基于4G安全網關的5G SA和NSA組網技術研究

潘 雷，羅良桂

（京信網絡技術股份有限公司，廣東 廣州 510000）

0 引 言

5G無線通信技術具有大帶寬、低時延、高可靠的特點，同時具有網絡切片、業務隔離和運營獨立的特性，在各行各業得到了廣泛的應用。目前，大部分5G網絡都是采用專線回傳或組建局域專網的方式來滿足行業的各種應用，而對于一些環境特殊而必須采用公網方式進行回傳的地方，5G應用組網并沒有太多的研究[1,2]。通過分析4G基站采用公網回傳的方式，并結合5G的NAS和SA組網應用，提出了幾種共享4G安全網關的組網方式[3,4]。

1 4G IPSec組網應用

在4G無線應用組網中，當4G基站通過公網接入時，通常在4G基站與安全網關之間建立IPSec VPN，為4G基站與4G核心網之間的數據傳輸提供安全性和完整性保護。具體的4G IPSec組網方式如圖1所示。

圖1 4G IPSec組網方式

2 5G SA和NSA組網

5G獨立（Stand Alone，SA）組網系統由5G基站、承載網以及5G核心網（5G Core，5GC）組成。5G基站通常包括基帶處理單元（Building Baseband Unit，BBU）、射頻處理單元（Remote Radio Unit，RRU）、饋線以及天線，其中BBU主要負責信號調制，RRU主要負責射頻處理，饋線主要連接RRU和天線，天線主要負責信號的發射和接收。承載網主要包括專網和公網的承載網，為5G基站通過IP方式接入5G核心網提供IP承載。5G核心網主要為5G基站、5G終端提供信令面和用戶數據的管理和轉發。具體的5G SA組網方式如圖2所示。

圖2 5G SA組網方式

5G 非獨立（Not Stand Alone，NSA）組網系統由4G基站、5G基站、承載網以及4G核心網組成，其中信令面在4G基站與4G核心網之間建立，5G基站只負責管理用戶面數據，只在建立無線承載的過程中從4G基站獲取4G核心網分配的核心網用戶面數據目的IP。在前期尚未部署5G核心網時，可以通過升級4G核心網的方式實現快速的5G無線覆蓋。5G NSA組網方式如圖3所示。

圖3 5G NSA組網方式

3 基于4G安全網關的5G SA和NSA組網分析

針對5G SA和NSA無線應用組網中常見的3種組網方式進行研究，主要包括基于5G客戶終端設備（Customer Premise Equipment，CPE）或 4G CPE 接入的組網方式、基于無線網橋的組網方式以及基于有線回傳的組網方式。

3.1 基于CPE接入的組網

5G SA組網中，通過利用現有網絡的4G安全網關，采用4G安全網關與5G核心網進行路由對接，然后在5G基站中實現IPSec VPN功能，并在5G基站與4G安全網關之間建立IPSec VPN隧道。5G基站對發往5GC核心網的上行數據進行IPSec加密后傳給4G安全網關，4G安全網關對數據進行解密后轉發給5G核心網，而4G安全網關則對5G核心網發往5G基站的下行數據進行IPSec加密后傳給5G基站，5G基站對數據加密后發給用戶設備（User Equipment，UE）終端。基于CPE回傳的5G SA組網方式如圖4所示。

圖4 基于CPE回傳的5G SA組網方式

而5G NSA組網中，在利用現有4G安全網關時，無需4G安全網關與5G核心網對接路由接口，但要求4G基站和5G基站共同組網，即4G基站負責與4G核心網建立信令連接，5G UE終端通過雙連接方式同時接到4G基站和5G基站，信令面數據通過4G基站與4G核心網通信，用戶面數據通過5G基站的NG-U接口發送出去。這種組網方式中，要求4G基站和5G基站都要分別與4G安全網關建立IPSec VPN隧道，4G基站的IPSec VPN隧道主要傳輸信令面的數據，5G基站的IPSec VPN隧道主要傳輸用戶面的數據。4G基站和5G基站之間存在X2接口，用于實現用戶4G基站和5G基站之間的信令交互。在沒有安全網關的組網中，4G基站和5G基站之間的信令傳輸是明文傳輸，這會導致信令傳輸的不安全性。而在基于CPE回傳的5G NSA組網中，4G基站和5G基站之間的信令交互數據也可以通過IPSec VPN進行傳輸，即4G基站發給5G基站的信令數據通過IPSec VPN加密后傳給安全網關，安全網關解密后對數據進行重新加密后傳給5G基站，5G基站對加密數據進行解碼后處理，提高了數據通信的安全性。而5G基站發給4G基站的信令數據通過IPSec VPN加密后傳給安全網關，安全網關解密后對數據進行重新加密后傳給4G基站，4G基站對加密數據進行解碼后處理。基于CPE回傳的5G NSA組網方式如圖5所示。

圖5 基于CPE回傳的5G NSA組網方式

3.2 基于無線網橋的組網

無線網橋利用無線傳輸的方式實現在2個或多個網絡之間搭建通信橋梁，主要用于一些架設光纖比較困難的場景，通過部署無線網橋可以快速接入到公網。

基于無線網橋的5G SA組網與基于CPE回傳的5G SA組網方式類似，采用無線網橋連接公網代替5G核心網或4G核心網連接公網的方式，5G基站則通過無線網橋接入到公網，然后與現網4G安全網關建立IPSec VPN。基于無線網橋回傳的5G SA組網方式如圖6所示。

圖6 基于無線網橋回傳的5G SA組網

基于無線網橋的5G NSA組網與基于CPE回傳的5G NSA組網方式類似，采用無線網橋連接公網代替5G核心網或4G核心網連接公網的方式，5G基站則通過無線網橋接入到公網，然后與現網4G安全網關建立IPSec VPN。基于無線網橋回傳的5G NSA組網方式如圖7所示。

圖7 基于無線網橋回傳的5G NSA組網方式

3.3 基于有線回傳的組網

有線回傳是目前比較常用的公網接入方式，也是很多4G基站所采用的公網接入方式。利用現有的有線回傳方式和4G安全網關進行IPSec VPN組網，可以滿足部分亟需5G無線覆蓋的場景需求[5,6]。

基于有線的5G SA組網與基于CPE回傳的5G SA組網方式類似，采用有線公網代替5G核心網或4G核心網連接公網的方式，5G基站則通過有線寬帶方式接入到公網，然后與現網4G安全網關建立IPSec VPN。基于有線回傳的5G SA組網方式如圖8所示。

圖8 基于有線回傳的5G SA組網方式

基于有線的5G NSA組網與基于CPE回傳的5G NSA組網方式類似，采用有線公網代替5G核心網或4G核心網連接公網的方式，5G基站則通過有線寬帶方式接入到公網，然后與現網4G安全網關建立IPSec VPN。基于有線回傳的5G NSA組網方式如圖9所示。

圖9 基于有線回傳的5G NSA組網方式

4 結 論

基于無線通信對網絡安全的考慮和IPSec VPN在無線通信領域的應用，結合5G網絡的架構和應用需求，分析5G基站利用公網回傳和現有4G安全網關之間建立IPSec VPN的組網方式，實現5G基站與核心網之間的數據安全傳輸，為5G在公網的應用提供工程部署上的參考。