GB/T 32403.2-2015 基于公用电信网的宽带客户网络设备技术要求 第2部分:企业用宽带客户网关
- 名 称:GB/T 32403.2-2015 基于公用电信网的宽带客户网络设备技术要求 第2部分:企业用宽带客户网关 - 下载地址1
- 下载地址:[下载地址1]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 33. 040.50 M 19
中 华 人 民 共 和 国 国 家 标 准
GB/T 32403.2—2015
基于公用电信网的宽带客户
网络设备技术要求
第 2 部分 :企业用宽带客户网关
Technicalrequirementsforequipmentsin broadband customernetwork
based on telecommunication network—Part2:Enterprisegateway
2015-12-31发布 2016-07-01实施
中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会
发
布
GB/T 32403.2—2015
前 言
GB/T 32403《基于公用电信网的宽带客户网络设备技术要求》由两部分组成 :
— 第 1部分 :家庭用宽带客户网关 ;
— 第 2部分 :企业用宽带客户网关 。
本部分为 GB/T 32403的第 2部分 。
本部分按照 GB/T 1. 1—2009给出的规则起草 。
请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。本部分由工业和信息化部提出 。
本部分由全国通信标准化技术委员会(SAC/TC485)归 口 。
本部分起草单位 :工业和信息化部电信研究院 、华为技术有限公司 、上海贝尔股份有限公司 。
本部分主要起草人 :程强 、侯聪 、葛坚 、张钦亮 、陈晓 。
基于公用电信网的宽带客户
网络设备技术要求
第 2 部分 :企业用宽带客户网关
1 范围
GB/T 32403的本部分规定了基于公用电信网的宽带客户网络(以下简称宽带客户网络) 中企业用宽带客户网关的设备分 类 、接 口 、设 备 功 能 、安 全 功 能 、操 作 管 理 维 护 要 求 、性 能 和 环 境 要 求 、供 电 要求等 。
本部分适用于基于公用电信网的宽带客户网络中的企业用宽带客户网关 。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。
GB/T 7611 数字网系列比特率电接口特性
GB/T 9951 信息技术 系统间远程通信和信息交换 34插针 DTE/DCE接口连接器的配合性尺寸和接触件编号分配
GB 15629. 11(所有部分) 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求第 11部分 :无线局域网媒体访问控制和物理层规范
YD/T 993 电信终端设备防雷技术要求及试验方法
YD/T 1188—2008 接入网技术要求—不对称数字用户线(ADSL/ADSL2+)用户端设备YD/T 1475 接入网技术要求—基于以太网方式的无源光网络(EPON)
YD/T 1530 接入网技术要求—频谱扩展的第二代不对称数字用户线(ADSL2+)
YD/T 1814 基于公用电信网的宽带客户网络的远程管理 第 1部分 :总体
YD/T 1814. 2 基于公用电信网的宽带客户网络远程管理 第 2部分 :协议
YD/T 1949. 1 接入网技术要求—吉比特的无源光网络(GPON) 第 1部分 :总体要求
YD/T 1965 基于公用电信网的宽带客户网络设备及其辅助设备的电磁兼容性要求和测量方法YD/T 1996. 1 接入网技术要求 第二代甚高速数字用户线(VDSL2) 第 1部分 :总体要求
YD/T 2278—2011 接入网设备测试方法 第二代甚高速数字用户线(VDSL2)
SJ/T 11363 电子信息产品中有毒有害物质的限量要求
ITU-T V. 24 数据终端设备(DTE) 和数据电路终接 设 备(DCE) 之 间 的 交 换 电 路 定 义 表[List of definitions for interchange circuits between data terminal equipment(DTE) and data circuit-termina- ting equipment(DCE)]
ITU-T V. 35—1984 使用 60-108 kHz群带电路速率为 48 kbit/s 的数据传输(Data transmission at48kbit/s using60-108kHz group band circuits)
IEEE 802. 3 CSMA/CD访 问 方 法 和 物 理 层 规 范[Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical]
GB/T 32403.2—2015
nology and Considerations]
IETF RFC 3022 传 统 IP 网 络 地 址 转 换 [ Traditional IP Network Address Translator (TraditionalNAT)]
IETF RFC 3027 IP 网络地址转换的协 议 兼 容 性(Protocol Complications with the IP Network
Address Translator)
IETF RFC 3489 NAT 的 UDP简单穿越[STUN—Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)]
Broadband Forum TR-069Amendment2 CPE WAN 管理协议(CPE WAN ManagementProto- col)
3 术语和定义
下列术语和定义适用于本文件 。
3. 1
IGMP/MLD嗅探 IGMP/MLD snooping
通过在 IEEE 802. 1桥上侦听组播路由器或接收组播的主机发出的 IGMP/MLD消息 ,达到优化组播流在二层网络上的分发的功能 ,包括但不限于 :
— 侦听通过桥转发的 IGMP/MLD消息判定 IGMP/MLD路由器和主机的端口位置 ;
— 建立基于端口和 VLAN 的组播转发表 ;
— 在非路由器端口维护基本 IGMP/MLD成员关系状态 。
3.2
IGMP/MLD代理 IGMP/MLD proxy
该功能可被分解为 3个子功能 :
— 报告抑制 :截取和处理来自 IGMP/MLD主机的 Report报文 ,仅在必要的时候才向上行转发 ,例如当组播组中第一个用户加入时 ;对于每个组播组的 IGMP/MLD Query报文仅响应一次 。
— 离开抑制 :截取和处理来自 IGMP/MLD主机的 Leave报文 ,仅在必要的时候才向上行转发 ,例如当组播组中最后一个用户离开时 。
— 查询抑制 :截取和处理 IGMP/MLD Query报文 。
当实现以上功能时 ,功能实体可能转发 IGMP/MLD主机和组播路由器发出的报文 ,也可能自己产生 IGMP/MLD报文 。
3.3
ping攻击 ping ofdeath attack
利用一些超大字节的 ICMP报文对设备进行攻击 ,使得设备系统崩溃 ,死机或者重启 。 3.4
SYN 洪泛攻击 SYN flood attack
攻击设备不断地成倍发送只有 SYN标志的 TCP连接请求 , 以消耗尽被攻击设备的资源 。
4 缩略语
下列缩略语适用于本文件 。
3G:第三代无线通信系统(third generation wireless systems)
ADSL:不对称数字用户线(a symmetric digital subscriber line)
ADSL2+ :频谱扩展的第二代不对称数字用户线(a symmetric digital subscriber line2 plus) ALG:应用层网关(application layer gateway)
ARP:地址解析协议(address resolution rrotocol)
AP:接入点(access point)
ATM :异步传输模式(asynchronous transfer mode)
BRAS:宽带远程接入服务器(broadband remote access server)
CAR:承诺接入速率(committed access rate)
CBR:恒定比特率(constantbitrate)
DDNS:动态域名系统(dynamic domain name system)
DHCP:动态主机配置协议(dynamic hostconfigure protocol)
DMZ: 隔离区(de-militarized zone)
DNS:域名系统(domain name system)
DoS:拒绝服务(denialof service)
DPI:深度包检测(deep packetinspection)
DSCP:差分服务代码点(differentiated services code point)
DSL:数字用户线(digital subscriber line)
DSLAM :DSL接入复用器(DSL access multiplexer)
EPON: 以太网无源光网络(ethernetpassive opticalnetworks)
FTP:文件传输协议(file transfer protocol)
GPON:吉比特无源光网络(gigabit-capable passive opticalnetworks)
HTTP:超文本传输协议(hypertexttransfer protocol)
HTTPS:安全超文本传输协议(hypertexttransfer protocolsecure)
IGMP:互联网组管理协议(internetgroup managementprotocol)
IP:互联网协议(internetprotocol)
IPSec:互联网安全协议(internetprotocol security)
L2TP:2层隧道协议(layer2 tunneling protocol)
LAN:局域网(localarea network)
MAC:媒质访问控制(medium access control)
MCS:调制编码方案(modulation coding scheme)
MDI:媒质相关接 口 (media dependentinterface)
MDIX:交叉的媒质相关接 口 (media dependentinterface with crossover) MLD: 组播侦听者发现(multicastlistener discovery)
NAPT: 网络地址端口转换(network address porttranslation)
NAT: 网络地址转换(network address translation)
ND:邻居发现(neighbor discovery)
nrt-VBR:非实时的可变比特率(业务)(non-real-time VBR)
NTP: 网络时间协议(network time protocol)
PON:无源光网络(passive opticalnetwork)
PPPoE: 以太网承载点对点协议(point-to-pointprotocolover ethernet)
PVC:永久虚连接(permanentvirtual connection)
QoS:服务质量(quality of service)
RIP:路由信息协议(routing information protocol)
RMS:远程管理服务器(remote managementserver)
rt-VBR:实时的可变比特率(业务)(real-time VBR)
SIP:会话初始化协议(session initiation protocol)
SNMP:简单网络管理协议(simple network managementprotocol)
SSH :安全外壳协议(secure shell)
SSID:服务集标识符(service setidentifier)
SSL:安全套接层(secure socketlayer)
STB:机顶盒(set-top box)
TCP:传输控制协议(transmission controlprotocol)
TDM : 时分复用(time division multiplexing)
TELNET:终端网络(terminalnetwork)
TFTP:简单文件传输协议(trivialfile transfer protocol)
TLS:传输层安全(transportlayer security)
UBR:未规定比特率(业务)(unspecified bitrate)
UDP:用户数据报协议(user datagram protocol)
URL:统一资源定位符(uniform resource locator)
USB:通用串行总线(universal serialbus)
USIM :通用用户识别模块(universal subscriber identity module)
VBR:可变比特率(variable bitrate)
VDSL2:第二代甚高速数字用户线(very high speed digital subscriber line2)
VID:VLAN标记(VLAN identifier)
VLAN:虚拟局域网(virtual localarea network)
VoIP:在 IP上传送语音(voiceover IP)
VPN:虚拟专用网络(virtualprivate network)
WAN:广域网(wide area network)
WEP:有线等效加密(wired equivalentprivacy)
WLAN:无线局域网(wireless localarea network)
WMM :Wi-Fi多媒体(Wi-Fimultimedia)
WRPQ:加权随机早期检测(weighted random parly detection)
WRR:加权循环调度(weighted round robin)
5 企业用宽带客户网关的设备概述
5. 1 网关在宽带客户网络中的位置
企业用宽带客户网关在宽带客户网络中的位置如图 1 所示 。 网关可以通过各种接口直接与接入网相连 。 网关可以直接与企业用户终端设备或适配设备相连 ,也可以直接与企业的局域网相连 。
如无特别说明 , 以下出现的网关均指企业用宽带客户网关 。
图 1 网关在宽带客户网络中的位置图
5.2 网关的功能参考模型
图 2 为网关功能模块划分示意图 ,包括 5个方面的功能模块 :
— 接入功能 ;
— 联网功能 ;
— 传送功能 ;
— 核心功能 ;
— 业务功能 。
其中业务功能模块是可选的 ,其他功能模块是必选的 。
网关的接入功能主要实现宽带客户网络与公用电信网络(以下简称电信网络)的连接 。
网关的联网功能主要实现网关与宽带客户网络内部的用户终端设备及宽带客户网络内部的用户终端设备之间的连接 。
网关的传送功能主要实现宽带客户网络内部设备与电信网络之间 IP包等的传送 。
网关的核心功能包括 :
— 地址功能 ,主要实现网关自身 IP地址获得以及支持宽带客户网络内部终端获得 IP地址 ;
—QoS功能 ,主要实现多业务流的分级处理及转发 ,用于保证服务质量 ;
— 安全功能 ,主要防止外部网络对宽带客户网络的非法访问以及内部网络的非法接入 ;
— 远程管理功能 ,主要实现运营商对网关的远程管理与控制 ;
— 本地管理功能 ,主要实现网关功能的本地管理与控制 。
网关的业务功能 :主要实现网关上电信业务的适配和终接 。
图 2 网关功能框图
6 接口要求
6. 1 用户侧接口
6. 1. 1 100/1000BASE-T接口
网关的用户侧接口应至少提供 4 路以太网 100BASE-T 接 口 , 以及至少 1 路 1000BASE-T 接 口 。 100/1000BASE-T接口 应 符 合 IEEE 802. 3 相 关 要 求 , 建 议 支 持 自 适 应 连 接 网 线 的 功 能 (Auto MDI/ MDIX) 。
6. 1.2 WLAN AP接口
网关的用户侧接口可选提供 WLAN AP接 口 。
WLAN AP接口应支持 GB 15629. 11系列标准定义的 2. 4 GHz物理层规范 ,可选支持 5. 8 GHz物理层 。
6. 1.3 USB接口
网关的用户侧接口可选提供 USB接 口 。USB接口应满足 USB 2. 0,应支持 USB主(Master)模式 ,应支持全速 FullSpeed(12Mbit/s)方式 ,可选支持高速 Hi-Speed(480Mbit/s)方式 。
6. 1.4 Z 接口
网关的用户侧接口可选提供 Z接 口 。
6. 1.5 2048kbit/s 电接口(E1接口)
当提供 TDM 专线业务时 , 网关应支持 2048 kbit/s 电接 口 (E1接口) ,接口应符合 GB/T 7611 的规定 。
6. 1.6 V. 24/V.35接口
网关可选支持 V. 24或 V. 35接 口 。
V. 24接口应符合 ITU-T V. 24的规定 。
V. 35接口物理特性应符合 ITU-T V. 35—1984 10. 1 和 GB/T 9951的规定 。
6.2 网络侧接口
网关应至少支持下列接口之一作为网络侧接 口 ,接入宽带网络为用户提供服务 :
—ADSL2+接 口 ;
—VDSL2接 口 ;
— 以太网(10/100/1000BASE-T)接 口 ;
—EPON 接 口 ;
—GPON 接 口 ;
— 3G等无线接 口 。
ADSL2+接口应符合 YD/T 1530的规定 。
VDSL2接口应符合 YD/T 1996. 1 的规定 。
10/100/1000BASE-T接口应符合 IEEE 802. 3相关要求 。
EPON接口应符合 YD/T 1475的规定 。
GPON接口应符合 YD/T 1949. 1 的规定 。
3G等无线接口根据具体选择的技术应符合相应技术规范的接口要求 。
6.3 USIM 卡接口
对于采用 3G等无线接口作为网络侧接口的网关 ,应支持 USIM 卡接 口 。
7 设备功能
7. 1 联网功能
7. 1. 1 用户接口联网功能
网关应支持客户网络内部各个有线和/或无线终端之间相互访问 ,数据流无需通过 WAN 连接 。 网关应支持终端对网关的访问 。
7. 1.2 WLAN AP功能(可选)
网关应支持通过硬件开关开启或关闭 WLAN AP功能 。
网关的 WLAN AP功能应支持多 SSID, 至少支持 4 个虚拟 AP,每个虚拟 AP具有独立的配置功能 ,包括对 SSID、发送队列 、加 密 方 式 等 参 数 的 配 置 。 支 持 各 SSID 与 物 理 或 虚 拟 WAN 接 口 (例 如 : VLAN、PVC)的绑定关系 。
网关 的 WLAN AP 功 能 应 支 持 自 动 速 率 调 节 , IEEE 802. 11 中 b 模 式 下 速 率 调 节 范 围 为11 Mbit/s、5. 5 Mbit/s、2 Mbit/s 和 1 Mbit/s, IEEE 802. 11 中 g 模 式 下 速 率 调 节 范 围 为 54 Mbit/s、 48Mbit/s、36Mbit/s、24Mbit/s、18Mbit/s、12Mbit/s、9 Mbit/s和 6 Mbit/s。IEEE 802. 11 中 n模式下应支持工作在 20 MHz或 40 MHz信道带宽下 ,应支持 IEEE 802. 11 中 n模式中规定的各种 MCS。
网关的 WLAN AP功能应支持手动或自动信道选择 。
网关的 WLAN AP功能应能支持终端在节电模式下工作 ,并能识别终端进入节电状态 。
网关的 WLAN AP功能可选支持发射功率可配置 。
7.2 接入功能
网关应至少支持 6. 2规定的网络侧接口之一 。
网关应支持作为客户端建立 PPPoE、L2TP、IPSec VPN 隧道等连接的功能 。
网关应支持 IPv4/IPv6的双栈接入的能力 。 在桥接方式下支持 IPv6报文的透传 。 在路由方式下支持以太网承载 IPv6和 PPP承载 IPv6两种接入方式 。
网关可 选 支 持 DHCP 中 继 功 能 , 能 够 将 终 端 的 DHCP 请 求 转 发 给 位 于 宽 带 客 户 网 络 外 部 的DHCP服务器 ,并返回地址分配结果 。
7.3 传送功能
7.3. 1 设备工作模式
网关应支持工作在桥接 、路由或桥接/路由混合模式 ,在各种模式下 ,客户网络内的各个终端之间应能相互访问 ,各个终端应能对网关访问 。
7.3.2 VLAN 功能
网关应支持接收无 VLAN标记 、携带优先级标记(VID=0)或 VLAN标记的报文 。
丢弃携带 VLAN标记的报文 。
网关应支持将下行接收到的 VLAN标记的报文去掉 VLAN标记 。
网关应支持 1 ∶ 1 的 VLAN转换功能 。
或 V。线业务(TLS)端 口 ,透传用户无 VLAN 标记 、携带优先级标记(VID= 0)
网关应支持用户侧以太网端口或不同的 WLAN SSID划分到不同的 VLAN。
7.3.3 组播支持功能
网关应支 持 IGMP/MLD 代 理 和 IGMP/MLD 嗅 探 功 能 , IGMP 协 议 支 持 IGMP v2, 可 选 支 持IGMP v3。MLD协议应支持 MLD v1,可选支持 MLD v2。
网关应支持跨 VLAN组播功能 ,将组播 VLAN 中的下行组播流传送到用户侧单播 VLAN端 口 。
7.3.4 路由功能
网关应支持静态路由配置 ,可选支持 RIP v1/v2协议 。
7.4 地址功能
7.4. 1 DNS功能
网关应支持在 DHCP会话过程中将 DNS服务器地址发送给客户网络内部设备 ,DNS服务器的地址可以配置 ,并能对客户网络内部设备的 DNS请求进行转发并将解析结果送回给客户网络内部设备 。
网关应支持 DDNS功能 。
网关应支持 DNSv6。
7.4.2 NAT功能
网关应支持 NAT/NAPT功能 ,符合 IETF RFC 2663、IETF RFC 3022和 IETF RFC 3027规范 。网关应支持 IETF RFC 3489定义的锥形网络地址翻译(cone NAT) 。
网关应支持远程或本地配置端口前转(PortForwarding) ,支持虚拟服务器(Virtual Server) ,用户可选择常见协议(如 FTP、HTTP 等) 进 行 虚 拟 服 务 器 配 置,网 关 应 至 少 同 时 支 持 8个 虚 拟 服 务 器 的配置 。
7.4.3 ALG功能
支持 ALG功能 ,支持 SIP、FTP、RTSP、L2TP、H. 323等协议的私网穿越功能 ,支持 IPSec协议 ; 每种协议必须提供单独的开关功能 。
7.4.4 DHCP功能
网关的 WAN侧应支持静态配置 IP地址 、DHCP和 PPPoE 3种方式获取 IP地址信息 。
网关 WAN侧接口应支持 DHCP客户端功能 ,能够从网络侧接口获取 IP地址信息 ,包括 IP地址 、 DNS服务器地址 、IP 网关地址等 。
网关 LAN侧接口应支持 DHCP服务器功能 ,为用户侧设备分配 IP地址,IP地址池可配置 。 网关的 DHCP服务器应支持查看地址池中已分配的地址情况 ,包括客户端名称 、MAC地址 、IP地址 、剩余租借期等 。DHCP服务器功能应可配置打开或关闭 。
网关的 DHCP服务器应支持根据用户侧设备上报的 Option 60标识 ,为不同类型的设备从同一网段不同的 IP地址区间中分配 IP地址,不同设备 IP地址池可配置 。
7.4.5 IPv6 地址功能
网关中的 3层功能应支持 IPv6协议族 。包括支持 SLAAC、DHCP-PD和 PPP承载 IPv6时的各种地址获取方式 ;支持对 LAN侧设备的 IPv6地址的分配 。
7.5 QoS功能
7.5. 1 业务流分类和标记功能
流分类技术是指采用一定的规则识别符合某类特征的报文 ,它是有区别地进行服务的前提和基础 。网关应支持外部网络要求的 QoS机制 ,例如 :
—ATM 的 QoS机制 ;
— 以太网的 QoS机制 ;
—IP 的 QoS机制 。
网关应支持以下流分类技术 :
a) 应支持按源 IP(包括网段和范围) 、目的 IP(包括网段和范围) 、源端 口 、目的端口 、物理接 口 (包括 SSID)进行流分类 ;
b) 应支持按源 MAC地址 、目地 MAC地址 、VLAN ID、IEEE 802. 1D 优先级进行流分类 ;
c) 应支持按 DSCP进行流分类 ;
d) 应支持按协议类型(TCP/UDP/ICMP)进行流分类 ;
e) 可选支持通过识别业务报文 ,对动态业务进行流分类 。例如通过识别 SIP报文 ,提取呼叫语音流的 IP地址/UDP端口号信息 ,并施加已经配置的流分类策略 ;
f) 可选支持按 ToS/traffic class域进行流分类 。
网关应支持根据外部网络采用的 QoS机制的不同 ,对流分类的结果进行标记或重标记 :
如果外部网络采用 ATM 的 QoS机制 , 网关可选支持流分类结果与 PVC 的映射;PVC支持 UBR、 CBR、rt-VBR、nrt-VBR业务类型 ,并提供 PVC业务类型配置查询功能 ;
如果外部网络采用以太网的 QoS机制 , 网关应支持流分类结果与 802. 1D优先级的映射 ;
如果外部网络采用 IP 的 QoS机制 , 网关应支持流分类结果与 IPv4报文 ToS、DSCP域的映射 , 以及与 IPv6报文的流量类(traffic class)域的映射 。
7.5.2 业务流限速功能
网关应支持对业务 进 行 流 量 控 制 , 包 括 每 种 上 行 业 务 流 的 CAR、LAN-WLAN 的 CAR。 应 支 持CAR规则的本地配置和远程配置 。
7.5.3 优先级队列调度功能
网关应支持至少 4个优先级队列 ,并能根据流分类的结果将业务流映射到不同的队列 ,应支持绝对优先级队列调度 、应至少支持 WRR、WRED等加权队列调度方式之一 ,应支持绝对优先级和加权优先级的混合调度 。
7.5.4 WLAN QoS功能
网关具有 WLAN AP功能时 ,应支持 WMM 。支持数据流与 WMM 队列的映射 ,支持 WMM定义的 4种流类型及其优先级调度规则 ,支持基于优先级的数据处理和转发 。 支持为不同的 SSID 分配不同的优先级 。
7.6 USB功能(可选)
USB接口可以用于提供 USB共享打印 、USB共享存储 、额外的上联接口卡的连接等功能 。
7.7 以太网环路检测功能
应支持检测并处理以下两类用户侧以太网成环情况 :
a) 检测设备不同 LAN/WLAN端口之间成环 ,并断开成环端口中的一个 ;
b) 检测设备同一个 LAN 口之下的网络成环 ,并断开成环端 口 。
应支持通过网管远程配置该功能的开启或关闭 。 当开启并发生成环事件时 , 网关应产生相应的告警信息 。
8 安全功能
8. 1 防攻击功能
8. 1. 1 防 DoS攻击能力
网关应支持防止 ping攻击 、SYN洪泛等 DoS攻击 。建议网关能够防止对自身代理的应用协议(例如 ,DNS)的攻击 。
8. 1.2 防端口扫描能力
网关应能够提供防端口扫描功能 ,支持防止其他设备或者应用的恶意端口扫描 。
8. 1.3 限制每端口 MAC地址学习数量功能
网关应能限制从每个用户端口以及 WAN 口学习到的源 MAC地址的数量 。
8. 1.4 防火墙功能
网关应支持防火墙功能 ,支持对防火墙等级的设置 ,支持对防火墙规则的配置 ,并支持基于以下规则对报文进行过滤 :
— 支持根据源 MAC地址 、目的 MAC地址进行报文过滤 ;
— 支持根据源 IP地址及范围段 、目的 IP地址及范围段进行报文过滤 ;
— 支持根据 TCP/UDP源端口及范围段 、目的端口及范围段进行报文过滤 ;
— 支持根据以太网包的传输层协议类型进行报文过滤 ,要求有 IP/PPPoE/ARP/ND的选项 ;
— 支持根据 IP 包 的 传 输 层 协 议 类 型 进 行 报 文 过 滤 , 要 求 有 TCP/UDP/ICMP/TCP+UDP/ ANY 的选项 ;
— 支持对匹配规则的报文进行处理模式的选择 ,对匹配规则的报文的处理模式 ,有允许和禁止两种 ,默认为禁止模式 。
8. 1.5 病毒扫描功能(可选)
企业网关可选具有对企业用户互联网业务流量的病毒过滤功能,支持 HTTP、SMTP、POP3、FTP等协议 ,支持病毒代码库/防病毒引擎定期的自动更新 。
8. 1.6 入侵检测功能(可选)
网关可选具有入侵检测功能 ,对流入和流出的流量进行扫描和特征匹配 。 网关应可以阻止检测到
的入侵行为 ,并记入日志 。
8. 1.7 非法组播源控制功能
网关设备建议支持防止用户做源的组播 。 可以配置禁止用户端口发出的 IGMP查询和组播数据报文 。
8. 1. 8 报文速率抑制
网关建议能够对特定协议的广播/组播包(例如 DHCP,ARP/ND,IGMP/MLD等) 进行速率抑制 ,并能对其他两层广播报文进行速率限制 。
8.2 网络访问的安全性
网关应支持 DMZ和 DMZ主机功能 。
网关应支持基于 MAC地址和 IP地址进行接入控制(包括 LAN 和 WLAN) 。
网关应支持设置黑白名单实现 URL访问控制功能 。黑白名单应支持与账号绑定 。可选支持基于账号进行上网时间管理 。
网关应支持对企业内部用户上网行为的控制策略设置 ,可以基于 MAC地址 、主机名 、时间/日期等策略进行配置 。建议支持基于组的权限设置 。
网关可选支持 DPI功能 ,通过配置对特定的网络应用程序进行阻止或流量限制 。
8.3 设备访问安全性
8.3. 1 服务访问控制
网关应支持对访问 自身的 ACL规则的配置 ,可以配置授权的地址范围(默认为任何 IP地址) ,可以配置访问的接口(WAN/LAN),可以配置接入方式 HTTP/FTP/TELNET/SNMP/SSH。缺省情况下不允许通过 WAN侧访问网关设备本身进行设备数据配置(TR-069协议除外) 。
8.3.2 黑白名单
对网关的访问控制规则可以以黑名单或者白名单方式生效 。
8.4 WLAN 安全性
如果支持 WLAN AP接 口 , 网 关 设 备 必 须 支 持 配 置 不 同 SSID 以 区 分 网 络 , 支 持 启 用 或 者 关 闭SSID广播功能 。SSID可以隐藏 。
网关应支持开放系统(Open System)和共享密钥(Shared Key)两种认证方式 。
网关设备应支持的加密机制按国家有关规定执行 。
可选支持 WPS,如果用户使用 WPS Push Button方式接入 ,则按照 WPS规范协商加密算法和密钥 。每个 SSID下都维护一张许可接入的设备列表 ,为已经过 WPS验证的接入设备列表 。列表内的设备允许随时接入 ,非列表内的设备经过 WPS验证成功后加入至列表中 ;许可接入列表可在网关查询 。
9 操作管理维护
9. 1 管理方式
9. 1. 1 概述
企业网关所有参数(各类用户名/密码配置等私密信息除外)的配置和查询都应同时支持本地管理
和远程管理两种方式 。
9. 1.2 远程管理功能
网关应支持 RMS通过 TR-069对其进行远程管理 ,可选作为代理支持通过 TR-069协议对宽带客户网络内部设备进行远程管理 。 网关可选支持 SNMP方式进行管理 。
网关应支持通过 PPPoE或 DHCP方式获得独立的管理 IP地址 。
当网络 侧 接 口 为 ADSL2+接 口 时 , 管 理 通 道 应 支 持 采 用 独 立 的 PVC 通 道 ; 当 网 络 侧 接 口 为VDSL2、以太网 、GPON 或 EPON 接口时 ,管理通道应支持采用独立的 VLAN。
TR-069远程管理功能 、协议应符合 YD/T 1814和 YD/T 1814. 2 的规定 。
SNMP协 议 应 支 持 SNMPv1 和 SNMPv2c。 SNMPv1 见 IETF RFC 1157。 SNMPv2c见 IETF RFC 1901。
网关设备可选支持通过 IPv6承载要求的管理协议 。
9. 1.3 本地管理功能
网关应支持通过 HTTPS方式进行本地管理,可选支持 TELNET方式。
本地管理方式应支持两级用户账号管理模式 , 即普通用户账号和管理维护账号 。普通用户账号只具备网关联网的基本配置和设备查询能力 ;管理维护账号具备网关完整的配置和管理能力 ,并且能够查询普通账号的用户名 ,修改普通账号信息 。
网关应支持登录空闲超时自动退出 ,连续输入错误密码应能锁定 ,锁定时间至少 1 min。
网关应支持本地进行恢复出厂配置操作 。
9.2 日志功能
网关应提供记录日志 ,包括系统日志 、访问 日志 、防火墙 日志 、告警记录等 , 能够记录网关设备的登录记录 、管理配置操作 , 以及记录宽带客户网络外部和内部间违反预先设定的规则或策略的访问(如非法攻击 ,对某些互联 网 站 点 的 访 问 等) , 并 提 供 查 询 、清 空 日 志 记 录 功 能 。 日 志 文 件 建 议 为 文 本 文 件格式 。
日志文件断电应不丢失 。
网关应支持 NTP协议 ,并为 日志记录带上时间戳 。
日志应可通过远程管理或本地管理功能获取和操作 。
9.3 故障管理功能
网关应具有实时告警上报功能 。上报的告警消息种类和级别等应可配置 。告警消息同时应在网关本地进行保存 。TR-069协议中具体的告警上报机制待定 。
建议网关至少支持下列告警消息 :
a) 严重告警 :
— 端口不可用 ;
— 文件服务器不可达 ;
— 文件服务器用户名/密码错误 ;
— 下载文件超时 ;
— 服务器上无指定文件 ;
— 软件升级失败 ;
— 闪存空间不足 。
b) 主要告警 :
—CPU使用率过高 ;
— 日志空间受限 。
c) 次要告警 :
— 设备重启 ;
— 管理员登录连续错误次数超过最大值 。
9.4 软件升级功能
网关中的系统和应用软件应可通过网管系统进行升级 。升级软件时应具有容错校验功能 ,如果升级失败 ,应能恢复到原来的软件版本 。
远程升级操作应允许运营商定义设备的保留参数 ,这些参数在经历升级操作后不应被清除 。
9.5 配置的保存和恢复
网关应允许管理员用户对系统的配置进行保存下载 、上传恢复等功能 。
9.6 恢复出厂配置操作
在通过远程 、本地进行恢复出厂配置操作 ,应允许运营商定义设备的保留参数 ,这些参数在经历恢复出厂设置后不应被清除 。
10 性能要求
10. 1 WAN侧性能
10. 1. 1 ADSL2+传输性能
当网关工作在 ADSL2+线路模式下时 ,物理层传输性能应符合 YD/T 1530的要求 。
10. 1.2 VDSL2传输性能
当网关工作在 VDSL2线路模式下时 ,物理层传输性能应符合 YD/T 2278—2011的要求 。
10. 1.3 EPON接口性能
应符合 YD/T 1475的要求 。
10. 1.4 GPON接口性能
应符合 YD/T 1949. 1 的要求 。
10. 1.5 以太网业务性能
具体要求待定 。
10. 1.6 VoIP业务性能
应符合 YD/T 1188—2008中 8. 5 的要求 。
10. 1.7 MAC地址表深度
网关应支持不小于 4000个 MAC地址转发表项 。
10. 1. 8 静态路由条目数
建议网关支持不小于 128条静态路由表项 。
10. 1.9 NAPT并发连接数
建议网关在开启 NAPT功能时支持的最大并发 TCP连接数不小于 1 000条 。
10.2 LAN侧性能
10.2. 1 以太网接口
用户侧以太网接口间应达到无阻塞交换 。
10.2.2 WLAN性能
对于 IEEE 802. 11 中 b模式下 ,理想环境下最大吞吐量不小于 5. 5 Mbit/s。
对于 IEEE 802. 11 中 g模式下 ,理想环境下最大吞吐量不小于 20 Mbit/s。
对于 IEEE 802. 11 中 n模式 ,在 20 MHz信道 2 空间流最大吞吐量不小于 70 Mbit/s。
对于 IEEE 802. 11 中 n模式 ,在 40 MHz信道 2 空间流最大吞吐量不小于 140 Mbit/s。
10.3 设备吞吐量
对于 ADSL2+ 、VDSL2和 3G等无线方式上行的网关 ,吞吐量不应小于上联接口的最大连接速率能力 。
对于以太网接口和 EPON/GPON上行的网关 ,吞吐量待定 。
网关在开启 IPSec、L2TP等 VPN加密连接时 ,吞吐量不应低于无加密时的 75% 。
11 其他要求
11. 1 环境要求
网关在以下室内环境中应能正常工作 :
— 工作温度 :0 ℃ ~40 ℃ ;
— 工作湿度 :5% ~ 95%无凝结 ;
— 大气压力 :86kPa~ 106kPa。
11.2 供电要求
网关(或其电源 适 配 器) 应 支 持 本 地 交 流 供 电 方 式 , 输 入 交 流 电 压 及 其 波 动 范 围 要 求 为 : 单 相100V~ 240V,频率 50 Hz,频率变化范围为 5% ,线电压波形畸变率小于 5% 。设备在此范围内应正常工作 。
建议企业网关提供双路电源接 口 ,支持电源的保护倒换 。
11.3 过压、过流保护
网关应内置过压 、过流保护器件 。过压 、过流保护器件在外接电源异常时保护设备的核心部分 。
网关应满足 YD/T 993规定的要求 ,其中对于要求性能不劣化的过压 、过流测试项 目 ,经过压 、过流测试后的设备应能达到相关传输性能要求 。
11.4 电磁兼容
网关应满足 YD/T 1965 中的相关要求 。
11.5 环保要求
网关应满足 SJ/T 11363中的相关要求 。网关应采用低能耗设计方案 。
下一篇: GB/T 32403.1-2015 基于公用电信网的宽带客户网络设备技术要求 第1部分:家庭用宽带客户网关
上一篇: GB/T 32404-2015 基于M2M技术的移动通信网物流信息服务总体技术框架
