UE 接入互联网业务访问普通互联网业务APP_A（无分流需求）的同时依次访问了APP_B（属于1 种第1 类业务平台）、APP_C（属于另1 种第1 类业务平台），则在图4 左图中，网络会再插入一个PSA UPF3（图4中未画出）兼做UL CL UPF，负责UE的UL分流和DL汇聚，UE 单个PDU 会话的流量中APP_A 的UL 业务由PSA UPF3疏通至PSA UPF1、APP_B 的UL 业务由PSA UPF3 疏通至PSA UPF2 疏通、APP_C 的UL 业务由PSA UPF3 直接疏通，而N的最大数量取决于5G 核心网设备厂家的支持情况。在3GPP R16 版本中，引入了UL CL 的PDU 会话和业务连续性，I-SMF 选择新的靠近UE 的PSA UPF 和新的UL CL UPF，并在新的UL CL UPF 与原UL CL UPF 之间建立临时的N9接口通道，以接收原UL CL UPF 至UE 的DL 下行流量，而UE 新的UL 上行流量将通过新的UL CL UPF 分流至新的PSA UPF，从而满足了图2 中的第1 类业务平台1 的漫游场景下的本地分流需求。

图4 5G UL CL分流技术组网示意图

2）5G UL CL 能够实现基于用户位置的分流。如图4中的右图所示，5G UE 通过锚点UPF（PSA UPF1）疏通业务，当SMF 识别出（AMF 通告给SMF）UE 移动到了特定区域（例如TAI）时（即图中的①红色虚线），触发UL CL 流程，为UE 选定靠近相应业务平台的PSA UPF2疏通业务，在此过程中，UE 的IP 地址不变，仍旧是PSA UPF1 的IP 地址段内的地址，但在经过PSA UPF2 外接的防火墙完成NAT 转换后，APP_B 至UE 的DL 下行流量将通过PSA UPF2 疏通，如图4 中左图的④红色实线（新的业务流）和临时的粉色实线（剩余的原DL 下行业务流）。如上所述，此方式与（1）的“基于业务内容的分流”组合，能够满足图2 中的第2 类业务平台2 的本地分流需求，图4 中左图的APP_B 即为业务平台2。

3）5G 网络为UE 的单PDU 会话插入UL CL UPF 后，不为UE 分配新的IP 地址，UE 不感知网络插入了UL CL UPF，对UE 无新的功能要求。但正是因为不为UE 分配新的IP 地址，所以要求分流PSA UPF 与业务平台边缘节点之间（如图4 中的PSA UPF2 与APP_B 之间）必须具备NAT设备，完成用户IP 地址的转换，以保证分流业务的DL 流量能够路由到分流PSA UPF（图4 中的PSA UPF2）而不是原PSA UPF（图4 中的PSA UPF1）。对于图4 中右图，业务平台会感知用户IP 地址发生了改变，需要“业务应用对用户IP 地址不敏感”，即：用户IP 地址改变而上层业务不中断。

4）5G UL CL 能够满足图2 中的第1 类业务平台1和第2 类业务平台2 的业务场景，但无法满足图2 中的第4 类业务平台4 的UE 漫游场景以及第3 类业务平台3 通过UPF1-3 疏通业务的场景。如图2 所示，当UE 在区域1-2、区域1-1 首次发起访问业务平台4、业务平台3 时，SMF1 选择UPF1-3 作为分流PSA UPF 并兼做UL CL UPF 实现业务分流，且由于UL CL 支持UE 移动的切换，能够保证UE 跨区域接入业务平台并保证业务的连续性，但当UE 在区域2 首次发起访问业务平台4、业务平台3 时，SMF2 无法选择到UPF1-3，导致业务失败。

（2）多DNN 组网技术

对应图2 中的第3 类业务平台3，由于业务平台通过专线（如考虑安全因素）仅互联了5G 网络中的特定UPF（不是全网每个SMF POOL 内的至少1 个UPF），因此若5G UE 希望通过此专线接入业务平台3，则必须申请独享的专用DNN。5G UE 发起专用DNN 的PDU 会话建立请求，AMF 向NRF 执行SMF 服务发现，请求消息中包含UE 提供的S-NSSAI 和专用DNN，若NRF 返回的SMF 未覆盖UE 当前的TAI，则AMF 选择NRF 返回的SMF 作为目标SMF，并以UE 当前的TAI 向NRF 执行SMF 服务发现，并根据NRF 返回的结果选择I-SMF，然后向I-SMF 发送UE 的PDU 会话建立请求消息，消息中包含目标SMF 的地址，I-SMF 根据UE 的TAI、UE 提供的S-NSSAI 等信息选择合适的I-UPF，然后再将UE 的PDU 会话建立请求消息发送给目标SMF，目标SMF 再根据S-NSSAI、专用DNN 选择相应的目标UPF，为UE 分配专用DNN 的IP 地址，从而为UE 建立UE—gNB—I-UPF—目标UPF 的PDU会话用户面，类似于如图3 中左图的④红色实线，差别在于UPF2 不具备DN 之间的N6 接口。

多DNN 技术需要：①5G UE 终端需支持多DNN 及多用户IP 地址（针对每个DNN，网络为UE 分配至少1个用户IP 地址）；②用户需要在UE 相应的界面上进行相应的操作，例如在UE 终端上点击相应的APP，APP驱动UE 建立/ 调用专用DNN 的PDU 会话，并使用对应的IP 地址访问对应的业务平台。对于不支持上述功能的5G UE，用户只能在UE 界面上启动利用互联网通用DNN 提供的IP 通道，建立UE 与业务平台之间的VPN隧道，访问业务平台内网资源。以上需要终端支持相关功能或者需要用户在UE 界面上进行相关操作来启动专用DNN 业务，称为“UE 有感知地使用多DNN 业务”。

3GPP 为5G网络规范了URSP（UE Route Selection Policy）技术，由5G 网络在PCC 流程中向UE 下发URSP规则（也可以在UE 内预先配置URSP 规则），UE 的应用根据其特征在URSP 规则中匹配Traffic Descriptor，输出相应RSD（Route Selection Descriptor），RSD 中包含PDU 会话建立的关键因素如DNN、网络切片选择策略、PDU 会话类型等，UE 的应用再根据RSD 复用已存在的PDU 会话或建立新的PDU 会话。可见，URSP 能够支持多DNN 技术以及多网络切片共用单DNN 技术，而现阶段5G UE 和网络均不能很好地支持URSP 技术。

因此，对于“UE 无感知地使用多DNN 业务”，即：不需要UE 支持多DNN（及对应的多用户IP 地址），用户在UE 界面仅需点击链接或输入目标URL/IP 地址而不需要其他额外操作（例如激活相应的APP、启动UE 与业务平台之间的VPN 隧道等），即可以在使用公网业务（通用DNN 业务）的同时并行使用专网业务（专用DNN 业务），目前尚无技术手段支持，需要持续研究。

对应图2 中存在漫游场景的第4 类业务平台4，其解决方案基本同图2 中的第3 类业务平台3，其差别在于由于业务平台4 不接入互联网，因此不存在通过互联网通用DNN 以VPN 专线访问业务平台的方式。

4 5G UPF下沉的部署方式

为了配合5G 边缘计算，无一例外地需要UPF 下沉，其下沉位置应与图2 中的4 类业务平台的部署位置综合考虑，较优的方案是UPF 与业务平台共机房部署，尤其是将虚拟化UPF 与 符 合NFV 标 准 的MEP 及MEC APP、MEPM、MEO 共资源池部署，更有利于对硬件资源的统一维护和调配（注：NFV 技术标准也是由ETSI 首先倡导和规范的），虽然高吞吐量的UPF 需要配置具备硬件加速卡的专用硬件。

对于图2 中第1 类业务平台1 和第2 类业务平台2，由于运营商UPF 需要同时服务公众用户，因此通常部署在运营商地市机房，并采用POOL 的组网方式保障网络的安全可靠性。因此，业务平台应优选部署在运营商UPF 同资源池的MEP，且为进一步提高可靠性，业务平台可部署在具备异局址容灾关系的至少2 个UPF 的同资源池MEP。当然，业务平台也可以部署在企业自己的MEP 上，并通过可靠带宽的传输通道接入运营商UPF。

对于图2 中第4 类业务平台4 及第3 类业务平台3，专网更为关注端到端的网络安全性和业务信息的安全保密性，而5G 网络为用户UE 建立并维持PDU 会话的网元不止UPF，还包括AMF、SMF、UDM/UDR 等网元，因此在实际组网中，大致存在六种方式，如图5 所示。

图5 5G核心网网元下沉示意图

（1）方式一：UPF 和业务平台均部署在运营商边缘机房；由运营商提供全部的硬件资源和机房环境，并负责5G网络的维护和质量保证，通过5G 无线gNB 与UPF、AMF之间的与互联网隔离的IP 传送资源保障企业信息的安全。企业可将自己特有的软件安装在位于运营商机房的MEP，并负责业务的可用性。同时，运营商可以通过部署在企业侧的客户端向企业开放权限，使企业能及时了解自身的网络和业务运行情况、以及对自身UE 的一定权限的通信业务管理。

（2）方式二：MEC（包括UPF 和MEP 等）均部署在客户机房；UPF 和业务平台更靠近UE。但仍需考虑5G gNB 与客户机房UPF 的IP 传输资源和传输距离，同时需保障UPF 与运营商SMF 之间的N4 接口的IP 传输的可靠性，若N4 接口故障将导致业务的全阻。

（3）方式三：在方式二的基础上，将负责用户的PDU承载建立的控制面网元SMF 通过网络切片的方式也部署在客户机房；N4 接口成为了局内接口，但SMF 与AMF、UDM、PCF 之间的N11、N10、N7 接口需要占用客户机房与运营商之间的传输，若故障将导致业务的全阻。

（4）方式四：在方式三的基础上，将负责用户的移动性管理和SMF 选择的控制面网元AMF 通过网络切片的方式也部署在客户机房；N4 和N11 接口成为了局内接口，但SMF 与UDM、PCF 之间的N11、N10、N7 接口，以及AMF 与UDM、PCF 之间的N8/N12、N15 接口需要占用客户机房与运营商之间的传输，若故障将导致业务的全阻；另外还需要在客户侧维护AMF 与gNB 之间的N2接口，包含5G 无线网与AMF 之间的数据配置。

（5）方式五：在方式四的基础上，将负责用户的用户数据面网元UDM/UDR 以及PCF/UDR（按需）业务部署在客户机房，即将企业所需的所有核心网资源均部署在客户侧，避免了与运营商核心网之间的IP 传输，但在客户侧不但需要维护AMF 与gNB 之间的N2 接口，还需要客户自行管理UE 的USIM 卡资源和UE 用户的业务签约等用户开户管理。

（6）方式六：将方式二的UPF 替换为UPF+（增强UPF），UPF+不属于3GPP 标准，是设备厂家配合运营商定制的产品，内置了其他核心网网元的部分功能，当N4 接口故障时，UPF+能保持已建立的PDU 会话稳态运行，不影响业务疏通，但在此期间无法对UE 进行业务权限变更等其他操作。

方式二到方式六均需要企业具备对应网元的装机环境，且由于设备部署在客户侧，运营商不便于对设备的现场管理和数据配置，需要企业具备一定的5G 核心网设备维护能力，尤其是方式四和方式五，企业需要具备较强的5G 核心网与5G 无线网的技术技能。另一方面，运营商网络与客户机房之间需具有IP 传输通道，需要采取一定的IP 网络安全防护措施。图5 中的虚线承载的是为了建立UE 与业务平台之间传送专网业务的通道（实线）而需要5G 网元之间以及UE 与5G 网元传送的信令消息，UE 与业务平台之间传送的数据以及信令均是在实线上承载，因此方式一和方式二均能够满足专网业务信息的安全保密需求，同时能够最大程度地减少专网企业对5G 网络相关的维护管理，从而能够专注于专网业务本身。

5 5G网络提供的二次认证/授权

对应图2 中的第3 类业务平台3 和第4 类业务平台4，5G 网络为专用DNN 提供二次认证/授权（Secondary authentication/authorization）功能，即：在5G UE 发起专用DNN 的PDU 会话建立请求后，SMF 根据预先的配置或用户DNN 的签约信息，直接或通过UPF 向对应的业务平台AAA 服务器（DN-AAA 服务器）发起认证请求，通过UE—gNB—AMF—SMF—（UPF）—DN-AAA 服务器，DN-AAA服务器与UE 交互信息，完成对UE 的认证后，DN-AAA 服务器指示SMF 对UE 认证的成功，并向SMF 提供授权信息，可选的包括：DN-AAA 服务器为UE 分配的IP 地址、允许的MAC地址、替换UDM为UE签约的会话级AMBR（Session Aggregate Maximum Bit Rate）等，可进一步加强业务平台对使用专用DNN 业务的UE 的管理。

3GPP 在2G/3G/4G 网络中规范了上述移动通信网与DN-AAA 服务器之间对使用专用DNN 业务的UE 的认证和授权，只不过是称为“非透明方式接入”，3GPP 在5G R15 标准中为了进一步提高鉴权算法的安全可靠性，摒弃了2G/3G/4G 网络中使用的PAP/CHAP 认证方式，而是采用了更高级的EAP 认证方式，但在实际应用中，基本上没有DN-AAA 服务器支持EAP 认证方式，因此3GPP 在5G R16 标准中重新引入了PAP/CHAP 认证方式。

6 结束语

边缘计算（Edge Computing）能够使用户获得更好的业务体验，具有广阔的应用前景，尤其是边缘计算与5G 的结合，一方面能够进一步拓宽移动互联网的应用场景，另一方面能够赋能千行百业。5G 边缘计算组网首先需要根据QoS 等业务特性确定MEP 及MEC APP 的布局，然后再选择适合的5G 分流技术以及5G 核心网相关网元的部署方式，将相应的业务流“就近”疏导至相应的业务平台，在此过程中，还需综合考虑终端及应用所具备的相关功能，必要时还需对5G 网络的边缘分流技术进一步完善。目前，基于5G 边缘计算的业务应用尚处于初级阶段，随着5G 应用的进一步丰富，对5G 边缘计算的组网技术或将提出新的要求，相关标准将会持续演进。