5G 网络的一个物理变化是基站需要彼此更加靠近，两个基站之间往往只隔几百米远。这是因为与前代相比，5G 使用更短但功率更高的波长。

基站的增加以及网络节点的相应增多意味着潜在的安全漏洞数量和攻击面会显著增大（图 1）。

身份验证可以防范潜在的安全问题

在 5G 网络中，提高安全的一种方法是使用功能更强大的设备身份验证。这项技术并不是新技术，但是在 5G 网络中，它需要一些变化。

所有身份验证都涉及网络基础架构的三个部分：

• 请求信息的设备
• 传送请求的网络
• 接收请求的端点

公钥交换等程序使用这些网络元素来验明通信的每个参与方的真身。5G 网络也一样，只不过网络元素是：

• 请求信息的设备
• 传送请求的网络
• 接收请求的端点网络（或本地网络）

这里的区别在于，请求信息必须先向通过边缘网络身份验证，然后才能到达终点（图 2）。这种方法称为“主要身份验证”，可以降低风险，防范坏蛋分子窜到网络上作乱。例如，它可以防范侧信道攻击，保护数十台设备免遭毒手。

为实现这个目标，在来源网络和目的地网络之间运作的一项安全功能允许执行身份验证的网络拒绝任何身份验证请求。端点网络本身具有决定是通过传入请求的身份验证还是拒绝它的最终决定权。对于所有 5G 网络，身份验证是强制性的。

因此，在执行主要身份验证的过程中，通常会与端点网络上存储密钥的身份验证服务器共享加密密钥。随后，通过网络来回发送请求，以确保使用这些共享的密钥保持安全，就如标准 PKI 一样。

保护网络节点

当然，所有身份验证都基于信任网络上设备的身份的能力。这意味着必须保护每一个端点的安全；而保护每一个端点的安全是物联网和其它连接的设备 OEM 的责任。

保持这些设备身份的诚信需要硬件安全和完善的设备管理相结合。

例如，采用 Telit OneEdge。这个物联网设备管理平台即服务 (paas) 可以与公司支持 5G 的蜂窝模块结合使用。在制造时，会用唯一的 ID、设备凭据和 SIM 功能预先调配支持的模块，并将这些信息锁定在硬件的一个受信任区域中。

每个模块的相应凭据存储在一个安全的云环境中，从而使设备能够在加入网络时向 OneEdge 平台验证身份。此过程称为零接触调配，可确保设备身份在设备尝试注册时即可得到信任（图 3）。

连接后，OneEdge 用户可以从基于云的仪表板无缝地监控设备。此仪表板可支持自动化的操作、警报和报警，可用于识别和阻止可疑的网络活动（图 4）。此外，它还集成了设备管理和通过 Telit AppCenter 无线更新功能，使设备 OEM 可以快速封堵漏洞。

Telit OneEdge 与许多运营商网络兼容，其中包括 Verizon、AT&T、Vodafone、T-Mobile 和 Telefonica。云连接器还提供与其它企业物联网平台的安全集成，例如 AWS、Google 云、Microsoft Azure、IBM Watson、SAP、MindSphere 和 Oracle 云。

5G 题外话

主要身份验证为 5G 网络提供了一个新的保护层。但是，主要身份验证不是万能神药。预防嗅探、中间人、拒绝服务 (DoS)、侧信道和其他网络攻击须在每一个网络端点中实施，从可信任的身份开始。

随着 NB-IoT 和 LTE Cat-M 等 5G 技术让越来越多的物联网设备联网，保护我们的网络需要移动网络运营商 (MNO)、网络设备提供商 (NEP) 和连接的设备的制造商协同工作。

主要身份验证、零接触调配和可信硬件为 5G 物联网网络提供了纵深防御安全战略。为了保护数据、设备和品牌声誉，每个人都必须发挥应有的作用。

5G 网络将为消费者用例提供增强型移动宽带 (eMBB) 连接，为工业部署提供超可靠的低延迟通信 (URLLC)，为物联网提供大规模机对机通信 (mMTC)。

属于这把大伞范围内的应用程序似乎涵盖了一切：增强和虚拟现实、实时翻译服务、自动驾驶车辆网络、无处不在的环境感知（图 1）。

边缘网络必须能够以最低的延迟和最高的吞吐量支持所有这些流量类型。在许多情况下，那些希望支持通过 5G 技术实现的新应用程序和服务的企业，还需要使用移动边缘计算 (MEC) 功能来改造其基础设施。

5G 对企业的影响

例如 Citrix 这样的公司展示了 5G 给现代企业带来的机遇和挑战。

一方面，该公司提供数字工作区解决方案，使其客户能够通过虚拟在线应用程序和桌面环境协同工作。另一方面，它为医疗、制造和金融服务等市场的客户提供智能交通管理、负载平衡和防火墙等网络基础设施服务（图 2）。

随着 5G 网络的上线，用户不仅会对工作区解决方案中的延迟容忍度降低，而且还会期望在其在线协作环境中融合更多的高带宽功能。此外，网络服务产品必须不断发展，以支持众多受 5G 影响的行业、客户及其应用程序的可靠性和服务质量 (QoS) 要求。

提供这样的性能意味着在边缘需要更加智能。但是，要继续以可持续、可扩展的方式提供软件解决方案和服务，就不能为每个用例和部署场景利用专用的硬件设备，否则，这样的成本和复杂性是像 Citrix 这样的公司无法承担的。

相反，这类企业希望通过软件定义的基础设施（如 SD-WAN）来支持 5G 要求。（有关详细信息，请阅读 “SD-WAN 和 uCPE：简介”。）

SD-WAN 和 uPCE 提高了可扩展性

就像数据中心的软件定义网络 (SDN) 一样，软件定义广域网依赖于基于软件的控制器，而不是专门的硬件来传送网络上的流量。因此，工程师可以使用通用硬件和软件为不同的 5G 流量设置服务级别协议 (SLA)。

对于 5G 部署来说，同样重要的是 SD-WAN 可以利用标准硬件基础设施。这些通用平台称为通用客户终端设备 (uCPE)，可根据需要提供多核网络处理器、充足的存储和内存、足够的网络端口以及硬件加速的安全机制。

但 uCPE 的秘密是使用英特尔^® VT 等虚拟化技术，使得系统上的每个内核都能作为单独的网络设备发挥作用。例如，四核系统可以将两个内核分配给网络编排和管理，第三个分配给防火墙或负载平衡，然后将第四个留给客户应用程序。

其结果是一个高度集成的系统，只受可用内核数量的限制，从而降低了测试、管理和维护多个硬件设备的总拥有成本 (TCO)。

除了节省成本之外，对于 Citrix 这样的公司尤其重要的是，基础设施与已经部署在数据中心环境中的没有多大不同。

uCPE 系统是为在客户设施或小型分支机构本地使用而设计的，因此它本质上是智能向边缘的架构转移（图 3）。这意味着与此相关的 5G 网络、应用程序和服务可以获得更高的性能，从而确保最高的吞吐量和最低的延迟。

对于软件供应商，在 5G 这个从边缘到云的连续统一体中，一致的硬件基础设施也意味着有极大的可扩展性。

通往 5G 和移动边缘计算

虽然各组织开始围绕边缘网络的 uCPE 硬件进行标准化，但在性能、安全性和 I/O 方面仍然需要可扩展性。为了满足这些要求，英特尔^® 和 CASwell, Inc. 等合作伙伴提供了一系列 uCPE 设备解决方案。

例如，要求苛刻的企业部署可以利用基于英特尔^® 至强^® D2100 处理器的 CASwell CAR-3080 网络设备，该设备具有多达 16 个内核、40 千兆以太网支持和多达 40 个通过网络模块的以太网端口（图 4）。作为首批经过验证的英特尔^® uCPE 精选解决方案之一，CAR-3080 的预认证结果是，可以为利用多个高吞吐量应用程序或服务的设施提供提供 100% 线速数据包处理性能和 100 Gbps 加密。

只需进行极少的软件集成测试，利用英特尔 uCPE 精选解决方案（如 CAR-3080）的网络运营商和服务提供商就可以采用该技术。他们还得到保证，在扩展基础设施以满足未来的网络需求时，将有兼容的方案备选。

另一方面，基于多核英特尔凌动^® C3000 服务器 SoC 的 uCPE 解决方案可提供适当的价格、功耗和无风扇性能组合，以满足小型办事处的大多数入门级需求。CASwell CAD-0263 就是这样一个白盒设备，它提供 4 到 16 个内核、英特尔^® QuickAssist 技术 (Intel^® QAT)、多个以太网端口以及对 LTE 和 Wi-Fi 模块的支持（图 5）。

面向当今企业的 5G 基础设施支持

虽然 5G 规范的首批 eMBB 元素刚刚得到 3GPP 的批准，但是它们在现有企业应用程序中的优势已经很明显。例如，1 Gbps 数据传输速率和对更高连接密度的支持等功能对视频会议、虚拟化环境等用例具有明显的影响。

但是，eMBB 的功能肯定会带来新的应用程序和服务，更不用说该标准后续将要带来的突破性发展和机对机通信了。越临近这些趋势得到认可，部署这类基础设施的竞争就越激烈。

现在，SD-WAN 和 uCPE 为实现这样的基础设施提供了一种方式，并能为软件供应商提供灵活性，为服务提供商提供经济性。等待有什么用？

根据思科的虚拟网络指数 (VNI)，到 2022 年，全球 IP 流量将同比增长 26%，达到每月 396 EB（图 1）。智能手机、物联网设备以及其他传统上没有连接到互联网的平台推动了这种增长。

所有这些都需要带宽和专门的网络服务。这给现有的边缘网络基础设施和依赖它的企业带来了压力，特别是在我们向 5G 发展的时候。

例如，企业或互联网服务提供商可以使用深度数据包检查 (DPI) 来分析公共数据流量，以便检测病毒或简化通过其基础设施的网络流量。他们还可以使用虚拟专用网络 (VPN) 来支持具有不同服务质量 (QoS) 和安全要求的实时物联网流量。他们可能还会利用防火墙、会话边界控制器等。

传统上，这些服务都需要专门的硬件设备来提供支持。这不仅维护成本高，管理难度大，而且不会随着数据流量的增长以及边缘网络现在必须支持的应用程序和服务类型的增长而扩展。

与其采用以硬件为中心的方法来实现边缘网络服务，还不如通过在通用硬件上运行的软件来提供这些功能。这样既最大限度地降低了特定于功能的设备的管理成本和复杂性，也能让网络架构面向未来，以满足将来更多、更多样化的流量需求。

网络设备提供商现在通过 SD-WAN 通用客户终端设备 (uCPE) 来支持此类软件定义的基础设施。请阅读 “SD-WAN 和 uCPE: 简介”。

面向未来的边缘网络

适用于 SD-WAN 的 uCPE 基于网络功能虚拟化 (NFV) 技术，该技术允许在多核网络处理器上将网络服务作为虚拟网络功能 (VNF) 进行交付。

因此，可以在提供商网络的边缘或企业设施的内部部署一个 uCPE 网络平台，以交付动态流量编排和管理、安全性、会话控制以及其他服务。

这样就能实现软件定义分支这样的用例，而在这些用例中，服务的数量和性能只会受到处理器内核可用性的限制（图 2）。

由于此基础设施完全由软件定义，因此运营商可以在一个完全统一的硬件架构上，为不同的企业客户端提供不同的远程托管服务。

可以将服务部署和托管在靠近数据源的 uCPE 平台上，而不必将网络功能和关键企业应用程序托管在遥远的数据中心。这有助于降低网络传输成本，并提高实时 5G 应用程序的确定性。

加快新边缘网络的平台部署

通用网络硬件已经在数据中心中部署了一段时间，并不是什么新鲜事物。但是，许多网络运营商和服务提供商在测试这些平台的吞吐量和性能时遇到了困难。这可能非常耗时且成本很高，并会延迟 SD-WAN 基础设施的部署。

为了确保性能并减少与 uCPE 平台相关的测试，英特尔^® 与 Advantech 等合作伙伴合作开发了英特尔^® uCPE 精选解决方案 (Intel^® ISS for uCPE)。

这些平台提供基本或 Plus 配置，包括 4 至 16 核英特尔^® 至强^® 处理器，至少 16 GB 内存，至少 256 GB 存储以及 4 个 10 GbE 端口（图 3）。Plus 配置还支持英特尔^® Quick Assist 技术 (Intel^® QAT)，以便从主处理器内核卸载加密过程。

可扩展的 ISS for uCPE 参考平台提供了一组为 SD-WAN 部署量身定制的基准技术。

在这些平台中，Advantech 这样的公司可以在白盒解决方案中提供额外的性能，比如 FWA-3050 系列的网络设备。但要成为 ISS for uCPE 平台的品牌，系统必须通过针对最低性能要求的基准测试（图 4）。其中包括 100% 线速数据包处理性能和高达 100 Gbps 的加密。

在软件方面，所有 ISS for uCPE 解决方案都利用了一个以开源为中心的堆栈，该堆栈由英特尔^® 数据平面开发套件英特尔 (Intel^® DPDK)、Ubuntu Linux 和 KVM/QEMU 虚拟机管理程序组成。

用户可以确信，他们不会被专有解决方案套牢，并且可以最大限度地降低与重新测试专用软件修补程序或堆栈新增内容相关的成本。他们还可以放心，任何 ISS for uCPE 产品都能为防火墙、加密、边界控制等服务提供标准性能。

例如，Advantech 通过 BIOS 优化使其 FWA-3050 ISS for uCPE 网络设备差异化，从而让软件堆栈能够在其硬件上更高效地运行（图 5）。该公司还集成了智能平台管理接口 (IPMI) 控制器，以简化远程系统管理、维护和升级。

除了这些功能外，该公司还通过能效、附加 I/O 和对广泛软件合作伙伴生态系统的支持来使其 FWA-3050 产品差异化；这些软件合作伙伴的解决方案也针对 Advantech 硬件设备进行了调整。

面向 5G 进行具成本效益的扩展

随着企业开始利用 5G 网络提供的新服务，边缘基础设施将需要更新换代。这些高带宽、低延迟的应用程序需要边缘位置有更多的网络智能以及高度的灵活性，以便基础设施能够实时适应动态网络需求。

如果使用当前的网络架构，这是做不到的。管理和维护专用硬件设备不仅在成本方面令人望而却步，还需要专业的网络工程师和 IT 人员在设备出现故障时亲自做出响应。

另一方面，通过以软件为中心的方法，网络运营商和企业应用程序提供商可以远程诊断和响应故障，并最大限度地减少停机时间。

得益于通用 uCPE 和 SD-WAN 提供的灵活性，服务提供商还可以快速适应网络领域的新趋势。借助 ISS for uCPE，他们可以自信地部署此基础设施，因为他们知道自己的架构将提供所期望的性能。

要想在当今瞬息万变的零售环境中取得成功，商家必须满足客户的各种需求。这意味着他们要通过社交媒体、移动商务、短信、电子邮件和其他渠道（包括传统的实体购物）与消费者互动。

这也意味着零售商需要可靠的网络基础设施来支持店面、网站、应用程序、呼叫中心、生产设施和其他支持服务。如图 1 所示，在统一的商业环境中，这些不同的分支必须能够快速可靠地通信，才能确保运营有序进行。

这些部门依赖于不同类型的连接。例如：

• 办公室需要固定宽带
• 工业设施需要 IP 封装现场总线协议
• 某些零售 POS 系统或紧密连接的购物体验需要蓝牙、Wi-Fi 和联网

除了不同的网络拓扑、连接类型和服务质量 (QoS) 需求之外，这些渠道和服务部门还需要一系列网络服务。这些服务包括防火墙、深度包检测 (DPI)、广域网 (WAN) 优化、路由和许多其他功能。在传统的网络架构中，此类服务需要专门的专业硬件设备，这不但导致了沉重的成本负担，而且使网络变得更加复杂。

管理这些网络和服务是一项艰苦的工作，特别是在大型或快速增长的零售组织中，这会削弱公司销售商品这一核心使命。

软件定义的广域网 (SD-WAN) 可以减轻在内部管理这些复杂网络的负担，并降低网络服务的成本。当与通用客户驻地设备 (uCPE) 配套使用时，SD-WAN 还可以提高网络的灵活性和可靠性，保持客户通信线路畅通。

SD-WAN 确保紧密连接的购物体验

以前的文章讨论了 SD-WAN 提供的恢复能力。该技术使用基于软件的流量编排和管理控制器，使用通用 uCPE 硬件通过网络路由多种形式的有线和无线连接。

SD-WAN 支持的通信技术包括 MPLS、宽带、电缆、Wi-Fi 和 LTE 链路（图 2）。因此，语音和数据流量始终可以根据应用程序的 QoS 需求通过最合适、带宽最高的路径发送。

支持 SD-WAN 的硬件架构利用数据中心的软件定义网络 (SDN) 和网络功能虚拟化 (NFV)。在这里，uCPE 提供一个强大而灵活的通用网络平台，支持各种网络服务作为虚拟网络功能 (VNF)。因此，uCPE 代替了前面提到的昂贵、复杂的硬件设备（图 3）。

对于支持它们的商家和网络服务提供商而言，SD-WAN 可以满足专业要求，并且降低成本和复杂性，是各种网络的最佳解决方案。

因此，网络设备供应商 (NEP) 纷纷向市场推出可扩展的 uCPE 解决方案，帮助公司在整个零售业务中部署 SD-WAN。

通用平台促进零售创新

例如，英特尔^® 与 Lanner 公司等合作伙伴合作，推出面向 uCPE 的英特尔^® Select 解决方案 (ISS)，以加速 SD-WAN 的大规模部署（如呼叫中心、生产设施和零售中心）。面向 uCPE 的 ISS 平台基于多核英特尔^® 至强^® D 处理器，采用各种互补的网络技术，支持灵活扩展。

图 4 概述了面向 uCPE 的 ISS 解决方案的最低硬件要求，适用于基本配置和附加配置。

如上表所示，任何面向 uCPE 的 ISS 都至少提供一个四核英特尔至强 D 处理器。这为数据包加速提供了足够的性能，同时确保内核可以提供主机 VNF 服务。例如，一个内核专门用于网络编排和管理，其他内核则支持防火墙、DPI 和 QoS 监视。

此外，面向 uCPE 的 ISS 系统封装了英特尔^® 数据平面开发工具套件（英特尔^® DPDK），该包处理软件套件可以优化网络通信。英特尔及其合作伙伴通过调整这些硬件和软件组件，实现了 100% 的线路速率包处理性能，现在，所有面向 uCPE 的 ISS 解决方案必须符合这项标准才能通过认证。

对于商家而言，这意味着关键数据可以在不同的零售中心、服务部门和运营中心之间实时传递，避免丢失销售数据，问题也能迅速得到解决。

此外，所有面向 uCPE 的 ISS 系统都集成了英特尔^® QuickAssist 技术，这是一项硬件加速功能，可以减轻加密和压缩工作负载。这有助于确保数据在整个零售基础设施中保持安全。它还能确保主处理器内核专门执行 SD-WAN 编排和虚拟功能，使操作有序进行。

面向 uCPE 的 ISS 平台硬件和软件堆栈由英特尔进行测试、验证和认证，确保零售商的 SD-WAN 投资持续产生盈利，无论其来源如何。

现成的 uCPE 解决方案推动统一商务

Lanner NCA-4020 是首款面向 uCPE 的 ISS 解决方案之一，这是 1U 网络设备，具有四个 16 核英特尔至强处理器，支持基本配置和附加配置（图 5）。该解决方案为后续设备奠定了质量和性能基准，零售商如今可以利用 SD-WAN 功能，并通过持续扩展来满足未来的需求。

希望逐步过渡到 uCPE 的店主可能会选择 Lanner 的入门级 LUNA D-125 白盒网络设备（图 6）。LUNA D-125 基于英特尔 Atom^® C2000 双核处理器，可以在一个内核上执行网络管理或编排任务，同时保留另一个内核运行 VNF，如安全功能。

就其本身而言，Lanner 应用自己的测试、认证和验证实践来确保 LUNA D-125 等系统的质量。

无论性能级别如何，操作人员和 IT 部门喜欢在整个 SD-WAN 基础设施中使用基于英特尔架构的系统。这种共性在统一商业部署的整个过程中提高了软件的重复利用率和管理性，同时加快面市速度。

像 LUNA D-125 这样的平台可以部署在小型办公室或店面，开始向灵活的网络过渡，为更强大、更多功能的面向 uCPE 的 ISS 解决方案（如 NCA-4020）搭建舞台。

面向 SD-WAN 的 uCPE：良好、更好、最佳的零售连接

零售商开始要求高吞吐量、可靠和安全的通信来支持诸如零售分析和增强现实等高级功能，基于英特尔的技术高度可扩展，为此提供了一条平稳的迁移路径。面向 uCPE 的 ISS 等解决方案提供软件定义和支持虚拟化的架构，这还意味着随着使用案例的变化或新使用案例的出现，可以随时修改工作负载。

零售市场已做好准备，利用 SD-WAN 降低成本和提高灵活性。现在就是时候，利用边缘设备实现零售创新。