5G SA VPDN業(yè)務繼承方案研究

高功應，平軍磊，劉凡棟，劉 揚（.中國聯(lián)合網(wǎng)絡通信集團有限公司，北京 00033；.中訊郵電咨詢設計院有限公司鄭州分公司，河南鄭州 450007）

0 前言

VPDN 業(yè)務是2B 領域最具代表性業(yè)務，價值高、應用廣，業(yè)務對象涵蓋公檢法、銀行、中大型企業(yè)等高價值客戶群體，客情關系穩(wěn)定不易轉網(wǎng)，是各大運營商的核心業(yè)務之一，也是5G初期2B業(yè)務的核心抓手。目前VPDN 業(yè)務在人聯(lián)網(wǎng)、物聯(lián)網(wǎng)都有開展，各省碼號策略、計費策略、業(yè)務承載策略等都不盡相同，如何保障客戶體驗，并減少周邊平臺系統(tǒng)的改造，是運營商開展5G VPDN 業(yè)務面臨的巨大挑戰(zhàn)。另一方面，5G SA 核心網(wǎng)進一步C/U 分離，3G/4G 時期的GGSN/SAEGW 演進為SMF 和UPF 網(wǎng)元，SMF 作為核心網(wǎng)內部網(wǎng)元，在大區(qū)云資源池內部部署，與外網(wǎng)無互通接口，UPF 在各省分設。新的網(wǎng)絡架構對VPDN 業(yè)務的實現(xiàn)影響很大。因此，研究并制定5G 網(wǎng)絡的VPDN 業(yè)務繼承方案，是非常重要且有意義的。

1 VPDN業(yè)務開展現(xiàn)狀

1.1 VPDN業(yè)務概述

固定寬帶類的VPDN 業(yè)務在技術和部署方式上已非常成熟，本文不再贅述，下文將主要對移動VPDN 業(yè)務進行研究。廣義的移動VPDN 業(yè)務廣義是指基于運營商的移動網(wǎng)絡，UE 上設置特定APN/DNN 信息接入專用網(wǎng)絡的業(yè)務。從IP 隔離技術來說，VPDN 業(yè)務實現(xiàn)方案主要包含以下3 種主要技術：L2TP 隧道、GRE隧道和MPLS VPN。

在移動網(wǎng)中，以L2TP專線業(yè)務為例，GGSN/GW 通常作為LAC，在UE 建立會話階段與AAA 進行交互，實現(xiàn)鑒權認證，3G/4G階段VPDN業(yè)務流程如圖1所示。

圖1 移動（3G/4G）VPDN業(yè)務流程示意圖

針對AAA 認證，運營商可通過配置GGSN/GW 選擇基于用戶激活請求PCO 信元中的參數(shù)進行鑒權或者基于本地APN 的配置進行鑒權，鑒權成功后GGSN/GW負責為UE建立會話，后續(xù)UE可正常進行業(yè)務。

1.2 VPDN業(yè)務開展現(xiàn)狀

目前工信部對物聯(lián)網(wǎng)業(yè)務有特殊的管控要求，中國移動、中國聯(lián)通、中國電信3家運營商都針對物聯(lián)網(wǎng)業(yè)務獨立部署了不同層面的專用網(wǎng)元，且人物號碼的業(yè)務簽約、計費模式相互獨立。經(jīng)調研，3G/4G 階段典型VPDN業(yè)務開展模式如表1所示。

當前物聯(lián)網(wǎng)專用CG 基于APN 分揀話單，送至物聯(lián)網(wǎng)BSS 以客戶維度計費，物聯(lián)網(wǎng)BSS 通常不支持以單用戶維度計費。

1.3 技術及網(wǎng)絡架構演進對業(yè)務的影響

大區(qū)集中化：受5G SA 原生服務化架構的技術因素影響，多數(shù)運營商都選擇了核心網(wǎng)控制面大區(qū)集中部署+用戶面分省設置的網(wǎng)絡架構，而4G 階段EPC 網(wǎng)元都是分省部署。

切片技術引入：切片是5G SA 架構中最具創(chuàng)新的技術之一，同時也是所有UE 在注冊、會話建立過程中基本且必不可少的屬性。用戶注冊過程中核心網(wǎng)的選擇依靠終端上報/簽約/本地配置的S-NSSAIs 來實現(xiàn)，網(wǎng)絡端到端資源的匹配和保障基于UE 建立會話時的切片標識來實現(xiàn)，DNN 僅用于選擇移動網(wǎng)的出口錨點。

表1 3G/4G階段典型VPDN業(yè)務開展模式

2B、2C 核心網(wǎng)獨立部署：5G 時代運營商面臨2C和2B巨大差異化需求的挑戰(zhàn)，除了網(wǎng)絡功能與性能要求不同之外，2B 行業(yè)客戶還要求能獲取更多的網(wǎng)絡及用戶管理能力。5G 基站可以基于切片信息靈活選擇核心網(wǎng)，以Y 運營商和L 運營商為代表，2B、2C 核心網(wǎng)獨立部署成為國內主流方向。

上述3 個因素對用戶VPDN 業(yè)務簽約、網(wǎng)絡承載、計費實現(xiàn)、客戶專線對接方案都產(chǎn)生了直接影響，5G SA階段需重新研究VPDN業(yè)務全環(huán)節(jié)的繼承方案。

2 5G SA VPDN業(yè)務繼承方案

2.1 核心網(wǎng)解決方案

綜合考慮現(xiàn)有業(yè)務簽約、承載、計費方案及5G 2B、2C網(wǎng)絡分設的情況，5G SA VPDN 業(yè)務繼承原則建議如下。

a）同一個號碼的業(yè)務在一張網(wǎng)承載。

b）按照號碼屬性，人聯(lián)網(wǎng)號碼在人聯(lián)網(wǎng)UDM 簽約，物聯(lián)網(wǎng)號碼在物聯(lián)網(wǎng)UDM簽約。

c）按照號碼屬性，人聯(lián)網(wǎng)號碼業(yè)務原則上通過2C 5GC 承載，物聯(lián)網(wǎng)號碼業(yè)務原則上通過2B 5GC 承載，以降低網(wǎng)絡復雜度。

d）業(yè)務初期不依賴終端切片能力，默認1個號碼/終端只支持1個切片。

經(jīng)調研，SA 初期針對人聯(lián)網(wǎng)號碼，各運營商尚未部署VPDN 業(yè)務專用網(wǎng)元（SMF、UPF）?？紤]到VPDN專線業(yè)務的配置復雜性及頻繁性，同時VPDN 專線業(yè)務對SMF及UPF有特殊功能要求（I-SMF、GRE、L2TP、IPSEC 等功能），建議在人聯(lián)網(wǎng)5GC 系統(tǒng)內部署VPDN業(yè)務專用SMF和UPF，專門用于承載VPDN 專線業(yè)務，網(wǎng)絡部署方案如圖2所示。

人聯(lián)網(wǎng)號碼VPDN業(yè)務繼承方案如下。

圖2 人聯(lián)網(wǎng)VPDN業(yè)務5GC目標網(wǎng)絡部署方案示意圖

a）簽約2C 切片+定制DNN，業(yè)務通過人聯(lián)網(wǎng)5GC承載。

b）業(yè)務歸屬省VPDN 專用SMF、UPF 配置定制DNN數(shù)據(jù)及專線數(shù)據(jù)。

c）專線業(yè)務基于2C切片+定制DNN建立會話，歸屬地接入。

d）通過人聯(lián)網(wǎng)BSS計費。

人聯(lián)網(wǎng)號碼VPDN+普通互聯(lián)網(wǎng)業(yè)務繼承方案如下。

a）簽約2C 切片，簽約通用DNN+定制DNN，業(yè)務通過人聯(lián)網(wǎng)5GC承載。

b）業(yè)務歸屬省VPDN 專用SMF、UPF 配置定制DNN數(shù)據(jù)及專線數(shù)據(jù)。

c）普通互聯(lián)網(wǎng)業(yè)務基于通用DNN建立會話，拜訪地接入。

d）專線業(yè)務基于2C切片+定制DNN建立會話，歸屬地接入。

e）通過人聯(lián)網(wǎng)BSS計費。

物聯(lián)網(wǎng)號碼VPDN 業(yè)務繼承方案：VPDN 專線業(yè)務是物聯(lián)網(wǎng)的基本業(yè)務和基本網(wǎng)絡能力，無需部署專用SMF、UPF。物聯(lián)網(wǎng)號碼VPDN 業(yè)務全部通過物聯(lián)網(wǎng)UDM 簽約，由物聯(lián)網(wǎng)5GC 承載，通過物聯(lián)網(wǎng)BSS 計費。

物聯(lián)網(wǎng)號碼有疊加互聯(lián)網(wǎng)業(yè)務需求的，需簽約通用DNN，相應業(yè)務仍通過物聯(lián)網(wǎng)5GC 承載，通過物聯(lián)網(wǎng)BSS計費。

2.2 客戶側專線方案

政企客戶通常需要采用專線方式接入內部服務?；谀壳耙褍鼋Y的3GPP R 16 標準來看，5GC 網(wǎng)元僅融合了4G功能，綜合考慮客戶終端群體、網(wǎng)絡能力，現(xiàn)有客戶的專線繼承主要有以下3種實現(xiàn)方式。

方案1：保留4G 已有專線，新增客戶至SMF/UPF專線，用于5G用戶專線接入。5G用戶啟用新的DNN。非5G 用戶通過現(xiàn)網(wǎng)PGW 承載業(yè)務，5G 用戶4G/5G 接入時通過SMF/UPF 承載業(yè)務。該方案下，場景4 和場景5（見表1）同一客戶存在2種計費方式，同時5G用戶2G/3G接入時無法使用VPDN專線業(yè)務。

方案2：將企業(yè)用戶整體遷移至5G SA 網(wǎng)絡，新增客戶至SMF/UPF 專線，替換原4G 專線，該方案需要進行用戶側割接。原APN 可繼續(xù)使用，也可針對5G 用戶單獨啟用新DNN。但由于5G SMF/UPF 不兼容2G/3G GGSN功能，用戶在2G/3G網(wǎng)絡下無法接入，需客戶所有終端都支持4G功能。

方案3：客戶5G DNN 與3G/4G APN 保持一致，新增客戶至UPF/GW 的5G 專線。5G 簽約用戶在4G/5G接入場景下均通過UPF/GW 承載業(yè)務（基于IWK 選擇），3G 接入場景下繼續(xù)通過原有PGW 承載業(yè)務。3G/4G 簽約用戶選擇現(xiàn)網(wǎng)PGW 承載業(yè)務。該方案中客戶側需與PGW/GGSN 和UPF 分別開設2 條專線，客戶平臺可基于終端源地址路由選擇PGW 或UPF/GW。該方案不適用于簽約靜態(tài)IP類客戶。

以上3 個方案均有不同的優(yōu)缺點，具體方案可由各省與用戶協(xié)商選擇。

2.3 AAA認證解決方案

2.3.1 3G/4G階段AAA認證方式

2.3.1.1 非L2TP專線+Radius認證

3G/4G 階段GRE/MPLS VPN/剛性專線+Radius 認證流程如下。

a）GGSN/GW 到客戶內網(wǎng)的專線提前配置，AAA認證平臺可在運營商或客戶側部署。

b）接入鑒權主要由GGSN/GW 和AAA 完成。AAA通過UE或GGSN攜帶的鑒權信息，判斷用戶是否可以接入網(wǎng)絡。

c）業(yè)務訪問由GGSN/GW 和LNS 完成。GGSN 與LNS 之間通過提前配置好的GRE 隧道或剛性專線建立連接，用戶進行業(yè)務時，通過隧道加解封裝，實現(xiàn)GGSN與LNS之間的業(yè)務訪問。

2.3.1.2 L2TP專線

首次AAA 認證由GGSN/GW 和LAC AAA 完成。LAC AAA 通過UE 或GGSN 攜帶的鑒權信息，下發(fā)L2TP鏈路參數(shù)。對于單客戶專用APN，運營商可以通過在GGSN/GW 本地配置L2TP 鏈路參數(shù)，該方案不再需要LAC AAA首次認證環(huán)節(jié)。

二次AAA 認證由GGSN/GW 和LNS AAA 完成。GGSN/GW 根據(jù)首次認證獲取的LNS 地址請求建立L2TP 隧道，LNS AAA 完成UE 認證，認證成功建立會話。

2.3.2 5G繼承方案

原GGSN/GW 進一 步C/U 分離，演進成SMF 和UPF 2個網(wǎng)元，相比3G/4G，5G專線AAA認證的核心網(wǎng)處理邏輯不同，具體業(yè)務繼承方案有以下2種。

方案1：SMF與AAA 平臺對接完成鑒權認證，在承載網(wǎng)上單獨規(guī)劃AAA 認證VPN，實現(xiàn)與運營商其他核心網(wǎng)業(yè)務的隔離，UPF 與客戶LNS 對接負責用戶數(shù)據(jù)業(yè)務交互，組網(wǎng)方案如圖3 所示。該方案適用于非L2TP 專線+AAA 認證場景或多客戶共用同一DNN 的L2TP專線場景。

非L2TP專線業(yè)務流程如下。

a）首先建立企業(yè)側到運營商側UPF 的GRE 隧道或其他非L2TP專線。

b）MS 發(fā)起會話建立請求（當前終端SA 接入不支持攜帶鑒權參數(shù)），SMF 根據(jù)DNN 判斷用戶是否需要進行AAA鑒權。

c）SMF 根據(jù)本地配置的通用用戶名和密碼等鑒權參數(shù)向AAA 發(fā)起鑒權請求（當前5G 終端SA 接入場景下不支持攜帶鑒權參數(shù)）。

d）AAA完成鑒權認證，SMF通知UPF建立會話。

e）會話建立成功，MS和企業(yè)服務器進行通信。

如果客戶自己建有AAA 系統(tǒng)，即客戶不通過運營商VPDN 平臺進行認證，建議客戶側AAA 系統(tǒng)通過各省大客戶綜合接入CE 統(tǒng)一與SMF 對接，網(wǎng)絡組織如圖4所示。

圖3 非L2TP專線場景組網(wǎng)示意圖

圖4 L2TP多客戶共用DNN場景組網(wǎng)示意圖

L2TP多客戶共用DNN業(yè)務流程如下。

a）UE發(fā)起PDU會話建立請求消息。

b）SMF 獲取UDM 中用戶SM 簽約數(shù)據(jù)，根據(jù)DNN判定該PDU是否需要建立L2TP 隧道。

c）SMF 向LAC AAA（各省VPDN 平臺）發(fā)起認證請求。

d）AAA認證通過，下發(fā)L2TP隧道參數(shù)。

e）SMF 向UPF 發(fā)起PFCP 會話建立請求，攜帶L2TP 隧道參數(shù)及用戶鑒權參數(shù)。

f）UPF與對應LNS請求建立隧道并攜帶用戶鑒權信息。

g）LNS 創(chuàng)建隧道成功后，通知UPF 隧道創(chuàng)建成功（LNS內部可以針對用戶進行二次鑒權）。

h）UPF通知SMF用戶會話創(chuàng)建成功。

i）MS和企業(yè)服務器進行通信。

方案2：LNS 信息預先配置在UPF 上，UPF 與客戶LNS 對接負責AAA 鑒權及用戶數(shù)據(jù)業(yè)務交互，網(wǎng)絡組織如圖5 所示。該方案下SMF 無需與AAA 系統(tǒng)對接，適用于L2TP專線且客戶有獨立DNN的業(yè)務場景。

方案2的業(yè)務流程如下。

a）用戶創(chuàng)建會話階段，UPF 根據(jù)DNN 下綁定的L2TP 隧道信息與對應LNS 請求建立隧道并攜帶用戶鑒權信息。

b）LNS 創(chuàng)建隧道成功后，通知UPF 隧道創(chuàng)建成功（LNS內部可以針對用戶鑒權信息做鑒權）。

c）UPF通知SMF用戶會話創(chuàng)建成功。

d）終端和企業(yè)服務器進行通信。

該場景下LNS AAA 的功能也可以通過運營商各省VPDN平臺實現(xiàn)。

3 5G SA VPDN業(yè)務開展建議

SA 初期運營商開展VPDN 業(yè)務時需深入了解客戶需求，并基于現(xiàn)有終端、網(wǎng)絡能力對客戶進行引導，為客戶提供最合適的解決方案，整體建議如下。

a）提前升級VPDN 平臺支持EAP 鑒權，匹配3GPP標準規(guī)范，為客戶提供更高安全能力。

b）同一客戶內部存在部分5G 終端和部分4G 終端時，可將客戶專線整體割接至5G UPF，客戶只保留1條專線?？蛻粢部杀Ａ粼袑＞€（服務非5G 終端用戶），同時新增至5G UPF 專線（服務5G 終端用戶），但客戶需要承擔2條專線成本。

c）受3GPP 標準及終端因素影響，目前主流5G 終端無法通過PCO信元攜帶AAA 認證鑒權參數(shù)，只支持在核心網(wǎng)配置客戶級的統(tǒng)一認證鑒權參數(shù)（AAA 的地址分配功能則不受影響），個別客戶要求使用獨立用戶名和密碼的需采用終端定制方案實現(xiàn)。

d）如果單UE 同時有普通互聯(lián)網(wǎng)業(yè)務和VPDN 專線業(yè)務需求，客戶側需通過APP 或終端定制的方式實現(xiàn)業(yè)務與DNN的綁定及切換，若客戶終端/APP不支持可引導客戶使用雙卡。

4 結束語

VPDN 業(yè)務是各運營商的核心高價值業(yè)務，本文基于關鍵網(wǎng)元獨立部署和其他網(wǎng)元盡量共用的原則，給出了新增2C VPDN 業(yè)務專用SMF+UPF 的解決方案，可有效降低專線業(yè)務配置復雜性/頻繁性對2C 公眾網(wǎng)絡的影響，同時避免個性化功能需求引起的全網(wǎng)升級，從而大幅節(jié)省建網(wǎng)成本。另一方面，本文對VP?DN 業(yè)務繼承原則、全環(huán)節(jié)解決方案及業(yè)務開展提出了系統(tǒng)性建議，為5G VDPN 業(yè)務的開展奠定了基礎，可有效加快5G規(guī)模商用。