目录

参考文章

• 《面向 5G 行业应用的 OpenUPF 及关键技术》—— 中国移动通信有限公司研究院网络与IT技术研究所。

OpenUPF 提出的背景

UPF 是连接运营商和垂直行业的桥梁

UPF（User Plane Function）作为 5G 网络的用户面网元，是 5G 网络的基础能力，连接运营商和垂直行业的桥梁，也是 5G 拓展行业市场的钥匙。开放、轻量、灵活的 UPF 将为边缘侧行业网络部署带来全新的可能。

1. 运营商网络核心侧的 UPF 需要承载全量现网业务，用户数为百万级以上、业务功能要求全面、容量和性能要求高。这使得 UPF 部署和维护成本相对较高。UPF 与 SMF 同厂商绑定无法满足边缘 UPF 轻量化、低成本和灵活的部署需求，制约了运营商在垂直行业对 5G 的拓展。

2. 当前运营商部署的 UPF 一般都是面向全网用户，因此功能要求多且需支持较多定制的企标功能，对用户体量大、业务类型复杂的运营商来说，UPF 的设备容量和性能指标要求也非常高，这些因素直接导致了单台 UPF 的部署价格（包括硬件和软件价格）居高不下，间接推高了单用户成本，已成为运营商发展行业用户的瓶颈。

3. 很多行业用户对于流量本地处理、低时延、数据隔离等都存在不同程度的需求。从 UPF 的业务能力要求角度分析主要是本地分流、策略管控等，功能要求相对单一。从网络部署的角度则是要求 UPF 进一步下沉至用户侧，相应的，UPF 的服务范围和服务的用户数量也会同步减少。

典型应用场景

智能制造

5G 在工业制造场景下将发挥出越来越重要的作用，以满足实时业务、应用智能、安全与隐私保护等，主要的应用场景包括：数据采集分析、室外设备控制，产品质量智能检测等。

• 在数据采集分析场景中，物联网各种传感器所采集的数据必须实时、准确、完整地传输到边缘计算平台，以支撑各种智能分析需求，因此边缘 UPF 的安全性、隔离性是基本要求。

• 生产设备（如机械臂，智能小车）的自动控制可以把劳动力从恶劣、危险的工作环境中解放出来，同时提高劳动生产率。因此对于此类生产设备的控制要求边缘 UPF 提供较低的时延与较高的可靠性，以提升控制的精确度与灵敏度。

• 在产品质量智能检测方面，通过部署工业相机，捕捉流水线产品图像或视频并传送至边缘计算平台，结合平台 AI 视频识别能力，实现图像快速识别、资料分析，检测产品质量，需要UPF具备低时延、高带宽的特性。

智慧园区

行业专网可以为园区提供更精细化的管理手段，为信息技术与园区业务需求融合提供可能。5G 网络通过 UPF 在网络边缘的灵活部署，实现了数据流量本地卸载。

企业自营业务的流量直接分流至企业本地的数据中心进行相应的业务处理，比如：在校园实现内网本地通信和课件共享，在企业园区分流至私有云实现本地 ERP 业务，在公共服务/政务园区提供医疗、图书馆等数据业务，以及办公园区、工业生产等环境中的视频监控、直播、回传、人脸识别等业务。

此外还存在大量定制化需求，如：园区内人员车辆的实时定位、二次鉴权，企业用户 IP 地址自主分配，问题会话识别定位并及时切断连接等。

可以看到，大部分行业客户都需要基本的接入、业务路由、本地分流能力。同时因为不同行业的差异性以及部署位置的特殊性，出现了对 UPF 的与行业强相关的定制化需求，为行业客户提供专用化、功能定制化、设备轻量化、部署灵活化的边缘解决方案有着强烈的需求。

OpenUPF 定义及关键技术

OpenUPF 的核心需求

核心诉求是聚焦场景、简化 UPF 功能，使得 N4 接口的解耦成为可能。

从开放接口、开放设备、开放服务和开放智能四个方面定义可靠、可管、灵活、开放的 UPF。

1. 统一架构、开放接口：传统核心网的控制面（C Plane）和用户面（U Plane）未分离。C/U 之间的接口为设备内部接口，4G 网关实现了 C/U 分离（CPUS）后，仍然沿袭同厂家部署的模式。5G 的 UPF 和 SMF 之间的 N4 接口亦如此。运营商在发展行业客户时，其对 UPF 的选择受制于部署位置的控制面功能（SMF）。即使同一个行业用户，当其不同地域的工厂/园区选择部署UPF时，也需要根据所属地域的控制面选择相应厂家（可能是不同厂家）的 UPF。这降低了网络部署的灵活性，增加了网络管理的复杂度，限制了 5G 网络服务行业客户的生态发展。

2. 规范平台、开放设备：行业客户往往存在定制需求，功能迭代频繁，针对突发需求要求网络能随业务快速生成、扩容、迭代、更新。部分场景还有边缘计算的需求，要求 UPF 支持面向第三方业务的能力开放，对外提供 IaaS 与 PaaS 能力。因此，边缘 UPF 建议按照虚拟化（包括容器化）形态部署。在硬件形态选择上，可根据不同的业务场景选择服务器与交换机两种硬件方案。

3. 面向行业、开放服务：从不同场景的差异化需求可以看出，仅仅满足基础功能的行业 UPF 是不够的。UPF 还需进一步增强定制化能力，因此我们提出通过开放服务来满足行业用户多样化的需求，为行业用户提供基础以及增值服务。

4. 面向演进、开放智能：5G 网路中多中接入方式并存协同、云化分层解耦故障定位、业务服务化后状态的全息感知、承载网的按需适配调度等，使得网络管理和优化的复杂度、难度都将大大增加，需要引入AI提升管理的自动化和智能化水平，降低人工干扰因素，提升网络的服务质量和业务体验。UPF 作为衔接接入侧和数据网络侧的枢纽，更是成为网络智能调控的关键节点，将智能开放融合到 UPF 的设计中，可利用网络的智能化助力行业的发展。如UPF需要能够提供多功能、细小粒度的接口，配合智能网络模型完成数据的监控采集和优化策略下发，同时需要提供智能运维手段，包括智能故障定位、智能性能异常检测、智能网络巡检。为了支持丰富的业务场景，满足不同场景迥异的业务需求，需研究面向更加灵活和智能化的 UPF 架构，实现接口、功能、网络可编程，实现在降低成本的同时还兼顾数据面的高性能和控制面的高度灵活性。通过开放转发面网元硬件加速接口，UPF 实现将稳定和逻辑简单的功能卸载到智能网卡，将计算资源预留给逻辑复杂的场景适配。同时，可进一步开放 UPF 控制面和数据面之间的南向接口，促进数据面模块化、白盒化，从而减低研发难度，减少研发周期，降低研发成本，进而调动新业务新场景的研发积极性。

OpenUPF 的架构

OpenUPF 旨在从 “基础” UPF 出发，定义简单高效的行业 UPF，同时聚焦特定行业用户，探索灵活易扩展的 “定制化” UPF，其架构如下图所示。OpenUPF 具备用户业务数据流的路由转发、N4 偶联管理、PFCP 会话管理、QoS 控制、隧道封装解封装、流量计费、访问控制、数据缓存等核心功能。SBA 架构采用了控制面（CP，Control Plane）和用户面（UP，User Plane）分离的方式，让用户面功能摆脱 “中心化” 的约束，使其既可灵活部署于核心侧，也可部署于接入侧。

下沉到接入侧的 UPF 通过 ULCL（Uplink Classifier）功能来完成本地分流。如下图所示，会话管理功能（SMF，Session Management Function）通过 N4 接口下发流量过滤器给 UPF，控制 ULCL 的插入、移除。ULCL 对比业务流量与过滤器，按需将流量转发到本地。

OpenUPF 的关键技术

接口开放

5G 网络架构中控制面（Control plane）与用户面（User plane）分离，然而 C、U 之间的 N4 接口存在定义有多种可选实现，定义粒度不够细致，导致不同产品实现差异，异厂家 N4 对接困难。当前运营商现网部署的通用 UPF 功能要求多，很多是行业 UPF 非必须功能，也增加了 C、U 对接难度。因此，OpenUPF 从功能简化与 N4 接口定义细化两方面同时推进工作。统一 UPF 架构设计，打造开放、标准的 5G 控制面和用户面之间的 N4 接口，构建统一的测试认证体系。

2020 年 3 月 11 日，中国移动发布了《面向垂直行业的 N4 解耦UPF设备规范》《面向垂直行业的 N4 接口规范》《5G OpenUPF 白皮书》。2020 年 3 月初 ITU 立项《IMT-2020 网络用户面功能管理协议》，6 月初 3GPP CT4 成立 5G UPF N4 接口开放和增强标准项目。

设备开放

在硬件形态选择上，可根据不同的业务场景选择服务器与交换机两种硬件方案，兼顾系统的灵活度和可扩展性，对特定行业的 UPF 建议按照虚拟化（包括容器化）形态部署。在硬件形态选择上，可根据不同的业务场景选择服务器与交换机两种硬件方案。

• 服务器形态 UPF 以通用 CPU + 专用加速芯片（ASIC、SOC、FPGA、NP 等）为核心处理单元。这既适用于功能复杂、性能要求较高的场景，又可用于功能较简单、性能要求一般的场景，当前业界主流核心网厂商产品均以此形态呈现。

• 交换机形态 UPF 主要用于中低端通用 CPU 加交换芯片的交换机硬件架构中。通过通用 CPU 实现虚拟化，利用交换芯片卸载 UPF 部分转发功能，适合在多端口、低成本、低功耗的场景中应用。

服务器形态

IaaS：

• VIM 版本建议基于开源社区 OpenStack Train 版本，或北向接口匹配 OpenStack Train 版本的商业虚拟化管理器。

• Hypervisor 建议采用 RT Kernel，支持实时性 GuestOS、CPU 模式设定、CPU 核绑定、NUMA/PCI NUMA 亲和性、虚拟机亲和性/反亲和性组、虚拟网卡多队列、VLAN 透传、加速器（SR-IOV，GPU，FPGA）等功能，按需满足行业 UPF 的功能和性能要求。

PaaS：

• 议采用基于开源 Kubernetes 并增强。
• 建议运行容器的操作系统基于开源标准 Linux 进行增强，支持满足标准 OCI 和 CRI 标准的容器运行。
• UPF 的容器平台应具备数据库、消息队列，中间件、微服务间通信及治理等服务能力，构建可对外提供平台通用服务能力的开放的 PaaS 平台。

硬件加速：

• 在对 UPF 吞吐与时延要求不高的场景，可考虑使用软硬件结合的加速方案。建议采用标准网卡的自动散列等功能与 CPU 具备的频率负载调配功能提升 UPF 性价比。
• 在对 UPF 各项指标要求严格的场景，可考虑使用硬件加速技术，加速硬件的选型需考虑该款硬件的高并发、低时延处理的能力，支持加速功能的灵活调整，因此推荐使用 FPGA 智能网卡作为标准加速硬件。

交换机形态

考虑到边缘机房在物理空间有限、电源供给不足、通风状况不佳等现实问题，尤其是对于下沉到工厂矿区的边缘设备，采购成本和运维成本将直接影响业务方案是否能够落地。基于白盒交换机的 UPF 方案可以提升部署效率。

• 合理利用交换机内部的 CPU 和交换芯片可实现高效的面向垂直行业的行业 UPF。
• 基于交换机实现的 UPF 方案在分组路由和转发、GTP 隧道处理以及根据用户面策略进行分流等方面都具有优势。
• 综合功耗、散热以及空间等因素，交换机方案有助于降低整体成本和功耗，同时提升系统的处理能力。

注：现代交换机设计包含 CPU 和交换芯片两大组件。利用交换芯片来卸载 CPU 的部分数据处理任务则可以在提升系统的处理能力的同时释放 CPU 资源用于核心任务处理。

服务开放

从不同场景的差异化需求可以看出，仅仅满足基础功能的行业 UPF 是不够的。UPF 还需进一步增强定制化能力，因此我们提出通过开放服务来满足行业用户多样化的需求，为行业用户提供基础以及增值服务。通过 UPF 开放更多网络基础能力，如位置、认证、业务流量统计等为行业提供增值服务，如下图所示：

UPF 的服务能力分为两部分，基础功能与定制功能。

• 基础服务：是基于 3GPP 标准提供的 5G UPF 基础能力。包括 GTP 隧道封装及解封装，PFCP 偶联建立、更新、释放、心跳检测等 N4 节点管理功能，N4 会话建立、更新、释放等管理功能，本地分流（ULCL 方式），转发策略、QoS 策略等策略控制，数据包缓存及转发等功能。

• 增值服务：是根据行业用户的需求叠加定制的特色能力，是网络信息以及网络配置能力的开放。通过动态及预配置策略确认可开放的网络配置能力开放给企业用户，给予企业更丰富的能力，更大的自主控制权。OpenUPF 建议网络在演进和迭代中除了不断能丰富这些定制功能外，能将功能调用的 API 提供给运营商，并在业务合约的情况下按需提供和企业合作方。这些功能可以是开放信息的订阅、网络连接的管理（如：二次认证）、IP 地址的自主分配等能力。

  • UPF 获取的信息如定位信息，通过网络能力开放功能 NEF 开放给第三方。
  • 当园区网 AAA 服务器需要对用户进行二次鉴权，则在会话建立过程中 UPF 从 SMF 处获取用户的二次鉴权信息并转发给企业服务器。
  • 配置支持企业用户自主分配 IP 地址的策略，即 UPF 开放地址分配的服务。
  • 对于需要网络高可靠保障的工厂场景，UPF 可以扩展支持 TSN 来保障生产需要。
  • UPF 将通过 Mp2 统一接口的方式来完成企业用户对开放服务的订阅与调用。同时，UPF 的开放服务还可以提供给边缘计算平台 MEP、能力开放平台，支持边缘计算平台将开放服务直接提供给边缘应用或者对服务数据进行加工后提供给边缘应用。
  • UPF 获取的数据在获得授权后，也可以反馈给 NEF、NWDAF、网管平台，作为基础数据助力核心网智能信息分析及处理，灵活调整网络开放能力，加强大数据平台分析结果的准确性，更好的优化网络配置策略。

智能开放

更加灵活和智能化的 UPF 架构，需实现接口、功能、网络可编程，将智能融合到 UPF 的设计中，用网络的智能化为产业界的发展打开想象的空间。

1. 连接智能：UPF 是网络智能调控的关键节点。考虑到接入环境中多种接入方式，对连接质量的不同要求，需要 UPF 具备智能的连接的管理、流量的识别、质量的感知等能力。
2. 管理智能：UPF 数量多、类型多、功能有差异，这就需要其运营和管理更加的简单、智能，在组网上尽可能即插即用、运行中自动排障，降低人为现场维护和管理的难度。
3. 业务智能：以 UPF 为窗口，将运营商的智能化能力提供给行业伙伴，帮助其在诸如视频处理、图像识别、语音识别等方面提供基础能力。
4. 可编程：5G 网络承载越来越丰富的业务，数据业务类型呈现出多样化、个性化态势。UPF 智能化架构使得其能够快速适应多样化的数据格式、协议类型和处理要求，加快新业务上线速度。

安全要求

部署在用户侧的 UPF 相比在核心机房的 UPF 具有更多的暴露面，更易被攻击。通用硬件、操作系统、中间件的漏洞更易被攻击者发现。另外，以虚拟机或容器部署时，还会受到虚拟化软件漏洞被利用，虚拟机逃逸、容器镜像被篡改等相关安全风险。

为了能够安全的为垂直行业和 5G 网络提供服务，OpenUPF 首先需满足电信设备通用安全要求，确保软硬件安全。其次，应支持 5G 标准 UPF 的安全机制。此外，还应支持如下安全要求：

• 组网安全：支持管理、业务和存储三平面隔离，可与垂直行业应用/服务器进行安全隔离。当部署在客户现场时，应支持内置安全功能（如 IPSec，虚拟防火墙功能）。
• 物理安全：具备物理安全保护机制。当部署在客户现场时，所在的物理服务器应具备可信启动和远程度量功能，保证 OpenUPF 处于可信状态。
• 基础设施安全：支持对其使用的操作系统、中间件、数据库以及 Web 管理接口进行安全加固；当部署在虚拟机或容器上时，应保证 OpenUPF 功能所在的虚拟机或容器与其它虚拟机或容器安全隔离，镜像有防篡改保护等。
• 接口安全：支持对 SMF 等通信对端进行认证，并对 API 的调用进行认证和授权。
• 数据安全：支持对传输的数据进行机密性和完整性保护；对存储的敏感数据进行加密存储，并对访问进行控制。
• 策略冲突检查：支持对 SMF 通过可编程接口下发的策略进行冲突检查。
• 信令过载限制：支持限制发送给 SMF 的信令流以及从 SMF 接收的信令流，防止信令过载。

OpenUPF 一体机设计

架构设计

如下图所示，通用服务器作为基础设施，为一体化方案内的基础网元提供虚拟化环境，RAN、轻量化的 5GC 和 UPF 及 SPN 切片为用户提供可动态裁减的 5G 移动基础网络，边缘算力管理平台为用户提供 PaaS 服务。

“六合一” 的功能组成

本设计围绕核心网用户面网元 UPF，针对最常用的几个业务场景，为垂直行业用户提供一站式解决方案。对现场的不同环境方案在外机柜、网元互连以及网元组合及接口开放上有不同的要求。

为实现端到端的网络部署，除了解决能源、散热、监控的外层机柜，方案内部可集成的网元包含：

• 无线接入基站 BBU（Base Band Unit，室内基带处理单元）：是移动网络大量使用的分布式基站架构。RRU 作为外设，可支持不同的信源：宏基站、微基站、拉远型基站和直放站。RRU+BBU 的分布式基站架构，为用户提供无线接入点。

• 模块化交换机：通过管理面、存储面、信令面、业务面的物理隔离设计，在有限的一体机内部空间实现所有基础设施暨虚拟网元的网络连接。

• 边缘算力单元：边缘一体机硬件中运行的管理平台，可离线管理边缘一体机的网络配置、算法任务、终端设备。行业客户基于这个平台直接上线业务运营，开展多元化的业务应用。

• 小型化 SPN（Slicing Packet Network）：作为 5G 前传、中传和回传的统一承载，可通过网络硬切片、随路检测等功能为 UPF 提供差异化、高质量的统一业务承载。

• 轻量核心网控制面。

• OpenUPF。

部署及应用

一体机系统集成部署了行业应用中需要用到的关键网元，并且通过功能的模块化裁减，实现通用计算资源的高效复用。一体机对用户隐藏了大部分网元间通信的交互接口，为行业客户提供快速敏捷的一站式解决方案，使方案的部署时间相对于传统专网 + 边缘数据中心大大缩短。

如下图所示，5G 用户终端通过基站空中接口接入一体机移动网络，BBU 与 5GC 控制信令通过SPN提供的承载完成交互，同时5GC 通过 SPN 提供的承载完成向 OpenUPF 下发控制策略（信令），最终用户的接入数据在 OpenUPF 网元上根据用户数据目的以及 5GC 下发的控制策略，实现中心数据网络和本地数据网络的数据分流。

一体机网元可以根据不同的行业用户个性化需求中展现出优越可裁剪性。当部署一体机的网络由于地域等原因无法和集中的 5GC 核心网互联时，可启用一体机中的轻量核心网，完成局部移动网络用户数据的管理和认证。

文章来源: is-cloud.blog.csdn.net，作者：范桂飓，版权归原作者所有，如需转载，请联系作者。

原文链接：is-cloud.blog.csdn.net/article/details/107240118