[[388838]]

一、什么是UPF

用戶面功能(UPF，User Plane Function)是3GPP 5G 核心網系統(tǒng)架構的重要組成部分，主要負責5G核心網用戶面數(shù)據(jù)包的路由和轉發(fā)相關功能。UPF 在5G 面向低時延、大帶寬的邊緣計算和網絡切片技術上發(fā)揮著舉足輕重的作用。

1、歷史

用戶面功能(UPF，User Plane Function)代表控制和用戶平面分離(CUPS，Control and User Plane Separation)策略在數(shù)據(jù)平面的演進。

2016 年前后，3GPP在Release 14 規(guī)范中作為對4G 核心網(EPC)的擴展而引入了CUPS 策略，把分組網關(PGW)和服務網關(SGW)進行了功能解耦，拆分為控制面(PGW-C和SGW-C)和用戶面(PGW-U和SGW-U)。PGW-U 可以分散化部署，增加了流量轉發(fā)的靈活性，使更靠近網絡邊緣的設備可以執(zhí)行數(shù)據(jù)包處理和流量聚合，在減輕核心網負擔的同時提高帶寬效率。

CUPS 策略允許核心網用戶面的下沉，能夠支撐對大帶寬和低時延有強烈需求的業(yè)務場景。但CUPS 的設計本身對4G EPC 演進力度大，雖然用戶平面得以分離下沉，但與核心網其它功能實體間的交互環(huán)節(jié)仍存在巨大的限制。隨著5G 摒棄了傳統(tǒng)設備功能實體的設計，核心網白盒化和虛擬化，采用了基于服務的軟件架構 (SBA，Service Based Architectures)微服務的設計理念，CUPS 策略中拆分出的用戶面網絡功能也逐步演進為了目前5G 核心網架構中的UPF 網元。演進歷程如圖1 所示。

圖1. UPF的演進歷程(2017 年)

UPF 涵蓋了CUPS 策略后SGW-U 和PGW-U 的職能，主要用于流量的傳輸，并通過北向接口(N4)接收轉發(fā)策略類的控制信息。此外，4G EPC 中鑒權、會話控制、用戶數(shù)據(jù)管理等功能也逐步演變?yōu)榱?G 核心網中負責控制面的網元。

2、功能

UPF 作為5GC 網絡用戶面網元，主要支持UE 業(yè)務數(shù)據(jù)的路由和轉發(fā)、數(shù)據(jù)和業(yè)務識別、動作和策略執(zhí)行等。UPF 通過N4 接口與會話管理功能(SMF，Session Management Function)進行交互，直接受SMF 控制和管理，依據(jù)SMF下發(fā)的各種策略執(zhí)行業(yè)務流的處理。根據(jù)3GPP TS 23.501 V16.7.0，本文涉及到的UPF 主要功能如下：

1)無線接入網絡與數(shù)據(jù)網絡(DN，Data Network)之間的互聯(lián)點，用于用戶面的GTP隧道協(xié)議(GTP-U，GPRS Tunneling Protocol for User Plane)的封裝和解封裝;

2)協(xié)議數(shù)據(jù)單元會話錨點(PSA，PDU Session Anchor)，用于在無線接入時的提供移動性;

3)5G SA 數(shù)據(jù)包的路由和本地分流，作為中繼UPF(I-UPF，Intermediate UPF)充當上行分類器(UL-CL，Uplink Classifier)或者分支節(jié)點UPF(Branching Point UPF)。

4)除上述功能外，UPF 還有應用程序監(jiān)測、數(shù)據(jù)流QoS 處理、流量使用情況報告、IP 管理、移動性適配、策略控制和計費等功能，可參考3GPP TS 23.501 規(guī)范[2]。除了網絡功能性需求外，UPF還要考慮數(shù)據(jù)安全性、物理環(huán)境需求和部署功耗等指標。

圖2. UPF 部分接口示意圖

UPF 作為移動網絡和數(shù)據(jù)網絡(DN，Data Network)的連接點，重要接口包括N3、N4、N6、N9、N19、Gi/SGi、S5/S8-U、S1-U 等。以N 開頭是UPF 與5G 核心網控制面網元或者外部網絡交互的接口，如圖2 所示[2]。其余部分接口可滿足對現(xiàn)網已有網絡設施的兼容，UPF 在5G 組網建設中仍需兼容現(xiàn)網已有的網絡設施，實際部署中UPF 將整合SGW-U 和PGW-U 的職能，兼容已有的核心網絡，物理層面將會存在UPF + PGW-U 的融合網元。

N3 接口是NG RAN 與UPF 間的接口，采用GTP-U 協(xié)議進行用戶數(shù)據(jù)的隧道傳輸。

N4 接口是SMF 和UPF 之間的接口，控制面用于傳輸節(jié)點消息和會話消息，采用PFCP 協(xié)議，用戶面用于傳輸SMF 需要通過UPF接收或發(fā)送的報文，采用GTP-U 協(xié)議。

N6 接口是UPF 和外部DN 之間的接口，在特定場景下(例如企業(yè)專用MEC 訪問)，N6 接口要求支持專線或L2/L3 層隧道，可基于IP 與DN 網絡通信。

N9 接口是UPF 之間的接口，在移動場景下，UE 與PSA UPF 之間插入I-UPF 進行流量轉發(fā)，兩個UPF 之間使用GTP-U 協(xié)議進行用戶面報文的傳輸。

N19 接口是使用5G LAN 業(yè)務時，兩個PSA UPF 之間的用戶面接口，在不使用N6 接口的情況下直接路由不同PDU 會話之間的流量，如圖3 所示。

圖3. 5G LAN N19 接口

Gi 接口是2/3G 接入用戶通過GGSN 和外部DN 之間的接口;SGi 接口是PGW-U 和外部DN 之間的接口，需要支持IPv6/IPv4 雙棧和IPSEC，L2TP 和GRE 等隧道協(xié)議。

S5/S8-U 接口是融合網元UPF/PGW-U 和SGW-U 之間的用戶面接口。S5-U 接口是網絡內部SGW 和PGW-U 間的接口，提供用戶移動過程中連接跨區(qū)域SGW 并傳輸數(shù)據(jù)的功能。S8-U 是跨PLMN 的SGW-U 和PGW-U 之間的用戶面接口，應具備漫游情況下的S5-U 接口功能。

S1-U 接口是eNodeB 和SGW-U 之間的接口，采用GTP-U 協(xié)議在eNodeB 和SGW-U 之間進行用戶數(shù)據(jù)的隧道傳輸。

3、開放

用戶面功能(UPF，User Plane Function)作為5G核心網的重要網絡功能，擔負著用戶面數(shù)據(jù)流量的處理、路由等核心功能。隨著5G邊緣計算的拓展，UPF已逐漸成為連接運營商和垂直行業(yè)的橋梁，是5G拓展行業(yè)市場的鑰匙。不同應用場景下對UPF的需求各有不同，面向行業(yè)應用場景(ToB)與面向傳統(tǒng)用戶(ToC)的需求有顯著差異，需要輕量化、低成本、靈活部署、定制化的UPF。

當前，UPF與會話管理功能(SMF，Session Management Function)的接口(N4)尚未完全開放、服務化能力尚未完全實現(xiàn)，一定程度上影響了5G滿足行業(yè)客戶需求的能力。N4接口的非標準化，造成UPF與SMF同廠商的綁定，無法滿足邊緣用戶側UPF輕量化、低成本和靈活部署的需求。

為了助力5G服務垂直行業(yè)用戶，2020年3月11日發(fā)布《5G OpenUPF白皮書》，提出的OpenUPF合作伙伴計劃從開放接口、開放設備、開放服務和開放智能四個方面定義可靠、可管、可信、簡潔、靈活、開放的UPF，通過構建完整的技術體系以推動產業(yè)成熟、增強網絡能力。在2020年6月11日召開的3GPP會議上，5G N4接口開放和增強標準化項目開啟。

二、UPF 分流技術原理

UPF 作為5G 網絡和多接入邊緣計算(MEC，Multi-Access Edge Computing)之間的連接錨點，所有核心網數(shù)據(jù)必須經過UPF轉發(fā)，才能流向外部網絡。MEC 是5G 業(yè)務應用的標志能力?；?GC 的C/U 分離式架構，控制面NF 在中心DC 集中部署，UPF下沉到網絡邊緣部署，這樣可以減少傳輸時延，實現(xiàn)數(shù)據(jù)流量的本地分流，緩解核心網的數(shù)據(jù)傳輸壓力，從而提升網絡數(shù)據(jù)處理效率，滿足垂直行業(yè)對網絡超低時延、超高帶寬以及安全等方面的訴求。

UPF 如何將用戶數(shù)據(jù)流分流至MEC 平臺，是真正實現(xiàn)網絡與業(yè)務深度融合及落地應用的第一步，也是實現(xiàn)5G 邊緣計算商用部署的關鍵步驟。

5G 用戶建立會話連接將優(yōu)先選擇中心UPF(中心UPF參考以下章節(jié))，當用戶需訪問MEC應用時才選擇或插入邊緣UPF，邊緣資源按需提供給用戶，避免由于大量用戶擠占造成性能瓶頸。5G 網絡需要配合MEC做好用戶數(shù)據(jù)的本地分流，主流的5GC 邊緣部署分流技術主要有三種：上行分類器(UL CL，Uplink Classifier)方案、IPv6 多歸屬(Multi-homing)方案、本地數(shù)據(jù)網絡(LADN，Local Area Data Network)方案和數(shù)據(jù)網絡標識(DNN，Data Network Name)方案。UL CL和IPv6 Multi-homing 屬于單PDU會話的本地分流，用戶數(shù)據(jù)分流在網絡側進行;DNN 和LADN 屬于多PDU 會話的本地分流，用戶數(shù)據(jù)分流從終端開始。

1、UL CL方案

對于IPv4 或IPv6 或IPv4v6 類型的PDU 會話，可以采用UL CL 方案。在用戶PDU 會話建立過程中或建立完成后，SMF 可以在PDU 會話的數(shù)據(jù)路徑中插入或者刪除一個或多個UL CL。UL CL 支持基于SMF 提供的流量檢測和流量轉發(fā)規(guī)則向不同的PDU 會話錨點UPF 轉發(fā)上行業(yè)務流，分流至MEC 平臺;并且將來自鏈路上的不同PDU 會話錨點UPF 的下行業(yè)務流合并到5G 終端，有點像路由表的作用。UL CL 采用流過濾規(guī)則(例如檢查UE 發(fā)送的上行IP 數(shù)據(jù)包的目的IP 地址/前綴)來決定數(shù)據(jù)包如何路由。

UE 不感知UL CL 的分流，不參與UL CL 的插入和刪除。UE 將網絡分配的單一IPv4 地址或者單一IP 前綴或者兩者關聯(lián)到該PDU 會話。

下圖展示了一個PDU 會話擁有兩個錨點的場景。UL CL 插在N3 口終結點的UPF 上，錨點1 和錨點2 終結N6 接口，上行分類器UPF 和錨點UPF 之間通過N9 接口傳輸。

圖4. UL CL 方案

基于不同的觸發(fā)條件，UL CL 方案可以分為一下幾種：

1)特定位置UL CL 方案：分流策略配置在SMF。在用戶移動到MEC 區(qū)域時，SMF 根據(jù)配置策略和AMF 上報的用戶位置信息，觸發(fā)UL CL 插入流程。特定位置觸發(fā)UL CL 和LADN 場景類似，都是用戶移動到特定位置時觸發(fā)分流，觸發(fā)條件簡單易實現(xiàn)，適用于對公眾用戶開放的MEC 場景。由于MEC 區(qū)域所有用戶(即使不使用MEC 業(yè)務)都會接入邊緣UPF，可能會對邊緣UPF 造成壓力。

2)位置及用戶簽約UL CL 方案：分流策略配置在PCF，需要用戶在PCF 上簽約支持使用MEC業(yè)務。在用戶移動到MEC 區(qū)域時，AMF通過SMF向PCF上報用戶位置信息，PCF 根據(jù)用戶位置信息及簽約信息，觸發(fā)UL CL 插入流程，新增邊緣UPF錨點并插入UL CL。當在MEC 區(qū)域內要區(qū)分用戶群體時，可采用位置及用戶簽約觸發(fā)UL CL 的方案，避免MEC 區(qū)域所有用戶都占用邊緣UPF資源。

3)位置及應用檢測UL CL方案：分流策略配置在PCF，需要將應用相關信息(五元組信息、應用URL)配置在PCF。在用戶移動到MEC 區(qū)域并使用特定應用時，UPF根據(jù)應用標識對應的過濾器檢測出業(yè)務流，通過SMF上報PCF。PCF 結合用戶位置信息及應用流檢測結果，觸發(fā)UL CL 插入流程。位置及應用檢測UL CL 方案可按應用觸發(fā)分流策略，可控粒度更細;缺點是缺乏合適的UL CL 刪除觸發(fā)機制。

4)能力開放UL CL方案：分流策略配置在MEC/APP。在用戶移動到MEC 區(qū)域時，AMF 通過NEF把用戶位置信息通知給MEC/APP。MEC/APP 通過N5/N33 接口與PCF/NEF 進行交互，將分流規(guī)則告知PCF。PCF 結合用戶位置信息及應用流檢測結果，觸發(fā)UL CL 插入流程。能力開放UL CL 是一種與應用緊耦合的方案，應用可根據(jù)業(yè)務需求動態(tài)地觸發(fā)UL CL 策略，更為靈活，但是能力開放接口的調用請求需提供用戶標識(5GC 分配的私網IP 地址)，應用還需要感知用戶位置信息，有一定開發(fā)門檻。

2、IPv6 Multi-homing 方案

IPv6 多歸屬(Multi-homing)方案只能應用于IPv6 類型的PDU 會話。

UE 在請求建立類型為IPv6 或IPv4v6 的PDU 會話時，要告知網絡其是否支持IPv6 Multi-homing PDU 會話。在實際部署中，網絡將會為終端分配多個IPv6 前綴地址，對不同業(yè)務使用不同的IPv6 前綴地址，可以一個IP 地址做遠端業(yè)務，一個IP 地址做本地MEC 業(yè)務，通過分支點進行分流。

在PDU 會話建立過程中或建立完成后，SMF 可以在PDU 會話的數(shù)據(jù)路徑中插入或者刪除多歸屬(Multi-homing)會話分支點(Branching Point)。在Multi-homing 場景下，一個PDU 會話可以關聯(lián)多個IPv6 前綴，分支點UPF 根據(jù)SMF 下發(fā)的過濾規(guī)則，通過檢查數(shù)據(jù)包源IP 地址進行分流，將不同IPv6 前綴的上行業(yè)務流轉發(fā)至不同的PDU 會話錨點UPF，再接入數(shù)據(jù)網絡，以及將來自鏈路上的不同PDU 會話錨點UPF的下行業(yè)務流合并到5G 終端。UPF 可同時作為IPv6 多歸屬的分支點和PDU 會話錨點。IPv6 Multi-homing 分流如圖5 所示。

圖5. IPv6 Multi-homing 方案

3、DNN 方案

數(shù)據(jù)網絡標識(DNN，Data Network Name)方案中，需要終端配置專用DNN 并在核心網統(tǒng)一數(shù)據(jù)管理功能(UDM，Unified Data Management)上面簽約專用DNN。用戶通過專用DNN 發(fā)起會話建立請求，SMF 選擇UPF 時，根據(jù)5G 終端提供的專用DNN 以及所在的TA選擇目的邊緣UPF，完成邊緣PDU 會話的建立，即可接入與邊緣UPF 對接的MEC 平臺。

DNN 方案對終端、網絡的要求較小，5G 商用初期可選擇此方案實現(xiàn)MEC 業(yè)務快速上線。但隨著5G 業(yè)務發(fā)展，如果為每個MEC 客戶分配獨立DNN，對核心網設備特別是UPF 支持DNN 的數(shù)量將會是極大挑戰(zhàn)。

4、LADN 方案

本地數(shù)據(jù)網絡(LADN，Local Area Data Network)方案中，用戶簽約LADN DNN，AMF 上配置LADN 服務區(qū)域(Tracking Area，TA)與LADN DNN 的關系。5G 終端在向網絡注冊時，可以從核心網獲取LADN 信息(如LADN服務區(qū)和LADN DNN)。當5G 終端移動到LADN 服務區(qū)域時，將會請求建立這個LADN DNN 的PDU 會話。AMF 確定5G 終端出現(xiàn)在該LADN 區(qū)域，且請求的DNN 在AMF 中配置為LADN DNN，則轉發(fā)給SMF;SMF 通過選擇合適的本地邊緣UPF，建立本地PDU 會話，實現(xiàn)本地網絡接入和本地應用訪問。此時一個5G 用戶可能擁有兩個PDU 會話：Internet 會話及LADN 會話如，圖6 所示。

AMF 跟蹤終端的位置信息，并通知SMF 終端位置和LADN 服務區(qū)的關系，包括：在服務區(qū)、不在服務區(qū)和不確定在不在服務區(qū)等。當用戶的位置不在LADN 的服務區(qū)內時，不能接入LADN。LAND 服務區(qū)用一組TA 標識，使用LADN 用于邊緣計算流量分流時，通常LADN 的TA 和邊緣計算上應用的服務區(qū)域是對應的。

圖6. LDAN 方案

LADN 僅用于非漫游場景或者本地業(yè)務分流漫游場景，在實際部署中，用戶通過LADN 會話訪問MEC 業(yè)務，其余業(yè)務通過Internet 會話訪問。

三、UPF應用

5G 網絡將業(yè)務流分流至MEC 平臺，主要應用的是UL CL 方案。UL CL 方案適用于商業(yè)綜合體、博物館、體育場館、酒店等公眾用戶使用手機終端訪問MEC 應用的場景，如視頻直播、云游戲等，可同時支持公眾訪問Internet 應用。

IPv6 Multi-homing 方案適用于物聯(lián)網、高可靠性專網等場景，但由于要采用IPv6，目前實施難度較大。

LADN 屬于5G 新引入特性，對終端有新的功能要求，包括支持在特定TA 區(qū)域下發(fā)起或釋放LADN 會話、支持URSP(UE Route Selection Policy，UE路由選擇策略)用于配置LADN DNN 并將應用流綁定到LADN DNN 上。根據(jù)對產業(yè)鏈的調研，5G 核心網設備已支持LADN 功能，而終端對該功能的支持還要視商業(yè)需求而定，因此端到端LADN 方案的成熟還需要一段時間的開發(fā)測試及驗證。

四、UPF部署方式

在實際部署時，UPF 需要按照不同業(yè)務場景對時延、帶寬、可靠性等差異化的需求靈活部署，典型的部署位置包括：中心、區(qū)域、邊緣、企業(yè)園區(qū)。

1、中心級UPF

中心級UPF，適用于時延不敏感，吞吐量需求較高且相對集中的業(yè)務，如普通互聯(lián)網訪問、VoNR、NB-IoT 等業(yè)務，中心級UPF 需具備如下特點。

一是滿足ToC 網絡的2G/3G/4G/5G/Fixed 全融合接入、報文識別、內容計費等功能需求。在實際網絡部署中，在一定時間內會存在多種接入網絡并存的情況，UPF 須同時支持多種無線接入，滿足全融合接入需求;當用戶跨接入網絡移動時，實現(xiàn)相同會話IP 地址不變，保證業(yè)務連續(xù)性。

二是具備虛擬運營商網絡共享能力，通過網絡切片、網關核心網絡(GWCN，GateWay Core Network)等網絡技術，支持多UPF 實例、多租戶、分權分域運維，滿足不同虛擬運營商的差異化業(yè)務需求。

三是針對集中建設帶來的高帶寬轉發(fā)能力要求，可通過擴展計算資源規(guī)模疊加單根I/O 虛擬化(SR-IOV，Single Root I/O Virtualization) + 矢量轉發(fā)技術來提升轉發(fā)效率，或者采用基于智能網卡的異構硬件來實現(xiàn)轉發(fā)能力提升。

四是提供面向N6/Gi/SGi 接口流量的安全防護以及網絡地址轉換(NAT，Network Address Transform)功能，可以選用外置硬件防火墻、虛擬化防火墻以及UPF內置防火墻功能等方式進行部署。其中防火墻以及NAT 作為UPF 的業(yè)務功能組件存在，提升集成度，降低部署成本。

2、區(qū)域級UPF

區(qū)域級UPF，通常部署于地市級區(qū)域，主要承載地市區(qū)域范圍的用戶面業(yè)務，包括互聯(lián)網訪問、音視頻以及本地企業(yè)業(yè)務等。區(qū)域級UPF 實現(xiàn)用戶面下沉部署，有助于減少數(shù)據(jù)流量回傳對承載網的傳輸壓力;也可實現(xiàn)本地數(shù)據(jù)業(yè)務下沉，降低業(yè)務時延。較為典型的應用場景為大視頻業(yè)務，為了提升用戶體驗，需要在各地市部署區(qū)域UPF，就近接入本地視頻業(yè)務服務端，還可以通過在區(qū)域數(shù)據(jù)中心聯(lián)合部署UPF 和CDN/Cache 節(jié)點的方式來縮短傳輸路徑，如圖7 所示。

圖7. 區(qū)域級UPF 本地分流方案

區(qū)域級UPF 部署帶來了運維管理方面的復雜度，存在集中運維管理的需求，可以通過網元管理系統(tǒng)(EMS，Element Management System)拉遠的方式來接入區(qū)域級UPF或者通過擴展N4/Sx 接口的方式來實現(xiàn)配置下發(fā)以及運維數(shù)據(jù)上報，考慮到未來對N4/Sx 接口解耦的需要，目前業(yè)界更傾向于前者的實現(xiàn)方式。

3、邊緣級UPF

邊緣級UPF，通常部署于區(qū)縣邊緣，應對高帶寬、時延敏感、數(shù)據(jù)機密性強等業(yè)務。將UPF 下沉到移動邊緣節(jié)點，可基于數(shù)據(jù)網絡標識(DNN，Data Network Name)或IP 地址等識別用戶，并根據(jù)分流策略對用戶流量進行分流，對需要本地處理的數(shù)據(jù)流進行本地轉發(fā)和路由，避免流量迂回，降低數(shù)據(jù)轉發(fā)時延，提升用戶體驗。邊緣業(yè)務分流場景如圖8 所示。

圖8. 邊緣業(yè)務分流場景

使用到的分流策略分為以下幾種，其中網元級和會話級分流已在前面章節(jié)中說明：

邊緣級UPF 在部署運維上可通過軟硬件預裝、自動納管、配置自動下發(fā)等方式實現(xiàn)設備即插即用;在正常運維中，可通過EMS 進行集中配置下發(fā)和運維管理。

邊緣級UPF 下沉部署，通過N4 接口對接中心的SMF，需要考慮N4 接口安全，一般可以通過將N4 接口劃分成獨立的網絡平面，或者通過部署防火墻/IPSEC 進行安全策略增強。

4、企業(yè)級UPF

企業(yè)級UPF，部署于企業(yè)機房，通過超高帶寬、超低時延和超高可靠的連接提升工業(yè)控制的效率和自動化水平;同時生產數(shù)據(jù)能夠在園區(qū)內終結，與公眾網數(shù)據(jù)安全隔離，確保生產的安全可靠。

行業(yè)應用和工業(yè)環(huán)境與公眾網有很大的不同，企業(yè)級UPF 除了滿足基本的流量轉發(fā)、本地分流以外，還需要重點滿足以下要求：

基于5G LAN 實現(xiàn)的私網接入和管理能力。通過UPF 內的本地交換和UPF 間的N19 隧道技術，構建企業(yè)專屬的“局域網”，如圖9 所示。

圖9. 5G LAN 企業(yè)跨分支通信應用

基于時間敏感網絡(TSN，Time Sensitive Networking)技術，通過對傳輸時延和抖動的控制，實現(xiàn)確定性網絡。針對TSN 場景，增強支持高精度時鐘，以及在高精度時鐘管理下的報文排隊和調度機制;UPF 下沉到企業(yè)現(xiàn)場，實現(xiàn)納秒級授時精度、毫秒級端到端時延和99.9999%的可靠性。

基于uRLLC 技術的超高傳輸可靠性。通過在N3/N9 接口建立雙GTP-U 隧道，實現(xiàn)用戶面冗余傳輸;或者建立端到端雙PDU 會話，將相同的報文在兩個會話中傳輸，確保連接的可靠性，如圖10 所示。

圖10. 5G uRLLC 多路徑超高可靠性傳輸

企業(yè)級UPF需要解決起步成本高、設備功能復雜、部署和運維難度高等問題，需要引入輕量化的最簡UPF解決方案，功能更有針對性，可以根據(jù)場景需求靈活搭配，并且實現(xiàn)出廠預安裝、現(xiàn)場開箱即用，同時支持本地運維和遠程運維。

企業(yè)級UPF通常部署于運營商網絡之外，需要考慮運營商網絡和企業(yè)網絡的雙重安全，需要提供安全過濾、雙向數(shù)字鑒權、數(shù)據(jù)加密、防惡意攻擊等能力。

5、全場景UPF部署

在“5G 新基建”引領下，中國移動為滿足分布式建網、集約化運維需求，5G 核心網采用大區(qū)制建設方案，提供全場景UPF。因為ToC 和ToB 網絡在產業(yè)成熟度、網絡功能、市場應用上存在較大差異，采用兩張網獨立建設，UPF 也進行分開建設。為滿足業(yè)務差異及各行業(yè)碎片化需求，UPF 采用分布式多級部署，如圖11 所示。

圖11. 中國移動全場景UPF 說明

ToC UPF 部署在中心級和區(qū)域級，兼顧業(yè)務時延和傳輸成本，滿足大帶寬、低時延需求，從成本和長期演進維度，全部采用100G 智能網卡加速，配置一步到位，更加契合5G 長期業(yè)務發(fā)展需求。

ToB UPF部署在中心級、區(qū)域級、邊緣級和企業(yè)園區(qū)級。

UPF的各級典型部署(中心、區(qū)域、邊緣、企業(yè)園區(qū))對UPF的吞吐量、時延、功能、應用場景、形態(tài)等需求如下表所示。

五、UPF開放

1、目標

聚焦ToB場景，避免大而全，追求小而精。傳統(tǒng)UPF功能全面，但功能和設計愈發(fā)復雜、牽一發(fā)而動全身。ToB場景更需要的是輕量化、可定制的UPF。

OpenUPF計劃的重要目標，一是：以“全集”UPF為基礎，定義簡單高效的“最簡”UPF。通過最簡UPF的功能滿足高效靈活的部署，降低5G進入千行百業(yè)的門檻。二是：滿足行業(yè)差異化需求、探索功能定制的“增量”UPF。通過增量提升產業(yè)價值，同時避免碎片化的定制需求帶來研發(fā)和維護成本的上升。

2、策略1，統(tǒng)一架構、開放接口

統(tǒng)一UPF架構設計，實現(xiàn)開放、標準的5G控制面和用戶面之間的N4接口，構建測試認證體系，Open UPF統(tǒng)一架構如下圖所示。

圖. Open UPF統(tǒng)一架構設想

為了更好地滿足ToB業(yè)務更加靈活的發(fā)展需求，在功能方面，相對于部署在網絡核心的通用UPF，ToB UPF的功能可按需進行簡化和分級，梳理出必須支持的基本功能和按需支持的可選功能，實現(xiàn)場景驅動的“按單點菜”;在性能方面，ToB UPF應可提供不同吞吐量規(guī)格的設備，滿足各種規(guī)模的行業(yè)需求。

除以上基本功能外，還可根據(jù)需求支持以太網數(shù)據(jù)傳輸、頭增強、白名單、重定向、Framed Routing、GRE/L2TP/IPSec 隧道等功能。為匹配不同業(yè)務場景的業(yè)務規(guī)模，ToB UPF應可提供支持不同吞吐量規(guī)格的設備。

目前3GPP對UPF和SMF之間N4接口的定義存在兩大問題，一是功能方案冗余，為實現(xiàn)同一功能特性有多種可選方案，由廠家自行選擇;二是常用技術方案缺失，一些常用功能由廠家私有實現(xiàn)完成，缺乏標準化支撐，導致不同產品在協(xié)議實現(xiàn)上的差異，N4接口仍然為事實上的私有接口。非標準化直接導致了N4接口缺乏互操作性，降低了網絡部署的靈活性，增加了網絡管理的復雜度，限制了5G網絡服務行業(yè)客戶的生態(tài)發(fā)展。

聚焦基礎接入能力的“最簡”UPF，為接口開放提供了可能。標準化的N4接口定義，通過如下三個途徑達到：

做選擇：對于標準中定義了多選方案的功能，進行對比后選擇更優(yōu)方案，統(tǒng)一技術實現(xiàn);

去歧義：對于標準定義不清晰的功能或字段，明確使用方法;

補漏洞：對于標準定義無法滿足需求或未定義的功能，通過復用已有字段或擴展Vendor IE 實現(xiàn)。

需要說明的是，UPF的功能定制和N4接口的解耦也會對SMF有相關功能要求?？紤]到網絡建設和維護成本等因素，SMF通常需要同時管理通用UPF和簡化的ToB UPF，運營商網內UPF需要在一些基礎功能上盡量保持一致，避免對SMF等控制面功能頻繁的改造。此外，在網絡運維中，UPF和SMF解耦后在問題定位、網絡規(guī)劃等方面也需要更好的協(xié)同。

3、策略2，規(guī)范平臺、開放設備

研究軟硬件參考設計，設計面向不同典型場景的硬件規(guī)格，共同定義UPF功能基線要求，兼顧系統(tǒng)的靈活度和可擴展性，打造可復制易部署統(tǒng)一平臺。

圖. Open UPF統(tǒng)一平臺

行業(yè)客戶往往存在定制需求，功能迭代頻繁，部分場景有邊緣計算的需求，要求UPF支持面向第三方業(yè)務的能力開放，對外提供IaaS與PaaS能力。因此，建議UPF按照虛擬化(包括容器化)形態(tài)部署和運行在通用服務器上，同時提供硬件和軟件功能，如下圖所示。(這并不意味著對一體機的摒棄，在特定邊緣場景情況下，一體機會帶來商務和部署的便利。)

在硬件選擇上遵循標準化和通用化原則，可根據(jù)不同的業(yè)務場景選擇服務器與交換機兩種硬件方案。

服務器形態(tài)UPF主要用于通用CPU+專用加速芯片(ASIC、SOC、FPGA、NP 等)為核心處理單元的架構中。針對不同的業(yè)務場景統(tǒng)一規(guī)劃不同CPU平臺的配置模型，兼容Intel、ARM架構;同時具備擴展性，包括內存、PCIE 插槽的擴展。建議采用標準網卡的自動散列等功能與CPU具備的頻率負載調配功能提升性價比。在對UPF吞吐與時延要求不高的場景，可考慮使用軟硬件結合的加速方案。在對吞吐與時延要求嚴格的場景，可考慮使用硬件加速技術，建議使用FPGA智能網卡作為標準加速硬件。服務器形態(tài)UPF既適用于功能復雜，性能要求較高的場景，又可用于功能較簡單，性能要求一般的場景，是當前業(yè)界主流產品的形態(tài)。

交換機形態(tài)UPF主要用于中低端通用CPU+交換芯片的交換機硬件架構中。通過通用CPU 實現(xiàn)虛擬化，利用交換芯片卸載UPF部分數(shù)據(jù)處理任務和轉發(fā)功能，在提升系統(tǒng)的處理能力的同時釋放CPU資源用于核心任務處理。交換機形態(tài)UPF在分組路由和轉發(fā)、GTP 隧道處理以及根據(jù)用戶面策略進行分流等方面都具有優(yōu)勢。綜合功耗、散熱以及空間等因素，交換機方案有助于降低整體成本和功耗，同時提升系統(tǒng)的處理能力。適合在多端口、低成本、低功耗的場景中應用，例如智能停車、智能消防、智能家電等NB-IoT應用場景。

虛擬化基礎設施管理器(VIM，Virtualised Infrastructure Manager)建議具備輕量化、認證管理、虛擬機模板/規(guī)格/生命周期管理、裸機管理、秘鑰管理、存儲卷及快照管理、網絡資源管理、加速器管理等功能。VIM 版本建議基于開源社區(qū)OpenStack Train版本，或北向接口匹配OpenStack Train 版本的商業(yè)虛擬化管理器。

虛擬機管理器(Hypervisor)建議采用實時性內核，支持實時性虛擬機操作系統(tǒng)(Guest OS)、CPU模式設定、CPU核綁定、NUMA/PCI NUMA親和性、虛擬機親和性/反親和性組、虛擬網卡多隊列、VLAN透傳、加速器(SR-IOV,GPU,FPGA)等功能，按需滿足行業(yè)UPF 的功能和性能要求。

容器平臺需支持應用及各種資源對象的編排，底層網絡和存儲的編排，以及租戶管理等功能，以實現(xiàn)容器化UPF的整個生命周期管理;應具備數(shù)據(jù)庫、消息隊列、中間件、微服務間通信及治理等服務能力，構建可對外提供平臺通用服務能力的開放的PaaS平臺。建議運行容器的操作系統(tǒng)基于開源標準Linux并增強，支持滿足開放容器標準(OCI，Open Container Initiative)和容器運行時接口(CRI，Container Runtime Interface)的容器運行。建議容器層管理軟件采用基于開源Kubernetes并增強。

4、策略3，拓展行業(yè)、開放服務

ToB UPF應為運營商、合作伙伴逐步提供可調用的API、可編程的環(huán)境，成為網絡價值的創(chuàng)造點如下圖。

圖. Open UPF開放服務架構圖

UPF的服務能力分為兩部分，基礎功能與增值定制功能?；A功能是5G UPF基礎能力，即表2中支持的功能;定制功能，是根據(jù)行業(yè)需求疊加定制的特色能力，如虛擬網絡、本地轉發(fā)、位置、認證等。僅僅滿足基礎功能的ToB UPF是不夠的，隨著標準技術的演進和新的開放服務模式的出現(xiàn)，UPF還需開放更多網絡基礎能力，不斷引入新的特性，進一步豐富定制化能力;同時能將功能調用的API提供給運營商，并在業(yè)務合約下提供給垂直行業(yè)伙伴，例如開放信息的訂閱、網絡連接的管理(如二次認證)、IP 地址的自主分配等能力。

UPF的開放服務還可以提供給邊緣計算平臺和能力開放平臺，支持邊緣計算平臺將開放服務直接提供給邊緣應用或者對服務數(shù)據(jù)進行加工后提供給邊緣應用。UPF獲取的數(shù)據(jù)在獲得授權后，也可以反饋給網絡開放功能(NEF)、網絡數(shù)據(jù)分析功能(NWDAF)、網管平臺，作為基礎數(shù)據(jù)助力核心網智能信息分析及處理，加強大數(shù)據(jù)平臺分析結果的準確性，更好的優(yōu)化網絡配置策略。

5、策略4，面向演進、開放智能

UPF不只是一個簡單的轉發(fā)網關，作為服務行業(yè)的抓手，需要發(fā)揮其計算處理的能力，為行業(yè)提供智能的網絡及服務。將智能融合到UPF的設計中，用網絡的智能化為產業(yè)界的發(fā)展打開想象的空間。

連接智能：UPF是網絡智能調控的關鍵節(jié)點?？紤]多接入方式對連接質量的不同要求，需要UPF具備智能的連接管理、流量識別、質量感知等能力。

運維智能：UPF數(shù)量多、類型多、功能有差異，需要其運營和管理更加的簡單、自動化、智能化。在組網上盡可能即插即用、運行中自動排障，降低人為現(xiàn)場維護和管理的需要。

業(yè)務智能：以UPF為窗口，將運營商的智能化能力提供給行業(yè)伙伴，幫助其在視頻處理、圖像識別、語音識別等方面提供基礎能力。

網絡可編程：UPF需要更加靈活和智能化的架構和接口設計，實現(xiàn)接口、功能、網絡可編程。使其能夠滿足多樣化場景需求，快速適應多樣化的數(shù)據(jù)格式、協(xié)議類型和處理要求，加快新業(yè)務上線速度，如下圖。

6、安全要求

部署在用戶側的UPF相比在核心機房的UPF具有更多的暴露面，更易被攻擊。通用硬件、操作系統(tǒng)、中間件的漏洞更易被攻擊者發(fā)現(xiàn)。另外，以虛擬機或容器部署時，還會受到虛擬化軟件漏洞被利用，虛擬機逃逸、容器鏡像被篡改等相關安全風險。

為了能夠安全的為垂直行業(yè)和5G網絡提供服務，OpenUPF首先需滿足電信設備通用安全要求，確保軟硬件安全。其次，應支持5G標準UPF的安全機制。此外，還應支持如下安全要求：

組網安全：支持管理、業(yè)務和存儲三平面隔離，可與垂直行業(yè)應用/服務器進行安全隔離。當部署在客戶現(xiàn)場時，應支持內置安全功能(如IPSec，虛擬防火墻功能)。

物理安全：具備物理安全保護機制。當部署在客戶現(xiàn)場時，所在的物理服務器應具備可信啟動和遠程度量功能，保證OpenUPF處于可信狀態(tài)。

基礎設施安全：支持對其使用的操作系統(tǒng)、中間件、數(shù)據(jù)庫以及web管理接口進行安全加固;當部署在虛擬機或容器上時，應保證OpenUPF功能所在的虛擬機或容器與其它虛擬機或容器安全隔離，鏡像有防篡改保護等。

接口安全：支持對SMF等通信對端進行認證，并對API的調用進行認證和授權。

數(shù)據(jù)安全：支持對傳輸?shù)臄?shù)據(jù)進行機密性和完整性保護;對存儲的敏感數(shù)據(jù)進行加密存儲，并對訪問進行控制。

策略沖突檢查：支持對SMF通過可編程接口下發(fā)的策略進行沖突檢查。

信令過載限制：支持限制發(fā)送給SMF的信令流以及從SMF接收的信令流，防止信令過載。

小結

5G 改變社會，服務的是各行各業(yè)，用戶體驗要求很高，UPF 是核心網最重要的網元之一，必須具備電信級的產品品質。

UPF 作為5G 數(shù)據(jù)處理和轉發(fā)的核心功能，已經逐步成為運營商服務垂直行業(yè)的橋頭堡，正逐步從“核心”走到行業(yè)用戶的園區(qū)。作為推動5G 與干行百業(yè)融合的重要網絡節(jié)點，UPF 應該做到規(guī)?；渴鸷透N近客戶側部署的“點面”結合，滿足客戶需求，服務干行百業(yè)。

UPF 的下沉需要傳輸網和IP 承載網共同支持，也意味著邊緣云的下沉。邊緣UPF 不僅需要和運營商的通信網絡云互通，還需要和運營商的IT 云、第三方公有云的協(xié)同，全面推動云網融合能力和云邊協(xié)同能力。

當前，UPF 與SMF 的N4 接口尚未完全開放、服務化能力尚未完全實現(xiàn)。為了滿足垂直行業(yè)輕量化、低成本、靈活部署的需求，OpenUPF 合作伙伴計劃，從開放接口、設備、服務和智能四個方面定義開放的UPF，提升網絡能力和業(yè)務開展靈活性，助力5G 融入百業(yè)、服務大眾。

UPF是5G開啟垂直行業(yè)的金鑰匙。需要在不斷發(fā)展中完善規(guī)范推進解耦，解耦不是一蹴而就，要在測試驗證、應用驗證和發(fā)展演進中不斷完善。