(高清版)GBT 40420.6-2021 基于公用電信網(wǎng)的寬帶客戶網(wǎng)關(guān)虛擬化 第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求

基于公用電信網(wǎng)的寬帶客戶網(wǎng)關(guān)虛擬化第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求2022-02-01實施國家標(biāo)準(zhǔn)化管理委員會GB/T40420.6—2021 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25企業(yè)網(wǎng)關(guān)虛擬化的總體架構(gòu) 35.1企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu) 35.2企業(yè)虛擬網(wǎng)關(guān)功能參考模型 46虛擬企業(yè)網(wǎng)關(guān)功能要求 56.1虛擬企業(yè)網(wǎng)關(guān)總體要求 6.2接入功能 6.3傳送功能 66.4地址功能 76.5QoS功能 6.6安全功能 86.7VPN組網(wǎng)功能 6.8對實體網(wǎng)關(guān)的管理功能 97虛擬企業(yè)網(wǎng)關(guān)的管理和控制 97.1虛擬企業(yè)網(wǎng)關(guān)管理控制架構(gòu) 7.2系統(tǒng)配置管理 7.3告警與診斷 7.4企業(yè)業(yè)務(wù)配置管理 附錄A(資料性附錄)企業(yè)虛擬化網(wǎng)關(guān)相關(guān)業(yè)務(wù)流程示例 A.1實體企業(yè)網(wǎng)關(guān)初始化配置流程 A.2寬帶業(yè)務(wù)流程 A.3企業(yè)IPSecVPN組網(wǎng)業(yè)務(wù)流程 附錄B(資料性附錄)虛擬企業(yè)網(wǎng)關(guān)用戶管理門戶 IGB/T40420《基于公用電信網(wǎng)的寬帶客戶網(wǎng)關(guān)虛擬化》已發(fā)布以下部分：——第1部分：總體要求；——第2部分：語音虛擬化技術(shù)要求；——第3部分：實體家庭網(wǎng)關(guān)技術(shù)要求；——第4部分：實體企業(yè)網(wǎng)關(guān)技術(shù)要求；——第5部分：虛擬家庭網(wǎng)關(guān)功能技術(shù)要求；——第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求；——第8部分：接口要求。本部分為GB/T40420的第6部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本部分由中華人民共和國工業(yè)和信息化部提出。本部分由全國通信標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC485)歸口。本部分起草單位：中國電信集團(tuán)有限公司、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國信息通信研究院、中國移動通信集團(tuán)有限公司、中興通訊股份有限公司、華為技術(shù)有限公司、烽火科技集團(tuán)有限公司、上海諾基亞貝爾股份有限公司。1基于公用電信網(wǎng)的寬帶客戶網(wǎng)關(guān)虛擬化第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求GB/T40420的本部分規(guī)定了公用電信網(wǎng)寬帶客戶網(wǎng)關(guān)虛擬化后虛擬企業(yè)網(wǎng)關(guān)的邏輯架構(gòu)和功能本部分適用于基于公用電信網(wǎng)的虛擬企業(yè)網(wǎng)關(guān)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T40420.1—2021基于公用電信網(wǎng)的寬帶客戶網(wǎng)關(guān)虛擬化第1部分：總體要求YD/T2372—2011支持IPv6的接入網(wǎng)總體技術(shù)要求IETFRFC2661二層隧道協(xié)議(LayerTwoTunnelingProtocol“L2TP”)IETFRFC2663IP網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)術(shù)語和注意事項[IPNetworkAddressTranslator(NAT)TerminologyandConsiderations]IETFRFC3022傳統(tǒng)IP網(wǎng)絡(luò)地址轉(zhuǎn)換[TraditionalIPNetworkAddressTranslator(TraditionalNAT)]網(wǎng)絡(luò)地址轉(zhuǎn)換的協(xié)議復(fù)雜性(ProtocolComplicationswiththeIPNetworkAddressTranslator)IETFRFC3193使用IPsec保護(hù)L2TP(SecuringL2TPusingIPsec)IETFRFC3489通過網(wǎng)絡(luò)地址轉(zhuǎn)換器實現(xiàn)用戶數(shù)據(jù)報協(xié)議(UDP)的簡單遍歷[STUN-SimpleTraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs)]IETFRFC3931二層隧道協(xié)議第三版[LayerTwoTunnelingProtocol-Version3(L2TPv3)]3術(shù)語和定義下列術(shù)語和定義適用于本文件。實體網(wǎng)關(guān)physicalgateway在寬帶客戶網(wǎng)關(guān)虛擬化場景下部署在寬帶客戶側(cè)的網(wǎng)關(guān)設(shè)備。實體企業(yè)網(wǎng)關(guān)physicalbusinessgateway在寬帶客戶網(wǎng)關(guān)虛擬化場景下部署在寬帶企業(yè)客戶側(cè)的網(wǎng)關(guān)設(shè)備。2虛擬網(wǎng)關(guān)virtualgateway在寬帶客戶網(wǎng)關(guān)虛擬化場景下部署在網(wǎng)絡(luò)側(cè)網(wǎng)關(guān)功能集合。注：這些功能可能部署在一個網(wǎng)絡(luò)側(cè)設(shè)備上，也可能部署在多個網(wǎng)絡(luò)側(cè)設(shè)備上，這些功能和部署在用戶側(cè)的實體網(wǎng)關(guān)一起提供寬帶客戶網(wǎng)關(guān)的功能。虛擬企業(yè)網(wǎng)關(guān)virtualbusinessgateway在寬帶客戶網(wǎng)關(guān)虛擬化場景下部署在網(wǎng)絡(luò)側(cè)的企業(yè)網(wǎng)關(guān)功能集合。注：這些功能可能部署在一個網(wǎng)絡(luò)側(cè)設(shè)備上，也可能部署在多個網(wǎng)絡(luò)側(cè)設(shè)備上，這些功能和部署在客戶側(cè)的實體企業(yè)網(wǎng)關(guān)一起提供寬帶企業(yè)網(wǎng)關(guān)的功能。4縮略語下列縮略語適用于本文件。AAA:認(rèn)證、授權(quán)和計費(Authentication,Authorization,Accounting)AES:高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)AH:驗證頭(AuthenticationHeader)ALG:應(yīng)用層網(wǎng)關(guān)(ApplicationLayerGateway)AN:接入網(wǎng)(AccessNetwork)BSS:業(yè)務(wù)支撐系統(tǒng)(BusinessSupportSystem)CAR:承諾訪問速率(CommittedAccessRate)CPU:中央處理器(CentralProcessingUnit)DDNS:動態(tài)域名服務(wù)(DynamicDomainNameServer)DDoS:分布式拒絕服務(wù)(DistributionDenialofService)DES:數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard)DHCP:動態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol)DHCP-PD:動態(tài)主機(jī)配置協(xié)議前綴委派(DynamicHostConfigurationProtocolPrefixDelegation)DNS:域名系統(tǒng)(DomainNameSystem)DoS:拒絕服務(wù)(DenialofService)DPD:斷線偵測(DeadPeerDetection)DSCP:差分服務(wù)代碼點(DifferentiatedServicesCodePoint)EMS:網(wǎng)元管理系統(tǒng)(ElementManagementSystem)ESP:封裝安全有效載荷(EncapsulatingSecutiyPayload)FTP:文件傳輸協(xié)議(FileTransferProtocol)GRE:通用路由封裝(GenericRoutingEncapsulation)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:超文本傳輸安全協(xié)議(HyperTextTransferProtocoloverSecureSocketLayer)ICMP:互聯(lián)網(wǎng)控制消息協(xié)議(InternetControlMessageProtocol)IGMP:互聯(lián)網(wǎng)組管理協(xié)議(InternetGroupManagementProtocol)IKE:互聯(lián)網(wǎng)密鑰交換(InternetKeyExchange)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)IPSec:互聯(lián)網(wǎng)協(xié)議安全性(InternetProtocolSecurity)3IPv4:互聯(lián)網(wǎng)協(xié)議第四版(InternetProtocolv4)IPv6:互聯(lián)網(wǎng)協(xié)議第六版(InternetProtocolv6)L2TP:第二層隧道協(xié)議(Layer2TunnelingProtocol)LAN:局域網(wǎng)(LocalAreaNetwork)MAC:媒體介入控制層(MediumAccessControl)NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)NAPT:網(wǎng)絡(luò)地址與端口轉(zhuǎn)換(NetworkAddressandPortTranslation)NFVO:網(wǎng)絡(luò)功能虛擬化編排器(NetworkFunctionVirtualizationOrchestration)OLT:光線路終端(OpticalLineTerminal)OSS:運(yùn)營支撐系統(tǒng)(OperationSupportSystem)PBG:實體企業(yè)網(wǎng)關(guān)(PhysicalBusinessGateway)PON:無源光網(wǎng)絡(luò)(PassiveOpticalNetwork)PPP:點對點協(xié)議(PointtoPointProtocol)PPPoE:以太網(wǎng)上傳送點到點協(xié)議(PointtoPointProtocoloverEthernet)QoS:服務(wù)質(zhì)量(ServiceofQuality)RIP:路由信息協(xié)議(RoutingInformationProtocol)RIPng:下一代路由信息協(xié)議(RoutingInformationProtocolnextgeneration)RTSP:實時流協(xié)議(RealTimeStreamingProtocol)SIP:信令控制協(xié)議(SessionInitiationProtocol)SSID:服務(wù)集標(biāo)識(ServiceSetIdentifier)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)ToS:服務(wù)類型(TypeofService)UDP:用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)VBG:虛擬企業(yè)網(wǎng)關(guān)(VirtualBusinessGateway)VID:VLAN標(biāo)識(VLANIdentifier)VLAN:虛擬局域網(wǎng)(VirtualLAN)VNFM:虛擬網(wǎng)絡(luò)功能管理器(VirtualNetworkFunctionManager)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)VXLAN:虛擬擴(kuò)展局域網(wǎng)(VirtualeXtendedLAN)WRR:加權(quán)循環(huán)調(diào)度(WeightedRoundRobin)WLAN:無線局域網(wǎng)(WirelessLocalAreaNetworks)5企業(yè)網(wǎng)關(guān)虛擬化的總體架構(gòu)5.1企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu)企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu)如圖1所示。4網(wǎng)絡(luò)側(cè)用戶側(cè)網(wǎng)絡(luò)側(cè)VBG1PBG1VBGPBG1LSL2PBG2VBG3L.SI.3PBG3PBG3LSLxPBGxPBGx接口圖1企業(yè)網(wǎng)關(guān)虛擬化邏輯結(jié)構(gòu)如圖1所示，實體企業(yè)網(wǎng)關(guān)(PBG)位于企業(yè)用戶側(cè)，包含著所有依賴于硬件的功能，而虛擬企業(yè)網(wǎng)關(guān)(VBG)為分布式的虛擬存在，完成企業(yè)網(wǎng)關(guān)其他的邏輯功能。實體企業(yè)網(wǎng)關(guān)的邏輯用戶連接通過虛擬企業(yè)網(wǎng)關(guān)基礎(chǔ)設(shè)施的LSL接口與對應(yīng)的虛擬網(wǎng)關(guān)連接。圖中虛線部分表示虛擬網(wǎng)關(guān)與實體網(wǎng)關(guān)不一定是一一對應(yīng)關(guān)系，一個虛擬網(wǎng)關(guān)可以對應(yīng)多個實體網(wǎng)關(guān)，一個實體網(wǎng)關(guān)可以對應(yīng)多個虛擬網(wǎng)關(guān)。5.2企業(yè)虛擬網(wǎng)關(guān)功能參考模型企業(yè)虛擬網(wǎng)關(guān)系統(tǒng)的網(wǎng)絡(luò)功能是分布式部署的，虛擬企業(yè)網(wǎng)關(guān)(VBG)和實體企業(yè)網(wǎng)關(guān)(PBG)構(gòu)成了虛擬網(wǎng)關(guān)系統(tǒng)。企業(yè)虛擬網(wǎng)關(guān)的功能參考模型如圖2所示。VBGVBG管理與控制LPv4:IPy6傳送上行流量QoS下行流量QoSNAT/NAPTDHCP服務(wù)VPN組網(wǎng)IP地址管理安全管理增值服務(wù)路山控制DNS服務(wù)75L接口三AN接口PBG圖2企業(yè)虛擬網(wǎng)關(guān)的功能參考模型5企業(yè)虛擬網(wǎng)關(guān)的系統(tǒng)組件如下：——WAN接口功能；——邏輯用戶連接接口功能；——IPv4/IPv6傳送；——路由控制；——下行流量QoS;——IP地址管理/DHCP服務(wù)器；——管理與控制——網(wǎng)絡(luò)地址及端口轉(zhuǎn)換(NAPT);——DNS服務(wù)；——安全管理；——VPN組網(wǎng)；——增值服務(wù)。企業(yè)虛擬網(wǎng)關(guān)系統(tǒng)在用戶側(cè)的是實體企業(yè)網(wǎng)關(guān)(PBG),這部分的網(wǎng)絡(luò)功能是將數(shù)據(jù)流量轉(zhuǎn)發(fā)到虛擬網(wǎng)關(guān)，如圖2所示。6虛擬企業(yè)網(wǎng)關(guān)功能要求6.1虛擬企業(yè)網(wǎng)關(guān)總體要求虛擬企業(yè)網(wǎng)關(guān)的不同模式分類應(yīng)符合GB/T40420.1—2021中7.2的規(guī)定，具體功能要求見表1。表1不同模式的虛擬網(wǎng)關(guān)功能要求功能模式一模式二接入功能邏輯連接功能支持支持上行WAN連接接入支持支持傳送功能橋接/路由支持支持支持支持組播功能支持支持路由功能支持支持地址功能DNS功能支持支持NAT/NAPT功能支持可選ALG支持支持支持支持支持支持業(yè)務(wù)流分類和標(biāo)記支持可選業(yè)務(wù)流限速支持可選優(yōu)先級隊列調(diào)度支持可選6表1(續(xù))功能模式一模式二安全功能防DDoS攻擊支持支持防端口掃描支持支持防火墻支持支持非法組播源控制功能可選可選報文抑制支持支持VPN組網(wǎng)功能L2TPVPN功能支持支持IPSecVPN功能支持支持管理功能對實體網(wǎng)關(guān)的管理支持支持6.2接入功能6.2.1邏輯連接功能要求虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持與一個或多個實體網(wǎng)關(guān)建立邏輯用戶連接(LSL),至少支持以下模式中的一種接入模式：——單層VLAN模式；——雙層VLAN模式；虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持通過IP會話監(jiān)控所有的LSL的狀態(tài)，并支持報文周期、超時等時鐘的配置。虛擬企業(yè)網(wǎng)關(guān)應(yīng)能夠支持接入運(yùn)營商的IP網(wǎng)絡(luò)。虛企業(yè)網(wǎng)關(guān)應(yīng)支持發(fā)起PPPoE/DHCP連接。虛擬企業(yè)網(wǎng)關(guān)可選支持動態(tài)主機(jī)配置協(xié)議中繼(DHCPRelay)功能，能夠?qū)⒔K端的DHCP請求轉(zhuǎn)發(fā)給位于寬帶客戶網(wǎng)絡(luò)外部的DHCP服務(wù)器，并返回分配地址結(jié)果。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持至少16個WAN連接同時工作，應(yīng)支持至少8個路由WAN連接同時工作。當(dāng)虛擬企業(yè)網(wǎng)關(guān)建立了一條以上的WAN連接時，應(yīng)支持不同WAN連接之間的數(shù)據(jù)(包括DNS、ARP、管理應(yīng)用數(shù)據(jù)等)的完全隔離。寬帶業(yè)務(wù)流程參見附錄A中A.2。6.3傳送功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持工作在橋接、路由以及橋接/路由混合等模式。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持接收不帶標(biāo)簽(untagged)、優(yōu)先級標(biāo)簽(priority-tagged)或帶標(biāo)簽(tagged)報文。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持對上行untagged報文添加VID,對priority-tagged報文添加VID,支持丟棄7虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持將下行接收到的tagged報文去掉標(biāo)簽。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持互聯(lián)網(wǎng)組管理協(xié)議代理(IGMPproxy)和互聯(lián)網(wǎng)組管理協(xié)議嗅探(IGMPsnooping)功能，IGMP協(xié)議支持IGMPv2,可選支持IGMPv3。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持靜態(tài)路由配置，可選支持RIPv1/v2協(xié)議，可選支持下一代路由信息(RIPng)協(xié)議。6.4地址功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持在DHCP會話過程中將DNS服務(wù)器地址發(fā)送給客戶網(wǎng)絡(luò)內(nèi)部設(shè)備，DNS服務(wù)器的地址可以配置，并能對客戶網(wǎng)絡(luò)內(nèi)部設(shè)備的DNS請求進(jìn)行轉(zhuǎn)發(fā)并將解析結(jié)果送回給客戶網(wǎng)絡(luò)內(nèi)部設(shè)備。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持DDNS功能。虛擬網(wǎng)關(guān)應(yīng)支持DNSv6。采用模式一的虛擬網(wǎng)關(guān)應(yīng)支持NAT/NAPT功能，符合IETFRFC2663、IETFRFC3022和IETFRFC3027的規(guī)定。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IETFRFC3489定義的coneNAT。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持配置端口前轉(zhuǎn)(PortForwarding),支持虛擬服務(wù)器(VirtualServer),用戶可選擇常見協(xié)議(如FTP、HTTP等)進(jìn)行虛擬服務(wù)器配置，網(wǎng)關(guān)應(yīng)至少同時支持8個虛擬服務(wù)器的配置。采用模式二的虛擬企業(yè)網(wǎng)關(guān)此功能可選。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持ALG功能，支持SIP、FTP、RTSP、L2TP、H.323的私網(wǎng)穿越功能，可選支持IPSec協(xié)議，每種協(xié)議應(yīng)提供單獨的開關(guān)功能。虛擬企業(yè)網(wǎng)關(guān)的WAN側(cè)應(yīng)支持靜態(tài)配置IP地址、DHCP和PPPoE三種方式獲取IP地址信息。虛擬企業(yè)網(wǎng)關(guān)WAN側(cè)接口應(yīng)支持動態(tài)主機(jī)配置協(xié)議客戶端(DHCPClient)功能，能夠獲取IP地虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持動態(tài)主機(jī)配置協(xié)議服務(wù)器(DHCPServer)功能，為用戶側(cè)設(shè)備分配IP地址，IP地址池可配置。網(wǎng)關(guān)的DHCPServer應(yīng)支持針對不同企業(yè)用戶的終端分配同一個地址池的不同地址段，或為每一個企業(yè)分配一個單獨的地址池。網(wǎng)關(guān)的DHCPServer應(yīng)支持查看地址池中已分配的地虛擬企業(yè)網(wǎng)關(guān)的DHCPserver應(yīng)支持根據(jù)用戶側(cè)設(shè)備上報的DHCP60選項(Option60)標(biāo)識，為不同類型的設(shè)備從同一網(wǎng)段不同的IP地址區(qū)間中分配IP地址，不同設(shè)備IP地址池可配置。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IPv6協(xié)議族，包括支持SLAAC、DHCP-PD和PPP承載IPv6時的各種地址8獲取方式；支持對實體網(wǎng)關(guān)LAN側(cè)設(shè)備的IPv6地址的分配。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IPv4/IPv6雙協(xié)議棧，支持同時獲取IPv4以及IPv6地址的能力。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持的IPv6具體功能要求見YD/T2372—2011。6.5.1業(yè)務(wù)流分類和標(biāo)記功能采用模式一的虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持外部網(wǎng)絡(luò)要求的QoS機(jī)制，虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持以下流分類技術(shù)：a)支持按源IP(包括網(wǎng)段和范圍)、目的IP(包括網(wǎng)段和范圍)、源端口、目的端口、物理接口(包括SSID)進(jìn)行流分類；b)支持按源MAC地址、目的MAC地址、虛擬局域網(wǎng)標(biāo)識(VLANID)、802.1D進(jìn)行流分類；c)支持按DSCP進(jìn)行流分類；d)支持按協(xié)議類型(TCP/UDP/ICMP)進(jìn)行流分類；e)可選支持通過識別業(yè)務(wù)報文，對動態(tài)業(yè)務(wù)進(jìn)行流分類，例如通過識別SIP報文，提取呼叫語音流的IP地址/UDP端口號信息，并施加已經(jīng)配置的流分類策略；f)可選支持按照ToS進(jìn)行流分類。采用模式二的虛擬企業(yè)網(wǎng)關(guān)在PBG側(cè)要有QoS控制，VBG可選支持QoS功能。6.5.2業(yè)務(wù)流限速功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持對業(yè)務(wù)進(jìn)行流量控制，包括每種上行業(yè)務(wù)流的CAR、LAN-WLAN的CAR。應(yīng)支持CAR規(guī)則的配置。6.5.3優(yōu)先級隊列調(diào)度功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持至少4個優(yōu)先級隊列，并能根據(jù)流分類的結(jié)果將業(yè)務(wù)流映射到不同的隊列，應(yīng)支持絕對優(yōu)先級隊列調(diào)度和WRR隊列調(diào)度方式，應(yīng)支持絕對優(yōu)先級和加權(quán)優(yōu)先級的混合調(diào)度。6.6安全功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持防止死亡Ping(PingofDeath)、同步序列編號泛洪(SYNFlood)等DoS攻擊，并建議虛擬企業(yè)網(wǎng)關(guān)能夠防止對自身代理的應(yīng)用協(xié)議(例如，DNS)進(jìn)行攻擊。虛擬企業(yè)網(wǎng)關(guān)應(yīng)能夠提供防端口掃描功能，支持防其他設(shè)備或者應(yīng)用的惡意端口掃描。非法組播源控制功能(可選)虛擬企業(yè)網(wǎng)關(guān)建議支持防止用戶做組播源的組播報文，禁止用戶端口發(fā)出的互聯(lián)網(wǎng)組管理協(xié)議請求(IGMPQuery)和組播數(shù)據(jù)報文。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持防火墻功能，支持對防火墻等級的設(shè)置，支持對防火墻規(guī)則的配置，并支持基9于以下規(guī)則對報文進(jìn)行過濾：——支持根據(jù)源MAC地址、目的MAC地址進(jìn)行報文過濾；——支持根據(jù)源IP地址及范圍段、目的IP地址及范圍段進(jìn)行報文過濾；——支持根據(jù)IP源端口及范圍段、目的端口及范圍段進(jìn)行報文過濾；——支持根據(jù)以太網(wǎng)包的傳輸層協(xié)議類型進(jìn)行報文過濾，要求有IP/PPPoE/ARP的選項；——支持根據(jù)IP包的傳輸層協(xié)議類型進(jìn)行報文過濾，要求有TCP/UDP/ICMP/TCP+UDP或其他任意類型協(xié)議的選項；——支持對匹配規(guī)則的報文進(jìn)行處理模式的選擇，對匹配規(guī)則的報文的處理模式，有允許和禁止2種，默認(rèn)為禁止模式。6.6.3報文抑制虛擬企業(yè)網(wǎng)關(guān)建議能夠?qū)μ囟▍f(xié)議的廣播/組播包(例如DHCP,ARP,IGMP等)進(jìn)行抑制，對其他廣播報文的速率限制參數(shù)可配置。6.7VPN組網(wǎng)功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持L2TPv2功能，支持在UDP上承載L2TP報文，符合IETFRFC2661;可選支持L2TPv3,符合IETFRFC3931。虛擬企業(yè)網(wǎng)關(guān)可選支持IETFRFC3193,即支持結(jié)合IPSec加密的L2TP隧道。虛擬企業(yè)網(wǎng)關(guān)支持IPSecVPN功能的相關(guān)要求：——應(yīng)支持多種工作方式：傳輸模式AH、隧道模式AH、傳輸模式ESP、隧道模式ESP; 應(yīng)支持站點到站點(SitetoSite)、遠(yuǎn)程訪問(RemoteAccess)等VPN組網(wǎng)形式：——應(yīng)支持預(yù)共享密鑰和X.509數(shù)字證書等認(rèn)證方式來進(jìn)行VPN認(rèn)證；——應(yīng)支持IKE;——應(yīng)支持3DES、AES128、AES192、AES256等符合國家密碼管理的有關(guān)規(guī)定的加密算法。支持多種哈希驗證算法；——應(yīng)支持基于固定IP地址建立IPSec隧道，支持通過域名建立IPSec隧道；——應(yīng)支持?jǐn)嗑€偵測(DPD)協(xié)議；——可支持不同VPN隧道和非VPN流量的優(yōu)先級處理；——應(yīng)支持互聯(lián)網(wǎng)流量轉(zhuǎn)發(fā)，提供“到Internet的VPN路由通道”可配置選項，客戶端通過IPSecVPN撥入后，不僅能夠訪問局域網(wǎng)資源，同時能夠訪問互聯(lián)網(wǎng)。IPSecVPN的組網(wǎng)業(yè)務(wù)流程參見A.3。6.8對實體網(wǎng)關(guān)的管理功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持作為代理對實體網(wǎng)關(guān)進(jìn)行相關(guān)配置和管理。7虛擬企業(yè)網(wǎng)關(guān)的管理和控制7.1虛擬企業(yè)網(wǎng)關(guān)管理控制架構(gòu)虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)支持平臺的管理和控制，包括虛擬企業(yè)網(wǎng)關(guān)部分和實體企業(yè)網(wǎng)關(guān)部分都應(yīng)支持，管理和控制的功能包括軟件系統(tǒng)和設(shè)備的管理配置、設(shè)備工作模式的控制、企業(yè)業(yè)務(wù)認(rèn)證鑒權(quán)等信息的配置管理，企業(yè)業(yè)務(wù)模式的控制等。虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)管理控制架構(gòu)見圖3。用戶PortalBSS/OSSNFVOANEMS管理平臺ANEMSVBG系統(tǒng)配置管理告警與診斷企業(yè)業(yè)務(wù)配置管理AN設(shè)備管理控制設(shè)備告警管理圖3虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)管理控制架構(gòu)如圖3所示，虛擬企業(yè)網(wǎng)關(guān)支持管理平臺和VNFM中的一種或多種管理，不同的管理模塊，可根據(jù)企業(yè)網(wǎng)關(guān)的部署情況、企業(yè)業(yè)務(wù)的實際需要分布在不同的平臺上。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持的管理平臺遠(yuǎn)程管理方式，包括萬維網(wǎng)(Web)登錄(基于HTTPS)方式，以及通過寬帶論壇(BroadbandForum)發(fā)布的TR069協(xié)議管理。虛擬網(wǎng)關(guān)管理門戶的功能參見附錄B。虛擬企業(yè)網(wǎng)關(guān)的初始化配置流程示意參見A.1。7.2系統(tǒng)配置管理虛擬企業(yè)網(wǎng)關(guān)接受來自管理平臺對其的系統(tǒng)性功能的配置管理及控制，包括網(wǎng)絡(luò)接口、DHCP服務(wù)器、防火墻等以及對網(wǎng)關(guān)工作模式的控制。系統(tǒng)配置管理的內(nèi)容包括：——網(wǎng)絡(luò)功能錯誤及告警管理；——網(wǎng)絡(luò)功能配置管理；——網(wǎng)絡(luò)節(jié)點拓?fù)涔芾?；——網(wǎng)絡(luò)安全的配置管理；——網(wǎng)絡(luò)功能相關(guān)的軟件管理；——操作系統(tǒng)相關(guān)軟件的配置管理。7.3告警與診斷虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)在運(yùn)行中，可能會產(chǎn)生錯誤或告警，告警和錯誤既可以來自虛擬網(wǎng)關(guān)，也可能來自實體企業(yè)網(wǎng)關(guān)部分，虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)接受管理平臺的配置管理與控制，同時虛擬企業(yè)網(wǎng)關(guān)將實體企業(yè)網(wǎng)關(guān)部分的配置管理參數(shù)通過管理控制接口下發(fā)給實體網(wǎng)關(guān)?？杀O(jiān)控組件包括網(wǎng)絡(luò)接口、CPU使用情況、內(nèi)存占用情況以及存儲的占用情況，管理平臺對監(jiān)控組件相關(guān)閾值進(jìn)行設(shè)置，當(dāng)監(jiān)控組件運(yùn)行中超過閾值，則產(chǎn)生告警或錯誤，告警和錯誤信息可實時也可累計向平臺發(fā)出，虛擬企業(yè)網(wǎng)關(guān)對告警信息和錯誤信息可進(jìn)行評估診斷，將診斷評估結(jié)果上報平臺。通過該功能可管理的內(nèi)容包括：——網(wǎng)絡(luò)接口的錯誤及告警管理；——設(shè)備運(yùn)行錯誤及告警管理；——設(shè)備運(yùn)行故障診斷；——網(wǎng)絡(luò)故障診斷。7.4企業(yè)業(yè)務(wù)配置管理虛擬企業(yè)網(wǎng)關(guān)的配置管理主要是業(yè)務(wù)參數(shù)的配置管理，例如IPSecVPN、L2TP隧道的各項技術(shù)參數(shù)，相關(guān)企業(yè)業(yè)務(wù)的認(rèn)證、鑒權(quán)等信息的配置管理。附錄A(資料性附錄)企業(yè)虛擬化網(wǎng)關(guān)相關(guān)業(yè)務(wù)流程示例A.1實體企業(yè)網(wǎng)關(guān)初始化配置流程PON上行實體網(wǎng)關(guān)初始化配置流程如下：a)實體網(wǎng)關(guān)正常上電，首先要進(jìn)行并通過上行PON口的OLT認(rèn)證；b)通過OLT認(rèn)證后，如果是首次上電，實體網(wǎng)關(guān)通過管理控制平臺進(jìn)行初始化配置，包括寬帶賬號，相關(guān)服務(wù)器設(shè)備地址等；c)如果不是首次上電，實體網(wǎng)關(guān)通過動態(tài)主機(jī)配置協(xié)議客戶端(DHCPclient)或以太網(wǎng)上傳送點到點協(xié)議客戶端(PPPoEclient),獲得IP地址(可選);d)實體網(wǎng)關(guān)創(chuàng)建LSL連接虛擬網(wǎng)關(guān)，如果LSL需要穿越NAT,實體網(wǎng)關(guān)利用獲得的IP地址創(chuàng)A.2寬帶業(yè)務(wù)流程A.2.1模式一下的虛擬網(wǎng)關(guān)寬帶業(yè)務(wù)流程如下：a)企業(yè)內(nèi)部實體網(wǎng)關(guān)側(cè)子網(wǎng)下的終端連接到實體網(wǎng)關(guān)的LAN端口或WLAN端口；b)企業(yè)實體網(wǎng)關(guān)側(cè)的終端發(fā)送DHCP請求，請求通過LSL發(fā)送到虛擬網(wǎng)關(guān)(VBG);c)VBG獲取DHCP請求后，給