标准规范下载简介
GB/T 40420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分:虚拟企业网关功能技术要求.pdf简介:
GB/T 40420.6-2021是中国国家标准,全称为“基于公用电信网的宽带客户网关虚拟化 第6部分:虚拟企业网关功能技术要求”。这个标准主要关注的是在公用电信网络支持下,宽带客户网关的虚拟化技术,特别是针对虚拟企业网关的功能和技术要求。
虚拟企业网关(Virtual Enterprise Gateway,简称VEG)是一种通过虚拟化技术实现的网络设备,它可以提供企业级别的网络服务,如安全访问控制、网络策略管理、流量优化等,但不依赖于物理硬件。该标准详细规定了虚拟企业网关在功能设计、性能、安全、管理等方面的具体技术指标,旨在推动宽带客户网关的虚拟化发展,提升网络服务的灵活性、可扩展性和效率。
具体的技术要求可能包括但不限于:
1. 网络连接能力:支持多协议、多接口的连接,能够适应不同类型的网络环境。
2. 安全性:提供强大的加密和身份验证机制,保障数据传输的安全。
3. 管理功能:支持远程管理和自动化配置,简化网络运维。
4. 灵活性和可扩展性:支持动态资源分配和扩展,以应对业务变化。
5. 性能:满足高并发、低延迟的网络需求。
6. 可靠性:具有故障转移和冗余备份机制,保证服务的连续性。
7. 易用性:用户界面友好,操作简单易懂。
这个标准对于企业网络架构的云化转型具有重要的指导意义。
GB/T 40420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分:虚拟企业网关功能技术要求.pdf部分内容预览:
下列术语和定义适用于本文件。 3.1 实体网关physicalgateway 在宽带客户网关虚拟化场景下部署在宽带客户侧的网关设备。 3.2 实体企业网关 physical business gateway 在宽带客户网关虚拟化场景下部署在宽带企业客户侧的网关设备
虚拟网关virtualgateway 在宽带客户网关虚拟化场景下部署在网络侧网关功能集合。 注:这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在用户侧的实体网 关一起提供宽带客户网关的功能。 3.4 虚拟企业网关 virtual business gateway 在宽带客户网关虚拟化场景下部署在网络侧的企业网关功能集合。 注:这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在客户侧的实体企 业网关一起提供宽带企业网关的功能。
SB/T 10628-2011 建筑用加压处理防腐木材GB/T40420.62021
5企业网关虚拟化的总体架构
5.1企业网关虚拟化的逻辑结构
企业网关虚拟化的逻辑结构如图1所示
图1企业网关虚拟化逻辑结构
如图1所示,实体企业网关(PBG)位于企业用户侧,包含着所有依赖于硬件的功能,而虚拟企业 VBG)为分布式的虚拟存在,完成企业网关其他的逻辑功能。实体企业网关的逻辑用户连接通过 业网关基础设施的LSL接口与对应的虚拟网关连接。图中虚线部分表示虚拟网关与实体网关 是一一对应关系,一个虚拟网关可以对应多个实体网关,一个实体网关可以对应多个虚拟网关。
5.2企业虚拟网关功能参考
图2企业虚拟网关的功能参考
企业虚拟网关的系统组件如下: WAN接口功能; 逻辑用户连接接口功能; IPv4/IPv6传送; 路由控制; 上行流量QoS; 下行流量QoS; IP地址管理/DHCP服务器; 管理与控制 网络地址及端口转换(NAPT); DNS服务; 安全管理; VPN组网; 增值服务。 企业虚拟网关系统在用户侧的是实体企业网关(PBG),这部分的网络功能是将数据流量转发到虚 网关,如图2所示
6虚拟企业网关功能要求
虚拟企业网关的不同模式分类应符合GB/T40420.1一2021中7.2的规定,具体功能要求见表
表1不同模式的虚拟网关功能要求
GB/T 40420.6—2021
6.2.1逻辑连接功能要求
虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连接(LSL),至少支持以下模式中的 种接人模式: 单层VLAN模式; 双层VLAN模式; 隧道模式,如GRE、L2TPVPN、IPSecVPN、VXLAN等 虚拟企业网关应支持通过IP会话监控所有的LSL的状态,并支持报文周期、超时等时
6.2.2上行WAN连接接
虚拟企业网关应能够支持接人运营商的IP网络 虚企业网关应支持发起PPPoE/DHCP连接。 虚拟企业网关可选支持动态主机配置协议中继(DHCPRelay)功能,能够将终端的DHCP请求转 发给位于宽带客户网络外部的DHCP服务器,并返回分配地址结果。 虚拟企业网关应支持至少16个WAN连接同时工作,应支持至少8个路由WAN连接同时工作 当虚拟企业网关建立了一条以上的WAN连接时,应支持不同WAN连接之间的数据(包括DNS ARP、管理应用数据等)的完全隔离。 宽带业务流程参见附录A中A.2
6.3.2VLAN功能
虚拟企业网关应支持将下行接收到的tagged报文去掉标签
GB/T40420.62021
虚拟企业网关应支持互联网组 1管理协议代理(IGMPproxy)和互联网组管理协议嗅探(IGMP v2,可选支持IGMPv3,
虚拟企业网关应支持静态路由配置,可选支持RIPv1/v2协议,可选支持下一代路由信息(RIF 议。
6.4.1DNS 功能
虚拟企业网关应支持在DHCP 务器地址发送给客户网络内部设备,DNS服 务器的地址可以配置,并能对客户网络内部设备的DNS请求进行转发并将解析结果送回给客户网络内 部设备。 虚拟企业网关应支持DDNS功能 虚拟网关应支持DNSv6
采用模式一的虚拟网关应支持NAT/NAPT功能,符合IETFRFC2663、IETFRFC3022和IETF RFC3027的规定。 虚拟企业网关应支持IETFRFC3489定义的coneNAT。 虚拟企业网关应支持配置端口前转(PortForwarding),支持虚拟服务器(VirtualServer),用户可 选择常见协议(如FTP、HTTP等)进行虚拟服务器配置,网关应至少同时支持8个虚拟服务器的配置 采用模式二的虚拟企业网关此功能可选
6.4.3ALG 功能
6.4.4 DHCP功能
6.4.4DHCP功能
虚拟企业网关的WAN侧应支持静态配置IP地址、DHCP和PPPoE三种方式获取IP地址信息。 虚拟企业网关WAN侧接口应支持动态主机配置协议客户端(DHCPClient)功能,能够获取IP地 址信息,包括IP地址、DNS服务器地址、IP网关地址等。 虚拟企业网关应支持动态主机配置协议服务器(DHCPServer)功能,为用户侧设备分配IP地址, IP地址池可配置。网关的DHCPServer应支持针对不同企业用户的终端分配同一个地址池的不同地 址段,或为每一个企业分配一个单独的地址池。网关的DHCPServer应支持查看地址池中已分配的地 址情况,包括客户端名称、MAC地址、IP地址、剩余租借期等。 虚拟企业网关的DHCPserver应支持根据用户侧设备上报的DHCP60选项(Option60)标识,为 不同类型的设备从同一网段不同的IP地址区间中分配IP地址,不同设备IP地址池可配置
6.4.5IPv6功能
GB/T 40420.6—2021
获取方式;支持对实体网关LAN侧设备的IPv6地址的分配。 虚拟企业网关应支持IPv4/IPv6双协议栈,支持同时获取IPv4以及IPv6地址的能力。 虚拟企业网关应支持的IPv6具体功能要求见YD/T2372一2011
6.5.1业务流分类和标记功能
采用模式一的虚拟企业网关应支持外部网络要求的QoS机制,虚拟企业网关应支持以下流分类 技术: a 支持按源IP(包括网段和范围)、目的IP(包括网段和范围)、源端口、目的端口、物理接口(包括 SSID)进行流分类; 支持按源MAC地址、目的MAC地址、虚拟局域网标识(VLANID)、802.1D进行流分类: c)支持按DSCP进行流分类; d) 支持按协议类型(TCP/UDP/ICMP)进行流分类; e 可选支持通过识别业务报文,对动态业务进行流分类,例如通过识别SIP报文,提取呼叫语音 流的IP地址/UDP端口号信息,并施加已经配置的流分类策略; 可选支持按照ToS进行流分类, 采用模式二的虚拟企业网关在PBG侧要有QoS控制,VBG可选支持QoS功能
6.5.2业务流限速功能
6.5.3优先级队列调度功能
虚拟企业网关应支持至少4个优先级队列,并能根据流分类的结果将业务流映射到不同的队列, 绝对优先级队列调度和WRR队列调度方式,应支持绝对优先级和加权优先级的混合调度。
6.6.1.1防DoS攻击能力
虚拟企业网关应支持防止死亡Ping(PingofDeath)、同步序列编号泛洪(SYNFlood)等DoS攻击 议虚拟企业网关能够防止对自身代理的应用协议(例如,DNS)进行攻击
6.6.1.2防端口扫描能力
虚拟企业网关应能够提供防端口扫描功能 他设备或者应用的恶意端口扫描,
虚拟企业网关建议支持防止用户做组播源的组播报文,禁止用户端口发出的互联网组管理协议请 求(IGMPQuery)和组播数据报文
虚拟企业网关应支持防火墙功能,支持对防火墙等级的设置,支持对防火墙规则的配置,并支持基
GB/T40420.62021
于以下规则对报文进行过滤: 支持根据源MAC地址、目的MAC地址进行报文过滤; 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 支持根据IP源端口及范围段、目的端口及范围段进行报文过滤; 一 支持根据以太网包的传输层协议类型进行报文过滤,要求有IP/PPPoE/ARP的选项; 支持根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP十UDP或其 也任意类型协议的选项; 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止2 种,默认为禁止模式
于以下规则对报文进行过滤: 支持根据源MAC地址、目的MAC地址进行报文过滤; 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 支持根据IP源端口及范围段、目的端口及范围段进行报文过滤; 一 支持根据以太网包的传输层协议类型进行报文过滤,要求有IP/PPPoE/ARP的选项; 支持根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP十UDP或其 他任意类型协议的选项; 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止2 种,默认为禁止模式
虚拟企业网关建议能够对特定协议的广播/组播包(例如DHCP,ARP,IGMP等)进行抑制,对其 播报文的速率限制参数可配置
6.7.1 L2TP VPN 功能
虚拟企业网关应支持L2TPv2功能,支持在UDP上承载L2TP报文,符合IETFRFC2661;可选支 持L2TPv3,符合IETFRFC3931。 虚拟企业网关可选支持IETFRFC3193,即支持结合IPSec加密的L2TP隧道
6.7.2IPSecVPN功能
GB/T 39417-2020 大型游乐设施健康管理.pdf6.8对实体网关的管理功能
7虚拟企业网关的管理和控制
虚拟企业网关管理控制架
关应支持作为代理对实体网关进行相关配置和管
GB/50348-2018标准下载GB/T 40420.62021
管理和控制的功能包括软件系统和设 作模式的控制、企业业务认证鉴权等信息的 配置管理,企业业务模式的控制等 架构见图3
图3虚拟企业网关系统管理控制架构