目录

5G 行业专网面临的挑战

5G 行业专网面临的挑战：

1. 仅支持 toB 应用、未考虑 toC 的个人用户需求：toC 个人用户，特别是管理人员、移动办公人员以及外勤人员等，均对行业专网业务访问有强烈的需求，希望利用 5G 网络广域覆盖的特性以及个人手机终端的便捷性，突破生产办公的地域限制。如：工厂的管理人员希望通过个人手机安全访问内网应用，获取生产状态统计报表及分析图表，随时监测工厂生产及运营状态。

2. 部分行业应用场景需要终端具备同时访问内网、公网的功能，而且可以针对局域或广域的不同场景设置不同的访问策略：比如银行的业务办理 PAD，既需要访问内网，提供相关金融服务办理，又需要访问互联网为客户提供相关资讯查询，而且希望能随身携带，方便在外场各临时业务点随时提供服务。此外，针对终端所处的不同位置，企业希望能设置不同的访问策略，比如某些终端仅在进入园区内部时可以访问内网，离开园区后无法访问。

结合上述 5G 行业专网市场发展的需要，5G行业专网需要尽快融合 toC 个人用户业务需求，并能从架构上支撑不同客户差异化业务场景的定制网络需求。

从上述需求分析可以看出，目前对 5G 行业专网能力的主要需求包括三大维度：

1. toB、toC：同时具备支持 toB 行业终端和 toC 手机用户访问的能力，且对于 toC 手机用户可以做到不换卡、不换号，无感知访问内网或公网。

2. 内网、公网：同时具备访问内网和公网的能力，并能根据实际需求制定不同的访问策略。

3. 局域、广域：同时具备局域和广域业务访问的能力，并能针对不同区域、不同类型用户设置与位置相关的访问策略。

5G 行业专网解决方案

通过引入 ULCL 技术，融合 DNN 配置、网络切片等 5G 关键能力，针对行业应用 3 个维度的需求，可以组合形成行业专网的多种解决方案，适应不同行业的不同应用场景。

场景 1：toC 个人用户在局域能同时访问内网和公网

场景需求：主要满足系统办公、内网资源访问等需求，典型的应用场景包括：学校校园网、政务办公、园区移动办公等，用户可以通过个人手机终端同时访问内网和公网。

网络设计：由于业务访问一般限制在局部区域，且内网服务器等资源均部署在该区域内部。为了方便资源访问，实现数据不出场的安全保障，该类场景建议在 toC 的核心网下，部署下沉式 UPF 设备至区域内网服务器资源附近，通过 UPF 的 N6 接口连接内网服务器。无线网部分，打通覆盖该区域的基站与下沉 UPF 的连接，通过配置特定的 DNN，组成局部区域的行业专网。

在园区内下沉建设具备 ULCL 功能的 UPF，连接基于大区 toC 5GC 控制面。核心网侧在 PCF 配置预定义规则，基于 TAC 进行触发，触发后下发相关规则给 SMF。SMF 根据 ULCL 需求部署本地分流策略特性。UPF 上需配置针对局域内网服务器 IP 的分流策略。

业务访问路径：对于专网用户，在专网部署的局部区域内，访问内网时，通过 ULCL UPF 分流，由 N6 口转发到内网本地服务器，如离开专网部署区域，无法访问内网资源；在专网部署的局部区域内，若网络感知业务类型为公网访问，则将业务数据引导到公网共享 UPF，再通过该 UPF 连接 Internet 进行上网。离开专网部署区域，与普通用户访问公网策略一致。

场景 2：toC 个人用户在广域能同时访问内网和公网

场景需求：主要用于远程办公、外勤办公、外勤执法、银行外场营销等需求，本场景与场景 1 的差别是 toC 专网用户的活动范围更广，通常是整个地市。由于活动区域较广，出于安全性考虑，一般对内网仅能访问部分非敏感数据，本场景如需使用更高敏感等级的数据或者业务，可以通过叠加二次安全认证、专用加密传输通道等方式实现。

网络设计：考虑到用户在广域范围，可通过 toC 核心网共享 UPF 的出口连接客户内网服务器公网出口。共享 UPF 与客户内网服务器通常有两种连接方式。

业务访问路径：对于专网用户，其访问内网时，根据内网业务访问需求，5G 网络判别将业务指向 toC 共享 UPF，并通过与客户内网服务器连接的数据通道，对内网数据进行访问；访问公网则通过 toC 共享 UPF 连接 Internet 进行上网，与普通用户访问公网策略一致。

对于普通用户，无访问内网权限，在所有区域均无法访问专网资源；访问公网则接入大网 toC 共享 UPF，再连接到 Internet 上网，按常规方式访问公网资源。

方案 1

通过互联网 VPN 专线的方式，建立到客户内网服务器的逻辑安全通道。

采用大网 toC 共享 UPF，基于大区 toC 5GC 控制面，使用公共 DNN。通过 VPN 方式建立与客户内网服务器公网出口的逻辑通道。需要访问内网业务时，通过 toC 共享 UPF 分流到 VPN 通道，建立与客户内网的连接。

方案 2

直接通过数据专线的方式连接，直连客户内网服务器。

同样采用大网 toC 共享 UPF，基于大区 toC 5GC 控制面，使用公共 DNN。通过数据专线建立与客户内网服务器公网出口的逻辑通道。需要访问内网业务，通过 toC 共享 UPF 分流到数据专线接口，建立与客户内网的连接。

• 方案 1 布网流程短，链路租用费用低，但速度保障难度高、安全性相对弱。
• 方案 2 由于通过数据专线直连，数据安全性高，网络传输速度稳定可靠，但建网周期较长，成本相对较高。

场景 3：toB、toC 专网用户在局域同时访问内网、公网

场景需求：本场景为局域范围内 toB、toC 混合应用需求组网最复杂的应用场景，融合了原有 toB 行业专网以及本文场景 1 的需求，是目前 5G 行业专网主要的应用方向。其中 toB 终端采用专网 SIM 卡，主要业务需求为内网连接，建立客户内网的无线延伸网络。部分 toB 终端或者个别业务有需要访问公网，此时需要建立公网访问通道。除了 toB 需求之外，还要建立 toC 行业用户对内网业务的访问。

网络设计：本场景与场景 1 业务需求类似，主要差别需要同时满足 toB 和 toC 业务需求，考虑到两种业务特性及应用场景的不同，建议同时下沉部署 toB 及 toC UPF 各一套，分别承载 toB、toC 的业务。两套 UPF 均在本地连接客户内网服务器，实现业务快捷访问及数据安全不出场。toB、toC 两类用户及业务分别通过不同的 UPF 以及两套不同的 5GC 核心网进行业务连接，可以根据不同类型用户及业务需求的差异，有针对性地对两套网络进行专项优化。

本方案 toC 部分，在园区内下沉建设具备 ULCL 功能的 UPF，连接基于大区 toC 5GC 控制面。toB 部分，通过下沉专享型 UPF，建立 UPF 与本地内网服务的连接通道，形成局域 toB 专网。toC 和 toB 同时连接内网服务器，实现两个网络的互联互通，toC 个人客户与 toB 物联网终端数据基于内网服务平台实现信息交互，满足网络融合访问的需求。

业务访问路径：对于专网用户，在专网部署的局部区域内，专网用户访问内网的需求，需要通过 ULCL 分流，由 N6 口转发到内网本地服务器。离开专网部署区域，无法访问内网资源；在专网部署的局部区域内，若网络感知业务类型为公网访问，则将业务数据引导到公网共享 UPF，再通过该 UPF 连接 Internet 进行上网。离开专网部署区域，与普通用户访问公网策略一致。

对于普通用户，无内网权限，在所有区域均无法访问专网资源；访问公网时需接入大网共享 UPF，再连接到 Internet 上网，按常规方式访问公网资源。

对于 toB 专网终端，如需要访问内网，则需在专网部署的局部区域内，通过配置特定 DNN，由 N6 口转发到内网本地服务器。离开专网部署区域，无法访问内网资源；

在专网部署的局部区域内，若网络感知业务类型为公网访问，将业务数据引导到公网共享 UPF，再通过该 UPF 连接 Internet 进行上网。离开专网部署区域，则无法访问公网。

文章来源: is-cloud.blog.csdn.net，作者：范桂飓，版权归原作者所有，如需转载，请联系作者。

原文链接：is-cloud.blog.csdn.net/article/details/123364583