移除4G/5G企業應用的攔路大石:行動邊緣運算閘道器
在拓展5G企業應用之時,我們很快就陷入一個兩難之境:通用5G服務因其低延遲效應的減損與資安風險,難以成為企業無線IoT通訊的基礎設施;而採行企業專網之代價又過度高昂。
PacketX所發展的行動邊緣運算閘道器GRISM-MECGW 即是為解決上述問題而生。
5G接取網路的邊緣是基地台,它一邊(下行無線鍊路)連線多個無線上網終端,一邊(上行有線鍊路)透過回程路由與核心網路接通。而MECGW採透通方式嵌入基地台上行鏈路以另闢資料傳輸捷徑:於回程路由前段即執行本地跳脫(Local Breakout),IoT裝置可由此捷徑存取邊緣數據中心或企業內網的運算資源,甚至透過企業網路進行Internet存取。
MECGW的運作機制形同電信網路與一般IT網路的旋轉門,利用Control Plane的資訊執行「GTP-U內層封包取出」與反向的「IP封包封裝成GTP-U」的流量轉換機制,打通電信網路與企業網路,且不需更動基地台設定或核心網路設定。利用IoT裝置的IP或者核網送出的Accounting訊息辨識用戶,MECGW以此為基礎進行連線管理,比如部分裝置得存取Internet,而部分裝置則能跳脫就近存取運算資源。由於MECGW於IoT裝置與運算資源間建立一傳輸捷徑,也就縮短了傳輸延遲。
MECGW的本地跳脫功能可讓電信公司打造一個企業專網服務方案,由企業向擁有頻譜的電信公司取得專網服務而非自己投資企業專網。IoT裝置使用電信公司之SIM卡,當裝置開啟4G/5G連線時會註冊至電信公司的基地台(覆蓋該企業場域)與核心網路,爾後該裝置發起之連線(User Plane)將由MECGW允其本地跳脫進入企業內網而不進入電信公司核網。
此時電信核心網路主要用於處理用戶的控制訊號(control plane),而讓絕大部分用戶流量(user plane)從基地台上行鏈路上的MECGW「跳脫」:就近存取企業內網;並利用MECGW之連線規則設定,可區分出多個企業群組與一般用戶。無疑地,企業專網的關鍵乃是讓企業可以全權管理4G/5G無線上網裝置的流量,卻不用自建無線網路。WiFi存取看似不用額外付費,但要建置企業等級或智慧製造所需的WiFi設備(包含熱點/接取交換機/控制器等等)亦是成本不菲。採行企業專網服務可說是企業把原先投資於WiFi無線通訊的資本支出轉換成電信資費。
隨著5G基地台的頻寬提升,行動電信公司的回程路由(即backhaul;基地台與核心網路間的傳輸)頻寬也需跟上。無此配套,就如交流道湧入更多的車流卻都塞在高速公路上。回程路由是昂貴的電路專線,若透過跳脫的方式讓部分流量走另外的上網途徑,比如自MECGW跳脫後改走FTTH直接從固網核網出Internet,又或原先採用Wireless VPN的IoT裝置可以跳脫改走SD-WAN。上述作法皆可優化5G backhaul資源配置。
PacketX的MECGW除了能彈性的執行本地跳脫之外,亦內建網路安全機制。
(1) 可以萃取出in-tunnel的NetFlow/DNS log/SSL log或者剝除GTP-U檔頭轉換成一般封包送出至一般的網路安全設備清洗
(2) 執行用戶IP/IMSI白名單存取控制,且能夠匯入IP/Domain黑名單(Indicator of Compromise)並執行即時偵測阻擋