校园网与5G融合模式研究

文/刘治纲

5G在新基建中是最根本的通信基础设施，它不仅可以为大数据中心、人工智能和工业互联网等其他基础设施提供重要的网络支撑，还可以将大数据、云计算等数字科技快速赋能给各行各业，是数字经济的重要载体。

从服务对象而言，5G网络并不是完全为个人语音和数据业务而设计的，它还能够为垂直行业用户提供定制化的网络服务。5G网络采用网络切片技术，能够根据行业需求在带宽、时延、可靠性等多种维度上划分不同的网络切片，并定制生成一张虚拟网络，供有权限的用户连入。

校园网经过20多年的建设，形成了以下特点：

1.技术架构从交换式以太网发展到基于网络虚拟化技术的多协议泛在网；2.服务目标从单纯的PC互联发展为多类型终端的“万物互联”及其演进下的“万物智联”；3.计算模型从计算中心模式发展为云计算模式。

在上述变化的驱动下，校园网无线网流量超越了有线网流量，大范围、高质量的Wi-Fi网络覆盖成为各大校园网的建设目标。但是由于校园网本身的局限性，在AP覆盖、物联网设备VPN接入、云数据安全等方面仍然存在着瓶颈。5G网络下的切片技术可以极大弥补校园网Wi-Fi接入能力不足和覆盖范围有限的短板，使得校园网与5G网络融合成为可能。

校园网与5G网的融合架构

从5G核心层面上看，欧洲电信标准化协会(ETSI)提出的网络功能虚拟化(Network Functions Virtualization，NFV)基础架构促成了网络功能和网络底层硬件的解耦以及核心网络的虚拟化[1]；从用户面的角度看，5G网络与校园网融合的关键是用户面功能(User Plane Function，UPF)与多接入移动边缘计算(Multiaccess Edge Computing，MEC)的部署和使用。

UPF作为5G网络用户面网元，主要支持用户业务数据的路由和转发、数据和业务识别、动作和策略执行等。UPF通过N4接口与会话管理功能(Session Management Function，SMF)进行交互，依据SMF下发的各种策略执行业务流的处理。边缘UPF与核心控制面分离并下沉部署至5G网络边缘后，主要负责用户面数据的路由和转发功能。由于其位置更靠近用户，可以减少传输时延，实现数据流量的本地分流，缓解核心网的数据传输压力，从而提升网络数据处理效率。

MEC被ETSI定义为在移动网络边缘提供IT服务环境和云计算的能力[2]。由UPF将用户数据流分流至MEC平台，实现5G网边缘计算部署。融合架构如图1所示。

图1 校园网与5G网的融合架构

边缘UPF平台部署在学校网络中心机房内，作为分流锚点，配合MEC将业务分流至校园内网或同样下沉部署的MEC虚拟化应用平台。以上融合架构的主要特点可以归结为以下几点：

1.数据安全隔离。校内网用户进行用户分流策略签约。只有签约校园分流业务的用户才可以同时访问校园内网和Internet，未签约的用户只能访问Internet，不能访问校园内网。这样就确保了公网业务与校园网业务的安全隔离。

2.从用户层面实现5G与校园网合并。在校园网络机房放置下沉UPF，将全市基站(或者学校指定区域基站)数据与UPF打通，提供5G专网服务。

3.完全取代传统VPN。传统的VPN通过客户端程序主动发起并建立加密隧道的方式访问校内网资源，存在速率低、时延大、带宽不稳定等问题。通过5G分流策略可以做到高速率、低时延、大带宽访问，从而提升用户体验。特别是有内网访问需求但又无法安装VPN认证客户端的工控设备或传感器等，都可以通过安装5G通信模块无感知入网。

4.扩展性好。如果建设新校区或设立校外分支机构，仅需新校区或分支地点有5G信号覆盖，同时将对应基站与校本部机房内的边缘UPF设备打通就能连入本部网络。

基于MEC的分流

MEC是ETSI提出的边缘计算参考框架。MEC平台定义了移动边缘主机、移动边缘平台管理、移动边缘编排、虚拟基础设施管理等功能模块[3]。MEC平台是通用平台的实体服务器，可放置在5G网络边缘的用户网络机房内，使用40G或100G以太网标准与校园网内网高速互联。边缘化的MEC平台提供了5G网络虚拟基础设施的开放能力，并且通过虚拟化应用架构，将MEC功能组件进一步组合封装成虚拟的应用接口(例如本地分流、无线缓存、增强现实技术、业务优化、定位等接口)开放给第三方应用或软件开发商调用。文献[4]介绍了MEC各模块的作用以及实现方式。

随着带宽价格的下降，以及对信息系统“简单快速部署”“随时随地访问”的需求增加，校园网的计算模型从早期的数据中心模式逐渐发展为云计算模式。比较典型的应用有基于云计算的人脸识别门禁、视频监控、视频直播等。系统希望流量不出园区，从而在最大程度上防止敏感数据泄露。

因此，5G网络与校园网融合架构的实现需要UPF与MEC配合实现数据的本地分流。这样既可以提高数据安全性、保留业务的云计算特征，又可提供低延迟和高带宽的本地化网络服务。

主流常用的分流技术主要有两种：上行分类器(Uplink Classifier，UC)方案、数据网络标识(Data Network Name，DNN)方案。

校园网通信一般采用UC方案，在用户会话建立过程中，SMF可以在会话的数据路径中插入或者删除一个或多个UC。UC支持基于SMF提供的流量转发规则向不同的UPF转发上行业务流，分流至MEC平台或校园内网；同时将来自链路上的不同会话锚点UPF的下行业务流合并到5G终端。UC采用流过滤规则，例如检查上行IP数据包的目的IP地址或前缀，来决定数据包如何路由。UC的好处在于用户无感知，不需要更改终端DNN设置，极大简化了设备入网的流程，利于非智能终端入网访问。

DNN方案中，需要为各定制网用户建立专用DNN，由签约用户的终端设备主动发起请求并选择需要连入的DNN名称。SMF仅仅根据终端请求向UPF下发分流策略。该方案的好处是对网络控制面而言实现起来更加简单，缺点是灵活性差，难以大规模部署[5]。

业务流程

5G网络与校园网络融合部署后，当校园5G基站范围内既有签约用户又有普通用户时，访问学校服务器的流程如图2所示。

图2 融合组网后访问校园服务的业务流程

1.普通用户访问校园网服务器时，由于边缘UC没有该用户的分流策略，用户域名解析服务(DNS)请求将正常转发给5G核心网，路由到互联网后到达校园网防火墙公网接口。服务器的回应报文沿原路径返回。

2.签约用户访问校园网域名时(例如http://iptv.nchu.edu.cn)，边缘UPF直接将DNS请求通过边缘UPF的N6接口发送给校园网防火墙。防火墙进行网络地址转换(NAT)，将源地址转换为私有地址(例如10.xx.xx.xx)后转发给DNS服务器，解析出该域名的私有地址(例如10.1.89.131)。回应报文沿原路径返回，经对称的NAT后到达终端。

3.签约用户访问服务器地址10.1.89.131，边缘UPF匹配到SMF提供的基于该IP地址段(例如10.1.89.0/24)的分流策略后，直接通过N6接口访问服务器。经过上一步的NAT后，完成内网访问。

业务连续性问题及解决办法

以上分流过程有可能存在业务不连续的情况。例如：当终端设备触发UC分流后，后续报文的目的地址无论是否属于校园网，流量都会从边缘UPF的N6接口进入校园网，从而造成非校园网流量的业务中断。

要解决这个问题，需要根据业务需求动态地触发UC策略。边缘UPF首先匹配SMF提供的基于域名的分流策略，并在应用发起DNS请求时触发分流，这样就可以避免因TCP断流而造成的业务中断。这是一种与应用紧耦合的方案，需要应用程序提供用户标识及用户位置信息，有一定开发难度。

5G网络的虚拟化切片技术和边缘计算技术，符合校园网泛在接入的发展需求，使得定制化融合组网成为可能。这样不仅可以丰富校园网的接入手段、减小接入时延、增加接入带宽，还能充分发挥5G网络的优势，为5G建立新的商业模式。