(高清版)GBT 40420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分：虚拟企业网关功能技术要求

基于公用电信网的宽带客户网关虚拟化第6部分：虚拟企业网关功能技术要求2022-02-01实施国家标准化管理委员会GB/T40420.6—2021 I 2规范性引用文件 3术语和定义 4缩略语 25企业网关虚拟化的总体架构 35.1企业网关虚拟化的逻辑结构 35.2企业虚拟网关功能参考模型 46虚拟企业网关功能要求 56.1虚拟企业网关总体要求 6.2接入功能 6.3传送功能 66.4地址功能 76.5QoS功能 6.6安全功能 86.7VPN组网功能 6.8对实体网关的管理功能 97虚拟企业网关的管理和控制 97.1虚拟企业网关管理控制架构 7.2系统配置管理 7.3告警与诊断 7.4企业业务配置管理 附录A(资料性附录)企业虚拟化网关相关业务流程示例 A.1实体企业网关初始化配置流程 A.2宽带业务流程 A.3企业IPSecVPN组网业务流程 附录B(资料性附录)虚拟企业网关用户管理门户 IGB/T40420《基于公用电信网的宽带客户网关虚拟化》已发布以下部分：——第1部分：总体要求；——第2部分：语音虚拟化技术要求；——第3部分：实体家庭网关技术要求；——第4部分：实体企业网关技术要求；——第5部分：虚拟家庭网关功能技术要求；——第6部分：虚拟企业网关功能技术要求；——第8部分：接口要求。本部分为GB/T40420的第6部分。本部分按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由中华人民共和国工业和信息化部提出。本部分由全国通信标准化技术委员会(SAC/TC485)归口。本部分起草单位：中国电信集团有限公司、中国联合网络通信集团有限公司、中国信息通信研究院、中国移动通信集团有限公司、中兴通讯股份有限公司、华为技术有限公司、烽火科技集团有限公司、上海诺基亚贝尔股份有限公司。1基于公用电信网的宽带客户网关虚拟化第6部分：虚拟企业网关功能技术要求GB/T40420的本部分规定了公用电信网宽带客户网关虚拟化后虚拟企业网关的逻辑架构和功能本部分适用于基于公用电信网的虚拟企业网关。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T40420.1—2021基于公用电信网的宽带客户网关虚拟化第1部分：总体要求YD/T2372—2011支持IPv6的接入网总体技术要求IETFRFC2661二层隧道协议(LayerTwoTunnelingProtocol“L2TP”)IETFRFC2663IP网络地址转换器(NAT)术语和注意事项[IPNetworkAddressTranslator(NAT)TerminologyandConsiderations]IETFRFC3022传统IP网络地址转换[TraditionalIPNetworkAddressTranslator(TraditionalNAT)]网络地址转换的协议复杂性(ProtocolComplicationswiththeIPNetworkAddressTranslator)IETFRFC3193使用IPsec保护L2TP(SecuringL2TPusingIPsec)IETFRFC3489通过网络地址转换器实现用户数据报协议(UDP)的简单遍历[STUN-SimpleTraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs)]IETFRFC3931二层隧道协议第三版[LayerTwoTunnelingProtocol-Version3(L2TPv3)]3术语和定义下列术语和定义适用于本文件。实体网关physicalgateway在宽带客户网关虚拟化场景下部署在宽带客户侧的网关设备。实体企业网关physicalbusinessgateway在宽带客户网关虚拟化场景下部署在宽带企业客户侧的网关设备。2虚拟网关virtualgateway在宽带客户网关虚拟化场景下部署在网络侧网关功能集合。注：这些功能可能部署在一个网络侧设备上，也可能部署在多个网络侧设备上，这些功能和部署在用户侧的实体网关一起提供宽带客户网关的功能。虚拟企业网关virtualbusinessgateway在宽带客户网关虚拟化场景下部署在网络侧的企业网关功能集合。注：这些功能可能部署在一个网络侧设备上，也可能部署在多个网络侧设备上，这些功能和部署在客户侧的实体企业网关一起提供宽带企业网关的功能。4缩略语下列缩略语适用于本文件。AAA:认证、授权和计费(Authentication,Authorization,Accounting)AES:高级加密标准(AdvancedEncryptionStandard)AH:验证头(AuthenticationHeader)ALG:应用层网关(ApplicationLayerGateway)AN:接入网(AccessNetwork)BSS:业务支撑系统(BusinessSupportSystem)CAR:承诺访问速率(CommittedAccessRate)CPU:中央处理器(CentralProcessingUnit)DDNS:动态域名服务(DynamicDomainNameServer)DDoS:分布式拒绝服务(DistributionDenialofService)DES:数据加密标准(DataEncryptionStandard)DHCP:动态主机配置协议(DynamicHostConfigurationProtocol)DHCP-PD:动态主机配置协议前缀委派(DynamicHostConfigurationProtocolPrefixDelegation)DNS:域名系统(DomainNameSystem)DoS:拒绝服务(DenialofService)DPD:断线侦测(DeadPeerDetection)DSCP:差分服务代码点(DifferentiatedServicesCodePoint)EMS:网元管理系统(ElementManagementSystem)ESP:封装安全有效载荷(EncapsulatingSecutiyPayload)FTP:文件传输协议(FileTransferProtocol)GRE:通用路由封装(GenericRoutingEncapsulation)HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer)ICMP:互联网控制消息协议(InternetControlMessageProtocol)IGMP:互联网组管理协议(InternetGroupManagementProtocol)IKE:互联网密钥交换(InternetKeyExchange)IP:互联网协议(InternetProtocol)IPSec:互联网协议安全性(InternetProtocolSecurity)3IPv4:互联网协议第四版(InternetProtocolv4)IPv6:互联网协议第六版(InternetProtocolv6)L2TP:第二层隧道协议(Layer2TunnelingProtocol)LAN:局域网(LocalAreaNetwork)MAC:媒体介入控制层(MediumAccessControl)NAT:网络地址转换(NetworkAddressTranslation)NAPT:网络地址与端口转换(NetworkAddressandPortTranslation)NFVO:网络功能虚拟化编排器(NetworkFunctionVirtualizationOrchestration)OLT:光线路终端(OpticalLineTerminal)OSS:运营支撑系统(OperationSupportSystem)PBG:实体企业网关(PhysicalBusinessGateway)PON:无源光网络(PassiveOpticalNetwork)PPP:点对点协议(PointtoPointProtocol)PPPoE:以太网上传送点到点协议(PointtoPointProtocoloverEthernet)QoS:服务质量(ServiceofQuality)RIP:路由信息协议(RoutingInformationProtocol)RIPng:下一代路由信息协议(RoutingInformationProtocolnextgeneration)RTSP:实时流协议(RealTimeStreamingProtocol)SIP:信令控制协议(SessionInitiationProtocol)SSID:服务集标识(ServiceSetIdentifier)TCP:传输控制协议(TransmissionControlProtocol)ToS:服务类型(TypeofService)UDP:用户数据报协议(UserDatagramProtocol)VBG:虚拟企业网关(VirtualBusinessGateway)VID:VLAN标识(VLANIdentifier)VLAN:虚拟局域网(VirtualLAN)VNFM:虚拟网络功能管理器(VirtualNetworkFunctionManager)VPN:虚拟专用网络(VirtualPrivateNetwork)VXLAN:虚拟扩展局域网(VirtualeXtendedLAN)WRR:加权循环调度(WeightedRoundRobin)WLAN:无线局域网(WirelessLocalAreaNetworks)5企业网关虚拟化的总体架构5.1企业网关虚拟化的逻辑结构企业网关虚拟化的逻辑结构如图1所示。4网络侧用户侧网络侧VBG1PBG1VBGPBG1LSL2PBG2VBG3L.SI.3PBG3PBG3LSLxPBGxPBGx接口图1企业网关虚拟化逻辑结构如图1所示，实体企业网关(PBG)位于企业用户侧，包含着所有依赖于硬件的功能，而虚拟企业网关(VBG)为分布式的虚拟存在，完成企业网关其他的逻辑功能。实体企业网关的逻辑用户连接通过虚拟企业网关基础设施的LSL接口与对应的虚拟网关连接。图中虚线部分表示虚拟网关与实体网关不一定是一一对应关系，一个虚拟网关可以对应多个实体网关，一个实体网关可以对应多个虚拟网关。5.2企业虚拟网关功能参考模型企业虚拟网关系统的网络功能是分布式部署的，虚拟企业网关(VBG)和实体企业网关(PBG)构成了虚拟网关系统。企业虚拟网关的功能参考模型如图2所示。VBGVBG管理与控制LPv4:IPy6传送上行流量QoS下行流量QoSNAT/NAPTDHCP服务VPN组网IP地址管理安全管理增值服务路山控制DNS服务75L接口三AN接口PBG图2企业虚拟网关的功能参考模型5企业虚拟网关的系统组件如下：——WAN接口功能；——逻辑用户连接接口功能；——IPv4/IPv6传送；——路由控制；——下行流量QoS;——IP地址管理/DHCP服务器；——管理与控制——网络地址及端口转换(NAPT);——DNS服务；——安全管理；——VPN组网；——增值服务。企业虚拟网关系统在用户侧的是实体企业网关(PBG),这部分的网络功能是将数据流量转发到虚拟网关，如图2所示。6虚拟企业网关功能要求6.1虚拟企业网关总体要求虚拟企业网关的不同模式分类应符合GB/T40420.1—2021中7.2的规定，具体功能要求见表1。表1不同模式的虚拟网关功能要求功能模式一模式二接入功能逻辑连接功能支持支持上行WAN连接接入支持支持传送功能桥接/路由支持支持支持支持组播功能支持支持路由功能支持支持地址功能DNS功能支持支持NAT/NAPT功能支持可选ALG支持支持支持支持支持支持业务流分类和标记支持可选业务流限速支持可选优先级队列调度支持可选6表1(续)功能模式一模式二安全功能防DDoS攻击支持支持防端口扫描支持支持防火墙支持支持非法组播源控制功能可选可选报文抑制支持支持VPN组网功能L2TPVPN功能支持支持IPSecVPN功能支持支持管理功能对实体网关的管理支持支持6.2接入功能6.2.1逻辑连接功能要求虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连接(LSL),至少支持以下模式中的一种接入模式：——单层VLAN模式；——双层VLAN模式；虚拟企业网关应支持通过IP会话监控所有的LSL的状态，并支持报文周期、超时等时钟的配置。虚拟企业网关应能够支持接入运营商的IP网络。虚企业网关应支持发起PPPoE/DHCP连接。虚拟企业网关可选支持动态主机配置协议中继(DHCPRelay)功能，能够将终端的DHCP请求转发给位于宽带客户网络外部的DHCP服务器，并返回分配地址结果。虚拟企业网关应支持至少16个WAN连接同时工作，应支持至少8个路由WAN连接同时工作。当虚拟企业网关建立了一条以上的WAN连接时，应支持不同WAN连接之间的数据(包括DNS、ARP、管理应用数据等)的完全隔离。宽带业务流程参见附录A中A.2。6.3传送功能虚拟企业网关应支持工作在桥接、路由以及桥接/路由混合等模式。虚拟企业网关应支持接收不带标签(untagged)、优先级标签(priority-tagged)或带标签(tagged)报文。虚拟企业网关应支持对上行untagged报文添加VID,对priority-tagged报文添加VID,支持丢弃7虚拟企业网关应支持将下行接收到的tagged报文去掉标签。虚拟企业网关应支持互联网组管理协议代理(IGMPproxy)和互联网组管理协议嗅探(IGMPsnooping)功能，IGMP协议支持IGMPv2,可选支持IGMPv3。虚拟企业网关应支持静态路由配置，可选支持RIPv1/v2协议，可选支持下一代路由信息(RIPng)协议。6.4地址功能虚拟企业网关应支持在DHCP会话过程中将DNS服务器地址发送给客户网络内部设备，DNS服务器的地址可以配置，并能对客户网络内部设备的DNS请求进行转发并将解析结果送回给客户网络内部设备。虚拟企业网关应支持DDNS功能。虚拟网关应支持DNSv6。采用模式一的虚拟网关应支持NAT/NAPT功能，符合IETFRFC2663、IETFRFC3022和IETFRFC3027的规定。虚拟企业网关应支持IETFRFC3489定义的coneNAT。虚拟企业网关应支持配置端口前转(PortForwarding),支持虚拟服务器(VirtualServer),用户可选择常见协议(如FTP、HTTP等)进行虚拟服务器配置，网关应至少同时支持8个虚拟服务器的配置。采用模式二的虚拟企业网关此功能可选。虚拟企业网关应支持ALG功能，支持SIP、FTP、RTSP、L2TP、H.323的私网穿越功能，可选支持IPSec协议，每种协议应提供单独的开关功能。虚拟企业网关的WAN侧应支持静态配置IP地址、DHCP和PPPoE三种方式获取IP地址信息。虚拟企业网关WAN侧接口应支持动态主机配置协议客户端(DHCPClient)功能，能够获取IP地虚拟企业网关应支持动态主机配置协议服务器(DHCPServer)功能，为用户侧设备分配IP地址，IP地址池可配置。网关的DHCPServer应支持针对不同企业用户的终端分配同一个地址池的不同地址段，或为每一个企业分配一个单独的地址池。网关的DHCPServer应支持查看地址池中已分配的地虚拟企业网关的DHCPserver应支持根据用户侧设备上报的DHCP60选项(Option60)标识，为不同类型的设备从同一网段不同的IP地址区间中分配IP地址，不同设备IP地址池可配置。虚拟企业网关应支持IPv6协议族，包括支持SLAAC、DHCP-PD和PPP承载IPv6时的各种地址8获取方式；支持对实体网关LAN侧设备的IPv6地址的分配。虚拟企业网关应支持IPv4/IPv6双协议栈，支持同时获取IPv4以及IPv6地址的能力。虚拟企业网关应支持的IPv6具体功能要求见YD/T2372—2011。6.5.1业务流分类和标记功能采用模式一的虚拟企业网关应支持外部网络要求的QoS机制，虚拟企业网关应支持以下流分类技术：a)支持按源IP(包括网段和范围)、目的IP(包括网段和范围)、源端口、目的端口、物理接口(包括SSID)进行流分类；b)支持按源MAC地址、目的MAC地址、虚拟局域网标识(VLANID)、802.1D进行流分类；c)支持按DSCP进行流分类；d)支持按协议类型(TCP/UDP/ICMP)进行流分类；e)可选支持通过识别业务报文，对动态业务进行流分类，例如通过识别SIP报文，提取呼叫语音流的IP地址/UDP端口号信息，并施加已经配置的流分类策略；f)可选支持按照ToS进行流分类。采用模式二的虚拟企业网关在PBG侧要有QoS控制，VBG可选支持QoS功能。6.5.2业务流限速功能虚拟企业网关应支持对业务进行流量控制，包括每种上行业务流的CAR、LAN-WLAN的CAR。应支持CAR规则的配置。6.5.3优先级队列调度功能虚拟企业网关应支持至少4个优先级队列，并能根据流分类的结果将业务流映射到不同的队列，应支持绝对优先级队列调度和WRR队列调度方式，应支持绝对优先级和加权优先级的混合调度。6.6安全功能虚拟企业网关应支持防止死亡Ping(PingofDeath)、同步序列编号泛洪(SYNFlood)等DoS攻击，并建议虚拟企业网关能够防止对自身代理的应用协议(例如，DNS)进行攻击。虚拟企业网关应能够提供防端口扫描功能，支持防其他设备或者应用的恶意端口扫描。非法组播源控制功能(可选)虚拟企业网关建议支持防止用户做组播源的组播报文，禁止用户端口发出的互联网组管理协议请求(IGMPQuery)和组播数据报文。虚拟企业网关应支持防火墙功能，支持对防火墙等级的设置，支持对防火墙规则的配置，并支持基9于以下规则对报文进行过滤：——支持根据源MAC地址、目的MAC地址进行报文过滤；——支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤；——支持根据IP源端口及范围段、目的端口及范围段进行报文过滤；——支持根据以太网包的传输层协议类型进行报文过滤，要求有IP/PPPoE/ARP的选项；——支持根据IP包的传输层协议类型进行报文过滤，要求有TCP/UDP/ICMP/TCP+UDP或其他任意类型协议的选项；——支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止2种，默认为禁止模式。6.6.3报文抑制虚拟企业网关建议能够对特定协议的广播/组播包(例如DHCP,ARP,IGMP等)进行抑制，对其他广播报文的速率限制参数可配置。6.7VPN组网功能虚拟企业网关应支持L2TPv2功能，支持在UDP上承载L2TP报文，符合IETFRFC2661;可选支持L2TPv3,符合IETFRFC3931。虚拟企业网关可选支持IETFRFC3193,即支持结合IPSec加密的L2TP隧道。虚拟企业网关支持IPSecVPN功能的相关要求：——应支持多种工作方式：传输模式AH、隧道模式AH、传输模式ESP、隧道模式ESP; 应支持站点到站点(SitetoSite)、远程访问(RemoteAccess)等VPN组网形式：——应支持预共享密钥和X.509数字证书等认证方式来进行VPN认证；——应支持IKE;——应支持3DES、AES128、AES192、AES256等符合国家密码管理的有关规定的加密算法。支持多种哈希验证算法；——应支持基于固定IP地址建立IPSec隧道，支持通过域名建立IPSec隧道；——应支持断线侦测(DPD)协议；——可支持不同VPN隧道和非VPN流量的优先级处理；——应支持互联网流量转发，提供“到Internet的VPN路由通道”可配置选项，客户端通过IPSecVPN拨入后，不仅能够访问局域网资源，同时能够访问互联网。IPSecVPN的组网业务流程参见A.3。6.8对实体网关的管理功能虚拟企业网关应支持作为代理对实体网关进行相关配置和管理。7虚拟企业网关的管理和控制7.1虚拟企业网关管理控制架构虚拟企业网关系统支持平台的管理和控制，包括虚拟企业网关部分和实体企业网关部分都应支持，管理和控制的功能包括软件系统和设备的管理配置、设备工作模式的控制、企业业务认证鉴权等信息的配置管理，企业业务模式的控制等。虚拟企业网关系统管理控制架构见图3。用户PortalBSS/OSSNFVOANEMS管理平台ANEMSVBG系统配置管理告警与诊断企业业务配置管理AN设备管理控制设备告警管理图3虚拟企业网关系统管理控制架构如图3所示，虚拟企业网关支持管理平台和VNFM中的一种或多种管理，不同的管理模块，可根据企业网关的部署情况、企业业务的实际需要分布在不同的平台上。虚拟企业网关应支持的管理平台远程管理方式，包括万维网(Web)登录(基于HTTPS)方式，以及通过宽带论坛(BroadbandForum)发布的TR069协议管理。虚拟网关管理门户的功能参见附录B。虚拟企业网关的初始化配置流程示意参见A.1。7.2系统配置管理虚拟企业网关接受来自管理平台对其的系统性功能的配置管理及控制，包括网络接口、DHCP服务器、防火墙等以及对网关工作模式的控制。系统配置管理的内容包括：——网络功能错误及告警管理；——网络功能配置管理；——网络节点拓扑管理；——网络安全的配置管理；——网络功能相关的软件管理；——操作系统相关软件的配置管理。7.3告警与诊断虚拟企业网关系统在运行中，可能会产生错误或告警，告警和错误既可以来自虚拟网关，也可能来自实体企业网关部分，虚拟企业网关系统接受管理平台的配置管理与控制，同时虚拟企业网关将实体企业网关部分的配置管理参数通过管理控制接口下发给实体网关。可监控组件包括网络接口、CPU使用情况、内存占用情况以及存储的占用情况，管理平台对监控组件相关阈值进行设置，当监控组件运行中超过阈值，则产生告警或错误，告警和错误信息可实时也可累计向平台发出，虚拟企业网关对告警信息和错误信息可进行评估诊断，将诊断评估结果上报平台。通过该功能可管理的内容包括：——网络接口的错误及告警管理；——设备运行错误及告警管理；——设备运行故障诊断；——网络故障诊断。7.4企业业务配置管理虚拟企业网关的配置管理主要是业务参数的配置管理，例如IPSecVPN、L2TP隧道的各项技术参数，相关企业业务的认证、鉴权等信息的配置管理。附录A(资料性附录)企业虚拟化网关相关业务流程示例A.1实体企业网关初始化配置流程PON上行实体网关初始化配置流程如下：a)实体网关正常上电，首先要进行并通过上行PON口的OLT认证；b)通过OLT认证后，如果是首次上电，实体网关通过管理控制平台进行初始化配置，包括宽带账号，相关服务器设备地址等；c)如果不是首次上电，实体网关通过动态主机配置协议客户端(DHCPclient)或以太网上传送点到点协议客户端(PPPoEclient),获得IP地址(可选);d)实体网关创建LSL连接虚拟网关，如果LSL需要穿越NAT,实体网关利用获得的IP地址创A.2宽带业务流程A.2.1模式一下的虚拟网关宽带业务流程如下：a)企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口；b)企业实体网关侧的终端发送DHCP请求，请求通过LSL发送到虚拟网关(VBG);c)VBG获取DHCP请求后，给