切片并不是什么新概念。在 5G 網(wǎng)絡(luò)中，同一基礎(chǔ)設(shè)施上可能需要同時運(yùn)行多種應(yīng)用程序，而這些應(yīng)用程序的QoS （服務(wù)質(zhì)量）需求不同。網(wǎng)絡(luò)切片可以將單個物理基礎(chǔ)設(shè)施虛擬化成多個邏輯網(wǎng)絡(luò)，這些網(wǎng)絡(luò)具有自己的定制拓?fù)浜蛯Ｓ觅Y源，可根據(jù)應(yīng)用程序的需求靈活配置資源或虛擬化功能以滿足其QoS需求。

5G/6G 網(wǎng)絡(luò)切片

通過網(wǎng)絡(luò)切片，每種類型的應(yīng)用程序都可以在不同的切片上提供服務(wù)。例如，一個切片可以專門用于為實(shí)時交互應(yīng)用程序提供可靠和低延遲的通信，而另一個切片可以配置為海量物聯(lián)網(wǎng)應(yīng)用程序提供高吞吐量通信。

由于切片集中服務(wù)于具有相似 QoS 需求的同一類型應(yīng)用程序，因此可以根據(jù)QoS需求定制切片的配置或操作。這種靈活的配置可以通過軟件定義網(wǎng)絡(luò)（SDN）來實(shí)現(xiàn)，SDN是一種將網(wǎng)絡(luò)中的控制平面與數(shù)據(jù)平面分離以靈活管理數(shù)據(jù)平面的機(jī)制。通過SDN技術(shù)，切片可以構(gòu)建為數(shù)據(jù)平面上的虛擬網(wǎng)絡(luò)，通過SDN控制器連接到數(shù)據(jù)平面的交換機(jī)，在集中視圖中管理切片的流量。

根據(jù)用戶的需求，切片可以專用于某些特定用戶。這些用戶稱為租戶，服務(wù)于相同類型應(yīng)用程序的多個切片可以由不同的租戶擁有。根據(jù)租戶之間的優(yōu)先級或租戶和基礎(chǔ)設(shè)施提供商之間的SLA (服務(wù)層協(xié)議) 上的 QoS 約束，切片可能具有不同的優(yōu)先級。例如，對于那些支付了更多費(fèi)用的租戶的切片，或者對 SLA具有嚴(yán)格的 QoS 約束的切片，可以給予更高的優(yōu)先級。

網(wǎng)絡(luò)切片的架構(gòu)框架

下圖展示了網(wǎng)絡(luò)切片的系統(tǒng)架構(gòu)設(shè)計(jì)。該系統(tǒng)分為兩層：網(wǎng)絡(luò)層和OSS 層。

網(wǎng)絡(luò)層為各個切片提供所需的用戶和控制平面功能；OSS 層托管了用于網(wǎng)絡(luò)切片的設(shè)計(jì)、配置和操作的所有資產(chǎn)。

網(wǎng)絡(luò)層由一組模塊化的網(wǎng)絡(luò)功能組成，這些功能可以靈活組合在一起以構(gòu)建網(wǎng)絡(luò)切片。上圖展示了一個包含三個不同切片的示例，每個切片代表主要的 5G 服務(wù)類別。由于每個切片都需要配備定制服務(wù)的用戶和控制平面，因此需要在它們的RAN和CN片子網(wǎng)中分配專用的NR和5GC網(wǎng)絡(luò)功能。哪些網(wǎng)絡(luò)功能是每個切片專用的，哪些功能可以與其他切片共享，這取決于切片的隔離需求，以及使用此切片的客戶類型。

OSS 層托管了所有運(yùn)營、管理和維護(hù) (OAM) 工具，操作人員可以使用這些工具在整個生命周期內(nèi)管理不同的切片。根據(jù)功能范圍的不同，這些工具可分為四大類：設(shè)計(jì)、數(shù)據(jù)管理，保證和編排。最值得注意的是編排，負(fù)責(zé)切片配置（即從服務(wù)訂單到部署的網(wǎng)絡(luò)切片）和切片操作（即在運(yùn)行時將部署的切片保持在所需狀態(tài)）相關(guān)的所有活動。

如何實(shí)現(xiàn)網(wǎng)絡(luò)切片的端到端隔離？

切片隔離是一項(xiàng)重要的需求，即共享同一基礎(chǔ)設(shè)施的多個切片同時共存，需要保證每個切片的性能不能對其他切片的性能產(chǎn)生任何影響。按照隔離程度不同，網(wǎng)絡(luò)切片可以提供三個層次的隔離：業(yè)務(wù)隔離、資源隔離和運(yùn)維隔離。

業(yè)務(wù)隔離：某一網(wǎng)絡(luò)切片的業(yè)務(wù)報(bào)文不會被發(fā)送給同一網(wǎng)絡(luò)中另一網(wǎng)絡(luò)切片中的業(yè)務(wù)節(jié)點(diǎn)，即提供不同網(wǎng)絡(luò)切片之間的業(yè)務(wù)連接和訪問的隔離，使不同網(wǎng)絡(luò)切片的業(yè)務(wù)在網(wǎng)絡(luò)中互不可見。

資源隔離：某一網(wǎng)絡(luò)切片所使用的網(wǎng)絡(luò)資源與其他網(wǎng)絡(luò)切片所使用的資源之間相互隔離。

運(yùn)維隔離：對于一部分網(wǎng)絡(luò)切片用戶來說，在提供業(yè)務(wù)隔離和資源隔離的基礎(chǔ)上，還要求能夠?qū)\(yùn)營商分配的網(wǎng)絡(luò)切片進(jìn)行獨(dú)立的管理和維護(hù)操作，即做到對網(wǎng)絡(luò)切片的使用近似于使用一張專用網(wǎng)絡(luò)，網(wǎng)絡(luò)切片通過管理平面接口開放提供運(yùn)維隔離功能。

接入網(wǎng)的切片隔離

接入網(wǎng)絡(luò)由無線空口和基礎(chǔ)處理資源構(gòu)成。無線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網(wǎng)絡(luò)切片分配專用頻譜帶寬，邏輯隔離是資源塊按照不同切片的要求按需分配，多個切片共享總的頻譜資源。

5G接入網(wǎng)絡(luò)的基站處理部分由 DU和 CU構(gòu)成，因此網(wǎng)絡(luò)切片在基站處理部分的隔離是切片在 DU和 CU上的隔離實(shí)現(xiàn)。DU目前依賴于專用硬件實(shí)現(xiàn)，CU可以使用專用硬件實(shí)現(xiàn)或者采用虛擬化技術(shù)以軟件方式在通用服務(wù)器上運(yùn)行。通過為不同切片分配不同的 DU單板或處理核實(shí)現(xiàn)網(wǎng)絡(luò)切片在 DU上的物理隔離。當(dāng) CU軟件運(yùn)行在專用硬件上時，隔離方式類似 DU。當(dāng) CU軟件運(yùn)行在通用服務(wù)器上時，網(wǎng)絡(luò)切片在 CU的隔離可基于網(wǎng)絡(luò)功能虛擬化（NFV）隔離技術(shù)實(shí)現(xiàn)，為不同的切片分配不同的虛機(jī)或容器，通過虛機(jī)或容器的隔離實(shí)現(xiàn)切片在 CU上的隔離。根據(jù)切片的安全隔離要求，在 DU、CU上的隔離機(jī)制可單獨(dú)或組合使用。

承載網(wǎng)的切片隔離

網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離也可通過軟隔離或硬隔離技術(shù)實(shí)現(xiàn)。軟隔離方案基于現(xiàn)有網(wǎng)絡(luò)機(jī)制，通過虛擬局域網(wǎng)（VLAN）標(biāo)簽與網(wǎng)絡(luò)切片標(biāo)識的映射實(shí)現(xiàn)。網(wǎng)絡(luò)切片具備唯一的切片標(biāo)識，根據(jù)切片標(biāo)識為不同的切片數(shù)據(jù)映射封裝不同的 VLAN標(biāo)簽，通過 VLAN隔離實(shí)現(xiàn)網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離。這種隔離方式雖然將不同切片的數(shù)據(jù)進(jìn)行了 VLAN區(qū)分，但是標(biāo)記有 VLAN標(biāo)簽的所有切片數(shù)據(jù)仍然混合調(diào)度轉(zhuǎn)發(fā)，無法做到硬件、時隙層面的隔離。

硬隔離方案基于靈活以太網(wǎng)（FlexE）技術(shù)。FlexE通過在以太網(wǎng)的物理編碼子層（PCS）引入一個時分復(fù)用（TDM）的Flex墊層（Shim），實(shí)現(xiàn)了 MAC層和PHY層接口收發(fā)器的解耦，從而提升以太網(wǎng)組網(wǎng)靈活性。FlexE客戶在 FlexE Shim層占用時隙采用靈活方式，通過 FlexE開銷指明時隙被哪個業(yè)務(wù)占用。FlexE通過 Shim層的時隙配置支持多個客戶業(yè)務(wù)，實(shí)現(xiàn)承載不同客戶業(yè)務(wù)的網(wǎng)絡(luò)切片之間的物理隔離。基于時隙調(diào)度的 FlexE分片將物理以太網(wǎng)端口劃分為多個以太網(wǎng)彈性管道，使得承載網(wǎng)絡(luò)既具備以太網(wǎng)統(tǒng)計(jì)復(fù)用、網(wǎng)絡(luò)效率高的特點(diǎn)，又具備類似于 TDM獨(dú)占時隙、隔離性好的特性。

網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離還可以使用軟隔離和硬隔離結(jié)合的方式，在對網(wǎng)絡(luò)切片使用 VLAN實(shí)現(xiàn)邏輯隔離的情況下，進(jìn)一步利用 FlexE分片技術(shù)，實(shí)現(xiàn)在時隙層面的物理隔離。

核心網(wǎng)的切片隔離

5G核心網(wǎng)絡(luò)基于虛擬化基礎(chǔ)設(shè)施構(gòu)建，其部署架構(gòu)分為資源層、網(wǎng)絡(luò)功能層和管理編排層。網(wǎng)絡(luò)切片的安全隔離可通過切片對應(yīng)基礎(chǔ)資源層的隔離、網(wǎng)絡(luò)層的隔離以及管理層隔離的三級隔離方式實(shí)現(xiàn)，如下圖所示。

根據(jù)應(yīng)用對安全的需求，可提供物理隔離和邏輯隔離兩種隔離方案。物理隔離是為網(wǎng)絡(luò)切片分配獨(dú)立的物理資源，各網(wǎng)絡(luò)切片獨(dú)占物理資源，互不影響，類似于傳統(tǒng)物理專網(wǎng)。

邏輯隔離是對建立在共享資源池上的多個網(wǎng)絡(luò)切片建立隔離機(jī)制。在資源層的隔離可參考NFV隔離機(jī)制。網(wǎng)絡(luò)層的NF隔離分為切片之間的隔離和切片內(nèi)的隔離。切片之間 NF的隔離基于虛擬機(jī)或者容器的隔離機(jī)制。切片內(nèi)部多個 NF由于功能不同，對安全的要求也不同，因此切片內(nèi)的多個 NF也存在隔離需求，可以通過劃分安全域的方式將多個 NF置于不同的安全域，并在安全域之間配置安全策略實(shí)現(xiàn) NF的隔離。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權(quán)限，每個租戶僅能對屬于自己的切片進(jìn)行管理維護(hù)，無權(quán)對其他租戶的切片實(shí)施管理。另外，需要通過通道加密等機(jī)制保證管理接口的安全。

挑 戰(zhàn)

切片的端到端（E2E）特性迫使運(yùn)營商在不同域中保持單個切片行為的一致性，這可能會給商業(yè)網(wǎng)絡(luò)帶來重大的運(yùn)營挑戰(zhàn)，如下所述：

切片準(zhǔn)備情況不同。切片特征在不同技術(shù)領(lǐng)域的滲透程度并不相同。雖然從第一個 5G 版本（3GPP R15）開始，核心網(wǎng)絡(luò)就包含了網(wǎng)絡(luò)切片支持，但傳輸網(wǎng)絡(luò)尚不支持任何原生切片功能，并且第一個解決方案去年才集成到無線接入網(wǎng)絡(luò)中。目前存在許多標(biāo)準(zhǔn)開發(fā)組織（SDO），每個 SDO 都解決了一部分 E2E 問題，導(dǎo)致標(biāo)準(zhǔn)化工作碎片化。例如不同 SDO 設(shè)置的優(yōu)先級與也不同。

可擴(kuò)展性負(fù)擔(dān)。并行運(yùn)行的切片數(shù)量越多，運(yùn)營商的OSS（操作支持系統(tǒng)）在可擴(kuò)展性方面的負(fù)擔(dān)就越大。對于擁有大量實(shí)例化的微型網(wǎng)絡(luò)切片，每個切片都需要單獨(dú)的控制和管理，這對 OSS 功能（編排、保證等）有很大的影響。

多供應(yīng)商解決方案。此前單一供應(yīng)商模式限制了生態(tài)系統(tǒng)的開放合作，所以5G 商業(yè)網(wǎng)絡(luò)由多家技術(shù)提供商的解決方案構(gòu)建而成。但在這個多供應(yīng)商生態(tài)系統(tǒng)中，運(yùn)營商面臨的挑戰(zhàn)是如何將來自不同供應(yīng)商的部件進(jìn)行適當(dāng)?shù)慕M合，并確保它們在域內(nèi)和域間協(xié)同工作。

本文內(nèi)容來源：

1.5G網(wǎng)絡(luò)切片安全隔離機(jī)制與應(yīng)用【毛玉欣，陳林，游世林，閆新成，吳強(qiáng)】

2.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC8659767/

3.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6630757/