今日热点如何现网络切片的端到端隔离2022/12/26 10:39:31

哦不明白

通过络切片，每种类型的应用程序都可以在不同的切片上提供服务。切片并不是什么新概念。在5G络中，同一基础设施上可能需要同时运行多种应用程序，而这些应用程序的QS（服务质量）需求不同。络切片可以将单个物理基础设施虚拟化成多个逻辑络，这些络具有自己的定制拓扑和专用资源，可根据应用程序的需求灵活配置资源或虚拟化功能以满足其QS需求。域名IP查询的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！

5G6G络切片通过络切片，每种类型的应用程序都可以在不同的切片上提供服务。例如，一个切片可以专门用于为时交互应用程序提供可靠和低延迟的通信，而另一个切片可以配置为海量物联应用程序提供高吞吐量通信。

由于切片集中服务于具有相似QS需求的同一类型应用程序，因此可以根据QS需求定制切片的配置或操作。这种灵活的配置可以通过软件定义络（SDN）来现，SDN是一种将络中的控制平面与数据平面分离以灵活管理数据平面的机制。通过SDN技术，切片可以构建为数据平面上的虚拟络，通过SDN控制器连接到数据平面的交换机，在集中视图中管理切片的流量。

根据用户的需求，切片可以专用于某些特定用户。这些用户称为租户，服务于相同类型应用程序的多个切片可以由不同的租户拥有。根据租户之间的先级或租户和基础设施提供商之间的SLA(服务层协议)上的QS约束，切片可能具有不同的先级。例如，对于那些支付了更多费用的租户的切片，或者对SLA具有严格的QS约束的切片，可以给予更高的先级。

络切片的架构框架下图展示了络切片的系统架构设计。该系统分为两层：络层和OSS层。

络层为各个切片提供所需的用户和控制平面功能；OSS层托管了用于络切片的设计、配置和操作的所有资产。



络层由一组模块化的络功能组成，这些功能可以灵活组合在一起以构建络切片。上图展示了一个包含个不同切片的示例，每个切片代表主要的5G服务类别。由于每个切片都需要配备定制服务的用户和控制平面，因此需要在它们的RAN和CN片子中分配专用的NR和5GC络功能。哪些络功能是每个切片专用的，哪些功能可以与其他切片共享，这取决于切片的隔离需求，以及使用此切片的客户类型。

OSS层托管了所有运营、管理和维护(OAM)工具，操作人员可以使用这些工具在整个生命周期内管理不同的切片。根据功能范围的不同，这些工具可分为四大类：设计、数据管理，保证和编排。比较值得注意的是编排，负责切片配置（即从服务订单到部署的络切片）和切片操作（即在运行时将部署的切片保持在所需状态）相关的所有活动。

如何现络切片的端到端隔离切片隔离是一项重要的需求，即共享同一基础设施的多个切片同时共存，需要保证每个切片的性能不能对其他切片的性能产生任何影响。按照隔离程度不同，络切片可以提供个层次的隔离：业务隔离、资源隔离和运维隔离。

业务隔离：某一络切片的业务报文不会被发送给同一络中另一络切片中的业务节点，即提供不同络切片之间的业务连接和访问的隔离，使不同络切片的业务在络中互不可见。

资源隔离：某一络切片所使用的络资源与其他络切片所使用的资源之间相互隔离。

运维隔离：对于一部分络切片用户来说，在提供业务隔离和资源隔离的基础上，还要求能够对运营商分配的络切片进行单独的管理和维护操作，即做到对络切片的使用近似于使用一张专用络，络切片通过管理平面接口开放提供运维隔离功能。

接入的切片隔离接入络由线空口和基础处理资源构成。线频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给络切片分配专用频谱带宽，逻辑隔离是资源块按照不同切片的要求按需分配，多个切片共享总的频谱资源。



5G接入络的基站处理部分由DU和CU构成，因此络切片在基站处理部分的隔离是切片在DU和CU上的隔离现。DU目前依赖于专用硬件现，CU可以使用专用硬件现或者采用虚拟化技术以软件方式在通用服务器上运行。通过为不同切片分配不同的DU单板或处理核现络切片在DU上的物理隔离。当CU软件运行在专用硬件上时，隔离方式类似DU。当CU软件运行在通用服务器上时，络切片在CU的隔离可基于络功能虚拟化（NFV）隔离技术现，为不同的切片分配不同的虚机或容器，通过虚机或容器的隔离现切片在CU上的隔离。根据切片的安全隔离要求，在DU、CU上的隔离机制可单独或组合使用。

承载的切片隔离

络切片在承载络的隔离也可通过软隔离或硬隔离技术现。软隔离方案基于现有络机制，通过虚拟局域（VLAN）标签与络切片标识的映现。络切片具备仅有的切片标识，根据切片标识为不同的切片数据映封装不同的VLAN标签，通过VLAN隔离现络切片在承载络的隔离。这种隔离方式虽然将不同切片的数据进行了VLAN区分，但是标记有VLAN标签的所有切片数据仍然混合调度转发，法做到硬件、时隙层面的隔离。



硬隔离方案基于灵活以太（FE）技术。FE通过在以太的物理编码子层（PCS）引入一个时分复用（TDM）的F垫层（S），现了MAC层和PHY层接口收发器的解耦，从而提升以太组灵活性。FE客户在FES层占用时隙采用灵活方式，通过FE开销指明时隙被哪个业务占用。FE通过S层的时隙配置支持多个客户业务，现承载不同客户业务的络切片之间的物理隔离。基于时隙调度的FE分片将物理以太端口划分为多个以太弹性管道，使得承载络既具备以太统计复用、络效率高的特点，又具备类似于TDM独占时隙、隔离性好的特性。

络切片在承载络的隔离还可以使用软隔离和硬隔离结合的方式，在对络切片使用VLAN现逻辑隔离的情况下，进一步利用FE分片技术，现在时隙层面的物理隔离。

核心的切片隔离5G核心络基于虚拟化基础设施构建，其部署架构分为资源层、络功能层和管理编排层。络切片的安全隔离可通过切片对应基础资源层的隔离、络层的隔离以及管理层隔离的级隔离方式现，如下图所示。



根据应用对安全的需求，可提供物理隔离和逻辑隔离两种隔离方案。物理隔离是为络切片分配单独的物理资源，各络切片独占物理资源，互不影响，类似于传统物理专。

逻辑隔离是对建立在共享资源池上的多个络切片建立隔离机制。在资源层的隔离可参考NFV隔离机制。络层的NF隔离分为切片之间的隔离和切片内的隔离。切片之间NF的隔离基于虚拟机或者容器的隔离机制。切片内部多个NF由于功能不同，对安全的要求也不同，因此切片内的多个NF也存在隔离需求，可以通过划分安全域的方式将多个NF置于不同的安全域，并在安全域之间配置安全策略现NF的隔离。切片在管理层的隔离通过为使用切片的租户分配不同的账号和权限，每个租户仅能对属于自己的切片进行管理维护，权对其他租户的切片施管理。另外，需要通过通道加密等机制保证管理接口的安全。

挑战切片的端到端（E2E）特性迫使运营商在不同域中保持单个切片行为的一致性，这可能会给商业络带来重大的运营挑战，如下所述：

切片准备情况不同。切片特征在不同技术领域的渗透程度并不相同。虽然从首个5G版本（3GPPR15）开始，核心络就包含了络切片支持，但传输络尚不支持任何原生切片功能，并且首个解决方案去年才集成到线接入络中。目前存在许多标准开发组织（SDO），每个SDO都解决了一部分E2E问题，导致标准化工作碎片化。例如不同SDO设置的先级与也不同。

可扩展性负担。并行运行的切片数量越多，运营商的OSS（操作支持系统）在可扩展性方面的负担就越大。对于拥有大量例化的微型络切片，每个切片都需要单独的控制和管理，这对OSS功能（编排、保证等）有很大的影响。

多供应商解决方案。此前单一供应商模式限制了生态系统的开放合作，所以5G商业络由多家技术提供商的解决方案构建而成。但在这个多供应商生态系统中，运营商面临的挑战是如何将来自不同供应商的部件进行适当的组合，并确保它们在域内和域间协同工作。

本文内容来源：

15G络切片安全隔离机制与应用【毛玉欣，陈林，游世林，闫新成，吴强】

2PMC8659767

3PMC6630757