国家标准 GB/T32403.2一2015 基于公用电信网的宽带客户网络设备技术要求第2部分:企业用宽带客户网关 Technicalreguirementsforeguipmentsinbroadbandcustomernetwork hsedonteleeommumieationnetwork一Part2:;Enterpriseateway 2015-12-31发布 2016-07-01实施中毕人民共和国国家质量监督检验检疫总局发布中国国家标准化管厘委员会国家标准
GB/T32403.2一2015 目次前言范围规范性引用文件术语和定义缩略语企业用宽带客户网关的设备概述 5.1网关在宽带客户网络中的位置 5.2网关的功能参考模型接口要求 6.1用户侧接口 6.2网络侧接口 6.3USIM卡接口设备功能联网功能 7.1 7.2接人功能 7.3传送功能 7.!地址功能 7. QoS功能 7. UsB功能(可选 7. 以太网环路检测功能安全功能防攻击功能 8.1 8.2网络访问的安全性 8.3设备访问安全性 8.4 WLAN安全性操作管理维护 9.1管理方式 9.2日志功能 9.3故障管理功能 1" 9.4软件升级功能 13 9.5配置的保存和恢复 1" 9.6恢复出厂配置操作 10 性能要求 13 10.1wAN侧性能 13 10.2L.AN侧性能 14 10.3设备吞吐量 1
GB/T32403.2一2015 11其他要求 11.I环境要求 l 11.2供电要求 1 11.3过压,过流保护 14 11.4电磁兼容 15 11.5环保要求 15 I
GB/T32403.2一2015 前言 GB/T32403《基于公用电信网的宽带客户网络设备技术要求》由两部分组成: -第1部分;家庭用宽带客户网关; -第2部分;企业用宽带客户网关本部分为GB/T32403的第2部分本部分按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本部分由工业和信息化部提出本部分由全国通信标准化技术委员会(SAC/TC485)归口本部分起草单位:工业和信息化部电信研究院、华为技术有限公司、上海贝尔股份有限公司本部分主要起草人:程强,侯聪、葛坚、张钦亮、陈晓业
GB/T32403.2一2015 基于公用电信网的宽带客户网络设备技术要求第2部分:企业用宽带客户网关范围 GB/T32403的本部分规定了基于公用电信网的宽带客户网络(以下简称宽带客户网络)中企业用宽带客户网关的设备分类,接口、设备功能、安全功能、操作管理维护要求、性能和环境要求、供电要求等本部分适用于基于公用电信网的宽带客户网络中的企业用宽带客户网关规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T7611数字网系列比特率电接口特性 GB/T9951信息技术系统间远程通信和信息交换34插针DTE/DCE接口连接器的配合性尺寸和接触件编号分配 GB15629,11(所有部分信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分;无线局域网媒体访问控制和物理层规范电信终端设备防雷技术要求及试验方法 YD/T993 YD/T1188一2008接人网技术要求不对称数字用户线(ADsL/ADsL.2十)用户端设备 YD/T1475接人网技术要求一基于以太网方式的无源光网络(EP(oNy YD/T1530接人网技术要求一频谱扩展的第二代不对称数字用户线(ADsL2十) 第1部分;总体 YD/T1814基于公用电信网的宽带客户网络的远程管理 YD/T1814.2基于公用电信网的宽带客户网络远程管理第2部分;协议接人网技术要求 YD/T1949.1 -吉比特的无源光网络(GPON)第1部分:总体要求 YD/T1965基于公用电信网的宽带客户网络设备及其辅助设备的电磁兼容性要求和测量方法 YD/T1996.1接人网技术要求第二代甚高速数字用户线(VDSL2)第1部分:总体要求 YD/T2278一2011接人网设备测试方法第二代甚高速数字用户线(VDSL.2 s/T11363电子信息产品中有毒有害物质的限量要求 ITU-TV.24数据终端设备(DTE)和数据电路终接设备(DCE)之间的交换电路定义表[Listof defnitionsforinterchangecircuitsbetweendataterminalequipmentDTE)anddatacireuit-termina- (DCE7 tingequipment ITU-TV.35一1984使用60-108kH么群带电路速率为48kbit/、的数据传输(Datatransmissionm at48kbit/susing60-108kH2groupbandeireuits IEEE802.3CSMA/CD访问方法和物理层规范[CarrierSenseMultipleAcceswithColisionm Deteetion(CSMA/CD)AccessMethodandPhysiceal]
GB/T32403.2一2015 IETFRFC1157简单网络管理协议[ASimpleNetworkManagermentProtocol(sNMP IETFRFc1901基于团体的sNMPv2的介绍(IntroduetiontoCommunity-basedsNMPv2) IETFRFC2663IP网络地址转换术语及思考[IPNetworkAddressTranslator(NATTermi nologyandConsiderations IETFRFC3022 传统IP网络地址转换[TraditionalIPNetworkAddressTranslator (TraditionalNAT IETFRFC3027IP网络地址转换的协议兼容性(ProtocolComplicationswiththeIPNetwork AddressTranslator) 心 raversalofUserDatagranmProtocol IETFRFC3489NAT的UDP简单穿越[sTUN-Simple UDPThroughNetworkAddressTranslatorsNAT) TR-069" tProto BroadbandForum" Amendment2CPEwAN管理协议(CPEwANManagement co 术语和定义下列术语和定义适用于本文件 3.1 IGMP/ML.D嗅探IGMP/NMLDsnooping 通过在IEEE802.1桥上侦听组播路由器或接收组播的主机发出的IGMP/MLD消息,达到优化组播流在二层网络上的分发的功能,包括但不限于 -侦听通过桥转发的IGMP/MID消息判定IGMP/MlD路由器和主机的端口位置; 建立基于端口和VLAN的组播转发表 -在非路由器端口维护基本IGMP/MlD成员关系状态 3.2 IGMP/MLD代理IGMP/MLD 力 roXy 该功能可被分解为个子功能报告抑制;截取和处理来自IGMP/MLD主机的Repor报文,仅在必要的时候才向上行转发例如当组播组中第一个用户加人时;对于每个组播组的GMP/NMLDQuery报文仅响应一次离开抑制;截取和处理来自GMP/NLD主机的Leave报文.仅在必要的时候才向上行转发例如当组播组中最后一个用户离开时查询抑制:截取和处理IGMP/MLDQuery报文当实现以上功能时,功能实体可能转发IGMP/MLD主机和组播路由器发出的报文,也可能自己产生IGMP/MLD报文 3.3 ping攻击pingofdeathattack 利用一些超大字节的ICMP报文对设备进行攻击,使得设备系统崩溃,死机或者重启 sYN洪泛攻击sYNfoodattack 攻击设备不断地成倍发送只有sYN标志的TCP连接请求,以消耗尽被攻击设备的资源缩略语下列缩略语适用于本文件
GB/T32403.2一2015 3G:第三代无线通信系统(thirdgenerationwirelesssystenms) ADsL;不对称数字用户线(asymmetricdigitalsubscriberline) ADsL2十;频谱扩展的第二代不对称数字用户线(asymmetricdigitalsubscriberline2plus) ALG;应用层网关(applicationlayergateway ARP;地址解析协议(addressresolutionrrotocolD AP;接人点(accesspoint) ATM;异步传输模式(asynchronoustransfermode BRAs;宽带远程接人服务器(broadbandremoteaccessserver) CAR;承诺接人速率( committedaccessrate CBR,恒定比特率(constantbitrate DDNS;动态域名系统(dyn dynamicdomainnamesystem DHCP;动态主机配置协议(dynamichostconfigureprotocol DMZ隔离区( de-m -miitarizedzone DNS;域名系统( domainnamesystem DoS:拒绝服务de nialofserice DPI:深度包检测de leeppacketinspection DSCP:差分服务代码点(differentiatedservicescodepoint) DSL;数字用户线(digitalsubseriberline) accessmultiplexer) DSLAM;DSL接人复用器(DsL EP(ON:以太网无源光网络(ethern ernetpassiveopticalnetworks) FTP;文件传输协议(ile" trans nserrotocol abit-capablepassiveopticalnetworks G;PON:吉比特无源光网络giga HTTP超文本传输协议(hyperex transferprotocol HTTPS:安全超文本传输协议(hypertexttransferprotocolsecure GMP:互联网组管理协议(internetgroupmanagementprotocolD IP;互联网协议(internetprotocol PSec:互联网安全协议(internetprotocolsecurity) L2TP;2层隧道协议(layer tunnelingprotocol LAN:局域网(localareanetwork) MAC;媒质访问控制mediumaccesscontrolD MCS:调制编码方案(modulationcodingscheme MDI:媒质相关接口(mediadependentinterface) MDIX:交叉的媒质相关接口mediadependentinterfacewithcrossover MLD;组播侦听者发现(multicastlistenerdiscovery) NAPT:网络地址端口转换networkaddressporttranslation NAT:网络地址转换(networkaddresstranslation ND邻居发现(neighbordiscovery nrt-VBR;非实时的可变比特率(业务)(non-realtimeVBR NTP;网络时间协议(networktimeprotocol PO;无源光网络(passiveopticalnetwork) PPPoE;以太网承载点对点协议(point-to-pointprotocoloverethernet PVC;永久虚连接(permanentvirtualconneetion Qos;服务质量(qualityofservice)
GB/T32403.2一2015 RIP:路由信息协议(routinginformationprotocol RMS;远程管理服务器(remotemanagementserver) rt-VBR;实时的可变比特率(业务)(realtimeVBR SIP;会话初始化协议(sessioninitiationprotocol) SNMP简单网络管理协议(simplenetworkmanagementprotocol SSH:安全外壳协议(seeureshelI sSID;服务集标识符(servicesetidentifier SSL;安全套接层(securesocketlayer) STB;机顶盒(set-topbox) TCP;传输控制协议(ransmissioncontrolprotocol TDM时分复用(t timedivisionmultiplexing TELNET:终端网络(t terminalnetwork TFTP简单文件传输协议(trivialfletransfer protocol TLS;传输层安全( transportlayersecurity unspecifiedbitrate UBR;未规定比特率(业务)6 UDP;用户数据报协议(userdatagramprotocol) URL;统一资源定位符(e unifo1 formresourcelocator USB:通用串行总线(universalserialbus universalsubserilberidentitymodule) USIM;通用用户识别模块(G VBRR:可变比特率(variablebitrate) VDSL2;第二代甚高速数字用户线(veryhighspeeddigitalsubscriberline2) VID:VLAN标记(VLANidentifier) VLAN;虚拟局域网virtuallocalareanetwork VolP在IP上传送语音(voiceoverIP VPN;虚拟专用网络(virtual network) prIvate WAN:广域网(wideareanetwork WEP:有线等效加密(wiredequivalentprivacy wLAN;无线局域网(wirelesslocalareanetwork) WMM:Wi-Fi多媒体(Wi-Fimultimedia wRPQ;加权随机早期检测(weightedrandomparlydetection) WRR:加权循环调度(weightedroundrobin 企业用宽带客户网关的设备概述网关在宽带客户网络中的位置 5.1 企业用宽带客户网关在宽带客户网络中的位置如图1所示网关可以通过各种接口直接与接人网相连网关可以直接与企业用户终端设备或适配设备相连,也可以直接与企业的局域网相连如无特别说明,以下出现的网关均指企业用宽带客户网关
GB/T32403.2一2015 宽带客户刚络终端设备适配设备网关终端设备n DSsL/PoN以太网局域网无线接口等图1网关在宽带客户网络中的位置图 5.2网关的功能参考模型图2为网关功能模块划分示意图,包括5个方面的功能模块接人功能联网功能传送功能; 核心功能; 业务功能其中业务功能模块是可选的,其他功能模块是必选的网关的接人功能主要实现宽带客户网络与公用电信网络(以下简称电信网络)的连接网关的联网功能主要实现网关与宽带客户网络内部的用户终端设备及宽带客户网络内部的用户终端设备之间的连接网关的传送功能主要实现宽带客户网络内部设备与电信网络之间IP包等的传送网关的核心功能包括 -地址功能,主要实现网关自身IP地址获得以及支持宽带客户网络内部终端获得IP地址; QoS功能,主要实现多业务流的分级处理及转发,用于保证服务质量; 安全功能,主要防止外部网络对宽带客户网络的非法访问以及内部网络的非法接人; -远程管理功能,主要实现运营商对网关的远程管理与控制; 本地管理功能,主要实现网关功能的本地管理与控制网关的业务功能;主要实现网关上电信业务的适配和终接核心功能业务功能地址 volP 其 TDM 远程管理按他业业业 Qos 务入功务功能本地管理能能项联安全能网功能传送功能图2网关功能框图
GB/T32403.2一2015 接口要求 6.1用户侧接口 6.1.1100/1000BASE-T接口网关的用户侧接口应至少提供4路以太网100BASE-T接口,以及至少】路1000BASE-T接口 100/1000BASET接口应符合IEEE802.3相关要求,建议支持自适应连接网线的功能(AutoMD MD1X) 6.1.2wLANAP接口网关的用户侧接口可选提供wLANAP接口 wLANAP接口应支持GB15629.11系列标准定义的2.4GHa物理层规范,可选支持5.8GHa物理层 6.1.3US接口网关的用户侧接口可选提供USB接口 UsB接口应满足USB2.0,应支持USB主(Master)模式应支持全速FulSpeed(12Mbit/s)方式,可选支持高速Hi-Speed(480Mbit/s)方式 6.1.4乙接口网关的用户侧接口可选提供Z接口 6.1.52048kbit/s电接口(E1接口当提供TDM专线业务时,网关应支持2048kbit/s电接口(E1接口),接口应符合GB/T7611的规定 6.1.6V.24/N.35接口网关可选支持V.24或V.35接口 V.24接口应符合ITU-TV.24的规定 V.35接口物理特性应符合ITrU-TV.35一198410.1和GB/T9951的规定 6.2网络侧接口网关应至少支持下列接口之一作为网络侧接口,接人宽带网络为用户提供服务 -ADsL.2十接口; VISL2接口以太网(10/100/1000BASE-T)接口; -EPON接口; -GPON接口; -3G等无线接口 ADsL.2十接口应符合YD/T1530的规定 VDsL2接口应符合YD/T1996.1的规定 10/100/1000BASE-T接口应符合IEEE802.3相关要求 EPON接口应符合YD/T1475的规定
GB/T32403.2一2015 GP(ON接口应符合YD/1949.1的规定 3G等无线接口根据具体选择的技术应符合相应技术规范的接口要求 6.3USIM卡接口对于采用3G等无线接口作为网络侧接口的网关,应支持USIM卡接口设备功能 7.1 联网功能 7.1.1用户接口联网功能网关应支持客户网络内部各个有线和/或无线终端之间相互访间,数据流无需通过wAN连接网关应支持终端对网关的访问 7.1.2wL.ANAP功能(可选网关应支持通过硬件开关开启或关闭wLANAP功能网关的wLANAP功能应支持多ssID),至少支持4个虚拟AP,每个虚拟AP具有独立的配置功能,包括对SSID,发送队列,加密方式等参数的配置支持各SSID与物理或虚拟wAN接口例如 VLAN、PVC)的绑定关系网关的wL.ANAP功能应支持自动速率调节,IEEE802.11中b模式下速率调节范围为 11Mbit/s、5.5Mbit/s,2Mbit/、和1Mbit/s,IEEE802.11中g模式下速率调节范围为54Mbit/s、 48Mtbit/s,36Mbhit/s,24Mbit/s.,.18Mbhit/s,12Mbit/s,9Mtbit/、和6Mtit/s IEEE802.11中n模式下应支持工作在20MHz或40MHz信道带宽下,应支持IEEE802.11中n模式中规定的各种MCS 网关的WIANAP功能应支持手动或自动信道选择网关的wLANAP功能应能支持终端在节电模式下工作,并能识别终端进人节电状态网关的wLANAP功能可选支持发射功率可配置 7.2接入功能网关应至少支持6.2规定的网络侧接口之一网关应支持作为客户端建立PPPoE、L2TP,IPSecVPN隧道等连接的功能网关应支持IPv4/IPv6的双栈接人的能力在桥接方式下支持IPv6报文的透传在路由方式下支持以太网承载IPv6和PPP承载IPv6两种接人方式网关可选支持DHCP中继功能,能够将终端的DHCP请求转发给位于宽带客户网络外部的 DHCP服务器,并返回地址分配结果 7.3传送功能 7.3.1设备工作模式网关应支持工作在桥接,路由或桥接/路由混合模式,在各种模式下,客户网络内的各个终端之间应能相互访问,各个终端应能对网关访问 7.3.2VLAN功能网关应支持接收无VLAN标记、携带优先级标记(VID=0)或VLAN标记的报文网关应支持对上行无VILAN标记报文添加p-bit和/或VID,对优先级标记的报文添加VID.支持
GB/T32403.2一2015 丢弃携带VLAN标记的报文网关应支持将下行接收到的VI.AN标记的报文去掉VLAN标记网关应支持1:1的VIAN转换功能网关应支持透明以太网专线业务(TLs)端口,透传用户无VLAN标记,携带优先级标记(VID=0 或VLAN标记的以太网报文网关应支持用户侧以太网端口或不同的wLANssID划分到不同的VLAN 7.3.3组播支持功能网关应支持IGMP/MLD代理和IGMP/MLD嗅探功能,IGMP协议支持IGMP2,可选支持 MLD协议应支持MLDl,可选支持MLDv2. IGMPv3 网关应支持跨L.AN组播功能.将组播VLAN中的下行组播流传送到用户侧单播L.AN端口 7.3.4路由功能网关应支持静态路由配置,可选支持RIPv1/2协议 7.4地址功能 7.4.1DNs功能网关应支持在DHCP会话过程中将DNS服务器地址发送给客户网络内部设备,DNS服务器的地址可以配置,并能对客户网络内部设备的DNS请求进行转发并将解析结果送回给客户网络内部设备网关应支持DDNS功能网关应支持DNSv6 7.4.2NAT功能网关应支持NAT/NAPT功能,符合IETFRFC2663,IETFRFC3022和IETFRFC3027规范网关应支持IETFRFC3489定义的锥形网络地址翻译(coneNAT) 网关应支持远程或本地配置端口前转(PortForwarding),支持虚拟服务器(VirtualServer),用户可选择常见协议(如FTP、HTTP等)进行虚拟服务器配置,网关应至少同时支持8个虚拟服务器的配置 7.4.3ALG功能支持AL.G功能,支持sIP,FTPRTsP,L2TP,H.323等协议的私网穿越功能,支持IPsec协议;每种协议必须提供单独的开关功能 7.4.4DHCP功能网关的WAN侧应支持静态配置IP地址、DHCP和PPPoE3种方式获取IP地址信息网关wAN侧接口应支持DHCP客户端功能,能够从网络侧接口获取IP地址信息,包括IP地址、 DNS服务器地址、,IP网关地址等网关LAN侧接口应支持DHCP服务器功能,为用户侧设备分配IP地址,IP地址池可配置网关的DHCP服务器应支持查看地址池中已分配的地址情况,包括客户端名称、MAC地址、,IP地址、剩余租借期等 DHCP服务器功能应可配置打开或关闭网关的DHCP服务器应支持根据用户侧设备上报的Option60标识,为不同类型的设备从同一网段不同的IP地址区间中分配IP地址,不同设备IP地址池可配置
GB/T32403.2一2015 7.4.5IPv6地址功能网关中的3层功能应支持IPw6协议族包括支持SLAAC,DHCPPD和PPP承载IPv6时的各种地址获取方式;支持对LAN侧设备的IPv6地址的分配 7.5QoS功能 7.5.1业务流分类和标记功能流分类技术是指采用一定的规则识别符合某类特征的报文,它是有区别地进行服务的前提和基础网关应支持外部网络要求的QoS机制,例如: -ATM的QoS机制; -以太网的Qos机制; -IP的QoS机制网关应支持以下流分类技术应支持按源IP(包括网段和范围)、目的IP(包括网段和范围,源端口、目的端口、物理接口(包括sSID)进行流分类; b)应支持按源MAC地址、目地MAC地址、VLANID,IEEE802.1D优先级进行流分类应支持按DSCP进行流分类; D 应支持按协议类型(TCP/UDP/ICMP)进行流分类可选支持通过识别业务报文,对动态业务进行流分类例如通过识别SIP报文,提取呼叫语音流的P地址/UDP端口号信息,并施加已经配置的流分类策略可选支持按ToS/trafficclas f s“域进行流分类网关应支持根据外部网络采用的QoS机制的不同,对流分类的结果进行标记或重标记如果外部网络采用ATM的QoS机制,网关可选支持流分类结果与PvC的映射;Pvc支持UBR .nrtvBR业务类型,并提供vc业务类型配置查询功能， CBR、rt-VBR、1 如果外部网络采用以太网的QoS机制,网关应支持流分类结果与802.ID优先级的映射如果外部网络采用P的Qos机制.网关应支持流分类结果与Pv4报文Tos.,DSCP域的映射.,以及与IPv6报文的流量类(trafieclass)域的映射 7.5.2业务流限速功能网关应支持对业务进行流量控制,包括每种上行业务流的CAR、LAN-wLAN的CAR 应支持 CAR规则的本地配置和远程配置 7.5.3优先级队列调度功能网关应支持至少4个优先级队列,并能根据流分类的结果将业务流映射到不同的队列,应支持绝对优先级队列调度、应至少支持wRR、wRED等加权队列调度方式之一,应支持绝对优先级和加权优先级的混合调度 7.5.4wL.ANQos功能网关具有wLANAP功能时,应支持wMM 支持数据流与wMM队列的映射,支持wMM定义的4种流类型及其优先级调度规则.支持基于优先级的数据处理和转发支持为不同的ssID分配不同的优先级
GB/T32403.2一2015 7.6UUSB功能(可选 USB接口可以用于提供USB共享打印、.USB共享存储、额外的上联接口卡的连接等功能 7.7以太网环路检测功能应支持检测并处理以下两类用户侧以太网成环情况 a)检测设备不同LAN/wLAN端口之间成环,并断开成环端口中的一个; 检测设备同一个LAN口之下的网络成环,并断开成环端口 b) 应支持通过网管远程配置该功能的开启或关闭当开启并发生成环事件时,网关应产生相应的告警信息安全功能 8.1防攻击功能 8.1.1防DoS攻击能力网关应支持防止ping攻击、sYN洪泛等DoS攻击建议网关能够防止对自身代理的应用协议(例如,DNS)的攻击 8.1.2防端口扫描能力网关应能够提供防端口扫描功能,支持防止其他设备或者应用的恶意端口扫描 8.1.3限制每端口AC地址学习数量功能网关应能限制从每个用户端口以及wAN口学习到的源MAC地址的数量 8.1.4防火墙功能网关应支持防火墙功能,支持对防火墙等级的设置,支持对防火墙规则的配置,并支持基于以下规则对报文进行过滤: 支持根据源MAC地址、目的MAcC地址进行报文过滤; 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 支持根据TCP/UDP源端口及范围段、目的端口及范围段进行报文过滤; 支持根据以太网包的传输层协议类型进行报文过滤,要求有IP/PPPoE:/ARP/ND的选项; 支持根据IP包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP+UDP ANY的选项; 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止两种,默认为禁止模式 8.1.5病毒扫描功能(可选》企业网关可选具有对企业用户互联网业务流量的病毒过滤功能,支持HTTP,SMTP,POP3,FTP 等协议,支持病毒代码库/防病毒引擎定期的自动更新 8.1.6入侵检测功能(可选) 网关可选具有人侵检测功能,对流人和流出的流量进行扫描和特征匹配网关应可以阻止检测到 l0
GB/T32403.2一2015 的人侵行为,并记人日志 8.1.7非法组播源控制功能网关设备建议支持防止用户做源的组播可以配置禁止用户端口发出的IGMP查询和组播数据报文 8.1.8报文速率抑制网关建议能够对特定协议的广播/组播包例如DHCP,ARP/ND,IGMP/MLD等)进行速率抑制，并能对其他两层广播报文进行迷率限制 8.2网络访问的安全性网关应支持DMZ和DMZ主机功能网关应支持基于MAC地址和IP地址进行接人控制(包括LAN和wLAN). 网关应支持设置黑白名单实现URL访问控制功能黑白名单应支持与账号绑定可选支持基手账号进行上网时间管理网关应支持对企业内部用户上网行为的控制策略设置,可以基于MAC地址、主机名,时间/日期等策略进行配置建议支持基于组的权限设置网关可选支持DPI功能,通过配置对特定的网络应用程序进行阻止或流量限制 8.3设备访问安全性 8.3.1服务访问控制网关应支持对访问自身的ACI规则的配置,可以配置授权的地址范围默认为任何IP地址),可以配置访问的接口(wAN/LAN),可以配置接人方式HTTP/FTP/TELNET/SNMP/SsH 缺省情况下不允许通过wAN侧访问网关设备本身进行设备数据配置(TR-069协议除外. 8.3.2黑白名单对网关的访问控制规则可以以黑名单或者白名单方式生效 wLAN安全性 8.4 如果支持wLANAP接口,网关设备必须支持配置不同SSI以区分网络,支持启用或者关闭 SSID广播功能 SSID可以隐藏网关应支持开放系统(OpenSystem)和共享密钥(SharedKey)两种认证方式网关设备应支持的加密机制按国家有关规定执行可选支持wPs,如果用户使用wPSPushButon方式接人,则按照wPS规范协商加密算法和密钥每个ssID下都维护一张许可接人的设备列表,为已经过wPs验证的接人设备列表列表内的设备允许随时接人,非列表内的设备经过wPs验证成功后加人至列表中;许可接人列表可在网关查询操作管理维护管理方式 9.1 9.1.1概述企业网关所有参数(各类用户名/密码配置等私密信息除外)的配置和查询都应同时支持本地管理 1l1
GB/T32403.2一2015 和远程管理两种方式 9.1.2远程管理功能网关应支持RMS通过TR-069对其进行远程管理,可选作为代理支持通过TR-069协议对宽带客户网络内部设备进行远程管理网关可选支持SNMP方式进行管理网关应支持通过PPPoE或DHCP方式获得独立的管理IP地址当网络侧接口为ADsL2十接口时,管理通道应支持采用独立的PVC通道;当网络侧接口为 VDSL2、以太网GPON或EPON接口时,管理通道应支持采用独立的VLAN TR-069远程管理功能、协议应符合YD/T1814和YD/T1814.2的规定 SNMP协议应支持SNMPv1和SNMPv2c SNMPvl见IETFRFC1157 SNMIPv2c见IETF RFC1901 网关设备可选支持通过IPv6承载要求的管理协议 g.1.3本地管理功能网关应支持通过HTTPS方式进行本地管理,可选支持TELNET方式本地管理方式应支持两级用户账号管理模式,即普通用户账号和管理维护账号普通用户账号只具备网关联网的基本配置和设备查询能力;管理维护账号具备网关完整的配置和管理能力,并且能够查询普通账号的用户名,修改普通账号信息网关应支持登录空闲超时自动退出,连续输人错误密码应能锁定,锁定时间至少1 min 网关应支持本地进行恢复出厂配置操作 9.2 日志功能网关应提供记录日志,包括系统日志,访问日志,防火墙日志、告警记录等,能够记录网关设备的登录记录,管理配置操作,以及记录宽带客户网络外部和内部间违反预先设定的规则或策略的访同(如非法攻击,对某些互联网站点的访问等),并提供查询、清空日志记录功能日志文件建议为文本文件格式日志文件断电应不丢失网关应支持NTP协议,并为日志记录带上时间戳日志应可通过远程管理或本地管理功能获取和操作故障管理功能 9.3 网关应具有实时告警上报功能上报的告警消息种类和级别等应可配置告警消息同时应在网关本地进行保存 TR-069协议中具体的告警上报机制待定建议网关至少支持下列告警消息严重告警 a -端口不可用文件服务器不可达; 文件服务器用户名/密码错误; 下载文件超时; 服务器上无指定文件; -软件升级失败 -闪存空间不足主要告警: b 12
GB/T32403.2一2015 CPU使用率过高日志空间受限次要告警 C 设备重启管理员登录连续错误次数超过最大值 9.4软件升级功能网关中的系统和应用软件应可通过网管系统进行升级升级软件时应具有容错校验功能,如果升级失败,应能恢复到原来的软件版本远程升级操作应允许运营商定义设备的保留参数,这些参数在经历升级操作后不应被清除 9.5配置的保存和恢复网关应允许管理员用户对系统的配置进行保存下载、上传恢复等功能 9.6恢复出厂配置操作在通过远程,本地进行恢复出厂配置操作,应允许运营商定义设备的保留参数,这些参数在经历恢复出厂设置后不应被清除 10 性能要求 10.1 wAN侧性能 10.1.1ADSL2+传输性能当网关工作在ADsL2十线路模式下时,物理层传输性能应符合YD/T1530的要求 10.1.2VIDsL2传输性能当网关工作在VDsL2线路模式下时,物理层传输性能应符合YD/T2278一2011的要求 10.1.3EPON接口性能应符合YD/T1475的要求 10.1.4GPoN接口性能应符合YD/T1949.1的要求 10.1.5以太网业务性能具体要求待定 10.1.6volP业务性能应符合YD/T1188一2008中8.5的要求 10.1.7MIAC地址表深度网关应支持不小于4000个MAC地址转发表项 13
GB/T32403.2一2015 10.1.8静态路由条目数建议网关支持不小于128条静态路由表项 10.1.9NAT并发连接数建议网关在开启NAPT功能时支持的最大并发TCP连接数不小于1000条 10.2LAN侧性能 10.2.1以太网接口用户侧以太网接口间应达到无阻塞交换 10.2.2wLAN性能对于IEEE802.11中b模式下,理想环境下最大吞吐量不小于5.5Mbit/s 对于IEEE802.11中g模式下,理想环境下最大吞吐量不小于20Mbit/s 对于IEEE802.11中n模式,在20MHz信道2空间流最大吞吐量不小于70Mbit/s 对于IEEE802.11中n模式,在40MHz信道2空间流最大吞吐量不小于140Mbit/s 5 10.3设备吞吐量对于ADSL.2+,VDSL.2和3G等无线方式上行的网关,吞吐量不应小于上联接口的最大连接速率能力对于以太网接口和EPON/GPON上行的网关,吞吐量待定网关在开启IPSec,L2TP等vPN加密连接时,吞吐量不应低于无加密时的75% 11 其他要求 1.1 环境要求网关在以下室内环境中应能正常工作 -工作温度;0一40; -工作湿度;5%一95%无凝结; 大气压力:86kPa~106kPa 11.2供电要求网关(或其电源适配器)应支持本地交流供电方式,输人交流电压及其波动范围要求为:单相 100V一240v,频率50Hz,频率变化范围为5%,线电压波形畸变率小于5% 设备在此范围内应正常工作建议企业网关提供双路电源接口,支持电源的保护倒换 11.3过压,过流保护网关应内置过压、过流保护器件过压、过流保护器件在外接电源异常时保护设备的核心部分网关应满足YD/T993规定的要求,其中对于要求性能不劣化的过压,过流测试项目，经过压,过流测试后的设备应能达到相关传输性能要求 14
GB/T32403.2一2015 11.4电磁兼容网关应满足YD/T1965中的相关要求 11.5环保要求网关应满足s/T11363中的相关要求网关应采用低能耗设计方案 15

企业用宽带客户网关技术要求

一、什么是宽带客户网关？

宽带客户网关(Broadband Customer Premises Equipment)是指连接广域网和局域网之间的设备，通常放置在用户的网络边缘。它通过与ISP(Internet Service Provider)相连，将公共网络和私有网络（如公司内部网络）连接起来。

二、什么是公用电信网？

公用电信网(Public Telecommunication Network)是指由国家或地方政府或其他机构提供的各种电信服务的网络。它包括固定电话、移动电话、互联网和数据通信等各种服务。

三、宽带客户网关技术要求

作为企业接入公用电信网的重要设备，宽带客户网关有一系列技术要求。

网络接口：支持以太网、VLAN和WAN口等多种接口，实现对不同类型的网络的连接。
安全性：支持VPN和防火墙技术，保证数据的安全传输。
管理功能：支持远程管理和监控，方便管理员对设备进行配置和维护。
性能指标：支持高速传输、低时延、高稳定性和高可靠性。

四、企业用宽带客户网关的应用

企业用宽带客户网关的主要应用是实现企业内部网络与公用电信网之间的连接。通过宽带客户网关，企业可以实现远程访问、视频会议、数据传输等多种应用场景。

此外，企业还可以通过宽带客户网关实现虚拟专线（Virtual Private Line）和云接入等服务，提升网络的灵活性和可扩展性。

五、结论

企业用宽带客户网关在企业的网络接入中起到了至关重要的作用。GB/T32403.2-2015作为国家标准，规范了宽带客户网关的技术要求，为企业的网络接入提供了保障。