5G专网在校园2C业务中的应用部署研究

冯忠义 杨福理 苗玉斌

中国联合网络通信集团有限公司江苏省分公司

随着移动互联网深入发展，移动无线终端接入成为校园网建设关注的重点，目前WLAN无线网络覆盖是校园网络的重要组成部分，但随着校园网环境下智能终端的增多，以及高带宽应用的广泛使用，无线校园网建设关注的首要问题是无线网络的带宽问题，解决多终端、高并发、大流量的接入；
其次是无线网络需要做到全校覆盖，使用户真正能无缝漫游。由于WLAN无线网络方案在技术上的先天性限制，无法达到高质量要求。随着5G网络全面铺开建设，5G网络拥有大带宽速率，且资费大幅下降，已逐步被大众接受。对于封闭的园区来说，分流解决方案能将园区内部的网络流量进行本地分流，实现园区网络的本地管理和本地运营，满足园区内部的移动办公、视频监控、现场数据采集等业务的实时性、高带宽和高安全诉求。从这些应用场景分析来看，校园网络是典型封闭的专网场景，重点是满足内部的网络访问。近年来，不少高校在建设校园无线网络覆盖时，提出5G专网方案为主的可选解决方案。本研究根据5GC体系架构，结合实际现网情况，分析讨论针对校园2C业务的5G校园专网建设方案。

1.1 5G SA网络架构和分流技术方案

在标准的5G SA系统架构中，5G核心网控制面功能进行了融合和统一，并分解为多个独立的网络服务，可以根据业务需求进行灵活组合，每个网络服务和其他服务在业务功能上解耦，统一服务调用方式，提升网络的灵活性。基于C/U分离式的架构，UPF作为用户数据面可以根据业务需要部署在不同网络位置，实现客户业务灵活本地分流。

分流技术主要有三种方式：（1）基于ULCL（Uplink Classifier，上行分类器）核心网方案，ULCL分流方案通过动态分流策略实现，以URLUE位置目的IP端口为分流维度实现业务分流。（2）DNN分流方案，通过设置不同的DNN，以位置信息、网络切片标识为分流维度实现业务分流。（3）基于IPv6 Multi-homing（BP）分流，以源IPv6地址前缀为分流维度实现业务分流。

当前比较多的场景是基于DNN的无线上行N3接口分流和基于ULCL的核心网分流。当然还可以基于PCF叠加各种策略的分流方式，以满足不同业务场景需求。

基于DNN分流，终端用户根据从核心网获得的DNN信息、网络切片标识以及用户自身位置信息等，请求并建立本地会话接入，当终端用户不在位置区域时，则无法本地接入，从而实现用户只能在企业园区使用企业应用，且基于DNN实现和Internet业务的隔离，保障业务安全。

基于ULCL分流方案下，客户可以不用提前做特殊签约策略，可以根据业务需求灵活进行分流策略配置，适用性和灵活性更好（上行和下行数据流如图1所示），因此是边缘节点UPF下沉部署主要推荐的分流方式。

图1 ULCL数据分流工作方式

1.2 联通5G专网架构

5G专网利用运营商网络频谱资源及移动网络运营优势，针对不同行业场景，为客户打造专有网络，提供以5G为核心技术的综合型专网，融合切片、MEC等技术，为客户提供具有定制化QoS保障、业务隔离的安全独立网络，实现大带宽、低时延、安全可靠的数据传输，满足客户生产、办公、管理等应用的通信服务需求。根据网络定制化程度，联通5G专网分为5G独立专网、5G混合专网、5G虚拟专网三种模式。

在完成校园5G网络覆盖后，运营商一般不会再拿出频段单独建设独立5G校园专网。因此，校园5G专网建设一般采用混合专网或虚拟专网模式。对于混合专网模式，一般也仅是单独建设下沉专用的UPF。当前阶段，主推5G共享型虚拟专网模式，配置多个校园客户或其他行业类客户专用的共享UPF，共享专用UPF至校园开通专线，该方案投入小，专网品质效果明显。5G校园专网架构如图2所示。

图2 5G校园专网基本架构示意图

在5G虚拟专网模式下，专网用户终端开机搜索到5G无线信号，通过认证后，用户可正常使用数据业务。访问内网时，数据流如下：校园专网用户—＞联通公网基站—＞联通共享专用UPF—＞校园内部应用。

目前，校园客户对5G校园专网的业务诉求主要是相对现有WLAN无线网络使用习惯和问题来说，关键包含如下几点：（1）5G校园专网可替代校园WLAN；
（2）校园用户手机不换卡不换号；
（3）既能访问校园内网，也可以访问公网；
（4）校园内或外部特定区域内可访问校园内网。讨论确定5G共享专网架构，考虑不同网络（4G/5G）用户差异，提出以下几种实施方案来解决校园客户需求，

2.1 方案一 部署校园客户共享式专网UPF，基于位置+PCF签约插入ULCL分流

按照5G共享虚拟专网架构，部署校园客户共享式专网UPF，基于位置+PCF签约插入ULCL分流来满足专网需求，如图3所示。校园用户配置公共DNN，并签约分流业务策略；
PCF都会基于签约+位置触发下发分流策略，通过ULCL UPF将内网流量分流到校园内网。签约校园分流业务的用户可以同时访问校园内网和Internet，未签约的用户只能访问Internet，不能访问校园内网。以校园在江苏南京为例，范围可以是南京或江苏省内或者校园区域。

图3 基于位置+PCF签约插入ULCL分流技术方案（以南京为例）

方案优点：签约5G用户访问的区域可调整；
用户漫游不受影响；
网络配置简单。

方案缺点：仅支持5G网络接入，回落4G网络后无法访问校园内网，可访问公网；
可能存在私网地址冲突，需要提前规划好方案；
SMF新增资源消耗，每个用户会多一个N9会话，建议单独新建专用SMF。

对于IP地址冲突，可以通过防火墙对源和目的IP地址均进行双向NAT从而解决问题。校园的DNS服务器可以通过重定向方式解决地址冲突。

2.2 方案二 部署校园客户共享式专网UPF，配置ULCL专网DDN方案

如同方案一方式，部署校园客户共享式专网ULCL UPF，但为避免终端地址与企业侧地址冲突，校园用户采用专有DDN，规划专有IP地址，地址由AAA进行分配；
进入规定范围内接入的5G手机用户可以同时访问校园内网和Internet，离开范围之后，只能访问公网。该共享式专网ULCL UPF需要开通至互联网通道和校园客户的专线。该专用的ULCL UPF与主辅锚点UPF合设如图4所示，可以主、辅锚点UPF分设，辅锚点UPF可部署到园区或校园。

图4 ULCL专网DDN方案分流技术方案

方案优点：解决地址冲突问题，方案配置简单。

方案缺点：用户漫游必须回归属地接入，时延较大；
ULCL UPF增加互联网出口，网络复杂度增加；
另外，如果主、辅锚点UPF分设，等于再增加一个专用UPF，投资建设成本加大。

2.3 方案三 部署共享式专网UPF，通过防火墙分流

部署共享式专网UPF，通过防火墙分流。该方案为校园2C客户规划一个5G专用的DNN，签约校园用户4/5G网络接入时，根据DNN选择到共享式专网UPF，UPF通过不同的VPN区分不同的客户，所有业务流量通过UPF，经防火墙分流至互联网和校园内网，大客户交换机通过专线与校园内网互通，采用三层VPN（如图5所示）。该方案要求4G用户需要迁转UDM转成5G用户，才能实现用户的业务分流。

图5 通过防火墙分流技术方案

方案效果：终端发起访问时，公网、专网访问流量均由核心网UPF统一汇聚到防火墙，公网访问由China169网承载，专网流量通过专线引流至学校机房内，最终实现终端的公网、专网自切换无感访问。

方案优点：签约5G用户在4/5G接入均能访问公网和校园内网。访问的区域在省内。

方案缺点：不能限定具体范围，默认就是全省；
而且由于所有业务回归属地接入，存在用户漫游外省，访问互联网时延感知可能下降；
需要新增接入CE路由器、大客户接入交换机，投资成本增加；
公网和内网业务分流需要手工配置，操作复杂，不便于运营维护。

前述三种方案都有各自的优缺点。方案一，完全使用5G SA标准分流特性，可以实现灵活的分流策略，网络管理配置标准，维护管理方便，但由于5G网络目前正在大规模建设推广中，特别是室内覆盖部分很多地方还没有建设到位，存在网络覆盖不全、没有信号的问题，影响客户使用。方案二，实际上是方案一的延伸，方案一的优缺点均存在，虽可以解决地址冲突问题，但又会产生漫游外地感知下降和增加成本等问题。方案三，4G/5G网络用户均可以实现分流，但是需要人工在防火墙配置分流策略，网络维护不方便，当校园用户较多时，很难及时响应，业务调整不灵活。

综合分析比较来说，在5G网络完全到位的情况下，建议选择方案一。在5G网络覆盖不全，或者覆盖投资巨大的情况下，由于4G网络建设早，覆盖已比较全面，可使用方案三。两种方案均要求用户签约5G套餐，才能进行分流。

根据南京浦口某高校客户测试要求，采用5G ULCL技术方案来搭建5G校园专网。本次采用共享专用分流UPF搭建5G校园专网，使用ULCL和辅锚点合设场景分流UPF部署模式，主锚点使用2C大网UPF。策略采用基于PCF签约+位置的ULCL分流方式。如图6所示。

图6 校园专网测试方案

测试业务流程：

（1）5G用户终端开机，主锚点UPF分配IP地址给终端，用户完成激活，建立会话，可以上互联网。

（2）用户在特定位置，终端上报位置信息给PCF，PCF下发分流策略给SMF，SMF基于分流策略选择ULCL UPF和辅锚点UPF插入到会话中。

（3）ULCL基于目的IP或者DNS将访问本地内网的流量分流到辅锚点，访问企业内网，将访问公网的流量通过N9分流到主锚点，访问互联网。

对该方案中存在的手机终端和企业内网地址冲突问题，采用防火墙方案解决。即防火墙实现IP包源地址和目的地址双向NAT，如图7所示；
对DNS应答的域名解析地址，防火墙通过DNS ALG功能将DNS应答报文中携带的私网业务地址进行转换。

图7 防火墙实现双向NAT示意图

测试网络架构如图8所示，圈出的部分为本次测试涉及到的部署网元。

图8 测试网络架构拓扑图

测试网络设备和准备工作：（1）SMF共用大网，主锚点共用大网2C UPF；
（2）ULCL/辅锚点UPF新建，本次试点可以用VPDN UPF；
（3）防火墙共用2C人网防火墙；
（4）新增一台客户接入汇聚交换机，对接客户网络；
（5）开通至校园内网一条万兆专线；
（6）开通覆盖校园的公网5G基站。

测试结果：实现了方案预期目标。用户可使用原号卡，无需换卡；
终端接入点DNN只需完成首次设置，公网/内网的访问无需切换DNN。

利用5G网络满足校园专网2C业务需求，是一种比较节省成本的方案，发挥5G网络特性，逐步替代WLAN无线网络，实现校园信息化网络建设升级。该方案的最大特点是实现校园客户不换卡不换号，在校园区域内无感知差异访问校园内网和外网。但是由于5G行业应用终端产品产业链还不成熟，笔记本电脑、平板电脑等2C终端大多没有5G模组配置，导致必须外接5G CPE或者5G手机作为AP来使用5G网络。另外，5G网络覆盖投资巨大，存在投入和收益问题，运营商会慎重决策。因此，利用5G网络完全替代WLAN无线网络还需要一定时间。

从业务发展角度来讲，可以结合智慧校园建设，2C业务网络建设可同时兼顾2B业务需求。未来UPF既可挂接人网又可挂接物网，可支持智慧园区，扩展应用空间，利用UPF的虚拟化和切片技术来实现校园不同业务。利用5G校园专网优势，后期可开展用户的精细化管理、无线定位、无线大数据等增值应用，助力智慧校园建设。