如何通过切片实现网络端到端隔离？-技术圈

切片并不是什么新概念。在5G 网络中，同一基础设施上可能需要同时运行多种应用程序，而这些应用程序的QoS （服务质量）需求不同。网络切片可以将单个物理基础设施虚拟化成多个逻辑网络，这些网络具有自己的定制拓扑和专用资源，可根据应用程序的需求灵活配置资源或虚拟化功能以满足其QoS需求。

5G/6G 网络切片

通过网络切片，每种类型的应用程序都可以在不同的切片上提供服务。例如，一个切片可以专门用于为实时交互应用程序提供可靠和低延迟的通信，而另一个切片可以配置为海量物联网应用程序提供高吞吐量通信。

由于切片集中服务于具有相似 QoS 需求的同一类型应用程序，因此可以根据QoS需求定制切片的配置或操作。这种灵活的配置可以通过软件定义网络（SDN）来实现，SDN是一种将网络中的控制平面与数据平面分离以灵活管理数据平面的机制。通过SDN技术，切片可以构建为数据平面上的虚拟网络，通过SDN控制器连接到数据平面的交换机，在集中视图中管理切片的流量。

根据用户的需求，切片可以专用于某些特定用户。这些用户称为租户，服务于相同类型应用程序的多个切片可以由不同的租户拥有。根据租户之间的优先级或租户和基础设施提供商之间的SLA (服务层协议) 上的 QoS 约束，切片可能具有不同的优先级。例如，对于那些支付了更多费用的租户的切片，或者对 SLA具有严格的 QoS 约束的切片，可以给予更高的优先级。

网络切片的架构框架

下图展示了网络切片的系统架构设计。该系统分为两层：网络层和OSS 层。

网络层为各个切片提供所需的用户和控制平面功能；OSS 层托管了用于网络切片的设计、配置和操作的所有资产。

网络层由一组模块化的网络功能组成，这些功能可以灵活组合在一起以构建网络切片。上图展示了一个包含三个不同切片的示例，每个切片代表主要的 5G 服务类别。由于每个切片都需要配备定制服务的用户和控制平面，因此需要在它们的RAN和CN片子网中分配专用的NR和5GC网络功能。哪些网络功能是每个切片专用的，哪些功能可以与其他切片共享，这取决于切片的隔离需求，以及使用此切片的客户类型。

OSS 层托管了所有运营、管理和维护 (OAM) 工具，操作人员可以使用这些工具在整个生命周期内管理不同的切片。根据功能范围的不同，这些工具可分为四大类：设计、数据管理，保证和编排。最值得注意的是编排，负责切片配置（即从服务订单到部署的网络切片）和切片操作（即在运行时将部署的切片保持在所需状态）相关的所有活动。

如何实现网络切片的端到端隔离？

切片隔离是一项重要的需求，即共享同一基础设施的多个切片同时共存，需要保证每个切片的性能不能对其他切片的性能产生任何影响。按照隔离程度不同，网络切片可以提供三个层次的隔离：业务隔离、资源隔离和运维隔离。

#业务隔离

某一网络切片的业务报文不会被发送给同一网络中另一网络切片中的业务节点，即提供不同网络切片之间的业务连接和访问的隔离，使不同网络切片的业务在网络中互不可见。

#资源隔离

某一网络切片所使用的网络资源与其他网络切片所使用的资源之间相互隔离。

#运维隔离

对于一部分网络切片用户来说，在提供业务隔离和资源隔离的基础上，还要求能够对运营商分配的网络切片进行独立的管理和维护操作，即做到对网络切片的使用近似于使用一张专用网络，网络切片通过管理平面接口开放提供运维隔离功能。

接入网的切片隔离

接入网络由无线空口和基础处理资源构成。无线频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给网络切片分配专用频谱带宽，逻辑隔离是资源块按照不同切片的要求按需分配，多个切片共享总的频谱资源。

5G接入网络的基站处理部分由 DU和 CU构成，因此网络切片在基站处理部分的隔离是切片在 DU和 CU上的隔离实现。DU目前依赖于专用硬件实现，CU可以使用专用硬件实现或者采用虚拟化技术以软件方式在通用服务器上运行。通过为不同切片分配不同的 DU单板或处理核实现网络切片在 DU上的物理隔离。当 CU软件运行在专用硬件上时，隔离方式类似 DU。当 CU软件运行在通用服务器上时，网络切片在 CU的隔离可基于网络功能虚拟化（NFV）隔离技术实现，为不同的切片分配不同的虚机或容器，通过虚机或容器的隔离实现切片在 CU上的隔离。根据切片的安全隔离要求，在 DU、CU上的隔离机制可单独或组合使用。

承载网的切片隔离

网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。软隔离方案基于现有网络机制，通过虚拟局域网（VLAN）标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的 VLAN标签，通过 VLAN隔离实现网络切片在承载网络的隔离。这种隔离方式虽然将不同切片的数据进行了 VLAN区分，但是标记有 VLAN标签的所有切片数据仍然混合调度转发，无法做到硬件、时隙层面的隔离。

硬隔离方案基于灵活以太网（FlexE）技术。FlexE通过在以太网的物理编码子层（PCS）引入一个时分复用（TDM）的Flex垫层（Shim），实现了 MAC层和PHY层接口收发器的解耦，从而提升以太网组网灵活性。FlexE客户在 FlexE Shim层占用时隙采用灵活方式，通过 FlexE开销指明时隙被哪个业务占用。FlexE通过 Shim层的时隙配置支持多个客户业务，实现承载不同客户业务的网络切片之间的物理隔离。基于时隙调度的 FlexE分片将物理以太网端口划分为多个以太网弹性管道，使得承载网络既具备以太网统计复用、网络效率高的特点，又具备类似于 TDM独占时隙、隔离性好的特性。

网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式，在对网络切片使用 VLAN实现逻辑隔离的情况下，进一步利用 FlexE分片技术，实现在时隙层面的物理隔离。

核心网的切片隔离

5G核心网络基于虚拟化基础设施构建，其部署架构分为资源层、网络功能层和管理编排层。网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现，如下图所示。

根据应用对安全的需求，可提供物理隔离和逻辑隔离两种隔离方案。物理隔离是为网络切片分配独立的物理资源，各网络切片独占物理资源，互不影响，类似于传统物理专网。

逻辑隔离是对建立在共享资源池上的多个网络切片建立隔离机制。在资源层的隔离可参考NFV隔离机制。网络层的NF隔离分为切片之间的隔离和切片内的隔离。切片之间 NF的隔离基于虚拟机或者容器的隔离机制。切片内部多个 NF由于功能不同，对安全的要求也不同，因此切片内的多个 NF也存在隔离需求，可以通过划分安全域的方式将多个 NF置于不同的安全域，并在安全域之间配置安全策略实现 NF的隔离。切片在管理层的隔离通过为使用切片的租户分配不同的账号和权限，每个租户仅能对属于自己的切片进行管理维护，无权对其他租户的切片实施管理。另外，需要通过通道加密等机制保证管理接口的安全。

挑战

切片的端到端（E2E）特性迫使运营商在不同域中保持单个切片行为的一致性，这可能会给商业网络带来重大的运营挑战，如下所述：

切片准备情况不同。切片特征在不同技术领域的渗透程度并不相同。虽然从第一个 5G 版本（3GPP R15）开始，核心网络就包含了网络切片支持，但传输网络尚不支持任何原生切片功能，并且第一个解决方案去年才集成到无线接入网络中。目前存在许多标准开发组织（SDO），每个 SDO 都解决了一部分 E2E 问题，导致标准化工作碎片化。例如不同 SDO 设置的优先级与也不同。

可扩展性负担。并行运行的切片数量越多，运营商的OSS（操作支持系统）在可扩展性方面的负担就越大。对于拥有大量实例化的微型网络切片，每个切片都需要单独的控制和管理，这对 OSS 功能（编排、保证等）有很大的影响。

多供应商解决方案。此前单一供应商模式限制了生态系统的开放合作，所以5G 商业网络由多家技术提供商的解决方案构建而成。但在这个多供应商生态系统中，运营商面临的挑战是如何将来自不同供应商的部件进行适当的组合，并确保它们在域内和域间协同工作。

转自：SDNLAB

本文内容来源：

1.5G网络切片安全隔离机制与应用【毛玉欣，陈林，游世林，闫新成，吴强】

2.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC8659767/

3.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6630757/

下载链接：

《5G行业网数字孪生白皮书》

中国5G产业发展与策略报告

5G驱动产业链升级，聚焦垂直行业

《绿色5G白皮书》

工业控制应用场景白皮书（5G）

5G/6G技术资料合集一

5G/6G技术资料合集二

5G/6G技术资料合集三

转载申明：转载本号文章请注明作者和来源，本号发布文章若存在版权等问题，请留言联系处理，谢谢。

推荐阅读

更多架构相关技术知识总结请参考“架构师全店铺技术资料打包”相关电子书。

全店内容持续更新，现下单“架构师技术全店资料打包汇总(全)”，后续可享全店内容更新“免费”赠阅，价格仅收198元(原总价350元)。

温馨提示：

扫描二维码关注公众号，点击小程序链接获取“架构师技术联盟书店”电子书资料详情。