切片並不是什麼新概念。在5G 網絡中，同一基礎設施上可能需要同時運行多種應用程序，而這些應用程序的QoS （服務質量）需求不同。網絡切片可以將單個物理基礎設施虛擬化成多個邏輯網絡，這些網絡具有自己的定制拓撲和專用資源，可根據應用程序的需求靈活配置資源或虛擬化功能以滿足其QoS需求。

5G/6G 網絡切片

通過網絡切片，每種類型的應用程序都可以在不同的切片上提供服務。例如，一個切片可以專門用於為實時交互應用程序提供可靠和低延遲的通信，而另一個切片可以配置為海量物聯網應用程序提供高吞吐量通信。

由於切片集中服務於具有相似QoS 需求的同一類型應用程序，因此可以根據QoS需求定制切片的配置或操作。這種靈活的配置可以通過軟件定義網絡（SDN）來實現，SDN是一種將網絡中的控制平面與數據平面分離以靈活管理數據平面的機制。通過SDN技術，切片可以構建為數據平面上的虛擬網絡，通過SDN控制器連接到數據平面的交換機，在集中視圖中管理切片的流量。

根據用戶的需求，切片可以專用於某些特定用戶。這些用戶稱為租戶，服務於相同類型應用程序的多個切片可以由不同的租戶擁有。根據租戶之間的優先級或租戶和基礎設施提供商之間的SLA (服務層協議) 上的QoS 約束，切片可能具有不同的優先級。例如，對於那些支付了更多費用的租戶的切片，或者對SLA具有嚴格的QoS 約束的切片，可以給予更高的優先級。

網絡切片的架構框架

下圖展示了網絡切片的系統架構設計。該系統分為兩層：網絡層和OSS 層。

網絡層為各個切片提供所需的用戶和控制平面功能；OSS 層託管了用於網絡切片的設計、配置和操作的所有資產。

網絡層由一組模塊化的網絡功能組成，這些功能可以靈活組合在一起以構建網絡切片。上圖展示了一個包含三個不同切片的示例，每個切片代表主要的5G 服務類別。由於每個切片都需要配備定制服務的用戶和控制平面，因此需要在它們的RAN和CN片子網中分配專用的NR和5GC網絡功能。哪些網絡功能是每個切片專用的，哪些功能可以與其他切片共享，這取決於切片的隔離需求，以及使用此切片的客戶類型。

OSS 層託管了所有運營、管理和維護(OAM) 工具，操作人員可以使用這些工具在整個生命週期內管理不同的切片。根據功能範圍的不同，這些工具可分為四大類：設計、數據管理，保證和編排。最值得注意的是編排，負責切片配置（即從服務訂單到部署的網絡切片）和切片操作（即在運行時將部署的切片保持在所需狀態）相關的所有活動。

如何實現網絡切片的端到端隔離？

切片隔離是一項重要的需求，即共享同一基礎設施的多個切片同時共存，需要保證每個切片的性能不能對其他切片的性能產生任何影響。按照隔離程度不同，網絡切片可以提供三個層次的隔離：業務隔離、資源隔離和運維隔離。

業務隔離：某一網絡切片的業務報文不會被發送給同一網絡中另一網絡切片中的業務節點，即提供不同網絡切片之間的業務連接和訪問的隔離，使不同網絡切片的業務在網絡中互不可見。

資源隔離：某一網絡切片所使用的網絡資源與其他網絡切片所使用的資源之間相互隔離。

運維隔離：對於一部分網絡切片用戶來說，在提供業務隔離和資源隔離的基礎上，還要求能夠對運營商分配的網絡切片進行獨立的管理和維護操作，即做到對網絡切片的使用近似於使用一張專用網絡，網絡切片通過管理平面接口開放提供運維隔離功能。

接入網的切片隔離

接入網絡由無線空口和基礎處理資源構成。無線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網絡切片分配專用頻譜帶寬，邏輯隔離是資源塊按照不同切片的要求按需分配，多個切片共享總的頻譜資源。

5G接入網絡的基站處理部分由DU和CU構成，因此網絡切片在基站處理部分的隔離是切片在DU和CU上的隔離實現。DU目前依賴於專用硬件實現，CU可以使用專用硬件實現或者採用虛擬化技術以軟件方式在通用服務器上運行。通過為不同切片分配不同的DU單板或處理核實現網絡切片在DU上的物理隔離。當CU軟件運行在專用硬件上時，隔離方式類似DU。當CU軟件運行在通用服務器上時，網絡切片在CU的隔離可基於網絡功能虛擬化（NFV）隔離技術實現，為不同的切片分配不同的虛機或容器，通過虛機或容器的隔離實現切片在CU上的隔離。根據切片的安全隔離要求，在DU、CU上的隔離機制可單獨或組合使用。

承載網的切片隔離

網絡切片在承載網絡的隔離也可通過軟隔離或硬隔離技術實現。軟隔離方案基於現有網絡機制，通過虛擬局域網（VLAN）標籤與網絡切片標識的映射實現。網絡切片具備唯一的切片標識，根據切片標識為不同的切片數據映射封裝不同的VLAN標籤，通過VLAN隔離實現網絡切片在承載網絡的隔離。這種隔離方式雖然將不同切片的數據進行了VLAN區分，但是標記有VLAN標籤的所有切片數據仍然混合調度轉發，無法做到硬件、時隙層面的隔離。

硬隔離方案基於靈活以太網（FlexE）技術。FlexE通過在以太網的物理編碼子層（PCS）引入一個時分複用（TDM）的Flex墊層（Shim），實現了MAC層和PHY層接口收發器的解耦，從而提升以太網組網靈活性。FlexE客戶在FlexE Shim層佔用時隙採用靈活方式，通過FlexE開銷指明時隙被哪個業務佔用。FlexE通過Shim層的時隙配置支持多個客戶業務，實現承載不同客戶業務的網絡切片之間的物理隔離。基於時隙調度的FlexE分片將物理以太網端口劃分為多個以太網彈性管道，使得承載網絡既具備以太網統計復用、網絡效率高的特點，又具備類似於TDM獨占時隙、隔離性好的特性。

網絡切片在承載網絡的隔離還可以使用軟隔離和硬隔離結合的方式，在對網絡切片使用VLAN實現邏輯隔離的情況下，進一步利用FlexE分片技術，實現在時隙層面的物理隔離。

核心網的切片隔離

5G核心網絡基於虛擬化基礎設施構建，其部署架構分為資源層、網絡功能層和管理編排層。網絡切片的安全隔離可通過切片對應基礎資源層的隔離、網絡層的隔離以及管理層隔離的三級隔離方式實現，如下圖所示。

根據應用對安全的需求，可提供物理隔離和邏輯隔離兩種隔離方案。物理隔離是為網絡切片分配獨立的物理資源，各網絡切片獨占物理資源，互不影響，類似於傳統物理專網。

邏輯隔離是對建立在共享資源池上的多個網絡切片建立隔離機制。在資源層的隔離可參考NFV隔離機制。網絡層的NF隔離分為切片之間的隔離和切片內的隔離。切片之間NF的隔離基於虛擬機或者容器的隔離機制。切片內部多個NF由於功能不同，對安全的要求也不同，因此切片內的多個NF也存在隔離需求，可以通過劃分安全域的方式將多個NF置於不同的安全域，並在安全域之間配置安全策略實現NF的隔離。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權限，每個租戶僅能對屬於自己的切片進行管理維護，無權對其他租戶的切片實施管理。另外，需要通過通道加密等機制保證管理接口的安全。

挑戰

切片的端到端（E2E）特性迫使運營商在不同域中保持單個切片行為的一致性，這可能會給商業網絡帶來重大的運營挑戰，如下所述：

切片準備情況不同。切片特徵在不同技術領域的滲透程度並不相同。雖然從第一個5G 版本（3GPP R15）開始，核心網絡就包含了網絡切片支持，但傳輸網絡尚不支持任何原生切片功能，並且第一個解決方案去年才集成到無線接入網絡中。目前存在許多標准開發組織（SDO），每個SDO 都解決了一部分E2E 問題，導致標準化工作碎片化。例如不同SDO 設置的優先級與也不同。

可擴展性負擔。並行運行的切片數量越多，運營商的OSS（操作支持系統）在可擴展性方面的負擔就越大。對於擁有大量實例化的微型網絡切片，每個切片都需要單獨的控制和管理，這對OSS 功能（編排、保證等）有很大的影響。

多供應商解決方案。此前單一供應商模式限制了生態系統的開放合作，所以5G 商業網絡由多家技術提供商的解決方案構建而成。但在這個多供應商生態系統中，運營商面臨的挑戰是如何將來自不同供應商的部件進行適當的組合，並確保它們在域內和域間協同工作。

本文內容來源：

1.5G網絡切片安全隔離機制與應用【毛玉欣，陳林，遊世林，閆新成，吳強】

2.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC8659767/

3.https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6630757/