文/劉治綱

5G在新基建中是最根本的通信基礎(chǔ)設(shè)施，它不僅可以為大數(shù)據(jù)中心、人工智能和工業(yè)互聯(lián)網(wǎng)等其他基礎(chǔ)設(shè)施提供重要的網(wǎng)絡(luò)支撐，還可以將大數(shù)據(jù)、云計算等數(shù)字科技快速賦能給各行各業(yè)，是數(shù)字經(jīng)濟(jì)的重要載體。

從服務(wù)對象而言，5G網(wǎng)絡(luò)并不是完全為個人語音和數(shù)據(jù)業(yè)務(wù)而設(shè)計的，它還能夠為垂直行業(yè)用戶提供定制化的網(wǎng)絡(luò)服務(wù)。5G網(wǎng)絡(luò)采用網(wǎng)絡(luò)切片技術(shù)，能夠根據(jù)行業(yè)需求在帶寬、時延、可靠性等多種維度上劃分不同的網(wǎng)絡(luò)切片，并定制生成一張?zhí)摂M網(wǎng)絡(luò)，供有權(quán)限的用戶連入。

校園網(wǎng)經(jīng)過20多年的建設(shè)，形成了以下特點：

1.技術(shù)架構(gòu)從交換式以太網(wǎng)發(fā)展到基于網(wǎng)絡(luò)虛擬化技術(shù)的多協(xié)議泛在網(wǎng)；2.服務(wù)目標(biāo)從單純的PC互聯(lián)發(fā)展為多類型終端的“萬物互聯(lián)”及其演進(jìn)下的“萬物智聯(lián)”；3.計算模型從計算中心模式發(fā)展為云計算模式。

在上述變化的驅(qū)動下，校園網(wǎng)無線網(wǎng)流量超越了有線網(wǎng)流量，大范圍、高質(zhì)量的Wi-Fi網(wǎng)絡(luò)覆蓋成為各大校園網(wǎng)的建設(shè)目標(biāo)。但是由于校園網(wǎng)本身的局限性，在AP覆蓋、物聯(lián)網(wǎng)設(shè)備VPN接入、云數(shù)據(jù)安全等方面仍然存在著瓶頸。5G網(wǎng)絡(luò)下的切片技術(shù)可以極大彌補(bǔ)校園網(wǎng)Wi-Fi接入能力不足和覆蓋范圍有限的短板，使得校園網(wǎng)與5G網(wǎng)絡(luò)融合成為可能。

校園網(wǎng)與5G網(wǎng)的融合架構(gòu)

從5G核心層面上看，歐洲電信標(biāo)準(zhǔn)化協(xié)會(ETSI)提出的網(wǎng)絡(luò)功能虛擬化(Network Functions Virtualization，NFV)基礎(chǔ)架構(gòu)促成了網(wǎng)絡(luò)功能和網(wǎng)絡(luò)底層硬件的解耦以及核心網(wǎng)絡(luò)的虛擬化[1]；從用戶面的角度看，5G網(wǎng)絡(luò)與校園網(wǎng)融合的關(guān)鍵是用戶面功能(User Plane Function，UPF)與多接入移動邊緣計算(Multiaccess Edge Computing，MEC)的部署和使用。

UPF作為5G網(wǎng)絡(luò)用戶面網(wǎng)元，主要支持用戶業(yè)務(wù)數(shù)據(jù)的路由和轉(zhuǎn)發(fā)、數(shù)據(jù)和業(yè)務(wù)識別、動作和策略執(zhí)行等。UPF通過N4接口與會話管理功能(Session Management Function，SMF)進(jìn)行交互，依據(jù)SMF下發(fā)的各種策略執(zhí)行業(yè)務(wù)流的處理。邊緣UPF與核心控制面分離并下沉部署至5G網(wǎng)絡(luò)邊緣后，主要負(fù)責(zé)用戶面數(shù)據(jù)的路由和轉(zhuǎn)發(fā)功能。由于其位置更靠近用戶，可以減少傳輸時延，實現(xiàn)數(shù)據(jù)流量的本地分流，緩解核心網(wǎng)的數(shù)據(jù)傳輸壓力，從而提升網(wǎng)絡(luò)數(shù)據(jù)處理效率。

MEC被ETSI定義為在移動網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和云計算的能力[2]。由UPF將用戶數(shù)據(jù)流分流至MEC平臺，實現(xiàn)5G網(wǎng)邊緣計算部署。融合架構(gòu)如圖1所示。

圖1 校園網(wǎng)與5G網(wǎng)的融合架構(gòu)

邊緣UPF平臺部署在學(xué)校網(wǎng)絡(luò)中心機(jī)房內(nèi)，作為分流錨點，配合MEC將業(yè)務(wù)分流至校園內(nèi)網(wǎng)或同樣下沉部署的MEC虛擬化應(yīng)用平臺。以上融合架構(gòu)的主要特點可以歸結(jié)為以下幾點：

1.數(shù)據(jù)安全隔離。校內(nèi)網(wǎng)用戶進(jìn)行用戶分流策略簽約。只有簽約校園分流業(yè)務(wù)的用戶才可以同時訪問校園內(nèi)網(wǎng)和Internet，未簽約的用戶只能訪問Internet，不能訪問校園內(nèi)網(wǎng)。這樣就確保了公網(wǎng)業(yè)務(wù)與校園網(wǎng)業(yè)務(wù)的安全隔離。

2.從用戶層面實現(xiàn)5G與校園網(wǎng)合并。在校園網(wǎng)絡(luò)機(jī)房放置下沉UPF，將全市基站(或者學(xué)校指定區(qū)域基站)數(shù)據(jù)與UPF打通，提供5G專網(wǎng)服務(wù)。

3.完全取代傳統(tǒng)VPN。傳統(tǒng)的VPN通過客戶端程序主動發(fā)起并建立加密隧道的方式訪問校內(nèi)網(wǎng)資源，存在速率低、時延大、帶寬不穩(wěn)定等問題。通過5G分流策略可以做到高速率、低時延、大帶寬訪問，從而提升用戶體驗。特別是有內(nèi)網(wǎng)訪問需求但又無法安裝VPN認(rèn)證客戶端的工控設(shè)備或傳感器等，都可以通過安裝5G通信模塊無感知入網(wǎng)。

4.擴(kuò)展性好。如果建設(shè)新校區(qū)或設(shè)立校外分支機(jī)構(gòu)，僅需新校區(qū)或分支地點有5G信號覆蓋，同時將對應(yīng)基站與校本部機(jī)房內(nèi)的邊緣UPF設(shè)備打通就能連入本部網(wǎng)絡(luò)。

基于MEC的分流

MEC是ETSI提出的邊緣計算參考框架。MEC平臺定義了移動邊緣主機(jī)、移動邊緣平臺管理、移動邊緣編排、虛擬基礎(chǔ)設(shè)施管理等功能模塊[3]。MEC平臺是通用平臺的實體服務(wù)器，可放置在5G網(wǎng)絡(luò)邊緣的用戶網(wǎng)絡(luò)機(jī)房內(nèi)，使用40G或100G以太網(wǎng)標(biāo)準(zhǔn)與校園網(wǎng)內(nèi)網(wǎng)高速互聯(lián)。邊緣化的MEC平臺提供了5G網(wǎng)絡(luò)虛擬基礎(chǔ)設(shè)施的開放能力，并且通過虛擬化應(yīng)用架構(gòu)，將MEC功能組件進(jìn)一步組合封裝成虛擬的應(yīng)用接口(例如本地分流、無線緩存、增強(qiáng)現(xiàn)實技術(shù)、業(yè)務(wù)優(yōu)化、定位等接口)開放給第三方應(yīng)用或軟件開發(fā)商調(diào)用。文獻(xiàn)[4]介紹了MEC各模塊的作用以及實現(xiàn)方式。

隨著帶寬價格的下降，以及對信息系統(tǒng)“簡單快速部署”“隨時隨地訪問”的需求增加，校園網(wǎng)的計算模型從早期的數(shù)據(jù)中心模式逐漸發(fā)展為云計算模式。比較典型的應(yīng)用有基于云計算的人臉識別門禁、視頻監(jiān)控、視頻直播等。系統(tǒng)希望流量不出園區(qū)，從而在最大程度上防止敏感數(shù)據(jù)泄露。

因此，5G網(wǎng)絡(luò)與校園網(wǎng)融合架構(gòu)的實現(xiàn)需要UPF與MEC配合實現(xiàn)數(shù)據(jù)的本地分流。這樣既可以提高數(shù)據(jù)安全性、保留業(yè)務(wù)的云計算特征，又可提供低延遲和高帶寬的本地化網(wǎng)絡(luò)服務(wù)。

主流常用的分流技術(shù)主要有兩種：上行分類器(Uplink Classifier，UC)方案、數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(Data Network Name，DNN)方案。

校園網(wǎng)通信一般采用UC方案，在用戶會話建立過程中，SMF可以在會話的數(shù)據(jù)路徑中插入或者刪除一個或多個UC。UC支持基于SMF提供的流量轉(zhuǎn)發(fā)規(guī)則向不同的UPF轉(zhuǎn)發(fā)上行業(yè)務(wù)流，分流至MEC平臺或校園內(nèi)網(wǎng)；同時將來自鏈路上的不同會話錨點UPF的下行業(yè)務(wù)流合并到5G終端。UC采用流過濾規(guī)則，例如檢查上行IP數(shù)據(jù)包的目的IP地址或前綴，來決定數(shù)據(jù)包如何路由。UC的好處在于用戶無感知，不需要更改終端DNN設(shè)置，極大簡化了設(shè)備入網(wǎng)的流程，利于非智能終端入網(wǎng)訪問。

DNN方案中，需要為各定制網(wǎng)用戶建立專用DNN，由簽約用戶的終端設(shè)備主動發(fā)起請求并選擇需要連入的DNN名稱。SMF僅僅根據(jù)終端請求向UPF下發(fā)分流策略。該方案的好處是對網(wǎng)絡(luò)控制面而言實現(xiàn)起來更加簡單，缺點是靈活性差，難以大規(guī)模部署[5]。

業(yè)務(wù)流程

5G網(wǎng)絡(luò)與校園網(wǎng)絡(luò)融合部署后，當(dāng)校園5G基站范圍內(nèi)既有簽約用戶又有普通用戶時，訪問學(xué)校服務(wù)器的流程如圖2所示。

圖2 融合組網(wǎng)后訪問校園服務(wù)的業(yè)務(wù)流程

1.普通用戶訪問校園網(wǎng)服務(wù)器時，由于邊緣UC沒有該用戶的分流策略，用戶域名解析服務(wù)(DNS)請求將正常轉(zhuǎn)發(fā)給5G核心網(wǎng)，路由到互聯(lián)網(wǎng)后到達(dá)校園網(wǎng)防火墻公網(wǎng)接口。服務(wù)器的回應(yīng)報文沿原路徑返回。

2.簽約用戶訪問校園網(wǎng)域名時(例如http://iptv.nchu.edu.cn)，邊緣UPF直接將DNS請求通過邊緣UPF的N6接口發(fā)送給校園網(wǎng)防火墻。防火墻進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，將源地址轉(zhuǎn)換為私有地址(例如10.xx.xx.xx)后轉(zhuǎn)發(fā)給DNS服務(wù)器，解析出該域名的私有地址(例如10.1.89.131)?；貞?yīng)報文沿原路徑返回，經(jīng)對稱的NAT后到達(dá)終端。

3.簽約用戶訪問服務(wù)器地址10.1.89.131，邊緣UPF匹配到SMF提供的基于該IP地址段(例如10.1.89.0/24)的分流策略后，直接通過N6接口訪問服務(wù)器。經(jīng)過上一步的NAT后，完成內(nèi)網(wǎng)訪問。

業(yè)務(wù)連續(xù)性問題及解決辦法

以上分流過程有可能存在業(yè)務(wù)不連續(xù)的情況。例如：當(dāng)終端設(shè)備觸發(fā)UC分流后，后續(xù)報文的目的地址無論是否屬于校園網(wǎng)，流量都會從邊緣UPF的N6接口進(jìn)入校園網(wǎng)，從而造成非校園網(wǎng)流量的業(yè)務(wù)中斷。

要解決這個問題，需要根據(jù)業(yè)務(wù)需求動態(tài)地觸發(fā)UC策略。邊緣UPF首先匹配SMF提供的基于域名的分流策略，并在應(yīng)用發(fā)起DNS請求時觸發(fā)分流，這樣就可以避免因TCP斷流而造成的業(yè)務(wù)中斷。這是一種與應(yīng)用緊耦合的方案，需要應(yīng)用程序提供用戶標(biāo)識及用戶位置信息，有一定開發(fā)難度。

5G網(wǎng)絡(luò)的虛擬化切片技術(shù)和邊緣計算技術(shù)，符合校園網(wǎng)泛在接入的發(fā)展需求，使得定制化融合組網(wǎng)成為可能。這樣不僅可以豐富校園網(wǎng)的接入手段、減小接入時延、增加接入帶寬，還能充分發(fā)揮5G網(wǎng)絡(luò)的優(yōu)勢，為5G建立新的商業(yè)模式。