GB/T 40420.5-2021 基于公用电信网的宽带客户网关虚拟化 第5部分：虚拟家庭网关功能技术要求

　　ICS 33 . 050 M 42

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40420 . 5—2021

　　基于公用电信网的宽带客户网关虚拟化第 5 部分：虚拟家庭网关功能技术要求

　　Broadbandcustomergatewayvirtualizationbasedonpublictelecommunication

　　network—part5：Functionandtechnologyrequirementsforvirtual

　　residentialgateway

　　2021-10-1 1 发布 2022-02-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40420 . 5—202 1

　　GB/T 40420 . 5—202 1

　　前 言

　　GB/T 40420《基于公用电信网的宽带客户网关虚拟化》已发布以下部分：

　　— 第 1 部分：总体要求;

　　— 第 2 部分：语音虚拟化技术要求;

　　— 第 3 部分：实体家庭网关技术要求;

　　— 第 4 部分：实体企业网关技术要求;

　　— 第 5 部分：虚拟家庭网关功能技术要求;

　　— 第 6 部分：虚拟企业网关功能技术要求;

　　— 第 7 部分：管理要求;

　　— 第 8 部分：接口要求。

　　本部分为 GB/T 40420 的第 5 部分。

　　本部分按照 GB/T 1 . 1—2009 给出的规则起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。

　　本部分由中华人民共和国工业和信息化部提出。

　　本部分由全国通信标准化技术委员会(SAC/TC 485)归口 。

　　本部分起草单位：中国联合网络通信集团有限公司、中兴通讯股份有限公司、中国信息通信研究院、中国移动通信集团有限公司、中国电信集团有限公司、烽火科技集团有限公司、上海诺基亚贝尔股份有限公司。

　　本部分主要起草人：丁海、周晓霞、袁立权、程强、张德朝、王波、韩静、罗晔。

　　GB/T 40420 . 5—202 1

　　基于公用电信网的宽带客户网关虚拟化第 5 部分：虚拟家庭网关功能技术要求

　　1 范围

　　GB/T 40420 的本部分规定了公用电信网宽带客户网关虚拟化后虚拟家庭网关的逻辑架构和功能参考模型、软件功能、协议等要求。

　　本部分适用于基于公用电信网的虚拟家庭网关。

　　注：如无特别说明，本部分中所出现的宽带客户网络均指基于公用电信网的宽带客户网络，电信网络均指公用电信网络。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件，仅注 日期的版本适用于本文件 。凡是不注 日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 40420 . 1—2021 基于公用电信网的宽带客户网关虚拟化 第 1 部分：总体要求

　　GB/T 40420 . 7—2021 基于公用电信网的宽带客户网关虚拟化 第 7 部分：管理要求

　　YD/T 2372—2011 支持 IPv6 的接入网总体技术要求

　　IETF RFC 2663 IP 网络地址转换器(NAT) 术语和注意事项[IP Network Address Translator

　　(NAT) Terminology and Considerations]

　　IETF RFC 3022 传统 IP 网络地址转换器(传统 NAT)[Traditional IP Network Address Trans-

　　lator ( Traditional NAT)]

　　IETF RFC 3027 IP 网络地址转换器协议(Protocol Complications with the IP Network Address

　　Translator)

　　IETF RFC 3489 STUN-UDP 穿越 NAT 简单方法[STUN-Simple Traversal of User Datagram

　　Protocol (UDP) Through Network Address Translators (NATs)]

　　3 术语和定义

　　GB/T 40420 . 1—2021 界定的术语和定义适用于本文件。

　　4 缩略语

　　下列缩略语适用于本文件。

　　AAA：认证授权计费(Authentication、Authorization、Accounting)

　　ACL：访问控制列表(access control list)

　　ALG：应用层网关(Application Layer Gateway)

　　AN：接入网(Access Network)

　　ARP：地址转化协议(Address Resolution Protocol)

　　BNG：宽带网络网关(Broadband Network Gateway)

　　GB/T 40420 . 5—202 1

　　CAR：承诺访问速率(Committed Access Rate)

　　DDNS：动态域名服务(Dynamic Domain Name Server)

　　DHCP：动态主机配置协议(Dynamic Host Configuration Protocol)

　　DLNA：数字生活网络联盟(Digital Living Network Alliance)

　　DNS：域名服务(Domain Name Server)

　　DSCP：差分服务代码点(Differentiated Services Code Point)

　　EM：网元管理(Element Managment)

　　FTP：文件传输协议(File Transfer Protocol)

　　GRE：通用路由封装(Generic Routing Encapsulation)

　　HTTP：超文本传输协议(HyperText Transfer Protocol)

　　ICMP : Internet控制报文协议(Internet Control Message Protocol)

　　IGMP：互联网组管理协议(Internet Group Management Protocol)

　　IP：互联网协议(Internet Protocol)

　　IPv4 ：第四版互联网协议(Internet Protocol v4)

　　IPv6 ：第六版互联网协议(Internet Protocol v6)

　　IPTV : IP 电视( Internet Protocol Television)

　　LAN：局域网(Local Area Network)

　　ICMP：控制报文协议(Internet Control Message Protocol)

　　L2TP：二层隧道协议(L2 Tunnel Protocol)

　　LSL：逻辑用户连接(Logical Subscriber Link)

　　MAC：媒质访问控制(Medium Access Control)

　　MANO : NFV 的管理和编排器(NFV management and orchestration)

　　NAPT：网络端口地址转换(Network Address Port Translation)

　　NAT：网络地址转换(Network Address Translation)

　　NFV：网络功能虚拟化(Network Function Virtualization)

　　NFVI：网络功能虚拟化基础设施(Network Function Virtualization Infrastructure)

　　NFVO：网络功能虚拟化编排器(Network Functions virtualization Orchestrator)

　　NS：网络服务(Network Service)

　　OLT：光线路终端(Optical Line Terminal)

　　PG：实体网关(Physical Gateway)

　　PON：无源光网络(Passive Optical Network)

　　PPP：点到点协议(Point to Point Protocol)

　　PPPoE：以太网上传送点到点协议(Point to Point Protocol over Ethernet)

　　PRG：实体家庭网关(Physical Residential Gateway)

　　QoS：服务质量(Quality of Service)

　　RIP：基于距离矢量算法的路由协议(Routing Information Protocol)

　　RTSP：实时流传输协议(Real Time Streaming Protocol)

　　STB：机顶盒(Set Top Box)

　　SIP：会话初始协议(Session Initiation Protocol)

　　SR：业务路由器(service router)

　　SSID：服务集标识(Service Set Identifier)

　　TCP：传输控制协议(Transmission Control Protocol)

　　ToS：服务类型(Type of service)

　　GB/T 40420 . 5—202 1

　　UDP：用户数据报协议(User Datagram Protocol)

　　UPnP：通用即插即用协议(Universal Plug and Play)

　　vAN：虚拟接入网络(virtual Access Network)

　　vBNG：虚拟宽带网络网关(virtual Broadband Network Gateway)

　　VG：虚拟网关(Virtual Gateway)

　　VID：虚拟局域网 ID标识(Virtual Local Area Network Identity)

　　VIM：虚拟化基础设施管理器(Virtualized Infrastructure Manager)

　　VLAN：虚拟局域网(Virtual Local Area Network)

　　VNF：虚拟网络功能(Virtual Network Function)

　　VNFM：虚拟网络功能管理器(Virtual Network Function Manager)

　　VPN：虚拟专用网络(Virtual Private Network)

　　VRG：虚拟家庭网关(virtual Residential Gateway)

　　VxLAN：虚拟扩展局域网(Virtual Extensible Local Area Network)

　　WAN：广域网(Wide Area Network)

　　WLAN：无线局域网(Wireless Local Area Network)

　　WRR：加权循环调度算法(Weighted Round Robin)

　　5 宽带客户网关虚拟化总体要求

　　5 . 1 虚拟家庭网关在网络中的位置

　　虚拟家庭网关在网络中的位置见 GB/T 40420 . 1—2021 的图 1,宽带客户网关虚拟化相关业务和部署流程参见附录 A 和附录 B。

　　5 . 2 虚拟家庭网关在 NFV 中的位置

　　宽带客户网关虚拟化是 NFV整体架构的一部分，具体的逻辑架构如图 1 所示：

　　图 1 VRG在 NFV 中的位置

　　VRG 可以是一个 VNF,也可以是多个 VNF 的集合。

　　VRG 运行在 NFVI 上，接受 VNFM 和 EM 的管理。 VNFM 负责 VNF 的生命周期管理;EM 是网

　　GB/T 40420 . 5—202 1

　　元管理功能，在本部分中指网关管理平台，实现对虚拟网关与实体网关的管理。 NFVI 包括通用硬件资源、虚拟化中间件和虚拟化资源。 NFVI 可跨越不同的地理位置部署，同时提供不同地理位置之间的网络连通性，也属于 NFVI 的一部分;VIM 的主要功能是实现对整个基础设施层资源的管理和监控;NF- VO 负责虚拟化资源管理和监控，提供自动化的管理能力，实现跨 VIM、跨 VNFM 的资源编排和协同管理。

　　其中，Vn-Nf、Vi-Ha、Os-Ma-nfvo 等均表示各功能模块之间对应的接口，如图 1 所示。

　　5 . 3 虚拟家庭网关和其他网元虚拟化的关系

　　虚拟家庭网关是接入网虚拟化和城域网虚拟化的一部分，VRG 和实体家庭网关一起为家庭用户提供宽带业务。

　　由于 VRG、vAN 和 vBNG/BNG 的部分功能重合，如 DHCP、NAT、防火墙、QoS、VLAN 等，故在

　　具体实现时，重合功能可以进行融合部署。

　　6 虚拟家庭网关逻辑架构和功能参考模型

　　6 . 1 虚拟家庭网关和实体家庭网关对应关系

　　如图 2 所示，根据 VRG部署的位置和处理能力的不同，一个 VRG 可以对应一个或多个 PRG。 在某些特定的应用场景下，一个 PRG也可以对应多个 VRG。

　　图 2 VRG和 PRG的对应关系

　　6 . 2 虚拟家庭网关功能参考模块

　　虚拟家庭网关功能主要包含 5 个方面的软件功能。

　　对于软件功能，分为以下部分：

　　— 接入功能;

　　— 管理功能;

　　— 传送功能;

　　GB/T 40420 . 5—202 1

　　— 业务功能;

　　— 核心功能。

　　虚拟家庭网关的接入功能主要实现虚拟家庭网络与 IP 网络的连接以及与实体家庭网关之间的逻辑连接。

　　虚拟家庭网关的管理功能主要实现运营商管理平台对虚拟家庭网关的远程管理、虚拟家庭网关对实体家庭网关的管理以及对实体家庭网关的代理管理。

　　虚拟家庭网关的传送功能主要实现 IP 数据包转发和传送。

　　虚拟家庭网关的核心功能主要实现的功能包括：

　　— 地址功能，主要实现支持宽带客户网络内部终端获得 IP 地址及相关协议;

　　—QoS 功能，主要实现多业务流的分级处理及转发;

　　— 安全功能，主要防止外部网络对宽带客户网络的非法访问以及内部网络的非法接入。

　　虚拟家庭网关的业务功能是指基于业务链(service chain)或容器等技术扩展新的增值业务，如家长

　　控制、存储共享等。

　　虚拟家庭网关功能模块模型参考图 3 。

　　图 3 VRG功能分类组成

　　7 虚拟家庭网关功能要求

　　7 . 1 虚拟家庭网关功能总体要求

　　针对虚拟家庭网关的不同功能划分模式见 GB/T 40420 . 1—2021 的 7 . 3,具体功能要求见表 1 。

　　表 1 不同功能模式的虚拟家庭网关功能要求

　　GB/T 40420 . 5—202 1

　　表 1(续)

　　7 . 2 接入功能

　　7 . 2 . 1 逻辑连接终接功能

　　虚拟家庭网关应支持一个或多个 PRG 通过 LSL 连接，至少支持以下接入模式中的一种：

　　— 单层 VLAN 模式;

　　— 双层 VLAN 模式;

　　— 隧道模式，如 GRE、L2TP VPN、VxLAN 等。

　　GB/T 40420 . 5—202 1

　　虚拟家庭网关应支持通过 IP 会话进程监控所有的 LSL 的状态，并支持报文周期、超时等时钟的配置。

　　7 .2 .2 上行 WAN连接接入功能

　　虚拟家庭网关网关应能够支持接入运营商的 IP 网络。

　　虚拟家庭网关网关应支持发起 PPPoE/DHCP 连接。

　　虚拟家庭网关网关可选支持 DHCP Relay 功能，能够将终端的 DHCP请求转发给位于宽带客户网

　　络外部的 DHCP 服务器，并返回分配地址结果。

　　应支持至少 16 个 WAN 连接同时工作，应支持至少 8 个路由 WAN 连接同时工作。

　　当虚拟家庭网关网关建立了一条以上的 WAN 连接时，应支持不同 WAN 连接之间的数据(包括DNS、ARP、管理应用数据等)的完全隔离。

　　7 . 3 管理功能

　　具体管理功能符合 GB/T 40420 . 7—2021 的要求。

　　7 . 4 传送功能

　　7 . 4 . 1 设备工作模式

　　虚拟家庭网关应支持工作在桥接、路由或桥接/路由混合模式。

　　7 . 4 . 2 VLAN功能

　　虚拟家庭网关应支持接收未标记(untagged)、优先标记(priority-tagged)或标记(tagged)报文。

　　虚拟家庭网关应支持对上行 untagged 报文添加 p-bit 和/或 VID,对 priority-tagged 报文添加VID,支持丢弃 tagged报文。

　　虚拟家庭网关应支持将下行接收到的 tagged报文去掉 tag。

　　7 . 4 . 3 组播支持功能

　　虚拟家庭网关应支持 IGMP proxy 和 IGMP snooping 功能，IGMP 协议支持 IGMP v2 ,可选支持

　　IGMP v3 。

　　7 . 4 . 4 路由功能

　　虚拟家庭网关应支持静态路由配置，可选支持 RIP v1/v2 协议。

　　7 . 4 . 5 IPv6 功能

　　虚拟家庭网关应支持 IPv6 协议栈，并支持同时运行 IPv4/IPv6 双协议栈。

　　虚拟家庭网关应支持的 IPv6 具体功能要求符合 YD/T 2372—2011。

　　7 . 5 业务功能

　　7 . 5 . 1 扩展 LAN功能

　　虚拟家庭网关应支持多个家庭网络之间通过 LSL进行互通，实现多个家庭网络组成一个新的逻辑网络。

　　7 . 5 . 2 防火墙功能

　　虚拟家庭网关应支持防火墙功能，支持对防火墙等级的设置，支持对防火墙规则的配置，并支持基

　　GB/T 40420 . 5—202 1

　　于以下规则对报文进行过滤：

　　— 支持根据源 MAC 地址、目 的 MAC地址进行报文过滤;

　　— 支持根据源 IP 地址及范围段、目 的 IP 地址及范围段进行报文过滤;

　　— 支持根据 IP 源端口及范围段、目 的端口及范围段进行报文过滤;

　　— 支持根据以太网包的传输层协议类型进行报文过滤，要求有 IP、PPPoE 和 ARP 的选项;

　　— 支持根据 IP包的传输层协议类型进行报文过滤，要求有 TCP、UDP、ICMP、TCP+ UDP 和所有协议的选项;

　　— 支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止2 种，默认为禁止模式。

　　7 . 6 地址功能

　　7 . 6 . 1 DHCP功能

　　可选支持虚拟家庭网关的 WAN 侧接口通过 DHCP 方式获取 IP 地址信息。

　　虚拟家庭网关可选支持 DHCP Client 功能，能够从网络侧接 口获取 IP 地址信息，包括 IP 地址、

　　DNS 服务器地址、IP 网关地址等。

　　虚拟家庭应支持 DHCP server 功能，为用户侧设备分配 IP 地址，IP 地址池可配置。虚拟家庭网关的 DHCP server应支持针对不同家庭用户的终端分配同一个地址池的不同地址段，或为每一个家庭分配一个单独的地址池。虚拟家庭网关的 DHCP server应支持查看地址池中已分配的地址情况，包括客

　　户端名称、MAC地址、IP地址、剩余租借期等。

　　虚拟家庭网关的 DHCP server应支持根据用户侧设备上报的 Option 60 标识，为不同类型的设备

　　从同一网段不同的 IP 地址区间中分配 IP 地址，不同设备 IP 地址池可配置。

　　7 . 6 . 2 NAT功能

　　虚拟家庭网关应支持 NAT/NAPT 功能，符合 IETF RFC 2663 、IETF RFC 3022 和 IETF RFC 3027 的要求。

　　虚拟家庭网关应支持 IETF RFC 3489 定义的 cone NAT。

　　虚拟家庭网关应支持远程或本地配置 Port Forwarding,支持 Virtual Server,用户可选择常见协议(如 FTP、HTTP 等)进行 Virtual Server 配置。

　　7 . 6 . 3 DNS功能

　　虚拟家庭网关应支持将自己的网关地址作为 DNS Server地址发送给客户网络内部设备，能对客户

　　网络内部设备的 DNS请求进行转发并将解析结果送回给客户网络内部设备。

　　网关应支持 DDNS 功能。

　　7 . 6 . 4 ALG功能

　　虚拟家庭网关应支持 ALG 功能，支持 SIP、FTP、RTSP、L2TP、H . 323 的私网穿越功能，可选支持

　　IPSec穿越;每种协议应提供单独的开关功能。

　　7.7 QoS功能

　　7 . 7 . 1 业务流分类和标记功能

　　虚拟家庭网关应支持外部网络要求的 QoS机制：

　　— 以太网的 QoS机制;

　　GB/T 40420 . 5—202 1

　　—IP 的 QoS机制。

　　虚拟家庭网关应支持以下流分类技术：

　　— 支持按源 IP(包括网段)、目 的 IP(包括网段)、源端口 、目 的端口 、物理接口(包括 SSID)进行流分类;

　　— 支持按源 MAC 地址、目 的 MAC 地址、IEEE 802 . 1D进行流分类;

　　— 支持按 DSCP 进行流分类;

　　— 支持按协议类型(TCP/UDP/ICMP)进行流分类;

　　— 可选支持通过识别业务报文，对动态业务进行流分类，例如通过识别 SIP 报文，提取呼叫语音流的 IP 地址/UDP 端口号信息，并施加已经配置的流分类策略;

　　— 虚拟家庭网关应支持对流分类的结果进行标记或重标记：

　　— 应支持使用 DSCP、IEEE 802 . 1D标记;

　　— 可选支持使用 ToS标记。

　　7 . 7 . 2 业务流限速功能

　　虚拟家庭网关应支持对业务进行流量控制，包括每种上行业务流的 CAR、LAN-WLAN 的 CAR。应支持 CAR 规则的配置。

　　7 . 7 . 3 优先级队列调度功能

　　虚拟家庭网关应支持至少 4 个优先级队列，并能根据流分类的结果将业务流映射到不同的队列，应支持绝对优先级队列调度和 WRR 队列调度方式。

　　7 . 8 安全功能

　　7 . 8 . 1 网络访问的安全性

　　虚拟家庭网关应支持基于 MAC 地址进行接入控制。

　　7 . 8 . 2 防攻击功能

　　7 . 8 . 2 . 1 防 DoS攻击能力

　　虚拟家庭网关应支持防止 Ping of Death、SYN Flood 等 DoS 攻击，并建议虚拟家庭网关能够防止

　　对自身代理的应用协议(例如 DNS)进行攻击。

　　7 . 8 . 2 . 2 防端口扫描能力

　　虚拟家庭网关应能够提供防端口扫描功能，支持防其他设备或者应用的恶意端口扫描。

　　7 . 8 . 2 . 3 非法组播源控制功能(可选)

　　虚拟家庭网关设备建议支持防止用户做组播源的组播报文，禁止用户端口发出的 IGMP Query 和

　　组播数据报文。

　　7 . 8 . 2 . 4 报文抑制

　　虚拟家庭网关建议能够对特定协议的广播/组播包(例如 DHCP, ARP, IGMP 等)进行抑制，对其他二层广播报文的速率限制参数可配置。

　　GB/T 40420 . 5—202 1

　　附 录 A

　　(资料性附录)

　　宽带客户网关虚拟化业务流程简介

　　A.1 实体网关上电流程

　　实体网关的上电流程如下：

　　a) 实体网关正常上电，通过 PON OLT认证;

　　b) 实体网关通过 DHCP client 或 PPPoE client,获得 IP 地址(可选);

　　c) 实体网关创建 LSL 连接虚拟网关(如果 LSL 需要穿越 NAT,实体网关利用获得的 IP 地址创建 VPN 或 VxLAN 承载 LSL,可选)。

　　A.2 宽带业务流程

　　宽带业务的流程如下：

　　a) 家庭内部终端连接到实体网关的 LAN 端口或 WLAN 端 口;

　　b) 家庭内部终端发送 DHCP 请求，请求通过 LSL 发送到 VG;

　　c) VG 获取 DHCP请求后，给用户终端分配 IP 地址;

　　d) 家庭终端发送上网请求，上网请求通过 LSL 发送到 VG;

　　e) VG代理用户向 AAA发起计费请求;

　　f) 请求通过后，VG转发用户终端上网请求;

　　g) 家庭终端访问家庭内部其他终端，实体网关根据目标 MAC 和 IP 地址直接转发。

　　A.3 IPTV业务流程

　　虚拟网关支持传统 IPTV业务。

　　根据 PG 和 VG 之间 LSL 的模式，IPTV业务流分为以下两种情况：

　　a) 如图 A.1 所示，当 PG 和 VG 之间的 LSL 直连时，所有的数据流都将通过 VG 去转发，PG 只

　　需要支持一个 VLAN ;

　　图 A.1 IPTV业务流程-overlay模式

　　b) 如图 A.2 所示，当 PG 和 VG 之间使用隧道方式建立 LSL 时，PG 只将必要的数据流发送到

　　VG,其他的数据流，如 IPTV业务将使用不同的 VLAN,在 AN 侧分离，此时 PG 需支持多个VLAN。

　　GB/T 40420 . 5—202 1

　　图 A.2 IPTV业务流程-underlay模式

　　A.4 语音业务流程

　　虚拟网关通过以下两种方案提供语音业务：

　　a) 虚拟化架构：具体流程参见 GB/T 40420.2。

　　b) 非虚拟化架构：当 PG 和 VG 之间使用隧道方式建立 LSL 时，PG 只将必要的数据流发送到VG,语音业务将使用不同的 VLAN,在 AN 侧分离，此时 PG 需支持多个 VLAN。 实体网关需具备以下功能：

　　1) 实体网关应支持所有的语音功能模块;

　　2) 实体网关使用 DHCP client 获得的 IP 地址向语音业务平台进行注册。

　　A.5 增值业务流程

　　增值业务的流程如下：

　　a) 电信运营商在网络侧部署增值业务平台或功能模块;

　　b) 部署完成后，VG通过增值业务接口设定数据转发规则;

　　c) 新的数据流发送到 VG,经过增值业务接口后，符合增值业务规则的数据流发送给增值业务平台，经过处理后进行转发。

　　GB/T 40420 . 5—202 1

　　附 录 B

　　(资料性附录)

　　虚拟家庭网关创建、部署和管理流程简介

　　如图 B. 1 所示，虚拟家庭网关创建、部署和管理的流程中各步骤的含义如下：

　　— 步骤 1：上传 VNF 以及 NS模板;

　　— 步骤 2：选取需要实例化 NS模板，如 VRG;

　　— 步骤 3：解析模板，根据策略配置决定如何初始化 VNF;

　　— 步骤 4：实例化 NS所需的 VNF;

　　— 步骤 5：根据 VNF模板配置初始化需要的虚拟网络环境，如子网，路由，ACL, NAT 等 ;

　　— 步骤 6：创建 VNF需要的虚拟主机;

　　— 步骤 7：监控脚本监控 VNF 服务是否启动，并发送监控数据;

　　— 步骤 8：通过监控脚本判断虚拟化网关是否启动成功。

　　图 B.1 虚拟家庭网关创建部署管理流程

　　GB/T 40420 . 5—202 1

　　参 考 文 献

　　[1] GB/T 40420 . 2 基于公用电信网的宽带客户网关虚拟化 第 2 部分：语音虚拟化技术要求