(高清版)GBT 40420.6-2021 基于公用電信網(wǎng)的寬帶客戶(hù)網(wǎng)關(guān)虛擬化 第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求

基于公用電信網(wǎng)的寬帶客戶(hù)網(wǎng)關(guān)虛擬化第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求2022-02-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T40420.6—2021 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 25企業(yè)網(wǎng)關(guān)虛擬化的總體架構(gòu) 35.1企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu) 35.2企業(yè)虛擬網(wǎng)關(guān)功能參考模型 46虛擬企業(yè)網(wǎng)關(guān)功能要求 56.1虛擬企業(yè)網(wǎng)關(guān)總體要求 6.2接入功能 6.3傳送功能 66.4地址功能 76.5QoS功能 6.6安全功能 86.7VPN組網(wǎng)功能 6.8對(duì)實(shí)體網(wǎng)關(guān)的管理功能 97虛擬企業(yè)網(wǎng)關(guān)的管理和控制 97.1虛擬企業(yè)網(wǎng)關(guān)管理控制架構(gòu) 7.2系統(tǒng)配置管理 7.3告警與診斷 7.4企業(yè)業(yè)務(wù)配置管理 附錄A(資料性附錄)企業(yè)虛擬化網(wǎng)關(guān)相關(guān)業(yè)務(wù)流程示例 A.1實(shí)體企業(yè)網(wǎng)關(guān)初始化配置流程 A.2寬帶業(yè)務(wù)流程 A.3企業(yè)IPSecVPN組網(wǎng)業(yè)務(wù)流程 附錄B(資料性附錄)虛擬企業(yè)網(wǎng)關(guān)用戶(hù)管理門(mén)戶(hù) IGB/T40420《基于公用電信網(wǎng)的寬帶客戶(hù)網(wǎng)關(guān)虛擬化》已發(fā)布以下部分：——第1部分：總體要求；——第2部分：語(yǔ)音虛擬化技術(shù)要求；——第3部分：實(shí)體家庭網(wǎng)關(guān)技術(shù)要求；——第4部分：實(shí)體企業(yè)網(wǎng)關(guān)技術(shù)要求；——第5部分：虛擬家庭網(wǎng)關(guān)功能技術(shù)要求；——第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求；——第8部分：接口要求。本部分為GB/T40420的第6部分。本部分按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本部分由中華人民共和國(guó)工業(yè)和信息化部提出。本部分由全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC485)歸口。本部分起草單位：中國(guó)電信集團(tuán)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)信息通信研究院、中國(guó)移動(dòng)通信集團(tuán)有限公司、中興通訊股份有限公司、華為技術(shù)有限公司、烽火科技集團(tuán)有限公司、上海諾基亞貝爾股份有限公司。1基于公用電信網(wǎng)的寬帶客戶(hù)網(wǎng)關(guān)虛擬化第6部分：虛擬企業(yè)網(wǎng)關(guān)功能技術(shù)要求GB/T40420的本部分規(guī)定了公用電信網(wǎng)寬帶客戶(hù)網(wǎng)關(guān)虛擬化后虛擬企業(yè)網(wǎng)關(guān)的邏輯架構(gòu)和功能本部分適用于基于公用電信網(wǎng)的虛擬企業(yè)網(wǎng)關(guān)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T40420.1—2021基于公用電信網(wǎng)的寬帶客戶(hù)網(wǎng)關(guān)虛擬化第1部分：總體要求YD/T2372—2011支持IPv6的接入網(wǎng)總體技術(shù)要求IETFRFC2661二層隧道協(xié)議(LayerTwoTunnelingProtocol“L2TP”)IETFRFC2663IP網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)術(shù)語(yǔ)和注意事項(xiàng)[IPNetworkAddressTranslator(NAT)TerminologyandConsiderations]IETFRFC3022傳統(tǒng)IP網(wǎng)絡(luò)地址轉(zhuǎn)換[TraditionalIPNetworkAddressTranslator(TraditionalNAT)]網(wǎng)絡(luò)地址轉(zhuǎn)換的協(xié)議復(fù)雜性(ProtocolComplicationswiththeIPNetworkAddressTranslator)IETFRFC3193使用IPsec保護(hù)L2TP(SecuringL2TPusingIPsec)IETFRFC3489通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換器實(shí)現(xiàn)用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)的簡(jiǎn)單遍歷[STUN-SimpleTraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs)]IETFRFC3931二層隧道協(xié)議第三版[LayerTwoTunnelingProtocol-Version3(L2TPv3)]3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。實(shí)體網(wǎng)關(guān)physicalgateway在寬帶客戶(hù)網(wǎng)關(guān)虛擬化場(chǎng)景下部署在寬帶客戶(hù)側(cè)的網(wǎng)關(guān)設(shè)備。實(shí)體企業(yè)網(wǎng)關(guān)physicalbusinessgateway在寬帶客戶(hù)網(wǎng)關(guān)虛擬化場(chǎng)景下部署在寬帶企業(yè)客戶(hù)側(cè)的網(wǎng)關(guān)設(shè)備。2虛擬網(wǎng)關(guān)virtualgateway在寬帶客戶(hù)網(wǎng)關(guān)虛擬化場(chǎng)景下部署在網(wǎng)絡(luò)側(cè)網(wǎng)關(guān)功能集合。注：這些功能可能部署在一個(gè)網(wǎng)絡(luò)側(cè)設(shè)備上，也可能部署在多個(gè)網(wǎng)絡(luò)側(cè)設(shè)備上，這些功能和部署在用戶(hù)側(cè)的實(shí)體網(wǎng)關(guān)一起提供寬帶客戶(hù)網(wǎng)關(guān)的功能。虛擬企業(yè)網(wǎng)關(guān)virtualbusinessgateway在寬帶客戶(hù)網(wǎng)關(guān)虛擬化場(chǎng)景下部署在網(wǎng)絡(luò)側(cè)的企業(yè)網(wǎng)關(guān)功能集合。注：這些功能可能部署在一個(gè)網(wǎng)絡(luò)側(cè)設(shè)備上，也可能部署在多個(gè)網(wǎng)絡(luò)側(cè)設(shè)備上，這些功能和部署在客戶(hù)側(cè)的實(shí)體企業(yè)網(wǎng)關(guān)一起提供寬帶企業(yè)網(wǎng)關(guān)的功能。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AAA:認(rèn)證、授權(quán)和計(jì)費(fèi)(Authentication,Authorization,Accounting)AES:高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)AH:驗(yàn)證頭(AuthenticationHeader)ALG:應(yīng)用層網(wǎng)關(guān)(ApplicationLayerGateway)AN:接入網(wǎng)(AccessNetwork)BSS:業(yè)務(wù)支撐系統(tǒng)(BusinessSupportSystem)CAR:承諾訪問(wèn)速率(CommittedAccessRate)CPU:中央處理器(CentralProcessingUnit)DDNS:動(dòng)態(tài)域名服務(wù)(DynamicDomainNameServer)DDoS:分布式拒絕服務(wù)(DistributionDenialofService)DES:數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard)DHCP:動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol)DHCP-PD:動(dòng)態(tài)主機(jī)配置協(xié)議前綴委派(DynamicHostConfigurationProtocolPrefixDelegation)DNS:域名系統(tǒng)(DomainNameSystem)DoS:拒絕服務(wù)(DenialofService)DPD:斷線偵測(cè)(DeadPeerDetection)DSCP:差分服務(wù)代碼點(diǎn)(DifferentiatedServicesCodePoint)EMS:網(wǎng)元管理系統(tǒng)(ElementManagementSystem)ESP:封裝安全有效載荷(EncapsulatingSecutiyPayload)FTP:文件傳輸協(xié)議(FileTransferProtocol)GRE:通用路由封裝(GenericRoutingEncapsulation)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:超文本傳輸安全協(xié)議(HyperTextTransferProtocoloverSecureSocketLayer)ICMP:互聯(lián)網(wǎng)控制消息協(xié)議(InternetControlMessageProtocol)IGMP:互聯(lián)網(wǎng)組管理協(xié)議(InternetGroupManagementProtocol)IKE:互聯(lián)網(wǎng)密鑰交換(InternetKeyExchange)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)IPSec:互聯(lián)網(wǎng)協(xié)議安全性(InternetProtocolSecurity)3IPv4:互聯(lián)網(wǎng)協(xié)議第四版(InternetProtocolv4)IPv6:互聯(lián)網(wǎng)協(xié)議第六版(InternetProtocolv6)L2TP:第二層隧道協(xié)議(Layer2TunnelingProtocol)LAN:局域網(wǎng)(LocalAreaNetwork)MAC:媒體介入控制層(MediumAccessControl)NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)NAPT:網(wǎng)絡(luò)地址與端口轉(zhuǎn)換(NetworkAddressandPortTranslation)NFVO:網(wǎng)絡(luò)功能虛擬化編排器(NetworkFunctionVirtualizationOrchestration)OLT:光線路終端(OpticalLineTerminal)OSS:運(yùn)營(yíng)支撐系統(tǒng)(OperationSupportSystem)PBG:實(shí)體企業(yè)網(wǎng)關(guān)(PhysicalBusinessGateway)PON:無(wú)源光網(wǎng)絡(luò)(PassiveOpticalNetwork)PPP:點(diǎn)對(duì)點(diǎn)協(xié)議(PointtoPointProtocol)PPPoE:以太網(wǎng)上傳送點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocoloverEthernet)QoS:服務(wù)質(zhì)量(ServiceofQuality)RIP:路由信息協(xié)議(RoutingInformationProtocol)RIPng:下一代路由信息協(xié)議(RoutingInformationProtocolnextgeneration)RTSP:實(shí)時(shí)流協(xié)議(RealTimeStreamingProtocol)SIP:信令控制協(xié)議(SessionInitiationProtocol)SSID:服務(wù)集標(biāo)識(shí)(ServiceSetIdentifier)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)ToS:服務(wù)類(lèi)型(TypeofService)UDP:用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)VBG:虛擬企業(yè)網(wǎng)關(guān)(VirtualBusinessGateway)VID:VLAN標(biāo)識(shí)(VLANIdentifier)VLAN:虛擬局域網(wǎng)(VirtualLAN)VNFM:虛擬網(wǎng)絡(luò)功能管理器(VirtualNetworkFunctionManager)VPN:虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork)VXLAN:虛擬擴(kuò)展局域網(wǎng)(VirtualeXtendedLAN)WRR:加權(quán)循環(huán)調(diào)度(WeightedRoundRobin)WLAN:無(wú)線局域網(wǎng)(WirelessLocalAreaNetworks)5企業(yè)網(wǎng)關(guān)虛擬化的總體架構(gòu)5.1企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu)企業(yè)網(wǎng)關(guān)虛擬化的邏輯結(jié)構(gòu)如圖1所示。4網(wǎng)絡(luò)側(cè)用戶(hù)側(cè)網(wǎng)絡(luò)側(cè)VBG1PBG1VBGPBG1LSL2PBG2VBG3L.SI.3PBG3PBG3LSLxPBGxPBGx接口圖1企業(yè)網(wǎng)關(guān)虛擬化邏輯結(jié)構(gòu)如圖1所示，實(shí)體企業(yè)網(wǎng)關(guān)(PBG)位于企業(yè)用戶(hù)側(cè)，包含著所有依賴(lài)于硬件的功能，而虛擬企業(yè)網(wǎng)關(guān)(VBG)為分布式的虛擬存在，完成企業(yè)網(wǎng)關(guān)其他的邏輯功能。實(shí)體企業(yè)網(wǎng)關(guān)的邏輯用戶(hù)連接通過(guò)虛擬企業(yè)網(wǎng)關(guān)基礎(chǔ)設(shè)施的LSL接口與對(duì)應(yīng)的虛擬網(wǎng)關(guān)連接。圖中虛線部分表示虛擬網(wǎng)關(guān)與實(shí)體網(wǎng)關(guān)不一定是一一對(duì)應(yīng)關(guān)系，一個(gè)虛擬網(wǎng)關(guān)可以對(duì)應(yīng)多個(gè)實(shí)體網(wǎng)關(guān)，一個(gè)實(shí)體網(wǎng)關(guān)可以對(duì)應(yīng)多個(gè)虛擬網(wǎng)關(guān)。5.2企業(yè)虛擬網(wǎng)關(guān)功能參考模型企業(yè)虛擬網(wǎng)關(guān)系統(tǒng)的網(wǎng)絡(luò)功能是分布式部署的，虛擬企業(yè)網(wǎng)關(guān)(VBG)和實(shí)體企業(yè)網(wǎng)關(guān)(PBG)構(gòu)成了虛擬網(wǎng)關(guān)系統(tǒng)。企業(yè)虛擬網(wǎng)關(guān)的功能參考模型如圖2所示。VBGVBG管理與控制LPv4:IPy6傳送上行流量QoS下行流量QoSNAT/NAPTDHCP服務(wù)VPN組網(wǎng)IP地址管理安全管理增值服務(wù)路山控制DNS服務(wù)75L接口三AN接口PBG圖2企業(yè)虛擬網(wǎng)關(guān)的功能參考模型5企業(yè)虛擬網(wǎng)關(guān)的系統(tǒng)組件如下：——WAN接口功能；——邏輯用戶(hù)連接接口功能；——IPv4/IPv6傳送；——路由控制；——下行流量QoS;——IP地址管理/DHCP服務(wù)器；——管理與控制——網(wǎng)絡(luò)地址及端口轉(zhuǎn)換(NAPT);——DNS服務(wù)；——安全管理；——VPN組網(wǎng)；——增值服務(wù)。企業(yè)虛擬網(wǎng)關(guān)系統(tǒng)在用戶(hù)側(cè)的是實(shí)體企業(yè)網(wǎng)關(guān)(PBG),這部分的網(wǎng)絡(luò)功能是將數(shù)據(jù)流量轉(zhuǎn)發(fā)到虛擬網(wǎng)關(guān)，如圖2所示。6虛擬企業(yè)網(wǎng)關(guān)功能要求6.1虛擬企業(yè)網(wǎng)關(guān)總體要求虛擬企業(yè)網(wǎng)關(guān)的不同模式分類(lèi)應(yīng)符合GB/T40420.1—2021中7.2的規(guī)定，具體功能要求見(jiàn)表1。表1不同模式的虛擬網(wǎng)關(guān)功能要求功能模式一模式二接入功能邏輯連接功能支持支持上行WAN連接接入支持支持傳送功能橋接/路由支持支持支持支持組播功能支持支持路由功能支持支持地址功能DNS功能支持支持NAT/NAPT功能支持可選ALG支持支持支持支持支持支持業(yè)務(wù)流分類(lèi)和標(biāo)記支持可選業(yè)務(wù)流限速支持可選優(yōu)先級(jí)隊(duì)列調(diào)度支持可選6表1(續(xù))功能模式一模式二安全功能防DDoS攻擊支持支持防端口掃描支持支持防火墻支持支持非法組播源控制功能可選可選報(bào)文抑制支持支持VPN組網(wǎng)功能L2TPVPN功能支持支持IPSecVPN功能支持支持管理功能對(duì)實(shí)體網(wǎng)關(guān)的管理支持支持6.2接入功能6.2.1邏輯連接功能要求虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持與一個(gè)或多個(gè)實(shí)體網(wǎng)關(guān)建立邏輯用戶(hù)連接(LSL),至少支持以下模式中的一種接入模式：——單層VLAN模式；——雙層VLAN模式；虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持通過(guò)IP會(huì)話監(jiān)控所有的LSL的狀態(tài)，并支持報(bào)文周期、超時(shí)等時(shí)鐘的配置。虛擬企業(yè)網(wǎng)關(guān)應(yīng)能夠支持接入運(yùn)營(yíng)商的IP網(wǎng)絡(luò)。虛企業(yè)網(wǎng)關(guān)應(yīng)支持發(fā)起PPPoE/DHCP連接。虛擬企業(yè)網(wǎng)關(guān)可選支持動(dòng)態(tài)主機(jī)配置協(xié)議中繼(DHCPRelay)功能，能夠?qū)⒔K端的DHCP請(qǐng)求轉(zhuǎn)發(fā)給位于寬帶客戶(hù)網(wǎng)絡(luò)外部的DHCP服務(wù)器，并返回分配地址結(jié)果。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持至少16個(gè)WAN連接同時(shí)工作，應(yīng)支持至少8個(gè)路由WAN連接同時(shí)工作。當(dāng)虛擬企業(yè)網(wǎng)關(guān)建立了一條以上的WAN連接時(shí)，應(yīng)支持不同WAN連接之間的數(shù)據(jù)(包括DNS、ARP、管理應(yīng)用數(shù)據(jù)等)的完全隔離。寬帶業(yè)務(wù)流程參見(jiàn)附錄A中A.2。6.3傳送功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持工作在橋接、路由以及橋接/路由混合等模式。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持接收不帶標(biāo)簽(untagged)、優(yōu)先級(jí)標(biāo)簽(priority-tagged)或帶標(biāo)簽(tagged)報(bào)文。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持對(duì)上行untagged報(bào)文添加VID,對(duì)priority-tagged報(bào)文添加VID,支持丟棄7虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持將下行接收到的tagged報(bào)文去掉標(biāo)簽。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持互聯(lián)網(wǎng)組管理協(xié)議代理(IGMPproxy)和互聯(lián)網(wǎng)組管理協(xié)議嗅探(IGMPsnooping)功能，IGMP協(xié)議支持IGMPv2,可選支持IGMPv3。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持靜態(tài)路由配置，可選支持RIPv1/v2協(xié)議，可選支持下一代路由信息(RIPng)協(xié)議。6.4地址功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持在DHCP會(huì)話過(guò)程中將DNS服務(wù)器地址發(fā)送給客戶(hù)網(wǎng)絡(luò)內(nèi)部設(shè)備，DNS服務(wù)器的地址可以配置，并能對(duì)客戶(hù)網(wǎng)絡(luò)內(nèi)部設(shè)備的DNS請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)并將解析結(jié)果送回給客戶(hù)網(wǎng)絡(luò)內(nèi)部設(shè)備。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持DDNS功能。虛擬網(wǎng)關(guān)應(yīng)支持DNSv6。采用模式一的虛擬網(wǎng)關(guān)應(yīng)支持NAT/NAPT功能，符合IETFRFC2663、IETFRFC3022和IETFRFC3027的規(guī)定。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IETFRFC3489定義的coneNAT。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持配置端口前轉(zhuǎn)(PortForwarding),支持虛擬服務(wù)器(VirtualServer),用戶(hù)可選擇常見(jiàn)協(xié)議(如FTP、HTTP等)進(jìn)行虛擬服務(wù)器配置，網(wǎng)關(guān)應(yīng)至少同時(shí)支持8個(gè)虛擬服務(wù)器的配置。采用模式二的虛擬企業(yè)網(wǎng)關(guān)此功能可選。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持ALG功能，支持SIP、FTP、RTSP、L2TP、H.323的私網(wǎng)穿越功能，可選支持IPSec協(xié)議，每種協(xié)議應(yīng)提供單獨(dú)的開(kāi)關(guān)功能。虛擬企業(yè)網(wǎng)關(guān)的WAN側(cè)應(yīng)支持靜態(tài)配置IP地址、DHCP和PPPoE三種方式獲取IP地址信息。虛擬企業(yè)網(wǎng)關(guān)WAN側(cè)接口應(yīng)支持動(dòng)態(tài)主機(jī)配置協(xié)議客戶(hù)端(DHCPClient)功能，能夠獲取IP地虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器(DHCPServer)功能，為用戶(hù)側(cè)設(shè)備分配IP地址，IP地址池可配置。網(wǎng)關(guān)的DHCPServer應(yīng)支持針對(duì)不同企業(yè)用戶(hù)的終端分配同一個(gè)地址池的不同地址段，或?yàn)槊恳粋€(gè)企業(yè)分配一個(gè)單獨(dú)的地址池。網(wǎng)關(guān)的DHCPServer應(yīng)支持查看地址池中已分配的地虛擬企業(yè)網(wǎng)關(guān)的DHCPserver應(yīng)支持根據(jù)用戶(hù)側(cè)設(shè)備上報(bào)的DHCP60選項(xiàng)(Option60)標(biāo)識(shí)，為不同類(lèi)型的設(shè)備從同一網(wǎng)段不同的IP地址區(qū)間中分配IP地址，不同設(shè)備IP地址池可配置。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IPv6協(xié)議族，包括支持SLAAC、DHCP-PD和PPP承載IPv6時(shí)的各種地址8獲取方式；支持對(duì)實(shí)體網(wǎng)關(guān)LAN側(cè)設(shè)備的IPv6地址的分配。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持IPv4/IPv6雙協(xié)議棧，支持同時(shí)獲取IPv4以及IPv6地址的能力。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持的IPv6具體功能要求見(jiàn)YD/T2372—2011。6.5.1業(yè)務(wù)流分類(lèi)和標(biāo)記功能采用模式一的虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持外部網(wǎng)絡(luò)要求的QoS機(jī)制，虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持以下流分類(lèi)技術(shù)：a)支持按源IP(包括網(wǎng)段和范圍)、目的IP(包括網(wǎng)段和范圍)、源端口、目的端口、物理接口(包括SSID)進(jìn)行流分類(lèi)；b)支持按源MAC地址、目的MAC地址、虛擬局域網(wǎng)標(biāo)識(shí)(VLANID)、802.1D進(jìn)行流分類(lèi)；c)支持按DSCP進(jìn)行流分類(lèi)；d)支持按協(xié)議類(lèi)型(TCP/UDP/ICMP)進(jìn)行流分類(lèi)；e)可選支持通過(guò)識(shí)別業(yè)務(wù)報(bào)文，對(duì)動(dòng)態(tài)業(yè)務(wù)進(jìn)行流分類(lèi)，例如通過(guò)識(shí)別SIP報(bào)文，提取呼叫語(yǔ)音流的IP地址/UDP端口號(hào)信息，并施加已經(jīng)配置的流分類(lèi)策略；f)可選支持按照ToS進(jìn)行流分類(lèi)。采用模式二的虛擬企業(yè)網(wǎng)關(guān)在PBG側(cè)要有QoS控制，VBG可選支持QoS功能。6.5.2業(yè)務(wù)流限速功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持對(duì)業(yè)務(wù)進(jìn)行流量控制，包括每種上行業(yè)務(wù)流的CAR、LAN-WLAN的CAR。應(yīng)支持CAR規(guī)則的配置。6.5.3優(yōu)先級(jí)隊(duì)列調(diào)度功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持至少4個(gè)優(yōu)先級(jí)隊(duì)列，并能根據(jù)流分類(lèi)的結(jié)果將業(yè)務(wù)流映射到不同的隊(duì)列，應(yīng)支持絕對(duì)優(yōu)先級(jí)隊(duì)列調(diào)度和WRR隊(duì)列調(diào)度方式，應(yīng)支持絕對(duì)優(yōu)先級(jí)和加權(quán)優(yōu)先級(jí)的混合調(diào)度。6.6安全功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持防止死亡Ping(PingofDeath)、同步序列編號(hào)泛洪(SYNFlood)等DoS攻擊，并建議虛擬企業(yè)網(wǎng)關(guān)能夠防止對(duì)自身代理的應(yīng)用協(xié)議(例如，DNS)進(jìn)行攻擊。虛擬企業(yè)網(wǎng)關(guān)應(yīng)能夠提供防端口掃描功能，支持防其他設(shè)備或者應(yīng)用的惡意端口掃描。非法組播源控制功能(可選)虛擬企業(yè)網(wǎng)關(guān)建議支持防止用戶(hù)做組播源的組播報(bào)文，禁止用戶(hù)端口發(fā)出的互聯(lián)網(wǎng)組管理協(xié)議請(qǐng)求(IGMPQuery)和組播數(shù)據(jù)報(bào)文。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持防火墻功能，支持對(duì)防火墻等級(jí)的設(shè)置，支持對(duì)防火墻規(guī)則的配置，并支持基9于以下規(guī)則對(duì)報(bào)文進(jìn)行過(guò)濾：——支持根據(jù)源MAC地址、目的MAC地址進(jìn)行報(bào)文過(guò)濾；——支持根據(jù)源IP地址及范圍段、目的IP地址及范圍段進(jìn)行報(bào)文過(guò)濾；——支持根據(jù)IP源端口及范圍段、目的端口及范圍段進(jìn)行報(bào)文過(guò)濾；——支持根據(jù)以太網(wǎng)包的傳輸層協(xié)議類(lèi)型進(jìn)行報(bào)文過(guò)濾，要求有IP/PPPoE/ARP的選項(xiàng)；——支持根據(jù)IP包的傳輸層協(xié)議類(lèi)型進(jìn)行報(bào)文過(guò)濾，要求有TCP/UDP/ICMP/TCP+UDP或其他任意類(lèi)型協(xié)議的選項(xiàng)；——支持對(duì)匹配規(guī)則的報(bào)文進(jìn)行處理模式的選擇，對(duì)匹配規(guī)則的報(bào)文的處理模式，有允許和禁止2種，默認(rèn)為禁止模式。6.6.3報(bào)文抑制虛擬企業(yè)網(wǎng)關(guān)建議能夠?qū)μ囟▍f(xié)議的廣播/組播包(例如DHCP,ARP,IGMP等)進(jìn)行抑制，對(duì)其他廣播報(bào)文的速率限制參數(shù)可配置。6.7VPN組網(wǎng)功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持L2TPv2功能，支持在UDP上承載L2TP報(bào)文，符合IETFRFC2661;可選支持L2TPv3,符合IETFRFC3931。虛擬企業(yè)網(wǎng)關(guān)可選支持IETFRFC3193,即支持結(jié)合IPSec加密的L2TP隧道。虛擬企業(yè)網(wǎng)關(guān)支持IPSecVPN功能的相關(guān)要求：——應(yīng)支持多種工作方式：傳輸模式AH、隧道模式AH、傳輸模式ESP、隧道模式ESP; 應(yīng)支持站點(diǎn)到站點(diǎn)(SitetoSite)、遠(yuǎn)程訪問(wèn)(RemoteAccess)等VPN組網(wǎng)形式：——應(yīng)支持預(yù)共享密鑰和X.509數(shù)字證書(shū)等認(rèn)證方式來(lái)進(jìn)行VPN認(rèn)證；——應(yīng)支持IKE;——應(yīng)支持3DES、AES128、AES192、AES256等符合國(guó)家密碼管理的有關(guān)規(guī)定的加密算法。支持多種哈希驗(yàn)證算法；——應(yīng)支持基于固定IP地址建立IPSec隧道，支持通過(guò)域名建立IPSec隧道；——應(yīng)支持?jǐn)嗑€偵測(cè)(DPD)協(xié)議；——可支持不同VPN隧道和非VPN流量的優(yōu)先級(jí)處理；——應(yīng)支持互聯(lián)網(wǎng)流量轉(zhuǎn)發(fā)，提供“到Internet的VPN路由通道”可配置選項(xiàng)，客戶(hù)端通過(guò)IPSecVPN撥入后，不僅能夠訪問(wèn)局域網(wǎng)資源，同時(shí)能夠訪問(wèn)互聯(lián)網(wǎng)。IPSecVPN的組網(wǎng)業(yè)務(wù)流程參見(jiàn)A.3。6.8對(duì)實(shí)體網(wǎng)關(guān)的管理功能虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持作為代理對(duì)實(shí)體網(wǎng)關(guān)進(jìn)行相關(guān)配置和管理。7虛擬企業(yè)網(wǎng)關(guān)的管理和控制7.1虛擬企業(yè)網(wǎng)關(guān)管理控制架構(gòu)虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)支持平臺(tái)的管理和控制，包括虛擬企業(yè)網(wǎng)關(guān)部分和實(shí)體企業(yè)網(wǎng)關(guān)部分都應(yīng)支持，管理和控制的功能包括軟件系統(tǒng)和設(shè)備的管理配置、設(shè)備工作模式的控制、企業(yè)業(yè)務(wù)認(rèn)證鑒權(quán)等信息的配置管理，企業(yè)業(yè)務(wù)模式的控制等。虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)管理控制架構(gòu)見(jiàn)圖3。用戶(hù)PortalBSS/OSSNFVOANEMS管理平臺(tái)ANEMSVBG系統(tǒng)配置管理告警與診斷企業(yè)業(yè)務(wù)配置管理AN設(shè)備管理控制設(shè)備告警管理圖3虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)管理控制架構(gòu)如圖3所示，虛擬企業(yè)網(wǎng)關(guān)支持管理平臺(tái)和VNFM中的一種或多種管理，不同的管理模塊，可根據(jù)企業(yè)網(wǎng)關(guān)的部署情況、企業(yè)業(yè)務(wù)的實(shí)際需要分布在不同的平臺(tái)上。虛擬企業(yè)網(wǎng)關(guān)應(yīng)支持的管理平臺(tái)遠(yuǎn)程管理方式，包括萬(wàn)維網(wǎng)(Web)登錄(基于HTTPS)方式，以及通過(guò)寬帶論壇(BroadbandForum)發(fā)布的TR069協(xié)議管理。虛擬網(wǎng)關(guān)管理門(mén)戶(hù)的功能參見(jiàn)附錄B。虛擬企業(yè)網(wǎng)關(guān)的初始化配置流程示意參見(jiàn)A.1。7.2系統(tǒng)配置管理虛擬企業(yè)網(wǎng)關(guān)接受來(lái)自管理平臺(tái)對(duì)其的系統(tǒng)性功能的配置管理及控制，包括網(wǎng)絡(luò)接口、DHCP服務(wù)器、防火墻等以及對(duì)網(wǎng)關(guān)工作模式的控制。系統(tǒng)配置管理的內(nèi)容包括：——網(wǎng)絡(luò)功能錯(cuò)誤及告警管理；——網(wǎng)絡(luò)功能配置管理；——網(wǎng)絡(luò)節(jié)點(diǎn)拓?fù)涔芾?；——網(wǎng)絡(luò)安全的配置管理；——網(wǎng)絡(luò)功能相關(guān)的軟件管理；——操作系統(tǒng)相關(guān)軟件的配置管理。7.3告警與診斷虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)在運(yùn)行中，可能會(huì)產(chǎn)生錯(cuò)誤或告警，告警和錯(cuò)誤既可以來(lái)自虛擬網(wǎng)關(guān)，也可能來(lái)自實(shí)體企業(yè)網(wǎng)關(guān)部分，虛擬企業(yè)網(wǎng)關(guān)系統(tǒng)接受管理平臺(tái)的配置管理與控制，同時(shí)虛擬企業(yè)網(wǎng)關(guān)將實(shí)體企業(yè)網(wǎng)關(guān)部分的配置管理參數(shù)通過(guò)管理控制接口下發(fā)給實(shí)體網(wǎng)關(guān)?？杀O(jiān)控組件包括網(wǎng)絡(luò)接口、CPU使用情況、內(nèi)存占用情況以及存儲(chǔ)的占用情況，管理平臺(tái)對(duì)監(jiān)控組件相關(guān)閾值進(jìn)行設(shè)置，當(dāng)監(jiān)控組件運(yùn)行中超過(guò)閾值，則產(chǎn)生告警或錯(cuò)誤，告警和錯(cuò)誤信息可實(shí)時(shí)也可累計(jì)向平臺(tái)發(fā)出，虛擬企業(yè)網(wǎng)關(guān)對(duì)告警信息和錯(cuò)誤信息可進(jìn)行評(píng)估診斷，將診斷評(píng)估結(jié)果上報(bào)平臺(tái)。通過(guò)該功能可管理的內(nèi)容包括：——網(wǎng)絡(luò)接口的錯(cuò)誤及告警管理；——設(shè)備運(yùn)行錯(cuò)誤及告警管理；——設(shè)備運(yùn)行故障診斷；——網(wǎng)絡(luò)故障診斷。7.4企業(yè)業(yè)務(wù)配置管理虛擬企業(yè)網(wǎng)關(guān)的配置管理主要是業(yè)務(wù)參數(shù)的配置管理，例如IPSecVPN、L2TP隧道的各項(xiàng)技術(shù)參數(shù)，相關(guān)企業(yè)業(yè)務(wù)的認(rèn)證、鑒權(quán)等信息的配置管理。附錄A(資料性附錄)企業(yè)虛擬化網(wǎng)關(guān)相關(guān)業(yè)務(wù)流程示例A.1實(shí)體企業(yè)網(wǎng)關(guān)初始化配置流程PON上行實(shí)體網(wǎng)關(guān)初始化配置流程如下：a)實(shí)體網(wǎng)關(guān)正常上電，首先要進(jìn)行并通過(guò)上行PON口的OLT認(rèn)證；b)通過(guò)OLT認(rèn)證后，如果是首次上電，實(shí)體網(wǎng)關(guān)通過(guò)管理控制平臺(tái)進(jìn)行初始化配置，包括寬帶賬號(hào)，相關(guān)服務(wù)器設(shè)備地址等；c)如果不是首次上電，實(shí)體網(wǎng)關(guān)通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議客戶(hù)端(DHCPclient)或以太網(wǎng)上傳送點(diǎn)到點(diǎn)協(xié)議客戶(hù)端(PPPoEclient),獲得IP地址(可選);d)實(shí)體網(wǎng)關(guān)創(chuàng)建LSL連接虛擬網(wǎng)關(guān)，如果LSL需要穿越NAT,實(shí)體網(wǎng)關(guān)利用獲得的IP地址創(chuàng)A.2寬帶業(yè)務(wù)流程A.2.1模式一下的虛擬網(wǎng)關(guān)寬帶業(yè)務(wù)流程如下：a)企業(yè)內(nèi)部實(shí)體網(wǎng)關(guān)側(cè)子網(wǎng)下的終端連接到實(shí)體網(wǎng)關(guān)的LAN端口或WLAN端口；b)企業(yè)實(shí)體網(wǎng)關(guān)側(cè)的終端發(fā)送DHCP請(qǐng)求，請(qǐng)求通過(guò)LSL發(fā)送到虛擬網(wǎng)關(guān)(VBG);c)VBG獲取DHCP請(qǐng)求后，給