钟颋，杨军，陈哲，蔡振威，佟晶

中国联合网络通信有限公司海南省分公司，海南海口，570311

0 引言

随着5G通信技术的快速发展，其应用场景越来越多，如工业园区、写字楼、大学校园等，这些场景的许多设备不支持5G网络，因此访问速度非常有限[1]。但是，当前5G通信模组产业链尚未成熟，设备成本较高，目前较多场景采用5G CPE部署，现有终端作为CPE下挂设备，通过Wi-Fi连接到5G CPE实现5G通信。当有多个5G CPE，每台5G CPE下又挂多台设备的场景时，设备间如何实现方便互通、云端应用如何访问或管理CPE下挂设备，成为急需解决的问题。

电信企业为了满足企业内部设备通过CPE终端接入内部网络，并且多个CPE下的设备能进行网络互访的需求，新建5G终端后路由管理平台，通过配合核心网的Routing Behind MS功能，对CPE（需支持NAT关闭）下的终端进行IP地址分配、Framed-Routing分配和上下线等管理，实现了业务系统对CPE下挂终端进行下行访问和控制。并基于5G终端后路由管理平台为客户提供终端审计、黑白名单控制等定制化终端安全管控功能，提升了运营商差异化服务能力[2]。

1 5G终端后路由管理平台功能分析

5G终端后路由的业务流程包括六个步骤：一是CPE终端附着5G网络；二是SMF向管理平台发起认证请求；三是管理平台根据用户签约信息，进行认证、授权；四是CPE终端接入5G网络；五是SMF向AAA发起计费请求；六是管理平台回复SMF的计费消息，并生成话单。网络拓扑结构如图1所示。

图1 5G 终端后路由管理平台网络拓扑图

5G终端后路由管理平台的主要功能包括9个，系统功能如图2所示。

图2 5G 终端后路由管理平台功能结构

1.1 用户数据管理

5G终端后路由管理平台的Server应保存号卡的APN/DNN、MSISDN、IMSI等用户认证数据、IP地址等会话信息。

1.2 终端鉴权

5G终端后路由管理平台可以根据MSISDN、IMSI、用户名/密码等对用户进行多维度接入鉴权，做出允许或拒绝接入响应。

1.3 黑白名单

5G终端后路由管理平台可以根据MSISDN、IMSI、用户名等多维度设置管理号卡的黑白名单，可以采取不允许黑名单通过鉴权、仅允许白名单通过鉴权等策略。

1.4 分配IP地址

5G终端后路由管理平台对号卡应可分配静态固定IP地址、动态IP，并结合企业客户的现有网络情况对IP地址进行统一规划管理。

1.5 CPE下挂终端管理

5G终端后路由管理平台通过配合核心网的Routing Behind MS功能，可对CPE（需支持NAT关闭）下的终端进行IP地址分配和管理，使得终端管理系统可以对CPE下挂终端进行下行访问和控制。

1.6 终端审计

5G终端后路由管理平台可对终端访问的IP地址进行追溯查询。

1.7 反向控制

5G终端后路由管理平台可以实现对CPE下挂终端的反向控制功能，使得终端管理系统可以主动发起对终端的访问或控制。

1.8 平台融合

5G终端后路由管理平台可以与中国联通MEC运营平台实现融合，通过运营平台向企业客户提供IP地址分配管理等自服务能力、向联通运维人员提供系统的维护管理等功能。

1.9 管理功能

5G终端后路由管理平台可以实时监控系统的运行状态，并将其中的所有操作、事件、安全措施以及系统日志进行详细记录，以便更好地实现有效的管控。5G终端后路由管理平台的性能管理功能应使得操作员能够监控系统运行情况，能够查询鉴权请求次数、鉴权成功和失败次数。5G终端后路由管理平台安全管理应能支持对客户端的安全配置管理，通过IP地址、认证口令、端口更改等方式，实现安全加固，并能够实现分权分域的系统管理[3]。

安全管理还可以实现用户管理、权限管理。通过用户管理，网络安全人员可以严格控制用户的权限，一旦开始使用安全软件，就必须使用已有的安全账号，按照设置的权限来访问安全软件，使用安全软件来运行，执行安全软件的指令。通过使用可配置的界面，能够轻松地为每一位用户分配不同的权限，其中包括工作范围、需要控制的设备、需要运行的程序以及需要执行的指令。

该系统具有强大的消息追踪和设备生命周期管理功能，可以满足全网的需求。通过消息跟踪，可以对系统信令消息进行全面的跟踪和统计分析。通过观察系统内各个独立实体之间的信令协调、状态变化以及消息交互的情况，可以更好地了解资源的使用情况，从而及时发现和解决故障问题。为了确保网络的安全运行，需要对所有设备进行连通性和网络传输能力的检查，以确保它们都能够满足网管系统的要求。检查过程中，将会根据检查结果，对可能存在的问题进行定位和解决，以确保网络的稳定运行。设备生命周期管理包括：定期重新启动AP，以及远程登录服务的启动和停止控制，以确保系统的正常运行。

2 5G终端后路由平台应用场景及优势

5G终端后路由平台的应用场景很多，比如不同区域通过5G CPE覆盖、不同5G CPE下挂设备之间可以互访；5G CPE和5G专线接入区域互通，云端应用可以直接访问5G CPE下挂设备。终端后路由相关的IP地址段、MSISDN等信息在5G终端后路由平台上统一配置管理，不需要在UPF等5G核心网网元上配置数据，规避操作风险；只需在CPE上配置后路由IP地址段，业务开展更加便捷。

5G终端后路由管理平台可以为用户提供一个身份认证及授权，企业自主认证高等级安全及业务授权，满足企业更高的安全需求。只有企业认证合法的终端，才允许接入，终端可以判断接入的企业网是否正确（需EAP认证），企业可限制终端单次会话时长，企业可限制终端最大速率，企业可为终端指定DNS信息。

5G终端后路由管理平台可以满足企业自主管理需求：数据由企业自主配置，终端接入由企业自主认证，终端、账号、IP地址统一集中管理，实现终端入网全流程可管可控、可视可溯源。5G终端后路由管理平台支撑企业开展业务：通过业务授权，比如DNS、QoS策略等，满足企业业务需求。

5G终端后路由管理平台是3GPP国际规范定义的、用于网络接入身份认证的网元，支持5G接入、5G回落4G接入、4G接入，也支持人联、物联，同时支持人联卡和物联卡。

3 5G终端后路由管理平台测试结果分析

5G终端后路由管理平台可以有效地管理网络，它可以实时监控设备的运行状态，并将其相关参数信息以可视化的形式展示出来，从而有效地预防网络事故的发生，并且可以帮助网络管理员更好地规划网络的运营[4]。

5G终端后路由管理平台可以提供多种功能，包括：精确的参数设定、实时的性能检测、优化调试以及对过去的性能进行统计分析。通过配置性能任务，系统可以自动获取网络的各种当前性能数据，并且可以设定性能的上限，一旦超出上限，系统将会发出警报，以提醒网管系统采取相应的措施。通过实时监测设备的关键性能数据，可以对其运行状态进行实时跟踪，并使用折线图、直方图和饼图等多种图表形式来展示所获取的性能信息。SNMP技术允许设备实现自动调整其MIB值。通过对性能分析的深入研究，可以对影响网络性能的关键参数，如路由表和性能门限等，进行精确的调整，从而提升网络的整体表现。通过对不同设备的历史性能进行统计，可以更好地了解其在特定时期的业务情况。

5G终端后路由管理平台部署测试结果显示，5G终端后路由管理平台支持访问人数可以达到100万户，并发接入数量达到500次请求/秒，并且每一个用户的处理认证时间约20ms，测试结果如表1所示。

表1 5G 终端后路由管理平台测试结果

5G终端后路由管理平台具备全流程、全生命周期的信息安全管控能力。5G终端后路由管理平台支持全局的黑白名单功能，默认最小访问权限控制。5G终端后路由管理平台进行维护操作时应使用专用账号登录，包括AAA平台维护、操作员账号管理、参数配置、告警管理、日志管理、统计功能，支持操作日志留存、审计功能，通过权限隔离，实现普通用户不能查看和执行不符合当前用户身份的相关操作；5G终端后路由管理平台涉及用户敏感的参数，应使用3DES类型加密算法加密存储。5G终端后路由管理平台的Web管理展示界面，应支持平台、用户敏感信息脱敏展示。5G终端后路由管理平台接口数据传输应按照标准要求使用3DES进行加密，保证数据传输安全。支持安全密钥验证，支持权限管控能力。5G终端后路由管理平台指定其他网元接入的IP地址，不允许非指定的其他系统接入。

5G终端后路由管理平台不仅具有故障管理的功能，而且还可以实现对整个网络的告警信息、运行状态的实时监测，并且可以根据用户的需求，定制SNMP Trap，从而更好地检测、识别、诊断和分析出各种故障。该系统的主要功能包括：实时监控和报警。通过实时监测，可以及时发现并处理接收到的设备报警信息；在显示过程中，提供了多种过滤条件，既可以检索单个或多个设备的报警信息，也可以根据不同的类别来查找特定的报警信息。另一个重要的改进是提供历史告警功能。通过查询网络监控系统的历史报警记录，可以看到这些信息；通过使用历史告警，能够根据不同的过滤条件，快速搜索出特定设备的告警，并且能够根据不同的类别进行查询。通过故障定位，能够确定与实际故障相关的警报信息。通过分析，可以确定故障发生在哪个端口。为用户提供了一个快速查找当前故障的入口[5]。

4 结语

5G终端后路由管理平台可以实现对网络的全面监测，包括路由、终端、IP地址、操作系统、数据库、中间件以及应用程序的实时监测，并可以实现对系统的有效管理，包括性能、故障、告警以及配置。5G终端后路由管理平台拥有先进的SNMP网管接口，它不仅支持第三方网管系统的管理，而且还可以实现自动化的功能，让用户实时获取设备的运行参数，并将其以图形的形式展现出来，让用户更加清晰地了解当前的网络状况，及时发现问题，并及时做出应对措施，为网络管理者提供更加精确的管理与运营指导。综合来看，5G终端后路由管理平台具备较高的实用价值，可在其他项目中迅速复制推广，获取更高的经济效益。