基于多DNN 的5G 双域专网分流方案

［徐宇辉 兰文刚 黄少樟］

1 引言

5G 双域专网是以5G 专网为基础提供服务于5G 用户的2B2C 双域网络模式，双域专网解决了传统VPN 访问内网操作繁、体验差、风险高等问题，为用户提供随需直达的内网访问体验，满足了远程办公、视频会议、在线课堂、访问内网查阅资料等多种场景诉求。

双域专网有以下优势。

（1）提升使用体验：5G 公众用户不换卡不换号、免配置免认证，同时访问企业内网和互联网。

（2）提高数据安全性：内外网数据流完全物理隔离，内网数据不上公网，保障内网安全。

（3）扩展内网接入范围：5G 网络环境下，轻松实现移动广域场景下的内网访问。

（4）提升管控能力：运营商级别的配置管理、运维管理及其他管理能力，网络扩展性强。

双域专网商用以来，漫游场景访问内网成为行业用户的典型诉求，而标准的ULCL 协议无法满足。

接着，本文介绍一个新的方案，提出了基于多DNN双域专网方案，由网络侧SMF 自行发起创建专用DNN 会话，UPF 基于分流规则将内网流量和互联网流量分流到不同会话锚点，实现内外网的无感知切换。该方案超越标准，支持漫游场景下的内外网分流，并且支持4/5G 用户接入，实现用户随时随地可通过专用DNN 将内网流量路由至归属地专用UPF，互联网流量在漫游地卸载，在解决漫游场景访问内网问题的同时，保障了用户的最优体验。最后，本文介绍了该方案的工程实现和方案实施结果。

2 当前双域专网分流方案架构与流程

当前采用基于ULCL（uplink classifier）的5G 双域专网采用ULCL 分流解决方案，3GPP 针对于5G 用户面的数据分流定义了ULCL(Uplink Classifier)功能，即上行分流器。其功能是将上行业务数据按照过滤器要求转发到不同的PDU（protocol data unit）会话锚点，将该UE 的多个锚点下行数据合并。使用ULCL 分流，此时主锚点在大网UPF 上，辅锚点在（园区）边缘UPF 上，园区本地流量通过边缘UPF 分流到园区内网，该方案如图1 所示。

图1 ULCL 分流方案架构图

企业员工默认通过大网UPF 进行正常的数据流量转发。当用户位置移动到园区内时，触发TA（timing advance）更新消息，SMF（session management function）会将此更新事件向PCF（policy control function）请求策略更新。PCF 下发策略更新后触发UL-CL 流程，在用户原有会话中插入一个边缘UPF，从而实现用户会话由边缘UPF 进行本地分流，未命中的数据依然回传至大网UPF进行处理[1]。

该方案的优势为如下。

（1）用户在园区可继续使用公网DNN（data network name），终端无感知，用户体验好。

（2）用户在分流区域内（园区或归属地）能同时访问企业内网和互联网。

（3）用户在漫游时可继续访问互联网，互联网流量无需回归属地。

该方案存在一些限制因素。

园区业务不支持4G 和漫游场景接入，3GPP 协议未支持4G 场景下使用ULCL 功能，对漫游场景支持也不全，因此园区用户在4G 覆盖范围内无法使用ULCL 访问内网。

园区终端由运营商按ToC 用户统一规划，因此对接园区内网规划可能存在地址冲突，需要采用NAT（network address translation）隔离。

3 PCF 基于TAC 的多DNN 分流方案

为解决上述现有网络架构中用户无法漫游的局限性，本文提出一种基于TAC 的多DNN 分流方案，可支持省际漫游。多DNN 方案即除通用DNN 外，为园区用户新增签约园区专用DNN,互联网流量从地市通用UPF 出口，园区流量汇聚至支持专用DNN 的UPF,多DNN 方案的架构图如图2 所示。

图2 多DNN 方案架构图

业务流程如下。

（1）终端用户在UDM 上签约通用DNN 和专用DNN。

（2）PCF 上针对用户在本地接入/漫游地接入指定TAC 时下发预定义分流策略或者动态分流策略。

（3）A-SMF 上基于PCF 下发的分流策略进行分流或者基于业务触发分流。

（4）用户通过通用DNN 访问大网业务，通过专用DNN 访问园区业务。当用户在本地/漫游地接入时，智能分流UPF 作为会话1（通用DNN 会话）的主锚点，同时作为会话2（专用DNN 会话）的I-UPF，将园区业务分流到会话2 的主锚点UPF，再到园区。Internet 业务通过会话1 的主锚点直接走到Internet。

（5）智能分流UPF 上需要开启SNAT，用户访问园区的业务流在会话1 和会话2 之间进行NAT 转换。

（6）归属地UPF 上需要开启DNAT，解决UE 和Server IP 地址冲突的问题。通用的网络流量技术识别、拦截、以及监控业务。

4 基于多DNN 漫游分流工程实现

无感分流基于多DNN 策略下发方式实现，PCF 对用户发起的公网（CMNET）会话下发多DNN 策略（包含：切片、DNN、业务流定义（IP/URL/FQDN）等信息），SMF 接受到多DNN 策略后，触发SMF/UPF 无感分流业务流程[2]。策略部署如图3 所示，要点如下：（1）每个企业/园区配置相应分流套餐；（2）基于PCF 下发多DNN 策略方式触发分流；（3）PCF 上需完整配置多DNN 策略（包含：切片、DNN、业务流定义（IP/URL/FQDN）等信息），SMF/UPF 动态执行分流策略。

图3 分流策略的部署流程

基于多DNN的漫游分流是指：用户在UDM上签约时，运营商会规划用户的通用DNN 和专用DNN，用户通过分配的通用DNN 访问大网业务，通过专用DNN 访问园区业务的分流场景，如图4 所示。

用户从漫游地接入后，漫游地接入的AMF 基于从UDM 获取到的签约DNN 信息有优先择智能分流的SMF。

用户业务流通过通用DNN 接入漫游地智能UPF，经过漫游地UPF 转发至Internet。

归属地PCF 下发分流策略，触发智能分流SMF 建立专网DNN 承载，只能分流UPF 将专网流量分流至归属地专网UPF 转发至园区网络。

访问园区的业务在经过UL CL UPF 后，在I-UPF 上进行IP 地址转换，将访问Internet 的IP 地址转换为访问园区的IP 地址后，再发送至专网UPF。

相关网元功能如表1 所示。

5 结论

5G 专网是垂直行业的首要应用，是社会数智化转型的关键基础设施，办公双域专网，内网、外网随心连，开创企业办公新模式：面向企业用户公专网协同访问需求，中国移动推出5G 办公双域专网，不换卡、不换号即可便捷访问企业内网及互联网。2B2C 多DNN 分流方案，解决跨省漫游访问痛点，提供无感分流极佳体验，适用于校园、政务、警务等多行业场景。随着5G 专网业务不断拓展，越来越多场景提出2B2C 双域专网需求，后续将继续完善不同厂家的技术方案，例如支持基于位置区、基于终端、4G 接入等多种访问体验。本文技术叙述详细，技术方案完整，并且给出了工程实施建议。