移除 4G/5G 企業應用的攔路大石：行動邊緣運算閘道器

在拓展 5G 企業應用之時，我們很快就陷入一個兩難之境：通用 5G 服務因其低延遲效應的減損與資安風險，難以成為企業無線 IoT 通訊的基礎設施；而採行企業專網之代價又過度高昂。

PacketX 所發展的行動邊緣運算閘道器 GRISM-MECGW 即是為解決上述問題而生。

5G 接取網路的邊緣是基地台，它一邊(下行無線鍊路)連線多個無線上網終端，一邊(上行有線鍊路)透過回程路由與核心網路接通。而 MECGW 採透通方式嵌入基地台上行鏈路以另闢資料傳輸捷徑：於回程路由前段即執行本地跳脫 (Local Breakout)，IoT 裝置可由此捷徑存取邊緣數據中心或企業內網的運算資源，甚至透過企業網路進行 Internet 存取。

MECGW 的運作機制形同電信網路與一般 IT 網路的旋轉門，利用 Control Plane 的資訊執行「GTP-U 內層封包取出」與反向的「IP 封包封裝成 GTP-U」的流量轉換機制，打通電信網路與企業網路，且不需更動基地台設定或核心網路設定。利用 IoT 裝置的 IP 或者核網送出的 Accounting 訊息辨識用戶，MECGW 以此為基礎進行連線管理，比如部分裝置得存取 Internet，而部分裝置則能跳脫就近存取運算資源。由於 MECGW 於 IoT 裝置與運算資源間建立一傳輸捷徑，也就縮短了傳輸延遲。

以 MECGW 為基礎提供企業專網服務

MECGW 的本地跳脫功能可讓電信公司打造一個企業專網服務方案，由企業向擁有頻譜的電信公司取得專網服務而非自己投資企業專網。IoT 裝置使用電信公司之 SIM 卡，當裝置開啟 4G/5G 連線時會註冊至電信公司的基地台(覆蓋該企業場域)與核心網路，爾後該裝置發起之連線 (User Plane) 將由 MECGW 允其本地跳脫進入企業內網而不進入電信公司核網。

此時電信核心網路主要用於處理用戶的控制訊號 (control plane)，而讓絕大部分用戶流量 (user plane) 從基地台上行鏈路上的 MECGW「跳脫」：就近存取企業內網；並利用 MECGW 之連線規則設定，可區分出多個企業群組與一般用戶。無疑地，企業專網的關鍵乃是讓企業可以全權管理 4G/5G 無線上網裝置的流量，卻不用自建無線網路。WiFi 存取看似不用額外付費，但要建置企業等級或智慧製造所需的 WiFi 設備 (包含熱點/接取交換機/控制器等等) 亦是成本不菲。採行企業專網服務可說是企業把原先投資於WiFi無線通訊的資本支出轉換成電信資費。

MECGW 提升 5G backhaul 使用效率

隨著 5G 基地台的頻寬提升，行動電信公司的回程路由(即 backhaul；基地台與核心網路間的傳輸)頻寬也需跟上。無此配套，就如交流道湧入更多的車流卻都塞在高速公路上。回程路由是昂貴的電路專線，若透過跳脫的方式讓部分流量走另外的上網途徑，比如自 MECGW 跳脫後改走 FTTH 直接從固網核網出Internet，又或原先採用 Wireless VPN 的 IoT 裝置可以跳脫改走 SD-WAN。上述作法皆可優化 5G backhaul 資源配置。

MECGW 內建網路安全機制

PacketX 的 MECGW 除了能彈性的執行本地跳脫之外，亦內建網路安全機制。

• 可以萃取出 n-tunnel 的 NetFlow/DNS log/SSL log 或者剝除 GTP-U 檔頭轉換成一般封包送出至一般的網路安全設備清洗
• 執行用戶 IP/IMSI 白名單存取控制，且能夠匯入 IP/Domain 黑名單 (Indicator of Compromise) 並執行即時偵測阻擋