5G随行专网架构及关键技术研讨.pdf

1、PAGE028无线通信Wireless Communications5 G 随行专网是发挥联通5 G 网络规模优势，强化网络安全接入能力，服务于校园、政务、企业等领域的集约化、定制化产品。其高效的无感分流，替代了传统V P N 的接入方式，为个人用户和企业用户提供了高速、低延迟和高可靠性的通信服务。本文将结合运营商当前随行专网的发展现状，从整体方案切入，对随行专网落地过程中的I P 地址冲突问题、二次鉴权问题、静态地址分配问题、单独计费问题及容灾问题进行深入探讨论述，以期为后续随行专网的持续落地提供相应的指导。The 5G accompanying private network is a c

2、entralized and customized product that gives full play to the advantages of the 5G network scale of China Unicom,strengthens the network security access capability,and serves the campus,government,and enterprise fields.It provides high-speed,low-latency,and high-reliability communication services fo

3、r individual users and enterprise users.Based on the operators current development status of the accompanying private network,this document discusses the problems of IP address conflict,secondary authentication,static address allocation,independent charging,and disaster recovery during the implement

4、ation of the accompanying private network,aiming to provide guidance for the subsequent implementation of the accompanying private network.随行专网 I P 地址冲突 二次鉴权 专网计费 地址分配Accompanying private network;IP address conflict;Secondary authentication;Private network charging;Address AllocationDoi:10.3969/j.is

5、sn.1673-5137.2024.02.002摘 要 Abstract关键词 Key Words5G随行专网架构及关键技术研讨 王鹏 丁亮亮（中国联合网络通信有限公司陕西省分公司 陕西 西安 710075）0.引言在信息技术快速发展的趋势下，企业信息化运营需求不断增加，为顺应新一轮科技革命和产业变革的数字化转型潮流，移动办公需求孕育而生。然而当前完全实现移动办公还面临着诸多挑战，其中最关键的就是网络问题。在移动办公中，用户通常需要访问企业内部网络资源1。政务领域，政务机构需要在移动办公中获取政府文件，公共数据和其他内部重要信息；教育领域，学生和老师及其他工作人员希望方便快捷的获取学习资源、校

6、内资料文件，希望在校内和校外能够同时访问互联网和校园内网；企业方面，移动办公可以更加快速高效的完成工作内容，对提高企业内部工作效率，降低企业运行成本起到举足轻重的作用。因此能同时访问互联网和单位内网成为校园、政务、企业等领域的迫切需求。5G随行专网的概念也由此产生。5G随行专网要求在用户不换卡，不换号的前提下，随时随地的在互联网与校园、政务和企业内网之间进行无感切换。实现5G网络替代或者补充企业原有wifi网络，或替换企业VPN，提升5G网络在2B行业的市场占有率的目标。本文从5G随行专网的整体方案切入，对随行专网落地过程中的IP地址冲突问题、二次鉴权问题、静态地址分配问题、单独计费问题及容灾

7、问题进行深入探讨论述，旨在为5G随行专网的实际落地提供指导。1.概述联通5G随行专网用户支持在归属省份/漫游省份通过不同的接入方式同时访问企业专网和互联网公网。具体包括以下三种方式：（1）通过5G接入核心网；（2）4G接入到AMF/MME融合局点；（3）4G接入到MME传统局点。针对兼具2B业务属性的2C用户（如政府公务员、企业员工、校园师生等），存在同时访问企业专网和互联网以满足生活及学习、办公等场景的需求（简称2B2C双域专网需求）。针对此需求联通提出了“全国漫游、4G/5G融合”的5G随行专网建网要求，具体包括：（1）4G、5G都能访问企业内网；PAGE029无线通信Wireless C

8、ommunications（2）全国范围都可以访问企业内网；（3）公网地址公网分配，园区地址企业分配；（4）企业园区对用户二次认证；（5）园区独立计费。2.总体方案2.1 整体概述在5G随行专网方案中，UDM为用户分别签约公网DNN及专网DNN。当签约随行专网的用户从运营商公网（后续简称公网）接入时，AMF使用公网DNN选择公网分流SMF建立会话，公网分流SMF选择公网分流UPF实现用户公网访问。公网会话建立的同时公网分流SMF基于PCF下发的专网DNN及分流规则实现NRF发现专网D-SMF及专网会话建立。流量转发方面，公网分流SMF选择公网分流UPF作为服务UPF，专网D-SMF选择专网D-

9、UPF作为专网锚点UPF，公网服务UPF和专网锚点UPF通过N9口连接，在专网D-UPF上把UE地址做NAT转换，进而把专网流量转到企业网内部。对于每个专网DNN和切片，归属省按需选择其归属的本省内的SMF（专网SMF），专网SMF向NRF注册时，包含对应的专网DNN和切片。备注：多个专网DNN和切片可以共用一个专网SMF；从容灾角度出发，对于每个DNN和切片，至少选择一对专网SMF；2.2 分场景解决思路签约随行专网用户，漫游到园区外，同时使用归属地专网业务及互联网业务，用户在拜访地分别通过5G网络及4G网络接入，用户通过拜访地大网SMF控制的UPF访问互联网业务，通过归属地服务于专网的SM

10、F控制的专网UPF访问专网业务，以下分两种场景对解决方案进行具体探讨。2.2.1 随行专网用户非漫游接入解决方案签约随行专网用户，如果在园区覆盖范围内，可分别通过5G或4G网络接入，通过公网SMF控制的UPF访问互联网业务，通过专网SMF控制的专网 UPF访问专网业务2。网络拓扑如图1所示：图1：随行专网用户非漫游接入解决方案根据归属省的专网SMF的部署方式，随行专网用户在归属省5G下接入，存在如下几种情况：场景一：服务于专网业务的专网SMF独立于公网SMF，比如单独部署专网SMF，此时随行专网用户的5G接入流程完全等同于漫游省5G接入流程。场景二：服务于专网业务的专网SMF和公网SMF合一部

11、署，公网UPF和专网UPF独立部署，比如专网UPF按需下沉到对应的企业园区。随行专网用户在归属省4G接入类似于“随行专网用户在归属省5G接入”。2.2.2 随行专网用户漫游接入解决方案该方案适用于签约随行专网用户漫游到园区外，需要同时使用归属地专网业务及互联网业务的场景。在该场景下，用户通过拜访地公网SMF控制的UPF访问互联网业务，通过归属地服务于专网的SMF控制的专网UPF访问专网业务。对于用户业务访问方案将分5G接入和4G接入分别进行论述。2.2.2.1 5G接入漫游解决方案如果用户在拜访地通过5G网络接入，其网络架构如图2所示。图2：随行专网5G接入漫游架构在该架构下，用户面数据转发流

12、如图3所示。图3：用户面数据转发流图1）互联网的报文通过公网UPF对应的互联网会话的N6接口完成数据收发，公网UPF完成对应的计费信息收集；2）专网业务的报文通过公网UPF对应的专网会话的N9接PAGE030无线通信Wireless Communications口完成数据转发，公网UPF仅执行数据转发不执行计费信息收集。3）专网UPF上执行专网业务数据报文的UE IP替换，上行报文执行源地址替换，替换后的地址为专网会话的UE IP，替换后的地址为N16a接口传递的互联网会话的UE IP地址。2.2.2.2 4G接入漫游解决方案如果用户在拜访地通过4G网络接入，其网络架构如图4所示。图4：随行专

13、网4G接入漫游架构专网会话建立后，用户面数据转发流图同5G接入，差异在于：公网UPF在将上行报文从互联网会话转发到专网会话的N9接口时，需要完成4G用户面报文到5G用户面报文的转换；反之，对于下行报文，公网UPF需要完成5G用户面报文到4G用户面报文的转换。3.随行专网方案关键问题探讨随行专网方案为专网用户提供了全新的网络问题解决思路，但是在落地过程中也有不少问题需要逐步攻克落实。以下将从随行专网方案落地过程中遇到的几个主要问题展开探讨。3.1 IP地址冲突问题3.1.1 终端公网会话和园区服务器之间地址冲突网络侧公网UPF为终端分配的地址无法规划，按照本地通用地址池分配，分配的地址可能和园区

14、应用服务器地址冲突。解决方案：UPF设置检测机制，当UPF检测到为终端分配的IP地址和分流规则中的IP地址冲突，会提前更换该地址池内的地址段并重新分配地址，这样做就可以有效避免公网UPF分配的地址和园区政务或校园给终端分配的地址冲突问题。3.1.2 终端专网会话和园区服务器之间地址冲突网络侧为终端分配了私网IPv4地址，该地址可能和园区应用服务器的地址冲突。解决方案：需提前规划避免专网DNN分配的地址和园区服务器地址冲突。3.2 IPv6单栈UE访问园区内IPv4单栈服务这个问题对漫游业务来说，没有影响，针对归属省是有影响的。这种情况下漫游业务可正常建立会话，但是对归属地会有如下影响：对于归属

15、地来讲，由于公网DNN将来有可能改造成IPv6单栈地址会话，造成第二会话专网DNN也会建立IPv6单栈地址会话。解决方案：D-UPF进行1:1 NAT，将上行报文原地址中的通用DNN会话的UE IP替换为UDM/AAA返回的专网DNN的UE IP后发送给园区。针对园区业务下行数据报文，D-UPF通过NAT将下行报文中目的地址的专网DNN的UE IP地址替换为公网DNN的UE IP地址后转发给I-UPF。园区、政企、校园业务为纯IPv4服务的话，需要在核心网外侧增加具有NAT64&DNS-ALG&DNS64功能设备图5：归属地漫游地组网架构3.3 二次鉴权专网SMF应同时支持SMF直连以及UPF

16、转接两种方式将UE的认证/授权信息传递给AAA服务器，专网SMF支持本地配置鉴权的用户名和密码。如果AAA服务器对用户认证失败，专网SMF应拒绝PDU会话建立4。专网UPF应支持与AAA进行对接，并且支持转接SMF与AAA之间的消息交互，以实现二次鉴权/认证、外部地址分配、Radius抄送等功能。5G SA组网在设计时就充分考虑了面向垂直行业的二次鉴权需求。在安全性方面，系统内生地支持用户二次鉴权功能，以保护DN免遭非法用户的侵害4。5G二次鉴权遵循EAP(可扩展身份认证协议)，认证消息由NAS信令承载，其中UE作为Peer(被认证端)，SMF作为Authenticator(认证端)，AAA

17、Server作为认证服务器4。鉴权流程具体如下：PAGE031无线通信Wireless Communications图6：二次鉴权组网1）UE在访问DN之前，首先需要完成与UDM及AUSF之间的主认证鉴权4。2）随后SMF在为其建立PDU Session时，将根据UE的签约信息决定是否发起二次鉴权4。3）SMF向AAA Server发出开始二次鉴权的信令，并建立起UE与AAA之间的认证通道，之后UE和AAA将经过若干次EAP-Request/EAP-Response消息交互。具体交互次数和交互内容根据所使用的认证协议而定，用户可以使用PAP、CHAP、AKA、TLS等公开协议，也可以自定义算法

18、与协议4。4）最后由AAA向UE发送认证结果，二次认证通过之后，SMF将为UE建立到DN的PDU Session4。5）DN-AAA Senver可以部署在DN中通过UPF与SMF连接，AAA Server也可以直接部署在运营商机房内与SMF直接连接4。如果是前者，则要求UPF具备转接SMF与外部服务器之间的消息的功能。3.4 静态地址的分配对归属省来说，园区在UDM上签约静态IP地址，园区用户由AAA在二次鉴权分配IP地址或地址池名称，在SMF上基于专网DNN开启二次鉴权参数从AAA或UDM获取静态IP地址下发给UPF，D-UPF进行1:1 NAT，将上行报文原地址中的通用DNN会话的UE

19、IP替换为UDM/AAA返回的专网DNN的UE IP后发送给园区。针对园区业务下行数据报文，D-UPF通过NAT将下行报文中目的地址的专网DNN的UE IP地址替换为公网DNN的UE IP地址后转发给I-UPF。3.5 随行专网计费与话单公网SMF/GW-C和UPF/GW-U对互联网业务流量进行计费5，公网SMF/GW-C通过Nchf接口与CCG进行离线计费和在线计费信息的交互，话单中的UE IP为公网会话UE IP，DNN为公网DNN。专网SMF/UPF对专网流量进行计费，支持融合计费架构，通过Nchf接口与CCG进行离线计费和在线计费信息的交互，话单中的UE IP为专网UE IP，DNN为

20、专网DNN。对于漫游业务来讲，由PCF下发公网计费策略，再由CGF上报公网话单到BOSS，SMF从PCF获取公网计费策略和上报公网话单，不从N16a接口传递计费和控制策略，UPF则监控用户流量使用情况并上报公网流量到SMF。对于归属地业务来讲，由PCF下发园区计费策略，由CGF上报园区话单到BOSS，SMF从PCF获取校园网计费策略和上报园区网话单，不从N16a接口传递计费和控制策略，UPF则监控用户流量使用情况并上报公网流量到SMF。这种情况需要集团BOSS支持“同一个用户上报两张话单，一张在拜访地上报，一张在归属地上报。两张话单为同一个IMSI、同一个时间段、相同RG、RAT可能相同可能不

21、同、SMF可能相同或者不同、DNN不同、UPFID不同、不同 charging id，或者不同的session id”。3.6 容灾问题对于漫游省业务来讲，分别和2个或多个D-SMF对接N16a口，能够传递专网DNN和公网DNN分配的UE IP地址信息，并且分别和2个或多个D-UPF对接N9口，能够传递专网DNN的数据对于归属地业务来讲，要建立2套或多套D-SMF和漫游地的SMF对接N16a口，这2套或多套D-SMF组成POOL，优先级相同，要建立2套或多套D-UPF和漫游地的UPF对接N9口，这2套或多套D-UPF组成POOL，优先级相同。动态分配专网UE IP地址情况下多套UPF地址池不能

22、重复。静态分配专网UE IP的情况下地址池相同，配置DNN级别不同优先级区分主备，通过CE到主备UPF的地址池路由不同优先级来投递UE下行数据报文。图7：容灾问题解决方案图4.总结5G随行专网的诞生，顺应了新一轮科技革命和产业变革的数字化转型，打破了通信网络的界限，作为纽带将互联网、移动通信网和企业内网进行了完美的融合6。将开启一PAGE032无线通信Wireless Communications个全新的数字时代，为人类带来巨大的变革和价值，与此同时，我们也需要进一步认识，挖掘到5G随行专网所面临的问题和风险，积极应对和解决这些问题，以确保5G随行专网的安全可靠和可持续发展。1 徐晓光.数字水

23、印技术在移动办公中的研究与应用D.武汉理工大学，2010.2 王杉，傅俊锋，李宏平，等.5G专网混合组网方案研究与应用J.信息通信技术，2022,16(01):34-39.3 高功应，平军磊，刘凡栋，等.5G SA VPDN业务继承方案研究J.邮电设计技术，2021,(09):911-916.4 王建英，吕俟林，许建明.可应用于5G网络的垂直行业二次认证方法浅析J.通信技术，2020,53(10):2538-2542.5 孔令义.面向5G的网络优化和重构J.电信科学，2020,36(02):117-125.6 刘长杰.为可持续发展注入数字动力J.中国发展观察，2021,(Z3):36-38.参考文献作者简介王鹏，1974年10月生，男，陕西西安人，本科，中国联通集团B级专家，高级工程师，现任陕西联通西北大区运营中心工程建设室主任，主要从事5GC/IMS网络相关研究与管理工作。