YD T 3420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分：虚拟企业网关功能技术要求.pdf

《YD T 3420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分：虚拟企业网关功能技术要求.pdf》由会员分享，可在线阅读，更多相关《YD T 3420.6-2021 基于公用电信网的宽带客户网关虚拟化 第6部分：虚拟企业网关功能技术要求.pdf（18页珍藏版）》请在麦多课文档分享上搜索。

1、 Y D ICS 33.050 M42 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3420.6XXXX 基于公用电信网的宽带客 户 网关虚拟 化 第 6 部分： 虚拟企业网关功能技术要求 Virtualization of broadband customer gateway based on public telecommunication networkPart 6: Technical requirements for virtualized business gateway 报批 稿 XXXX - XX - XX发布 XXXX - XX - XX实施 中 华 人 民

2、 共 和 国 工 业 和 信 息 化 部 发 布 YD/T 3420.6XXXX I 目 次 前 言 .II 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 缩略语 .2 5 企业网关虚拟化的总体架构 .3 5.1 企业网关虚拟化的逻辑结构 .3 5.2 企业虚拟网关功能参考模型 .4 6 虚拟企业网关功能要求 .6 6.1 虚拟企业网关总体要求 .6 6.2 接入功能 .6 6.3 传送功能 .7 6.4 地址功能 .7 6.5 QoS 功能 .8 6.6 安全功能 .9 6.7 VPN 组网功能 .10 6.8 对实体网关的管理功能 .10 7 虚拟企业网关的管理和控制

3、 .10 7.1 虚拟企业网关管理控制架构 .10 7.2 系统配置管理 .11 7.3 告警与诊断 .12 7.4 企业业务配置管理 .12 附录 A（资料性附录）企业虚拟化网关相关业务流程示例 .13 A 1 实体企业网关初始化配置流程 .13 A 2 宽带业务流程 .13 A 3 企业 IPSec VPN 组网业务流程 .13 附录 B （资料性附录） 虚拟企业网关用户管理门户 .15 YD/T 3420.6XXXX II 前 言 YD/T 3420基于公用电信网的宽带客户网关虚拟化标准预计包括以下部分： 第 1 部分：总体要求； 第 2 部分：语音虚拟化技术要求； 第 3 部分：实体家

4、庭网关技术要求； 第 4 部分：实体企业网关技术要求； 第 5 部分：虚拟家庭网关功能技术要求； 第 6 部分：虚拟企业网关功能技术要求； 第 7 部分：管理要求； 第 8 部分：接口要求。 本部分是 YD/T 3420 的第 6 部分。 本部分 按照 GB/T 1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位 ： 中国电信集团有限公司、中国联合网络通信集团有限公司、中国信息通信研究院、中 国移动通信集团有限公司、中兴通讯股份有限公司、华为技术有限公司、中国信息通信科技集团

5、有限公司、 上海诺基亚贝尔股份有限公司。 本标准起草人 ： 胡杰、吕航、冯明、王波、谢久雨、支金龙、李妮、肖扬、刘玉飞、杨晨、江志峰、沈 毅纲、李明、朱晓雨、刘谦、张德朝、陈伟、林薇、韩静、罗晔。 YD/T 3420.6XXXX 1 基于公用电信网的宽带客户网关虚拟化 第 6 部分 ： 虚拟企业网关功能 技术要求 1 范围 本部分规定了公用电信网宽带客户网关虚拟化后虚拟企业网关的逻辑架构和功能参考模型、软件功能、 协议等方面的要求。 本部分适用于基于公用电信网的虚拟企业网关。 注：如无特别说明，本部分中所出现的宽带客户网络均指基于公用电信网的宽带客户网络，电信网络均指公用电信网络； 虚拟网关均

6、指虚拟企业网关。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡 是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T 2372-2011 支持 IPv6 的接入网总体技术要求 YD/T 3420.1-2018 基于公用电信网的宽带客户网关虚拟化 第 1 部分：总体要求 IETF RFC 2661 二层隧道协议（ Layer Two Tunneling Protocol） IETF RFC 2663 IP网络地址转换器（ NAT）术语和注意事项（ IP Network Address Trans

7、lator(NAT) Terminology and Considerations） IETF RFC 3022 传统 IP网络地址转换（ Traditional IP Network Address Translator(Traditional NAT)） IETF RFC 3193 使用 IPSec保护 L2TP（ Securing L2TP using IPSec） IETF RFC 3027 使用 IP网络地址转换的协议复杂性（ Protocol Complications with the IP Network Address Translator） IETF RFC 3489 通过

8、网络地址转换器实现用户数据报协议（ UDP）的简单遍历（ Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators） IETF RFC 3931 二层隧道协议第三版（ Layer Two Tunneling Protocol - Version 3 (L2TPv3)） 3 术语和定义 下列术语和定义适用于本文件。 YD/T 3420.6XXXX 2 3.1 实体网关 physical gateway 在宽带客户网关虚拟化场景下部署在宽带客户侧的网关设备 。 根据接入用户类型的不同 ，

9、 分为实体家庭 网关和实体企业网关。 3.2 实体企业网关 physical business gateway 在宽带客户网关虚拟化场景下部署在宽带企业客户侧的网关设备。 3.3 虚拟网关 virtual gateway 在宽带客户网关虚拟化场景下部署在网络侧网关功能集合 。 这些功能可能部署在一个网络侧设备上 ， 也 可能部署在多个网络侧设备上，这些功能和部署在用户侧的实体网关一起提供宽带客户网关的功能。 根据接入用户类型的不同，分为虚拟家庭网关和虚拟企业网关。 3.4 虚拟企业网关 virtual business gateway 在宽带客户网关虚拟化场景下部署在网络侧的企业网关功能集合

10、， 这些功能可能部署在一个网络侧设备 上 ， 也可能部署在多个网络侧设备上 ， 这些功能和部署在客户侧的实体企业网关一起提供宽带企业网关的功 能。 4 缩略语 下列缩略语适用于本文件。 ALG: 应用层网关 (Application Layer Gateway) AN：接入网（ Access Network） BNG：宽带网络网关（ Broadband Network Gateway） DC：数据中心（ Data Center） DES：数据加密标准（ Data Encryption Standard） DHCP：动态主机配置协议（ Dynamic Host Configuration Pro

11、tocol） EMS:网元管理系统 (Element Management System) EPON：以太网无源光网络（ Ethernet Passive Optical Network） GPON：千兆无源光网络（ Gigabit Passive Optical Network） GRE ：通用路由封装（ Generic Routing Encapsulation） IP：互联网协议（ Internet Protocol） IPv4：互联网协议第四版（ Internet Protocol v4） IPv6：互联网协议第六版（ Internet Protocol v6） LAN：局域网（ Lo

12、cal Area Network） YD/T 3420.6XXXX 3 LSL：逻辑用户连接（ Logical Subscriber Link） NAT：网络地址转换（ Network Address Translation） NAPT：网络地址与端口转换（ Network Address and Port Translation） NFVI：网络功能虚拟化基础设施（ Network Function Virtualization Infrastructure） NFVO：网络功能虚拟化编排器（ Network Function Virtualization Orchestration） NM

13、S ：网络管理系统（ Network Management System） OAM：操作管理与维护（ Operation， Administration and Maintain） pBG：实体企业网关（ Physical Business Gateway） PG：实体网关（ Physical Gateway ） PON：无源光网络（ Passive Optical Network） PPPoE：以太网上传送点到点协议（ Point to Point Protocol over Ethernet） TOS：服务类型（ Type of Service） VAS ：增值服务（ Value-Adde

14、d Services） vBG：虚拟企业网关（ Virtual Business Gateway） VG：虚拟网关（ Virtual Gateway） VID ： VLAN 标识（ VLAN Identifier） VLAN：虚拟局域网（ Virtual LAN） VNFM：虚拟网络功能管理器（ Virtual Network Function Manager） VXLAN ：虚拟扩展局域网（ Virtual eXtended LAN） WAN：广域网（ Wide Area Network） 5 企业网关虚拟化的总体架构 5.1 企业网关虚拟化的逻辑结构 企业网关虚拟化的逻辑结构如图 1 所示

15、。 YD/T 3420.6XXXX 4 图 1 企业网关虚拟化逻辑结构 如图 1 所示，实体企业网关（ pBG）位于企业用户侧，包含着所有依赖于硬件的功能，而虚拟企业网关 （ vBG）为分布式的虚拟存在，完成企业网关其它的逻辑功能。实体企业网关的逻辑用户连接通过虚拟企业 网关基础设施的 LSL 接口与对应的虚拟网关连接 。 图中虚线部分表示虚拟网关与实体网关不一定是一一对应 关系，一个虚拟网关可以对应多个实体网关，一个实体网关可以对应多个虚拟网关。 5.2 企业虚拟网关功能参考模型 企业虚拟网关系统的网络功能是分布式部署的，虚拟企业网关（ vBG）和实体企业网关（ pBG）构成了 虚拟网关系统

16、。 企业虚拟网关的功能参考模型如图 2 所示。 YD/T 3420.6XXXX 5 图 2 企业虚拟网关的功能参考模型 企业虚拟网关的系统组件如下： WAN 接口功能； 逻辑用户连接接口功能； IPv4/IPv6 传送； 路由控制； 上行流量 QoS； 下行流量 QoS; IP 地址管理 /DHCP 服务器 ; 管理与控制 网络地址及端口转换（ NAPT） ； DNS 服务； 安全管理； VPN 组网； 增值服务。 企业虚拟网关系统在用户侧的是实体企业网关 （ pBG） ， 这部分的网络功能是将数据流量转发到虚拟网关 ， 如图 2 所示。 YD/T 3420.6XXXX 6 6 虚拟企业网关功

17、能要求 6.1 虚拟企业网关总体要求 虚拟企业网关的不同模式分类 见 YD/T 3420.1-2018 的 7.2， 具体功能要求见表 1。 表 1 不同模式的虚拟网关功能要求 功能 模式一 模式二 逻辑连接功能 支持 支持 接入功能 上行 WAN连接接入 支持 支持 桥接 /路由 支持 支持 VLAN功能 支持 支持 组播功能 支持 支持 传送功能 路由功能 支持 支持 DNS功能 支持 支持 NAT/NAPT功能 支持 可选 ALG 支持 支持 DHCP功能 支持 支持 地址功能 IPV6 支持 支持 业务流分类和标记 支持 可选 业务流限速 支持 可选 QoS功能 优先级队列调度 支持

18、可选 防 DDOS攻击 支持 支持 防端口扫描 支持 支持 防火墙 支持 支持 非法组播源控制功能 可选 可选 安全功能 报文抑制 支持 支持 L2TP VPN功能 支持 支持 VPN组网功能 IPSec VPN功能 支持 支持 管理功能 对实体网关的管理 支持 支持 6.2 接入功能 6.2.1 逻辑连接功能要求 虚拟企业网关应支持与一个或多个实体网关建立逻辑用户连接（ LSL），至少支持以下模式中的一种接 入模式： 单层 VLAN模式； 双层 VLAN模式； 隧道模式，如 GRE、 L2TP VPN、 IPSec VPN、 VxLAN等。 YD/T 3420.6XXXX 7 虚拟企业网关应

19、支持通过 IP会话监控所有的 LSL的状态，并支持报文周期、超时等时钟的配置。 6.2.2 上行 WAN 连接接入功能 虚拟企业网关应能够支持接入运营商的 IP网络。 虚企业网关应支持发起 PPPoE/DHCP连接。 虚拟企业网关可选支持 DHCP Relay功能 ， 能够将终端的 DHCP请求转发给位于宽带客户网络外部的 DHCP 服务器，并返回分配地址结果。 虚拟企业网关应支持至少 16个 WAN连接同时工作，应支持至少 8个路由 WAN连接同时工作。 当虚拟企业网关建立了一条以上的 WAN连接时，应支持不同 WAN连接之间的数据（包括 DNS、 ARP、 管理应用数据等）的完全隔离。 宽

20、带业务流程参见附录 A.2。 6.3 传送功能 6.3.1 工作模式 虚拟企业网关应支持工作在桥接、路由以及桥接 /路由混合等模式。 6.3.2 VLAN 功能 虚拟企业网关应支持接收 untagged、 priority-tagged或 tagged报文。 虚拟企业网关应支持对上行 untagged报文添加 p-bit和 /或 VID，对 priority-tagged报文添加 VID，支持丢弃 tagged报文。 虚拟企业网关应支持将下行接收到的 tagged报文去掉 tag。 6.3.3 组播功能 虚拟企业网关应支持 IGMP proxy和 IGMP snooping功能， IGMP协议

21、支持 IGMP v2，可选支持 IGMP v3。 6.3.4 路由功能 虚拟企业网关应支持静态路由配置，可选支持 RIP v1/v2协议，可选支持 RIPng协议。 6.4 地址功能 6.4.1 DNS 功能 虚拟企业网关应支持在 DHCP会话过程中将 DNS服务器地址发送给客户网络内部设备， DNS服务器的地 址可以配置，并能对客户网络内部设备的 DNS请求进行转发并将解析结果送回给客户网络内部设备。 虚拟企业网关应支持 DDNS功能。 虚拟网关应支持 DNSv6。 6.4.2 NAT 功能 YD/T 3420.6XXXX 8 采用模式一的虚拟网关应支持 NAT/NAPT功能，符合 IETF

22、 RFC 2663、 RFC3022和 RFC3027的规定。 虚拟企业网关应支持 IETF RFC 3489定义的 cone NAT。 虚拟企业网关应支持配置端口前转（ Port Forwarding） ，支持虚拟服务器（ Virtual Server） ，用户可选择 常见协议（如 FTP、 HTTP等）进行虚拟服务器配置，网关应至少同时支持 8个虚拟服务器的配置。 采用模式二的虚拟企业网关此功能可选。 6.4.3 ALG 功能 虚拟企业网关应支持 ALG功能，支持 SIP、 FTP、 RTSP、 L2TP、 H.323的私网穿越功能，可选支持 IPSec 协议；每种协议必须提供单独的开关功

23、能。 6.4.4 DHCP 功能 虚拟企业网关的 WAN侧应支持静态配置 IP地址、 DHCP和 PPPoE三种方式获取 IP地址信息。 虚拟企业网关 WAN侧接口应支持 DHCP Client功能，能够获取 IP地址信息，包括 IP地址、 DNS服务器地 址、 IP网关地址等。 虚拟企业网关应支持 DHCP Server功能 ， 为用户侧设备分配 IP地址 ， IP地址池可配置 。 网关的 DHCP Server 应支持针对不同企业用户的终端分配同一个地址池的不同地址段，或为每一个企业分配一个单独的地址池。 网关的 DHCP Server应支持查看地址池中已分配的地址情况，包括客户端名称、

24、MAC地址、 IP地址、剩余租 借期等。 虚拟企业 网关的 DHCP server 应支持根据用户侧设备 上报的 Option 60 标识 ， 为不同类型的设备从同一网 段不同 的 IP 地址区间中分配 IP 地址， 不同设备 IP 地址池可配置。 6.4.5 IPv6 功能 虚拟企业网关应支持 IPv6协议族，包括支持 SLAAC、 DHCP-PD和 PPP承载 IPv6时的各种地址获取方式； 支持对实体网关 LAN侧设备的 IPv6地址的分配。 虚拟企业网关应支持 IPv4/IPv6双协议栈，支持同时获取 IPv4以及 IPv6地址的能力。 虚拟企业网关应支持的 IPv6具体功能要求见 Y

25、D/T 2372-2011。 6.5 QoS 功能 6.5.1 业务流分类和标记功能 采用模式一的虚拟企业网关应支持外部网络要求的 QoS机制，虚拟企业网关应支持以下流分类技术： a) 支持按源 IP（包括网段和范围）、目的 IP（包括网段和范围）、源端口、目的端口、物理接口（包 括 SSID）进行流分类； b) 支持按源 MAC地址、目的 MAC地址、 VLAN ID、 802.1D进行流分类； c) 支持按 DSCP进行流分类； d) 支持按协议类型（ TCP/UDP/ICMP）进行流分类； e) 可选支持通过识别业务报文 ， 对动态业务进行流分类 ， 例如通过识别 SIP报文 ， 提取呼

26、叫语音流的 IP YD/T 3420.6XXXX 9 地址 /UDP端口号信息，并施加已经配置的流分类策略； f) 可选支持按照 ToS进行流分类。 采用模式二的虚拟企业网关在 pBG侧要有 QoS控制， vBG可选支持 QoS功能。 6.5.2 业务流限速功能 虚拟企业网关应支持对业务进行流量控制 ， 包括每种上行业务流的 CAR、 LAN-WLAN的 CAR。 应支持 CAR 规则的配置。 6.5.3 优先级队列调度功能 虚拟企业网关应支持至少 4个优先级队列，并能根据流分类的结果将业务流映射到不同的队列，应支持 绝对优先级队列调度和 WRR队列调度方式，应支持绝对优先级和加权优先级的混合

27、调度。 6.6 安全功能 6.6.1 防攻击能力 6.6.1.1 防 DoS 攻击能力 虚拟企业网关应支持防止 Ping of Death、 SYN Flood等 DoS攻击，并建议虚拟企业网关能够防止对自身代 理的应用协议（例如， DNS）进行攻击。 6.6.1.2 防端口扫描能力 虚拟企业网关应能够提供防端口扫描功能，支持防其它设备或者应用的恶意端口扫描。 6.6.1.3 非法组播源控制功能 （可选） 虚拟企业网关建议支持防止用户做组播源的组播报文 ， 禁止用户端口发出的 IGMP Query和组播数据报文 。 6.6.2 防火墙功能 虚拟企业网关应支持防火墙功能 ， 支持对防火墙等级的设

28、置 ， 支持对防火墙规则的配置 ， 并支持基于以 下规则对报文进行过滤： 支持根据源 MAC地址、目的 MAC地址进行报文过滤； 支持根据源 IP地址及范围段、目的 IP地址及范围段进行报文过滤； 支持根据 IP源端口及范围段、目的端口及范围段进行报文过滤； 支持根据以太网包的传输层协议类型进行报文过滤，要求有 IP/PPPoE/ARP的选项； 支持根据 IP包的传输层协议类型进行报文过滤，要求有 TCP/UDP/ICMP/TCP+UDP/ANY的选项； 支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止 2种， 默认为禁止模式。 6.6.3 报文抑制 虚拟企业网

29、关建议能够对特定协议的广播 /组播包 （例如 DHCP， ARP， IGMP等 ） 进行抑制 ， 对其它广播 YD/T 3420.6XXXX 10 报文的速率限制参数可配置。 6.7 VPN 组网功能 6.7.1 L2TP VPN 功能 虚拟企业网关应支持 L2TPv2功能，支持在 UDP上承载 L2TP报文，符合 IETF RFC2661；可选支持 L2TPv3，符合 IETF RFC3931。 虚拟企业网关可选支持 IETF RFC3193，即支持结合 IPSec加密的 L2TP隧道。 6.7.2 IPSec VPN 功能 虚拟企业网关应支持 IPSec VPN功能的相关要求： -应支持多

30、种工作方式 ： 传输模式 AH(Authentication header)、隧道模式 AH、传输模式 ESP(Encapsulating secutiy payload)、隧道模式 ESP。 -应支持 Site to Site、 Remote Access等 VPN组网形式。 -应支持预共享密钥和 X.509 数字证书等认证方式来进行 VPN认证。 -应支持 IKE（ Internet Key Exchange，因特网密钥交换）。 -应支持 DES、 3DES、 AES 128、 AES 192、 AES 256等符合国家密码管理的有关规定的加密算法。支 持多种哈希验证算法（ MD5、 SH

31、A-1等）。 -应支持基于固定 IP地址建立 IPSec隧道，支持通过域名建立 IPSec隧道。 -应支持断线侦测（ DPD）协议。 -可支持不同 VPN隧道和非 VPN流量的优先级处理。 -应支持 Internet流量转发 ， 提供 “到 Internet的 VPN路由通道 ”可配置选项 ， 客户端通过 IPSec VPN拨入 后，不仅能够访问局域网资源，同时能够访问互联网。 IPSec VPN的组网业务流程参见附录 A.3。 6.8 对实体网关的管理功能 虚拟 企业 网关应支持作为代理对实体网关进行相关配置和管理 。 。 7 虚拟企业网关的管理和控制 7.1 虚拟企业网关管理控制架构 虚拟

32、企业网关系统支持平台的管理和控制 ， 包括虚拟 企业 网关部分和实体 企业 网关部分都应支持 ， 管理 和控制的功能包括软件系统和设备的管理配置 、 设备工作模式的控制 、 企业业务认证鉴权等信息的配置管理 ， 企业业务模式的控制等。 YD/T 3420.6XXXX 11 图 3 虚拟企业网关系统管理控制架构 如图 3 所示 ， 虚拟 企业 网关支持管理平台和 VNFM 中的一种或多种管理 ， 不同的管理模块 ， 可根据企业 网关的部署情况、企业业务的实际需要分布在不同的平台上。 虚拟 企业 网关应支持的管理平台远程管理方式， 包括 Web 登录（ 基于 HTTPS）方式， 以及通过 TR06

33、9 协议管理。 虚拟 企业 网关的初始化配置流程示意参见附录 A.1。 7.2 系统配置管理 虚拟 企业 网关接受来自管理平台对其的系统性功能的配置管理及控制，包括网络接口、 DHCP 服务器、 防火墙等以及对网关工作模式的控制。系统配置管理的内容包括： 网络功能错误及告警管理； 网络功能配置管理； 网络节点拓扑管理； 网络 QoS 配置； 网络安全的配置管理； 网络功能相关的软件管理； 操作系统相关软件的配置管理。 YD/T 3420.6XXXX 12 7.3 告警与诊断 虚拟企业网关系统在运行中 ， 可能会产生错误或告警 ， 告警和错误既可以来自虚拟网关 ， 也可能来自实 体 企业 网关部

34、分 ， 虚拟 企业 网关系统接受管理平台的配置管理与控制 ， 同时虚拟 企业 网关将实体 企业 网关部 分的配置管理参数通过管理控制接口下发给实体网关 。 可监控组件包括网络接口 、 CPU 使用情况 、 内存占用 情况以及存储的占用情况 ， 管理平台对监控组件相关阈值进行设置 ， 当监控组件运行中超过阈值 ， 则产生告 警或错误 ， 告警和错误信息可实时也可累计向平台发出 ， 虚拟 企业 网关对告警信息和错误信息可进行评估诊 断，将诊断评估结果上报平台。通过该功能可管理的内容包括： 网络接口的错误及告警管理； 设备运行错误及告警管理； 设备运行故障诊断； 网络故障诊断。 7.4 企业业务配置

35、管理 虚拟 企业 网关的配置管理主要是业务参数的配置管理 ， 例如 IPSec VPN、 L2TP 隧道的各项技术参数 ， 相 关企业业务的认证、鉴权等信息的配置管理。 YD/T 3420.6XXXX 13 附录 A （资料性附录） 企业虚拟化网关相关业务流程示例 A 1 实体企业网关初始化配置流程 PON 上行实体网关初始化配置流程如下： a) 实体网关正常上电， 首先要进行并通过上行 PON 口的 OLT 认证； b) 通过 OLT 认证后，如果是首次上电，实体网关通过管理控制平台进行初始化配置，包括宽带账号， 相关服务器设备地址等； c) 如果不是首次上电， 实体网关通过 DHCP cl

36、ient 或 PPPoE client， 获得 IP 地址（可选 ） ； a) 实体网关创建 LSL 连接虚拟网关 ， 如果 LSL 需要穿越 NAT， 实体网关利用获得的 IP 地址创建 VPN 或 VxLAN 承载 LSL。 A 2 宽带业务流程 模式一下的虚拟网关宽带业务流程如下： a) 企业内部实体网关侧子网下的终端连接到实体网关的 LAN 端口或 WLAN 端口； b) 企业实体网关侧的终端发送 DHCP 请求， 请求通过 LSL 发送到虚拟网关（ vBG） ； c) vBG 获取 DHCP 请求后， 给用户终端分配 IP 地址； d) 企业终端发送上网请求， 上网请求通过 LSL

37、发送到 vBG； e) vBG 代理用户向 AAA 发起认证计费请求； f) 请求通过后， vBG 转发用户终端上网请求； g) 企业内部终端访问企业内部其他终端， 实体网关根据目标 MAC 和 IP 地址直接转发。 模式二下的虚拟网关宽带业务流程如下： a) 企业内部实体网关侧子网下的终端连接到实体网关的 LAN 端口或 WLAN 端口； b) 企业实体网关侧的终端发送 DHCP 请求， 实体网关收到 DHCP 请求后， 给用户终端分配 IP 地址； c) 终端发送上网请求， 实体网关代理用户向 AAA 发起认证计费请求； d) 请求通过后，实体网关转发用户终端上网请求； e) 根据配置，

38、特定的上网流量通过 vBG 进行转发， 比如 IPSec VPN 数据流量； f) 企业内部终端访问企业内部其他终端， 实体网关根据目标 MAC 和 IP 地址直接转发。 YD/T 3420.6XXXX 14 A 3 企业 IPSec VPN 组网业务流程 企业的各分支机构的实体网关连接不同的虚拟网关， 当不同虚拟网关下的实体网关要发起建立 IPSec VPN 隧道时 ， 同时在虚拟网关之间建立 IPSec VPN 隧道 ， 各实体网关通过不同的虚拟网关建立起 IPSec VPN 隧道， 虚拟网关之间建立的是 Site To Site 模式的 VPN， 如图 A.1 所示。 图 A.1 基于

39、vBG 的企业 IPSec VPN 组网 IPSec VPN 组网业务流程如下： a) 虚拟网关间配置好 VPN 的各项参数， 包括 IKE 策略、预共享秘钥、 IPSec 策略、各实体网关侧的企 业子网信息等； b) 当某虚拟网关下的主机欲与另一虚拟网关下的主机通信，发送通信请求，实体网关将请求发送至虚 拟网关； c) 虚拟网关根据目标子网地址， 向对端的虚拟网关发起 VPN 建立请求； d) 对端虚拟网关响应请求， 双方根据 IKE 策略、 IPSec 策略建立起 VPN 隧道； e) 实体网关侧主机之间相互通信； YD/T 3420.6XXXX 15 附录 B （资料性附录） 虚拟企业网

40、关用户管理门户 企业的虚拟网关管理系统 ， 可向用户提供管理界面 ， 虚拟企业网关系统的管理门户可向网关系统的用户 提供以下服务： 自助服务：包括服务选择，服务配置，地址配置，路由配置，安全配置等； 性能监控：包括可用性，各项性能统计，历史数据统计报告，运行日志等等； 服务激活 /修改 ： 用户不仅需要物理设备的管理配置，也需要对虚拟网关的服务和处理能力等进行配 置管理，用户可以根据需要添加新的服务并且配置服务参数； 虚拟企业网关系统的用户管理门户应提供企业多点 、 多分支机构的实体网关设备和虚拟网关的监控以及 配置管理。 虚拟网关系统的用户管理门户并不是虚拟网关系统的一个组件 ， 可以根据用户需求对实体网关和虚拟网 关进行服务的启停及配置参数的修改 ， 并且用户门户需要提供安全机制以防止用户参数错误而导致不良后果 。