5G校園專網解決方案研究

王 磊 涂 晶 鄭 圣

中國聯合網絡通信集團有限公司江蘇省分公司

0 引言

校園網作為一種專網需求，是高校為了實現校內各部門網絡互通、安全隔離、辦公自動化、信息化應用等功能而組建的專用網絡。校園網要求教師和學生在學校通過手機終端能隨時便捷地接入，訪問學校專網內容，同時又不影響訪問公網業務，需要對業務進行分流。如何利用5G網絡新特性，為學校提供安全、便捷的校園專網訪問方案，是本文研究的課題。針對這一場景，共提出三個方案，分別是專用DNN分流方案、通用DNN+ULCL方案、專用DNN+ULCL方案。

1 核心網分流技術介紹

1.1 分流業務需求分析

在核心網業務中，分流即對業務報文進行分流，并最終到達不同的網絡和服務器。在出現完整的“分流”概念之前的4G時代，移動網已經出現了比較廣泛的、對數據目的地定制化的訴求，但受網絡局限，無法得到良好支撐。在5G時代，這些問題在分流面前迎刃而解。通過分流，將本地業務與正常的業務區分開來，并分別通過主/輔錨點UPF，送達給中心網絡或本地網絡。

目前分流主要的一個應用是——園區或者企業“數據不外流”的場景，即屬于園區內的數據就停留在園區內處理完成，不經過外部。通過UL CL UPF對不同業務進行識別，從而達到數據的區分。舉例而言，在校園中，學生、教職工往往需要訪問學校自己的數據中心和網站，獲取教育資源、學校政策等信息。出于信息安全考慮，學校在校園內部署了自己的服務器，供學校人員使用。如圖1所示，在該場景下，校內資源數據、實驗操作數據作為本地業務數據，UE直接訪問DN完成，這樣所有的校內資源數據都停留在學校內部，不會外流，有效提高了數據的隱私性。除此之外的數據，作為中心業務數據，UE訪問中心DN完成。

圖1 校園網場景分流需求

1.2 分流技術原理

1.2.1 UPF的選擇與插入

在激活分流的過程中，SMF會在眾多UPF中，根據UPF本身的條件，決策出最合適的UPF，并插入到用戶會話中，主錨點UPF在用戶激活時插入，ULCL和輔錨點UPF根據用戶所在區域決定是否插入，實現用戶與本地DN間的業務，并將中心DN業務分流至主錨點UPF。

1.2.2 分流流程

用戶上線后，通過簽約的分流策略觸發分流流程，分流流程如下。

步驟1：策略下發

在UE發起PDU會話請求，AMF為UE分配SMF后，SMF通過Npcf_SMPolicyControl_Create消息與PCF建立SM策略關聯，并完成策略下發。該過程中，PCF根據來自SMF的Npcf_SMPolicyControl_Create Request消息中攜帶的用戶信息，查詢用戶簽約數據，發現這名用戶簽約了分流的套餐。于是，PCF在Npcf_SMPolicyControl_Create Response消息下發的消息中，會有一部分分流規則，用于指示UPF如何分流。

步驟2：PDU會話建立

在PCF向SMF下發用戶信息之后，SMF會基于DNN、切片、DNAI、UPF接口能力、是否與EPS互通等因素，為UE選擇合適的UPF（即主錨點UPF）。之后SMF會下發業務策略，并最終建立UE-基站-主錨點UPF之間的PDU會話。這一步建立的是分流前的常規PDU會話。

步驟3：觸發分流

在用戶會話過程中，SMF會實時檢測用戶的位置（一般是用戶所在的TAI區或者小區），一旦用戶的DNN+位置組合滿足分流的觸發條件（比如用戶接入時本身就在分流園區內，或者移動到了分流園區內），便會觸發分流。此時，SMF會根據UPF的條件進行決策，選擇最合適的UPF ULCL和輔錨點UPF。

完成UPF選擇之后，SMF將這兩個UPF分別建立PFCP會話，插入到當前用戶會話中。通過在建立PFCP會話的過程中，SMF會向UL CL UPF下發PDR，通知UL CL UPF需要啟用的分流規則。

向主/輔錨點UPF下發PDR，通知主/輔錨點在分流過程中收到報文時進行的業務處理（如執行轉發或緩存動作、進行帶寬控制和計費等）。

步驟4：會話修改

在步驟3中，SMF已經選擇好了分流使用的UL CL UPF和輔錨點UPF，距離分流功能的使用只差臨門一腳——將原有的UE-基站-主錨點UPF之間的常規PDU會話，更新為UE-基站-UL CL UPF-主錨點UPF/輔錨點UPF之間的分流PDU會話。

步驟5：分流生效

分流功能開啟后，用戶的數據報文到達UL CL UPF，UL CL UPF基于PDR對這些報文進行匹配，并后續轉發給輔錨點UPF。輔錨點UPF基于PDR繼續將報文轉發給中心/本地DN，最終完成用戶各項業務。

2 分流方案

2.1 專用DNN分流方案

2.1.1 專用DNN方案實現

開通校園網的手機卡在UDM簽約專用DNN，基于用戶簽約將校園用戶手機的默認DNN糾錯為校園用戶專用DNN，通過專用DNN選擇校園2C專網UPF，通過外掛路由器實現訪問內網和公網業務分流。SMF作為融合網關支持PGW-C功能時，可滿足5G及4G接入。由于4、5G接入均可接入專網，對校園5G覆蓋沒有要求，并且訪問專網范圍可以不局限于校園內。

在5G虛擬專網模式的接入選網流程中，專網用戶終端開機搜集到5G無線信號，并發起接入注冊流程，基站根據終端上帶切片標識選擇核心網AMF，AMF基于終端上帶/簽約切片對用戶進行接入認證和鑒權（UDM配合），認證成功后建立會話，用戶可正常進行數據業務。流程如圖2所示。

圖2 專用DNN+路由器分流方案業務流程

省內場景內網訪問數據流：終端→公眾網絡基站→公眾網絡UPF→校園內部應用。

省外漫游場景內網訪問數據流：終端→公眾網絡基站→拜訪地I-UPF→歸屬地大網UPF→校園內部應用。

終端適用情況：適用于所有終端，可適用4G+5G環境。

APN配置方式：APN糾錯方式，UDM只保留簽約專網APN。

外地漫游：可訪問公網+內網。

路由器：需手工配置，性能決定訪問公網速度，后期維護難度高。

安全策略：可支持固定IP址，AAA服務器的部署。

2.1.2 方案約束及存在問題

（1）4G接入需要MME開啟APN糾錯，5G接入需要AMF開啟DNN糾錯；（2）需要路由器具備分流能力及有帶寬要求，后期分流路由器維護難度高；（3）用戶出省業務需回歸屬地，增加網絡消耗和時延；（4）路由器分流方案DNS解析無法分流，需要專網DNS具備公網DNS解析能力。

2.2 通用DNN+ULCL分流方案

本方案根據ULCL功能實現校園內訪問內網和公網業務分流。通用DNN（3GNET+用戶基于PCF簽約+指定TAI區域+ULCL分流/輔錨點+大網2C_UPF主錨點）。本方案可以滿足5G本地接入專網，不滿足5G漫游、4G接入專網，要求校園區域5G NR信號覆蓋，否則不能接入專網，如圖3所示。

圖3 通用DNN+ULCL方案業務流

2.2.1 通用DNN+ULCL方案實現

用戶不換卡實現同時訪問校園內網和公網。園區部署UPF（ULCL），用戶基于位置區+PCF簽約插入ULCL分流訪問校園內網，同時也可訪問公網業務。業務流程如圖4所示。

圖4 通用DNN+ULCL方案業務流程

用戶簽約通用DNN，PCF簽約校園網分流業務策略。針對學校范圍規劃TAC區域，PCF配置預定義規則，并配置規則和TAC的綁定關系。在UE激活或者移動到指定的TAI時下發預定義規則給SMF。

SMF部署本地分流策略特性（即支持ULCL插入和策略下發），當UE激活或者移動到指定的TAI時，上報PCF動態獲取預定義規則，SMF使用PCF下發的預定義規則插入ULCL及下發分流策略給UPF。UPF上配置針對內網服務器IP的分流策略。

簽約UE在規劃區域內激活或者移入時，PCF下發預定義規則，SMF根據PCF下發的預定義規則及UE的位置，選擇UPF ULCL插入用戶會話，可以同時訪問校園內網和Internet。

簽約UE移出規劃區域時，PCF通知SMF卸載規則，SMF移除ULCL，不能訪問校園內網。

2.2.2 存在的問題及解決方案

該方案中，由于使用了公用DNN，共用了大網終端地址池，導致存在終端和校園內網IP地址沖突的問題；同時由于用戶訪問公網需要使用公網DNS，訪問學校內網域名需要使用學校內網DNS，需要根據用戶訪問的域名送到不同的DNS進行解析。為解決以上兩個問題，可采用如下解決方案。

2.2.2.1 終端IP和校園內網IP沖突問題解決方案

通過在防火墻配置雙向NAT，同時對源和目的IP地址進行NAT轉換，解決了終端地址與校園內網DNS沖突的問題。

某分流業務專網網絡拓撲如圖5所示。用戶通過公網DNN+ULCL實現同時訪問公網和內網，運營商規劃的終端IP地址池為：10.X.X.X，用戶終端在運營商地址池里面獲取一個IP地址：10.10.10.10，園區內網服務器IP地址：10.10.10.10，對外公網IP：20.10.10.10。

圖5 終端和校園網IP沖突場景拓撲圖

（1）用 戶 發 起 訪 問 目 的IP：20.10.10.10，源IP：10.10.10.10；

（2）防火墻將訪問的上行目的IP：20.10.10.10改成10.10.10.10，源IP由10.10.10.10做NAT轉成30.0.10.X；

（3）園區內網服務器收到報文，發回響應，響應報文目的IP是30.10.10.X，源IP是10.10.10.10；

（4）防火墻將下行目的地址30.10.10.X轉成10.10.10.10，源IP 10.10.10.10改成20.10.10.10；

（5）終端收到響應報文，業務完成。

2.2.2.2 DNS解析分流解決方案

通過UPF上配置DNS分流，來解決同時訪問公網和內網DNS的問題，使得用戶可以使用域名來訪問校園內網業務。

某分流業務組網如圖6所示，運營商規劃的終端IP地址池為：10.X.X.X，用戶終端在運營商地址池里面獲取一個IP地址：10.10.10.10，園區內網域名www.abc.com，對應的域名業務IP是10.10.10.10，DNS服務器IP地址也是10.11.11.11。

圖6 DNS解析分流解決方案拓撲圖

業務流程：

（1）用戶發起域名請求www.abc.com；

（2）UPF通過DNS重定向將報文重定向到20.11.11.11；（DNS重定向解釋）

（3）防火墻將DNS請求的目的IP由20.11.11.11改成10.11.11.11，源IP由10.10.10.10做NAT轉成30.10.10.X，將報文送到園區DNS Server；

（4）園區DNS Server基于域名www.abc.com解析出對應IP地址：10.10.10.10；

（5）DNS應答報文到防火墻，防火墻通過DNS ALG功能將DNS應答報文中攜帶的私網業務地址10.10.10.10，修改成20.10.10.10；（DNS ALG解釋）

（6）終端獲取DNS應答消息，域名對應的業務IP為20.10.10.10；

（7）終端發起業務請求，訪問IP地址：20.10.10.10；

（8）上行報文到防火墻，防火墻將訪問的目的IP 20.10.10.10改 成10.10.10.10，源IP由10.10.10.10做NAT轉 成30.10.10.X，報文送到業務服務器；

（9）回程報文通過目的地址30.10.10.X送到防火墻，源IP為10.10.10.10；

（10）防 火 墻 將 下 行 目 的 地 址30.10.10.X，轉 成10.10.10.10，將下行源IP 10.10.10.10轉成20.10.10.10；

（11）終端收到回應報文，業務完成。

2.2.3 方案約束及影響

要針對校園區域范圍規劃TAC；不支持5G漫游和4G接入。

2.3 專用DNN+ULCL方案

此方案類似于公網DNN+ULCL方案，但是用戶簽約專用DNN，并由AMF將用戶請求DNN糾錯為專用DNN，同時使用ULCL功能實現校園內訪問內網和公網業務分流。使用專用DNN可以解決IP地址沖突問題。業務流程如圖7所示。

圖7 專用DNN+ULCL分流方案業務流程

（1）省內

UDM簽約專用DNN-1為default DNN，給專用DNN獨立規劃IP地址池；終端請求通用DNN為3gnet，AMF使能APN糾錯將DNN改成專用DNN-1，用戶使用專用DNN-1在獨立規劃的地址池里獲取IP地址激活，專用DNN-1支持訪問公網；基于DNN+位置插入ULCL到用戶會話中，可以訪問校園內網。

（2）省外

UDM簽約專用DNN-1為default DNN，終端請求DNN為3gnet，AMF使能APN糾錯將DNN改成專用DNN-1，用戶使用專用DNN-1激活，通過專用DNN找回歸屬地支持專用DNN-1的UPF激活，支持訪問公網；無法訪問校園內網業務。

3 方案對比

將以上描述的三種方案進行總結，并在適用終端、APN配置、外地漫游等方面對比，如表1所示。

表1 校園網分流方案對比

通過以上對比，可以發現三種方案各有優缺點，可以根據業務需求和網絡情況靈活選擇。

4 結束語

通過對校園網需求的分析和解決方案的介紹，對比分析了幾種解決方案的優缺點，可以看出目前幾種校園網分流方案各有優勢和弊端。其中，專用DNN+路由器分流方案是相對比較成熟的方案，可以向下兼容4G，但是存在增加時延與網絡開銷的問題，同時需要解決專網DNS解析的問題，可能影響用戶感知。ULCL分流作為5G網絡的新特性，不向下兼容4G網絡，但用戶可以直接使用公網DNN，使用公網業務感知較好，但存在專網地址沖突等問題需要規避，方案較復雜。采用專用DNN+ULCL可以解決終端和專網地址沖突問題，同時可以支持AAA等二次鑒權功能，但是需要使用DNN糾錯，用戶漫游出省使用數據業務時需要回歸屬地，增加網絡開銷和時延。在網絡覆蓋不好的初期，可選用專用DNN+路由器分流方案，隨著5G信號覆蓋加強，ULCL方案逐漸成熟，校園網方案預計會越來越多采用DNN+ULCL方案。

在未來，隨著MEC功能的逐漸完善，分流與MEC、切片等功能結合后，可以有更廣泛的應用，比如對特定的業務實現超低時延，或者依靠強大的邊緣計算能力輔助科研等等，分流可以為這些應用提供支撐，并逐漸演進出更加豐富的應用。