广州5G 校园专网解决方案实践

［谢永安 刘永亨］

1 背景介绍

为加快推进教育现代化、建设教育强国，教育部等部门印发了《教育信息化2.0 行动计划》、《智慧校园总体框架》、《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》等文件，大力引导开展校园专网建设和“互联网+教育”大平台建设，为教育高质量发展提供数字底座。各地学校也在努力探索最佳的教学管理新模式。5G 作为中国“新基建”战略的七大支柱之一，随着大规模商用和覆盖的完善，开始进入校园，推动智慧教育的发展以及智慧校园的建设，实现对数字校园的赋能。各运营商均针对校园网络争先推出了5G 专网解决方案，以满足教学和校园管理的需求，保障校内资源与应用的高速访问，提升学校师生的办公和学习效率。

本文以广州校园5G 双域专网项目为例，探讨各种5G专网解决方案并进行了实践部署。

2 5G 分流技术

2.1 UPF 功能介绍

校园5G 专网的实现需要部署UPF（用户面功能）核心网元，UPF 在3GPP 的5G 核心网系统架构中主要负责用户面数据包的路由和转发相关功能，在5G 面向低时延、大带宽的边缘计算和网络切片技术上发挥着举足轻重的作用。

为提升用户体验，提供更高的安全性和更大的带宽保障，5G 专网需要对业务进行本地分流，一方面将UPF 下沉到网络边缘以减少路由迂回，另一方面考虑分流技术。当前主流的5GC 边缘部署分流技术有三种：ULCL（上行分类器）方案、IPv6 多归属（Multi-homing）方案以及LADN（本地数据网络）方案。其中的IPv6 多归属方案和LADN 方案在技术部署上还存在一定的局限性，目前大多采用ULCL 方案。

在分流场景下，UPF 有多种形态，可以分为ULCL UPF、主锚点UPF 和辅锚点UPF，分流组网如图1 所示。不同类型的UPF 区别在于：

图1 ULCL 分流架构

ULCL UPF：实现Uplink Classifier（上行分类器）功能的UPF。在激活分流时由SMF 插入ULCL UPF 到用户会话中。ULCL UPF 通过N9 接口与锚点UPF 连接，对于上行流量，按分流规则识别后，区分出需要发送给主锚点UPF 和辅锚点UPF 的报文并转发。对于下行流量，则对来自锚点UPF 的报文进行聚合，并通过N3 接口转发给基站。

主锚点UPF：UE激活PDU会话时给UE分配IP的UPF，通过N6 接口与中心DN 连接。用户会话过程中，作为PDU 会话的锚点出现，对ULCL UPF—主锚点UPF—中心DN 之间的用户数据进行转发，并完成计费、监听、业务控制等功能。

辅锚点UPF：激活分流时，伴随ULCL UPF 同时插入的UPF，通过N6 接口与本地DN 连接。用户会话过程中，作为PDU 会话的锚点出现，对ULCL UPF—辅锚点UPF—本地DN 之间的用户数据进行转发，并完成计费、监听、业务控制等功能。

2.2 ULCL 分流技术

5G 专网在进行业务分流时，在用户PDU 会话建立过程中，或会话建立完成后，SMF 可以在PDU 会话的数据路径中插入或者删除一个或多个ULCL。ULCL 支持基于SMF 提供的流量检测和流量转发规则，向不同的PDU 会话锚点UPF 转发上行业务流，分流至企业内网或外部互联网；并将来自链路上的不同PDU 会话锚点UPF 的下行业务流合并到5G 终端。ULCL 采用流过滤规则（例如检查UE 发送的上行IP 数据包的目的IP 地址/前缀）来决定数据包如何路由。

基于不同的触发条件，ULCL 方案可以分为：特定位置ULCL 方案、位置及用户签约ULCL 方案、位置及应用检测ULCL 方案和能力开放ULCL 方案。其区别对比如表1 所示。

表1 ULCL 分流方案对比

3 广州校园5G 专网方案

3.1 5G 校园专网方案比较

5G 校园专网相对于其他行业专网场景而言，具有一定的特殊性，主要体现在校园专网的用户多为toC 类用户（学校教职工、学生等），有同时访问校园内网和互联网的需求，且活动范围不固定，具备广域移动性特征。而其他行业专网主要面向生产设备、物联网终端等toB 类用户，此类用户一般仅需访问企业内网，移动性不强，活动范围有限。

根据学校对5G 专网的需求，基于目前3GPP 的标准和运营商网络可以支持的能力，业内提出了4 种5G 校园专网解决方案，分别为专用DNN+路由器分流方案、通用DNN+ULCL 方案、专用DNN+ULCL 方案以及通用DNN+专用DNN+ULCL 方案。4 种方案所采用的网络策略和所需的网络配置不尽相同，对终端的要求不同，方案实现的效果也有所差异。

通过比较多种方案的优势和劣势，结合上文分析的不同ULCL 的触发方式，本次广州校园5G 双域专网项目，采用通用DNN+位置及用户签约ULCL 的方案进行实践部署。

3.2 业务需求分析

本项目在广州市内选择了部分高校进行校园5G 专网方案的合作试点，以中山大学5G 专网项目为例进行探讨。

中山大学5G 专网项目的需求为建设一张5G 校园专网，通过5G 专网实现数据不出校园，逐步替代其原有的通过VPN 的方式访问校内网的方式，让原本使用移动5G卡的用户不换号不换卡，便可实现广州市内随时快速访问校园内网（例如教学资源查询等）的需要。

项目试点阶段需满足中山大学现有的4 万个移动用户的接入需求。其中5G 用户数约1.5 万人，峰值在线人数约为0.8 万人，按照运营商校园用户平均流量约为上下行1.25 Mbit/s 估算，预计最大并发流量为10 000 Mbit/s。

3.3 总体方案

根据校园5G 专网的端到端业务流程，需要对无线、传输、核心网各环节组网进行规划设计。

3.3.1 5G 无线网络方案

本项目的无线覆盖通过利旧现网已有的5G 站点来实现。前期先重点考虑中山大学校区的覆盖，通过利旧中山大学周边的20 个5G 室分、22 个宏站以及规划内7 个待建设站点来满足中山大学广州校区（包括海珠校区及大学城校区）的5G 信号覆盖需求。后续逐步过渡到最终目标，实现中大签约用户能够在全广州范围内访问中大校园内网。

3.3.2 5G 核心网侧方案

本次项目在核心网侧规划新增一套校园专用UPF，吞吐量为10 Gbit/s，下沉至学校机房，将全市基站数据与该UPF 打通，提供5G 专网服务，实现数据不出学校。本次项目需求暂不涉及边缘云部署。

用户业务接入后，由PCF 下发相应策略，SMF 根据下发的策略触发ULCL 激活流程。用户通过ULCL 分流，以运营商的toC 通用UPF 作为ULCL 分流的主锚点，以校园专用UPF 作为ULCL UPF，并兼做辅锚点UPF，对校园专网用户的数据进行分流。若校园专网用户访问校园内网，则通过校园专用UPF 与校园内网之间的N6 接口实现；若校园专网用户访问互联网，则数据流量通过校园专用UPF 的N9 接口送至toC 通用UPF，再通过toC 通用UPF 的N6 接口送至互联网。分流业务流向如图2 所示。

图2 5G 校园专网业务流程图

校园专用UPF 需要经过防火墙隔离后，才能通过专线连接至校园内网，以保障运营商5G 网络的安全。

物理组网拓扑如图3 所示，在学校第三教学楼机房搭建了下沉的校园专用UPF，同时建设了配套的UPF 防火墙、业务交换机等网络设备，UPF 服务器和网络设备都实现了

图3 分流设备物理组网

1+1 热备份。通过光纤链路与学校核心网进行对接，实现双路由接入，保证业务安全稳定。

3.3.3 5G 传输建设方案

本项目的传输组网利旧了现网中山大学的1 台接入层SPN 设备与UPF 对接，该SPN 也负责了覆盖中山大学的基站站点回传，使用toC 默认切片，同时负责N3 接口的用户数据、N4 接口的网络信令、网管数据的传输。专用UPF 与大网主锚点UPF 通过该SPN 开通专线对接N9 口数据。传输组网结构如图4 所示。

图4 传输组网结构图

3.4 基本业务流程

3.4.1 业务分流方案

本项目实践采用了通用DNN+位置及用户签约ULCL的方案，学校用户与大网用户均使用通用DNN，区别在于学校用户签约了校园套餐，签约位置范围为整个广州市；而大网用户不签约校园套餐。

签约了校园专网分流策略的用户只要在广州市内激活，无论在哪个TAC 区接入，PCF 都会基于用户签约+实时位置而触发分流策略，SMF 支持根据用户激活的DNN 和位置信息选择ULCL UPF 并触发创建ULCL 流程，给ULCL UPF 下发ULCL 规则，ULCL UPF 根据SMF 下发的分流规则进行规则匹配和数据分流。并根据用户数据的目的IP、协议端口号或DNS 策略进行数据分流，对于访问校园内网的数据，通过辅锚点UPF 的N6 接口送至校园内网；对于访问互联网的数据，通过ULCL UPF的N9 接口送至主锚点UPF，通过主锚点UPF 的N6 接口送至互联网。

其他未签约校园网用户的会话则不插入ULCL UPF，则无法访问校园内网，只能访问外部互联网。

3.4.2 IP 冲突解决方案

采用通用DNN+位置及用户签约ULCL 的方案可能会存在IP 地址冲突，即移动用户终端IP 和校园内系统IP采用了相同的IP 地址段，引发路由错误从而导致业务访问失败。运营商和学校需提前沟通可能存在的这类问题，如需解决，考虑在专用UPF 防火墙上配置地址池映射。方案简述如下：

（1）校园专网用户请求https://portal.sysu.edu.cn，校园专用UPF 将该域名定向配置到校园DNS Server；

（2）校园DNS Server 解析出内网服务器的地址（10.xx.xx.xx 网段），防火墙将改网段地址改成对外网段地址（20.xx.xx.xx 段）；

（3）终端请求访问20.xx.xx.xx 段地址，防火墙通过NAT 将20.xx.xx.xx 段地址NAT 成校园内网服务器地址段，完成内网访问。

业务流程如图5 所示。

图5 IP 地址冲突解决方案示意图

3.5 方案成效

通过在学校部署5G 双域专网，学校用户访问校内资源的感知有了比较明显的改善。此前如果要在校外访问学校内网的资源，使用传统的VPN 的方式，存在速率低、时延大、带宽不稳定等问题，通过5G 签约分流策略的用户访问校园内网，内网访问时延可从最高297 ms，下降到最高77 ms。下载速率高达800 Mbit/s。如图6 所示。5G专网下的高速率、低时延、大带宽的优势显而易见。

图6 现场测试效果图

4 总结

本文探讨的采用通用DNN+ULCL 的广州校园5G 双域专网方案，能够让学校用户不换卡，不换号，便可通过5G 手机无感知地访问校园内网的资源，提高了学校师生办公和学习的效率；5G 信号可以做到室内室外无死角覆盖，且容量大、抗干扰能力强，解决了校内WIFI 覆盖不足、干扰多等问题，5G 的移动性好也更好的提升了用户访问体验。签约用户可同时访问公网和校园内网，未签约用户只能访问公网，不能访问校园内网，由网络进行分流，数据得到隔离，且不出园区，安全性高。

对于通用DNN+ULCL 的方案，可能存在IP 地址冲突的问题，本文提出了在专用UPF 防火墙上配置地址映射的方法来解决，但通用DNN 的方案未能提供漫游状态下，或5G 回落4G 情况下的内网访问，常用的做法是配置专用DNN 来实现，但用户可能需要进行DNN 的手动切换，且漫游状态下使用专用DNN 只能访问校园内网而不能上公网，对于用户的使用感知会有影响。采用通用DNN+ULCL 的方案，从快速部署以及应用便捷性来衡量也不失为一种更优的选择。