




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
3基于SRv6的安全能力調(diào)度技術(shù)要求本文件規(guī)定了基于SRv6的安全能力調(diào)度總體架構(gòu)、編排調(diào)度層技術(shù)要求、網(wǎng)絡(luò)基礎(chǔ)設(shè)施技術(shù)要求、安全基礎(chǔ)設(shè)施技術(shù)要求。本文件適用于指導(dǎo)基于SRv6網(wǎng)絡(luò)設(shè)備、云化安全資源池對應(yīng)一體化產(chǎn)品及服務(wù)的研發(fā)、測試、部署和運營。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款.其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件:不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價辦法GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求YD/T1452-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求邊緣路由器YD/T1454-2014IPv6網(wǎng)絡(luò)設(shè)備技術(shù)要求核心路由器IETFRFC8754IPv6段路由頭3術(shù)語和定義下列術(shù)語和定義適用于本文件。SRv6流量工程策略srvótrafficengineeringpolicy利用分段路由技術(shù)的源路由機(jī)制,通過在頭端設(shè)備封裝一個有序的指令列表(路徑信息)來指導(dǎo)報文穿越網(wǎng)絡(luò),用于實現(xiàn)流量工程,提升網(wǎng)絡(luò)質(zhì)量,滿足業(yè)務(wù)的端到端需求用戶標(biāo)識符useridentifier由云網(wǎng)安業(yè)務(wù)編排調(diào)度器分配給訂購服務(wù)的用戶的唯一標(biāo)識,應(yīng)采用USER-Group-ID字段攜帶。注用戶標(biāo)識符在網(wǎng)絡(luò)業(yè)務(wù)鏈頭端設(shè)備中被封裝,安全基礎(chǔ)設(shè)施解析此標(biāo)識,匹配用戶安全服務(wù)映射表進(jìn)入對應(yīng)的安全業(yè)務(wù)鏈應(yīng)用標(biāo)識符applicationidentifier由網(wǎng)絡(luò)控制器分配給特定應(yīng)用發(fā)送的流量的唯一標(biāo)識,應(yīng)采用APP-Group-ID字段攜帶。注攜帶應(yīng)用標(biāo)識符的SRv6報文,在網(wǎng)絡(luò)業(yè)務(wù)鏈的頭端設(shè)備被解析。匹配對應(yīng)的網(wǎng)絡(luò)業(yè)務(wù)鏈,實現(xiàn)引流到安全資源池。云網(wǎng)安業(yè)務(wù)cloudnetworksecurityservice服務(wù)提供商面向用戶提供的具備業(yè)務(wù)隨需部署、敏捷開通、路徑可編程、資源彈性自適應(yīng)的網(wǎng)絡(luò)和基于云化安全能力一體化服務(wù)。安全資源池網(wǎng)關(guān)securityresourcepoolgateway外部承載網(wǎng)絡(luò)與安全資源池內(nèi)部云化安全組件連接的實體。與承載網(wǎng)絡(luò)設(shè)備相連,部署在安全資源池的入口,參與網(wǎng)絡(luò)層SRv6業(yè)務(wù)鏈編排調(diào)度,通過解析用戶和應(yīng)用信息,匹配上層控制器下發(fā)的安全服務(wù)映射表進(jìn)行安全資源調(diào)度,并將流量轉(zhuǎn)發(fā)至對應(yīng)的資源處理4下列縮略語適用于本文件。APN6基于IPv6的應(yīng)用感知網(wǎng)絡(luò)APN-ID應(yīng)用標(biāo)識符CE用戶網(wǎng)絡(luò)邊緣設(shè)備DOH目的選項擴(kuò)展頭IPS入侵防御系統(tǒng)IPv6互聯(lián)網(wǎng)協(xié)議第6版PE服務(wù)商邊緣設(shè)備SRPGW安全資源池網(wǎng)關(guān)SID分段標(biāo)識SR分段路由SRH分段路由報頭SRP安全資源池SRv6基于IPv6的分段路由WAF網(wǎng)站應(yīng)用防火墻Application-awareIPv6NetworProviderEdgeSecurityResourcePoolGaSegnentRoutingSecurityResourceSegmentRoutingove5總體技術(shù)框架基于SRv6的安全能力調(diào)度總體技術(shù)框架由運營層、編排調(diào)度層和基礎(chǔ)設(shè)施層構(gòu)成,通過SRv6網(wǎng)絡(luò)的靈活編排與調(diào)度,引導(dǎo)用戶流量至安全資源池,達(dá)到安全服務(wù)與網(wǎng)絡(luò)服務(wù)一體化靈活調(diào)度與編排??傮w技術(shù)框架如圖1所示。應(yīng)用全路安全制器全脂訂購就F圖1基于SRvó的安全能力調(diào)度總體技術(shù)框架運營層通過運營門戶提供面向企業(yè)用戶的網(wǎng)絡(luò)及云化安全資源池的一體化服務(wù)能力,包括專線等網(wǎng)絡(luò)服務(wù)和安全服務(wù)。運營門戶與云網(wǎng)安業(yè)務(wù)編排調(diào)度器對接,發(fā)布用戶服務(wù)訂購請求信息。編排調(diào)度層通過云網(wǎng)安業(yè)務(wù)編排調(diào)度器、網(wǎng)絡(luò)控制器及安全控制器提供整體業(yè)務(wù)編排調(diào)度能力。云網(wǎng)安業(yè)務(wù)編排調(diào)度器對接運營門戶,接收用戶的網(wǎng)絡(luò)和安全服務(wù)訂購請求,進(jìn)行網(wǎng)絡(luò)和安全資源的調(diào)度。對接網(wǎng)絡(luò)控制器和安全控制器,將資源調(diào)度結(jié)果發(fā)送至網(wǎng)絡(luò)控制器和安全控制器。網(wǎng)絡(luò)控制器負(fù)責(zé)端到端SRv6流量工程策略業(yè)務(wù)鏈路徑編排,并下發(fā)給網(wǎng)絡(luò)基礎(chǔ)設(shè)施。安全控制器負(fù)責(zé)用戶安全資源分配,并下發(fā)給安全基礎(chǔ)設(shè)施。用戶(示例)訂購安全服務(wù)(示例)用戶標(biāo)識符(分配示例)服務(wù)映射表(示例)ABC7e)應(yīng)根據(jù)用戶安全訂購信息,提供對應(yīng)的安全能力的串接編排,下發(fā)給安全資源池,創(chuàng)建對應(yīng)的安全資源,并且根據(jù)用戶要求由安全資源池配置對應(yīng)的安全防護(hù)策略。本項要求包括:應(yīng)采用SRv6和APN6進(jìn)行用戶報文封裝,具體如下:a)SRv6在IPv6擴(kuò)展頭中的位置應(yīng)符合IETFRFC8754第2章,IETFRFC8986第3章標(biāo)準(zhǔn)要求。采用RH擴(kuò)展頭封裝:b)APN6在IPv6擴(kuò)展頭中的位置參考IETF草案(見參考文獻(xiàn)12、13),宜采用DOH擴(kuò)展頭封裝c)APN-ID數(shù)據(jù)包括三個部分:APP-Group-ID,USER-Group-ID和Reserved(保留位),APN-ID數(shù)據(jù)總長度64bit,每個部分的長度可靈活定義。應(yīng)用標(biāo)識符使用APN-ID中的APP-Group-ID字段進(jìn)行封裝,用戶標(biāo)識符使用APN-ID中的USER-Group-ID字段進(jìn)行封裝。APN-ID格式見圖8基礎(chǔ)設(shè)施層技術(shù)要求8.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施本項要求包括:a)對于嚴(yán)格逐跳編排網(wǎng)絡(luò)業(yè)務(wù)鏈,網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備,以及支持SRv6的中間節(jié)點設(shè)備;b)對于松散編排網(wǎng)絡(luò)業(yè)務(wù)鏈,網(wǎng)絡(luò)基礎(chǔ)設(shè)施包含支持SRv6和APN6的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備,以及支持IPv6、可選支持SRv6的中間節(jié)點設(shè)備:c)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6拓?fù)浒l(fā)現(xiàn)和上報:d)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持業(yè)務(wù)流量SRv6隧道封裝、解封裝:e)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的運營商邊界PE設(shè)備或用戶邊界CE設(shè)備應(yīng)支持業(yè)務(wù)流量APN6封裝、解f)參與網(wǎng)絡(luò)業(yè)務(wù)鏈編排的網(wǎng)絡(luò)設(shè)備應(yīng)支持SRv6流量處理及轉(zhuǎn)發(fā):g)網(wǎng)絡(luò)設(shè)備對于IPv6網(wǎng)間互聯(lián)應(yīng)遵循YD/T1454-2014和YD/T1452-2014的要求。8.2安全基礎(chǔ)設(shè)施本項要求包括:a)安全基礎(chǔ)設(shè)施包含安全資源泡內(nèi)SRPCW及云化安全組件:b)云化安全組件應(yīng)支持接收安全控制器下發(fā)的安全資源創(chuàng)建要求,為用戶生成對應(yīng)安全資源:c)SRPGW應(yīng)具備接收安全控制器下發(fā)的用戶安全服務(wù)映射表能力:d)SRPGW應(yīng)具備接收并處理網(wǎng)絡(luò)側(cè)流量能力,根據(jù)報文中攜帶的APN-ID信息,解析用戶標(biāo)識符匹配用戶安全服務(wù)映射表進(jìn)行安全資源調(diào)度,并將流量轉(zhuǎn)發(fā)至對應(yīng)的資源處理;e)SRPGW應(yīng)具備SRv6流量處理及轉(zhuǎn)發(fā)能力;f)應(yīng)基于虛擬機(jī)或容器的方式部署,支持彈性擴(kuò)縮能力g)安全服務(wù)包括訪問控制、入侵防范、惡意代碼防范、安全審計、Web應(yīng)用安全防護(hù)等,其中訪問控制、入侵防范、惡意代碼防范、安全審計服務(wù)應(yīng)遵循GB/T22239-2019,Web應(yīng)用安全防護(hù)應(yīng)遵循GB/T20281-2020。8[1]CCSA2019-1194T-YD.《基于SRv6的網(wǎng)絡(luò)編程技術(shù)要求》(草案報批稿)[2]CCSA2020-0550T-YD.《基于SRv6的IP承載網(wǎng)絡(luò)總體技術(shù)要求》(草案報批稿)[3]CCSA2019-1193T-YD.《基于SRv6的VPN網(wǎng)絡(luò)技術(shù)要求》(草案報批稿)[4]OCSA2022-0779T-YD,《SRv6控制面技術(shù)要求第4部分:BGPSRv6Policy協(xié)議擴(kuò)展》(標(biāo)準(zhǔn)草案送審稿)[6]OCSA2021-0210T-YD,《基于IPv6的網(wǎng)絡(luò)互聯(lián)互通技術(shù)要求》(草案報批稿)[7]YD/T1906-2009,核心路由器(IPv6)安全技術(shù)要求[8]YD/T1907-2009,邊緣路由器(IPv6)安全技術(shù)要求[9]TETFProgranmingwithSegme[10]IETFdraft-ietf-spring-segmeRoutingPolieyArehitec[11]IETF
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 個人裝修工合同標(biāo)準(zhǔn)文本
- 農(nóng)田承包轉(zhuǎn)讓合同標(biāo)準(zhǔn)文本
- 內(nèi)部機(jī)器合同范例
- 出口美國租房合同范例
- 加盟物流協(xié)議合同范例
- 遺傳學(xué)理論與教育
- 2025年國家電網(wǎng)有限公司大數(shù)據(jù)中心招聘6人(第一批)筆試參考題庫附帶答案詳解
- 中國PVC鈣鋅穩(wěn)定劑行業(yè)市場運行格局及發(fā)展前景研判報告
- 2025包頭市熱力(集團(tuán))有限責(zé)任公司招聘工作人員7人筆試參考題庫附帶答案詳解
- 2024遼寧沈陽水務(wù)集團(tuán)有限公司招聘32人筆試參考題庫附帶答案詳解
- 5.2《稻》教案-【中職專用】高二語文同步教學(xué)(高教版2023·拓展模塊下冊)
- 2025年超長期特別國債申報工作及成功案例
- 電梯困人培訓(xùn)課件
- 熔化焊接與熱切割作業(yè)題庫題庫(1455道)
- 金屬冶煉中的鈹冶煉與鈹合金生產(chǎn)
- 2025年中國中煤華東分公司招聘筆試參考題庫含答案解析
- 2025年河南鄭州醫(yī)藥健康職業(yè)學(xué)院招考聘用高頻重點提升(共500題)附帶答案詳解
- 鐵路運輸碳排放分析-洞察分析
- 第16課數(shù)據(jù)管理與編碼(教案)四年級全一冊信息技術(shù)人教版
- 《控制器接口》課件
- HPV分型檢測介紹課件
評論
0/150
提交評論