5G校园专网解决方案研究
2022-11-17王磊涂晶郑圣
王 磊 涂 晶 郑 圣
中国联合网络通信集团有限公司江苏省分公司
0 引言
校园网作为一种专网需求,是高校为了实现校内各部门网络互通、安全隔离、办公自动化、信息化应用等功能而组建的专用网络。校园网要求教师和学生在学校通过手机终端能随时便捷地接入,访问学校专网内容,同时又不影响访问公网业务,需要对业务进行分流。如何利用5G网络新特性,为学校提供安全、便捷的校园专网访问方案,是本文研究的课题。针对这一场景,共提出三个方案,分别是专用DNN分流方案、通用DNN+ULCL方案、专用DNN+ULCL方案。
1 核心网分流技术介绍
1.1 分流业务需求分析
在核心网业务中,分流即对业务报文进行分流,并最终到达不同的网络和服务器。在出现完整的“分流”概念之前的4G时代,移动网已经出现了比较广泛的、对数据目的地定制化的诉求,但受网络局限,无法得到良好支撑。在5G时代,这些问题在分流面前迎刃而解。通过分流,将本地业务与正常的业务区分开来,并分别通过主/辅锚点UPF,送达给中心网络或本地网络。
目前分流主要的一个应用是——园区或者企业“数据不外流”的场景,即属于园区内的数据就停留在园区内处理完成,不经过外部。通过UL CL UPF对不同业务进行识别,从而达到数据的区分。举例而言,在校园中,学生、教职工往往需要访问学校自己的数据中心和网站,获取教育资源、学校政策等信息。出于信息安全考虑,学校在校园内部署了自己的服务器,供学校人员使用。如图1所示,在该场景下,校内资源数据、实验操作数据作为本地业务数据,UE直接访问DN完成,这样所有的校内资源数据都停留在学校内部,不会外流,有效提高了数据的隐私性。除此之外的数据,作为中心业务数据,UE访问中心DN完成。
图1 校园网场景分流需求
1.2 分流技术原理
1.2.1 UPF的选择与插入
在激活分流的过程中,SMF会在众多UPF中,根据UPF本身的条件,决策出最合适的UPF,并插入到用户会话中,主锚点UPF在用户激活时插入,ULCL和辅锚点UPF根据用户所在区域决定是否插入,实现用户与本地DN间的业务,并将中心DN业务分流至主锚点UPF。
1.2.2 分流流程
用户上线后,通过签约的分流策略触发分流流程,分流流程如下。
步骤1:策略下发
在UE发起PDU会话请求,AMF为UE分配SMF后,SMF通过Npcf_SMPolicyControl_Create消息与PCF建立SM策略关联,并完成策略下发。该过程中,PCF根据来自SMF的Npcf_SMPolicyControl_Create Request消息中携带的用户信息,查询用户签约数据,发现这名用户签约了分流的套餐。于是,PCF在Npcf_SMPolicyControl_Create Response消息下发的消息中,会有一部分分流规则,用于指示UPF如何分流。
步骤2:PDU会话建立
在PCF向SMF下发用户信息之后,SMF会基于DNN、切片、DNAI、UPF接口能力、是否与EPS互通等因素,为UE选择合适的UPF(即主锚点UPF)。之后SMF会下发业务策略,并最终建立UE-基站-主锚点UPF之间的PDU会话。这一步建立的是分流前的常规PDU会话。
步骤3:触发分流
在用户会话过程中,SMF会实时检测用户的位置(一般是用户所在的TAI区或者小区),一旦用户的DNN+位置组合满足分流的触发条件(比如用户接入时本身就在分流园区内,或者移动到了分流园区内),便会触发分流。此时,SMF会根据UPF的条件进行决策,选择最合适的UPF ULCL和辅锚点UPF。
完成UPF选择之后,SMF将这两个UPF分别建立PFCP会话,插入到当前用户会话中。通过在建立PFCP会话的过程中,SMF会向UL CL UPF下发PDR,通知UL CL UPF需要启用的分流规则。
向主/辅锚点UPF下发PDR,通知主/辅锚点在分流过程中收到报文时进行的业务处理(如执行转发或缓存动作、进行带宽控制和计费等)。
步骤4:会话修改
在步骤3中,SMF已经选择好了分流使用的UL CL UPF和辅锚点UPF,距离分流功能的使用只差临门一脚——将原有的UE-基站-主锚点UPF之间的常规PDU会话,更新为UE-基站-UL CL UPF-主锚点UPF/辅锚点UPF之间的分流PDU会话。
步骤5:分流生效
分流功能开启后,用户的数据报文到达UL CL UPF,UL CL UPF基于PDR对这些报文进行匹配,并后续转发给辅锚点UPF。辅锚点UPF基于PDR继续将报文转发给中心/本地DN,最终完成用户各项业务。
2 分流方案
2.1 专用DNN分流方案
2.1.1 专用DNN方案实现
开通校园网的手机卡在UDM签约专用DNN,基于用户签约将校园用户手机的默认DNN纠错为校园用户专用DNN,通过专用DNN选择校园2C专网UPF,通过外挂路由器实现访问内网和公网业务分流。SMF作为融合网关支持PGW-C功能时,可满足5G及4G接入。由于4、5G接入均可接入专网,对校园5G覆盖没有要求,并且访问专网范围可以不局限于校园内。
在5G虚拟专网模式的接入选网流程中,专网用户终端开机搜集到5G无线信号,并发起接入注册流程,基站根据终端上带切片标识选择核心网AMF,AMF基于终端上带/签约切片对用户进行接入认证和鉴权(UDM配合),认证成功后建立会话,用户可正常进行数据业务。流程如图2所示。
图2 专用DNN+路由器分流方案业务流程
省内场景内网访问数据流:终端→公众网络基站→公众网络UPF→校园内部应用。
省外漫游场景内网访问数据流:终端→公众网络基站→拜访地I-UPF→归属地大网UPF→校园内部应用。
终端适用情况:适用于所有终端,可适用4G+5G环境。
APN配置方式:APN纠错方式,UDM只保留签约专网APN。
外地漫游:可访问公网+内网。
路由器:需手工配置,性能决定访问公网速度,后期维护难度高。
安全策略:可支持固定IP址,AAA服务器的部署。
2.1.2 方案约束及存在问题
(1)4G接入需要MME开启APN纠错,5G接入需要AMF开启DNN纠错;(2)需要路由器具备分流能力及有带宽要求,后期分流路由器维护难度高;(3)用户出省业务需回归属地,增加网络消耗和时延;(4)路由器分流方案DNS解析无法分流,需要专网DNS具备公网DNS解析能力。
2.2 通用DNN+ULCL分流方案
本方案根据ULCL功能实现校园内访问内网和公网业务分流。通用DNN(3GNET+用户基于PCF签约+指定TAI区域+ULCL分流/辅锚点+大网2C_UPF主锚点)。本方案可以满足5G本地接入专网,不满足5G漫游、4G接入专网,要求校园区域5G NR信号覆盖,否则不能接入专网,如图3所示。
图3 通用DNN+ULCL方案业务流
2.2.1 通用DNN+ULCL方案实现
用户不换卡实现同时访问校园内网和公网。园区部署UPF(ULCL),用户基于位置区+PCF签约插入ULCL分流访问校园内网,同时也可访问公网业务。业务流程如图4所示。
图4 通用DNN+ULCL方案业务流程
用户签约通用DNN,PCF签约校园网分流业务策略。针对学校范围规划TAC区域,PCF配置预定义规则,并配置规则和TAC的绑定关系。在UE激活或者移动到指定的TAI时下发预定义规则给SMF。
SMF部署本地分流策略特性(即支持ULCL插入和策略下发),当UE激活或者移动到指定的TAI时,上报PCF动态获取预定义规则,SMF使用PCF下发的预定义规则插入ULCL及下发分流策略给UPF。UPF上配置针对内网服务器IP的分流策略。
签约UE在规划区域内激活或者移入时,PCF下发预定义规则,SMF根据PCF下发的预定义规则及UE的位置,选择UPF ULCL插入用户会话,可以同时访问校园内网和Internet。
签约UE移出规划区域时,PCF通知SMF卸载规则,SMF移除ULCL,不能访问校园内网。
2.2.2 存在的问题及解决方案
该方案中,由于使用了公用DNN,共用了大网终端地址池,导致存在终端和校园内网IP地址冲突的问题;同时由于用户访问公网需要使用公网DNS,访问学校内网域名需要使用学校内网DNS,需要根据用户访问的域名送到不同的DNS进行解析。为解决以上两个问题,可采用如下解决方案。
2.2.2.1 终端IP和校园内网IP冲突问题解决方案
通过在防火墙配置双向NAT,同时对源和目的IP地址进行NAT转换,解决了终端地址与校园内网DNS冲突的问题。
某分流业务专网网络拓扑如图5所示。用户通过公网DNN+ULCL实现同时访问公网和内网,运营商规划的终端IP地址池为:10.X.X.X,用户终端在运营商地址池里面获取一个IP地址:10.10.10.10,园区内网服务器IP地址:10.10.10.10,对外公网IP:20.10.10.10。
图5 终端和校园网IP冲突场景拓扑图
(1)用 户 发 起 访 问 目 的IP:20.10.10.10,源IP:10.10.10.10;
(2)防火墙将访问的上行目的IP:20.10.10.10改成10.10.10.10,源IP由10.10.10.10做NAT转成30.0.10.X;
(3)园区内网服务器收到报文,发回响应,响应报文目的IP是30.10.10.X,源IP是10.10.10.10;
(4)防火墙将下行目的地址30.10.10.X转成10.10.10.10,源IP 10.10.10.10改成20.10.10.10;
(5)终端收到响应报文,业务完成。
2.2.2.2 DNS解析分流解决方案
通过UPF上配置DNS分流,来解决同时访问公网和内网DNS的问题,使得用户可以使用域名来访问校园内网业务。
某分流业务组网如图6所示,运营商规划的终端IP地址池为:10.X.X.X,用户终端在运营商地址池里面获取一个IP地址:10.10.10.10,园区内网域名www.abc.com,对应的域名业务IP是10.10.10.10,DNS服务器IP地址也是10.11.11.11。
图6 DNS解析分流解决方案拓扑图
业务流程:
(1)用户发起域名请求www.abc.com;
(2)UPF通过DNS重定向将报文重定向到20.11.11.11;(DNS重定向解释)
(3)防火墙将DNS请求的目的IP由20.11.11.11改成10.11.11.11,源IP由10.10.10.10做NAT转成30.10.10.X,将报文送到园区DNS Server;
(4)园区DNS Server基于域名www.abc.com解析出对应IP地址:10.10.10.10;
(5)DNS应答报文到防火墙,防火墙通过DNS ALG功能将DNS应答报文中携带的私网业务地址10.10.10.10,修改成20.10.10.10;(DNS ALG解释)
(6)终端获取DNS应答消息,域名对应的业务IP为20.10.10.10;
(7)终端发起业务请求,访问IP地址:20.10.10.10;
(8)上行报文到防火墙,防火墙将访问的目的IP 20.10.10.10改 成10.10.10.10,源IP由10.10.10.10做NAT转 成30.10.10.X,报文送到业务服务器;
(9)回程报文通过目的地址30.10.10.X送到防火墙,源IP为10.10.10.10;
(10)防 火 墙 将 下 行 目 的 地 址30.10.10.X,转 成10.10.10.10,将下行源IP 10.10.10.10转成20.10.10.10;
(11)终端收到回应报文,业务完成。
2.2.3 方案约束及影响
要针对校园区域范围规划TAC;不支持5G漫游和4G接入。
2.3 专用DNN+ULCL方案
此方案类似于公网DNN+ULCL方案,但是用户签约专用DNN,并由AMF将用户请求DNN纠错为专用DNN,同时使用ULCL功能实现校园内访问内网和公网业务分流。使用专用DNN可以解决IP地址冲突问题。业务流程如图7所示。
图7 专用DNN+ULCL分流方案业务流程
(1)省内
UDM签约专用DNN-1为default DNN,给专用DNN独立规划IP地址池;终端请求通用DNN为3gnet,AMF使能APN纠错将DNN改成专用DNN-1,用户使用专用DNN-1在独立规划的地址池里获取IP地址激活,专用DNN-1支持访问公网;基于DNN+位置插入ULCL到用户会话中,可以访问校园内网。
(2)省外
UDM签约专用DNN-1为default DNN,终端请求DNN为3gnet,AMF使能APN纠错将DNN改成专用DNN-1,用户使用专用DNN-1激活,通过专用DNN找回归属地支持专用DNN-1的UPF激活,支持访问公网;无法访问校园内网业务。
3 方案对比
将以上描述的三种方案进行总结,并在适用终端、APN配置、外地漫游等方面对比,如表1所示。
表1 校园网分流方案对比
通过以上对比,可以发现三种方案各有优缺点,可以根据业务需求和网络情况灵活选择。
4 结束语
通过对校园网需求的分析和解决方案的介绍,对比分析了几种解决方案的优缺点,可以看出目前几种校园网分流方案各有优势和弊端。其中,专用DNN+路由器分流方案是相对比较成熟的方案,可以向下兼容4G,但是存在增加时延与网络开销的问题,同时需要解决专网DNS解析的问题,可能影响用户感知。ULCL分流作为5G网络的新特性,不向下兼容4G网络,但用户可以直接使用公网DNN,使用公网业务感知较好,但存在专网地址冲突等问题需要规避,方案较复杂。采用专用DNN+ULCL可以解决终端和专网地址冲突问题,同时可以支持AAA等二次鉴权功能,但是需要使用DNN纠错,用户漫游出省使用数据业务时需要回归属地,增加网络开销和时延。在网络覆盖不好的初期,可选用专用DNN+路由器分流方案,随着5G信号覆盖加强,ULCL方案逐渐成熟,校园网方案预计会越来越多采用DNN+ULCL方案。
在未来,随着MEC功能的逐渐完善,分流与MEC、切片等功能结合后,可以有更广泛的应用,比如对特定的业务实现超低时延,或者依靠强大的边缘计算能力辅助科研等等,分流可以为这些应用提供支撑,并逐渐演进出更加丰富的应用。