GB/T40420.6-2021
基于公用电信网的宽带客户网关虚拟化第6部分:虚拟企业网关功能技术要求
Broadbandcustomergatewayvirtualizationbasedonpublictelecommunicationnetwork—Part6:Technicalrequirementsforvirtualizedbusinessgateway
- 中国标准分类号(CCS)M42
- 国际标准分类号(ICS)33.050
- 实施日期2022-02-01
- 文件格式PDF
- 文本页数17页
- 文件大小1.48M
以图片形式预览基于公用电信网的宽带客户网关虚拟化第6部分:虚拟企业网关功能技术要求
基于公用电信网的宽带客户网关虚拟化第6部分:虚拟企业网关功能技术要求
国家标准 GB/T40420.6一2021 基于公用电信网的宽带客户网关虚拟化 第6部分:虚拟企业网关功能技术要求 aselmpubictelemmumiceatom Broadbandcustomergatewayvirtualization network一Part6Technicalreguirementsforvirtualbusinessgateway 2021-10-11发布 2022-02-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/T40420.6一2021 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 企业网关虚拟化的总体架构 5.1企业网关虚拟化的逻辑结构 5.2企业虚拟网关功能参考模型 虚拟企业网关功能要求 6.1虚拟企业网关总体要求 接人功能 6.2 6.3传送功能 地址功能 6.4 QS功能 6.5 安全功能 6.6 VPN组网功能 6.7 6.8对实体网关的管理功能 虚拟企业网关的管理和控制 7.1虚拟企业网关管理控制架构 7.2系统配置管理 10 7.3告警与诊断 7.4企业业务配置管理 11 附录A(资料性附录)企业虚拟化网关相关业务流程示例 12 A.1实体企业网关初始化配置流程 12 A.2宽带业务流程 12 A.3企业IPSecVPN组网业务流程 12 附录B资料性附录虚拟企业网关用户管理门户 14
GB;/T40420.6一2021 前 言 GB/T40420《基于公用电信网的宽带客户网关虚拟化》已发布以下部分 第1部分:总体要求; 第2部分;语音虚拟化技术要求; -第3部分:实体家庭网关技术要求; 第4部分;实体企业网关技术要求; 第5部分;虚拟家庭网关功能技术要求; 第6部分;虚拟企业网关功能技术要求; 第7部分;管理要求 第8部分:接口要求
本部分为GB/T40420的第6部分
本部分按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任 本部分由工业和信息化部提出 本部分由全国通信标准化技术委员会(SAc/TC485)归口
本部分起草单位;电信集团有限公司、联合网络通信集团有限公司、信息通信研究院、 移动通信集团有限公司、中兴通讯股份有限公司、华为技术有限公司,烽火科技集团有限公司、 上海诺基亚贝尔股份有限公司
本部分主要起草人;胡杰、吕航、冯明、王波、谢久雨、支金龙、李妮、肖扬、刘玉飞、杨晨、江志峰、 沈毅纲、李明、朱晓雨、刘谦、张德朝、陈伟、林薇、韩静、罗哗
GB;/T40420.6一2021 基于公用电信网的宽带客户网关虚拟化 第6部分:虚拟企业网关功能技术要求 范围 GB/T40420的本部分规定了公用电信网宽带客户网关虚拟化后虚拟企业网关的逻辑架构和功能 参考模型软件功能、协议等方面的要求
本部分适用于基于公用电信网的虚拟企业网关
注:如无特别说明,本部分中所出现的宽带客户网络均指基于公用电信网的宽带客户网络,电信网络均指公用电信 网络,虚拟网关均指虚拟企业网关 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
件
GBT40420.1一2021基于公用电信网的宽带客户网关虚拟化第1部分.总体要求 支持IPG的接人网总体技术要求 YD/T23722011 二层隧道协议(L.ayerTwo TumelnProocof'L2T吵 IETFRFC2661 ETFRFc2663IP网络地址转换器(NAT)术语和注意事项[IPNetworkAddressTranslatot NAT)TerminologyandConsiderations灯 ETRFC3022传统IP网络地址转换[TraditionalIPNetworkAddressTranslator(Traditional NAT)] ETFRFCc3027使用IP网络地址转换的协议复杂性(ProtocolComplicationswiththeIP NetworkAddressTranslator) ETFRFc3193使用IPsec保护L2TP(SecuringL2TPusingIPsec) IETFRFC3489通过网络地址转换器实现用户数据报协议(UDP)的简单遍历[STUN-Simple TraversalofUserDatagramProtocol(UDP)ThroughNetworkAddressTranslators(NATs)] IETFRFC3931二层隧道协议第三版[LayerTwoTunnelingProtocol-Version3(L.2TPv3] 术语和定义 下列术语和定义适用于本文件
3. 实体网关physicealgateway 在宽带客户网关虚拟化场景下部署在宽带客户侧的网关设备
3.2 实体企业网关physicalbusinessgateway 在宽带客户网关虚拟化场景下部署在宽带企业客户侧的网关设备
GB/T40420.6一2021 3.3 虚拟网关 virtualgateway 在宽带客户网关虚拟化场景下部署在网络侧网关功能集合
注这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在用户侧的实体网 关一起提供宽带客户网关的功能
3.4 虚拟企业网关virtualbusinessgateway 在宽带客户网关虚拟化场景下部署在网络侧的企业网关功能集合
注这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在客户侧的实体企 业网关一起提供宽带企业网关的功能 缩略语 下列缩略语适用于本文件
AAA;认证、授权和计费(Authentication,Authorization,Accounting AES;高级加密标准(AdvaneedEneryptionStandard AH:验证头(AuthenticationHeader) ALG,应用层网关(Applicationl.ayerGateway) AN:接人网(AccessNetwork ARP:地址解析协议(AddressResolutionProtocolD BSS:业务支撑系统(BusinessSupportSystem CAR:承诺访问速率(CommittedAccessRate CPU:中央处理器(CentralProcessingUnit amicDomainNameServer DDNS:动态域名服务(Dyne DDoS;分布式拒绝服务(DistributionDenialofServiee) DES:数据加密标准(DataEneryptionStandard) DHCP;动态主机配置协议(DynamicHostConfigurationProtocol DHCP-PD:动态主机配置协议前缀委派(DynamicHostConfigurationProtocolPrefixDeles eeEeation) DNS;域名系统(DomainNameSystem) DoS:拒绝服务(DenialofServiee' DPD;断线侦测(DeadPeerDetection) rentiatedServicesCodePoint DsCP;差分服务代码点(Differ EMS:网元管理系统(ElementManagementSystem ncapsulatingSecutiyPayload ESP;封装安全有效载荷(Enea FTP:文件传输协议(FileTransferProtocol GRE;通用路由封装(GenerieRoutingEneapsulation) TransferProtocol HTTP;超文本传输协议(H Iyper TransferProtocoloverSecureSocketLayer) HTTPS超文本传输安全协议(Hyper InternetControlMessageProtocol CMP互联网控制消息协议(Int ProtocolD IGMP:互联网组管理协议(InternetGroupMan anagement IKE:互联网密钥交换(Int ternetKeyExchange P:互联网协议(InternetProtocol) PSec;互联网协议安全性(Inm nternetProtocolSecurity)
GB;/T40420.6一2021 Pv4;互联网协议第四版(nt nternetProtocolv4 IPv6;互联网协议第六版(InternetProtocolv6 Tunneling Protocol L2TP:第二层隧道协议(Layer2 L.AN;局域网LocalAreaNetworlk L.SL;逻辑用户连接(L.ogiealSubscriberLink umAccessControl MAC媒体介人控制层(Mediu tworkAddressTranslation NAT:网络地址转换(Net NetworkAddressandPortTranslation NAPT:网络地址与端口转换 NFV0;网络功能虚拟化编排器(NetworkFunetionVirtualizationOrchestration) OLT:光线路终端(OpticalLine erationSupportSystem OSs;运营支撑系统(Ope PBG:实体企业网关(PhysicalBusinessGateway P(ON:无源光网络(PassiveOpticalNetwork PPP:点对点协议(PointtoPointProtocol) PPPoE:以太网上传送点到点协议(PointtoPointProtocoloverEthernet QoS,服务质量(ServiceofQuality) RIP:路由信息协议(RoutingInformationProtoeol RIPng;下一代路由信息协议(RoutinglInformationProtocolnextgeneration) RTSP:实时流协议(RealTimeStreamingProtocolD sIP;信令控制协议(SessionInitiationProtocol) SLAAC;无状态地址自动配置(StatelessAddressAutoconfiguration) ssID;服务集标识(ServiceSetIdentifier) TCP传输控制协议(TransnmissionControlProtocol Tos;服务类型(TypeoService UDP;用户数据报协议(UserDatagramProtocol VBG:虚拟企业网关(VirtualBusinessGateway) VID;V1.AN标识(VLANldentifer) VIAN:虚拟局域网(VirtualLAN) NetworkFunetionManager) VNFM.虚拟网络功能管理器(Virtual VPN;虚拟专用网络(VirtualPrivateNetwork VXLAN;虚拟扩展局域网(VirtualeXtendedLAN wAN广域网(wideAreaNetwork) wRR:加权循环调度(weightedRoundRobin) wLAN;无线局域网(wirelessL.ocalAreaNetworks) 企业网关虚拟化的总体架构 5.1企业网关虚拟化的逻辑结构 企业网关虚拟化的逻辑结构如图1所示
GB/T40420.6一2021 网络侧 用户侧 VBGl LSL1 PBG1 VBG2 LSL2 PBG2 VBG3 LSL3 VBGx PBG3 LSL LSL PBGx 接口 图1企业网关虚拟化逻辑结构 如图1所示,实体企业网关(PBG)位于企业用户侧,包含着所有依赖于硬件的功能,而虚拟企业网 关(VBG)为分布式的虚拟存在,完成企业网关其他的逻辑功能
实体企业网关的逻辑用户连接通过虚 拟企业网关基础设施的ISL接口与对应的虚拟网关连接
图中虚线部分表示虚拟网关与实体网关不 -定是-一对应关系一个虚拟网关可以对应多个实体网关一个实体网美可以对应多个虚拟网关
5.2企业虚拟网关功能参考模型 企业虚拟网关系统的网络功能是分布式部署的,虚拟企业网关(VBG)和实体企业网关(PBG)构成 了虚拟网关系统
企业虚拟网关的功能参考模型如图2所示
VBG 管理与割 IP4IPv6传送 路由控制 上行流量os 下行流量oos PBG LSL 口 NATNAPT DHCP服务 DNS服务 VP组网 P地址管理 增值服务 安个管理 图2企业虚拟网关的功能参考模型
GB;/T40420.6一2021 企业虚拟网关的系统组件如下 wAN接口功能; 逻辑用户连接接口功能 IPv4/IPv6传送 路由控制; 上行流量Qos; 下行流量QoS; P地址管理/DHCP服务器; 管理与控制 -网络地址及端口转换(NAPT); DNS服务; 安全管理; VPN组网; 增值服务
企业虚拟网关系统在用户侧的是实体企业网关(PBG),这部分的网络功能是将数据流量转发到虚 拟网关,如图2所示
虚拟企业网关功能要求 6. 虚拟企业网关总体要求 虚拟企业网关的不同模式分类应符合GB/T40420.1一2021中7.2的规定,具体功能要求见表1
表1不同模式的虚拟网关功能要求 模式一 模式二 功能 逻辑连接功能 支持 支持 接人功能 上行wAN连接接人 支持 支持 支持 支持 桥接/路由 VL.AN功能 支持 支持 传送功能 组插功能 支持 支持 路由功能 支持 支持 DNS功能 支持 支持 NAT/NAPT功能 支持 可选 地址功能 ALG 支持 支持 支持 支持 DHCP功能 支持 支持 IPv6 业务流分类和标记 支持 可选 QOS功能 业务流限迷 支持 可选 优先级队列调度 可选 支持
GB/T40420.6一2021 表1续 功能 模式 模式二 防DoS攻击 支持 支持 防端口扫描 支持 支持 安全功能 防火墙 支持 支持 非法组播源控制功能 可选 可选 支持 报文抑制 支持 支持 支持 l.2TPVPN功能 VPN组网功能 IPseeVPN功能 支持 支持 管理功能 对实体网关的管理 支持 支持 .2接入功能 6.2.1逻辑连接功能要求 虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连援(L.sL),至少支持以下模式中的 种接人模式 单层VILAN模式 双层VLAN模式; 隧道模式,如GRE、L2TPVPN、IPSecVPN、VXLAN等
虚拟企业网关应支持通过IP会话监控所有的I.S的状态,并支持报文周期、超时等时钟的配置
6.2.2上行wAN连接接入功能 虚拟企业网关应能够支持接人运营商的IP网络
虚企业网关应支持发起PPPoE/DHCP连接
虚拟企业网关可选支持动态主机配置协议中继(DHCPRelay)功能,能够将终端的DHCP请求转 发给位于宽带客户网络外部的DHCP服务器,并返回分配地址结果
虚拟企业网关应支持至少16个wAN连接同时工作,应支持至少8个路由wAN连接同时工作
当虚拟企业网关建立了一条以上的wAN连接时,应支持不同wAN连接之间的数据(包括DNS ARP、管理应用数据等)的完全隔离
宽带业务流程参见附录A中A.2
6.3传送功能 6.3.1工作模式 虚拟企业网关应支持工作在桥接、路由以及桥接/路由混合等模式
6.3.2VL.AN功能 虚拟企业网关应支持接收不带标签(untagged)优先级标签(prioritytagged)或带标签(tagged) 报文 虚拟企业网关应支持对上行untagged报文添加VID,对priority-tagged报文添加VID,支持丢弃 tagged报文
GB;/T40420.6一2021 虚拟企业网关应支持将下行接收到的tagged报文去掉标签
6.3.3组播功能 虚拟企业网关应支持互联网组管理协议代理(IGMPproxy)和互联网组管理协议嗅探(IGMP snooping)功能,IGMP协议支持IGMPv2,可选支持IGMPv3
6.3.4路由功能 虚拟企业网关应支持静态路由配置,可选支持RIPv1/v2协议,可选支持下一代路由信息(RIPng 协议
6.4地址功能 6.4.1DNS功能 虚拟企业网关应支持在DHCP会话过程中将DNS服务器地址发送给客户网络内部设备,DNS服 务器的地址可以配置,并能对客户网络内部设备的DNS请求进行转发并将解析结果送回给客户网络内 部设备
虚拟企业网关应支持DDNs功能
虚拟网关应支持DNSv6
6.4.2NAT功能 采用模式一的虚拟网关应支持NAT/NAPT功能,符合IETFRFC2663,IETFRFC3022和IETF RFC3027的规定
虚拟企业网关应支持IETFRFC3489定义的coneNAT R心 虚拟企业网关应支持配置端口前转(PortFor ing),支持虚拟服务器(VirtualServer),用户可 Orwa1 选择常见协议(如FTP、HTTP等)进行虚拟服务器配置,网关应至少同时支持8个虚拟服务器的配置
采用模式二的虚拟企业网关此功能可选
6.4.3ALG功能 虚拟企业网关应支持AIG功能,支持sIP,FTP,RTSP,L2TP,H.323的私网穿越功能,可选支持 IPSec协议,每种协议应提供单独的开关功能
6.4.4DHCP功能 虚拟企业网关的wAN侧应支持静态配置IP地址、DHCP和PPPoE三种方式获取IP地址信息
虚拟企业网关wAN侧接口应支持动态主机配置协议客户端(DHCPClient)功能,能够获取IP地 址信息,包括IP地址、DNS服务器地址、IP网关地址等
虚拟企业网关应支持动态主机配置协议服务器(DHCPServer)功能,为用户侧设备分配P地址 1P地址池可配置
网关的DHCPServer应支持针对不同企业用户的终端分配同一个地址池的不同地 址段,或为每一个企业分配一个单独的地址池
网关的DHCPServer应支持查看地址池中已分配的地 址情况,包括客户端名称,MAC地址、,IP地址、剩余租借期等
虚拟企业网关的DHCPserver应支持根据用户侧设备上报的DHCP60选项(Option6o)标识,为 不同类型的设备从同一网段不同的IP地址区间中分配IP地址,不同设备IP地址池可配置
6.4.5IP6功能 虚拟企业网关应支持IPv6协议族,包括支持SLAAC,DHCPPD和PPP承载IPv6时的各种地址
GB/T40420.6一2021 获取方式;支持对实体网关LAN侧设备的IPv6地址的分配
虚拟企业网关应支持IPv4/IPv6双协议栈,支持同时获取IPv4以及IPv6地址的能力
虚拟企业网关应支持的IPv6具体功能要求见YD/T2372一2011
6.5Q0S功能 6.5.1业务流分类和标记功能 采用模式一的虚拟企业网关应支持外部网络要求的Qos机制,虚拟企业网关应支持以下流分类 技术: 支持按源IP(包括网段和范围)、目的IP(包括网段和范围、源端口、目的端口、物理接口(包括 a ssID)进行流分类; 支持按源MAC地址、目的MAC地址、虚拟局域网标识(VLANID)、802.1D进行流分类 b 支持按DsCP进行流分类; c 支持按协议类型(TCP/UDP/1CMP)进行流分类; d 可选支持通过识别业务报文,对动态业务进行流分类例如通过识别sIP报文,提取呼叫语音 o 流的IP地址/UDP端口号信息,并施加已经配置的流分类策略" 可选支持按照ToS进行流分类
f 采用模式二的虚拟企业网关在PBG侧要有QoS控制,VBG可选支持QoS功能 6.5.2业务流限速功能 虚拟企业网关应支持对业务进行流量控制,包括每种上行业务流的CAR、LAN-wLAN的CAR
应支持CAR规则的配置
6.5.3优先级队列调度功能 虚拟企业网关应支持至少4个优先级队列,并能根据流分类的结果将业务流映射到不同的队列,应 支持绝对优先级队列调度和wRR队列调度方式,应支持绝对优先级和加权优先级的混合调度
6.6安全功能 6.6.1防攻击能力 6.6.1.1防D0s攻击能力 虚拟企业网关应支持防止死亡Ping(P'ingofDeath),同步序列编号泛洪(SYNFlood)等DoS攻击, 并建议虚拟企业网关能够防止对自身代理的应用协议(例如,DNS)进行攻击
6.6.1.2防端口扫描能力 虚拟企业网关应能够提供防端口扫描功能,支持防其他设备或者应用的恶意端口扫描
6.6.1.3非法组播源控制功能(可选 虚拟企业网关建议支持防止用户做组播源的组播报文,禁止用户端口发出的互联网组管理协议请 求(IGMPQuery)和组播数据报文
6.6.2防火墙功能 虚拟企业网关应支持防火墙功能,支持对防火墙等级的设置,支持对防火墙规则的配置,并支持基
GB;/T40420.6一2021 于以下规则对报文进行过滤 支持根据源MAC地址、目的MAC地址进行报文过滤; -支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤 支持根据IP源端口及范围段、目的端口及范围段进行报文过滤; -支持根据以太网包的传输层协议类型进行报文过滤,要求有IP/PPPoE/ARP的选项 支持根据P包的传输层协议类型进行报文过滤,要求有TCP/UDP/ICMP/TCP+UDP或其 他任意类型协议的选项; 2 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止 种,默认为禁止模式
6.6.3报文抑制 虚拟企业网关建议能够对特定协议的广播/组播包(例如DHCP,ARP,IGMP等)进行抑制,对其他 广播报文的速率限制参数可配置
6.7VPN组网功能 6.7.1L.2IPVPN功能 虚拟企业网关应支持L.2TPv2功能,支持在UDP上承载L2TP报文,符合IETFRFC266l;可选支 持L2TPv3,符合IETFRFC3931
虚拟企业网关可选支持IETFRFC3193,即支持结合IPSec加密的L2TP隧道
6.7.2IPseeVPN功能 虚拟企业网关支持IPSeeVPN功能的相关要求 应支持多种工作方式;传输模式AH、隧道模式AH、传输模式ESP隧道模式ESP emoteAe 应支持站点到站点(SitetoSite),远程访问(Re ccess)等VPN组网形式 应支持预共享密钥和X.509数字证书等认证方式来进行VPN认证; 应支持IKE 应支持3DES,AES128、AEs192、AES256等符合国家密码管理的有关规定的加密算法
支 持多种哈希验证算法; 应支持基于固定IP地址建立IPSec隧道,支持通过域名建立IPSec隧道; 应支持断线侦测(DPD)协议; 可支持不同VPN隧道和非VPN流量的优先级处理; 应支持互联网流量转发,提供“到Internet的VPN路由通道”可配置选项,客户端通过IPSse VPN拨人后,不仅能够访问局域网资源,同时能够访问互联网
PSecVPN的组网业务流程参见A.3
6.8对实体网关的管理功能 虚拟企业网关应支持作为代理对实体网关进行相关配置和管理
虚拟企业网关的管理和控制 7.1虚拟企业网关管理控制架构 虚拟企业网关系统支持平台的管理和控制,包括虚拟企业网关部分和实体企业网关部分都应支持,
GB/T40420.6一2021 管理和控制的功能包括软件系统和设备的管理配置、设备工作模式的控制、企业业务认证鉴权等信息的 配置管理,企业业务模式的控制等
虚拟企业网关系统管理控制架构见图3
用户 BSSOSS Portal NFvo 管理平台 ANEMS VNFM VRG 系统配置管理 告瞥与诊断 企业业务配置管理 AN PBG 设备管理控制 设备告警管理 图3虚拟企业网关系统管理控制架构 如图3所示,虚拟企业网关支持管理平台和VNFM中的一种或多种管理,不同的管理模块,可根据 企业网关的部署情况、企业业务的实际需要分布在不同的平台上
虚拟企业网关应支持的管理平台远程管理方式,包括万维网(web)登录(基于HTTPS)方式,以及 通过宽带论坛(BhroadbandForum)发布的TRR069协议管理
虚拟网关管理门户的功能参见附录B 虚拟企业网关的初始化配置流程示意参见A.l
7.2系统配置管理 虚拟企业网关接受来自管理平台对其的系统性功能的配置管理及控制,包括网络接口、DHCP服 务器、防火墙等以及对网关工作模式的控制
系统配置管理的内容包括 -网络功能错误及告警管理; -网络功能配置管理; -网络节点拓扑管理; -网络QoS配置; -网络安全的配置管理; 网络功能相关的软件管理 -操作系统相关软件的配置管理
10
GB;/T40420.6一2021 7.3告警与诊断 虚拟企业网关系统在运行中,可能会产生错误或告警,告警和错误既可以来自虚拟网关,也可能来 自实体企业网关部分,虚拟企业网关系统接受管理平台的配置管理与控制,同时虚拟企业网关将实体企 业网关部分的配置管理参数通过管理控制接口下发给实体网关
可监控组件包括网络接口,CPU使用 情况、内存占用情况以及存储的占用情况,管理平台对监控组件相关阔值进行设置,当监控组件运行中 超过闵值,则产生告警或错误,告警和错误信息可实时也可累计向平台发出,虚拟企业网关对告警信息 和错误信息可进行评估诊断,将诊断评估结果上报平台
通过该功能可管理的内容包括: -网络接口的错误及告警管理; -设备运行错误及告警管理; 设备运行故障诊断 -网络故障诊断
7.4企业业务配置管理 虚拟企业网关的配置管理主要是业务参数的配置管理,例如IPSeeVPN,L2TP隧道的各项技术参 数,相关企业业务的认证、鉴权等信息的配置管理
5 11
GB/T40420.6一2021 附录A 资料性附录) 企业虚拟化网关相关业务流程示例 实体企业网关初始化配置流程 A.1 PON上行实体网关初始化配置流程如下 实体网关正常上电,首先要进行并通过上行PON口的OLT认证 a b)通过OL.T认证后,如果是首次上电,实体网关通过管理控制平台进行初始化配置,包括宽带 账号,相关服务器设备地址等 如果不是首次上电,实体网关通过动态主机配置协议客户端(DHCPclient)或以太网上传送点 到点协议客户端(PPPoEclient),获得IP地址(可选); d 实体网关创建LSL连接虚拟网关,如果LSL需要穿越NAT,实体网关利用获得的IP地址创 建VPN或VXLAN承载LSL
A.2宽带业务流程 A.2.1模式一下的虚拟网关宽带业务流程如下 a 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或wLAN端口 b 企业实体网关侧的终端发送DHCP请求,请求通过LSL发送到虚拟网关(VBG); VBG获取DHCP请求后,给用户终端分配IP地址 c d 企业终端发送上网请求,上网请求通过LSL发送到VBG VBG代理用户向AAA发起认证计费请求 请求通过后,VEG转发用户终端上网请求 企业内部终端访问企业内部其他终端,实体网关根据目标MAC和IP地址直接转发
日 A.2.2模式二下的虚拟网关宽带业务流程如下 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口; a 企业实体网关侧的终端发送DHCP请求,实体网关收到DHcP请求后,给用户终端分配 b IP地址; 终端发送上网请求,实体网关代理用户向AAA发起认证计费请求 c d 请求通过后,实体网关转发用户终端上网请求 根据配置,特定的上网流量通过V1BG进行转发,比如IPsecVPN数据流量; e 企业内部终端访问企业内部其他终端,实体网关根据目标MAc和IP地址直接转发
f A.3企业IPsecVPN组网业务流程 企业的各分支机构的实体网关连接不同的虚拟网关,当不同虚拟网关下的实体网关要发起建立 IPsecVPN隧道时,同时在虚拟网关之间建立IPSecVPN隧道,各实体网关通过不同的虚拟网关建立 起IPsecVPN隧道,虚拟网关之间建立的是SiteToSite模式的VPN,如图A.1所示
12
GB;/T40420.6一2021 企业分支1 企业分支2 Lsi PSecVPN LsL PBG1 VBG1 VBG2 PBG2 LS PBG3 企业分支3 图A.1基于VG的企业IPSeeVPN组网 PSecVPN组网业务流程如下 a 虚拟网关间配置好VPN的各项参数,包括IKE策略、预共享秘钥、,IPSee策略、各实体网关侧 的企业子网信息等; 当某虚拟网关下的主机欲与另一虚拟网关下的主机通信,发送通信请求,实体网关将请求发 送至虚拟网关; 虚拟网关根据目标子网地址,向对端的虚拟网关发起VPN建立请求 d 对端虚拟网关响应请求,双方根据IKE策略、IPSec策略建立起VPN隧道; 实体网关侧主机之间相互通信
13
GB/T40420.6一2021 附录B 资料性附录) 虚拟企业网关用户管理门户 企业的虚拟网关管理系统,可向用户提供管理界面,虚拟企业网关系统的管理门户可向网关系统的 用户提供以下服务 自助服务;包括服务选择,服务配置,地址配置,路由配置,安全配置等; -性能监控;包括可用性,各项性能统计,历史数据统计报告,运行日志等; 服务激活/修改;用户不仅需要物理设备的管理配置,也需要对虚拟网关的服务和处理能力等 进行配置管理,用户可以根据需要添加新的服务并且配置服务参数
虚拟企业网关系统的用户管理门户提供企业多点,多分支机构的实体网关设备和虚拟网关的监控 以及配置管理
虚拟网关系统的用户管理门户并不是虚拟网关系统的一个组件,可以根据用户需求对实体网关和 虚拟网关进行服务的启停及配置参数的修改,并且用户门户需要提供安全机制以防止用户参数错误而 导致不良后果
14
基于公用电信网的宽带客户网关虚拟化第6部分:虚拟企业网关功能技术要求GB/T40420.6-2021解读
随着云计算技术的发展和应用,虚拟化已经成为了网络建设的必然趋势。而作为企业与外部网络之间的重要枢纽,企业网关在虚拟化方面也有了长足的发展。在此背景下,国家标准化管理委员会发布了基于公用电信网的宽带客户网关虚拟化第6部分:虚拟企业网关功能技术要求GB/T40420.6-2021。
该标准主要针对企业网关的虚拟化需求,规定了虚拟企业网关的技术要求,包括系统架构、虚拟化技术、安全性能等方面。其中,系统架构部分规定了虚拟企业网关的整体框架,包括管理层、控制层、数据层等模块的划分和功能要求;虚拟化技术部分则要求虚拟企业网关支持多种虚拟化技术,如KVM虚拟化和容器虚拟化等;安全性能方面则要求虚拟企业网关具备完善的安全策略和防护能力,确保企业网络的安全。
总的来说,GB/T40420.6-2021标准的发布,对于推动企业网关虚拟化的发展具有重要意义。在实际应用中,企业可以根据标准的要求,选择合适的虚拟企业网关产品,提高企业网络的灵活性、可靠性和安全性。
