（CWW）5G网络作为我国“新基建”的代表，是经济社会数字化、网络化、智能化转型的重要引擎。相比于以往的移动通信技术，5G具备超高带宽、超低时延、超大规模连接的优势，能够面向丰富的垂直行业应用场景，提供高可靠、高可用、高灵活性的差异化服务能力，但5G传统的通信模式尚不能完全匹配垂直行业的通信业务需求。

传统5G网络不支持二层数据承载和局域网数据转发，5G网络若要满足更多垂直行业业务需求，需叠加AR路由器、配置VPN/L2TP隧道等辅助方案，组网成本高、配置维护复杂，因此限制了5G在垂直行业的应用和发展。

为更高效地实现5G与垂直行业融合、降低组网复杂度、减少行业网络的升级改造、满足垂直行业终端即插即用和无感融合需要，打造行业定制、技术先进的5G局域网（5GLAN）增强方案十分必要。目前，3GPP R16标准的技术方案已初步满足工业、电力等领域的局域网通信需求，但仍存在部分技术局限性，需进一步结合垂直行业的通信需求，开展相关的增强性技术研究。

(资料图)

5G局域网业务需求分析

随着5G技术不断深入千行百业，由5G网络提供局域网通信的业务诉求明显增多。尤其是在工业控制、电力能源、智慧楼宇等场景，要求5G网络具备工业协议适配能力以及工业终端间的数据互通能力。

基于对行业用户需求的理解，以及5G LAN技术可实现的业务场景，本文归纳并定义了三大5G局域网需求场景，并结合工业控制、电力能源、视频采集等典型行业应用进行解释和说明。

二层通信需求

二层通信需求主要指行业终端的业务上线、运行必须5G局域网技术方案分析通过二层协议参与才能完成。其中包括原有工业协议不具备TCP/IP协议栈、应用层数据直接承载于数据链路层的情况，也包括原有通信协议具备TCP/IP协议栈，但业务上线需要二层协议参与的情况。在传统工业制造的工厂园区网络中，基于二层协议的有线通信占据主要地位，各类接入终端设备也通常按照局域网接入方式进行设置，依赖于二层的广播、组播协议开展协同工作。

以电力能源领域的配网差动保护业务为例，差动保护终端通过比较两端或多端同时刻电流值(矢量)，实现故障状态判定与快速隔离。该业务采用GOOSE协议通信，传统GOOSE报文不具备标准的TCP/IP协议栈，应用层等高层协议数据直接承载于二层。这就要求终端间的通信方式能够提供二层数据接入和通信能力。

终端互访需求

终端互访需求主要指在工业网络中，业务终端之间实现直接互访、互通和协作。其中包括两个业务终端之间点对点的单播通信，也包括工业终端之间的多点组播与广播通信。

以工业控制PLC为例，由于有线线缆的部署限制，设备之间的网络连接只能采用串联控制结构，即一条产线由主PLC控制整条产线中数个从PLC的机械控制及运动。其中主PLC与从PLC之间的通信采用工业电缆进行连接，一旦出现问题，后面串接的所有设备都会停止工作，影响主PLC与从PLC之间的通信稳定性，致使整个产线停机，而原有通信方式在此场景下生产效率也将受到影响。因此，想要通过5G网络实现“剪辫子”，需要实现主从PLC之间的终端互通、互访能力。

单网关、多终端地址管理与访问需求

单网关、多终端地址管理和访问需求主要指多个业务终端共用一个5G网关时，用户需要对这些终端进行IP地址的灵活管理、分配和反向访问。传统5G在承载此类业务时，只能提供网关级的地址管理和访问，无法提供CPE向的行业终端管理和访问，需叠加DNAT转换、后路由等复杂的辅助方案，因而组网复杂、维护成本高。

以视频数据采集、安防摄像头管理、电力高级计量为例，为实现5G网关的充分利用、降低成本并简化组网，处于同一位置区域的多个数采、传感设备可以通过同一个5G网关接入网络，同时，随着终端设备的智能升级，数采终端不仅进行单向的数据采集和回传，也将接收控制面下发的管理控制信息，从而实现智能化管理。在这种需求场景下，数采终端的IP地址就需要能够被灵活管理、配置和反向访问。

5G LAN技术解决方案

5G LAN技术演进路线

2018年，5G LAN类型业务（5G LAN-type service）首次在3GPP SA1的业务需求研究中被提出，并在R16阶段作为Vertical LAN项目的一项子课题进行基本功能定义，提出5G VN组（5G VN group）概念，从VN组管理、VN组会话管理、用户面数据管理等方面制定多项关键技术能力，使一组UE通过5G系统实现了IP以及非IP类型数据的局域网接入和通信能力。5G LAN标准的演进如图1所示，3GPP R17针对5G LAN的计费进行研究，提出了组管理事件计费方案并引入了新的CEF（Charging Enabling Function）；3GPP R18针对5G LAN的跨SMF组管理、组属性管理、组状态上报等方面进行了增强方案的研究与定义。R16标准技术解决方案依托于工业专网的总体组网架构，5G LAN技术通过UDM签约管理层二或管理层三的5G VN组，并指定VN组成员，同时在UPF上为该组成员提供网络接入。R16标准5G LAN技术架构如图2所示。

图1 5G LAN标准演进

图2 R16标准5G LAN技术架构

在接入侧，5G终端可以直接通过Ethernet类型的PDU会话或IP类型的PDU会话接入5G网络。根据业务需求，不同的5G终端或CPE工业网关可以划分在不同的组，5G LAN通过组管理能力实现不同组之间的数据通信隔离，同时实现组内终端点到点、点到多点的通信。

在网络侧，5G VN组可由内部组唯一的ID标识，通过UDM签约方式进行组管理，指定一组用户为5G LAN组成员。当5G LAN组成员发起PDU会话时，SMF从UDM下载用户的组签约信息，并根据组签约管理相应的接入UPF，进行局域网通信管理。当多个UPF服务于同一个5G VN组时，UPF，之间可通过N19接口会话进行数据转发。

1.二层数据承载传统终端通信方案主要提供终端IP层数据的承载与通信，5G LAN支持5G VN组成员通过Ethernet的PDU会话接入，提供终端数据链路层的承载与通信。从协议栈角度来看，5G LAN技术方案对传统5G方案进行了优化。

传统PDU会话接入下，DN网络只能感知到UE的IP层及以上的数据信息；在行业终端通过CPE网关接入组网下，DN网络只能感知到CPE的IP信息。即在传统5G通信模式下，服务端只能感知到末端网络设备，若末端网络设备再下挂额外设备则无法感知。IP与Ethernet PDU会话协议栈简要对比如图3所示。

图3 IP与Ethernet PDU会话协议栈简要对比

在Ethernet PDU会话接入下，DN网络可以感知到UE的MAC层及以上的数据信息；在行业终端通过CPE网关接入组网下，DN网络可以直接感知到CPE向行业终端中的MAC层及以上数据信息，类似于有线接入。即在5G LAN通信模式下，服务端可以感知到末端网络设备，即使末端网络设备再下挂额外设备也能够感知。由此可见，5G LAN通过支持Ethernet PDU会话，实现了5G对行业终端数据更强的感知、承载和传输能力。

2.群组通信特性

传统5G与5G LAN通信模式对比如图4所示，传统5G终端通信方案主要提供终端和服务器之间的数据承载与通信，5G LAN支持UPF采用双检测转发机制，提供类似于以太交换机的数据处理与转发功能，实现终端间的数据转发，以满足单播、组播、广播的通信需求。

图4 传统5G与5G LAN通信模式对比

在传统5G网络中，UPF仅处理终端与DN网络之间的上行与下行数据转发，终端与终端的通信依赖于DN网络侧的服务器；在5G LAN网络中，UPF通过检测终端的目的地址并添加路由，在传统上、下行数据转发的能力之上，实现单UPF、跨UPF的终端间互通能力。

R18技术演进增强

3GPP R18主要在5G的VN组属性管理、VN组状态上报、VN组能力开放、跨SMF VN组通信等方面进行了增强方案研究。

VN组属性管理：基于3GPP R17定义了服务区限制、LADN以及空间有效性，5G VN组管理参数中增加了服务区信息，并进行增强组服务区管理。

VN组状态上报：将VN组成员的UE可达性、PDU会话状态、区域内用户数等事件，通过5GC现有的通知机制上报给AF。

NEF能力开放架构：允许第三方发起对VN组成员的流量与性能监控，实现对5G VN组成员的流量特征以及性能的监控。

跨SMF的VN组通信：将单SMF的VN组管理扩展到支持SMF set的VN组管理，实现多SMF，更具可靠性。对于跨SMF set的VN组通信，支持静态UPF连接并且实现互联互通。

相同报文发送至多个5G VN组：通过定义一个会话多个QoS Flow、多个会话等方式，实现相同报文通过不同的QoS，同时发送到不同的5G VN组或者同一5G VN组内不同的组播组。

5G LAN技术解决方案分析

R16技术能力优势分析

5G LAN在二层协议上的数据接入能力和UPF上的终端间数据转发能力，使该技术具备了基础通信更便捷、IP地址易于维护、单网关无感接入多业务终端、简化组网等优势。

1.基础通信更便捷

5G LAN技术的局域网通信能力，既可以实现传统终端到DN网络的通信，又可以实现多方向的数据通信，包括终端到内网互访，终端间层二和层三互访，跨区域终端层二和层三互访，终端组内层二广播、多播和终端组内层三广播和多播场景的通信。5G LAN技术使基础通信更便捷如图5所示。

图5 5G LAN技术使基础通信更便捷

与传统5G通信能力相比，5G LAN技术方案在基础通信能力方面具备多项优势，如表1所示。

表1 传统5G与5G LAN技术方案对比

2.IP地址易于维护

传统5G网络中，终端一般由SMF/UPF动态分配IP地址。在部分情况下，为实现行业用户的固定IP需求，运营商需在UDM/AAA上为5G终端固定IP地址。此外，还需额外部署AAA服务器，且业务终端的调整或IP重分配都需要运营商与行业用户协同管理。

5G LAN技术使IP地址易于维护如图6所示。5G LAN技术提供的二层数据接入能力，使运营商仅需提供二层数据接入，不同于传统5G，还需为终端分配IP地址。运营商网络不感知三层IP，企业可自主配置三层网络。例如，用户可通过自身DHCP服务器实现动态IP地址分配，或在行业终端上本地配置三层网络。二层数据接入能力帮助企业实现了独立的业务部署、业务调整、终端设备和CPE的灵活组合。

图6 5G LAN技术使IP地址易于维护

3.单网关无感接入多业务终端

为减少端侧5G网关数量、降低成本，单网关存在接入多个行业终端的情况。当用户同时存在终端的反向访问、管理需求时，传统5G网络需采取叠加后路由、DNAT转换等方案，配置复杂且维护成本高。

单网关无感接入多业务终端如图7所示。5G LAN技术提供的二层数据接入能力可将原有的第三层数据承载转变为第二层数据承载，网络对IP层无感知，用户可按需在网关后侧随时添加业务终端，类似于有线网络自主灵活管理、访问业务终端IP，CPE即插即用，实现大量终端组网部署。

图7 利用5G LAN技术实现单网关无感接入多业务、终端

R16技术能力局限性分析

5G LAN创新方案为5G无感网络融入垂直行业提供了多项能力优势，已基本满足垂直行业对局域网通信的业务需求。然而，第一个版本的5G LAN技术方案在容灾、安全等方面仍存在局限性，有待进一步提升与增强。

1.V N组与切片和DN N 1:1绑定

3GPP R16限定：一个“切片+DNN”的组合，只能关联一个5G VN组，即不同的5G VN组必须分配专用的“切片+DNN”进行区分，这在大规模应用和部署中会造成以下两方面问题。在运营方面，行业用户每增加一个5G VN组，都需要开通新的“切片+DNN”，这增加了5G VN组的运营管理复杂度，难以在行业用户侧打通灵活的VN组管理通路。在资源消耗方面，每一个5G VN组将消耗运营商的一个“切片+DNN”资源。以电网配网差动保护和分布式FA为例，基于当前行业用户需求，每2~3台配网差动保护终端、每5~20台配网分布式FA终端均需分配一个5G VN组。在规模化应用场景下，一个地级市的配网终端保守估计在万台以上，当前的协议限定将极大消耗运营商的“切片+DNN”资源。

2.单SMF管理无容灾能力

3GPP R16限定一个5G VN组必须由同一个SMF进行统一管理，因此在单SMF发生故障的情况下，5G VN组业务将全部掉线，无法接入和运行。

3.终端安全风险UPF

直接对终端发起的数据进行转发处理，不经过DN网络侧防火墙、服务器等其他安全设备和处理网元的检测处理，在终端故障或被攻击的情况下，5G LAN的组网方案可能会产生不可控的数据风暴和信令冲击。

4.环路安全风险

3GPP标准5G LAN方案通过N19接口的精准数据转发、Outer Header接口数据标识等方式，防范了多UPF之间的环路问题，但由于DN网络的不可控以及组网的不可控，仍存在以下两种场景的环路风险。

一是人为连线造成的环路风险。可能造成的N3+N3环路、N3+N 6环路风险如图8所示，当端侧的交换机接入两个CPE之后，可能在UPF、CPE1、C P E 2、LS W 1之间产生N3+N3环路风险；同时端侧交换机与DN网络侧交换机互联后，也可能存在N3+N6的环路风险。

图8 N3+N3环路及N3+N6环路风险

二是N19引入后造成的环路风险。可能造成的N3+N19环路、N6+N19环路风险如图9所示，当服务于同一个5G VN组的两个UPF之间开启N19，端侧的交换机接入两个CPE并分别接入不同的UPF，那么在UPF1、UPF2、CPE1、CPE2、LSW1之间可能产生N3+N19环路风险；同时两个UPF均通过交换机接入DN网络，且两侧的DN网络通过交换机互通，那么在DN、UPF1、UPF2之间也可能产生N6+N19的环路风险。

图9 N3+N19环路、N6+N19环路风险

5G LAN增强方案研究与部署建议

针对当前R16 5G LAN技术存在的局限性，3GPP R18由于研究项目排期等问题，并未开展针对性研究。结合当前行业应用的紧迫性，本文提出下列增强方案和部署建议，以解决当前技术局限性，使5G LAN可规模化应用。

精简化5G VN组方案

从行业需求角度来看，部分典型5G VN组需求颗粒度小，组通信仅存在于VN组通信终端之间，组通信需求与DN网络无关。例如在电力配网领域，电力配网差动保护和智能分布式FA虽然同时存在横向的组通信需求和纵向的DN通信需求，但这两种通信流量完全不同。横向通信主要用于传输基于层二通信的SV和GOOSE协议，这部分组通信数据并不需要与DN侧互通；纵向通信是基于IP层的三遥业务，实现终端到服务器的数据通信。

考虑组通信流量与DN网络无关的这一业务通信特征，以及VN组与切片和DNN的绑定限制，本文提出一种精简化的5G VN组方案，如图10所示。

图10 精简化5G VN组方案

SMF从UDM/UDR获取VN组的签约信息，根据组签约信息中的精简化标识，指示UPF针对上行的组流量和非组流量进行分流。另外，将需要进行组通信的部分流量送到5G LAN的处理单元（VN internal）进行数据转发，将其他的数据直接传送到DN网络侧。

如此，不仅实现了组通信流量与DN解耦，也实现了VN组与DNN解耦。这样的精简化VN组在双UPF组网下，消除了DN网络的不可控性，实现了无环路风险的N19互联组网。

单SMF容灾冗余方案

在3GPP R18的增强演进中，定义了5G VN组可以通过SMF Set的方式实现多SMF的可靠性冗余。即服务于同一个5G VN组的SMF Set，其内部的每一个SMF可以共享与5G VN组（DNN+S-NSSAI）关联的上下文信息。上下文信息包括了N19配置、5G VN组成员建立的PDU会话列表等内容，可实现多SMF的容灾和冗余机制。

目前，国内运营商网络尚不具备采用SMF set方式实现多个SMF管理同一个5G VN组的能力，因此本文提出一种可行的增强技术方案——单SMF容灾冗余方案，如图11所示。

图11 单SMF容灾冗余方案

单SMF容灾冗余方案可在入驻式的双UPF部署基础上，通过SMF的切片/DNN配置，使2个或多个SMF可以服务于同一个5G VN组，每个SMF都可以管理5G LAN组所涉及的所有UPF。同时，UPF可接收多个SMF发送的VN组管理消息，并针对不同SMF下发的同一个5G LAN组会话的转发表项在系统内进行统一汇聚和管理。在某一个SMF发生故障的情况下，VN组用户重新激活其他可用的SMF，VN组业务即可恢复。

安全风险防范建议

针对终端故障、被攻击情况下产生的终端安全风险，本文建议可采用以下3类技术方案进行防范。

1.MAC地址绑定

为防止非法、恶意终端接入5G CPE并进行网络攻击，MAC地址绑定方案建议在5G CPE设备上配置可信MAC地址，将CPE与行业终端MAC地址进行绑定，非可信MAC地址发来的数据在CPE设备上丢弃，进而实现CPE南向接入终端的访问控制。

2.组播、广播限速

组播、广播限速方案建议在用户会话粒度、组粒度、接口粒度方面进行数据限速。其中，在用户的会话粒度上，传统的QoS机制可防范过量发送数据报文造成的网络负荷过高；组粒度、接口粒度的限速可以在SMF/UPF进行相关配置，防止组播、广播风暴造成网络设备过载。

3.控制转发范围

控制转发范围方案建议通过静态的组播配置、IGMP Snooping的动态组播管理，实现精准的组播报文转发，同时通过UPF的ARP代理能力，减少空口的广播数据转发，控制广播范围。

针对人为错误连线、N19组网造成的环路安全风险，建议在组网规划过程中，防范以下3种组网方式。其一，防止端侧交换机接入两个或多个5G LAN CPE。其二，尽量选择单UPF的Local Switch组网方案，在双UPF均服务于同一个5G VN组且均接入DN网络的组网下，不建议开启N19接口，可通过N6疏导不同UPF下终端之间的互通流量。其三，防止端侧交换机与DN网络内的交换机互联。

结语

随着数字化转型大潮的到来，5G作为新一代通信技术，其高速率、低时延、海量连接的特点，将全面赋能垂直行业数字化转型升级。为实现“5G+工业”的新应用、新业务不断深入拓展，秉持“无感融合、灵活建群”的设计理念，5G局域网技术能够打破传统终端到服务器的通信模式，通过为行业终端“建群”，实现群组内层二/层三广播、单播通信以及5G与工业网络的组网融通，在工业控制、电力等工业互联网领域具有广泛的应用前景。本文通过对标准技术方案的阐述和分析，结合实际部署应用需求，提出了单SMF容灾、精简化5G VN组等创新解决方案和部署建议。未来，面对更加丰富多样的业务需求，运营商应持续完善技术方案，推动端到端产业成熟，助力5G融入千行百业的数智化转型与升级。