5G专网&amp;校园网融合方案

admin2023-01-16 17:59:102894

2022

畅享连世界

5G专网&校园网融合解决方案

教育行业总监赵奇峰

目录CONTENTS

01 5G专网简述

02 5G校园网应用

03 5G专网&校园网融合组网

045G专网&校园网融合安全

运营商5G专网

5G专网即是建立在5G技术之上的专网，所谓专网，是指专用于特定用户的网络，不同于为所有人服

务的公网，专网在安全隔离、网络的可靠性和稳定性等方面均具备绝对的优势。

5G专网融合部署示意图

UPF 主要支持UE（用户设备）业务数据的路由

和转发、数据和业务识别、动作和策略执行等

N3 接口是NG RAN（5G无线接入网）与UPF 间

的接口，采用GTP-U 协议进行用户数据的隧道传

输。

N4 接口是SMF（5G会话管理功能）和UPF 之间

的接口，采用GTP-U 协议。

N6 接口是UPF 和外部设备之间的接口，N6 接口

要求支持专线或L2/L3 层隧道，可基于IP 与其它

网络通信。

N9 接口是UPF 之间的接口，两个UPF 之间使用

GTP-U 协议进行用户面报文的传输。

5G信号覆盖利用宏站+室分实现；通过"通用DNN（数据网络名称）& ULCL（上行分类）方

案"将客户数据分流到校园网和公网，访问校园网采用专线方式解决。

目录CONTENTS

5G专网简述

5G校园网应用

5G专网&校园网融合组网

5G专网&校园网融合安全

5G校园网融合方案

背景

1. 国家政策，5G进入校园是趋势

2. 越来越多的高校建设5G校园网。

5G校园网意义

1. 学校5G专网可以作为校内无线资源补充；

2. 校外5G用户不通过VPN使用校园网资源、学术

资源；

3. 更加便于打通校园网和运营商边缘计算；

校园网挑战

1. 如何实现5G用户二次鉴权实名制访问内网资源； 2. 如何实现基于5G用户群组访问内网的访问控制；

3. 如何实现对5G用户的审计和行为分析和管控；

5G校园网融合教育部相关文件

5G校园网融合案例

校园网5G融合应用—访问校内资源

校外用户数据流向

校内用户数据流向

校园网5G签约用户通过基站接入到5G网络中，运营商通过手机号码识别出该用户的属性，然后将互联网访问数据传

输到相关的UPF设备

1. 如果5G签约用户在校内，连接校内5G基站，由辅锚点UPF将数据包分流到校内；

2. 如果5G签约用户在校外，连接本地基站，数据包先路由到主锚点UPF，然后根据签约用户属性，路由到对应的辅

锚点，然后由辅锚点路由数据包到校内。

校园网5G融合应用—访问校外图书资源

Internet

图书资源

访问图书资源

访问其他资源

域名路由

方案说明：

由于某些UPF只能基于IP地址作路由，而很多校外图书资源是通过CDN发布，IP地址经常变化，因此无法实现通过UPF进行

图书资源域名路由。

Panabit网关支持域名路由，可以基于图书资源进行域名路由，讲图书资源数据包路由到校内，而其他流量通过单独的链路

进行NAT和负载均衡出网。

目录CONTENTS

5G专网简述

5G校园网应用

5G专网&校园网融合组网

5G专网&校园网融合安全

5G校园网融合组网— GRE隧道

方案说明：

1. 运营商采用共享UPF模式进行

组网，一台UPF设备面对多个

高校；

2. 为了进行不同高校5G专网的隔

离，不同学校使用不同的GRE 隧道，因此需要5G融合网关支

持GRE隧道功能

5G校园网融合组网— IP地址重复问题

5G专网

方案说明：

1. 某厂商UPF分配给5G手机的IP地址只能是10.0.0.0/11（10.0.0.1~10.31.255.255）的IP地址；

2. 校内正好也使用10.0.0.0/8的IP地址；

3. 为了解决互联互通问题，从5G专网到校内网络需要同时进行大量IP地址的源地址转换和目标地址转换；

校园网

5G校园网融合组网—IPv6转换IPv4

图书资源

IPv6数据包

IPv4数据包

IPv6转IPv4

5G专网在运营商处，分配的会有IPv6的IP地址，但校内服务器可能使用的IPv4地址，因此，需

要把运营商5G专网的IPv6地址进行转换，从而保证服务器顺利访问。

目录CONTENTS

5G专网简述

5G校园网应用

5G专网&校园网融合组网

5G专网&校园网融合安全

5G校园网融合安全部分— 校园网二次鉴权

针对大学管控需求，需要识别出登陆校园内网的用户身份，可以通过如下方式实现。

在UPF上配置"头增强"功能，添加MSISDN（用户手机号）在每次传输的报文中，校方通过识别MSISDN

获悉用户身份。

方案说明— UPF侧：

1. 在分流到校园网的数据包，在UPF上配置"头

增强"功能，添加MSISDN（用户手机号），校

方通过识别MSISDN获悉用户身份；

2. Panabit设备串接在运营商5G网络和校园网之

添加MSISDN

信息

间，当用户数据包通过5G网络传输到学校时候，

Panabit设备在数据包里面识别MSISDN（用户手机号）获悉用户身份，同时记录IP和用户名的

对应关系；

5G校园网融合安全部分— 用户无感知认知

5G专网用户

➢ 5G签约用户登录校内自服务平台，用户直接进行手机号码和校内账号绑定，然后由校方进行审

批。

Panabit设备处理

➢ 在UPF上配置"头增强"功能，添加MSISDN（用户手机号）在传输的报文中，UFP通过头增强

发过手机号码后，Panabit到自服务系统进行查询，看看这个手机号码是否绑定成功，如果不成

功，阻断访问，反之就放行。

➢ 由于MSISDN（用户手机号）是在局端UPF处临时加入的，有些服务器是不能识别该数据包（例

如HTTPS），因此，Panabit设备需要去除MSISDN包头，然后传输数据包到相关服务器，实现了图书资源访问的诉求。同时，由于数据包经过Panabit设备后，已经没有MSISDN（用户手机

号），也保证了用户是隐私性。

➢ Panabit网关设备维护会话认证名单，对于同一个IP地址+手机号的会话以前认证过，直接放行，

从而实现用户5G无感知认证。

5G校园网融合安全部分— 访问控制&日志审计

添加MSISDN

信息

方案说明—Panabit侧：

1. Panabit 设备可以基于用户群组进行访问控制，不同用户群组访问内容不同；例如：网络中心的人员可以对

网络设备进行管理；学生只能访问选课、图书资源等相关资源。

2. Panabit设备将相关访问的记录传给Panalog，进行访问日志1:1留存。将源IP地址、目标IP地址、NAT后地

址、使用的协议名称，用户名、访问资源的域名等信息在一张表上显示。实现的5G用户访问校内资源日志记录，

从而完成相关审计和查询工作。

5G校园网融合安全部分—访问控制界面

5G校园网融合安全部分—审计界面

Panalog进行5G专网访问校内资源日志1:1留存。将源IP地址、目标IP地址、NAT后地址、使用的协议名

称，用户名、访问资源的域名等信息在一张表上显示。便于学校进行查询和溯源。

2022

畅享连世界

THANK YOU

Tags：

5G专网&amp;amp;校园网融合方案

5G专网&校园网融合方案