基于5G+MEC的电站行业专网部署方案研究
2022-12-06梁职业刘建华中讯邮电咨询设计院有限公司成都分公司四川成都60000湖北华网通信集团有限公司四川成都60000
张 强,梁职业,刘建华(.中讯邮电咨询设计院有限公司成都分公司,四川成都 60000;.湖北华网通信集团有限公司,四川成都 60000)
0 引言
随着“云、大、物、移、智”等先进技术迅猛发展,电站运行、维护、检修、安防、监测等工作均向着智能化发展,电站各业务场景对无线网络覆盖需求迫切,对无线网络质量、时延、带宽、数据保密性、网络控制权等提出了更高要求。5G技术作为新一代通信技术,其大带宽、低时延、大连接特征契合了电站的通信需求。运营商可根据行业用户的特定需求提供定制化的5G专网服务,在业务安全、数据隔离、网络覆盖、传输带宽与时延等方面为行业用户提供网络保障。当前5G专网已成为行业数字化转型新引擎,部署5G专网成为企业拓展生产效能、提速数字化转型的必要手段。
1 需求分析
电站5G 专网建设应满足业务需求,在安全管理上,5G 专网应满足电站专属专用,提供可靠的业务隔离和业务质量保障,能在接入安全、数据传输安全、数据防泄露安全、恶意攻击抵御等方面提供全方位的防护能力;在网络运营上,电站对5G 专网有一定的自配置、自管理能力;在网络可靠性上,5G 专网应具备容灾安全保障,具备硬件备份、链路容灾及网元级容灾等不同程度的网络容灾保障,在网络单点故障情况下保障业务连续性。针对水电站高湿环境,基站设备需采用防潮防水措施。
如图1 所示,智慧电站+5G 典型应用场景涉及生产控制、智能巡检、智能运维和安全应急4大类。针对不同的业务场景,5G 专网需提供差异化的网络能力,例如在视频监控类场景下需要保障高带宽、高吞吐量,智能移动巡检场景下的网络需要有较强的移动切换能力,数据采集类场景下需提供海量设备连接的能力,控制类场景要求的网络时延可达到毫秒级别。
图1 智慧电站基于5G典型应用场景
2 电站5G专网建设方案
2.1 5G专网建设内容
如图2所示,5G专网建设涉及的网元主要包含5G基站、传送网、核心网控制面转发设备和核心网数据面转发设备4个,信令的传输存在于各网元之间,确保网络安全、可靠、稳定地运行;数据的传输存在于基站、传送设备和核心网-数据面(UPF)之间,是传送终端和园区内网之间应用数据传输的高速公路。
图2 5G专网建设内容
在5G网络中,各个网元的主要功能如下。
a)核心网-控制面。包括AMF、SMF 等网元,是5G 网络的指挥枢纽,通过信令的交互,完成终端接入鉴权、安全管理、移动性管理、会话管理、用户数据管理和策略管理等,确保网络安全、可靠、稳定地运行。
b)核心网-数据面。主要是指UPF 网元,是5G 网络对外的数据出口,所有基站上的5G 数据通过GTPU隧道送到UPF,在UPF 上进行转发。UPF 的部署位置决定了数据的出口位置,如部署在园区内部,则可确保应用数据不出园区,在园区内部闭环。
c)传送网。连接5G 基站和核心网的传输设备,内部通过切片方式确保数据之间的隔离。
d)5G 基站。5G 无线信号收发设备,辐射5G 无线信号实现数据的无线传输,同时将空口接收的数据通过GTP 隧道发送到UPF,5G 基站与UPF 之间可采用IPSec进行加密,5G基站不对数据进行任何解析。
2.2 5G专网组网模式
根据国家政策,现阶段企业不具备自建5G专网条件,5G 专网由运营商为企业提供。运营商推出的5G专网模式有公网公用模式、公网专用模式和专网专用模式3种,其在不同运营商的名称虽然不同,但网络技术实质没有差别。各通信运营商专网名称见表1。
表1 通信运营商5G专网模式分析
a)公网公用模式。基于运营商提供的面向公众的无线资源,通过QoS、切片等手段实现业务隔离,为企业提供逻辑专用网络。可满足企业对特定网络速率、时延及可靠性的优先保障需求。此模式下企业只需提出高优先级QoS或切片需求,无需进行网络建设。
b)公网专用模式。运营商提供专用无线网络,通过边缘计算技术实现本地业务处理,满足业务数据本地卸载、超低时延、高可靠性等需求。该模式下核心网用户面网元UPF 为企业专用部署,无线基站和传输网可采用企业专用部署或共享运营商公网资源2种方式,核心网控制面网元复用运营商2B核心网控制面。
c)专网专用模式。从无线基站、传输网到核心网用户面与控制面均专用部署,与公网完全隔离,公网业务的变化不会影响专网数据传输质量,形成物理上高度封闭的行业应用专网。该模式下网络建设成本最高。
2.3 电站5G专网方案
结合电站需求、网络建设成本以及运营商提供的专网模式,电站5G专网优先采用混合专网模式。如图3 所示,在电站内部署专用的核心网用户面网元MEC(UPF+MEP)、无线基站及传输网,核心网控制面网元复用运营商核心网控制面。通过边缘计算等技术进行业务本地分流,实现业务数据不出企业内网,满足业务数据在本地卸载、超低时延、高可靠性等需求。基站与MEC 之间的数据通过新建的传输网连接,所有经过MEC 的业务数据,经防火墙后进入电站内的核心交换设备,进而访问企业内网业务。
图3 电站5G专网网络架构示意图
a)核心网建设方案。基于5G+MEC 的组网架构,在电站内部署1 套用户数据网元MEC(UPF+MEP)。MEC 部署在电站核心机房内,吞吐能力及会话处理能力根据实际需求配置,建设初期可按吞吐能力20 Gbit/s、会话处理能力5 万PDU 进行建设,后续随着业务增长进行扩容。若有网元级容灾要求,可在电站内异地部署2 套MEC 互为备份,正常情况下2 套MEC 双活运行,基于负荷分担的方式选择本站点其中1 套MEC 访问业务。如果其中1 套MEC 设备故障,选择使用本站内另外1套MEC访问业务。
b)无线网建设方案。通过专用5G 基站建设,对电站各区域进行5G 专用网络信号覆盖。5G 无线接入网采用运营商主流5G 频段,针对不同的覆盖场景,5G基站可采用5G 宏站、5G 数字化室分、小站等设备,5G宏站主要用于广覆盖场景,5G数字化室分主要用于室内密集场景。
c)承载网建设方案。5G 专网数据承载网采用“核心+汇聚+接入”的简化架构实现业务综合承载目标,混合专网模式下,电站内数据承载网建设只涉及汇聚和接入2 层。接入、汇聚上联应采用口字型组网成环,环网容量根据实际业务需求进行规划,建设初期接入环容量不低于20GE,接入设备具备平滑升级能力。
d)5G Wi-Fi 建设方案。考虑当前终端产业链及5G 支持情况,为解决非5G 终端接入5G 专网通信需求,在5G 专网覆盖区域按需部署CPE,将5G 专网信号转换为Wi-Fi信号,非5G 终端通过Wi-Fi信号接入5G专网。
2.4 业务数据流
在混合专网模式下,电站内终端划分为专网终端和公网终端2 种,通过规划配置终端专网标识对专网终端进行识别。专网终端在专网覆盖范围内可正常搜索到专网信号,并发起接入注册流程,基站根据终端上报的专网标识选择核心网AMF,AMF 负责对用户进行接入认证和鉴权(UDM 配合),认证成功后建立会话,用户可正常进行数据业务。专网基站专用模式下,公网终端在电站可正常搜索到专网无线信号,但在发起注册过程中,核心网经过判断其未上报专网标识,拒绝用户接入,用户接入失败。专网终端只能在专网覆盖范围内使用,不能接入公网,图4给出了专网业务数据流示意。
图4 专网业务数据流示意图
a)专网终端业务数据流。专网终端→专网基站/5G CPE→专网UPF/MEC→企业内部应用。员工公网终端在电站内不能通过专网基站访问5G专网,若有访问企业内网的需求,可通过CPE 转换的Wi-Fi 接入企业内网。
b)公网终端访问专网业务数据流。公网终端→5G CPE→专网基站→专网UPF/MEC→企业内部应用。
2.5 专网安全方案
5G 专网安全可分为5 个部分,包括终端接入安全、数据传输安全、MEC 边缘安全、企业内外网安全和安全管理。
2.5.1 终端接入安全
终端分为2 大类,分别是5G 终端(如5G CPE、5G Dongle 和5G 摄像头)和其他非5G 终端。针对5G 终端的接入安全,主要采用身份合法认证和访问控制限制2 种方案;对于非5G 终端接入5G CPE,主要通过在5G CPE 上进行相关配置,支持白名单认证、启用Wi-Fi 鉴权加密和启用CPE防火墙3种安全防护方案。
2.5.2 数据传输安全
5G 终端通过空口传输业务和信令数据,通过3GPP空口信令面和用户面加密完保实现安全;基站与MEC/UPF之间的业务数据通过GTP-U隧道传输,可采用BBU 到MEC 之间的IPSec 加密方案;MEC 与企业内网之间的业务数据可以采用IPSec 加密保护,以MEC侧的防火墙作为起点,终结在企业内网网关,IPSec 密钥由企业掌握。
2.5.3 数据不出园
实现业务数据不出电站可采用3 种方案,一是利用防火墙控制UPF 和大网5GC 之间仅有信令和网管流量通过,可通过配置基于N4 接口的策略控制实现;二是在MEC/UPF 不设置对Internet 的出口,N6 口的业务流量导入到防火墙,由电站进行流向策略控制,确保数据不出园;三是在N4防火墙上启用网络流量分析(NTA)功能,监控防火墙到5GC的通信,以周期报表的形式呈现给客户进行确认和审计,确保没有业务数据流出。
2.5.4 MEC安全
将边缘MEC 内部划分为运营商安全域(含网元子域UPF、平台子域MEP 及自有APP)和工厂应用安全域(包括机器视觉、AI 检测等VM 及应用),如图5 所示。安全域之间采用防火墙实现通信隔离,MEC 组网层面上管理平面、信令平面、业务平面和企业APP 运维平面4 个平面之间通过VLAN 逻辑平面隔离;MEC分区采用由外向内的分层隔离与防护,FW1 实现外部攻击防护,FW2实现内部领域隔离。FW1和FW2可以通过MEC的DC-GW旁挂1对物理防火墙统一实现。
图5 MEC安全域划分示意图
在MEC平台的安全防护方面,MEC服务器基于硬件根安全启动和安全运行,保证设备启动链的完整性,防止被植入后门;MEC主机安全加固,启用MEC平台API 安全能力,包括API 认证鉴权、API 流控、API 调用TLS 加密等,防止通过APP 攻击MEC 平台和5GC;MEP/UPF 与APP 之间启用防火墙策略,防止APP 通过N6/Mp1接口发起对UPF/MEP的流量攻击等。
2.5.5 边界安全保护
5G 专网边界包括MEC 与5GC 控制面边界、UPF与APP边界以及MEC与企业内网边界,MEC与5GC边界采用防火墙进行隔离,通过设置信令面仅N2、N4 接口允许PFCP UDP 信令流通过,业务面禁止流量通过,防止业务数据出园;UPF与企业APP间部署防火墙,隔离UPF 与园区网络;MEC 与企业内网边界采用防火墙隔离,设置隔离区,隔离企业内网和MEC。
3 基于5G的应用赋能
随着人工智能技术与5G技术的应用发展,智慧电站的建设理念不断成熟,电站建设向自动化、无人化、智能化方向发展。作为新一代移动通信技术,5G技术契合了电站智能化、数字化转型对无线网络的应用需求,能够满足工业环境下设备互联和远程交互。一方面利用高可靠性网络连续覆盖,满足企业各种差异化业务需求,实现随时随地的信息共享,推动安全高质量生产。另一方面5G技术可应用在设备的远程监测、识别、诊断、维护等方面,大大提高生产运行效率。企业可以通过“5G+应用”建设,实现远程智能监测、智能诊断和远程维护,助力生产、维护模式升级。当前基于5G的高清远程监视、无人机巡检、远程管理控制、远程机器人排查、AR/VR 等应用已广泛应用于多个行业,可优先在电站应用部署。
4 结束语
本文分析了智慧电站建设对无线网络功能、业务场景等方面的需求,研究了三大运营商为行业用户提供的5G 专网服务模式。基于需求和5G 专网服务模式,提出了电站5G 专网建设方案。从目前5G 的发展情况来看,很多垂直行业应用仍旧处于探索阶段。想要真正成为赋能千行百业数字化转型的关键技术,还需各方深入合作,逐步探索具体应用场景,结合人工智能、物联网等技术,构建一个智慧互联的电站。