5G 的實體變化之一是基地台之間的距離必須更近；通常只有幾百公尺之遙。這是因為 5G 使用的波長比之前更短，但功率更大。

基地台的增加以及網路節點的相應而生，表示潛在的安全漏洞和受攻擊面的數量將大大地增加 (圖 1)。

驗證可以改善潛在的安全性問題

提升 5G 網路安全性的一種方式是使用更強固的裝置驗證。這項技術雖非最新推出，但需要對 5G 進行一些調整。

所有驗證都涉及網路基礎結構的三個部分：

• 設備要求資訊
• 承載要求的網路
• 要求終止的端點

公開金鑰交換之類的過程會使用這些網路元素來驗證通訊中涉及的各方身分。5G 網路也一樣，除了網路元素是：

• 設備要求資訊
• 承載要求的網路
• 要求終止的端點網路 (或區域網路)

此處的區別在於，要求資訊必須先透過邊緣網路驗證，然後才能到達端點本身 (圖 2)。如果不良行為者以某種方式進入網路，這種稱為「主要驗證」的方式便可減輕可能發生的風險。例如防止可能波及數十部裝置的旁路攻擊。

為了達此目的，來源網路和目的地網路之間運作的安全功能可讓驗證網路拒絕任何驗證要求。端點網路本身擁有最終權限，可決定對傳入要求進行驗證或拒絕。這在所有 5G 網路都是強制性的。

因此，在主要驗證過程中，一般會與儲存密鑰的端點網路上的驗證伺服器共享一個密碼編譯金鑰。然後透過網路來回傳送要求，以確保使用這些共享密鑰時保有安全性，就像您的標準 PKI 一樣。

保護網路節點

當然，所有驗證都是基於信任網路上裝置身分的能力。這表示必須保護每個端點，這是物聯網和其他連線裝置 OEM 的責任。

維護這些裝置身分的完整性需要結合硬體安全性和全面的裝置管理。

以 Telit OneEdge 為例。此物聯網裝置管理平台即服務 (PaaS) 可與該公司支援 5G 的行動數據模組搭配使用。在製造時，所支援的模組預先佈建了獨一無二的 ID、裝置認證和 SIM 功能，這些全都鎖定在硬體的受信任區域中。

每個模組的對應認證儲存在安全的雲端環境中，進而使裝置只要一加入網路就可以透過 OneEdge 平台進行驗證。此過程稱為零接觸佈建，可確保裝置自嘗試註冊的那一刻即得到身分信任。 (圖 3)。

連接後，OneEdge 使用者可自基於雲端式儀表板順暢地監視裝置。此儀表板支援自動化動作、警示和警報，可用於識別和防止可疑的網路活動 (圖 4)。它也透過 Telit AppCenter 整合裝置管理與無線更新功能，使裝置 OEM 可快速解決漏洞。

Telit OneEdge 與多家營運商網路相容，包括 Verizon、AT&T、Vodafone、T-Mobile 與 Telefonica 等。雲端連接器也可安全整合其他企業物聯網平台，如AWS、Google Cloud、Microsoft Azure、IBM Watson、SA、MindSphere 和 Oracle Cloud 等。

超越 5G

「主要驗證」功能為 5G 網路提供了新的保護層。然而，「主要驗證」功能並非萬能。防止探查、中間人、拒絕服務 (DoS)，旁路和其他始於每個網路端點中受信任身分的網路攻擊。

得益於 NB-IoT 和 LTE Cat-M 等 5G 技術，隨著愈來愈多的物聯網裝置上線，保護網路將需要行動網路營運商 (MNO)、網路設備供應商(NEP) 和連線裝置製造商之間共同努力。

主要驗證、零接觸佈建和受信任的硬體為 5G 物聯網網路提供了縱深防禦的安全性策略。為了保護資料、裝置和品牌聲譽，每個人都必須扮演好自己的角色。

5G 網路將能為消費者使用案例提供強化行動寬頻 (enhanced Mobile Broadband, eMBB) 連線能力、為工業部署提供超高可靠度低延遲通訊 (Ultra-Reliable Low-Latency Communications, URLLC)，並為物聯網提供大規模機械式通訊 (massive Machine-Type Communications, mMTC)。

如此廣泛的應用範圍幾乎能影響一切領域：擴增與虛擬實境、即時翻譯服務、自動駕駛車輛網路，以及全面性的環境感測等（圖 1)。

邊緣網路必須具備最低的延遲與最高輸送量，才能支援所有的這些流量類型。在許多使用案例中，企業在嘗試支援採用 5G 技術的新應用程式與服務時，也會需要翻新他們的基礎架構以獲得行動邊緣運算 (MEC) 能力。

5G 對企業的影響

舉例來說，如 Citrix 等公司展示了 5G 為現代企業帶來的商機與挑戰。

一方面，該公司提供數位工作環境解決方案，讓客戶能透過虛擬線上應用程式與桌面環境協同合作。另一方面，他們也為醫療保健、製造，以及金融服務等市場的客戶提供網路基礎架構服務，如智慧流量管理、負載平衡，以及防火牆等（圖 2）。

隨著 5G 網路上線，不僅使用者對工作環境解決方案的延遲容忍度下降，他們也期望線上協同合作環境中能搭載額外的高頻寬特色與功能。此外，網路服務產品必須要更加進化，為無數受到 5G 影響的產業、客戶，以及他們的應用程式支援可靠度和服務品質 (QoS) 需求。

為了提供這種類型的效能，代表邊緣需要更多的智慧功能。但為了以永續、可擴充的方式持續提供軟體解決方案與服務，Citrix 等公司無法負擔為每一種使用案例和部署情況使用專用硬體設備的成本與複雜度。

取而代之是，這些企業正在設法利用 SD-WAN 等軟體定義基礎架構支援 5G 需求。（如需詳細資料，請閱讀「SD-WAN 與 uCPE：簡介」。）

SD-WAN 與 uPCE 強化擴充性

類似資料中心內的軟體定義網路 (SDN)，軟體定義廣域網路仰賴軟體式控制器而非專用硬體，將流量路由至網路上。因此，工程師可使用通用硬體與軟體，為不同的 5G 流量設定服務等級協議 (SLA)。

與 5G 部署相同重要的一點，就是 SD-WAN 可利用標準的硬體基礎架構。這種一般用途的平台稱為通用客戶端設備 (uCPE)，可根據使用者需求提供多核心網路處理器、充足的儲存容量與記憶體、足夠的網路連接埠，以及經過硬體加速的安全機制。

但 uCPE 真正的優勢是其使用如 Intel^® VT 等虛擬化技術，讓系統上的每一個核心都能做為單獨的網路設備使用。舉例來說，一個四核心的系統可將兩個核心分配於網路協調和管理功能，第三個核心用於防火牆或負載平衡，並將第四個核心保留給客戶應用程式。

如此可提供高度整合的系統，只受可用核心數量的限制，這樣能降低測試、管理和維護多種硬體設備的總持有成本 (TCO)。

除了節省成本以外，還有一點對 Citrix 這類的公司格外重要，就是這樣的基礎架構與資料中心環境中已經部署的架構類似。

uCPE 系統的設計是用於客戶的設施或是小型分公司內部，因此，其本質為一種為邊緣提供智慧的架構移轉（圖 3）。這代表 5G 網路、應用程式及服務都能在更近的位置擁有更多的可用效能，確保輸送量最高和延遲最低。

擁有一致的硬體基礎架構也代表軟體供應商能在 5G 的邊緣至雲端連續體中擁有龐大的擴充性。

加速促成 5G 和行動邊緣運算

在組織開始為邊緣網路標準化 uCPE 硬體的同時，在效能、安全性和 I/O 方面還是需要可擴充性。為了滿足這些需求，Intel^® 與 CASwell, Inc. 等合作夥伴提供了一系列的 uCPE 設備解決方案。

例如，要求嚴苛的企業部署可運用 CASwell CAR-3080 網路設備，採用具有最多 16 核心的 Intel^® Xeon^® D2100 處理器，支援 40 Gigabit 乙太網路，並可透過網路模組提供多達 40 個乙太網路連接埠（圖 4）。做為經過驗證之適用於 uCPE 的 Intel^® Select 解決方案之一，CAR-3080 出廠時已通過初審，可提供百分之 100 的線路速率封包處理效能，並為運用多種高輸送量應用程式或服務的設施提供 100 Gbps 的加密能力。

運用如 CAR-3080 等適用於 uCPE 的 ISS 解決方案的網路營運商與服務供應商，可採用已知所需軟體整合測試最少的技術。在為了滿足未來的網路需求而擴充基礎架構時，他們也可確保具有可用的相容選項。

另一方面，uCPE 解決方案產品是以多核心 Intel Atom^® C3000 伺服器 SoC 為基礎，可提供合適的價格、功耗及無風扇效能組合，滿足大部分小型辦公室的入門級需求。CASwell CAD-0263 是其中一種白牌設備，提供 4 核心和 16 核心之間的選項、Intel^® QuickAssist Technology (Intel^® QAT)、多個乙太網路連接埠，並支援 LTE 與 Wi-Fi 模組（圖 5）。

為當今企業啟用 5G 基礎架構

雖然 5G 規格的第一個 eMBB 元素剛獲得 3GPP 核准，但對現有企業應用程式帶來的優勢已經非常明顯。比方說，透過 1 Gbps 資料傳輸速率和可支援更高的連線密度等功能，可為視訊會議和虛擬化環境等多種使用案例帶來明顯的影響。

但 eMBB 的功能也一定會帶動全新的應用程式與服務商機，更不用說將會隨著此標準的後續部分出現的開創性決定能力與機器對機器通訊能力。越接近這些功能受到核准，部署此基礎架構的競爭也會更加激烈。

SD-WAN 與 uCPE 提供一個方向，讓現今的基礎架構能提供軟體廠商所需的彈性，並為服務供應商提供經濟效益。您還在等什麼？

根據 Cisco 視覺網路指數 (Visual Networking Index)，全球的 IP 流量將會以每年百分之 26 的幅度增加，到 2022 年時，每個月將會達到可觀的 396 艾位元組 (exabyte)（圖 1）。這樣的成長由智慧型手機、物聯網裝置，以及其他傳統上並未連接至網際網路的平台所帶動。

這些流量都需要使用頻寬，以及特殊的網路服務。此狀況為現有的邊緣網路基礎架構帶來了沈重壓力，同時也影響到仰賴這種架構的企業，尤其是我們正在轉移至 5G 環境。

舉例來說，企業或網路服務供應商可能會使用深入封包檢查 (DPI) 功能來分析公共資料流量，以偵測病毒或簡化流經他們基礎架構的網路流量。他們可能也會使用虛擬私人網路 (VPN)，以支援具有不同服務等級 (QoS) 與安全需求的即時物聯網流量。他們也很可能會使用防火牆和工作階段邊界控制器等技術。

傳統上，這些服務需要運用各種專用硬體設備來提供支援。不僅維護成本昂貴和管理困難，也無法在現代邊緣網路現在必須支援的應用程式與服務的資料流量和類型增加時隨之擴充。

與其將以硬體為中心的方法帶到邊緣網路服務，您可以採用替代方案，以運作於通用硬體上的軟體來提供這些功能。這能將管理專用設備的成本與複雜度降到最低，並確保網路架構能符合未來日益增加的需求與多樣化流量。

網路設備供應商現在透過適用於 SD-WAN 的通用客戶端設備 (uCPE)，積極支持這種軟體定義基礎架構。閱讀「SD-WAN 與 uCPE：簡介」。

滿足未來需求的邊緣網路

適用於 SD-WAN 的 uCPE 以網路功能虛擬化 (NFV) 技術為基礎，可在多核心網路處理器上以虛擬網路功能 (VNF) 提供網路服務。

因此，可將單一 uCPE 網路平台部署於供應商網路的邊緣或企業設施的內部，提供動態流量協調與管理、安全性、工作階段控制，以及其他服務。

這能實現軟體定義分支等使用案例，讓安裝的服務數量與效能僅會受限於可用的處理器核心（圖 2）。

因為此基礎架構完全為軟體定義，營運商可將這些服務做為不同的遠端管理產品，提供給不同的企業客戶，一切皆採用單晶片硬體架構。

與其將網路功能與關鍵企業應用程式代管在遙遠的資料中心內，您可以將服務部署與代管在貼近資料來源的 uCPE 平台。這有助於減少網路傳輸成本，並提高即時 5G 應用的判斷效率。

為全新邊緣網路加速平台部署

通用網路硬體並非新的概念，在資料中心內的部署已經行之有年。但許多網路營運商與服務供應商卻難以測試這些平台是否符合他們的輸送量與效能標準。這可能會耗費昂貴的成本、大量的時間，並拖延 SD-WAN 基礎架構的部署。

為了確保效能並減少與 uCPE 平台相關的測試，Intel^® 與 Advantech 等合作夥伴共同打造適用於 uCPE 的 Intel^® Select 解決方案（適用於 uCPE 的 Intel^® ISS）。

這些平台具有基本與加強組態可供選擇，提供 4 核心與 16 核心的 Intel^® Xeon^® 處理器、至少 16 GB 的記憶體、至少 256 GB 的儲存空間，以及 4 個 10 GbE 連接埠（圖 3）。加強組態亦支援 Intel^® Quick Assist Technology (Intel^® QAT)，減輕來自主處理器核心的加密程序。

適用於 uCPE 的 ISS 參考平台具有可擴充性，專為 SD-WAN 部署提供量身打造的一組基準技術。

如此，像是 Advantech 的企業就可在 FWA-3050 系列網路設備等白牌解決方案中提供額外的效能。但為了擁有適用於 uCPE 平台的 ISS 品牌，系統必須通過最低效能需求的效能標竿測試（圖 4）。這包括百分之 100 的線路速率封包處理效能，以及高達 100 Gbps 的加密能力。

在軟體方面，所有適用於 uCPE 的 ISS 解決方案皆採用以開放原始碼為中心的堆疊，結合 Intel^® Data Plane Development Kit (Intel^® DPDK)、Ubuntu Linux，以及 KVM/QEMU 監管程式。

使用者能放心，不會受困於專用解決方案之中，並可最小化重新測試專用軟體修補程式或額外堆疊元件的相關成本。也能確定任何適用於 uCPE 的 ISS 產品皆可為防火牆、加密，以及邊界控制等其他功能提供標準效能。

舉例來說，Advantech 的 FWA-3050 是適用於 uCPE 的 ISS 網路設備，該公司透過 BIOS 最佳化，讓軟體堆疊能在他們的硬體上更有效率地運作（圖 5）。該公司亦整合了智慧平台管理介面 (IPMI) 控制器，讓使用者能輕鬆進行遠端管理、維護，以及升級系統。

除了這些功能以外，此公司的 FWA-3050 產品之所以與眾不同，是因為其具有優異的能源效率和額外的 I/O 等特色，並支援廣大的軟體合作夥伴價值鏈體系，同時也將這些夥伴的解決方案調整至 Advantech 硬體設備之中。

以符合成本效益的方法擴充 5G

當企業開始透過採用 5G 網路的新服務獲利，邊緣基礎架構也需要隨之更新。這些高頻寬、低延遲的應用程式需要更多的邊緣網路智慧，以及高度的彈性，讓基礎架構可適應快速變動的網路需求。

而目前的網路架構無法提供這樣的能力。管理與維護專用硬體設備不僅需要過於昂貴的成本，在設備故障時也需要專業的網路工程師與 IT 人員採取動作。

另一方面，以軟體為中心的方法可讓網路營運商與企業應用程式供應商針對故障進行遠端診斷與應對，並將停機時間縮減到最短。

透過通用 uCPE 和 SD-WAN 所提供的彈性，服務供應商便能快速適應網路的新興趨勢。有了適用於 uCPE 的 ISS，他們可以放心部署此基礎架構，確保架構能提供期望中的效能。

為了在現代變化快速的零售環境中蓬勃成長，商家必須迎合客戶的習性。這代表要透過社群媒體、行動商務、文字訊息、電子郵件，以及包括傳統實體店面購物在內的其他途徑來吸引消費者。

這也意味著零售商需要可靠的網路基礎架構，以支援店面、網站、應用程式、客服中心、製造設施，以及其他支援服務。如圖 1 所示，統合商務環境中的不同功能之間必須進行快速且可靠的通訊，以確保完成工作。

這些部門分別仰賴不同類型的連線能力。例如：

• 辦公室使用的固定式寬頻網路
• 工業設施所使用的 IP 封裝式現場匯流排協定
• 特定零售 POS 系統或連線購物體驗所使用的 Bluetooth、Wi-Fi，以及行動數據

除了不同的網路拓撲、連線類型，以及服務品質 (QoS) 需求以外，這些通道與服務部門也需要一系列的網路服務。這可能包括防火牆、深入封包檢查 (DPI)、廣域網路 (WAN) 最佳化、路由，以及各種其他功能。在傳統的網路架構中，這樣的服務需要特別的專用硬體設備，大幅提高了成本與網路複雜度。

管理這些網路與服務可能十分麻煩，對大型或快速成長的零售組織而言更是如此，這可能導致公司無法專注於銷售商品的核心任務上。

軟體定義廣域網路 (SD-WAN) 可減輕在內部管理這些複雜網路的負擔，並降低網路服務的成本。搭配通用客戶端設備 (uCPE) 時，SD-WAN 亦可改善網路的彈性與可靠度，為客戶保持暢通的通訊線路。

SD-WAN 提供購物體驗

在之前的文章中，我們已經討論過 SD-WAN 所提供的彈性。此技術使用以軟體為基礎的流量協調與管理控制器，藉由使用一般用途的 uCPE 硬體，使多種有線與無線連接能力得以連接至網路。

SD-WAN 支援的通訊技術包括 MPLS、寬頻、纜線、Wi-Fi，以及 LTE 連結等（圖 2）。因此，語音與資料流量可隨時根據應用程式的 QoS 需求，經由最佳化、最高頻寬的通道傳輸。

支援 SD-WAN 的硬體架構運用來自資料中心的軟體定義網路 (SDN) 與網路功能虛擬化 (NFV)。在此架構中，uCPE 可提供強大且具有彈性的一般用途網路平台，以虛擬網路功能 (VNF) 支援多種網路服務。因此，uCPE 可取代前述昂貴、複雜的硬體設備（圖 3）。

對商家與提供支援的網路服務供應商來說，SD-WAN 可為多種具有特殊需求的網路提供最佳化解決方案，並且降低成本與複雜度。

為了回應這樣的需求，市場上的網路設備供應商 (NEP) 正在推出可擴充的 uCPE 解決方案，滿足打算在整個零售營運環境中部署 SD-WAN 的公司。

零售創新的通用平台

舉例來說，Intel^® 與 Lanner Inc. 等合作夥伴協力打造適用於 uCPE 的 Intel^® Select 解決方案，加速 SD-WAN 在客服中心、製造設施，以及複合零售設施等架構上的大規模部署。適用於 uCPE 平台的 ISS 是可擴充的系統，採用多核心 Intel^® Xeon^® D 處理器，以及一系列輔助網路技術。

圖 4 概略列出適用 uCPE 解決方案的 ISS 最低硬體需求，且有基本與加強組態可供選擇。

如上表所示，所有適用於 uCPE 產品的 ISS 至少都搭載四核心的 Intel Xeon D 處理器。這能為封包加速提供足夠的效能，同時確保核心可用於代管 VNF 服務。舉例來說，一個核心可能專門用於網路協調與管理，其他的則支援防火牆、DPI，以及 QoS 監控等。

此外，適用於 uCPE 系統的 ISS 亦搭載 Intel^® Data Plane Development Kit (Intel^® DPDK)，這是可最佳化網路通訊的封包處理軟體套組。透過調整硬體與軟體元件，Intel 與他們的夥伴實現了百分之 100 的線路速率封包處理效能，現在已經是所有適用於 uCPE 解決方案的認證 ISS 之標準品質。

對商家來說，這代表關鍵資料可即時傳送至多個零售中心、服務部門和物流中心，確保不會流失銷售機會，並可快速解決相關問題。

此外，所有適用於 uCPE 系統的 ISS 也整合了 Intel^® QuickAssist 技術，這是可卸載加密與壓縮工作負載的硬體加速功能。這有助於確保資料在零售基礎架構中移動時保持安全。同時會保留主處理器核心，專供確保營運順暢的 SD-WAN 協調與虛擬功能使用。

適用於 uCPE 平台的 ISS 硬體與軟體堆疊經過 Intel 的測試、驗證與認證，確保不論來源為何，零售商的 SD-WAN 投資都能維持永續發展。

適用於統合商務的現成 uCPE 解決方案

Lanner 的 NCA-4020 是最早適用於 uCPE 解決方案的 ISS 之一，即搭載四個 16 核心 Intel Xeon 處理器的 1U 的網路設備，可支援基本與加強組態（圖 5）。擁有這樣的品質與效能基準，零售商現在便可善用 SD-WAN 功能的優勢，並加以擴充來滿足未來的需求。

想要逐漸轉換至 uCPE 的店家可選擇 Lanner 的入門級 LUNA D-125 白牌網路設備（圖 6）。LUNA D-125 搭載雙核心 Intel Atom^® C2000 處理器，可使用一個核心處理網路管理或協調作業，並為安全性等 VNF 保留另一個核心。

Lanner 自行進行了大規模的測試、驗證和實務驗證，以確保 LUNA D-125 等系統的系統品質。

無論效能等級為何，營運商與 IT 部門都會喜歡在整個 SD-WAN 基礎架構中採用 Intel 架構系統。這樣的共通性能為統合商務部署的生命週期提供更優異的軟體重複使用性、上市時間，以及管理能力。

LUNA D-125 等平台可放置於小型辦公室或店面中，以開始轉換至具有更高彈性的網路，並為 NCA-4020 等適用於 uCPE 解決方案的強大、多功能 ISS 打下基礎，以便在合適的場合與時間發揮作用。

適用於 SD-WAN 的 uCPE：讓零售連線能力更臻完美

零售商開始要求高輸送量且可靠安全的通訊能力，以支援零售分析與擴增實境等進階功能，採用 Intel 技術的可擴充性則提供順暢的移轉路徑。適用於 uCPE 的 ISS 等解決方案乃軟體定義的可虛擬化架構，可在使用案例改變或發生之際，即時修改工作負載。

零售市場已經準備好迎接 SD-WAN 所帶來的成本與彈性優勢。現在就是邊緣零售創新的時機。