中国电信——家庭网关产品介绍

1、家庭网关产品介绍家庭网关产品介绍 中国电信上海研究院 - 2 - 提纲提纲 1. 家庭网关产品基本介绍 2. 基本功能介绍 3. 安全性介绍 4. 管理和维护 - 3 - 家庭网关产品定义家庭网关产品定义 家庭网关是设置在用户家庭中的终端，是连接电信网络家庭网关是设置在用户家庭中的终端，是连接电信网络 与用户家庭网络的设备，实现电信网络与家庭网络的资与用户家庭网络的设备，实现电信网络与家庭网络的资 源整合与业务融合源整合与业务融合 n从运营商角度 l家庭网关是电信网络在用 户家庭、小企业中的延伸， 是实现网络设备能力边缘 化与业务控制边缘化的有 效途径 l能够有效黏着用户，推广、 管理、控制业

2、务 n从用户角度 l是家庭、小企业中的一个 设备，是内部网络的核心 l是内部网络与电信网络连 接的桥梁 l是有质量保证的电信业务 通道 - 4 - 家庭网关在网络中的位置家庭网关在网络中的位置 综合终端管理系统（itms）是家庭网关业务的部署和控制平台，也是家庭 网关设备的远程管理平台。通过它既可以对家庭网关上的语音业务、qos适配等 功能进行部署，并与家庭网关交互实现对家庭网关承载业务的控制；又可以实现 对家庭网关的远程状态查询、故障管理、设备配置和软件升级。 家庭网络内部各种终端通过家庭网关的用户侧接口与家庭网关进行通信，家 庭网关对经过其的数据和应用进行转发、控制和管理，并通过网络侧接口

3、与业务 平台和itms进行交互，实现家庭网络和外部网络的通信，提供各种可管理、可 控制的应用。 - 5 - 家庭网关的逻辑接口定义家庭网关的逻辑接口定义 s接口：家庭网关与业务平 台之间的接口，传递业务数 据流和控制流。 gm接口：家庭网关与综合 终端管理系统（imts）之间 的接口，imts通过该接口可 以对家庭网关设备进行配置、 状态查询、软件升级和故障 管理，可以实现对家庭网关 承载业务的部署和控制。 网络侧接口网络侧接口 d接口：家庭网关和机顶盒等终 端之间的接口，传递设备管理 信息和数据流，通过家庭网关 实现对家庭终端的统一管理； 该接口具有交互性高，带宽需 求高，较高的qos、通信

4、频繁 等特性。 t接口：家庭网关和语音终端之 间的接口，传递注册和注销等 控制信息和媒体流；该接口具 有通信带宽固定，实时性要求 高等特性。 c接口：家庭网关和控制网关之 间的接口，传递注册、注销、 配置、上报等信息；该接口具 有低带宽，高可靠性，访问频 率低等特性。 用户侧接口用户侧接口 - 6 - 提纲提纲 1. 家庭网关产品基本介绍 2. 基本功能介绍 3. 安全性介绍 4. 管理和维护 - 7 - 网络协议及数据转发功能网络协议及数据转发功能 在网络侧，家庭网关与网络设备配合完成： 在用户侧，家庭网关设备能够支持家庭网络运行： n 用户接入 n 接受公网地址分配 n 用户信息认证等 n

5、 家庭网络内地址分配 n 家庭网络地址解析 - 8 - 设备发现功能设备发现功能 设备发现的用途：设备发现的用途： n 为特定设备配置特定私网ip地址 n 为特定设备配置相关参数：如qos参数、port forwarding等 设备发现的方式设备发现的方式： 支持通过dhcp报文扩展字段来实现 - 9 - 设备发现流程设备发现流程 家庭网关家庭网关 家庭终端家庭终端 1 dhcp discover (device dhcp discover (device identity)identity) 2 dhcp offer dhcp offer （gateway gateway identityi

6、dentity） 3 dhcp request dhcp request （device identitydevice identity） 5 dhcp ackdhcp ack （gateway identitygateway identity） 4 add device record add device record to to manageabledevicemanageabledevice tabletable device identity和和 gateway identity 通过通过dhcp option 扩展字段携带扩展字段携带 - 10 - 业务发现和控制功能业务发现和控制功

7、能 家庭网关支持用户使用业务的实时发现 发现的方式支持两种：发现的方式支持两种： 基于设备的业务发现：当有用户设备接入家庭网关时，家庭网关可基于设备的业务发现：当有用户设备接入家庭网关时，家庭网关可 以根据设备发现的结果进而发现设备的业务能力。以根据设备发现的结果进而发现设备的业务能力。 基于数据流的业务发现：家庭网关支持根据源基于数据流的业务发现：家庭网关支持根据源/目的目的ip、源、源/目的目的 mac、源、源/目的端口号、入目的端口号、入/出物理端口、应用协议等信息，对用户数出物理端口、应用协议等信息，对用户数 据流进行分类，根据数据流分类的结果，对用户业务进行发现。据流进行分类，根据数

8、据流分类的结果，对用户业务进行发现。 家庭网关具备业务控制功能 n 家庭网关能够将业务发现的信息上传到家庭网关业务管理平台。家庭网关能够将业务发现的信息上传到家庭网关业务管理平台。 n 家庭网关能够维护控制策略，实现对家庭网关上承载业务的控制功能。家庭网关能够维护控制策略，实现对家庭网关上承载业务的控制功能。 n 家庭网关能够根据平台下发指令，对业务控制策略进行修改、增加和家庭网关能够根据平台下发指令，对业务控制策略进行修改、增加和 删除。删除。 - 11 - qos适配功能适配功能 根据不同业务特性在接入网内实施针对业务类型的 业务分流 ，不同业务类型实施不同的qos： 序序 号号 业务性业

9、务性 质质 业务描业务描 述述 dscp802.1p与骨干网与骨干网 的衔接的衔接 队列类型队列类型 1关键业务voip111000111对应城域 网b平面 和cn2 low latency queue 2金牌业务iptv 家庭监控 111000110对应城域 网b平面 和cn2 weight fair queue 3普通业务上网000000000对应城域 网a平面 和 chinanet best effort queue - 12 - voip voip：通过家庭网关集成iad功能，提供有服务质量保证、不改变电有服务质量保证、不改变电 话使用方式话使用方式的voip宽带电话，给用户提供集成电

10、话、宽带等应用的 套餐，降低语音业务收入的流失。 ip网络网络 软交换软交换 pstn 家庭网关家庭网关 宽带接入宽带接入 语音数据语音数据 bt/phs z voip - 13 - 家庭门户功能家庭门户功能 家庭门户是用户使用基于家庭网关业务的门户，以web 方式呈现，放置在家庭网关内。用户验证密码进入该门户后， 可以便捷地使用家庭监控、家庭存储等业务，实现用户管理， 在本地登录还可以进行家庭网关的设备管理。 - 14 - 家庭监控家庭监控 internet 内嵌动态域名客户端 http:/ 家庭监控 家庭域名服务平台 视频监控平台 用户可以在互联网上以域名的方式，通过家庭网关 访问家庭内部

11、摄像头，来观察对应的视频图像，并可 实现对摄像头的各种控制操作（如聚焦、转向等）。 - 15 - 家庭存储家庭存储 用户可以在任何网 络接入点访问连接 在家庭网关后面的 存储设备，如：在 办公室读取家庭中 的资料、浏览网页 时发现好的内容并 远程推送到家中等。 家庭网关 ip摄像头 usb网络存储 internet 机顶盒 pc - 16 - iptv n家庭网关能够利用设备发现机制自动识别出局域 网内机顶盒的设备类型，并将之加入到多pvc的路 由或以太网桥中。 n家庭网关能够在设备发现后为机顶盒分配特定的 ip，并提供针对iptv业务的qos和性能支持。 - 17 - 信息安全功能信息安全功

12、能 防火墙功能防火墙功能 n家庭网关内置防火墙软件。所有的数据都经过防火墙，防火墙只放行经过授权的网络流 量，防火墙能防止对其本身及内部网络的攻击。可防止常见的攻击：端口扫描、无效数据 包攻击、数据包泛洪、icmp、无效tcp标志、ping拦截等。 邮件防病毒邮件防病毒 n家庭网关可以对电子邮件完成病毒检查，拒收带病毒的邮件，并给用户提示被拒收邮件 的标题、发件人以及发件人地址等信息。 internet 内嵌杀病毒程序 电子邮件服务器 病毒代码库更新服务器 - 18 - 信息安全功能信息安全功能 防垃圾邮件防垃圾邮件 n家庭网关可以判断电子邮件是否为垃圾邮件，并相应地标记为垃圾邮件或删除 该邮

13、件。 绿色上网绿色上网/网站过滤功能网站过滤功能 n家庭网关提供绿色上网功能，在网关门户上提供业务配置页面，提供网站分类 供用户选择配置，生成配置表。用户上网时，网关将截获的用户请求网址发往网 站过滤服务器，经服务器检查，返回该网址的网站分类，网关根据用户配置表决 定是否允许用户访问该网址。 n连接在网关上的每台pc均可以独立设置过滤策略。 internet 内嵌防垃圾邮件客户端 电子邮件服务器 防垃圾邮件服务器 - 19 - vpn n虚拟专用网络（vpn）允许远程通讯方（譬如：销售人员 或企业分支机构）使用internet等公共互联网络以安全的方式 与位于企业局域网端的网关建立连接。虚拟专

14、用网络对用户 端透明，用户就像使用一条专用线路在客户计算机和网关之 间建立点对点连接，进行数据传输。 n虚拟专用网络能够利用internet或其它公共互联网络的基础 设施为用户创建隧道，主要实现：以安全方式通过公共互联 网远程访问企业资源；安全地实现企业局域网和分支机构的 互联。 n家庭网关支持ipsec的client与server两种工作方式，这两种 方式的配合可以将多个点的局域网组成一个局域网络。 - 20 - 提纲提纲 1. 家庭网关产品基本介绍 2. 基本功能介绍 3. 安全性介绍 4. 管理和维护 - 21 - wlan接入安全性接入安全性 n 支持配置不同ssid以区分网络（设备出

15、厂时根 据wlan mac地址随机生成ssid），支持ssid 广播开启/关闭功能 n 支持open system和share key两种链路层认证 方式 n 支持64-bit、128-bit wep加密；密钥可以采用 hex或ascii字符输入 n 支持基于mac地址过滤的wlan用户接入控制 - 22 - 网络访问的安全性网络访问的安全性 n支持dmz n支持基于mac地址的接入控制 n支持基于ip地址和ip地址范围的接入控制 n支持基于url的控制，以黑白名单形式进行接入控制，可 支持到100条纪录 n支持ip层协议报文过滤功能 n能够提供一定的防dos攻击能力，能够防止land、syn

16、 flooding、icmp redirection、smurf、winnuke等类型的攻 击 n能够提供防端口扫描功能 n能够提供防非法报文攻击能力 n支持安全日志功能 - 23 - 登录安全性登录安全性 n家庭网关用户侧提供三种不同权限的帐号：电信 维护帐号、管理用户帐号和访问用户帐号。 n用户需使用用户名和密码登录，才能对网关设备 进行配置或管理。 n如果用户名与密码输入连续错误3次，则再次输入 用户名与密码验证必须在1分钟以后。 n用户登录后连续5分钟无操作，家庭网关自动退出 登录状态。 - 24 - 提纲提纲 1. 家庭网关产品基本介绍 2. 基本功能介绍 3. 安全性介绍 4. 管

17、理和维护 - 25 - 用户侧管理和维护用户侧管理和维护 基本特征：基本特征： n支持通过本地pc实现本地配置管理，提供良好的用户ui n支持web管理方式，并且提供安装配置的向导服务 n支持运行网关配套的快速安装光盘来引导用户进行配置 n提供良好的中、英文界面，中、英文界面支持选择切换 功能；提供良好的中、英文帮助信息 n支持用户分级管理 - 26 - 用户权限分级管理用户权限分级管理 家庭网关用户侧有三种不同的权限的帐号： 1、电信维护帐号、电信维护帐号 家庭网关有一个电信维护帐号，由电信维护人员使用，只允许在私网登录，可使用网 关的所有功能与应用，可进行全部的参数设置，并可强行修改管理用

18、户帐号的密码 2、管理用户帐号、管理用户帐号 家庭网关有一个管理用户帐号，由用户管理人员使用，私网公网都允许登录， 登录私网界面可使用的功能与应用： 可使用私网界面一切功能与应用 可进行部分的参数设置 可修改管理用户帐号密码 可添加、删除、修改访问用户帐号并设置相应权限 登录公网界面可使用的功能与应用： 可使用公网界面一切功能与应用 可远程开关公网界面上的功能与应用 3、访问用户帐号、访问用户帐号 访问用户帐号数量不小于10个，由网关门户的普通访问人员使用，私网公网都允许 登录，只能访问用户管理员许可的应用业务。 - 27 - 用户侧设备信息管理用户侧设备信息管理 设备状态：设备状态： 设备日

19、志：设备日志： n设备基本信息：应包含设备型号、设备标识号、硬件版本、软件版本。 n网络侧连接信息： 网关公共信息：显示网络侧连接状态、ip地址、子网掩码、网关、dns服务器等； dsl基本信息：显示网关dsl的当前同步状态、连接状态； dsl高级信息：显示上下行速率、噪声裕量、交织深度、fast/interleave、线路协议、线路 衰减、输出功率、信道类型、pvc及封装信息（仅提供给电信维护人员）。 n用户侧接口信息： wlan接口信息：显示wlan的连接状态、ssid、信道、加密状态信息； 用户侧以太网接口信息：显示ip地址、mac地址、收发包数； usb接口信息：显示usb的当前状态、

20、连接设备信息等； z接口信息：显示voip 连接状态、注册信息等。 n显示日志文件的内容 - 28 - 用户侧基本配置功能用户侧基本配置功能 adsl2+连接配置连接配置 ： 局域网侧配置局域网侧配置 ： n支持 4条pvc的参数设置： n支持vpi、vci值的设置； n服务类别：支持ubr、cbr、rtvbr、nrtvbr的选择（仅提供给电信维护人员）； n协议：支持rfc2684r、rec2684b、pppoa、pppoe的选择；在rfc2684r模式下必 须支持ip地址信息的设置；在pppoa/pppoe模式下支持用户名、密码的设置，并且支持 断线重连设置； n封装：支持llc snap

21、封装（仅提供给电信维护人员）； n支持nat功能的打开和关闭。 n网络参数配置 支持家庭网关设备本身（用户侧）ip地址的配置； 支持用户侧dhcp的打开和关闭； 支持用户侧静态ip地址的配置。 n接口参数配置 wlan配置：wlan功能的打开和关闭、ssid设置，信道选择、ssid广播取消、wep参数配置。 - 29 - 用户侧高级配置功能用户侧高级配置功能 nddns配置：支持ddns参数（服务商、域名、用户名、密码）的设置。 ndmz配置：支持需要打开dmz功能的lan侧ip地址的设置。 n以太网端口设置：支持以太网端口vlan id 、802.11优先级设置（仅 提供给电信维护人员）。

22、n安全设置： 过滤器设置：支持ip地址、url、mac地址的过滤参数的配置，支持过滤器规则的 生成和删除。 防火墙设置； 支持ip地址、端口、协议的防火墙参数的配置，支持防火墙规则的生成和删除。 攻击保护设置：必须支持防攻击保护功能的开关设置。 nupnp设置：支持upnp功能的开关设置。 n虚拟主机配置：支持外部端口的访问映射到家庭内部不同的ip地址或主 机名。 nalg配置：支持对alg功能的开关设置。 nvoip设置：支持sip相关参数的配置（仅提供给电信维护人员）。 nitms服务器配置：支持itms服务器参数（域名/ip地址、端口等）的设 置。 - 30 - 用户侧设备管理功能用户侧

23、设备管理功能 n用户管理用户管理 支持家庭网关管理用户密码的设置和修改； 支持家庭网关访问用户的用户名、密码、权限的设置和修改。 n配置文件管理配置文件管理 支持家庭网关配置文件的保存和导入。 n软件、固件升级软件、固件升级 支持家庭网关软件、固件的本地升级（仅提供给电信维护人员）。 n设备重启设备重启 支持家庭网关的重新启动。 n恢复出厂设置恢复出厂设置 必须支持通过手动按键恢复出厂配置。 - 31 - 系统侧远程参数配置和性能监测系统侧远程参数配置和性能监测 n家庭网关设备信息家庭网关设备信息 家庭网关必须支持设备信息（设备型号、设备标识号、硬件版本、软件版本等）的查询。 n网络侧参数配置

24、和查询网络侧参数配置和查询 1、网络侧连接方式的配置和查询 （1）ppp方式的参数设置和查询 （2）ip方式的参数设置和查询 2、dsl上行参数配置与性能检测 （1）dsl线路物理层参数的配置和查询 （2）dsl线路的物理层性能参数的检测 （3）pvc参数的配置和查询 n用户侧参数配置和查询用户侧参数配置和查询 1、用户侧网络参数配置和性能监测 （1）lan设备地址分配参数的配置和查询 （2）lan地址信息的配置和查询 2、以太网参数的配置和查询 （1）以太网物理端口的参数配置和查询 （2）以太网端口的性能监测（收发字节等） 3、wlan参数的配置和查询 （1）家庭网关wlan部分的基本参数和安全参数的配置和查询 （2）wlan所连接设备的状态查询 n业务统计功能业务统计功能 应根