中國聯(lián)通NAT44轉換設備技術規(guī)范V1.1.4_第1頁
中國聯(lián)通NAT44轉換設備技術規(guī)范V1.1.4_第2頁
中國聯(lián)通NAT44轉換設備技術規(guī)范V1.1.4_第3頁
中國聯(lián)通NAT44轉換設備技術規(guī)范V1.1.4_第4頁
中國聯(lián)通NAT44轉換設備技術規(guī)范V1.1.4_第5頁
已閱讀5頁,還剩12頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、中國聯(lián)通公司發(fā)布2012-xx-xx實施2012-xx-xx發(fā)布中國聯(lián)通NAT44轉換設備技術規(guī)范(V1.0)The Technical Specifications of NAT44 for China Unicom (version 1.0)QB/CU XXX-2012中國聯(lián)通公司企業(yè)標準目次目次II前言IV中國聯(lián)通NAT44轉換設備技術規(guī)范11 范圍12 規(guī)范性引用文件13 定義和縮略語13.1 定義13.2 縮略語24 概述24.1 設備定位34.2 地址轉換體系架構34.3 設備形態(tài)及連接方式34.4 設備部署方式45 功能要求55.1 基本NAT特性55.2 資源分配模式55.3

2、地址轉換65.4 溯源功能要求65.5 告警信息輸出85.6 應用層ALG95.7 路由95.8 網(wǎng)絡時間同步96 性能要求96.1 設備容量96.2 設備性能96.3 可靠性97 冗余備份要求108 安全要求108.1 訪問控制和流量控制108.2 路由安全119 操作管理維護要求119.1 基本管理功能119.2 配置管理119.3 性能管理119.4 故障管理129.5 安全管理1210 物理接口要求1211 環(huán)境要求1212 電源與接地12前言本標準在充分研究和分析中國聯(lián)通對地址轉換設備的需求的基礎上,描述了運營級NAT(NAT44)設備的定位及其在運營級地址轉換體系中的作用,規(guī)定了N

3、AT44的功能、性能、安全、備份以及管理等基本的技術要求。本標準按照GB/T 1.1-2009給出的規(guī)則起草。本標準由中國聯(lián)通技術部提出并歸口。本標準起草單位:中國聯(lián)合網(wǎng)絡通信集團中訊郵電咨詢設計院本標準主要起草人:中國聯(lián)通NAT44轉換設備技術規(guī)范1 范圍本標準描述了中國聯(lián)通所需運營級NAT(NAT44)設備的定位及其在運營級地址轉換體系中的作用,規(guī)定了NAT44的功能、性能、安全、備份以及管理等基本的技術要求。2 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不使用于本標準,然而,鼓勵根據(jù)本標準達成協(xié)

4、議的各方研究是否可以使用這些文件的最新版本。凡是不注明日期的引用文件,其最新版本適用本標準。IETF RFC2663 NAT術語及思考IETF RFC3022 傳統(tǒng)IP網(wǎng)絡地址轉換(傳統(tǒng)NAT)IETF RFC4787 NAT對單播UDP報文的行為要求IETF RFC5382 NAT對TCP報文的行為要求IETF RFC5508 NAT對ICMP報文的行為要求IETF RFC5424 Syslog協(xié)議IETF RFC2866 RADIUS計費YD/T 11482005 網(wǎng)絡接入服務器技術要求-寬帶網(wǎng)絡接入服務器3 定義和縮略語3.1 定義3.1.1 NAT44在本技術要求中,NAT44特指運營

5、級地址轉換設備。3.1.2 NAT44用戶通過NAT44轉換的用戶。3.1.3 路由器插卡NAT44插NAT44卡的路由器設備。3.1.4 BRAS插卡NAT44插NAT44卡的BRAS設備。3.1.5 獨立設備NAT44提供NAT功能的獨立設備。3.1.6 用戶地址BRAS、AAA、DHCP等系統(tǒng)分配給用戶的地址。3.1.7 地址映射關系指NAT轉換中綁定的(用戶地址,端口)與(公有地址,端口)之間的映射關系,或者綁定的用戶地址與公有地址的一對一映射關系。3.1.8 地址映射表指由地址對綁定關系創(chuàng)建的映射表格。3.1.9 端口預留關系指NAT轉換中為用戶預留的(用戶地址)與(公有地址,端口塊

6、)之間的映射關系。3.1.10 端口預留表指由端口預留關系創(chuàng)建的映射表格。3.1.11 溯源關系/地址轉換關系指能夠根據(jù)(公有地址,端口)追溯到用戶地址的關系,包括地址映射關系和端口預留關系。3.2 縮略語下列縮略語適用于本標準文件:AAA Authentication、Authorization、Accounting 認證、授權、記帳ACL Access Control List 訪問控制列表ALG Application Layer Gateway 應用層網(wǎng)關BRAS Broadband Remote Access Service 寬帶遠程接入服務CPE Customer Presidia

7、l Equipment 用戶駐地設備DHCP Dynamic host configuration protocol 動態(tài)主機配置協(xié)議DNS Domain Name System 域名系統(tǒng)ICMP Internet Control Message Protocol 網(wǎng)際控制報文協(xié)議IPv4 Internet Protocol Version 4 網(wǎng)際協(xié)議第四版IPv6 Internet Protocol Version 6 網(wǎng)際協(xié)議第六版NAT Nerwork Address Transform 網(wǎng)絡地址轉換NTP Network Time Protocol 網(wǎng)絡時間協(xié)議PC Personal

8、 Computer 個人電腦RADIUS Remote Authentication Dial In User Service 遠程認證撥號用戶服務TCP Transfer Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議4 概述4.1 設備定位IPv4公有地址枯竭后,新增用戶將無法得到IPv4公網(wǎng)地址,而當前IPv6部署尚未大規(guī)模開展,為了支持寬帶互聯(lián)網(wǎng)業(yè)務等IP地址相關的各種業(yè)務的持續(xù)發(fā)展,在運營商網(wǎng)絡內需要部署NAT來解決地址短缺,這種NAT設備稱作運營級NAT44設備。與傳統(tǒng)的企業(yè)網(wǎng)NAT應用環(huán)境不同,NAT44服務的用

9、戶規(guī)模更大、承載流量大、業(yè)務穩(wěn)定性要求更高,因此要求NAT44具備更高的性能、穩(wěn)定性和安全性。同時,NAT44設備也需要實現(xiàn)設備冗余功能以避免網(wǎng)絡單點故障,以及實現(xiàn)用戶溯源等方面的需求。另一方面,NAT44設備主要用于地址共享,因此可以簡化傳統(tǒng)NAT設備的安全防護功能,以提升設備的整體性能。4.2 地址轉換體系架構部署NAT44時,需要結合AAA服務器、網(wǎng)管服務器、日志服務器、溯源系統(tǒng)等配套系統(tǒng),提供運營級NAT轉換,并支持用戶溯源的要求。其體系架構圖如圖1所示:圖1 地址轉換系統(tǒng)架構圖NAT44:生成和維護用戶地址映射表,實現(xiàn)運營商級NAT轉換;并實現(xiàn)用戶溯源關系向AAA服務器和日志服務器上

10、報。AAA服務器:負責記錄和維護用戶賬號、用戶地址等信息;接收或者生成用戶溯源關系;響應用戶的溯源關系查詢。日志服務器:接受和記錄用戶訪問信息;響應用戶訪問信息查詢。網(wǎng)管系統(tǒng):負責管理NAT44設備。溯源系統(tǒng):負責用戶溯源;在需要進行用戶溯源時,向AAA服務器或者日志服務器發(fā)起查詢請求。4.3 設備形態(tài)及連接方式4.3.1 設備形態(tài)NAT44有三種設備形態(tài):獨立設備、路由器插卡和BRAS插卡。獨立設備指設備單純實現(xiàn)NAT功能模塊,路由器插卡指路由器與NAT44功能模塊合設,BRAS插卡指BRAS與NAT44功能模塊合設。4.3.2 獨立設備的連接方式獨立設備與現(xiàn)網(wǎng)設備的連接包括采用串聯(lián)的連接方

11、式(如圖2a),或者采用旁掛的連接方式(如圖2b)。串聯(lián)的連接方式就是指NAT44設備通過設備端口分別串接在網(wǎng)絡中旁掛的連接方式就是指NAT44設備旁掛在路由器設備或BRAS設備上。(a)串聯(lián)連接方式(b)旁掛連接方式圖2 獨立設備NAT44連接方式 在實際的網(wǎng)絡部署中,宜采用旁掛獨立設備的連接方式。4.4 設備部署方式NAT44在城域網(wǎng)中的部署分為集中式和分布式兩種形式:(1)集中式NAT部署集中式部署是指將NAT44設備集中部署在城域網(wǎng)核心路由器上,城域網(wǎng)核心路由器直連NAT44設備,在核心路由器的下聯(lián)接口設置一條策略路由,把需要NAT轉換的流量轉到NAT44設備上,NAT44設備的出流量

12、可以直接靜態(tài)路由指向核心路由器設備,這種方案一般用于私網(wǎng)地址用戶較少或建設初期,根據(jù)核心設備的支持情況可以采用插卡或旁掛NAT44設備兩種形式。見圖3所示:圖3 集中部署NAT44示意圖如果采用插卡的形式,可以通過插入冗余NAT板卡的形式實現(xiàn)備份,一般是warm standby的;如果采用獨立設備的形式,則可以通過核心路由器設備分別連不同的CGN設備來實現(xiàn)網(wǎng)內用戶的負載分擔和冗余保護,此時宜2臺NAT44設備采用不同的地址池,便于路由的收斂。(2)分布式NAT方案分布式部署是指將NAT設備部署在BRAS設備上,根據(jù)設備支持情況可以采用插卡或旁掛NAT44設備兩種形式。見圖4所示:圖4 分布式部

13、署NAT44示意圖一般用作私網(wǎng)地址用戶量較大的情況。如果采用插卡的形式,可以通過插入冗余NAT板卡的形式實現(xiàn),一般是warm standby的;如果采用獨立設備的形式,則可以通過BRAS設備分別連不同的NAT44設備來實現(xiàn)網(wǎng)內用戶的負載分擔和冗余保護。5 功能要求5.1 基本NAT特性NAT44應支持TCP、UDP及ICMP報文的NAT穿越,其特性符合RFC4787、RFC5382、RFC5508的規(guī)定。NAT44應實現(xiàn)Endpoint-Independent Mapping及Endpoint-Independent Filtering特性。為了實現(xiàn)更好的安全性,宜實現(xiàn)Address-Depe

14、ndent Mapping、Address and Port-Dependent Mapping、Address-Dependent Filtering、Address and Port-Dependent Filtering等特性。NAT44支持設置UDP會話(seesion)和TCP會話的老化時間。宜UDP默認老化時間為30秒,TCP默認老化時間為300秒。5.2 資源分配模式本節(jié)的資源是指可用于地址轉換的公有地址和端口。資源分配模式是指NAT44為用戶地址轉換分配公有地址和端口的方式。資源分配模式包括端口共享方式和端口預留方式。5.2.1 端口共享端口共享方式是指所有的(公有地址、端口)

15、資源被用戶共享。在創(chuàng)建地址映射關系時,NAT44可以從未被使用且未被保留的(公有地址、端口)資源中任意選擇一個(公有地址、端口)分配給用戶進行地址轉換。NAT44應支持端口共享的資源分配模式。5.2.2 端口預留端口預留方式是指為用戶預留一個或者若干個(公有地址、端口塊)給用戶使用。在創(chuàng)建地址映射關系時,NAT44只能從為該用戶預留的(公有地址、端口塊)中選擇一個(公有地址、端口)分配給用戶進行地址轉換。同時,為該用戶預留的(公有地址、端口塊)資源不能再被其他用戶使用。要求端口預留關系是可變的。一個私有地址,在一個時期內為其預留某一個(公有地址,端口塊)資源,在另一個時期為其預留另一個(公有地

16、址、端口塊)資源。NAT44應支持端口預留的資源分配模式,并應支持端口段大小的靈活配置,例如:按照100的整數(shù)倍來進行配置;對于采用BRAS插卡的部署方式,應支持將端口段的設置與用戶信息相關聯(lián),使得可以根據(jù)用戶信息進行有差異的端口段分配。NAT44采用的隨機選擇算法生成用戶端口預留關系,可以是哈希算法,也可以是其他算法,但應保證為每個用戶地址預留不同的(公有地址,端口塊)資源。對于BRAS插卡NAT44,在用戶上線為用戶分配地址時,應該同時為用戶地址預留(公有地址,端口塊)資源;當用戶下線時,NAT44應該釋放為此用戶預留的(公有地址,端口塊)資源。對于其他形態(tài)的NAT44,用戶應該在第一次通

17、過NAT44設備發(fā)起會話時,為用戶地址預留(公有地址,端口塊)資源;當用戶長時間沒有會話時(例如用戶在最后一個會話結束后經(jīng)過老化時間仍然沒有新的會話),應該釋放為此用戶預留的(公有地址,端口塊)資源。5.3 地址轉換NAT44根據(jù)資源分配方式為用戶會話選擇對應的(公有地址、端口)進行地址綁定、地址查詢和轉換、地址綁定釋放等過程,其過程符合RFC2663第三章的規(guī)定以及RFC3022第三章的規(guī)定。5.4 溯源功能要求基于監(jiān)管需求,目前政府監(jiān)管部門采用基于用戶源IP地址方式對用戶的各種行為進行溯源。為實現(xiàn)用戶溯源,NAT44的地址轉換關系應該上報給AAA服務器或日志服務器,由AAA服務器或者日志服

18、務器提供用戶溯源的訪問查詢服務,因此NAT44應支持地址映射關系的上報。地址映射關系的上報方式與資源分配模式和NAT44的連接及部署方式有關。 采用獨立設備或路由器插卡方式的用戶溯源(1)溯源方式如果采用獨立設備或者在核心路由器上插NAT44板卡,NAT44應支持用戶端口關系的上報,且需要通過上報日志的方式來實現(xiàn)溯源。這種方式無需對于AAA系統(tǒng)和BRAS設備的上報信息進行大的改動,將BRAS中的用戶信息與IP地址信息與NAT設備的映射關系生成日志同步傳輸給為溯源設置的日志服務器,通過日志進行關聯(lián)確定用戶私網(wǎng)地址與公網(wǎng)地址+端口號的映射關系。要求NAT44設備應支持采用syslog

19、協(xié)議上報日志信息,并要求支持基于用戶及基于Session兩種日志的上報。宜采用基于用戶的日志上報。NAT44通過syslog協(xié)議上報溯源關系的日志有地址映射日志和端口預留日志兩種。1)地址映射日志NAT44應該在用戶新建一個會話時,發(fā)送“地址映射關系建立”的日志;在用戶結束一個會話時,發(fā)送“地址映射關系拆除”的日志。NAT44支持手工指定輸出“地址映射關系建立”日志或“地址映射關系拆除”日志。地址映射日志消息中至少包含用戶地址、端口號、轉換后的公有地址、轉換后的端口號。2)端口預留日志NAT44應該在為用戶創(chuàng)建端口預留關系時,發(fā)送“端口預留關系建立”的日志,在釋放端口預留關系時,發(fā)送“端口預留

20、關系釋放”的日志。NAT44支持手工指定輸出“端口預留關系建立”日志或“端口預留關系釋放”日志。端口預留日志消息中至少包含用戶地址、轉換后的公有地址、轉換后的起始端口號、轉換后的終止端口號。日志的傳輸應符合RFC 5424定義的格式要求。設備宜支持FTP方式定期打包發(fā)送日志信息。日志的輸出應完整,確保在設備(板卡)負荷最大時不出現(xiàn)日志輸出錯、漏的現(xiàn)象。 日志的輸出應不影響 NAT444設備流量轉發(fā)或者 NAT性能的表現(xiàn)。 BRAS插卡NAT44方式的用戶溯源(1)溯源方式在分布式部署插卡式方案中,BRAS提供槽位,插入NAT44板卡,此時BRAS設備維護管理地址池及NAT映射信

21、息,用戶認證通過后,BRAS選擇公有地址及其端口塊,動態(tài)生成用戶地址映射關系,并在Radius協(xié)議的Accounting-start消息中攜帶映射關系,并在計費報文中新增radius屬性以上報映射后的公網(wǎng)地址、起始端口、結束端口。并可以采用以下兩種方式完成溯源:1)NAT44設備通過Radius報文方式將用戶的動態(tài)端口映射關系上報到AAA系統(tǒng),由AAA系統(tǒng)記錄到用戶在線信息表和原始話單中,當AAA系統(tǒng)接收到溯源請求后,直接查詢在線用戶信息表或原始話單,返回溯源結果;2)NAT44設備采用Radius報文方式將用戶動態(tài)端口映射關系上報到Log服務器,AAA系統(tǒng)在接收溯源請求后,通過syslog服

22、務器查詢動態(tài)地址映射關系,完成地址溯源。在實際部署中宜采用 1)方式,BRAS插卡NAT44通過RADIUS協(xié)議上報地址映射關系的過程如圖5所示:圖5 通過RADIUS協(xié)議上報映射關系第1步:用戶上線,完成用戶認證和地址分配,這個過程完成標準的用戶接入流程。第2步:BRAS為用戶地址選擇公有地址、端口塊,創(chuàng)建用戶地址映射關系。BRAS 采用的選擇算法可以是 hash 算法,只需要保證為不同用戶地址選擇不同的(公有地址,端口塊)。第3步:BRAS在Accounting start消息中向AAA服務器上報用戶地址以及為其預留的公有地址、端口塊等信息。同時在計費結束包中亦攜帶以上信息。這種上報方法要

23、求新增如下的RADIUS屬性:· NAT-IP-Address:NAT轉換后的公有地址;· NAT-start-Port:NAT轉換后的起始端口號;· NAT-end-Port:NAT轉換后的終止端口號;第4步:AAA服務器獲得用戶地址、公有地址、端口塊等信息,生成該用戶地址的溯源關系。第5步:用戶下線,BRAS刪除該用戶的端口映射關系。第6步:BRAS在Accounting stop消息中向AAA服務器上報用戶地址以及之前為其預留的公有地址、端口塊等信息。第7步:AAA服務器刪除該用戶的地址溯源關系。Radius認證時,AAA獲取用戶分配IP地址類型后,通過Ra

24、dius標準屬性或BRAS廠家自定義私有屬性告知BRAS設備,以便BRAS為用戶靈活分配IP地址;在分布式部署插卡式方案中,BRAS設備維護管理地址池及NAT映射信息,用戶認證通過后,BRAS選擇公有地址及其端口塊,動態(tài)生成用戶地址映射關系,并在計費報文中新增radius屬性以上報映射后的公網(wǎng)地址、起始端口、結束端口。(2)認證系統(tǒng)改造認證系統(tǒng)應能在計費起始包中接受并處理BRAS設備動態(tài)上報的NAT信息,即支持通過radius擴展屬性獲取用戶地址映射關系,并與用戶信息相關聯(lián)。5.5 告警信息輸出NAT44支持通過Syslog協(xié)議或者SNMP Trap方式輸出告警信息。告警信息的輸出應符合RFC

25、 5424定義的格式要求。NAT44支持打開或者關閉告警輸出功能。宜支持FTP方式定期打包發(fā)送日志信息。告警信息至少包括端口用滿告警和資源用滿告警。(1)端口用滿告警在用戶端口塊的所有端口被用滿的情況下,該用戶后續(xù)會話由于沒有端口而無法對其進行地址轉換,該會話的報文被丟棄。NAT44在分配給用戶的端口用滿情況下,應該能夠輸出告警日志信息到指定的日志服務器。日志消息中至少應包含用戶地址的信息。(2)資源用戶告警在NAT44采用動態(tài)端口預留的資源分配模式的情況下,如果所有(公有地址、端口塊)資源被當前用戶預留之后,新的用戶由于沒有(公有地址、端口塊)資源而無法為其預留資源,進而無法對其進行地址轉換

26、。NAT44在(公有地址、端口塊)資源被用滿時,應該能夠輸出告警日志。5.6 應用層ALGNAT44應支持FTP ALG,其特性符合RFC3022中4.4的規(guī)定;NAT44宜支持的DNS ALG、SIP ALG、RTCP ALG、RTSP ALG、PPTP ALG。5.7 路由獨立設備NAT44與BRAS、路由器互聯(lián)時,NAT44、BRAS或者路由器需要設置路由策略,對需要進行NAT轉換的流量轉發(fā)到NAT44處理,對NAT44進行地址轉換后的流量再轉發(fā)到BRAS和路由器處理。因此獨立NAT44設備需要支持靜態(tài)路由以及OSPF、ISIS、BGP等路由協(xié)議以及策略路由,實現(xiàn)對NAT流量的引導。5.

27、8 網(wǎng)絡時間同步設備應支持網(wǎng)絡時間同步協(xié)議NTP,支持NTP認證和NTP服務器/客戶端。6 性能要求6.1 設備容量NAT44的容量主要是以NAT44所支持的在線用戶數(shù)為依據(jù)。要求NAT44設備至少支持1萬在線用戶的并發(fā)。要求NAT44地址轉換不影響設備的線速轉發(fā)能力。平均時延要求小于100微秒。6.2 設備性能對設備性能的要求包括會話處理能力要求及日志處理能力要求,其中會話處理能力的主要參數(shù)包括:最大并發(fā)會話數(shù)、流量轉發(fā)能力、流量與并發(fā)會話數(shù)配比、分配端口塊速率、新建session速率、拆除session速率;日志處理能力的主要參數(shù)包括:基于用戶方式每秒生成日志數(shù)、基于session方式每秒

28、生成日志數(shù)。6.3 可靠性系統(tǒng)應具有高的可靠性,具體要求如下:1)系統(tǒng)可用率系統(tǒng)應達到99.99%的可用率。2)無故障連續(xù)工作時間系統(tǒng)的平均無故障工作時間:MTBF > 10000小時。3)故障恢復時間 單板塊故障恢復時間 < 20 分鐘 整機故障恢復時間 < 30分鐘系統(tǒng)應允許對運行系統(tǒng)進行所有適當?shù)呐渲酶暮蛙浖壎挥绊懺诰€用戶。宜版本打補丁時不中斷業(yè)務,版本升級時業(yè)務中斷時間少于30分鐘。所有元件應支持熱插拔;支持從故障板卡到備份板卡的自動切換。對于獨立NAT44設備,應支持主控板、電源模塊等關鍵部件冗余。從主用電源到備用電源的切換應是自動的,不能引起業(yè)務的中斷;在

29、有冗余配置的情況下,從機箱中抽走控制板卡及重新插入控制板卡時,設備應能夠繼續(xù)轉發(fā)流量。7 冗余備份要求(1)獨立設備NAT44獨立設備NAT44應支持設備之間的主備切換。宜支持設備之間會話的實時熱備。獨立設備的NAT板卡之間宜支持負荷分擔的備份方式。負荷分擔方式時,可采用按用戶源地址散列的方式來選擇NAT板卡。設備應支持VRRP功能。所有元件應支持熱插拔。對于關鍵部件應提供冗余備份功能,如主控卡、路由控制卡等,應支持從故障板卡到冗余板卡的自動切換,并宜支持手工切換,設備中所有的元件應提供1:1、N:1或分布式的冗余能力,這些元件的倒換應是自動的,并且不能影響業(yè)務,設備元件包括:· 交

30、換單元· 包轉發(fā)引擎· 控制和路由器處理器· 管理系統(tǒng)/管理接口· 饋電接口· 電源模塊/供電單元· 風扇物理接口模塊應支持N:1冗余能力。(2)BRAS插卡NAT44、路由器插卡NAT44BRAS插卡NAT44以及路由器插卡NAT44應支持板卡之間1:1及N:1的主備切換。宜支持板卡之間會話的實時熱備。宜支持NAT44板卡之間負荷分擔的備份方式。負荷分擔方式時,可采用按用戶源地址散列的方式來選擇NAT板卡。要求如果BRAS及路由器實現(xiàn)熱備,在BRAS及路由器進行主備設備切換情況下,NAT44板卡應支持隨設備進行熱備切換。8 安全要求

31、8.1 訪問控制和流量控制應實現(xiàn)基于源IP的并發(fā)會話數(shù)限制功能。應支持通過ACL作為設定條件對NAT流量進行引導。例如對需要進行地址轉換的流量轉發(fā)到地址轉換模塊處理,對不需要進行地址轉換的流量(如在同一NAT44區(qū)域內私有地址之間的流量)進行旁路處理。應實現(xiàn)通過ACL根據(jù)需要調整用戶端口段的范圍。該功能可以用于保證重要的應用(例如DNS請求等)不受NAT連接數(shù)的限制。對于獨立設備NAT44,應支持基于源地址,目的地址,源端口,目的端口,協(xié)議的訪問控制列表ACL。8.2 路由安全獨立設備NAT44應實現(xiàn)路由協(xié)議安全功能,支持OSPF、ISIS、BGP等路由協(xié)議的MD5認證,保證路由信息的可信度。

32、9 操作管理維護要求9.1 基本管理功能設備應至少支持SNMP網(wǎng)管協(xié)議,可與網(wǎng)管配合完成配置管理、性能管理、故障管理和安全管理。設備應支持帶外網(wǎng)管,可以將管理流量與用戶流量從物理或邏輯上分開,帶外網(wǎng)管與帶內網(wǎng)管具有同等的功能。對于帶外訪問應實現(xiàn)訪問控制,防止非法訪問。 應支持SNMPv1、v2、v3網(wǎng)管協(xié)議。 應實現(xiàn)接口組MIB(RFC2863)、IP MIB(RFC1213、RFC4292)、SNMPv1 MIB、SNMPv2 MIB、SNMPv3 MIB等常用MIB庫。 9.2 配置管理(1)獨立設備設備要求具備可管理性,設備應支持通過Console Port 或Telnet 的模式實現(xiàn)配置管理。在設備配置手段方面:應支持手動配置方式;應支持配置下發(fā)接口;應支持根據(jù)配置服務器下發(fā)的映射關系對公有地址的端口塊進行預分配。(2)BRAS插卡應滿足BRAS的相關配置管理技術要求。(3)路由器插卡應滿足路由器相關配置管理技術要求。9.3 性能管理設備應支持對其性能的管理,包括:· 并發(fā)連接數(shù)(在線用戶數(shù))· 吞吐量· 連接超時時間· 端口塊占用率· 資源占用率· 單板NAT流轉發(fā)性能 · 單板流表規(guī)格 · 單板地址池數(shù)量 ·

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論