作者,李琳,王雷,智超,华琦,灯塔
一、什么是UPF
用户面功能(UPF,User Plane Function)是3GPP 5G 核心网系统架构的重要组成部分,主要负责5G核心网用户面数据包的路由和转发相关功能。UPF 在5G 面向低时延、大带宽的边缘计算和网络切片技术上发挥着举足轻重的作用。
1、历史
用户面功能(UPF,User Plane Function)代表控制和用户平面分离(CUPS,Control and User Plane Separation)策略在数据平面的演进。
2016 年前后,3GPP在Release 14 规范中作为对4G 核心网(EPC)的扩展而引入了CUPS 策略,把分组网关(PGW)和服务网关(SGW)进行了功能解耦,拆分为控制面(PGW-C和SGW-C)和用户面(PGW-U和SGW-U)。PGW-U 可以分散化部署,增加了流量转发的灵活性,使更靠近网络边缘的设备可以执行数据包处理和流量聚合,在减轻核心网负担的同时提高带宽效率。
CUPS 策略允许核心网用户面的下沉,能够支撑对大带宽和低时延有强烈需求的业务场景。但CUPS 的设计本身对4G EPC 演进力度大,虽然用户平面得以分离下沉,但与核心网其它功能实体间的交互环节仍存在巨大的限制。随着5G 摒弃了传统设备功能实体的设计,核心网白盒化和虚拟化,采用了基于服务的软件架构 (SBA,Service Based Architectures)微服务的设计理念,CUPS 策略中拆分出的用户面网络功能也逐步演进为了目前5G 核心网架构中的UPF 网元。演进历程如图1 所示。
图1. UPF的演进历程(2017 年)
UPF 涵盖了CUPS 策略后SGW-U 和PGW-U 的职能,主要用于流量的传输,并通过北向接口(N4)接收转发策略类的控制信息。此外,4G EPC 中鉴权、会话控制、用户数据管理等功能也逐步演变为了5G 核心网中负责控制面的网元。
2、功能
UPF 作为5GC 网络用户面网元,主要支持UE 业务数据的路由和转发、数据和业务识别、动作和策略执行等。UPF 通过N4 接口与会话管理功能(SMF,Session Management Function)进行交互,直接受SMF 控制和管理,依据SMF下发的各种策略执行业务流的处理。根据3GPP TS 23.501 V16.7.0,本文涉及到的UPF 主要功能如下:
1)无线接入网络与数据网络(DN,Data Network)之间的互联点,用于用户面的GTP隧道协议(GTP-U,GPRS Tunneling Protocol for User Plane)的封装和解封装;
2)协议数据单元会话锚点(PSA,PDU Session Anchor),用于在无线接入时的提供移动性;
3)5G SA 数据包的路由和本地分流,作为中继UPF(I-UPF,Intermediate UPF)充当上行分类器(UL-CL,Uplink Classifier)或者分支节点UPF(Branching Point UPF)。
4)除上述功能外,UPF 还有应用程序监测、数据流QoS 处理、流量使用情况报告、IP 管理、移动性适配、策略控制和计费等功能,可参考3GPP TS 23.501 规范[2]。除了网络功能性需求外,UPF还要考虑数据安全性、物理环境需求和部署功耗等指标。
图2. UPF 部分接口示意图
UPF 作为移动网络和数据网络(DN,Data Network)的连接点,重要接口包括N3、N4、N6、N9、N19、Gi/SGi、S5/S8-U、S1-U 等。以N 开头是UPF 与5G 核心网控制面网元或者外部网络交互的接口,如图2 所示[2]。其余部分接口可满足对现网已有网络设施的兼容,UPF 在5G 组网建设中仍需兼容现网已有的网络设施,实际部署中UPF 将整合SGW-U 和PGW-U 的职能,兼容已有的核心网络,物理层面将会存在UPF + PGW-U 的融合网元。
N3 接口是NG RAN 与UPF 间的接口,采用GTP-U 协议进行用户数据的隧道传输。
N4 接口是SMF 和UPF 之间的接口,控制面用于传输节点消息和会话消息,采用PFCP 协议,用户面用于传输SMF 需要通过UPF接收或发送的报文,采用GTP-U 协议。
N6 接口是UPF 和外部DN 之间的接口,在特定场景下(例如企业专用MEC 访问),N6 接口要求支持专线或L2/L3 层隧道,可基于IP 与DN 网络通信。
N9 接口是UPF 之间的接口,在移动场景下,UE 与PSA UPF 之间插入I-UPF 进行流量转发,两个UPF 之间使用GTP-U 协议进行用户面报文的传输。
N19 接口是使用5G LAN 业务时,两个PSA UPF 之间的用户面接口,在不使用N6 接口的情况下直接路由不同PDU 会话之间的流量,如图3 所示。
图3. 5G LAN N19 接口
Gi 接口是2/3G 接入用户通过GGSN 和外部DN 之间的接口;SGi 接口是PGW-U 和外部DN 之间的接口,需要支持IPv6/IPv4 双栈和IPSEC,L2TP 和GRE 等隧道协议。
S5/S8-U 接口是融合网元UPF/PGW-U 和SGW-U 之间的用户面接口。S5-U 接口是网络内部SGW 和PGW-U 间的接口,提供用户移动过程中连接跨区域SGW 并传输数据的功能。S8-U 是跨PLMN 的SGW-U 和PGW-U 之间的用户面接口,应具备漫游情况下的S5-U 接口功能。
S1-U 接口是eNodeB 和SGW-U 之间的接口,采用GTP-U 协议在eNodeB 和SGW-U 之间进行用户数据的隧道传输。
3、开放
用户面功能(UPF,User Plane Function)作为5G核心网的重要网络功能,担负着用户面数据流量的处理、路由等核心功能。随着5G边缘计算的拓展,UPF已逐渐成为连接运营商和垂直行业的桥梁,是5G拓展行业市场的钥匙。不同应用场景下对UPF的需求各有不同,面向行业应用场景(ToB)与面向传统用户(ToC)的需求有显著差异,需要轻量化、低成本、灵活部署、定制化的UPF。
当前,UPF与会话管理功能(SMF,Session Management Function)的接口(N4)尚未完全开放、服务化能力尚未完全实现,一定程度上影响了5G满足行业客户需求的能力。N4接口的非标准化,造成UPF与SMF同厂商的绑定,无法满足边缘用户侧UPF轻量化、低成本和灵活部署的需求。
为了助力5G服务垂直行业用户,2020年3月11日发布《5G OpenUPF白皮书》,提出的OpenUPF合作伙伴计划从开放接口、开放设备、开放服务和开放智能四个方面定义可靠、可管、可信、简洁、灵活、开放的UPF,通过构建完整的技术体系以推动产业成熟、增强网络能力。在2020年6月11日召开的3GPP会议上,5G N4接口开放和增强标准化项目开启。
二、UPF 分流技术原理
UPF 作为5G 网络和多接入边缘计算(MEC,Multi-Access Edge Computing)之间的连接锚点,所有核心网数据必须经过UPF转发,才能流向外部网络。MEC 是5G 业务应用的标志能力。基于5GC 的C/U 分离式架构,控制面NF 在中心DC 集中部署,UPF下沉到网络边缘部署,这样可以减少传输时延,实现数据流量的本地分流,缓解核心网的数据传输压力,从而提升网络数据处理效率,满足垂直行业对网络超低时延、超高带宽以及安全等方面的诉求。
UPF 如何将用户数据流分流至MEC 平台,是真正实现网络与业务深度融合及落地应用的第一步,也是实现5G 边缘计算商用部署的关键步骤。
5G 用户建立会话连接将优先选择中心UPF(中心UPF参考以下章节),当用户需访问MEC应用时才选择或插入边缘UPF,边缘资源按需提供给用户,避免由于大量用户挤占造成性能瓶颈。5G 网络需要配合MEC做好用户数据的本地分流,主流的5GC 边缘部署分流技术主要有三种:上行分类器(UL CL,Uplink Classifier)方案、IPv6 多归属(Multi-homing)方案、本地数据网络(LADN,Local Area Data Network)方案和数据网络标识(DNN,Data Network Name)方案。UL CL和IPv6 Multi-homing 属于单PDU会话的本地分流,用户数据分流在网络侧进行;DNN 和LADN 属于多PDU 会话的本地分流,用户数据分流从终端开始。
1、UL CL方案
对于IPv4 或IPv6 或IPv4v6 类型的PDU 会话,可以采用UL CL 方案。在用户PDU 会话建立过程中或建立完成后,SMF 可以在PDU 会话的数据路径中插入或者删除一个或多个UL CL。UL CL 支持基于SMF 提供的流量检测和流量转发规则向不同的PDU 会话锚点UPF 转发上行业务流,分流至MEC 平台;并且将来自链路上的不同PDU 会话锚点UPF 的下行业务流合并到5G 终端,有点像路由表的作用。UL CL 采用流过滤规则(例如检查UE 发送的上行IP 数据包的目的IP 地址/前缀)来决定数据包如何路由。
UE 不感知UL CL 的分流,不参与UL CL 的插入和删除。UE 将网络分配的单一IPv4 地址或者单一IP 前缀或者两者关联到该PDU 会话。
下图展示了一个PDU 会话拥有两个锚点的场景。UL CL 插在N3 口终结点的UPF 上,锚点1 和锚点2 终结N6 接口,上行分类器UPF 和锚点UPF 之间通过N9 接口传输。
图4. UL CL 方案
基于不同的触发条件,UL CL 方案可以分为一下几种:
1)特定位置UL CL 方案:分流策略配置在SMF。在用户移动到MEC 区域时,SMF 根据配置策略和AMF 上报的用户位置信息,触发UL CL 插入流程。特定位置触发UL CL 和LADN 场景类似,都是用户移动到特定位置时触发分流,触发条件简单易实现,适用于对公众用户开放的MEC 场景。由于MEC 区域所有用户(即使不使用MEC 业务)都会接入边缘UPF,可能会对边缘UPF 造成压力。
2)位置及用户签约UL CL 方案:分流策略配置在PCF,需要用户在PCF 上签约支持使用MEC业务。在用户移动到MEC 区域时,AMF通过SMF向PCF上报用户位置信息,PCF 根据用户位置信息及签约信息,触发UL CL 插入流程,新增边缘UPF锚点并插入UL CL。当在MEC 区域内要区分用户群体时,可采用位置及用户签约触发UL CL 的方案,避免MEC 区域所有用户都占用边缘UPF资源。
3)位置及应用检测UL CL方案:分流策略配置在PCF,需要将应用相关信息(五元组信息、应用URL)配置在PCF。在用户移动到MEC 区域并使用特定应用时,UPF根据应用标识对应的过滤器检测出业务流,通过SMF上报PCF。PCF 结合用户位置信息及应用流检测结果,触发UL CL 插入流程。位置及应用检测UL CL 方案可按应用触发分流策略,可控粒度更细;缺点是缺乏合适的UL CL 删除触发机制。
4)能力开放UL CL方案:分流策略配置在MEC/APP。在用户移动到MEC 区域时,AMF 通过NEF把用户位置信息通知给MEC/APP。MEC/APP 通过N5/N33 接口与PCF/NEF 进行交互,将分流规则告知PCF。PCF 结合用户位置信息及应用流检测结果,触发UL CL 插入流程。能力开放UL CL 是一种与应用紧耦合的方案,应用可根据业务需求动态地触发UL CL 策略,更为灵活,但是能力开放接口的调用请求需提供用户标识(5GC 分配的私网IP 地址),应用还需要感知用户位置信息,有一定开发门槛。
2、IPv6 Multi-homing 方案
IPv6 多归属(Multi-homing)方案只能应用于IPv6 类型的PDU 会话。
UE 在请求建立类型为IPv6 或IPv4v6 的PDU 会话时,要告知网络其是否支持IPv6 Multi-homing PDU 会话。在实际部署中,网络将会为终端分配多个IPv6 前缀地址,对不同业务使用不同的IPv6 前缀地址,可以一个IP 地址做远端业务,一个IP 地址做本地MEC 业务,通过分支点进行分流。
在PDU 会话建立过程中或建立完成后,SMF 可以在PDU 会话的数据路径中插入或者删除多归属(Multi-homing)会话分支点(Branching Point)。在Multi-homing 场景下,一个PDU 会话可以关联多个IPv6 前缀,分支点UPF 根据SMF 下发的过滤规则,通过检查数据包源IP 地址进行分流,将不同IPv6 前缀的上行业务流转发至不同的PDU 会话锚点UPF,再接入数据网络,以及将来自链路上的不同PDU 会话锚点UPF的下行业务流合并到5G 终端。UPF 可同时作为IPv6 多归属的分支点和PDU 会话锚点。IPv6 Multi-homing 分流如图5 所示。
图5. IPv6 Multi-homing 方案
3、DNN 方案
数据网络标识(DNN,Data Network Name)方案中,需要终端配置专用DNN 并在核心网统一数据管理功能(UDM,Unified Data Management)上面签约专用DNN。用户通过专用DNN 发起会话建立请求,SMF 选择UPF 时,根据5G 终端提供的专用DNN 以及所在的TA选择目的边缘UPF,完成边缘PDU 会话的建立,即可接入与边缘UPF 对接的MEC 平台。
DNN 方案对终端、网络的要求较小,5G 商用初期可选择此方案实现MEC 业务快速上线。但随着5G 业务发展,如果为每个MEC 客户分配独立DNN,对核心网设备特别是UPF 支持DNN 的数量将会是极大挑战。
4、LADN 方案
本地数据网络(LADN,Local Area Data Network)方案中,用户签约LADN DNN,AMF 上配置LADN 服务区域(Tracking Area,TA)与LADN DNN 的关系。5G 终端在向网络注册时,可以从核心网获取LADN 信息(如LADN服务区和LADN DNN)。当5G 终端移动到LADN 服务区域时,将会请求建立这个LADN DNN 的PDU 会话。AMF 确定5G 终端出现在该LADN 区域,且请求的DNN 在AMF 中配置为LADN DNN,则转发给SMF;SMF 通过选择合适的本地边缘UPF,建立本地PDU 会话,实现本地网络接入和本地应用访问。此时一个5G 用户可能拥有两个PDU 会话:Internet 会话及LADN 会话如,图6 所示。
AMF 跟踪终端的位置信息,并通知SMF 终端位置和LADN 服务区的关系,包括:在服务区、不在服务区和不确定在不在服务区等。当用户的位置不在LADN 的服务区内时,不能接入LADN。LAND 服务区用一组TA 标识,使用LADN 用于边缘计算流量分流时,通常LADN 的TA 和边缘计算上应用的服务区域是对应的。
图6. LDAN 方案
LADN 仅用于非漫游场景或者本地业务分流漫游场景,在实际部署中,用户通过LADN 会话访问MEC 业务,其余业务通过Internet 会话访问。
三、UPF应用
5G 网络将业务流分流至MEC 平台,主要应用的是UL CL 方案。UL CL 方案适用于商业综合体、博物馆、体育场馆、酒店等公众用户使用手机终端访问MEC 应用的场景,如视频直播、云游戏等,可同时支持公众访问Internet 应用。
IPv6 Multi-homing 方案适用于物联网、高可靠性专网等场景,但由于要采用IPv6,目前实施难度较大。
LADN 属于5G 新引入特性,对终端有新的功能要求,包括支持在特定TA 区域下发起或释放LADN 会话、支持URSP(UE Route Selection Policy,UE路由选择策略)用于配置LADN DNN 并将应用流绑定到LADN DNN 上。根据对产业链的调研,5G 核心网设备已支持LADN 功能,而终端对该功能的支持还要视商业需求而定,因此端到端LADN 方案的成熟还需要一段时间的开发测试及验证。
四、UPF部署方式
在实际部署时,UPF 需要按照不同业务场景对时延、带宽、可靠性等差异化的需求灵活部署,典型的部署位置包括:中心、区域、边缘、企业园区。
1、中心级UPF
中心级UPF,适用于时延不敏感,吞吐量需求较高且相对集中的业务,如普通互联网访问、VoNR、NB-IoT 等业务,中心级UPF 需具备如下特点。
一是满足ToC 网络的2G/3G/4G/5G/Fixed 全融合接入、报文识别、内容计费等功能需求。在实际网络部署中,在一定时间内会存在多种接入网络并存的情况,UPF 须同时支持多种无线接入,满足全融合接入需求;当用户跨接入网络移动时,实现相同会话IP 地址不变,保证业务连续性。
二是具备虚拟运营商网络共享能力,通过网络切片、网关核心网络(GWCN,GateWay Core Network)等网络技术,支持多UPF 实例、多租户、分权分域运维,满足不同虚拟运营商的差异化业务需求。
三是针对集中建设带来的高带宽转发能力要求,可通过扩展计算资源规模叠加单根I/O 虚拟化(SR-IOV,Single Root I/O Virtualization) + 矢量转发技术来提升转发效率,或者采用基于智能网卡的异构硬件来实现转发能力提升。
四是提供面向N6/Gi/SGi 接口流量的安全防护以及网络地址转换(NAT,Network Address Transform)功能,可以选用外置硬件防火墙、虚拟化防火墙以及UPF内置防火墙功能等方式进行部署。其中防火墙以及NAT 作为UPF 的业务功能组件存在,提升集成度,降低部署成本。
2、区域级UPF
区域级UPF,通常部署于地市级区域,主要承载地市区域范围的用户面业务,包括互联网访问、音视频以及本地企业业务等。区域级UPF 实现用户面下沉部署,有助于减少数据流量回传对承载网的传输压力;也可实现本地数据业务下沉,降低业务时延。较为典型的应用场景为大视频业务,为了提升用户体验,需要在各地市部署区域UPF,就近接入本地视频业务服务端,还可以通过在区域数据中心联合部署UPF 和CDN/Cache 节点的方式来缩短传输路径,如图7 所示。
图7. 区域级UPF 本地分流方案
区域级UPF 部署带来了运维管理方面的复杂度,存在集中运维管理的需求,可以通过网元管理系统(EMS,Element Management System)拉远的方式来接入区域级UPF 或者通过扩展N4/Sx 接口的方式来实现配置下发以及运维数据上报,考虑到未来对N4/Sx 接口解耦的需要,目前业界更倾向于前者的实现方式。
3、边缘级UPF
边缘级UPF,通常部署于区县边缘,应对高带宽、时延敏感、数据机密性强等业务。将UPF 下沉到移动边缘节点,可基于数据网络标识(DNN,Data Network Name)或IP 地址等识别用户,并根据分流策略对用户流量进行分流,对需要本地处理的数据流进行本地转发和路由,避免流量迂回,降低数据转发时延,提升用户体验。边缘业务分流场景如图8 所示。
图8. 边缘业务分流场景
使用到的分流策略分为以下几种,其中网元级和会话级分流已在前面章节中说明:
边缘级UPF 在部署运维上可通过软硬件预装、自动纳管、配置自动下发等方式实现设备即插即用;在正常运维中,可通过EMS 进行集中配置下发和运维管理。
边缘级UPF 下沉部署,通过N4 接口对接中心的SMF,需要考虑N4 接口安全,一般可以通过将N4 接口划分成独立的网络平面,或者通过部署防火墙/IPSEC 进行安全策略增强。
4、企业级UPF
企业级UPF,部署于企业机房,通过超高带宽、超低时延和超高可靠的连接提升工业控制的效率和自动化水平;同时生产数据能够在园区内终结,与公众网数据安全隔离,确保生产的安全可靠。
行业应用和工业环境与公众网有很大的不同,企业级UPF 除了满足基本的流量转发、本地分流以外,还需要重点满足以下要求:
基于5G LAN 实现的私网接入和管理能力。通过UPF 内的本地交换和UPF 间的N19 隧道技术,构建企业专属的“局域网”,如图9 所示。
图9. 5G LAN 企业跨分支通信应用
基于时间敏感网络(TSN,Time Sensitive Networking)技术,通过对传输时延和抖动的控制,实现确定性网络。针对TSN 场景,增强支持高精度时钟,以及在高精度时钟管理下的报文排队和调度机制;UPF 下沉到企业现场,实现纳秒级授时精度、毫秒级端到端时延和99.9999%的可靠性。
基于uRLLC 技术的超高传输可靠性。通过在N3/N9 接口建立双GTP-U 隧道,实现用户面冗余传输;或者建立端到端双PDU 会话,将相同的报文在两个会话中传输,确保连接的可靠性,如图10 所示。
图10. 5G uRLLC 多路径超高可靠性传输
企业级UPF需要解决起步成本高、设备功能复杂、部署和运维难度高等问题,需要引入轻量化的最简UPF解决方案,功能更有针对性,可以根据场景需求灵活搭配,并且实现出厂预安装、现场开箱即用,同时支持本地运维和远程运维。
企业级UPF通常部署于运营商网络之外,需要考虑运营商网络和企业网络的双重安全,需要提供安全过滤、双向数字鉴权、数据加密、防恶意攻击等能力。
5、全场景UPF部署
在“5G 新基建”引领下,中国移动为满足分布式建网、集约化运维需求,5G 核心网采用大区制建设方案,提供全场景UPF。因为ToC 和ToB 网络在产业成熟度、网络功能、市场应用上存在较大差异,采用两张网独立建设,UPF 也进行分开建设。为满足业务差异及各行业碎片化需求,UPF 采用分布式多级部署,如图11 所示。
图11. 中国移动全场景UPF 说明
ToC UPF 部署在中心级和区域级,兼顾业务时延和传输成本,满足大带宽、低时延需求,从成本和长期演进维度,全部采用100G 智能网卡加速,配置一步到位,更加契合5G 长期业务发展需求。
ToB UPF部署在中心级、区域级、边缘级和企业园区级。
UPF的各级典型部署(中心、区域、边缘、企业园区)对UPF的吞吐量、时延、功能、应用场景、形态等需求如下表所示。
五、UPF开放
1、目标
聚焦ToB场景,避免大而全,追求小而精。传统UPF功能全面,但功能和设计愈发复杂、牵一发而动全身。ToB场景更需要的是轻量化、可定制的UPF。
OpenUPF计划的重要目标,一是:以“全集”UPF为基础,定义简单高效的“最简”UPF。通过最简UPF的功能满足高效灵活的部署,降低5G进入千行百业的门槛。二是:满足行业差异化需求、探索功能定制的“增量”UPF。通过增量提升产业价值,同时避免碎片化的定制需求带来研发和维护成本的上升。
2、策略1,统一架构、开放接口
统一UPF架构设计,实现开放、标准的5G控制面和用户面之间的N4接口,构建测试认证体系,Open UPF统一架构如下图所示。
图. Open UPF统一架构设想
为了更好地满足ToB业务更加灵活的发展需求,在功能方面,相对于部署在网络核心的通用UPF,ToB UPF的功能可按需进行简化和分级,梳理出必须支持的基本功能和按需支持的可选功能,实现场景驱动的“按单点菜”;在性能方面,ToB UPF应可提供不同吞吐量规格的设备,满足各种规模的行业需求。
除以上基本功能外,还可根据需求支持以太网数据传输、头增强、白名单、重定向、Framed Routing、GRE/L2TP/IPSec 隧道等功能。为匹配不同业务场景的业务规模,ToB UPF应可提供支持不同吞吐量规格的设备。
目前3GPP对UPF和SMF之间N4接口的定义存在两大问题,一是功能方案冗余,为实现同一功能特性有多种可选方案,由厂家自行选择;二是常用技术方案缺失,一些常用功能由厂家私有实现完成,缺乏标准化支撑,导致不同产品在协议实现上的差异,N4接口仍然为事实上的私有接口。非标准化直接导致了N4接口缺乏互操作性,降低了网络部署的灵活性,增加了网络管理的复杂度,限制了5G网络服务行业客户的生态发展。
聚焦基础接入能力的“最简”UPF,为接口开放提供了可能。标准化的N4接口定义,通过如下三个途径达到:
做选择:对于标准中定义了多选方案的功能,进行对比后选择更优方案,统一技术实现;
去歧义:对于标准定义不清晰的功能或字段,明确使用方法;
补漏洞:对于标准定义无法满足需求或未定义的功能,通过复用已有字段或扩展Vendor IE 实现。
需要说明的是,UPF的功能定制和N4接口的解耦也会对SMF有相关功能要求。考虑到网络建设和维护成本等因素,SMF通常需要同时管理通用UPF和简化的ToB UPF,运营商网内UPF需要在一些基础功能上尽量保持一致,避免对SMF等控制面功能频繁的改造。此外,在网络运维中,UPF和SMF解耦后在问题定位、网络规划等方面也需要更好的协同。
3、策略2,规范平台、开放设备
研究软硬件参考设计,设计面向不同典型场景的硬件规格,共同定义UPF功能基线要求,兼顾系统的灵活度和可扩展性,打造可复制易部署统一平台。
图. Open UPF统一平台
行业客户往往存在定制需求,功能迭代频繁,部分场景有边缘计算的需求,要求UPF支持面向第三方业务的能力开放,对外提供IaaS与PaaS能力。因此,建议UPF按照虚拟化(包括容器化)形态部署和运行在通用服务器上,同时提供硬件和软件功能,如下图所示。(这并不意味着对一体机的摒弃,在特定边缘场景情况下,一体机会带来商务和部署的便利。)
在硬件选择上遵循标准化和通用化原则,可根据不同的业务场景选择服务器与交换机两种硬件方案。
服务器形态UPF主要用于通用CPU+专用加速芯片(ASIC、SOC、FPGA、NP 等)为核心处理单元的架构中。针对不同的业务场景统一规划不同CPU平台的配置模型,兼容Intel、ARM架构;同时具备扩展性,包括内存、PCIE 插槽的扩展。建议采用标准网卡的自动散列等功能与CPU具备的频率负载调配功能提升性价比。在对UPF吞吐与时延要求不高的场景,可考虑使用软硬件结合的加速方案。在对吞吐与时延要求严格的场景,可考虑使用硬件加速技术,建议使用FPGA智能网卡作为标准加速硬件。服务器形态UPF既适用于功能复杂,性能要求较高的场景,又可用于功能较简单,性能要求一般的场景,是当前业界主流产品的形态。
交换机形态UPF主要用于中低端通用CPU+交换芯片的交换机硬件架构中。通过通用CPU 实现虚拟化,利用交换芯片卸载UPF部分数据处理任务和转发功能,在提升系统的处理能力的同时释放CPU资源用于核心任务处理。交换机形态UPF在分组路由和转发、GTP 隧道处理以及根据用户面策略进行分流等方面都具有优势。综合功耗、散热以及空间等因素,交换机方案有助于降低整体成本和功耗,同时提升系统的处理能力。适合在多端口、低成本、低功耗的场景中应用,例如智能停车、智能消防、智能家电等NB-IoT应用场景。
虚拟化基础设施管理器(VIM,Virtualised Infrastructure Manager)建议具备轻量化、认证管理、虚拟机模板/规格/生命周期管理、裸机管理、秘钥管理、存储卷及快照管理、网络资源管理、加速器管理等功能。VIM 版本建议基于开源社区OpenStack Train版本,或北向接口匹配OpenStack Train 版本的商业虚拟化管理器。
虚拟机管理器(Hypervisor)建议采用实时性内核,支持实时性虚拟机操作系统(Guest OS)、CPU模式设定、CPU核绑定、NUMA/PCI NUMA亲和性、虚拟机亲和性/反亲和性组、虚拟网卡多队列、VLAN透传、加速器(SR-IOV,GPU,FPGA)等功能,按需满足行业UPF 的功能和性能要求。
容器平台需支持应用及各种资源对象的编排,底层网络和存储的编排,以及租户管理等功能,以实现容器化UPF的整个生命周期管理;应具备数据库、消息队列、中间件、微服务间通信及治理等服务能力,构建可对外提供平台通用服务能力的开放的PaaS平台。建议运行容器的操作系统基于开源标准Linux并增强,支持满足开放容器标准(OCI,Open Container Initiative)和容器运行时接口(CRI,Container Runtime Interface)的容器运行。建议容器层管理软件采用基于开源Kubernetes并增强。
4、策略3,拓展行业、开放服务
ToB UPF应为运营商、合作伙伴逐步提供可调用的API、可编程的环境,成为网络价值的创造点如下图。
图. Open UPF开放服务架构图
UPF的服务能力分为两部分,基础功能与增值定制功能。基础功能是5G UPF基础能力,即表2中支持的功能;定制功能,是根据行业需求叠加定制的特色能力,如虚拟网络、本地转发、位置、认证等。仅仅满足基础功能的ToB UPF是不够的,随着标准技术的演进和新的开放服务模式的出现,UPF还需开放更多网络基础能力,不断引入新的特性,进一步丰富定制化能力;同时能将功能调用的API提供给运营商,并在业务合约下提供给垂直行业伙伴,例如开放信息的订阅、网络连接的管理(如二次认证)、IP 地址的自主分配等能力。
UPF的开放服务还可以提供给边缘计算平台和能力开放平台,支持边缘计算平台将开放服务直接提供给边缘应用或者对服务数据进行加工后提供给边缘应用。UPF获取的数据在获得授权后,也可以反馈给网络开放功能(NEF)、网络数据分析功能(NWDAF)、网管平台,作为基础数据助力核心网智能信息分析及处理,加强大数据平台分析结果的准确性,更好的优化网络配置策略。
5、策略4,面向演进、开放智能
UPF不只是一个简单的转发网关,作为服务行业的抓手,需要发挥其计算处理的能力,为行业提供智能的网络及服务。将智能融合到UPF的设计中,用网络的智能化为产业界的发展打开想象的空间。
连接智能:UPF是网络智能调控的关键节点。考虑多接入方式对连接质量的不同要求,需要UPF具备智能的连接管理、流量识别、质量感知等能力。
运维智能:UPF数量多、类型多、功能有差异,需要其运营和管理更加的简单、自动化、智能化。在组网上尽可能即插即用、运行中自动排障,降低人为现场维护和管理的需要。
业务智能:以UPF为窗口,将运营商的智能化能力提供给行业伙伴,帮助其在视频处理、图像识别、语音识别等方面提供基础能力。
网络可编程:UPF需要更加灵活和智能化的架构和接口设计,实现接口、功能、网络可编程。使其能够满足多样化场景需求,快速适应多样化的数据格式、协议类型和处理要求,加快新业务上线速度,如下图。
6、安全要求
部署在用户侧的UPF相比在核心机房的UPF具有更多的暴露面,更易被攻击。通用硬件、操作系统、中间件的漏洞更易被攻击者发现。另外,以虚拟机或容器部署时,还会受到虚拟化软件漏洞被利用,虚拟机逃逸、容器镜像被篡改等相关安全风险。
为了能够安全的为垂直行业和5G网络提供服务,OpenUPF首先需满足电信设备通用安全要求,确保软硬件安全。其次,应支持5G标准UPF的安全机制。此外,还应支持如下安全要求:
组网安全:支持管理、业务和存储三平面隔离,可与垂直行业应用/服务器进行安全隔离。当部署在客户现场时,应支持内置安全功能(如IPSec,虚拟防火墙功能)。
物理安全:具备物理安全保护机制。当部署在客户现场时,所在的物理服务器应具备可信启动和远程度量功能,保证OpenUPF处于可信状态。
基础设施安全:支持对其使用的操作系统、中间件、数据库以及web管理接口进行安全加固;当部署在虚拟机或容器上时,应保证OpenUPF功能所在的虚拟机或容器与其它虚拟机或容器安全隔离,镜像有防篡改保护等。
接口安全:支持对SMF等通信对端进行认证,并对API的调用进行认证和授权。
数据安全:支持对传输的数据进行机密性和完整性保护;对存储的敏感数据进行加密存储,并对访问进行控制。
策略冲突检查:支持对SMF通过可编程接口下发的策略进行冲突检查。
信令过载限制:支持限制发送给SMF的信令流以及从SMF接收的信令流,防止信令过载。
小结
5G 改变社会,服务的是各行各业,用户体验要求很高,UPF 是核心网最重要的网元之一,必须具备电信级的产品品质。
UPF 作为5G 数据处理和转发的核心功能,已经逐步成为运营商服务垂直行业的桥头堡,正逐步从“核心”走到行业用户的园区。作为推动5G 与干行百业融合的重要网络节点,UPF 应该做到规模化部署和更贴近客户侧部署的“点面”结合,满足客户需求,服务干行百业。
UPF 的下沉需要传输网和IP 承载网共同支持,也意味着边缘云的下沉。边缘UPF 不仅需要和运营商的通信网络云互通,还需要和运营商的IT 云、第三方公有云的协同,全面推动云网融合能力和云边协同能力。
当前,UPF 与SMF 的N4 接口尚未完全开放、服务化能力尚未完全实现。为了满足垂直行业轻量化、低成本、灵活部署的需求,OpenUPF 合作伙伴计划,从开放接口、设备、服务和智能四个方面定义开放的UPF,提升网络能力和业务开展灵活性,助力5G 融入百业、服务大众。
UPF是5G开启垂直行业的金钥匙。需要在不断发展中完善规范推进解耦,解耦不是一蹴而就,要在测试验证、应用验证和发展演进中不断完善。