一文了解5G切片的原理

[2.2 、网络切片在承载网络的隔离实现](#2.2 、网络切片在承载网络的隔离实现)

行业应用是多样化的，甚至有些应用是小众化、短生命周期的，它们对网络性能的需求也是差异化的，例如用于工业控制的网络需具备较小的时延，而对于固定终端的传感器网络不需要网络具备移动性功能。传统移动网络基于专用设备组网，网元功能以专用设备形态存在，在组网、网络扩容、提供差异化网络服务等方面不够灵活，运维复杂、建设维护成本较高，因此传统移动网络难以满足多样化应用所需的差异化服务需求，难以快速响应应用需求的变化，也无法承担碎片化运营带来的运营成本。

为了更好地满足差异化服务的需求，提高网络系统部署灵活性，降低网络建设运维成本， 5G网络采用了服务化网络架构，引入虚拟化、网络能力开放、网络切片等新技术，从而具备高度可定制性。垂直行业可以结合应用需求，基于开放的网络能力定制服务网络，并且可以灵活地对网络容量进行弹性伸缩，以应对动态变化的需求。 5G服务化网络架构如下图所示：

一、5G网络切片

网络切片是一组运行在通用物理硬件上的多个NF （Network Functions）功能的编排组合，具备独立提供网络服务能力的端到端虚拟网络。运营商通过能力开放接口和切片蓝图将 5G网络开放给垂直行业应用。切片蓝图是对网络切片编排的完整描述，包含网络切片所需的 NF、NF配置、切片实例化等。结合应用需求完成切片蓝图制作后，网络编排和管理系统根据切片蓝图完成网络资源（计算、存储、网络）的分配和激活，完成网络切片部署。

网络切片的部署如上图2所示，与传统移动通信网络固定的网络架构相比，网络切片包含的NF按需设计，切片中仅包含为支持应用所必须的NF，避免包含其他非必要的NF。另外，具备相同功能的NF在不同网络切片部署的位置也可能不同。

例如，对于车联网应用要求网络具备超低时延，因此提供用户面数据交换的UPF需要下沉至接入数据中心部署，而对于其他应用的网络切片，UPF通常部署在核心数据中心。对于车联网等应用通常要求网络部署移动性功能，而对于远程医疗应用不需要移动性，因此对应的网络切片在编排部署过程中就不需要包含移动性功能。

借助于虚拟化技术，运营商可以在相同的物理基础设施上同时配置部署多个网络切片，为不同的应用提供网络服务。由于网络切片共享相同的网络资源，因此切片之间的隔离就变得非常重要，做好网络切片的端到端隔离，一方面可以避免切片之间发生资源相互竞争进而影响切片的正常部署和运行；另一方面也可以避免一个切片的异常（例如遭受内部安全威胁或者外部攻击，影响到其他切片的安全），有效防止攻击扩散、切片数据泄露等安全威胁。

二、网络切片端到端隔离

2.1、网络切片在接入网络的隔离实现

网络切片是端到端虚拟网络， 与传统移动通信网络类似，也由无线接入、承载、核心网构成，因此网络切片端到端的隔离包括切片在接入网、承载网和核心网的隔离实现。

接入网络由无线空口和基础处理资源构成。如上图3所示，5G正 交频分多址（OFDMA）系统中，无线频谱从时域、频域、空域维度被划分为不同的资源块，用于承载数据在无线空口的传输。

无线频谱资源的隔离可以分为物理隔离和逻辑隔离。

物理隔离是给网络切片分配专用频谱带宽，这时分配给切片的资源块是连续的。
逻辑隔离是资源块按照不同切片的要求按需分配，这时分配给每个切片的资源块是不连续的，多个切片共享总的频谱资源。

无线频谱资源无论采用物理隔离还是逻辑隔离，由于资源块的正交性，两者的隔离能力相当 ，**但是物理隔离方式下，使用专用频谱的覆盖范围和覆盖效果通常不如共享频谱。**当数据文件较大，或者用户处于小区边缘时，由于无法使用更宽的频谱传输，使得采用频谱物理隔离方式的切片往往无法达到很高的传输速率。此外，物理隔离方式实现成本较高，资源分配不够灵活，尤其是频谱租赁代价高昂。而逻辑隔离可以在共享频谱的情况下由基站调度器动态调配资源块以满足不同切片的传输要求，有利于提高频谱资源的利用率，因此，行业应用在无特殊要求的情况下，首选逻辑隔离方案来满足网络切片在无线空口侧的隔离要求。

5G接入网络的基站处理部分由 DU和 CU构成，因此网络切片在基站处理部分的隔离是切片在 DU和 CU上的隔离实现。

DU和 CU是对传统 RAN功能的重构。

DU用于处理物理（PHY）层和媒体接入控制（MAC）层功能，例如资源块调度、调制编码、功控等。

CU用于处理 MAC层以上的功能，例如分组数据汇聚、切换等。

DU目前依赖于专用硬件实现， CU可以使用专用硬件实现或者采用虚拟化技术以软件方式在通用服务器上运行。通过为不同切片分配不同的 DU单板或处理核，实现网络切片在 DU上的物理隔离。当 CU软件运行在专用硬件上时，隔离方式类似DU。当CU软件运行在通用服务器上时，网络切片在 CU的隔离可基于网络功能虚拟化（NFV）隔离技术实现，为不同的切片分配不同的虚机或容器，通过虚机或容器的隔离实现切片在 CU上的隔离。

根据切片的安全隔离要求，在 DU、CU上的隔离机制可单独或组合使用。

2.2 、网络切片在承载网络的隔离实现

5G网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据。网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。

**软隔离方案基于现有网络机制，**通过虚拟局域网（VLAN）标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的 VLAN标签，通过 VLAN隔离实现网络切片在承载网络的隔离。 这种隔离方式虽然将不同切片的数据进行了 VLAN区分，但是标记有 VLAN标签的所有切片数据仍然混合调度转发，无法做到硬件、时隙层面的隔离。

**硬隔离方案基于灵活以太网（FlexE）技术，**如上图4。通过在以太网的物理编码子层（PCS）引入一个时分复用（TDM）的Flex垫层（Shim），实现了 MAC层和PHY层接口收发器的解耦，从而提升以太网组网灵活性。

FlexE使用 Calendar分配每个子 Calendars上的66比特块给 FlexE客户（网络切片）。

每 100G物理介质相关子层（PMD）分为20个时隙，颗粒度是 5G。

FlexE Shim层有 n×10个5G时隙。 FlexE客户的 64B/66B按照时隙方式插到 FlexE Shim层。

FlexE客户的 10G、25G、40G、n×50G分别在 Shim层占用 2、5、8、n×10个5G时隙。

FlexE客户在 FlexE Shim层占用时隙采用灵活方式，通过 FlexE开销指明时隙被哪个业务占用。 FlexE通过 Shim层的时隙配置支持多个客户业务，实现承载不同客户业务的网络切片之间的物理隔离。

基于时隙调度的 FlexE分片将物理以太网端口划分为多个以太网刚性管道，使得承载网络既具备以太网统计复用、网络效率高的特点，又具备类似于 TDM独占时隙、隔离性好的特性。

网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式，在对网络切片使用 VLAN实现逻辑隔离的情况下，进一步利用 FlexE分片技术，实现在时隙层面的物理隔离。

2.3、网络切片在核心网络的隔离实现

5G核心网络基于虚拟化基础设施构建， 其部署架构分为资源层、网络功能层和管理编排层。网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现，如图5所示。

根据应用对安全的需求，可提供物理隔离和逻辑隔离两种隔离方案。

物理隔离是为网络切片分配独立的物理资源，各网络切片独占物理资源，互不影响，类似于传统物理专网。

逻辑隔离是对建立在共享资源池上的多个网络切片建立隔离机制。 在资源层的隔离可参考NFV隔离机制。**网络层的NF隔离分为切片之间的隔离和切片内的隔离。切片之间 NF的隔离基于虚拟机或者容器的隔离机制。**切片内部多个 NF由于功能不同，对安全的要求也不同，例如 UDM用于存储和处理用户签约数据，其对于安全的要求要高于其他 NF，因此切片内的多个 NF也存在隔离需求，可以通过划分安全域的方式将多个 NF置于不同的安全域，并在安全域之间配置安全策略实现 NF的隔离。对于 NF之间存在通信的需求，在通信连接建立之前需要首先进行认证。切片在管理层的隔离通过为使用切片的租户分配不同的账号和权限，每个租户仅能对属于自己的切片进行管理维护，无权对其他租户的切片实施管理。另外，需要通过通道加密等机制保证管理接口的安全。

三、网络切片隔离应用案例

电力行业是 5G技术探索的行业应用之一。差动保护和配网自动化三遥是电网中两类典型的业务。两类业务可以由一个智能电力终端（DTU）承载。智能 DTU通过 CPE接入 5G网络。 CPE作为 5G网络的接入终端，配备一张 SIM卡。差动保护业务通过 5G网络实现在两个 DTU之间交互，而配网自动化三遥业务由 DTU经过 5G网络流向业务主站，如图6所示。两类业务对外需要实现物理隔离，两类业务之间需要实现逻辑隔离。

5G网络使用两张网络切片分别为上述业务提供网络服务。切片包含的所有网络功能都使用运营商电信云中独立的服务器加载，以实现电力业务与外界业务的物理隔离。

CPE上的 SIM卡上签约上述两类业务对应的网络切片标识（NSSAI）。当 CPE注册到 5G网络时，需要携带 NSSAI。 5G网络为 CPE选择对应的网络切片。 CPE同时接入两张网络切片，且分别建立分组数据单元（PDU）会话连接，即不同的GTP隧道，实现两类业务的逻辑隔离。

智能 DTU设备通过两个物理接口接入环网柜内的交换机，一个网口分配给差动保护业务，另一个网口分配给配网自动化三遥业务。交换机对所述两种业务进行 VLAN划分，实现两类业务的逻辑隔离，并通过一个网口发送至 CPE。

（1）无线空口处隔离。 5G基站由同一块基带处理板根据 PDU会话连接及优先级标识，为两类业务分配调度不同的时频资源块。由于资源块在时隙、频域上的彼此正交性，因此通过为不同业务分配不同的资源块实现承载这两类业务的网络切片在无线空口的隔离。如果业务需要独立频段，则可以通过分配专用的基带处理板，实现物理隔离。

（2）基站基带信息到基站处理单元（DU/CU）的隔离。该传输过程可以采用逻辑隔离方式，例如为不同的业务封装不同的 VLAN，也可使用物理隔离方式，即分配专用端口和传输线路以及专用处理板。

（3）承载网络的隔离。首先利用FlexE技术构建一张针对电力行业的网络切片，以实现与其他行业的网络切片的物理隔离。承载接入设备根据VLAN信息识别两类业务，并将这两个不同VLAN标签的业务映射到同一个FlexE端口。同时其他承载设备需要配置相应的FlexE端口以保障上述两类业务全程在物理刚性管道上。如果在所述FlexE网络切片内还需要隔离这两类业务，可以通过不同的VLAN进行业务的逻辑隔离。当业务流到达核心网络入口边缘时，由三层承载设备解析GTP隧道头部信息，并将两类业务路由至核心网不同的网络切片的UPF 上。

（4）核心网络的隔离。通过为两类业务对应的切片网络功能分配独立的硬件服务器或虚拟机，并对应到数据中心交换机独立的板卡上，从而实现两类业务对应的网络切片的物理或者逻辑隔离。在核心网出口设置防火墙，当业务流出核心网，运营商可通过传输专线的方式把电力业务送入安全接入区，安全接入区内部署有业务主站。传输专线可同样采用 FlexE技术、物理专线等方式。