面向5G 2B 业务的5G LAN 解决方案分析

王飞飞，孙 颖，曹亚平

（中国电信股份有限公司研究院，北京 102209）

0 引言

5G 2B 业务呈现有别于2C 的新商业模式，5G 为三大运营商带来较大的To B 增量业务，5G 的发展趋势将从消费互联网的(C 端)转向产业互联网(B 端)，应用场景的发展潜力巨大，有较大的开发空间，市场前景广阔。5G 2B 业务应用场景与终端形态向多样化、融合化、智能化发展，对网络服务的功能和形态提出了新的要求。传统网络服务已无法满足企业用户高速上网、安全互联、业务隔离、快速灵活组网等众多业务需求。

近年来，研究重点是利用5G 网络技术构建5G 虚拟专用网，为5G 2B 行业客户提供端到端灵活的安全服务。

然而在当前固移融合网络的研究中，多以三层组网方案为主，组网配置较为复杂，在实施应用中难以灵活扩展和大量部署。本文在固定和移动融合业务的应用方面的创新主要是引入5G 网络能力的增强和5G LAN的技术方案，重点研究面向5G 2B 应用多样化的场景，可以基于通用的基础设施和5G 局部区域网（Local Area Network,LAN）的网络增强，灵活提供低成本的差异化、定制化组网的能力。通过在原有固定接入方式的基础上增加移动接入，扩大广域网接入范围，保障局域网的安全可靠接入，实现5G 网络与工业等网络的深度融合。

1 标准化工作进展

5G LAN 为3GPP R16 中新引入功能，主要基于5G终端连接能力和5G 网络提供私有移动LAN 服务，允许制定的终端组基于Ethernet（以太网）或IP 进行点对点（Peer to Peer，P2P）通信，满足工业互联网、企业办公、车联网等业务需求[1]。

其中，5G LAN 在3GPP R16 版本立项，主要研究5G VN 组管理方案，描述了5G VN 组成员间的通信方案，包括用户面的路径管理以及组播、广播管理，解决了专网无线接入链路可配置性差、组网部署不灵活等问题[2-3]。在3GPP R17 版本中，又对5G LAN 进行了深入研究，主要解决了跨SMF 管理的5G LAN 会话建立、支持多PLMN（公共陆地移动通信网）的5G VN 组以及组间UE交互，并对组播和广播通信管理进一步优化。关于5G LAN 的可能会引起的广播环路风暴、二次鉴权等诸多问题细化研究将在R18 版本中完善[4]。

2 关键技术分析

2.1 VN 组隔离

传统的网络服务基于VLAN 向客户提供广播域的隔离，通过端口控制广播范围，划分不同的逻辑局域网，进而提高网络的安全性。5G LAN 基于VN 组进行策略管理，将终端用户划分至不同的VN 组，通过能力开放配置相应的VN 组信息和业务类型对VN 组进行动态签约管理，实现定制化差异性网络服务[5]。

运营商在UDM 网元为用户签约VN 组，统一数据管理（Unified Data Management，UDM）在用户注册信息时获得用户所属的VN 组、DNN 和S-NSSAI 等签约信息。认证管理功能（Authentication Management Function，AMF）网元根据DNN、S-NSSAI 信息通过NRF 为同一个VN 组的用户选择固定SMF，并为用户发起会话建立。业务管理功能（Service Management Function，SMF）网元为当前用户选择用户面功能网元（User Plane Function，UPF），并结合本地配置的组播/广播信息以及组内相关用户选择锚点UPF 的情况，下发报文检测和转发策略，按需建立用户面隧道[6-7]。终端通过建立会话向UPF 发送数据，UPF 根据SMF 下发的报文检测和转发策略将数据直接本地转发或经由N19/N6 接口发送至其他终端。

2.2 流量转发

2.2.1 基于N9 接口流量转发

基于N9 转发方式主要应用于园区覆盖场景，适用于终端移动性较强的应用，组网比较灵活，可在签约允许的情况可通过插入锚点UPF 的方式，实现VN 组内通信[8]。该流量转发方式适用于同一个VN 组内的终端需通过单个UPF 进行通信，由于单UPF 性能受限，发送端和接收端均为空口接入，在时延抖动方面表现较差，不适用于服务器端一对多、流量转发性能要求较高的超低时延、超高带宽稳定场景。

2.2.2 基于N6 接口流量转发

基于N6 接口的流量转发方式主要应用于大流量转发场景，支持星状网络拓扑，实现多终端汇聚。该流量转发方式适用于终端和N6 接口侧连接的成员设备或企业DN 内部成员设备之间进行转发通信[9]。UPF 的N6接口侧可适用于固网专线传输，具备时延、带宽稳定的特点，易结合三层交换机实现企业站点和分支站点间的三层通信，支持稳定大流量业务转发。

2.2.3 基于N19 接口流量转发

基于N19 接口的流量转发方式主要应用于跨域/广域互联通信场景，支持点对点网络拓扑，终端连接范围广泛，不受空间限制。该流量转发方式适用于同一个VN 组内的终端通过不同的UPF 之间进行转发通信，多个UPF 之间依靠N19 口连接[10]。目前该流量转发方式由于N4 接口尚未解耦，受设备厂家限制，N19 接口连接的多个UPF 需与SMF 属于同一厂家设备，且该方式组网复杂度较高，由于跨域使得时延较大，影响业务感知。

3 2B 业务应用场景分析

近年来，基于以太的二层通信需求在2B 领域广泛存在，5G LAN 也由此应运而生。5G LAN 是基于5G 终端接入能力和5G 网络提供的私有移动LAN 服务，即通过为企业的终端建“群”，不经过业务服务器，为群内终端提供灵活的通信服务。

3.1 广域网络应用场景

在传统网络部署中，2B 行业客户多部署广域企业专网，手机、办公电脑等移动终端主要通过企业APN 接入网络，这些移动终端可能来自行政、IT、生产等部门，数据混合传送到企业私网内部，数据的传输优先级、安全隔离等均没有保障。

5G LAN 模式下，企业网络可以通过开放接口，按照客户自定义的类别如部门归属、地域、业务类型等，将终端划分到不同的VN 组中，每个VN 组能够独立规划传输路径，同时可以设置其传输质量要求。每个VN 组内的终端可互通，VN 组间的终端相互隔离。由此，行政、IT、生产等各个业务部门就能够独立管理和发展自己的子网，使专网的价值得到充分体现。

3.2 局域网络应用场景

在传统园区网络部署中，主要基于有线网络或者Wi-Fi 接入，大量依赖二层的广播、组播协议协同工作，组网复杂，设备较多，对空间要求较大，建设和维护成本高，欠缺网络改造灵活性。

5G LAN 模式下，其业务网络可将终端划分到不同的VN 组中，组建小型移动无线局域网，具备和Wi-Fi 相同的使用体验。在局域园区网络服务中，基于5G LAN的移动局域网能够打破地域限制，基于二次鉴权、VLAN 隔离等功能为远程办公、移动警务、无人机协同、远程操控等众多场景提供更灵活、更安全、更可靠的业务传输质量服务，如表1 所示。

表1 5G 2B 业务场景指标要求

4 网络方案对比

5G 网络已经在企业园区、港口码头、智慧工厂、电力资源等多个行业领域进行了部署和应用，但无法满足特定行业应用的大量终端无线接入、低时延、安全隔离等更高要求，当前5G 网络应用解决方案多用AR 路由器配置虚拟二层网络，或引入融合网关设备实现二进三以实现终端的5G 无线接入，为客户提供网络服务。5G 网络引入增强网络技术后，5G LAN 以其原生极简二层组网的优势，为客户提供安全可靠的网络服务。

4.1 广域网络方案

4.1.1 当前广域网络方案

以工业互联网场景的工业远程数据传输场景为例，运营商提供的网络方案为在生产现场部署5G CPE 以提供以太终端接入能力，工业终端通过5G CPE 接入，自终端接入至UPF N3 接口采用通用数据传输平台（General Data Transfer Platform，GTP）隧道技术互联，由融合网关设备作为5G 接入侧和固网侧的衔接，实现二三层协议转换，在融合网关和客户U 设备之间配置传统的伪线（Pseudo Wire，PW）二层专线，将5G 网络的5G 接入侧和固网侧有效衔接，实现端到端互通，如图1 所示。

图1 融合网关广域组网方案

由于5G 网络原本不支持二层通信，面对大量终端无线接入的需求，多在端侧和服务侧对齐部署AR 路由器以实现二层三层协议转换，以实现一对设备的点对点二层通信，如图2 所示。该方案需额外部署AR 路由器设备，成本较高，且组网和配置相对复杂。该方案主要适用于点对点通信模式，难以灵活拓展多点组网，大量部署和推广。

图2 AR 路由器广域组网方案

4.1.2 5G LAN 广域网络方案

5G LAN 可以为工业控制、工业自动化生产等领域提供以太局域网，通过无线替代有线实现生产设备的远程控制，如图3 所示。5G LAN 可以是全新建网络，也可以通过N6 接口连通现有网络。流量通过二层网络进行通信，有利于目前存量网络5G 化演进。VN 组内可支持广播，无缝移植LAN 能力，能够实现端侧免配置和应用免改造，客户业务体验较好，便于业务推广。

图3 5G LAN 广域组网方案

4.2 局域固移融合网络方案

4.2.1 当前局域网络方案

园区场景中以远程控制业务场景为例，例如图4 所示的远程天车控制，在天车PLC 和天车控制平台之间增加一对AR 路由器，在AR 路由器之间建立GRE 隧道，通过数据隧道打通二层。两侧AR 路由器配置虚拟二层接口和隧道接口，配置Eth Over GRE 隧道；CPE 需配置桥接模式，签约对端固定IP，由AR 路由器1 负责包装Eth Over GRE 隧道，AR 路由器2 负责解析Eth Over GRE 隧道传递的二层协议，并转换成对应的控制流传送给天车控制平台。

图4 AR 路由器局域组网方案

该方案痛点较多，需要部署AR 路由器，增加成本和空间需求；对于终端侧的配置比较复杂，维护相对困难；并且该方案设备较多，组网复杂，灵活度低，引入多故障点，通信保障相对困难。

4.2.2 5G LAN 局域网络方案

5G LAN 方案中天车PLC 和天车控制平台之间无需部署AR 路由器新建隧道，5G CPE 可提供5G 以太终端接入能力，签约5G LAN 组；UPF 可识别终端的MAC 地址，扮演虚拟交换机的角色，实现二层通信。

该方案基于5G 原生二层网络，组网简单，业务场景应用灵活，可保持原有组网和组间隔离关系；终端侧可实现即插即用，易维护；无需新增设备，节约网络部署成本，最大程度保证时延、可靠性指标。5G LAN 局域网方案如图5 所示。

图5 5G LAN 局域组网方案

5 问题与挑战

5G LAN 以其原生二层网络的技术优势、灵活的组网方式和良好的扩展性正逐渐广泛应用于各行各业。但关于5G LAN 应用的可能会引起的广播环路风暴、二次鉴权等诸多问题的细化研究还未有标准解决方案。

5.1 环路广播问题

由于5G LAN 基于当前的以太协议，组网中的转发设备不能终结二层BUM（广播、未知单播、组播）报文，也没有类似TTL 标志丢弃二层报文，只按照报文要求进行广播，因此无法识别报文是否被环回或者被多次复制转发。这就导致5G LAN 在报文转发过程中会发生单个报文在环路上被广播或无穷复制，可能会导致网络瘫痪。目前3GPP 未考虑破环方案，当前这类问题可通过广播抑制的方式进行网络自保，避免网络瘫痪[11]。

5.2 二次鉴权组网

对于攻击者恶意接入5G LAN 内部以及二层通信特有的例如MAC 仿冒攻击、ARP flood 攻击，针对5G LAN的网络防护，可依托5G 本身的安全机制，在已有5GC 安全防护基础上，针对传统的二层威胁进行针对性增强，通过二次鉴权限制终端接入，如用户名/密码、机卡绑定、基于位置的控制等，还可通过升级UPF/SMF 功能支持内部流控，通过流控解决广播包攻击[12]。

6 结论

综上所述，随着5G 网络技术的不断演进，5G LAN技术赋能网络二层能力，为5G 2B 业务的拓展提供了新的技术选择。本文介绍面向5G 2B 业务的5G LAN 技术解决方案，包括关键技术分析、业务场景和网络方案分析等。5G LAN 技术的引入一方面完善了固移融合网络方案的5G 能力，带来了新的机遇和需求，随着5G LAN技术和产品的不断成熟，将助力5G 2B 业务在各行各业的应用拓展；另一方面关于广播环路风暴和用户二次鉴权等问题还应进一步深入研究，不断优化网络方案，助力5G 时代固移融合网络的发展。