針對數據不出園區的5G定制專網部署方案及安全策略研究

李朝陽 中國電信股份有限公司江西分公司 江西省南昌市 330000

胡鵬飛 周輝福 江西省郵電規劃設計院有限公司 江西省南昌市 330002

0 引言

為應對未來不斷涌現的各類新業務和應用場景，同時與行業深度融合，推動社會經濟數字化轉型，各通信運營商都啟動了5G SA網絡的建設及商用。綜合利用5G、物聯網、邊緣計算和大數據等技術，基于客戶需要建設5G定制專網，實現5G與企業內網的深度融合，提升企業在安全、環保、質量和經營等方面的管理水平，成為5G商用以來的新的課題。本文結合用戶數據不出工業園區的具體案例，探討相應的5G定制專網部署方案和安全策略的研究。

1 5G定制專網建設原則

1.1 總體原則

5G定制專網某運營商采用大區集約管理、省級集中控制的方式，按需構建多級2B業務轉發面，形成“2+31”5G定制專網框架結構。

在集約層面，為滿足物聯類等有明確集約管理要求的2B業務需求，在sysynsyny核心城市部署5G定制專網集約節點，包括數據面網元UDM和部分信令面網元（PCF、NRF、SCP），滿足用戶數據、業務策略統一集約管理。

在省層面，分省部署控制面和用戶面網元，2B/2C統籌規劃與資源復用，充分發揮云網融合的優勢，實現資源池化共享、彈性伸縮，在滿足初期2B客戶和業務需求的基礎上，節省投資。后期隨著用戶規模的增長，根據方便網絡維護管理等需求，逐步考慮獨立2B網元。

在轉發層面，依據客戶需求和業務要求，轉發面UPF按需下沉到地市級和園區級部署，形成轉發面分級結構。

1.2 UPF下沉部署原則

省級UPF主要承載省內允許數據出園區的2B服務，以及有4G/5G互操作需求和跨多地市需求的2B業務；地市級UPF主要承載地市級允許數據出園區的2B服務；園區級主要承載明確數據管控要求的2B業務。

在5G定制專網中，UPF下沉部署原則和具體要求如下：

（1）地市級UPF部署

◎ 針對2B業務規模發展迅速的區域，如果由傳輸時延導致業務發展瓶頸，可考慮選取配套設施完善的地市部署UPF；

◎ 依據端到端時延測試結果，對比2B業務時延要求，作為UPF是否下沉部署地市級的重要依據；

◎ 綜合評估部署成本、運維難度、配套條件等多重因素，重點關注投資效益。

（2）園區級UPF部署

◎ 針對明確數據管控需求的業務，可考慮下沉部署園區級UPF；

◎ 考慮運維和可管可控要求，建議將UPF部署在運營商機房；

◎ 根據客戶需求，進行容災部署；

◎ 網絡與信息安全方面，園區級UPF與省級UPF同等要求；

◎ 綜合評估客戶要求、部署成本、運維難度、配套條件、終端成本等多重因素，重點關注投資效益。

1.3 5G定制專網優勢

5G定制專網是“網定制、邊智能、云協同、應用隨選”融合協同的綜合解決方案，是為行業客戶打造的一體化定制融合服務，實現“云網一體、按需定制”。

5G 2B定制專網控制面采用集中部署和服務化架構，以虛擬化為實現方式，實現彈性擴縮容和網絡切片功能；用戶面下沉到各省、各地市和用戶近端，實現流量就近引導和邊緣計算。專網還可為行業客戶部署專屬無線接入和專屬虛擬化網絡，提供業務隔離和數據安全服務，助力行業數字化轉型升級。

其部署的5G SA核心網為4/5G融合設備，可支持5G用戶回落從4G基站接入。當5G用戶從4G基站接入時，由MME負責識別并選擇5G融合網元負責處理5G用戶的業務，保持UPF/GW-C錨點不變，媒體流通過4G基站直連UPF/GW-C，不經EPC SGW繞轉。這種網絡優勢可以彌補5G建設初期無線網絡覆蓋不足問題，保障用戶業務不中斷，提升用戶使用感知。

2 園區5G定制網部署方案

現結合一個案例，具體分析數據不出園區的5G定制專網部署方案。下面這個案例是江西某縣的一個結合5G的化工行業數據孿生工業互聯網工程的應用。

2.1 需求分析

（1）時延要求

客戶提出的需求中，有以實時數據監控為基礎的大帶寬、低時延特性需求，如無人機巡檢、機器視覺安防監測等，時延要求一般為10~50ms。

（2）部署地點要求

客戶要求數據不出園區，并要求核心網轉發物理設備也要部署在客戶園區內。

（3）容災要求

客戶暫未提出容災備份需求，可接受一定時間內的業務中斷，系統可用度99.9%（業務中斷時長一年內可為8.76小時）。

2.2 UPF下沉部署方案

UPF是5G核心網的轉發面，隨著5G SA網絡商用，5G核心網轉發面UPF可以下沉，以縮短時延，并可根據用戶需要，在地理位置上貼近用戶，實現數據不出園區的需要。2B UPF部署方案主要有三類：

（1）省中心共享UPF；

（2）下沉地市級共享UPF；

（3）下沉園區級獨享UPF。

由于客戶要求物理設備不能出園區，UPF下沉部署只能按照在客戶園區部署考慮。通過下沉園區級獨享UPF，將生產終端與辦公終端等內網5G業務流量分流到客戶企業信息化網絡，實現數據不出園區。

UPF下沉部署在園區，客戶內網數據路由為三種2B UPF部署方案中最短的方案，因而可滿足客戶的時延要求。由于客戶無容災需求，只部署一套下沉園區級UPF；如后期客戶有容災需求，且有投資效益，可按1+1備份方式再部署一套UPF。

圖1 2B UPF下沉園區典型組網架構

2.3 時延測試分析

為了滿足業務對時延的要求，對該客戶的UPF下沉前后的時延進行了多次測試分析，主要測試數據及分析情況如下。

（1）時延測試情況

①通過下沉園區級UPF訪問園區服務器：最短6ms，最高15ms，平均10ms；

②通過園區公網訪問園區服務器（即通過省中心UPF訪問園區服務器）：最短26ms，最高51ms，平均28ms。

圖2 時延測試數據所經網元連接示意圖

（2）進一步時延測試

由于2種方式測試時延相差較大，針對通過園區公網訪問園區服務器（即通過省中心UPF訪問園區服務器）的方式進行了進一步的時延測試，如下表所示。

?

（3）時延測試分析

通過時延測試發現，UPF未下沉時用戶報文需要經基站、承載網、核心網、骨干網及城域網再到達客戶園區服務器， UPF下沉以后本地可以直達，縮短了報文傳輸的距離和跳數，明顯減少了時延；因此，UPF貼近客戶側部署有助于明顯改善數據時延。

5G網絡主要用于滿足客戶低時延、大帶寬業務需求，而UPF貼近客戶側部署可降低時延，并且可控制帶寬需求在較小范圍的網絡內；因此，UPF貼近客戶側部署將是大勢所趨。

2.4 分流方案

基于下沉部署的邊緣UPF，園區生產及工作終端的業務數據在本地進行分流和處理，避免了流量在省中心層面核心網的迂回，既減少了業務傳輸時延，又滿足數據安全性和隔離性需求。

圖3 園區UPF分流示意圖

針對園區特殊終端業務數據不出園的場景，如工業控制、視頻監控等，采用專用DNN方案實現本地業務分流，分流架構如下：

圖4 專用DNN分流架構圖

園區生產及工作終端（UE）號卡在5G網絡簽約專用DNN（如CTmec/xx.xx.iot），實現用戶PDU會話直接建立錨定在邊緣UPF，終端通過邊緣UPF直接訪問MEC平臺及企業內網，從而不直接接入Internet。傳統大網用戶簽約 Internet DNN（如CTnet），業務訪問走省中心UPF訪問Internet。

3 下沉園區級UPF安全策略

UPF網元下沉，尤其是下沉到園區，部署在客戶端對5GC的信息安全防護帶來了很大的挑戰和困難。由于5GC信息安全是個較大的課題，本文僅對下沉園區級UPF的相關安全策略進行初步研究。

3.1 下沉UPF設置機房要求

根據5G定制專網建設原則，考慮運維和可管可控要求，建議將UPF部署在運營商機房。

如UPF設置機房為客戶機房，建議UPF設置在客戶的獨立機房，該機房由運營商直接管理，機房內部所有設備由運營商維護，機房動環、門禁系統由運營商管理，只有經運營商授權，其他人員方可進入機房，沒有運營商人員陪同情況下，外部人員不得進入機房。

3.2 下沉UPF安全策略

下沉UPF是5GC與客戶應用平臺交互的重要通道，針對其自身安全防護策略，主要包括但不限于以下要求。

（1）UPF系統安全

a）安全域隔離功能

下沉園區級UPF和園區數據中心之間、和IPRAN承載網之間，通過防火墻進行隔離，保障園區數據中心、5GC的安全。

UPF可對管理域、核心網絡域、無線接入域等進行VLAN劃分隔離。UPF的數據面與信令面、管理面互相隔離。

b）TEID的唯一性

TEID由UPF分配，UPF保證所分配的TEID唯一。

c）用戶數據的加密

UPF可保證N3口傳輸的用戶數據的完整性、機密性和防重放攻擊。

d）信令數據安全

UPF可對N4口傳輸信令進行機密性和完整性保護。（2）UPF業務安全

a）防DDoS等網絡攻擊

UPF可對DDoS攻擊進行防范，可配置包過濾規則（訪問控制列表）并據此對終端數據報文進行過濾。b）協議控制功能

UPF具備協議控制功能，允許禁止特定協議報文進入5GC網絡，以保證網絡的安全，該功能可通過防火墻實現。

c）UPF流量控制

包括信令和用戶面數據流量的控制：

UPF對發送給SMF的信令流量及從SMF接收的信令流量進行限速以防發生DDoS攻擊。

UPF對來自UE的及APP的流量進行限速，防止發生DDoS攻擊。

4 結束語

隨著政企5G行業應用業務的推廣，對于低時延、大帶寬的業務需求逐步增多，UPF的下沉部署也將增加，如何根據客戶需求提供合理的UPF下沉方案將是后續建設時討論的焦點，既需要考慮投資效益，又要考慮維護管理效益，還要兼顧信息安全。一般認為，對于數據可出園區、時延要求不高、帶寬較小的需求，建議直接使用省集中部署的UPF；對于數據可出園區、時延要求較高且省集中UPF無法滿足時延要求的需求，建議下沉部署地市級共享型UPF；對于數據不可出園區的需求，則建議下沉部署園區級獨享型UPF。某運營商5G定制專網有4/5G融合的覆蓋優勢，這種網絡優勢可以彌補5G建設初期無線網絡覆蓋不足問題，保障用戶業務不中斷，提升用戶使用感知。