基于5G+MEC的電站行業(yè)專網(wǎng)部署方案研究

張 強(qiáng)，梁職業(yè)，劉建華（.中訊郵電咨詢設(shè)計院有限公司成都分公司，四川成都 60000；.湖北華網(wǎng)通信集團(tuán)有限公司，四川成都 60000）

0 引言

隨著“云、大、物、移、智”等先進(jìn)技術(shù)迅猛發(fā)展，電站運行、維護(hù)、檢修、安防、監(jiān)測等工作均向著智能化發(fā)展，電站各業(yè)務(wù)場景對無線網(wǎng)絡(luò)覆蓋需求迫切，對無線網(wǎng)絡(luò)質(zhì)量、時延、帶寬、數(shù)據(jù)保密性、網(wǎng)絡(luò)控制權(quán)等提出了更高要求。5G技術(shù)作為新一代通信技術(shù)，其大帶寬、低時延、大連接特征契合了電站的通信需求。運營商可根據(jù)行業(yè)用戶的特定需求提供定制化的5G專網(wǎng)服務(wù)，在業(yè)務(wù)安全、數(shù)據(jù)隔離、網(wǎng)絡(luò)覆蓋、傳輸帶寬與時延等方面為行業(yè)用戶提供網(wǎng)絡(luò)保障。當(dāng)前5G專網(wǎng)已成為行業(yè)數(shù)字化轉(zhuǎn)型新引擎，部署5G專網(wǎng)成為企業(yè)拓展生產(chǎn)效能、提速數(shù)字化轉(zhuǎn)型的必要手段。

1 需求分析

電站5G 專網(wǎng)建設(shè)應(yīng)滿足業(yè)務(wù)需求，在安全管理上，5G 專網(wǎng)應(yīng)滿足電站專屬專用，提供可靠的業(yè)務(wù)隔離和業(yè)務(wù)質(zhì)量保障，能在接入安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)防泄露安全、惡意攻擊抵御等方面提供全方位的防護(hù)能力；在網(wǎng)絡(luò)運營上，電站對5G 專網(wǎng)有一定的自配置、自管理能力；在網(wǎng)絡(luò)可靠性上，5G 專網(wǎng)應(yīng)具備容災(zāi)安全保障，具備硬件備份、鏈路容災(zāi)及網(wǎng)元級容災(zāi)等不同程度的網(wǎng)絡(luò)容災(zāi)保障，在網(wǎng)絡(luò)單點故障情況下保障業(yè)務(wù)連續(xù)性。針對水電站高濕環(huán)境，基站設(shè)備需采用防潮防水措施。

如圖1 所示，智慧電站+5G 典型應(yīng)用場景涉及生產(chǎn)控制、智能巡檢、智能運維和安全應(yīng)急4大類。針對不同的業(yè)務(wù)場景，5G 專網(wǎng)需提供差異化的網(wǎng)絡(luò)能力，例如在視頻監(jiān)控類場景下需要保障高帶寬、高吞吐量，智能移動巡檢場景下的網(wǎng)絡(luò)需要有較強(qiáng)的移動切換能力，數(shù)據(jù)采集類場景下需提供海量設(shè)備連接的能力，控制類場景要求的網(wǎng)絡(luò)時延可達(dá)到毫秒級別。

圖1 智慧電站基于5G典型應(yīng)用場景

2 電站5G專網(wǎng)建設(shè)方案

2.1 5G專網(wǎng)建設(shè)內(nèi)容

如圖2所示，5G專網(wǎng)建設(shè)涉及的網(wǎng)元主要包含5G基站、傳送網(wǎng)、核心網(wǎng)控制面轉(zhuǎn)發(fā)設(shè)備和核心網(wǎng)數(shù)據(jù)面轉(zhuǎn)發(fā)設(shè)備4個，信令的傳輸存在于各網(wǎng)元之間，確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運行；數(shù)據(jù)的傳輸存在于基站、傳送設(shè)備和核心網(wǎng)-數(shù)據(jù)面（UPF）之間，是傳送終端和園區(qū)內(nèi)網(wǎng)之間應(yīng)用數(shù)據(jù)傳輸?shù)母咚俟贰?/p>

圖2 5G專網(wǎng)建設(shè)內(nèi)容

在5G網(wǎng)絡(luò)中，各個網(wǎng)元的主要功能如下。

a）核心網(wǎng)-控制面。包括AMF、SMF 等網(wǎng)元，是5G 網(wǎng)絡(luò)的指揮樞紐，通過信令的交互，完成終端接入鑒權(quán)、安全管理、移動性管理、會話管理、用戶數(shù)據(jù)管理和策略管理等，確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運行。

b）核心網(wǎng)-數(shù)據(jù)面。主要是指UPF 網(wǎng)元，是5G 網(wǎng)絡(luò)對外的數(shù)據(jù)出口，所有基站上的5G 數(shù)據(jù)通過GTPU隧道送到UPF，在UPF 上進(jìn)行轉(zhuǎn)發(fā)。UPF 的部署位置決定了數(shù)據(jù)的出口位置，如部署在園區(qū)內(nèi)部，則可確保應(yīng)用數(shù)據(jù)不出園區(qū)，在園區(qū)內(nèi)部閉環(huán)。

c）傳送網(wǎng)。連接5G 基站和核心網(wǎng)的傳輸設(shè)備，內(nèi)部通過切片方式確保數(shù)據(jù)之間的隔離。

d）5G 基站。5G 無線信號收發(fā)設(shè)備，輻射5G 無線信號實現(xiàn)數(shù)據(jù)的無線傳輸，同時將空口接收的數(shù)據(jù)通過GTP 隧道發(fā)送到UPF，5G 基站與UPF 之間可采用IPSec進(jìn)行加密，5G基站不對數(shù)據(jù)進(jìn)行任何解析。

2.2 5G專網(wǎng)組網(wǎng)模式

根據(jù)國家政策，現(xiàn)階段企業(yè)不具備自建5G專網(wǎng)條件，5G 專網(wǎng)由運營商為企業(yè)提供。運營商推出的5G專網(wǎng)模式有公網(wǎng)公用模式、公網(wǎng)專用模式和專網(wǎng)專用模式3種，其在不同運營商的名稱雖然不同，但網(wǎng)絡(luò)技術(shù)實質(zhì)沒有差別。各通信運營商專網(wǎng)名稱見表1。

表1 通信運營商5G專網(wǎng)模式分析

a）公網(wǎng)公用模式?；谶\營商提供的面向公眾的無線資源，通過QoS、切片等手段實現(xiàn)業(yè)務(wù)隔離，為企業(yè)提供邏輯專用網(wǎng)絡(luò)?？蓾M足企業(yè)對特定網(wǎng)絡(luò)速率、時延及可靠性的優(yōu)先保障需求。此模式下企業(yè)只需提出高優(yōu)先級QoS或切片需求，無需進(jìn)行網(wǎng)絡(luò)建設(shè)。

b）公網(wǎng)專用模式。運營商提供專用無線網(wǎng)絡(luò)，通過邊緣計算技術(shù)實現(xiàn)本地業(yè)務(wù)處理，滿足業(yè)務(wù)數(shù)據(jù)本地卸載、超低時延、高可靠性等需求。該模式下核心網(wǎng)用戶面網(wǎng)元UPF 為企業(yè)專用部署，無線基站和傳輸網(wǎng)可采用企業(yè)專用部署或共享運營商公網(wǎng)資源2種方式，核心網(wǎng)控制面網(wǎng)元復(fù)用運營商2B核心網(wǎng)控制面。

c）專網(wǎng)專用模式。從無線基站、傳輸網(wǎng)到核心網(wǎng)用戶面與控制面均專用部署，與公網(wǎng)完全隔離，公網(wǎng)業(yè)務(wù)的變化不會影響專網(wǎng)數(shù)據(jù)傳輸質(zhì)量，形成物理上高度封閉的行業(yè)應(yīng)用專網(wǎng)。該模式下網(wǎng)絡(luò)建設(shè)成本最高。

2.3 電站5G專網(wǎng)方案

結(jié)合電站需求、網(wǎng)絡(luò)建設(shè)成本以及運營商提供的專網(wǎng)模式，電站5G專網(wǎng)優(yōu)先采用混合專網(wǎng)模式。如圖3 所示，在電站內(nèi)部署專用的核心網(wǎng)用戶面網(wǎng)元MEC（UPF+MEP）、無線基站及傳輸網(wǎng)，核心網(wǎng)控制面網(wǎng)元復(fù)用運營商核心網(wǎng)控制面。通過邊緣計算等技術(shù)進(jìn)行業(yè)務(wù)本地分流，實現(xiàn)業(yè)務(wù)數(shù)據(jù)不出企業(yè)內(nèi)網(wǎng)，滿足業(yè)務(wù)數(shù)據(jù)在本地卸載、超低時延、高可靠性等需求?；九cMEC 之間的數(shù)據(jù)通過新建的傳輸網(wǎng)連接，所有經(jīng)過MEC 的業(yè)務(wù)數(shù)據(jù)，經(jīng)防火墻后進(jìn)入電站內(nèi)的核心交換設(shè)備，進(jìn)而訪問企業(yè)內(nèi)網(wǎng)業(yè)務(wù)。

圖3 電站5G專網(wǎng)網(wǎng)絡(luò)架構(gòu)示意圖

a）核心網(wǎng)建設(shè)方案?；?G+MEC 的組網(wǎng)架構(gòu)，在電站內(nèi)部署1 套用戶數(shù)據(jù)網(wǎng)元MEC（UPF+MEP）。MEC 部署在電站核心機(jī)房內(nèi)，吞吐能力及會話處理能力根據(jù)實際需求配置，建設(shè)初期可按吞吐能力20 Gbit/s、會話處理能力5 萬PDU 進(jìn)行建設(shè)，后續(xù)隨著業(yè)務(wù)增長進(jìn)行擴(kuò)容。若有網(wǎng)元級容災(zāi)要求，可在電站內(nèi)異地部署2 套MEC 互為備份，正常情況下2 套MEC 雙活運行，基于負(fù)荷分擔(dān)的方式選擇本站點其中1 套MEC 訪問業(yè)務(wù)。如果其中1 套MEC 設(shè)備故障，選擇使用本站內(nèi)另外1套MEC訪問業(yè)務(wù)。

b）無線網(wǎng)建設(shè)方案。通過專用5G 基站建設(shè)，對電站各區(qū)域進(jìn)行5G 專用網(wǎng)絡(luò)信號覆蓋。5G 無線接入網(wǎng)采用運營商主流5G 頻段，針對不同的覆蓋場景，5G基站可采用5G 宏站、5G 數(shù)字化室分、小站等設(shè)備，5G宏站主要用于廣覆蓋場景，5G數(shù)字化室分主要用于室內(nèi)密集場景。

c）承載網(wǎng)建設(shè)方案。5G 專網(wǎng)數(shù)據(jù)承載網(wǎng)采用“核心+匯聚+接入”的簡化架構(gòu)實現(xiàn)業(yè)務(wù)綜合承載目標(biāo)，混合專網(wǎng)模式下，電站內(nèi)數(shù)據(jù)承載網(wǎng)建設(shè)只涉及匯聚和接入2 層。接入、匯聚上聯(lián)應(yīng)采用口字型組網(wǎng)成環(huán)，環(huán)網(wǎng)容量根據(jù)實際業(yè)務(wù)需求進(jìn)行規(guī)劃，建設(shè)初期接入環(huán)容量不低于20GE，接入設(shè)備具備平滑升級能力。

d）5G Wi-Fi 建設(shè)方案。考慮當(dāng)前終端產(chǎn)業(yè)鏈及5G 支持情況，為解決非5G 終端接入5G 專網(wǎng)通信需求，在5G 專網(wǎng)覆蓋區(qū)域按需部署CPE，將5G 專網(wǎng)信號轉(zhuǎn)換為Wi-Fi信號，非5G 終端通過Wi-Fi信號接入5G專網(wǎng)。

2.4 業(yè)務(wù)數(shù)據(jù)流

在混合專網(wǎng)模式下，電站內(nèi)終端劃分為專網(wǎng)終端和公網(wǎng)終端2 種，通過規(guī)劃配置終端專網(wǎng)標(biāo)識對專網(wǎng)終端進(jìn)行識別。專網(wǎng)終端在專網(wǎng)覆蓋范圍內(nèi)可正常搜索到專網(wǎng)信號，并發(fā)起接入注冊流程，基站根據(jù)終端上報的專網(wǎng)標(biāo)識選擇核心網(wǎng)AMF，AMF 負(fù)責(zé)對用戶進(jìn)行接入認(rèn)證和鑒權(quán)（UDM 配合），認(rèn)證成功后建立會話，用戶可正常進(jìn)行數(shù)據(jù)業(yè)務(wù)。專網(wǎng)基站專用模式下，公網(wǎng)終端在電站可正常搜索到專網(wǎng)無線信號，但在發(fā)起注冊過程中，核心網(wǎng)經(jīng)過判斷其未上報專網(wǎng)標(biāo)識，拒絕用戶接入，用戶接入失敗。專網(wǎng)終端只能在專網(wǎng)覆蓋范圍內(nèi)使用，不能接入公網(wǎng)，圖4給出了專網(wǎng)業(yè)務(wù)數(shù)據(jù)流示意。

圖4 專網(wǎng)業(yè)務(wù)數(shù)據(jù)流示意圖

a）專網(wǎng)終端業(yè)務(wù)數(shù)據(jù)流。專網(wǎng)終端→專網(wǎng)基站/5G CPE→專網(wǎng)UPF/MEC→企業(yè)內(nèi)部應(yīng)用。員工公網(wǎng)終端在電站內(nèi)不能通過專網(wǎng)基站訪問5G專網(wǎng)，若有訪問企業(yè)內(nèi)網(wǎng)的需求，可通過CPE 轉(zhuǎn)換的Wi-Fi 接入企業(yè)內(nèi)網(wǎng)。

b）公網(wǎng)終端訪問專網(wǎng)業(yè)務(wù)數(shù)據(jù)流。公網(wǎng)終端→5G CPE→專網(wǎng)基站→專網(wǎng)UPF/MEC→企業(yè)內(nèi)部應(yīng)用。

2.5 專網(wǎng)安全方案

5G 專網(wǎng)安全可分為5 個部分，包括終端接入安全、數(shù)據(jù)傳輸安全、MEC 邊緣安全、企業(yè)內(nèi)外網(wǎng)安全和安全管理。

2.5.1 終端接入安全

終端分為2 大類，分別是5G 終端（如5G CPE、5G Dongle 和5G 攝像頭）和其他非5G 終端。針對5G 終端的接入安全，主要采用身份合法認(rèn)證和訪問控制限制2 種方案；對于非5G 終端接入5G CPE，主要通過在5G CPE 上進(jìn)行相關(guān)配置，支持白名單認(rèn)證、啟用Wi-Fi 鑒權(quán)加密和啟用CPE防火墻3種安全防護(hù)方案。

2.5.2 數(shù)據(jù)傳輸安全

5G 終端通過空口傳輸業(yè)務(wù)和信令數(shù)據(jù)，通過3GPP空口信令面和用戶面加密完保實現(xiàn)安全；基站與MEC/UPF之間的業(yè)務(wù)數(shù)據(jù)通過GTP-U隧道傳輸，可采用BBU 到MEC 之間的IPSec 加密方案；MEC 與企業(yè)內(nèi)網(wǎng)之間的業(yè)務(wù)數(shù)據(jù)可以采用IPSec 加密保護(hù)，以MEC側(cè)的防火墻作為起點，終結(jié)在企業(yè)內(nèi)網(wǎng)網(wǎng)關(guān)，IPSec 密鑰由企業(yè)掌握。

2.5.3 數(shù)據(jù)不出園

實現(xiàn)業(yè)務(wù)數(shù)據(jù)不出電站可采用3 種方案，一是利用防火墻控制UPF 和大網(wǎng)5GC 之間僅有信令和網(wǎng)管流量通過，可通過配置基于N4 接口的策略控制實現(xiàn)；二是在MEC/UPF 不設(shè)置對Internet 的出口，N6 口的業(yè)務(wù)流量導(dǎo)入到防火墻，由電站進(jìn)行流向策略控制，確保數(shù)據(jù)不出園；三是在N4防火墻上啟用網(wǎng)絡(luò)流量分析（NTA）功能，監(jiān)控防火墻到5GC的通信，以周期報表的形式呈現(xiàn)給客戶進(jìn)行確認(rèn)和審計，確保沒有業(yè)務(wù)數(shù)據(jù)流出。

2.5.4 MEC安全

將邊緣MEC 內(nèi)部劃分為運營商安全域（含網(wǎng)元子域UPF、平臺子域MEP 及自有APP）和工廠應(yīng)用安全域（包括機(jī)器視覺、AI 檢測等VM 及應(yīng)用），如圖5 所示。安全域之間采用防火墻實現(xiàn)通信隔離，MEC 組網(wǎng)層面上管理平面、信令平面、業(yè)務(wù)平面和企業(yè)APP 運維平面4 個平面之間通過VLAN 邏輯平面隔離；MEC分區(qū)采用由外向內(nèi)的分層隔離與防護(hù)，F(xiàn)W1 實現(xiàn)外部攻擊防護(hù)，F(xiàn)W2實現(xiàn)內(nèi)部領(lǐng)域隔離。FW1和FW2可以通過MEC的DC-GW旁掛1對物理防火墻統(tǒng)一實現(xiàn)。

圖5 MEC安全域劃分示意圖

在MEC平臺的安全防護(hù)方面，MEC服務(wù)器基于硬件根安全啟動和安全運行，保證設(shè)備啟動鏈的完整性，防止被植入后門；MEC主機(jī)安全加固，啟用MEC平臺API 安全能力，包括API 認(rèn)證鑒權(quán)、API 流控、API 調(diào)用TLS 加密等，防止通過APP 攻擊MEC 平臺和5GC；MEP/UPF 與APP 之間啟用防火墻策略，防止APP 通過N6/Mp1接口發(fā)起對UPF/MEP的流量攻擊等。

2.5.5 邊界安全保護(hù)

5G 專網(wǎng)邊界包括MEC 與5GC 控制面邊界、UPF與APP邊界以及MEC與企業(yè)內(nèi)網(wǎng)邊界，MEC與5GC邊界采用防火墻進(jìn)行隔離，通過設(shè)置信令面僅N2、N4 接口允許PFCP UDP 信令流通過，業(yè)務(wù)面禁止流量通過，防止業(yè)務(wù)數(shù)據(jù)出園；UPF與企業(yè)APP間部署防火墻，隔離UPF 與園區(qū)網(wǎng)絡(luò)；MEC 與企業(yè)內(nèi)網(wǎng)邊界采用防火墻隔離，設(shè)置隔離區(qū)，隔離企業(yè)內(nèi)網(wǎng)和MEC。

3 基于5G的應(yīng)用賦能

隨著人工智能技術(shù)與5G技術(shù)的應(yīng)用發(fā)展，智慧電站的建設(shè)理念不斷成熟，電站建設(shè)向自動化、無人化、智能化方向發(fā)展。作為新一代移動通信技術(shù)，5G技術(shù)契合了電站智能化、數(shù)字化轉(zhuǎn)型對無線網(wǎng)絡(luò)的應(yīng)用需求，能夠滿足工業(yè)環(huán)境下設(shè)備互聯(lián)和遠(yuǎn)程交互。一方面利用高可靠性網(wǎng)絡(luò)連續(xù)覆蓋，滿足企業(yè)各種差異化業(yè)務(wù)需求，實現(xiàn)隨時隨地的信息共享，推動安全高質(zhì)量生產(chǎn)。另一方面5G技術(shù)可應(yīng)用在設(shè)備的遠(yuǎn)程監(jiān)測、識別、診斷、維護(hù)等方面，大大提高生產(chǎn)運行效率。企業(yè)可以通過“5G+應(yīng)用”建設(shè)，實現(xiàn)遠(yuǎn)程智能監(jiān)測、智能診斷和遠(yuǎn)程維護(hù)，助力生產(chǎn)、維護(hù)模式升級。當(dāng)前基于5G的高清遠(yuǎn)程監(jiān)視、無人機(jī)巡檢、遠(yuǎn)程管理控制、遠(yuǎn)程機(jī)器人排查、AR/VR 等應(yīng)用已廣泛應(yīng)用于多個行業(yè)，可優(yōu)先在電站應(yīng)用部署。

4 結(jié)束語

本文分析了智慧電站建設(shè)對無線網(wǎng)絡(luò)功能、業(yè)務(wù)場景等方面的需求，研究了三大運營商為行業(yè)用戶提供的5G 專網(wǎng)服務(wù)模式?；谛枨蠛?G 專網(wǎng)服務(wù)模式，提出了電站5G 專網(wǎng)建設(shè)方案。從目前5G 的發(fā)展情況來看，很多垂直行業(yè)應(yīng)用仍舊處于探索階段。想要真正成為賦能千行百業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵技術(shù)，還需各方深入合作，逐步探索具體應(yīng)用場景，結(jié)合人工智能、物聯(lián)網(wǎng)等技術(shù)，構(gòu)建一個智慧互聯(lián)的電站。