一文读懂5G虚拟专网的应用
在正式开启5G商用的三年来,国内5G的发展突飞猛进,网络建设与市场覆盖日益完善。在此基础上,5G融合应用也在加速展开,5G为行业而生,行业应用一直是5G融合应用发展的关键和重点,而今天我们要讲的5G专网就是其中的重要一环。
5G专网即是建立在5G技术之上的专网,所谓专网,是指专用于特定用户的网络,不同于为所有人服务的公网,专网在安全隔离、网络的可靠性和稳定性等方面均具备绝对的优势。
5G专网从实际使用场景上讲,有3种模式:
1. 完全共享模式。运营商通过网络切片技术,使用UPF分流,将用户的数据直接传送到用户的内网,但分流UPF设备被多个5G专网共享;
2. 部分共享模式。运营商通过网络切片技术,使用UPF分流,分流UPF设备被某个5G专网独享;
3. 独立部署模式。国家提供专用的5G频段,用于行业用户自建5G专网。
注:UPF 是5G核心网中的重要网元,主要支持UE(用户设备) 业务数据的路由和转发、数据和业务识别、动作和策略执行等。
不同运营商对这3个场景也赋予不同名称,例如:对于完全共享模式,移动称为“优享模式”,电信称为“致远模式”,联通称为“5G虚拟专网”等。
下面我们将以具体的校园网为例,看5G专网是如何设计和使用的。
5G虚拟校园网,指的是以5G移动通信网络及边缘计算技术为基础,满足学校业务连接、高速计算、信息安全等需求的校园虚拟专用网络。作为原校园有线网络及无线网络的延展与补充,这张虚拟校园网将极大提高校园网络覆盖面。
目前校园网和5G融合都采用上面的第一或者第二个场景,具体部署时可能会采用UPF共享模式或者UPF设备下沉到学校的独享模式。通过5G虚拟校园网,高校师生在校内、本地和全国范围无需VPN拨号,通过5G网络即可登录校内管理系统、访问校内学术资源。在运营商侧,通过ULCL分流、签约专用DNN和多DNN分流等技术满足校园师生在校内、本地和全国范围内“不换卡、不换号、无需设置”访问校园内网和互联网。
01
运营商5G专网和校园网融合组网
运营商5G专网和校园网融合拓扑图如下,下图左边为校园网,右边为运营商专网,在运营商5G网络中,和学校连接的设备为UPF设备,根据运营商组网情况不同,UPF可能下沉到学校作为该校专用UPF,也有可能是采用共享UPF模式。
运营商5G专网和校园网融合拓扑
说明
● N3 接口是NG RAN(5G无线接入网) 与UPF 间的接口,采用GTP-U 协议进行用户数据的隧道传输;
● N4 接口是SMF(5G会话管理功能) 和UPF 之间的接口,采用GTP-U 协议;
● N6 接口是UPF 和外部设备之间的接口,N6 接口要求支持专线或L2/L3 层隧道,可基于IP 与其它网络通信;
● N9 接口是UPF 之间的接口,两个UPF 之间使用GTP-U 协议进行用户面报文的传输。
02
运营商5G专网和校园网融合应用
5G专网作为原校园有线网络及无线网络的延展与补充,这张虚拟校园网将极大提高校园网络覆盖面,作为5G专网签约用户,无论是否在校内,无需VPN都可以快速访问到校内的相关资源。
应用1:通过5G专网访问校内资源
高校的广大师生在工作学习中通常需要访问大量的校内服务器,例如:访问校内的OA系统,校内的选课系统,校内图书资源等。对于这些需求,校园网5G签约用户通过基站接入到5G网络中,运营商通过手机号码识别出该用户的属性,然后将网络访问数据传输到相关的UPF设备。
1. 如果5G签约用户在校内,连接校内5G基站,由辅锚点UPF将数据包分流到校内;
2. 如果5G签约用户在校外,连接本地基站,数据包先路由到主锚点UPF,然后根据签约用户属性,路由到对应的辅锚点,然后由辅锚点路由数据包到校内。
应用2:通过5G专网访问校外图书资源
高校用户除了有访问校内资源的需求外,还需要访问高校购买的校外图书资源,例如:知网、万方等。这些图书资源网站只有通过校园网出口才能进行图书文献浏览和下载,因此,访问校外图书资源的数据包需要通过5G专网先路由到校内,然后再通过校园网出口进行访问。
由于UPF只能基于IP地址作路由,而很多校外图书资源是通过CDN发布的,IP地址经常变化,因此无法实现通过UPF进行图书资源域名路由。Panabit网关支持域名路由,可以基于图书资源进行域名路由,将图书资源数据包路由到校内,而其他流量通过单独的链路进行NAT和负载均衡出网。
03
5G专网访问校内资源安全事宜
5G用户无感知认证&二次鉴权
对于5G专网签约用户,在运营商服务期限内校内身份可能发生变化。例如:张三属于某高校的学生,在大学一年级时候购买运营商5G专网套餐,服务期限是4年。但在大二时候,张三因为某种原因转学,不再是该校学生。对于学校来说,张三不能再访问校内的服务器和图书资源。因此,学校要保留一种二次鉴权机制,确保只为在校的师生提供相关5G校园网服务。
针对这个问题,Panabit基于5G网络的特点,结合校内认证体系,推出5G校园网无感知二次鉴权机制,该机制采用5G手机号码和校内账号结合模式,让5G用户访问校内资源时,无需输入校内用户名和密码,而通过5G手机号码和校内账号结合进行二次鉴权。
数据具体处理办法是:
1. 5G签约用户登录校内自服务平台,用户直接进行手机号码和校内账号绑定。
2. 在UPF上配置“头增强”功能,在传输的报文中添加MSISDN(用户手机号)字段,UFP通过头增强添加手机号码后,Panabit到自服务系统查询,该手机号码是否绑定成功,如果不成功,阻断访问,反之则放行。
3. Panabit网关设备维护会话认证名单,若同一个IP地址+手机号的会话以前认证过,则直接放行,从而实现用户5G无感知认证。
4. 由于MSISDN(用户手机号)是在局端UPF处临时加入的,有些服务器不能识别该数据包(例如HTTPS),因此,Panabit设备需要去除MSISDN包头,然后再传输数据包到相关服务器,实现校内服务器访问的诉求。同时,由于数据包经过Panabit设备后,已经没有MSISDN(用户手机号),也保证了用户的隐私性。
5. 由于5G运营商网络规划和校园网网络规划不一致,从5G专网到校园网时Panabit设备进行NAT转换,实现网络访问的便利。
5G专网访问控制
不需要VPN,通过5G直接访问校内服务器资源大大提高了访问的便捷性,但如果有人利用5G的通道进行网络的攻击或者违规访问也是网络管理者需要考虑的问题,因此需要对5G专网用户进行访问控制,保证服务器的安全性。
Panabit可以提供灵活的访问控制策略
5G专网访问校内资源日志审计
《网络安全法》第二十一条规定,网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。因此,对于5G专网用户访问校内服务器的行为,也要做相关的日志留存和审计。
1:1全量会话日志留存
由于Panabit网关设备可以通过读取MSISDN(用户手机号)信息,因此Panabit设备能够将相关访问的记录传给Panalog,实现5G用户访问校内资源的日志记录,从而完成相关审计工作。
总结
1
5G虚拟校园网极大地提高了校园网络的覆盖面,5G专网的签约用户,无论是否在校内,无需VPN即可快速访问到校内的相关资源。
2
通过Panabit能够极大促进运营商5G专网和校园网的融合,用户既能够访问校内资源,又能够访问校外相关图书资源。
3
Panabit还提供了无感知认证、专网访问控制、全量会话留存等手段,保障5G虚拟校园网的安全。
解决方案&销售咨询
联系我们
更多精彩: