6虚拟企业网关功能要求

虚拟企业网关的不同模式分类应符合GB/T40420.1一2021中7.2的规定，具体功能要求见表

表1不同模式的虚拟网关功能要求

GB/T 40420.6—2021

民政标准6.2.1逻辑连接功能要求

虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连接（LSL），至少支持以下模式中的 种接人模式： 单层VLAN模式； 双层VLAN模式； 隧道模式，如GRE、L2TPVPN、IPSecVPN、VXLAN等 虚拟企业网关应支持通过IP会话监控所有的LSL的状态，并支持报文周期、超时等时

6.2.2上行WAN连接接

虚拟企业网关应能够支持接人运营商的IP网络 虚企业网关应支持发起PPPoE/DHCP连接。 虚拟企业网关可选支持动态主机配置协议中继（DHCPRelay)功能，能够将终端的DHCP请求转 发给位于宽带客户网络外部的DHCP服务器，并返回分配地址结果。 虚拟企业网关应支持至少16个WAN连接同时工作，应支持至少8个路由WAN连接同时工作 当虚拟企业网关建立了一条以上的WAN连接时，应支持不同WAN连接之间的数据（包括DNS ARP、管理应用数据等）的完全隔离。 宽带业务流程参见附录A中A.2

6.3.2VLAN功能

虚拟企业网关应支持将下行接收到的tagged报文去掉标签

GB/T40420.62021

虚拟企业网关应支持互联网组 1管理协议代理（IGMPproxy）和互联网组管理协议嗅探（IGMP v2,可选支持IGMPv3,

虚拟企业网关应支持静态路由配置，可选支持RIPv1/v2协议，可选支持下一代路由信息（RIF 议。

6.4.1DNS 功能

虚拟企业网关应支持在DHCP 务器地址发送给客户网络内部设备，DNS服 务器的地址可以配置，并能对客户网络内部设备的DNS请求进行转发并将解析结果送回给客户网络内 部设备。 虚拟企业网关应支持DDNS功能 虚拟网关应支持DNSv6

采用模式一的虚拟网关应支持NAT/NAPT功能，符合IETFRFC2663、IETFRFC3022和IETF RFC3027的规定。 虚拟企业网关应支持IETFRFC3489定义的coneNAT。 虚拟企业网关应支持配置端口前转（PortForwarding），支持虚拟服务器（VirtualServer），用户可 选择常见协议（如FTP、HTTP等）进行虚拟服务器配置，网关应至少同时支持8个虚拟服务器的配置 采用模式二的虚拟企业网关此功能可选

6.4.3ALG 功能

6.4.4 DHCP功能

6.4.4DHCP功能

虚拟企业网关的WAN侧应支持静态配置IP地址、DHCP和PPPoE三种方式获取IP地址信息。 虚拟企业网关WAN侧接口应支持动态主机配置协议客户端（DHCPClient)功能，能够获取IP地 址信息，包括IP地址、DNS服务器地址、IP网关地址等。 虚拟企业网关应支持动态主机配置协议服务器（DHCPServer）功能，为用户侧设备分配IP地址， IP地址池可配置。网关的DHCPServer应支持针对不同企业用户的终端分配同一个地址池的不同地 址段，或为每一个企业分配一个单独的地址池。网关的DHCPServer应支持查看地址池中已分配的地 址情况，包括客户端名称、MAC地址、IP地址、剩余租借期等。 虚拟企业网关的DHCPserver应支持根据用户侧设备上报的DHCP60选项（Option60）标识，为 不同类型的设备从同一网段不同的IP地址区间中分配IP地址，不同设备IP地址池可配置

6.4.5IPv6功能

GB/T 40420.6—2021

获取方式；支持对实体网关LAN侧设备的IPv6地址的分配。 虚拟企业网关应支持IPv4/IPv6双协议栈，支持同时获取IPv4以及IPv6地址的能力。 虚拟企业网关应支持的IPv6具体功能要求见YD/T2372一2011

6.5.1业务流分类和标记功能

采用模式一的虚拟企业网关应支持外部网络要求的QoS机制，虚拟企业网关应支持以下流分类 技术： a 支持按源IP（包括网段和范围）、目的IP（包括网段和范围）、源端口、目的端口、物理接口（包括 SSID)进行流分类； 支持按源MAC地址、目的MAC地址、虚拟局域网标识（VLANID）、802.1D进行流分类： c）支持按DSCP进行流分类； d） 支持按协议类型（TCP/UDP/ICMP）进行流分类； e 可选支持通过识别业务报文，对动态业务进行流分类，例如通过识别SIP报文，提取呼叫语音 流的IP地址/UDP端口号信息，并施加已经配置的流分类策略； 可选支持按照ToS进行流分类， 采用模式二的虚拟企业网关在PBG侧要有QoS控制，VBG可选支持QoS功能

6.5.2业务流限速功能

6.5.3优先级队列调度功能

虚拟企业网关应支持至少4个优先级队列，并能根据流分类的结果将业务流映射到不同的队列， 绝对优先级队列调度和WRR队列调度方式，应支持绝对优先级和加权优先级的混合调度。

6.6.1.1防DoS攻击能力

虚拟企业网关应支持防止死亡Ping(PingofDeath）、同步序列编号泛洪（SYNFlood)等DoS攻击 议虚拟企业网关能够防止对自身代理的应用协议（例如，DNS)进行攻击

6.6.1.2防端口扫描能力

虚拟企业网关应能够提供防端口扫描功能 他设备或者应用的恶意端口扫描，

虚拟企业网关建议支持防止用户做组播源的组播报文，禁止用户端口发出的互联网组管理协议请 求(IGMPQuery)和组播数据报文

虚拟企业网关应支持防火墙功能，支持对防火墙等级的设置，支持对防火墙规则的配置，并支持基

GB/T40420.62021

于以下规则对报文进行过滤： 支持根据源MAC地址、目的MAC地址进行报文过滤； 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤； 支持根据IP源端口及范围段、目的端口及范围段进行报文过滤； 一 支持根据以太网包的传输层协议类型进行报文过滤，要求有IP/PPPoE/ARP的选项； 支持根据IP包的传输层协议类型进行报文过滤，要求有TCP/UDP/ICMP/TCP十UDP或其 也任意类型协议的选项； 支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止2 种，默认为禁止模式

于以下规则对报文进行过滤： 支持根据源MAC地址、目的MAC地址进行报文过滤； 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤； 支持根据IP源端口及范围段、目的端口及范围段进行报文过滤； 一 支持根据以太网包的传输层协议类型进行报文过滤，要求有IP/PPPoE/ARP的选项； 支持根据IP包的传输层协议类型进行报文过滤，要求有TCP/UDP/ICMP/TCP十UDP或其 他任意类型协议的选项； 支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止2 种，默认为禁止模式

虚拟企业网关建议能够对特定协议的广播/组播包（例如DHCP，ARP，IGMP等）进行抑制，对其 播报文的速率限制参数可配置

6.7.1 L2TP VPN 功能

虚拟企业网关应支持L2TPv2功能，支持在UDP上承载L2TP报文，符合IETFRFC2661；可选支 持L2TPv3,符合IETFRFC3931。 虚拟企业网关可选支持IETFRFC3193，即支持结合IPSec加密的L2TP隧道

6.7.2IPSecVPN功能

6.8对实体网关的管理功能

7虚拟企业网关的管理和控制

虚拟企业网关管理控制架

关应支持作为代理对实体网关进行相关配置和管

GB/T 40420.62021

管理和控制的功能包括软件系统和设 作模式的控制、企业业务认证鉴权等信息的 配置管理，企业业务模式的控制等 架构见图3

图3虚拟企业网关系统管理控制架构

如图3所示，虚拟企业网关支持管理平台和VNFM中的一种或多种管理，不同的管理模块，可根据 企业网关的部署情况、企业业务的实际需要分布在不同的平台上。 虚拟企业网关应支持的管理平台远程管理方式，包括万维网（Web）登录（基于HTTPS)方式，以及 通过宽带论坛（BroadbandForum）发布的TR069协议管理。虚拟网关管理门户的功能参见附录B。 虚拟企业网关的初始化配置流程示意参见A.1

虚拟企业网关接受来自管理平台对其的系统性功能的配置管理及控制，包括网络接口、DHCP 务器、防火墙等以及对网关工作模式的控制。系统配置管理的内容包括： 网络功能错误及告警管理； 网络功能配置管理； 网络节点拓扑管理； 网络QoS配置； 网络安全的配置管理； 网络功能相关的软件管理； 操作系统相关软件的配置管理

器、防火墙等以及对网关工作模式的控 网络功能错误及告警管理； 网络功能配置管理； 网络节点拓扑管理； 网络QoS配置； 网络安全的配置管理； 网络功能相关的软件管理； 操作系统相关软件的配置管理

虚拟企业网关系统在运行中，可能会产生错误或告警，告警和错误既可以来自虚拟网关，也可能来 自实体企业网关部分，虚拟企业网关系统接受管理平台的配置管理与控制，同时虚拟企业网关将实体企 业网关部分的配置管理参数通过管理控制接口下发给实体网关。可监控组件包括网络接口、CPU使用 青况、内存占用情况以及存储的占用情况，管理平台对监控组件相关國值进行设置，当监控组件运行中 超过阈值，则产生告警或错误，告警和错误信息可实时也可累计向平台发出，虚拟企业网关对告警信息 和错误信息可进行评估诊断，将诊断评估结果上报平台。通过该功能可管理的内容包括： 网络接口的错误及告警管理； 一设备运行错误及告警管理； 一设备运行故障诊断； 网络故障诊断。

7.4企业业务配置管理

虚拟企业网关的配置管理主要是业务参数的配置管理，例如IPSecVPN、L2TP隧道的 缴.相关企业业务的认证、鉴权等信息的配置管理

A.1实体企业网关初始化配置流程

附录A （资料性附录） 企业虚拟化网关相关业务流程示例

PON上行实体网关初始化配置流程如下： a）实体网关正常上电，首先要进行并通过上行PON口的OLT认证； 通过OLT认证后，如果是首次上电，实体网关通过管理控制平台进行初始化配置，包括宽带 账号，相关服务器设备地址等； C 如果不是首次上电，实体网关通过动态主机配置协议客户端(DHCPclient)或以太网上传送点 到点协议客户端（PPPoEclient），获得IP地址（可选）； d） 实体网关创建LSL连接虚拟网关，如果LSL需要穿越NAT，实体网关利用获得的IP地址创 建VPN或VXLAN承载LSL

A.2.1模式一下的虚拟网关宽带业务流程如下： 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口； 企业实体网关侧的终端发送DHCP请求，请求通过LSL发送到虚拟网关（VBG）； VBG获取DHCP请求后，给用户终端分配IP地址； d） 企业终端发送上网请求，上网请求通过LSL发送到VBG； VBG代理用户向AAA发起认证计费请求； 请求通过后，VBG转发用户终端上网请求； 企业内部终端访问企业内部其他终端，实体网关根据目标MAC和IP地址直接转发。 4.2.2 模式二下的虚拟网关宽带业务流程如下： a 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口； b） 企业实体网关侧的终端发送DHCP请求，实体网关收到DHCP请求后，给用户终端分 IP地址； C 终端发送上网请求，实体网关代理用户向AAA发起认证计费请求 d） 请求通过后，实体网关转发用户终端上网请求； e） 根据配置，特定的上网流量通过VBG进行转发，比如IPSecVPN数据流量； 企业内部终端访问企业内部其他终端，实体网关根据目标MAC和IP地址直接转发

A.2.1模式一下的虚拟网关宽带业务流程如下： 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口； 企业实体网关侧的终端发送DHCP请求，请求通过LSL发送到虚拟网关（VBG）； VBG获取DHCP请求后，给用户终端分配IP地址； d） 企业终端发送上网请求，上网请求通过LSL发送到VBG； VBG代理用户向AAA发起认证计费请求； 请求通过后，VBG转发用户终端上网请求； 企业内部终端访问企业内部其他终端，实体网关根据目标MAC和IP地址直接转发。 4.2.2 模式二下的虚拟网关宽带业务流程如下： a 企业内部实体网关侧子网下的终端连接到实体网关的LAN端口或WLAN端口； b） 企业实体网关侧的终端发送DHCP请求，实体网关收到DHCP请求后，给用户终端分配 IP地址； C 终端发送上网请求，实体网关代理用户向AAA发起认证计费请求 请求通过后路灯标准，实体网关转发用户终端上网请求； 根据配置，特定的上网流量通过VBG进行转发，比如IPSecVPN数据流量； 企业内部终端访问企业内部其他终端，实体网关根据目标MAC和IP地址直接转发

业IPSecVPN组网业务

企业的各分支机构的实体网关连接不同的虚拟网关，当不同虚拟网关下的实体网关要发起建立 PSecVPN隧道时，同时在虚拟网关之间建立IPSecVPN隧道，各实体网关通过不同的虚拟网关建立 起IPSecVPN隧道，虚拟网关之间建立的是SiteToSite模式的VPN，如图A.1所示。

图A.1基于VBG的企业IPSecVPN组网

IPSecVPN组网业务流程如下： ）虚拟网关间配置好VPN的各项参数公共安全标准，包括IKE策略、预共享秘钥、IPSec策略、各实体网关侧 的企业子网信息等； b 当某虚拟网关下的主机欲与另一虚拟网关下的主机通信，发送通信请求，实体网关将请求发 送至虚拟网关： c）虚拟网关根据目标子网地址，向对端的虚拟网关发起VPN建立请求； d）对端虚拟网关响应请求，双方根据IKE策略、IPSec策略建立起VPN隧道； 实体网关侧主机之间相互通信

用户提供以下服务： 自助服务：包括服务选择，服务配置，地址配置，路由配置，安全配置等； 性能监控：包括可用性，各项性能统计，历史数据统计报告，运行日志等 服务激活/修改：用户不仅需要物理设备的管理配置，也需要对虚拟网关的服务和处理能力等 进行配置管理，用户可以根据需要添加新的服务并且配置服务参数。 虚拟企业网关系统的用户管理门户提供企业多点、多分支机构的实体网关设备和虚拟网关的监控 以及配置管理。 虚拟网关系统的用户管理门户并不是虚拟网关系统的一个组件，可以根据用户需求对实体网关和 壶拟网关进行服务的启停及配置参数的修改，并且用户门户需要提供安全机制以防止用户参数错误而 导致不良后果