В этой статье мы проанализируем, как построить частную 5G сеть. Частная 5G сеть может быть создана двумя способами. Первый - развернуть физически изолированную частную 5G сеть («остров» 5G), которая не зависит от общедоступной 5G сети оператора мобильной связи (как если бы на предприятии была построена проводная локальная или Wi-Fi сеть). В этом случае частную 5G сеть могут строить предприятия или операторы мобильной связи[1]. Второй - создание частных сетей 5G путем совместного использования общедоступных сетевых ресурсов 5G оператора мобильной связи. В этом случае частные 5G сети для предприятий будет строить оператор мобильной связи.
Варианты построения частных 5G сетей:
Изолированная локальная сеть 5G, построенная на предприятии (локальная частота 5G, полностью закрытая, без совместного использования).
Изолированная локальная сеть 5G, созданная оператором мобильной связи (лицензированная частота, полностью частная, без совместного использования).
Совместное использование RAN между частной сетью и публичной сетью.
RAN и Control Plane Sharing между частной и публичной сетями.
RAN и Core Sharing (End-to-End Network Slicing) между частной и общедоступной сетями.
N3 LBO (Local Breakout).
F1 LBO (Local Breakout).
1. Изолированная локальная сеть 5G, построенная на предприятии (локальная частота 5G, полностью частная, без совместного использования)
Предприятие разворачивает полный набор элементов сетей 5G (gNB, UPF, 5GC CP, UDM, MEC) в своем помещении (сайт/здание). 5G частоты на предприятии — это локальная (не лицензируемая) частота 5G, а не лицензированные частоты операторов мобильной связи. Этот вариант архитектуры 5G применим в ряде стран, где государство выделяет такие диапазоны частот для частных сетей (в настоящее время это такие развитые страны как Япония, Германия и США).
Кто строит: В этом случае, как правило, предприятия строят свои собственные частные сети 5G, но в зависимости от политики правительства каждой страны, строить частные сети 5G для предприятий могут как интеграторы, так и операторы мобильной связи. Предприятия могут построить свою собственную локальную сеть 5G, используя не лицензируемую частоту 5G[2], что избавит их от традиционных проводных локальных сетей и неудобств, связанных с беспроводной локальной сетью (работа с кабельной проводкой, небольшие расстояния, проблемы безопасности и стабильность беспроводной локальной сети). Кроме того, сверхнизкая задержка и сверхвысокие возможности подключения технологии 5G позволяют создавать новые корпоративные приложения или оптимизировать существующие.
Плюсы (для случая с полноценно развернутой инфраструктурой 5G):
Конфиденциальность и безопасность: частная сеть физически отделена от общедоступной сети, обеспечивает полную безопасность данных (трафик данных, генерируемый с частных сетевых устройств, информация о подписке и информация о работе частных сетевых устройств – все они хранятся и управляются только внутри предприятия; данные передаются внутри предприятия и не просачиваются наружу).
Сверхнизкая задержка: поскольку сетевая задержка между устройством и сервером приложений составляет несколько ms, можно реализовать службы приложений URLLC.
Нет волоконно-оптических связей к зданию: не требуется транзитной сети, чтобы обеспечивать работу локальной сети связи (LAN). 5G доступ может быть быстро предоставлен предприятиям, у которых нет оптических магистралей, например, в сельской местности.
Полная независимость от сети мобильного оператора: даже если произойдет сбой в сети 5G оператора мобильной связи, или оборудование оператора мобильной связи выйдет из строя, частная сеть 5G компании будет работать.
Минусы:
Стоимость развертывания: небольшому предприятию непросто купить и развернуть полный комплект сети 5G за свой счет.
Предприятиям потребуются инженеры соответствующей компетенции: на предприятии имеется персонал с компетенцией для работы с существующей частной локальной сетью (проводной Ethernet и беспроводной Wi-Fi), а нужен с навыками по строительству и эксплуатации сети 5G.
2. Изолированная локальная сеть 5G, созданная оператором мобильной связи (лицензированная частота, полностью частная, без совместного использования)
Архитектура частной сети 5G такая же, как и в варианте 1. Единственное отличие заключается в том, что операторы мобильной связи создают и эксплуатируют локальную сеть 5G на предприятии с собственной лицензированной 5G частотой.
3. Совместное использование RAN между частной сетью и публичной
UPF, 5GC CP, UDM и MEC развернуты на предприятии и физически отделены от сети общего пользования. Только базовые станции 5G (gNB), расположенные в пределах предприятия, используются совместно частной и общедоступной сетями (RAN Sharing).
Трафик данных (черные линии с ■) устройств, принадлежащих частному слайсу (частной сети), доставляется в частный UPF на предприятии, трафик данных (синие линии с ■) устройств, принадлежащих общедоступному слайсу (публичная сеть), доставляется в UPF в пограничное облако (edge cloud) мобильного оператора. Другими словами, трафик частной сети (например, данные управления устройствами, внутренние видеоданные и т. д.) остается только в периметре предприятия, а трафик общедоступной сети (голос и Интернет) передается в сеть оператора мобильной связи. Хотя базовые станции разделены не физически, а логически, на практике сложно перехватить информацию о данных в частной сети на уровне RAN, поэтому передача данных частной сети на предприятии относительно безопасна. Частные и выделенные 5GC CP и UDM размещены на предприятии, поэтому информация о подписке и информация о работе частных сетевых устройств на предприятии хранится и управляется внутри компании, чтобы они не попадали за пределы предприятия.
4. RAN и Control Plane Sharing между частной и публичной сетями
Частные UPF и MEC установлены на предприятии. Базовые станции 5G (gNB), установленные на предприятии, 5GC CP и UDM, установленные в облаке оператора мобильной связи, совместно используются частными и общедоступными сетями (RAN и Control Plane Sharing). gNB, 5GC CP и UDM логически разделены между частной сетью и общедоступной сетью, а UPF и MEC физически разделены и используются только предприятием.
Трафик данных (черные линии с ■) устройств, принадлежащих частному слайсу (частной сети), доставляется в частный UPF на предприятии, трафик данных (синие линии с ■) устройств, принадлежащих общедоступному слайсу (публичная сеть), доставляется в UPF в пограничное облако (edge cloud) мобильного оператора. Другими словами, трафик частной сети (данные управления внутренними устройствами, внутренние видеоданные и т. д.) остается только в периметре предприятия, а трафик услуг общедоступной сети (голос и Интернет) передается в сеть оператора мобильной связи. Как и в варианте 3 (RAN Sharing), безопасность трафика данных внутри предприятия очевидна.
Control Plane функции (аутентификация, мобильность и т. д.) для устройств частной сети и устройств общедоступной сети выполняются 5GC CP и UDM в сети оператора мобильной связи. То есть устройства частной сети, gNB и UPF на предприятии взаимодействуют с сетью оператора мобильной связи и управляются ею (через интерфейсы N2, N4). Сотрудники предприятия имеют обоснованную обеспокоенность по поводу того, что данные о подписке частных сетевых устройств хранятся на сервере оператора мобильной связи, а не в периметре компании, а также тем, что и управление производится оператором сотовой связи.
Поскольку UPF и MEC расположены на самом предприятии, обеспечивается связь со сверхнизкой задержкой между UE <-> gNB <-> UPF <-> MEC и подходит для компаний, использующих приложения URLLC, такие, как беспилотное вождение и управление роботами/дронами в реальном времени.
5. RAN и Core Sharing (End-to-End Network Slicing) между частной и общедоступной сетями
Это тот случай, когда внутри предприятия развернут только gNB, а UPF и MEC существуют только в граничном облаке (выносной сегмент) мобильного оператора. Частная сеть и общедоступная сеть совместно используют «5G RAN и Core» (gNB, UPF, 5GC, MEC, UDM) (End-to-End Network Slicing).
В отличие от вариантов 3, 4, где UPF и MEC расположены на предприятии, в этом случае на предприятии есть только gNB. Следовательно, нет локального стыка для пропуска трафика между частными устройствами 5G и устройствами сети предприятия (LAN), такими, как ПК или локальным серверам интрасети, соответственно трафик должен идти до UPF в граничном облаке оператора, а затем возвращаться внутрь предприятия через выделенный канал связи к устройствам LAN.
Кроме того, MEC, который предоставляет сервисы приложений 5G для устройств 5G на предприятии, расположен в граничном облаке оператора мобильной связи вдали от устройств.
В этой архитектуре сетевая задержка (RTT) может стать серьезной проблемой, если расстояние между предприятием (устройства 5G) и граничным облаком оператора (UPF, MEC) достаточно велико.
Поскольку трафик устройств частной сети передается от предприятия к сети оператора мобильной связи, возникает проблема безопасности трафика данных. В то время, как оператор мобильной связи будет выделять ресурсы на UPF и MEC в своем пограничном облаке, чтобы отделить трафик частной сети от трафика общедоступных и других частных сетей, руководители предприятия обеспокоены тем, что, например, данные внутренних систем видеонаблюдения (CCTV) передаются за пределы их предприятия.
Как и в варианте 4, сотрудников предприятия беспокоит и то, что данные о подписке частных сетевых устройств хранятся на сервере оператора мобильной связи, а не в периметре компании, а также тем, что управление производится оператором сотовой связи.
Эта архитектура самая бюджетная для создания частной сети 5G для операторов мобильной связи по сравнению с вариантами 2, 3 и 4, которые требуют развертывания UPF и/или 5GC CP внутри предприятия. Однако у предприятия есть проблемы с аспектами безопасности (трафик данных, генерируемых терминалами частной сети, информация о подписке и эксплуатационная информация устройств частной сети не в периметре предприятия). Еще есть проблема с сетевой задержкой между частными устройствами 5G и серверами приложений MEC, а также с частными устройствами 5G и интрасетью / устройствами LAN.
6. N3 LBO (Local Breakout): Пример оператора SK Telecom в Южной Корее
На схеме (а), gNB развернут на предприятии, как и в варианте 5. GTP туннель по интерфейсу N3 создается между gNB и UPF при подключении устройства, будь то камера видеонаблюдения или смартфон. Оба эти устройства являются общедоступными сетевыми устройствами.
На схеме (b), на предприятии установлен MEC Data Plane (оборудование, не поддерживающее 3GPP, ETSI MEC) и MEC Applications. Платформа Mobile Edge Platform (MEP) и Orchestrator оператора мобильной связи управляют потоком трафика в MEC DP. Если Destination IP-адрес является локальной сетью предприятия, то частные устройства 5G, устройства локальной проводной сети и локальные сервера приложений MEC обмениваются трафиком через локальный стык (Local Breakout!).
MEC DP просматривает Destination IP-адреса пакетов, принадлежащих всем GTP туннелям, исходящим от gNB (GTP Decap), и направляет IP-пакет пользователя во внутреннюю частную сеть, если это локальный трафик с предварительной декапсуляцией из протокола GTP.
Хотя этот метод не стандартизирован 3GPP, можно будет отделить трафик частной сети от трафика общего пользования.
По сравнению с вариантом 5, трафик частной сети не передается в сеть оператора мобильной связи, поэтому безопасность трафика данных частной сети такая же, как и в вариантах 3 и 4.
Кроме того, поскольку MEC также развернут на предприятии и обрабатывает трафик, который проходит через MEC DP, он сможет обеспечивать связь устройств с приложением со сверхмалой задержкой.
Из-за того, что MEC DP не является 3GPP UPF устройством, MEC DP не может осуществлять управление мобильностью (mobility management) и функции тарификации (charging) для частных сетевых устройств.
Конечно, MEC DP может реализовать некоторые из этих функций, так как оператор может создать частное решение, реализующее эти возможности.
Как и в варианте 4 и 5, сотрудникам предприятий не нравится то, что данные о подписке частных сетевых устройств хранятся на сервере оператора мобильной связи, а не в периметре компании, а также то, что управление производится оператором сотовой связи.
7. F1 LBO (Local Breakout): Пример оператора KT в Южной Корее
То же, что и в варианте 6, но на предприятии развертывается только RU/DU, а CU размещается в граничном облаке мобильной сети, трафик частной сети локально выделяется из интерфейса F1, а не из интерфейса N3.
Заключение
В любой ситуации и в любой области может быть множество идей. Сначала мы хотим получить самый красивый и самый желанный вариант. Но в финале все сводится к ответам на два вопроса: «Что мне нужно?» и «Сколько у меня денег?».
Точно так же варианты архитектур частной сети 5G, описанные выше, имеют свои преимущества и недостатки, и одна архитектура не является оптимальной для всех ситуаций. Каждое предприятие может выбрать оптимальный вариант, исходя из своих требований и бюджета на внедрение и эксплуатацию.
[1] Требуется согласование с регуляторными органами.
[2] Данный вопрос по состоянию на март 2021 в России не решен.