5G NPN 行业专网 — 解决方案

举报
云物互联 发表于 2022/03/09 22:22:24 2022/03/09
【摘要】 目录 文章目录 目录5G 行业专网面临的挑战5G 行业专网解决方案场景 1:toC 个人用户在局域能同时访问内网和公网场景 2:toC 个人用户在广域能同时访问内网和公网方案 1方案 2 ...

目录

5G 行业专网面临的挑战

5G 行业专网面临的挑战:

  1. 仅支持 toB 应用、未考虑 toC 的个人用户需求:toC 个人用户,特别是管理人员、移动办公人员以及外勤人员等,均对行业专网业务访问有强烈的需求,希望利用 5G 网络广域覆盖的特性以及个人手机终端的便捷性,突破生产办公的地域限制。如:工厂的管理人员希望通过个人手机安全访问内网应用,获取生产状态统计报表及分析图表,随时监测工厂生产及运营状态。

  2. 部分行业应用场景需要终端具备同时访问内网、公网的功能,而且可以针对局域或广域的不同场景设置不同的访问策略:比如银行的业务办理 PAD,既需要访问内网,提供相关金融服务办理,又需要访问互联网为客户提供相关资讯查询,而且希望能随身携带,方便在外场各临时业务点随时提供服务。此外,针对终端所处的不同位置,企业希望能设置不同的访问策略,比如某些终端仅在进入园区内部时可以访问内网,离开园区后无法访问。

结合上述 5G 行业专网市场发展的需要,5G行业专网需要尽快融合 toC 个人用户业务需求,并能从架构上支撑不同客户差异化业务场景的定制网络需求。

从上述需求分析可以看出,目前对 5G 行业专网能力的主要需求包括三大维度:

  1. toB、toC:同时具备支持 toB 行业终端和 toC 手机用户访问的能力,且对于 toC 手机用户可以做到不换卡、不换号,无感知访问内网或公网。

  2. 内网、公网:同时具备访问内网和公网的能力,并能根据实际需求制定不同的访问策略。

  3. 局域、广域:同时具备局域和广域业务访问的能力,并能针对不同区域、不同类型用户设置与位置相关的访问策略。

5G 行业专网解决方案

通过引入 ULCL 技术,融合 DNN 配置、网络切片等 5G 关键能力,针对行业应用 3 个维度的需求,可以组合形成行业专网的多种解决方案,适应不同行业的不同应用场景。

在这里插入图片描述

场景 1:toC 个人用户在局域能同时访问内网和公网

场景需求:主要满足系统办公、内网资源访问等需求,典型的应用场景包括:学校校园网、政务办公、园区移动办公等,用户可以通过个人手机终端同时访问内网和公网。

网络设计:由于业务访问一般限制在局部区域,且内网服务器等资源均部署在该区域内部。为了方便资源访问,实现数据不出场的安全保障,该类场景建议在 toC 的核心网下,部署下沉式 UPF 设备至区域内网服务器资源附近,通过 UPF 的 N6 接口连接内网服务器。无线网部分,打通覆盖该区域的基站与下沉 UPF 的连接,通过配置特定的 DNN,组成局部区域的行业专网。

在这里插入图片描述

在园区内下沉建设具备 ULCL 功能的 UPF,连接基于大区 toC 5GC 控制面。核心网侧在 PCF 配置预定义规则,基于 TAC 进行触发,触发后下发相关规则给 SMF。SMF 根据 ULCL 需求部署本地分流策略特性。UPF 上需配置针对局域内网服务器 IP 的分流策略。

业务访问路径:对于专网用户,在专网部署的局部区域内,访问内网时,通过 ULCL UPF 分流,由 N6 口转发到内网本地服务器,如离开专网部署区域,无法访问内网资源;在专网部署的局部区域内,若网络感知业务类型为公网访问,则将业务数据引导到公网共享 UPF,再通过该 UPF 连接 Internet 进行上网。离开专网部署区域,与普通用户访问公网策略一致。

场景 2:toC 个人用户在广域能同时访问内网和公网

场景需求:主要用于远程办公、外勤办公、外勤执法、银行外场营销等需求,本场景与场景 1 的差别是 toC 专网用户的活动范围更广,通常是整个地市。由于活动区域较广,出于安全性考虑,一般对内网仅能访问部分非敏感数据,本场景如需使用更高敏感等级的数据或者业务,可以通过叠加二次安全认证、专用加密传输通道等方式实现。

网络设计:考虑到用户在广域范围,可通过 toC 核心网共享 UPF 的出口连接客户内网服务器公网出口。共享 UPF 与客户内网服务器通常有两种连接方式。

业务访问路径:对于专网用户,其访问内网时,根据内网业务访问需求,5G 网络判别将业务指向 toC 共享 UPF,并通过与客户内网服务器连接的数据通道,对内网数据进行访问;访问公网则通过 toC 共享 UPF 连接 Internet 进行上网,与普通用户访问公网策略一致。

对于普通用户,无访问内网权限,在所有区域均无法访问专网资源;访问公网则接入大网 toC 共享 UPF,再连接到 Internet 上网,按常规方式访问公网资源。

方案 1

通过互联网 VPN 专线的方式,建立到客户内网服务器的逻辑安全通道。

采用大网 toC 共享 UPF,基于大区 toC 5GC 控制面,使用公共 DNN。通过 VPN 方式建立与客户内网服务器公网出口的逻辑通道。需要访问内网业务时,通过 toC 共享 UPF 分流到 VPN 通道,建立与客户内网的连接。

在这里插入图片描述

方案 2

直接通过数据专线的方式连接,直连客户内网服务器。

同样采用大网 toC 共享 UPF,基于大区 toC 5GC 控制面,使用公共 DNN。通过数据专线建立与客户内网服务器公网出口的逻辑通道。需要访问内网业务,通过 toC 共享 UPF 分流到数据专线接口,建立与客户内网的连接。

在这里插入图片描述

  • 方案 1 布网流程短,链路租用费用低,但速度保障难度高、安全性相对弱。
  • 方案 2 由于通过数据专线直连,数据安全性高,网络传输速度稳定可靠,但建网周期较长,成本相对较高。

在这里插入图片描述

场景 3:toB、toC 专网用户在局域同时访问内网、公网

场景需求:本场景为局域范围内 toB、toC 混合应用需求组网最复杂的应用场景,融合了原有 toB 行业专网以及本文场景 1 的需求,是目前 5G 行业专网主要的应用方向。其中 toB 终端采用专网 SIM 卡,主要业务需求为内网连接,建立客户内网的无线延伸网络。部分 toB 终端或者个别业务有需要访问公网,此时需要建立公网访问通道。除了 toB 需求之外,还要建立 toC 行业用户对内网业务的访问。

网络设计:本场景与场景 1 业务需求类似,主要差别需要同时满足 toB 和 toC 业务需求,考虑到两种业务特性及应用场景的不同,建议同时下沉部署 toB 及 toC UPF 各一套,分别承载 toB、toC 的业务。两套 UPF 均在本地连接客户内网服务器,实现业务快捷访问及数据安全不出场。toB、toC 两类用户及业务分别通过不同的 UPF 以及两套不同的 5GC 核心网进行业务连接,可以根据不同类型用户及业务需求的差异,有针对性地对两套网络进行专项优化。

在这里插入图片描述

本方案 toC 部分,在园区内下沉建设具备 ULCL 功能的 UPF,连接基于大区 toC 5GC 控制面。toB 部分,通过下沉专享型 UPF,建立 UPF 与本地内网服务的连接通道,形成局域 toB 专网。toC 和 toB 同时连接内网服务器,实现两个网络的互联互通,toC 个人客户与 toB 物联网终端数据基于内网服务平台实现信息交互,满足网络融合访问的需求。

业务访问路径:对于专网用户,在专网部署的局部区域内,专网用户访问内网的需求,需要通过 ULCL 分流,由 N6 口转发到内网本地服务器。离开专网部署区域,无法访问内网资源;在专网部署的局部区域内,若网络感知业务类型为公网访问,则将业务数据引导到公网共享 UPF,再通过该 UPF 连接 Internet 进行上网。离开专网部署区域,与普通用户访问公网策略一致。

对于普通用户,无内网权限,在所有区域均无法访问专网资源;访问公网时需接入大网共享 UPF,再连接到 Internet 上网,按常规方式访问公网资源。

对于 toB 专网终端,如需要访问内网,则需在专网部署的局部区域内,通过配置特定 DNN,由 N6 口转发到内网本地服务器。离开专网部署区域,无法访问内网资源;

在专网部署的局部区域内,若网络感知业务类型为公网访问,将业务数据引导到公网共享 UPF,再通过该 UPF 连接 Internet 进行上网。离开专网部署区域,则无法访问公网。

文章来源: is-cloud.blog.csdn.net,作者:范桂飓,版权归原作者所有,如需转载,请联系作者。

原文链接:is-cloud.blog.csdn.net/article/details/123364583

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。