双域专网售前5G解决方案模板

XXX双域专网项目5G解决方案通用DNN+ULCL（签约）方案（按需保留）（本方案仅支持签约用户在固定园区、地市或省内使用，暂不支持4G用户接入及漫游访问专网，适用于无4G用户接入、无漫游访问专网需求的项目。）组网架构本项目采用固定用户的通用DNN+ULCL（签约）方案，采用州市共享TOCUPF/新建下沉园区UPF该方案要下沉UPF吗？可下沉，也可用大网TOCUPF，将数据分流转发至客户内网服务器，完成端到端数据连接，保障XXX业务高安全及可靠。该方案要下沉UPF吗？可下沉，也可用大网TOCUPF网络示意图如下所示：采用州市共享TOCUPF（按需保留）下沉园区UPF（按需保留）技术原理修改格式，下同已修改修改格式，下同已修改ULCL分流方案根据同一PDU会话中不同的目的IP进行分流，当签约用户进入特定区域时，由PCF触发SMF在接入侧插入ULCLUPF（可兼做专网锚点UPF），ULCLUPF基于PCF下发的流量检测和转发规则，识别并根据会话中不同的目的IP进行分流，其中本地（内网）业务通过专网锚点UPF进行疏导，公网（CMNET）业务通过公网锚点UPF出口，来自不同会话锚点UPF的下行业务流则由ULCLUPF合并转发至用户终端。流程描述：(1)用户发起初始会话建立请求，从UDM获取签约的DNN为CMNET，建立CMNET会话。(2)PCF基于签约为园区用户下发初始会话策略（含分流策略），触发SMF插入ULCL+PSA1UPF，SMF同时将分流策略下发至ULCL+PSA1UPF；当用户在园区外完成会话建立后移动至园区时，PCF基于签约为园区用户下发分流策略；(3)用户访问园区业务的流量经由ULCL+PSA1UPF直接在本地卸载，UPF将本地业务的流量和其对应的RG上报至SMF，经由CHF上报给BOSS实现优惠计费；用户访问公网的流量经由ULCLUPF转接至2C通用UPF；(4)用户离开园区时，SMF发起ULCL+PSA1UPF删除流程，用户通过PSA0UPF或其他地市通用UPF访问公网。方案部署建议及局限性（1）ULCL技术仅支持5G用户的业务分流。ULCL技术是5G专用技术，公专网分流及内网访问功能仅适用于签约用户通过5G网络访问场景，当终端回落至4G网络时，内网访问会发生中断，且用户终端在4G网络时无法通过ULCL技术实现公专网分流及内网访问功能。（2）ULCL技术方案适用于本地市访问的业务场景。ULCL分流为基于特定区域的技术方案，区域限定为接入本地ULCLUPF的基站覆盖区域，在该范围内可基于TA规划特定区域作为签约用户ULCL分流区域，签约用户离开该区域后无法完成ULCLUPF插入访问内网，公网访问不受影响。（3）该方案无法直接解决终端IP地址与客户内网IP地址冲突问题。现网中为访问CMNET业务的终端分配的IP地址是移动内网IP地址，若企业服务器采用的内网IP地址段与移动为终端分配的IP地址段重合，可能存在IP地址冲突的风险，该方案无法直接解决IP地址冲突问题，需在企业内网入口部署防火墙同时开启双向NAT功能，完成双向地址转换才可解决IP地址冲突问题。（4）该方案仅支持单UPF或双UPF主备容灾模式下的GRE隧道容灾。因现网UPF不具备SNAT能力、核心网防火墙不具备SNAT后起GRE隧道的能力，多UPF负荷分担模式下，客户侧回程路由无法完成多条GRE隧道间的优先级配置，目前该方案仅支持单UPF或双UPF主备模式下的GRE隧道容灾。（5）该方案与苹果终端存在适配性问题。本方案利旧CMNET为终端分配IPv6和IPv4双栈地址，当目的分流地址为域名格式时，苹果终端在IPv6和IPv4双栈的网络环境下会优先通过IPv6发起DNS解析请求，若客户侧DNS服务器不支持IPv6协议，DNS服务器无响应导致请求超时，终端反馈业务建立失败，并且不会通过IPv4重新发起DNS解析请求，导致终端无法获取域名解析结果导致无法访问专网。通用DNN+ULCL（非签约）（按需保留）该方案不用配置DNN吗？不用，默认的通用DNN那就都是ULCL+通用DNN，和第一个ULCL+通用DNN什么区别？固定用户和非固定用户看上去都是一个方案，区别在哪里?这个叫非固定用户ULCL方案，使用默认通用DNN；区别是在该方案对所属区域的SMF上配置默认策略，对所有进入园区区域的用户激活业务检测的规则，并针对访问园区用户的业务触发ULCL分流机制的建立和会话分流，组网图可用同一个和第一种方案的区别是：第一种还得是内部员工，这个是游客使用？组网图修改意见和上面一样是的，这个不用签约固定用户该方案不用配置DNN吗？不用，默认的通用DNN那就都是ULCL+通用DNN，和第一个ULCL+通用DNN什么区别？固定用户和非固定用户看上去都是一个方案，区别在哪里?这个叫非固定用户ULCL方案，使用默认通用DNN；区别是在该方案对所属区域的SMF上配置默认策略，对所有进入园区区域的用户激活业务检测的规则，并针对访问园区用户的业务触发ULCL分流机制的建立和会话分流，组网图可用同一个和第一种方案的区别是：第一种还得是内部员工，这个是游客使用？组网图修改意见和上面一样是的，这个不用签约固定用户（本方案支持非签约用户在限制区域内访问专网，不支持跨省市漫游及4G用户接入，适用于非固定用户在固定区域内访问专网的项目，例如针对游客开放的博物馆专网）组网架构该项目采用非固定用户的ULCL方案，采用州市共享TOCUPF/新建下沉园区UPF进行ULCL分流，同时为XXX单位所有基站划定单独的TAC区，为到访人员实现基于用户位置的分流。网络示意图如下所示：采用州市共享TOCUPF（按需保留）下沉园区UPF（按需保留）技术原理ULCL分流方案根据同一PDU会话中不同的目的IP进行分流，当用户进入特定区域时，触发SMF在接入侧插入ULCLUPF（可兼做专网锚点UPF），ULCLUPF基于预定义的流量检测和转发规则，识别并根据会话中不同的目的IP进行分流，其中本地（内网）业务通过专网锚点UPF进行疏导，访问公网（CMNET）的流量通过公网锚点UPF出口，来自不同会话锚点UPF的下行业务流则由ULCLUPF合并转发至用户终端。流程描述：(1)用户初始会话（CMNET）建立时，SMF可基于位置或位置+业务访问触发ULCL流程：1）基于位置：SMF本地基于TA等位置信息配置ULCL+PSA1UPF的插入策略。当用户移动到指定位置时触发ULCL+PSA1UPF的插入；2）基于位置+业务：SMF给PSA0UPF下发园区业务检测上报策略（包括当前位置、业务开始和业务结束），当用户位于特定位置且用户开始访问园区业务时，UPF向SMF上报流量开始，触发SMF插入ULCL+PSA1UPF；(2)用户访问园区业务的流量经由ULCL+PSA1UPF直接在本地卸载，UPF将本地业务的流量和其对应的RG上报至SMF，经由CHF上报给BOSS实现优惠计费；用户访问公网的流量经由ULCLUPF转接至2C通用UPF；(3)用户离开园区或停止特定业务访问（基于位置+业务适用）时，SMF发起ULCL+PSA1UPF删除流程，用户通过PSA0UPF或其他地市通用UPF访问园区业务，按普通非优惠费率计费。1)由于ULCL方案是5G专用方案，仅适用于5G终端的用户；2)ULCL+PSA1的容量需要考虑在同一TA下驻留的所有用户的流量，本地分流的业务量可能仅为全流量较小比例，该设备的成本收益需要进一步评估。方案部署建议及局限性（1）ULCL技术仅支持5G用户的业务分流。ULCL技术是5G专用技术，公专网分流及内网访问功能仅适用于签约用户通过5G网络访问场景，当终端回落至4G网络时，内网访问会发生中断，且用户终端在4G网络时无法通过ULCL技术实现公专网分流及内网访问功能。（2）该方案无法直接解决终端IP地址与客户内网IP地址冲突问题。现网中为访问CMNET业务的终端分配的IP地址是移动内网IP地址，若企业服务器采用的内网IP地址段与移动为终端分配的IP地址段重合，可能存在IP地址冲突的风险，该方案无法直接解决IP地址冲突问题，需在企业内网入口部署防火墙同时开启双向NAT功能，完成双向地址转换才可解决IP地址冲突问题。（3）该方案仅支持单UPF或双UPF主备容灾模式下的GRE隧道容灾。因现网UPF不具备SNAT能力、核心网防火墙不具备SNAT后起GRE隧道的能力，多UPF负荷分担模式下，客户侧回程路由无法完成多条GRE隧道间的优先级配置，目前该方案仅支持单UPF或双UPF主备模式下的GRE隧道容灾。专用DNN+通用DNN方案（按需保留）（本方案支持签约用户在固定区域或跨省市漫游访问专网，支持4G用户接入，客户需自行切换DNN以访问公网或专网。适用于对公网和专网隔离度要求较高、使用定制终端（可切换DNN）的项目）组网架构该项目采用固定用户通用DNN+专用DNN方案，采用州市共享TOCUPF/新建下沉园区UPF，对访问专网和互联网的流量进行疏导，XXX业务终端通过专用DNN访问XXX单位内网，手动切换通用DNN后访问互联网。网络示意图如下所示：采用州市共享TOCUPF（按需保留）下沉园区UPF（按需保留）技术原理除通用DNN（CMNET）外，新增签约专用DNN，由终端侧根据业务所在域选择通用DNN或专用DNN接入，公网域流量通过本地UPF就近接入互联网，专网流量汇聚至专用DNN锚点UPF，接入客户内网。该方案支持4/5G终端全国漫游场景下的双域访问。1、园区业务是园区内网服务器连接中国移动内网？2、两台UPF，看箭头公网走共享UPF，内网走的是下沉UPF？还是这两台UPF可以是同一台？1、这个是集团材料的组网图，园区业务是终端通过移动网络接入到园区内网；2、项目下沉UPF，流量分开走；不下沉使用共享UPF，都走共享UPF。1、园区业务是园区内网服务器连接中国移动内网？2、两台UPF，看箭头公网走共享UPF，内网走的是下沉UPF？还是这两台UPF可以是同一台？1、这个是集团材料的组网图，园区业务是终端通过移动网络接入到园区内网；2、项目下沉UPF，流量分开走；不下沉使用共享UPF，都走共享UPF。流程描述：(1)用户有访问公网的需求时，则发起DNN为CMNET的初始PDU会话建立请求；(2)AMF从UDM获取DNN签约（其中包含CMNET），基于DNN等信息为此用户选择拜访地的SMF，拜访地的SMF为此用户选择拜访地的UPF；随后AMF、拜访地SMF、拜访地UPF、归属地PCF等网元协同完成CMNET会话建立。(3)当用户有访问专网的需求时，则发起DNN为专网DNN的初始PDU会话建立请求。(4)AMF从UDM获取DNN签约（其中包含专网），基于DNN等信息为此用户选择归属地的SMF和拜访地I-SMF（可能存在），归属地的SMF为此用户选择归属地的UPF（即边缘锚点UPF），拜访地I-SMF（可能存在）为此用户选择拜访地的I-UPF（可能存在）；随后拜访地I-SMF和I-UPF（可能存在）、归属地的SMF和UPF、归属地PCF等网元协同完成专网会话建立。(5)用户可基于不同的业务访问需求使用不同的PDU会话访问相关目的数据网。方案部署建议及局限性该方案需要定制终端或者手动配置专用DNN。使用该方案需要终端侧自动或手动根据访问业务完成DNN切换，对终端能力有要求，部分终端如苹果终端不具备该能力，因此本方案一般应用于配备定制终端并要求端到端双域隔离的特殊行业，如政务、警务等行业。网络侧多DNN方案（按需保留）（本方案支持签约用户跨省市漫游访问专网，适用于有漫游访问专网需求、无4G用户接入（4/5G融合改造完成后可支持，云南除昭通、迪庆、怒江3地州未完成4/5G融合，其余13州市均已完成4/5G融合，昭通、迪庆预计24年底完成，怒江预计25年底完成）需求的项目）组网架构该项目采用网络侧多DNN方案，采用州市共享TOCUPF/新建下沉园区UPF使用共享UPF和下沉UPF有什么区别？专用DNN可以承载在2CUPF上？下沉UPF保障内网数据不出园区；可以。，UDM签约CMNET+专用DNN这个和专用DNN+通用DNN方案什么区别？不用手动切换DNN，核心网各类网元功能升级，满足XXX单位签约人员在全国范围内无感知访问内网系统平台及互联网。使用共享UPF和下沉UPF有什么区别？专用DNN可以承载在2CUPF上？下沉UPF保障内网数据不出园区；可以。这个和专用DNN+通用DNN方案什么区别？不用手动切换DNN，核心网各类网元功能升级网络示意图如下所示：采用州市共享TOCUPF（按需保留）下沉园区UPF（按需保留）技术原理通过对公网用户签约并配置PCC策略，以“用户终端单DNN/单IP地址、网络侧多DNN分流汇聚及分别管控”的方式，当“识别到用户在CMNETDNN发送的用户数据报文的目的URL/URI或目的IP地址为企业内网的URL/URI及IP地址时，主动为用户激活专用DNN会话”，实现“用户公网业务与专网业务无感知切换及同时并存”；在专用DNN会话建立流程中，由承载专用DNN会话的SMF向UDM获取专用DNN的签约数据并为用户分配相应的IP地址（或通过与企业侧交互，由企业侧AAA完成用户IP地址分配），在此过程中对用户已签约公网业务没有影响，对终端无功能要求、用户无感知。流程描述：(1)在用户归属UDM/UDR上为用户签约CMNET和专用DNN，专用DNN需包含无感分流关键字，标识该DNN的用户接入需要网络支持无感分流能力，与普通专用DNN不同；在用户归属的PCF/UDR上为用户签约并配置建立专用DNN会话的PCC策略，指示当“识别到用户在CMNETDNN发送的用户数据报文的目的URL/URI或目的IP地址为企业内网的URL/URI及IP地址时，主动为用户激活专用DNN会话”。(2)当用户使用公网（互联网）业务时，AMF基于UDM签约中的无感分流专用DNN为用户选择支持无感分流的SMF，SMF向PCF发起初始PCC策略创建，同时PCF下发建立专用DNN会话的PCC策略，网络为UE完成CMNETDNN的PDU会话建立。注：若在用户接入网络后签约专用DNN，则由PCF发起PCC策略更新，将建立专用DNN会话的PCC策略下发。(3)UE正常访问公网业务，当UPF检测到在CMNET会话中存在目的IP地址或者URL符合PCC策略中的特征流时，向SMF上报，SMF在收到特征流量上报后触发专用DNN会话的建立流程。在建立会话的流程中，由承载专用DNN会话的SMF向UDM获取专用DNN的签约数据并为用户分配相应的IP地址（或通过与企业侧交互，由企业侧AAA完成用户IP地址分配），该IP地址用于专用DNN会话。(4)当网络侧完成专用DNN会话建立后，终端和无线侧并不感知，而由具备无感分流能力的SMF和UPF（如图中蓝色框中网元）完成多个DNN会话间的映射。(5)用户访问公网及专网业务的流量在具备无感分流能力的UPF侧进行分流疏导。方案部署建议及局限性（1）该方案初期仅5G终端用户和完成4/5G核心网融合改造的省市的4G用户可使用。该方案目前已支持5G终端在5G覆盖区域以及4G终端在完成4/5G核心网融合改造的4G覆盖区域接入使用该分流方案。后续随着4/5G核心网融合改造的逐步完成（预计2025年左右），全网范围均可支持4/5G用户接入使用该分流方案。（2）由于该方案下终端和无线侧不感知专网DNN及网络分配的专网会话IP，无线侧网络功能及终端侧鉴权功能受限。该方案无法对专用DNN会话进行QoS控制等，如影响现网的超套限速业务使用。该方案仅支持专用DNN下网络侧代理的二次认证，无法支持企业对终端直接发起的AAA认证。安全方案5G网络存在多种安全风险，5G应用安全保障尤为重要，需要更高安全性的网络方案及服务模式。5G专网切片通过三大网络（无线、传输、核心网）的端到端联合切片实现，一个切片横跨无线接入网、传输网、核心网等多个子域，无线运用基站、频谱切片技术，传输运用FlexE（灵活以太网）硬隔离技术，核心网运用UPF独享、NFV（网络功能虚拟化）技术，通过对各个子域的资源进行统筹安排，并通过5GDNN(5G网络ID)实现端到端切片网络打通，有效支撑园区业务。无线网安全方案通过物理基站硬隔离、无线频谱切片，即建设独立的物理基站，划分独立的2.6G无线频谱资源，达到5G专网设备物理硬件隔离；基于接纳控制优先级调度实现软隔离，总体实现无线网络侧切片安全隔离；通过无线空口安全机制实现无线网络接入安全保障，基于统一认证框架的双向认证能力，可防范伪基站；用户面增加完整性保护功能，防止