5G专网，剖析三大运营商的战略布局

2021年7月24日，由江苏省未来网络创新研究院主办、SDNLAB承办的2021中国5G网络创新论坛上，多位嘉宾提到5G专网的发展与应用。SDNLAB对此进行了整理，以飨读者。

”

会上，中国电信研究院行业应用研究所赵婧博表示，随着数字化转型的深入，垂直行业面临着IT架构变化、云网融合、云边协同、OT/IT/CT融合等挑战，传统专网方式在覆盖能力、传输能力、连接能力、可靠性、安全性、商业模式创新等方面无法很好满足行业客户的业务需求。

传统专网模式下，企业从生产、管理、物流到办公需要部署多张独立专网，运营成本高，建设周期长，另外由于各种制式的网络来自不同供应商、不同时期，导致后台无法连通、频段存在干扰。

5G专网高度契合数字化转型需求，是OT+IT+CT的全面融合与提升，也将是5G垂直行业应用的第一爆点。

根据3GPP标准定义，5G专网分为独立部署模式(SNPN)和公网集成模式(PNI-NPN)，其中公网集成模式又根据与公网共享程度不同分为“与公网部分共享（共享RAN或共享RAN及核心网控制面）”与“与公网端到端共享”。

独立部署模式是国家提供专用的5G频段，用于行业用户自建5G专网。公网集成模式是依靠运营商，利用边缘计算、网络切片等技术为企业建设/租赁专网。

网络切片还是专用频谱

分配到专用的5G频谱资源，企业想要独立建网还要拥有基站、核心网等整套网络资产，在建网过程中投资的成本很高，普通企业特别是小型企业无法承担购买和部署全套5G网络的费用，另外后期还需要一些专业的运维人员来维护网络。

企业自建5G专网

但通过此方式建立的专网隔离好、时延低、安全性高，网络环境更加自主可控，可以不依赖于运营商提供自己所需的服务。

网络切片是利用虚拟化技术，将5G的核心网、无线网分割成多个部分，分别支撑不同业务，保证各个切片网络之间互相隔离，从而保证专网的时延和可靠性。

企业可以根据自身业务需求，向运营商定制网络切片服务，无需自建网络基础设施，节省了建设网络的成本，后期运维成本也较低。同时可以定制不同的网络切片，在不同程度上共享专网，不需要分配单独的频谱资源。但利用切片技术其实是属于虚拟专网，尽管在不通切片上，但物理网络、供电、传输系统等还是同一个，在安全性及隔离性上没有自建专网高。

那么5G专网究竟是分配专用频谱还是采用切片技术好比较好？

自建专网对企业实力有着一定的硬性要求，且专用频谱难以获取。公安、军队等对安全性要求高的行业会选择自建专网模式，而传统的一些企业对这方面要求没那么严苛，会选择利用切片技术的公网集成模式。

赵婧博表示，5G专网不光对于行业是一个机会，对于运营商来说同样也是重要的转型契机。针对不同行业的用户，需要结合具体的业务场景和业务需求，打造满足不同行业需求的5G专网，从而让5G最大化的使能千行百业。

三大运营商的5G专网

三大运营商的5G专网业务根据不同客户的需求，采取不同的服务模式。

中国移动5G专网包括优享模式、专享模式、尊享模式；中国电信推出5G专网致远模式、比邻模式、如翼模式；中国联通推出5G虚拟专网、5G混合专网、5G独立专网产品。

中国移动

中国移动通信研究院姜怡在会上介绍了中国移动基于“优享、专享、尊享”的5G专网产品体系。

#

优享模式

通过QoS、网络切片技术等技术手段实现业务优先保障和业务隔离，满足网络速率、时延、可靠性优先保障的需求，达到业务逻辑隔离、按需灵活配置的效果。该种模式面向大部分广域业务和部分局域业务，如工业园区视频监控、人员及物品跟踪、数据采集类业务等。

#

专享模式

在公共网络基础上提供定制化无线网络（如无线网络增强覆盖），通过边缘计算技术，实现数据流量卸载、本地业务处理，满足数据不出场、超低时延等业务需求，为客户提供专属网络服务。

#

尊享模式

尊享服务模式通过基站、频率、核心网设备的专建专享，进一步满足超高安全性、超高隔离度、定制化网络的需求，达到专用5G网络、VIP驻场服务的效果，适用于局域场景，如矿区、井下等。

中国移动“果核”产品是基于一体化集成模式，按需集成UPF、5GC、边缘计算、小型SPN、BBU、IMS等能力的5G专网定制化集成解决方案。

在中国移动对外公布的2021年上半年业绩报告中显示，中国移动上半年全网共签约 900 个省级区域特色项目，拓展 452 个 5G 专网项目，合同金额超千万，DICT 大单 122 笔，带动DICT 增量收入超 60 亿元，政企客户数达到 1553 万家。

中国移动与阿里巴巴合作建设了5G智慧园区专网，在杭州移动布设的5G网络基础上，XG实验室研发出一套全新的5G专网安全架构体系，大幅提高5G专网的安全性和易用性。

据阿里介绍，达摩院XG实验室通过自研基于5G核心网的EAC（Enterprise Access Controller），创新实现5G鉴权信息与企业认证信息的打通，搭建起一个安全、智能、灵活扩展的5G企业专网。

中国移动还与南方电网展开了合作，针对深圳市南方电网业务中智能分布式配电自动化（智能分布式配网差动保护和配网自动化三遥）、电网应急通信保障及配网计量等4个业务特性，基于5G SA架构和切片技术提供系统性的5G指挥电网解决方案，该案例旨在 探索 面向垂直行业的5G创新业务及需求，验证5G网络及业务的能力，并为5G商用奠定基础。

中国电信

中国电信研究院陈运清表示，中国电信 5G 专网是“网定制、边智能、云协同、X 随选”融合协同的综合解决方案，“网是基础、云为核心、网随云动、云网一体”，致力于“云改数转”服务产业数字化转型。

中国电信推出三类模式：以“致远、比邻、如翼”三类服务模式为基础服务不同行业客户，实现“云网一体、按需定制”。

#

致远模式

致远模式是面向安全组网型政企客户提供的定制网服务模式。该模式基于中国电信5G 2B专网资源，通过VPDN、QoS、灵活资源调度、DNN定制和切片等技术，为交通、物流、教育、农业、卫健、应急、政法、居民服务、住建、能源、工业等11个行业客户提供端到端差异化保障的网络连接服务，同时可以直通天翼云为客户提供丰富的行业应用与服务。

典型案例：深圳智慧警务

中国电信联合深圳公安率先 探索 5G专网技术和警务实战系统的应用结合方案，可满足新型警务设备（如无人巡逻车，警务AR，警用无人机）需要大范围移动视频回传；满足支持立体化、快速部署要求，支撑警务快速部署能力；满足警务连接高可靠和安全隔离要求，提供专网隔离，组网安全对接，空口优先保障。

#

比邻模式

比邻模式是面向时延敏感型企业客户提供的定制专网服务模式。该模式基于5G 2B专网资源，通过多频协同、载波聚合、超级上行、边缘节点、QoS增强、无线资源预留、DNN、切片、边缘节点等技术的灵活定制，为企业客户提供一张带宽增强、低时延、数据本地卸载的专有网络，配合MEC、天翼云，最大化发挥边缘计算、云边协同优势，为企业客户的数字化应用赋能。

典型案例：广东美的智慧园区

美的向个性化生产、柔性化制造转型方向明确，但当前业务面临较多问题，中国电信携手美的打造了基于5G+MEC支撑智慧工厂应用场景。

#

如翼模式

如翼模式是面向安全敏感型企业客户提供的定制专网服务模式。该模式基于中国电信5G 2B专网资源，充分利用超级上行、干扰规避、5G网络切片和边缘计算等技术，按需定制专用基站、专用频率和专用园区级UPF等专用网络设备，为客户提供一张隔离的、端到端高性能的专用接入网络。同时可以按需定制MEC与行业应用，对专网提供专属运维支撑服务。

典型案例：青岛国网

中国电信联合华为、青岛国网首次依托边缘计算及5G端到端切片实现毫秒级精准负荷控制装置负荷量上送及整组传动测试试验，测试结果显示5G通道时延满足毫秒级需求。随着测试的成功落地，国网全国范围内首套5G公网专用模式下的毫秒级精准负荷控制装置在青岛供电公司投入试运行。

中国联通

中国联通研究院黄蓉介绍道，中国联通的5G专网分为虚拟专网、混合专网、独立专网三种部署方式。

5G虚拟专网

基于中国联通 5G 公众网络资源，利用端到端 QoS 或切片技术，为客户提供一张时延和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络。适用于广域专网业务，包括智慧城市、智慧景区、新媒体、高端小区及办公、智能交通(包含自动驾驶)等场景。

#

5G混合专网

以5G数据分流技术为基础，通过无线和控制网元的灵活定制，为行业用户构建一张增强带宽、低时延、数据不出园的基础连接网络。核心网用户面网元UPF为行业用户私有化部署，无线基站、核心网控制面网元根据客户需求灵活部署，为用户提供部分物理独享的5G专用网络。适用于局域开放园区，包括交通物流/港口码头、高端景区、城市安防、工业制造等。

#

5G独立专网

采用专有无线设备和核心网一体化设备，为行业用户端到端构建一张与公网数据完全隔离的独立专网，包括gNB、AMF、SMF、UPF、MEC等5G系统的所有网元功能。适用于局域封闭区域，包括矿井、油田、核电、高精制造、监狱、军队等。

在山西霍州庞庞塔煤矿800米的井下，中国联通搭建了全国第一张井下5G专网，解决了煤矿行业安全生产的问题。

中国联通与湛江钢铁案也展开了合作，业务首先通过基站专用无线通道到达企业的5G核心网，然后路由到了自己的业务服务器，从而实现了企业业务和公网业务的隔离。

湛江钢铁通过投建5G核心网打造了智能化钢铁工厂技术平台，目前已实现了炼钢厂风机在线检测与诊断、焦炉四大车、硅钢移动 *** 控、机器人远程 *** 控、智能头盔远程指导等应用场景的落地。

到这里，相信大家对于5G专网架构有了一定的了解，其实三大运营商5G专网的架构基本一致，都可以灵活满足行业客户的差异化诉求。

挑 战

5G专网市场空间巨大，部署的案例数量也在不断增加，同时也面临着一些挑战。

1企业能否自建5G专网，最重要的还是频谱的获取，频谱资源有限，并非随需随得。在大多数国家，频谱被视为一种自然资源，其使用受到国家主管部门的控制，国家主管部门根据国家的需求分配资源。GSMA建议监管机构应避免在关键的频段中为垂直市场留出频谱，其认为这种做法将阻碍5G最大使用效率的全面释放，并浪费频谱资源。

2市场上行业项目需求差异性较大，产品标准化不足，针对具体项目，运营商难以快速构建解决方案并快速开通。

3 赵婧博表示5G专网的ToB能力尚不完备，短板需要逐步补齐：5G网络差异化能力不完备；行业和场景化解决方案未产品化；定制化化规建维优营需完善；商业模式需创新。

虽有挑战，但总体来说5G专网发展前景巨大，GrandView Research预计全球5G专网市场规模在2020年至2027年期间的复合年增长率（CAGR）为378％，到2027年达到71亿美元。

市场竞争也十分激烈，除了运营商，云服务商、设备提供商、系统集成商等都有意抢占5G专网市场。相信随着技术的升级，未来5G专网将会在各行业呈现蓬勃发展态势。

文章转发自SDNLAB

在新安装的报表服务器上，只有作为本地 Administrators 组的成员的用户具有对报表服务器内容和 *** 作的权限。若要使其他用户可以使用报表服务器，必须创建将用户帐户或组帐户映射到指定任务集合的预定义角色的角色分配。对于配置为本机模式的报表服务器，使用报表管理器向角色分配用户。有两种类型的角色：项级角色用于查看、添加和管理报表服务器内容、订阅、报表处理和报表历史记录。可以对根节点（主文件夹）或位于该层次结构中的特定下级文件夹或项定义项级角色分配。系统级角色授予对不限于任何特定项的站点范围 *** 作的访问权限。例如，使用报表生成器和使用共享计划。两种类型的角色互为补充，应结合使用。因此，将用户添加到报表服务器的 *** 作分为两个部分。如果将用户分配到项级角色，则还应将该用户分配到系统级角色。将用户分配到角色时，必须选择已定义的角色。若要创建、修改或删除角色，请使用 SQL ServerManagement Studio。有关详细信息，请参阅如何创建、删除或修改角色 (Management Studio)。对于配置为 SharePoint 集成模式的报表服务器，使用 SharePoint 权限从 SharePoint 站点配置访问权限。对 SharePoint 站点的权限级别确定对报表服务器内容和 *** 作的访问权限。您必须是站点管理员才能授予对 SharePoint 站点的权限。有关详细信息，请参阅在SharePoint 站点上授予对报表服务器项的权限。开始之前在将用户添加到本机模式的报表服务器之前查看以下列表。您必须是报表服务器计算机上本地 Administrators 组的成员。如果在 Windows Vista 或 Windows Server 2008 上部署 Reporting Services，则需要进行额外配置，然后才能在本地管理报表服务器。有关详细信息，请参阅如何在 Windows Vista 和 Windows Server 2008 上为本地管理配置报表服务器 (UAC)。若要将此任务委托给其他用户，请创建将用户帐户映射到“内容管理员”和“系统管理员”角色的角色分配。具有“内容管理员”和“系统管理员”权限的用户可以将用户添加到报表服务器。在SQL ServerManagement Studio 中，查看“系统角色”和“用户角色”的预定义角色，以便熟悉每个角色中的各种任务。由于报表管理器中不显示任务说明，因此需要在开始添加用户之前熟悉角色。根据需要自定义这两个角色或定义其他角色以包括所需的任务集合。例如，如果计划对单独的项使用自定义安全设置，则可能希望创建新的角色定义以授予对文件夹的查看访问权限。有关详细信息，请参阅教程：在 Reporting Services 中设置权限。向系统角色添加用户或组启动报表管理器。单击“站点设置”。单击“安全”。单击“新建角色分配”。在“组或用户名”中，输入以下格式的 Windows 域用户帐户或组帐户：<域>\<帐户>。如果使用窗体身份验证或自定义安全性，则以适用于您的部署的格式指定该用户帐户或组帐户。选择一个系统角色，然后单击“确定”。角色是可累积的，因此如果同时选择了“系统管理员”和“系统用户”，则用户或组可以执行这两种角色的任务。重复上述步骤，为其他用户或组创建分配。向项角色添加用户或组启动“报表管理器”并找出您要为其添加用户或组的报表项。悬停在该项之上，然后单击下拉箭头。在下拉菜单中，单击“安全性”。单击“新建角色分配”。注意如果某项当前从父项继承安全性，则在工具栏中单击“编辑项安全设置”可以更改安全设置。然后，单击“新建角色分配”。在“组或用户名”中，输入以下格式的 Windows 域用户帐户或组帐户：<域>\<帐户>。如果使用窗体身份验证或自定义安全性，则以适用于您的部署的格式指定该用户帐户或组帐户。选择一个或多个角色定义（说明用户或组应如何访问该项），再单击“确定”。重复上述步骤，为其他用户或组创建分配。

如果部署中包括使用这些安全提供程序的客户端应用程序和浏览器，则可以使用这些默认值，而无需附加配置。如果要使用不同的安全提供程序来获取 Windows 集成安全性（例如，如果要直接使用 Kerberos）或者修改了默认值并且要还原原始设置，则可以使用本主题中的信息来指定报表服务器上的身份验证设置。若要使用 Windows 集成安全性，则每个需要访问报表服务器的用户都必须拥有有效的 Windows 本地或域用户帐户，或者必须是 Windows 本地或域组帐户的成员。对于其他域，只要这些域可信，您也可以包括其中的帐户。这些帐户必须具有报表服务器计算机的访问权，并且必须随后分配给相应的角色以便获得特定报表服务器 *** 作的访问权。同时，必须满足下列附加要求：RSeportServerconfig 文件必须具有设置为 RSWindowsNegotiate、RSWindowsKerberos 或RSWindowsNTLM 的AuthenticationType。默认情况下，如果报表服务器服务帐户是 NetworkService 或 LocalSystem，则 RSReportServerconfig 文件包含 RSWindowsNegotiate 设置；否则使用 RSWindowsNTLM 设置。如果拥有仅使用 Kerberos 身份验证的应用程序，则可以添加 RSWindowsKerberos。重要提示如果将报表服务器服务配置为在域用户帐户下运行，并且没有为该帐户注册服务主体名称 (SPN)，则使用 RSWindowsNegotiate 将产生 Kerberos 身份验证错误。有关详细信息，请参阅本主题中的连接到报表服务器时纠正 Kerberos 身份验证错误。 必须为 Windows 身份验证配置 ASPNET。默认情况下，报表服务器 Web 服务和报表管理器的 Webconfig 文件包括 设置。如果将其更改为 ，则 Reporting Services 的 Windows 身份验证将失败。报表服务器 Web 服务和报表管理器的 Webconfig 文件必须具有 设置。客户端应用程序或浏览器必须支持 Windows 集成安全性。若要更改报表服务器身份验证设置，需要在 RSReportServerconfig 文件中编辑 XML 元素和值。可以复制并粘贴本主题中的示例来实现特定的组合。如果所有客户端计算机和服务器计算机均位于相同的域或某个可信域中，并且报表服务器是针对企业防火墙之后的 Intranet 访问而部署的，则默认设置将达到最佳效果。可信域和单个域是传递 Windows 凭据所必需的。如果为服务器启用 Kerberos 版本 5 协议，则可以多次传递凭据。否则，凭据在过期之前只能传递一次。有关为多计算机连接配置凭据的详细信息，请参阅为报表数据源指定凭据和连接信息。以下说明针对本机模式报表服务器。如果在 SharePoint 集成模式下部署报表服务器，则必须使用指定 Windows 集成安全性的默认身份验证设置。报表服务器使用默认 Windows 身份验证扩展插件中的内部功能支持 SharePoint 集成模式下的报表服务器。将报表服务器配置为使用 Windows 集成安全性在文本编辑器中打开 RSReportServerconfig。查找。复制以下最能满足您的需要的 XML 结构之一。可以按任意顺序指定 RSWindowsNegotiate、RSWindowsNTLM 和RSWindowsKerberos。如果要对连接而非每一单个请求进行身份验证，则应启用身份验证持久性。在身份验证持久性下，在连接期间将允许所有要求身份验证的请求。当报表服务器服务帐户是 NetworkService 或 LocalSystem 时，第一个 XML 结构是默认配置： �0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2true 当报表服务器服务帐户不是 NetworkService 或 LocalSystem 时，第二个 XML 结构是默认配置： �0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2true 第三个 XML 结构指定 Windows 集成安全性中使用的所有安全包：�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2 第四个 XML 结构仅为不支持 Kerberos 的部署指定 NTLM，或解决 Kerberos 身份验证错误：�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 �0�2�0�2�0�2�0�2�0�2�0�2 将其粘贴在 的现有条目上。注意，不能将 Custom 与RSWindows 类型一起使用。保存该文件。如果配置了扩展部署，请为该部署中的其他报表服务器重复这些步骤。重新启动报表服务器以清除当前打开的任何会话。连接到报表服务器时纠正 Kerberos 身份验证错误在为Negotiate 或 Kerberos 身份验证配置的报表服务器上，如果出现 Kerberos 身份验证错误，则客户端与报表服务器的连接将失败。已知在以下情况下会出现 Kerberos 身份验证错误：报表服务器服务作为 Windows 域用户帐户运行并且您没有为该帐户注册服务主体名称 (SPN)。报表服务器是使用 RSWindowsNegotiate 设置配置的。浏览器选择它发送给报表服务器的请求的身份验证标头中 NTLM 上的 Kerberos。如果启用了 Kerberos 日志记录，则可以检测到该错误。另一错误症状是多次提示您输入凭据，然后您看到一个空的浏览器窗口。可以通过从配置文件中删除 < RSWindowsNegotiate /> 并重新尝试建立连接来确认您遇到了 Kerberos 身份验证错误。确认遇到该问题之后，可以采用下列方法解决它：在域用户帐户下为报表服务器服务注册 SPN。有关详细信息，请参阅如何为报表服务器注册服务主体名称 (SPN)。将服务帐户更改为在网络服务等内置帐户下运行。内置帐户将 >