GB/T 40420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分：虚拟企业网关功能技术要求

　　ICS 33 . 050 M 42

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40420 . 6—2021

　　基于公用电信网的宽带客户网关虚拟化

　　第 6 部分:虚拟企业网关功能技术要求

　　Broadband customer gateway virtualization based on public telecommunication network—part 6 : Technical requirements for virtual business gateway

　　2021-10-1 1 发布 2022-02-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40420 . 6—2021

　　GB/T 40420 . 6—2021

　　前 言

　　GB/T 40420《基于公用电信网的宽带客户网关虚拟化》已发布以下部分:

　　— 第 1 部分:总体要求 ;

　　— 第 2 部分:语音虚拟化技术要求 ;

　　— 第 3 部分:实体家庭网关技术要求 ;

　　— 第 4 部分:实体企业网关技术要求 ;

　　— 第 5 部分:虚拟家庭网关功能技术要求 ;

　　— 第 6 部分:虚拟企业网关功能技术要求 ;

　　— 第 7 部分:管理要求 ;

　　— 第 8 部分:接口要求 。

　　本部分为 GB/T 40420 的第 6 部分 。

　　本部分按照 GB/T 1 . 1—2009 给出的规则起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。

　　本部分由中华人民共和国工业和信息化部提出 。

　　本部分由全国通信标准化技术委员会(SAC/TC485)归口 。

　　本部分起草单位:中国电信集团有限公司 、中国联合网络通信集团有限公司 、中国信息通信研究院 、中国移动通信集团有限公司 、中兴通讯股份有限公司 、华为技术有限公司 、烽火科技集团有限公司 、上海诺基亚贝尔股份有限公司 。

　　本部分主要起草人:胡杰 、吕航 、冯明 、王波 、谢久雨 、支金龙 、李妮 、肖扬 、刘玉飞 、杨晨 、江志峰 、沈毅纲 、李明 、朱晓雨 、刘谦 、张德朝 、陈伟 、林薇 、韩静 、罗晔 。

　　GB/T 40420 . 6—2021

　　基于公用电信网的宽带客户网关虚拟化第 6 部分:虚拟企业网关功能技术要求

　　1 范围

　　GB/T40420 的本部分规定了公用电信网宽带客户网关虚拟化后虚拟企业网关的逻辑架构和功能参考模型 、软件功能 、协议等方面的要求 。

　　本部分适用于基于公用电信网的虚拟企业网关 。

　　注 : 如无特别说明,本部分中所出现的宽带客户网络均指基于公用电信网的宽带客户网络,电信网络均指公用电信网络,虚拟网关均指虚拟企业网关 。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件,仅注 日期的版本适用于本文件 。凡是不注 日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 。

　　GB/T40420. 1—2021 基于公用电信网的宽带客户网关虚拟化 第 1 部分:总体要求

　　YD/T 2372—2011 支持 IPv6 的接入网总体技术要求

　　IETF RFC 2661 二层隧道协议(LAyer Two Tunneling Protocol”L2TP”)

　　IETF RFC2663 IP 网络地址转换器(NAT)术语和注意事项[IP Network Address TrAnslAtor (NAT) Terminology And ConsiderAtions]

　　IETF RFC 3022 传统 IP 网络地址转换[TrAditionAl IP Network Address TrAnslAtor(TrAditionAl NAT)]

　　IETF RFC3027 使 用 IP 网 络 地 址 转 换 的 协 议 复 杂 性 (Protocol ComPlicAtions with the IP Network Address TrAnslAtor)

　　IETF RFC 3193 使用 IPsec保护 L2TP(securing L2TP using IPsec)

　　IETF RFC3489 通过网络地址转换器实现用户数据报协议(UDP)的简单遍历[sTUN-simPle TrAversAl of User DAtAgrAm Protocol (UDP) Through Network Address TrAnslAtors (NATs)]

　　IETF RFC 3931 二层隧道协议第三版[LAyer Two Tunneling Protocol-version 3 (L2TPv3)]

　　3 术语和定义

　　下列术语和定义适用于本文件 。

　　3.1

　　实体网关 physical gateway

　　在宽带客户网关虚拟化场景下部署在宽带客户侧的网关设备 。

　　3.2

　　实体企业网关 physical business gateway

　　在宽带客户网关虚拟化场景下部署在宽带企业客户侧的网关设备 。

　　GB/T 40420 . 6—2021

　　3.3

　　虚拟网关 virtual gateway

　　在宽带客户网关虚拟化场景下部署在网络侧网关功能集合。

　　注 : 这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在用户侧的实体网关一起提供宽带客户网关的功能。

　　3.4

　　虚拟企业网关 virtual business gateway

　　在宽带客户网关虚拟化场景下部署在网络侧的企业网关功能集合。

　　注 : 这些功能可能部署在一个网络侧设备上,也可能部署在多个网络侧设备上,这些功能和部署在客户侧的实体企业网关一起提供宽带企业网关的功能。

　　4 缩略语

　　下列缩略语适用于本文件。

　　AAA:认证 、授权和计费(AuthenticAtion, AuthorizAtion, Accounting)

　　AEs:高级加密标准(AdvAnced EncryPtion stAndArd)

　　AH:验证头(AuthenticAtion HeAder)

　　ALG: 应用层网关(APPlicAtion LAyer GAtewAy)

　　AN:接入网(Access Network)

　　ARp:地址解析协议(Address Resolution protocol)

　　Bss: 业务支撑系统(Business suPPort system)

　　CAR:承诺访问速率(Committed Access RAte)

　　Cpu:中央处理器(CentrAl processing unit)

　　DDNs:动态域名服务(DynAmic DomAin NAme server)

　　DDos:分布式拒绝服务(Distribution DeniAl of service)

　　DEs:数据加密标准(DAtA EncryPtion stAndArd)

　　DHCp:动态主机配置协议(DynAmic Host ConfigurAtion protocol)

　　DHCp-pD:动态主机配置协议前缀委派(DynAmic Host ConfigurAtion protocol prefiX DelegAtion)

　　DNs:域名系统(DomAin NAme system)

　　Dos:拒绝服务(DeniAl of service)

　　DpD:断线侦测(DeAd peer Detection)

　　DsCp:差分服务代码点(DifferentiAted services Code point)

　　EMs:网元管理系统(Element MAnAgement system)

　　Esp:封装安全有效载荷(EncAPsulAting secutiy pAyloAd)

　　FTp:文件传输协议(File TrAnsfer protocol)

　　GRE :通用路由封装(Generic Routing EncAPsulAtion)

　　HTTp: 超文本传输协议(HyPerTeXt TrAnsfer protocol)

　　HTTps: 超文本传输安全协议(HyPerTeXt TrAnsfer protocol over secure socket LAyer)

　　ICMp:互联网控制消息协议(Internet Control MessAge protocol)

　　IGMp:互联网组管理协议(Internet GrouP MAnAgement protocol)

　　IKE:互联网密钥交换(Internet Key EXchAnge)

　　Ip:互联网协议(Internet protocol)

　　Ipsec:互联网协议安全性(Internet protocol security)

　　GB/T 40420 . 6—2021

　　Ipv4:互联网协议第四版(Internet protocol v4)

　　Ipv6:互联网协议第六版(Internet protocol v6)

　　L2Tp:第二层隧道协议(LAyer2 Tunneling protocol)

　　LAN:局域网( LocAl AreA Network)

　　LsL:逻辑用户连接(LogicAl subscriber Link)

　　MAC:媒体介入控制层(Medium Access Control)

　　NAT:网络地址转换(Network Address TrAnslAtion)

　　NApT:网络地址与端口转换(Network Address And port TrAnslAtion)

　　NFVO:网络功能虚拟化编排器(Network Function VirtuAlizAtion OrchestrAtion)

　　OLT:光线路终端(OPticAl Line TerminAl)

　　Oss:运营支撑系统(OPerAtion suPPort system)

　　pBG:实体企业网关(physicAl Business GAtewAy)

　　pON:无源光网络(pAssive OPticAl Network)

　　ppp:点对点协议(point to point protocol)

　　pppoE:以太网上传送点到点协议(point to point protocol over Ethernet)

　　Qos:服务质量(service of QuAlity)

　　RIp:路由信息协议(Routing InformAtion protocol)

　　RIpng:下一代路由信息协议(Routing InformAtion protocol neXt generAtion)

　　RTsp:实时流协议(ReAl Time streAming protocol)

　　sIp:信令控制协议(session InitiAtion protocol)

　　sLAAC:无状态地址自动配置(stAteless Address AutoconfigurAtion)

　　ssID:服务集标识(service set Identifier)

　　TCp:传输控制协议(TrAnsmission Control protocol)

　　Tos:服务类型(TyPe of service)

　　UDp:用户数据报协议(User DAtAgrAm protocol)

　　VBG:虚拟企业网关(VirtuAl Business GAtewAy)

　　VID : VLAN 标识(VLAN Identifier)

　　VLAN:虚拟局域网(VirtuAl LAN)

　　VNFM:虚拟网络功能管理器(VirtuAl Network Function MAnAger)

　　VpN:虚拟专用网络(VirtuAl privAte Network)

　　VXLAN :虚拟扩展局域网(VirtuAl eXtended LAN)

　　WAN:广域网(Wide AreA Network)

　　WRR:加权循环调度(Weighted Round Robin)

　　WLAN:无线局域网(Wireless LocAl AreA Networks)

　　5 企业网关虚拟化的总体架构

　　5 . 1 企业网关虚拟化的逻辑结构

　　企业网关虚拟化的逻辑结构如图 1 所示 。

　　GB/T 40420 . 6—2021

　　图 1 企业网关虚拟化逻辑结构

　　如图 1 所示,实体企业网关(PBG)位于企业用户侧,包含着所有依赖于硬件的功能,而虚拟企业网关(VBG)为分布式的虚拟存在,完成企业网关其他的逻辑功能 。实体企业网关的逻辑用户连接通过虚拟企业网关基础设施的 LSL接口与对应的虚拟网关连接 。 图中虚线部分表示虚拟网关与实体网关不一定是一一对应关系,一个虚拟网关可以对应多个实体网关,一个实体网关可以对应多个虚拟网关 。

　　5 . 2 企业虚拟网关功能参考模型

　　企业虚拟网关系统的网络功能是分布式部署的,虚拟企业网关(VBG)和实体企业网关(PBG)构成了虚拟网关系统 。企业虚拟网关的功能参考模型如图 2 所示 。

　　图 2 企业虚拟网关的功能参考模型

　　GB/T 40420 . 6—2021

　　企业虚拟网关的系统组件如下:

　　—WAN接口功能 ;

　　— 逻辑用户连接接口功能 ;

　　—IPv4/IPv6 传送 ;

　　— 路由控制 ;

　　— 上行流量 QoS;

　　— 下行流量 QoS;

　　—IP地址管理/DHCP服务器 ;

　　— 管理与控制

　　— 网络地址及端口转换(NAPT) ;

　　—DNS服务 ;

　　— 安全管理 ;

　　—VPN组网 ;

　　— 增值服务 。

　　企业虚拟网关系统在用户侧的是实体企业网关(PBG) ,这部分的网络功能是将数据流量转发到虚拟网关,如图 2 所示 。

　　6 虚拟企业网关功能要求

　　6 . 1 虚拟企业网关总体要求

　　虚拟企业网关的不同模式分类应符合 GB/T 40420 . 1—2021 中 7 . 2 的规定,具体功能要求见表 1 。

　　表 1 不同模式的虚拟网关功能要求

　　GB/T 40420 . 6—2021

　　表 1 (续)

　　6 . 2 接入功能

　　6 . 2 . 1 逻辑连接功能要求

　　虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连接(LSL) ,至少支持以下模式中的 一种接入模式:

　　— 单层 VLAN模式 ;

　　— 双层 VLAN模式 ;

　　— 隧道模式,如 GRE、L2TP VPN、IPSec VPN、VXLAN等 。

　　虚拟企业网关应支持通过 IP会话监控所有的 LSL的状态,并支持报文周期 、超时等时钟的配置 。

　　6 . 2 . 2 上行 WAN连接接入功能

　　虚拟企业网关应能够支持接入运营商的 IP网络 。

　　虚企业网关应支持发起 PPPoE/DHCP连接 。

　　虚拟企业网关可选支持动态主机配置协议中继(DHCP RelAy)功能,能够将终端的 DHCP请求转发给位于宽带客户网络外部的 DHCP服务器,并返回分配地址结果 。

　　虚拟企业网关应支持至少 16 个 WAN连接同时工作,应支持至少 8 个路由 WAN连接同时工作 。

　　当虚拟企业网关建立了一条以上的 WAN连接时,应支持不同 WAN连接之间的数据(包括 DNS、 ARP、管理应用数据等)的完全隔离 。

　　宽带业务流程参见附录 A 中 A. 2 。

　　6 . 3 传送功能

　　6 . 3 . 1 工作模式

　　虚拟企业网关应支持工作在桥接 、路由以及桥接/路由混合等模式 。

　　6 . 3 . 2 VLAN功能

　　虚拟企业网关应支持接收不带标签(untAgged) 、优先级标签(Priority-tAgged)或带标签(tAgged)报文 。

　　虚拟企业网关应支持对上行 untAgged 报文添加 VID,对 Priority-tAgged 报文添加 VID,支持丢弃tAgged报文 。

　　GB/T 40420 . 6—2021

　　虚拟企业网关应支持将下行接收到的 tAgged报文去掉标签 。

　　6 . 3 . 3 组播功能

　　虚拟企业网关应支持互联网组管理协议代理 (IGMP ProXy) 和互联网组管理协议嗅探 (IGMP SnooPing)功能, IGMP协议支持 IGMPv2 ,可选支持 IGMPv3 。

　　6 . 3 . 4 路由功能

　　虚拟企业网关应支持静态路由配置,可选支持 RIP v1/v2 协议,可选支持下一代路由信息(RIPng)协议 。

　　6 . 4 地址功能

　　6 . 4 . 1 DNS功能

　　虚拟企业网关应支持在 DHCP会话过程中将 DNS服务器地址发送给客户网络内部设备 , DNS服务器的地址可以配置,并能对客户网络内部设备的 DNS请求进行转发并将解析结果送回给客户网络内部设备 。

　　虚拟企业网关应支持 DDNS功能 。

　　虚拟网关应支持 DNSv6 。

　　6 . 4 . 2 NAT功能

　　采用模式一的虚拟网关应支持 NAT/NAPT功能,符合 IETF RFC 2663 、IETF RFC3022 和 IETF RFC3027 的规定 。

　　虚拟企业网关应支持 IETF RFC3489 定义的 cone NAT。

　　虚拟企业网关应支持配置端口前转(Port ForwArding) ,支持虚拟服务器(virtuAl Server) ,用户可选择常见协议(如 FTP、HTTP等)进行虚拟服务器配置,网关应至少同时支持 8个虚拟服务器的配置。

　　采用模式二的虚拟企业网关此功能可选 。

　　6 . 4 . 3 ALG功能

　　虚拟企业网关应支持 ALG功能,支持 SIP、FTP、RTSP、L2TP、H. 323 的私网穿越功能,可选支持IPSec协议,每种协议应提供单独的开关功能 。

　　6 . 4 . 4 DHCP功能

　　虚拟企业网关的 WAN侧应支持静态配置 IP地址 、DHCP和 PPPoE三种方式获取 IP地址信息 。

　　虚拟企业网关 WAN侧接口应支持动态主机配置协议客户端(DHCP Client)功能,能够获取 IP地址信息,包括 IP地址 、DNS服务器地址 、IP网关地址等 。

　　虚拟企业网关应支持动态主机配置协议服务器(DHCP Server)功能,为用户侧设备分配 IP地址 , IP地址池可配置 。 网关的 DHCP Server应支持针对不同企业用户的终端分配同一个地址池的不同地址段,或为每一个企业分配一个单独的地址池 。 网关的 DHCP Server应支持查看地址池中已分配的地址情况,包括客户端名称 、MAC地址 、IP地址 、剩余租借期等 。

　　虚拟企业网关的 DHCP Server应支持根据用户侧设备上报的 DHCP 60 选项(oPtion 60)标识,为不同类型的设备从同一网段不同的 IP地址区间中分配 IP地址,不同设备 IP地址池可配置 。

　　6 . 4 . 5 IPv6 功能

　　虚拟企业网关应支持 IPv6 协议族,包括支持 SLAAC、DHCP-PD和 PPP承载 IPv6 时的各种地址

　　GB/T 40420 . 6—2021

　　获取方式;支持对实体网关 LAN侧设备的 IPv6 地址的分配 。

　　虚拟企业网关应支持 IPv4/IPv6 双协议栈,支持同时获取 IPv4 以及 IPv6 地址的能力 。

　　虚拟企业网关应支持的 IPv6 具体功能要求见 YD/T 2372—2011 。

　　6 . 5 QoS功能

　　6 . 5 . 1 业务流分类和标记功能

　　采用模式一的虚拟企业网关应支持外部网络要求的 QoS 机制,虚拟企业网关应支持以下流分类技术:

　　A) 支持按源 IP(包括网段和范围) 、目 的 IP(包括网段和范围) 、源端口 、目 的端口 、物理接口 (包括SSID)进行流分类 ;

　　b) 支持按源 MAC地址 、目 的 MAC地址 、虚拟局域网标识(VLAN ID) 、802 . 1D进行流分类 ;

　　c) 支持按 DSCP进行流分类 ;

　　d) 支持按协议类型(TCP/UDP/ICMP)进行流分类 ;

　　e) 可选支持通过识别业务报文,对动态业务进行流分类,例如通过识别 SIP报文,提取呼叫语音流的 IP地址/UDP端口号信息,并施加已经配置的流分类策略 ;

　　f) 可选支持按照 ToS进行流分类 。

　　采用模式二的虚拟企业网关在 PBG侧要有 QoS控制 , VBG可选支持 QoS 功能 。

　　6 . 5 . 2 业务流限速功能

　　虚拟企业网关应支持对业务进行流量控制,包括每种上行业务流的 CAR、LAN-WLAN 的 CAR。应支持 CAR规则的配置 。

　　6 . 5 . 3 优先级队列调度功能

　　虚拟企业网关应支持至少 4 个优先级队列,并能根据流分类的结果将业务流映射到不同的队列,应支持绝对优先级队列调度和 WRR队列调度方式,应支持绝对优先级和加权优先级的混合调度 。

　　6 . 6 安全功能

　　6 . 6 . 1 防攻击能力

　　6 . 6 . 1 . 1 防 DoS攻击能力

　　虚拟企业网关应支持防止死亡 Ping(Ping of DeAth) 、同步序列编号泛洪(SYN Flood)等 DoS攻击 ,并建议虚拟企业网关能够防止对自身代理的应用协议(例如, DNS)进行攻击 。

　　6 . 6 . 1 . 2 防端口扫描能力

　　虚拟企业网关应能够提供防端口扫描功能,支持防其他设备或者应用的恶意端口扫描 。

　　6 . 6 . 1 . 3 非法组播源控制功能(可选)

　　虚拟企业网关建议支持防止用户做组播源的组播报文,禁止用户端口发出的互联网组管理协议请求(IGMP Query)和组播数据报文 。

　　6 . 6 . 2 防火墙功能

　　虚拟企业网关应支持防火墙功能,支持对防火墙等级的设置,支持对防火墙规则的配置,并支持基

　　GB/T 40420 . 6—2021

　　于以下规则对报文进行过滤:

　　— 支持根据源 MAC地址 、目 的 MAC地址进行报文过滤 ;

　　— 支持根据源 IP地址及范围段 、目 的 IP地址及范围段进行报文过滤 ;

　　— 支持根据 IP源端口及范围段 、目 的端口及范围段进行报文过滤 ;

　　— 支持根据以太网包的传输层协议类型进行报文过滤,要求有 IP/PPPoE/ARP的选项 ;

　　— 支持根据 IP包的传输层协议类型进行报文过滤,要求有 TCP/UDP/ICMP/TCP+UDP或其他任意类型协议的选项 ;

　　— 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止 2种,默认为禁止模式 。

　　6 . 6 . 3 报文抑制

　　虚拟企业网关建议能够对特定协议的广播/组播包(例如 DHCP, ARP, IGMP等)进行抑制,对其他广播报文的速率限制参数可配置 。

　　6 . 7 VPN 组网功能

　　6 . 7 . 1 L2TP VPN功能

　　虚拟企业网关应支持 L2TPv2 功能,支持在 UDP上承载 L2TP报文,符合 IETF RFC2661;可选支持 L2TPv3 ,符合 IETF RFC3931 。

　　虚拟企业网关可选支持 IETF RFC3193 ,即支持结合 IPsec 加密的 L2TP隧道 。

　　6 . 7 . 2 IPsec VPN功能

　　虚拟企业网关支持 IPsec VPN功能的相关要求:

　　— 应支持多种工作方式:传输模式 AH、隧道模式 AH、传输模式 EsP、隧道模式 EsP;

　　— 应支持站点到站点(site to site) 、远程访问(Remote Access)等 VPN组网形式 ;

　　— 应支持预共享密钥和 X. 509 数字证书等认证方式来进行 VPN认证 ;

　　— 应支持 IKE;

　　— 应支持 3DEs、AEs128 、AEs192 、AEs256 等符合国家密码管理的有关规定的加密算法 。支持多种哈希验证算法 ;

　　— 应支持基于固定 IP地址建立 IPsec 隧道,支持通过域名建立 IPsec 隧道 ;

　　— 应支持断线侦测(DPD)协议 ;

　　— 可支持不同 VPN 隧道和非 VPN 流量的优先级处理 ;

　　— 应支持互联网流量转发,提供“ 到 Internet 的 VPN 路由通道”可配置选项,客户端通过 IPsec VPN拨入后,不仅能够访问局域网资源,同时能够访问互联网 。

　　IPsec VPN 的组网业务流程参见 A. 3 。

　　6 . 8 对实体网关的管理功能

　　虚拟企业网关应支持作为代理对实体网关进行相关配置和管理 。

　　7 虚拟企业网关的管理和控制

　　7 . 1 虚拟企业网关管理控制架构

　　虚拟企业网关系统支持平台的管理和控制,包括虚拟企业网关部分和实体企业网关部分都应支持 ,

　　GB/T 40420 . 6—2021

　　管理和控制的功能包括软件系统和设备的管理配置 、设备工作模式的控制 、企业业务认证鉴权等信息的配置管理,企业业务模式的控制等。 虚拟企业网关系统管理控制架构见图 3 。

　　图 3 虚拟企业网关系统管理控制架构

　　如图 3 所示,虚拟企业网关支持管理平台和 VNFM 中的一种或多种管理,不同的管理模块,可根据企业网关的部署情况 、企业业务的实际需要分布在不同的平台上。

　　虚拟企业网关应支持的管理平台远程管理方式,包括万维网(web)登录(基于 HTTPS)方式,以及通过宽带论坛(BroAdbAnd Forum)发布的 TR069 协议管理。 虚拟网关管理门户的功能参见附录 B。

　　虚拟企业网关的初始化配置流程示意参见 A. 1 。

　　7 . 2 系统配置管理

　　虚拟企业网关接受来自管理平台对其的系统性功能的配置管理及控制,包括网络接 口 、DHCP服务器 、防火墙等以及对网关工作模式的控制。 系统配置管理的内容包括 :

　　— 网络功能错误及告警管理 ;

　　— 网络功能配置管理 ;

　　— 网络节点拓扑管理 ;

　　— 网络 QoS配置 ;

　　— 网络安全的配置管理 ;

　　— 网络功能相关的软件管理 ;

　　— 操作系统相关软件的配置管理。

　　GB/T 40420 . 6—2021

　　7 . 3 告警与诊断

　　虚拟企业网关系统在运行中,可能会产生错误或告警,告警和错误既可以来 自虚拟网关,也可能来自实体企业网关部分,虚拟企业网关系统接受管理平台的配置管理与控制,同时虚拟企业网关将实体企业网关部分的配置管理参数通过管理控制接口下发给实体网关 。可监控组件包括网络接口 、CPU 使用情况、内存占用情况以及存储的占用情况,管理平台对监控组件相关阈值进行设置,当监控组件运行中超过阈值,则产生告警或错误,告警和错误信息可实时也可累计向平台发出,虚拟企业网关对告警信息和错误信息可进行评估诊断,将诊断评估结果上报平台 。通过该功能可管理的内容包括 :

　　— 网络接口的错误及告警管理 ;

　　— 设备运行错误及告警管理 ;

　　— 设备运行故障诊断 ;

　　— 网络故障诊断 。

　　7 . 4 企业业务配置管理

　　虚拟企业网关的配置管理主要是业务参数的配置管理,例如 IPsec VPN、L2TP隧道的各项技术参数,相关企业业务的认证、鉴权等信息的配置管理 。

　　GB/T 40420 . 6—2021

　　附录 A

　　(资料性附录)

　　企业虚拟化网关相关业务流程示例

　　A. 1 实体企业网关初始化配置流程

　　PON上行实体网关初始化配置流程如下 :

　　A) 实体网关正常上电,首先要进行并通过上行 PON 口的 OLT认证 ;

　　b) 通过 OLT认证后,如果是首次上电,实体网关通过管理控制平台进行初始化配置,包括宽带账号,相关服务器设备地址等 ;

　　c) 如果不是首次上电,实体网关通过动态主机配置协议客户端(DHCP client)或以太网上传送点到点协议客户端(PPPOE client) ,获得 IP地址(可选) ;

　　d) 实体网关创建 LsL连接虚拟网关,如果 LsL需要穿越 NAT,实体网关利用获得的 IP地址创建 VPN或 VXLAN承载 LsL。

　　A. 2 宽带业务流程

　　A. 2 . 1 模式一下的虚拟网关宽带业务流程如下 :

　　A) 企业内部实体网关侧子网下的终端连接到实体网关的 LAN端口或 WLAN端 口 ;

　　b) 企业实体网关侧的终端发送 DHCP请求,请求通过 LsL发送到虚拟网关(VBG) ;

　　c) VBG获取 DHCP请求后,给用户终端分配 IP地址 ;

　　d) 企业终端发送上网请求,上网请求通过 LsL发送到 VBG;

　　e) VBG代理用户向 AAA发起认证计费请求 ;

　　f) 请求通过后, VBG转发用户终端上网请求 ;

　　g) 企业内部终端访问企业内部其他终端,实体网关根据目标 MAC和 IP地址直接转发 。 A. 2 . 2 模式二下的虚拟网关宽带业务流程如下 :

　　A) 企业内部实体网关侧子网下的终端连接到实体网关的 LAN端口或 WLAN端 口 ;

　　b) 企业实体网关侧的终端发送 DHCP 请求,实体网关收到 DHCP请求后, 给用户终端分配IP地址 ;

　　c) 终端发送上网请求,实体网关代理用户向 AAA发起认证计费请求 ;

　　d) 请求通过后,实体网关转发用户终端上网请求 ;

　　e) 根据配置,特定的上网流量通过 VBG进行转发,比如 IPsec VPN数据流量 ;

　　f) 企业内部终端访问企业内部其他终端,实体网关根据目标 MAC和 IP地址直接转发 。

　　A. 3 企业 IPsec VPN 组网业务流程

　　企业的各分支机构的实体网关连接不同的虚拟网关, 当不同虚拟网关下的实体网关要发起建立IPsec VPN 隧道时,同时在虚拟网关之间建立 IPsec VPN 隧道,各实体网关通过不同的虚拟网关建立起 IPsec VPN 隧道,虚拟网关之间建立的是 site TO site模式的 VPN,如图 A. 1 所示 。

　　GB/T 40420 . 6—2021

　　图 A. 1 基于 VBG 的企业 IPsec VPN 组网

　　IPsec VPN组网业务流程如下 :

　　A) 虚拟网关间配置好 VPN 的各项参数,包括 IKE策略 、预共享秘钥 、IPsec 策略 、各实体网关侧的企业子网信息等 ;

　　b) 当某虚拟网关下的主机欲与另一虚拟网关下的主机通信,发送通信请求,实体网关将请求发送至虚拟网关 ;

　　c) 虚拟网关根据目标子网地址,向对端的虚拟网关发起 VPN建立请求 ;

　　d) 对端虚拟网关响应请求,双方根据 IKE策略 、IPsec 策略建立起 VPN 隧道 ;

　　e) 实体网关侧主机之间相互通信。

　　GB/T 40420 . 6—2021

　　附录 B

　　(资料性附录)

　　虚拟企业网关用户管理门户

　　企业的虚拟网关管理系统,可向用户提供管理界面,虚拟企业网关系统的管理门户可向网关系统的用户提供以下服务:

　　— 自助服务:包括服务选择,服务配置,地址配置,路由配置,安全配置等 ;

　　— 性能监控:包括可用性,各项性能统计,历史数据统计报告,运行日志等 ;

　　— 服务激活/修改:用户不仅需要物理设备的管理配置,也需要对虚拟网关的服务和处理能力等进行配置管理,用户可以根据需要添加新的服务并且配置服务参数 。

　　虚拟企业网关系统的用户管理门户提供企业多点 、多分支机构的实体网关设备和虚拟网关的监控以及配置管理 。

　　虚拟网关系统的用户管理门户并不是虚拟网关系统的一个组件,可以根据用户需求对实体网关和虚拟网关进行服务的启停及配置参数的修改,并且用户门户需要提供安全机制以防止用户参数错误而导致不良后果 。