1、YD 中华人民共和国通信行业标准YD/T 1148-2001 网络接入服务器(NAS)技术要求一一宽带网络接入服务器T臼:hni臼lRJ吨uirementsof Network A宠ssSe押er(NAS)一一-Br侃d加ndNetwork Acc帽sServer 氢沟1-09-03发布2001-11-01实施中华人民共和国信息产业部发布YDfI 1148-2串串EE次前言. . . . u E I 范围2 引用标准. H . . 1 3 定义. . . 2 4缩珞语. . . . 2 5 设备功能. . .,. . . 3 6通信接口. . . . . 6 7 通信流程. . . . 7 8
2、 IP地址管理和分配流程. . . . 8 9 协议要求. . . . . . . 9 10 位能和技术指标. . . . . . 30 11 环境要求. . .H雹H.,. 31 12 电源与接地. ., .0 . 33 13 例行试验. . . .,. . . . . . . 33 YD厅1148-20创前占1日本标准为宽辛苦网络接入服务器设备标准。本标准参考望外向类产品标准,根据国际极关标准,综合国内网络的实际情况制定。本标准是宽带网络接入服务器设备研制、开发和生产的依据。本标准由中华人民共和理信怠产业部电信研究院提出并归口。本标准起草单位z上海贝尔有限公司信息产业部电信传输研究所深圳市
3、中兴通讯股份有限公司华为技术有限公司西安大唐电信股份有限公司本标准主要起草人2于洪斌许飞顿方方江华幸运海涛徐理事II 中华人民共和噩通信行业标准爵络接入服务器(NAS)技术要求一一-宽带网络接入服务器T四:bni姐1重主吨凶rementsof Network Acc四sServer (NAS) 一一-Broadband Netwo放AccessServer YD.厅1148一-20011 范围本标准规定了宽带网络接入服务器的接口功能、协议要求、通信流程、业务流程、性能及技术指标等基本要求。本标准适用于宽带网络接入服务器的研制、生产和引进22 引用标准下列标准所包含的条文,通过在本标准中引用而成
4、为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修汀,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB 191-2创始GB月哩2423.1-1989GB厅2423.2-1989GBff 2423.9-1989 GBff 3873-1983 GB厅哩4798.3-1990YD厅1045-2000YD,厅1盼7-2001YDN 099-1998 RFC0768 (1990) RFC07争1(1990) RFC0792 (1990) RFC0793 (1990) RFC0854 (1990) RFC0855 (1990) RFC0858 (1990) RFC0894 (1990
5、) RFCll44 (19雪2)RFC1l55 (1990) RFC1l57 (1990) RFCI213 (1991) RFC1321 (1992) RFC1332 (1992) 包装储运图示标志电工电子产品基本环境试验规程试验A:低温试验方法电工电子产品基本环境试验规程试验B:高温试验方法电工电子产品基本环境试验规程试验Cb:设备用恒定湿热试验方法通信设备产品包装遥用技术条件电工电子产品应用环绕条件有气候防护场所吕定使用网络接入服务器CNAS)技术规范路也器设备技术规范一一高端路应器SDH技术体制UDP协议lP协议ICMP协议CP协议Telnet协议elnet协议选项规范Telnet抑制前
6、进选项在以太凋土传输lP数据包的标准低速串行链路上的TCP.足F头的压缩算法(SLHC协议基于TCPIIP的互连网管理信息豹结构和标识简单网络管理协议(SNMP)基于TCPIIP的互连网的网络管理信息库:Mffi-II MD5算法IPCP协议中华人民共和国信息产业部Z幡1-窜9-03批准2001-11-01实施YD厅1148一-2001PAP协议IP网络地址转换器(NAT)PPP协议PPP多键协议CHAP协议在类HDLC帧中的PPP协议PPP over AAL5 传输PPPoE之方法PPP皿FrameRelayPPP over SONET/SDH协议AAL5上的多协议封装RFC1334 (19
7、92) RFC1631 (1994) RFC1661 (1994) RFC1990 (199岳RFC1994 (1996) RFCI662 (1994) RFC2364 (1亨争8)RFC2516 (19争9)RFCI973 (1996) RFC2岳15(1999) RFC 1483 (1993) RFC 1490 (1993) RFC 2138 (1997) RFC213雪(1997)RFC1994 (1争96)RFC2岳岳1(1999) RFC 2453 (1998) RFC 2328 (1998) FRAMERELAY上的多协议封装RADIUS协议3 定义RADIUS计费协议网络互连设备
8、的位能测试方法口TP协议RlPv2协议。SPFv2协议本标准应用了下列定义z1)网络接入服务器(烛。网络接入服务器(NetworkAccess Server, NAS)是远程访问接入设备,它位于公共电话网(PSTNI1SDN)与IPJj军之间,将拨号用户接入lP网,它可以完成运程接入、实现拨号虚拟专院理(VPDN)、构建企业内部Intranet等网络应用号2)宽带网络接入服务器CBNAS)宽带网络接入服务器CBroad扭扭dNetwork Access Se凹er,BNAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层。其可以完成用户宽带的或高速的)IP.丛3M网的数据接入目前接入手
9、段主要基于xDSUCabelModeml高速以太网技术/无线宽带数据接入等、实现VPN服务、构建企业内部Jntranet、支持ISP向用户批发业务等应用。4缩略语ADSL Asymmetric Digtal SubscribrLine 非对称数字用户线ATM Asyncbronous 峦血SD泣Mode异步传递模式BGP Bounder Gate胃ayProt田。I边界网关协议CMTS Cable Modem Te口ninationSys担msDDN DigitaI Data Networ主数字数据网FR FrameRelay 帧中继IPSEC IP Secur全tyProtocol lP 网
10、络安全协议ISDN Jntegra恒dSe口,ceDig臼1Network 综合业务数字网LAN LocaI Area Net宵。rk局域网L2TP Layer 2 Tunnelling Protocol 第二层槌道协议且在PMultilink PPP P野多链路协议2 YDfT 1148-2001 开放式最短路径优先协议点到点协议OSPF Open Shor串estPath First Pro船colPPP Point To Point 韵。tocolPPPoA PPP over AAL5 PPPoE PPP over Etheme! PPPiFR PPP in Frame Relay PS
11、TN PubIic Switched Telephone Ne!work RADIDS Remo也AuthorizatiDiaIIn U ser Service RIP Routing Information Pro仅JColSOH Synchronous Oigital Hierarchy SNMP Simples Ne阳orkManagement Pro仅);01VPON Virtual Private Oal _up Net辆10rkVP到Vir租al如ivateNe!work 公共交换电话网远程认证拨号用户服务路由信息协议同步数字序列能单网络管理协议虚拟拨号专网虚拟专用网5设备功能5.
12、1 宽带网络接入服务器的参考结构宽辛苦网络接入服务器位于骨干网的边缘层,作为用户接入网和骨干网之间的阿关,终结来自用户接入网的连接(主要是高速豹用户接入网),提供援入到宽带核心业务网主要为IP网和ATM网的服务,图1为宽带网络接入Ilft务若是的参考结构。无线接入Jljm户Fill高速以太网接入IP管子湾ATM骨干事毒FRJLL骨干网图i宽带网络接入服务器的参考结构5.2 设备的功能组成带网络接入服务器的功能组成可归类为五大功能模块。5.2.1 接入功能模块接入功能模块包括用户侧的接入模块(例如:阻ILL接入、xOSU接口接入、Ca忧1Modem接入及1011/1仪泊Mbtls接入等和网络侧的
13、接口模块(例如,;M接口模块、阿)S接口模块、千兆比以太网接口及IPoverWOM接口模块)。3 YOrrl148-2001 5.2.2通信协议处理模块遥信协议处理模块包括用户侧递信协议例如:FR UNI, PPPoAIPPPoE, IEEE802.3tEE802.3u/ IEEE802.3z)和网络侧通信协议例如:TCP,膛IEEE802.3z, IP over SDHIIP over WDM, L2TP,IPSec )等。5.2.3 网络安全模块宽带网络接入服务器的网络安全模块包括WVPN模块和防火墙模块(可选)。5.2.4 .主务管理模块宽带网络接入服务器的业务管理模块包括网络接入认证与
14、授权模块、计费模块和统计模块。5.2.5 网络管理模块宽带网络接入服务器的同管模块包括SIlMP代理功能模块、Telnet服务器功能模块和设备监控功能模块。通过这三种途径方式,可对宽手苦网络接入服务器进行配置、控制和管理。5.3 设备功能要求5.3.1 接口功能宽带网络接入服务器在接入侧有以下功能接口。1)必M接口必选至少应能支持STM-l接口。宽带网络接入服务器在用户僻的ATM接口主要指与xDSL接入设备的接口,功能是终结或中继xDSL用户的PPP连接。2) 1011晒itls以太网接口(必选宽带网络接入服务器的以太同接口主要指与CabelModem接入的CMTS的接口,应至少支持10/10
15、0Mbi蚀的以太网接口,功能是终结CableModem用户的PPP连续。以太网口也可以和PSN/ISDN拨号用户的远程接入服务器组AS)相连,转发拨号用户的W数据流。3) EI接口可选宽带网络接入服务器的EI接口主要是与FRlLL复接设备、远程接入服务器(RAS)及无线接入的局端设备裕遥,功能是将FRlLL用户的PVCI专线连接在宽带阪络接入报务籍处终结,或将PSI予mSDN拨号用户的远程接入服务器(RAS)的W数据流中继到宽带网络接入服务器,然后遥过宽带网络接入服务器将W数据流转发裂的E业务网中去,或将移动数据用户的PPP连接在宽带网络接入服务器处终结或中继。4)同步串行接口OiJ选宽带网络
16、接入服务器的同步事行接口(主UV.35接口),主要是指与FRILL复接设备、NAS及无线接入局端设备相连的接口,功能是将FRlLL用户的PVCI专线连接在宽带网络接入服务器处终结,或将PSN/ISDN拨号用户的远程接入服务器(RAS)的W数据流中继到宽带网络接入报务器,然后通过宽带网络接入服务器将W数据流转发裂的W业务网中去,或将移动数据用户的PPP连接在宽带网络接入ll务器处终结或中继。宽带网络接入服务器在网络侧有以下功能接口。1) ATM接口(可选如果支持,至少支持S坏.1-)接口和STM-4接口a宽带网络接入服务器在网络侧的ATM接口主要是将用户接入!lJATM骨干网中去。2) PoS接
17、口可选如果支持,至少支持STM-)接口和STM-4接口。宽带网络接入服务器部PoS(Packet over SDH) 接口主要是将用户接入到W骨子网中去。3)子兆比以太网接口(必选至少应支持l创始B部e-SXlI仅郑B监e-LXI1)QB摇eT接口的一种a宽带网络接入服务器的千兆比以太网接口主要是将用户接入到W骨干网中去,4) FRlLL接口(可选4 YD厅1148-2001一般为El接口和V.35等同步串行主要口。宽手苦湾络接入服务器的FRJLL接口主要是将用户接入到F即LL网中去。5) WDM接口(可选是用户接入到IP骨干网的一种可远方式,如果支持,应符合相应标准。5.3.2 通信协议实现
18、和转换功能宽带网络接入服务器面i恕不同类型接入设备(如DSLAM、部部、RAS等).是一手中能提供端到端宽辛苦连接的新型网络路应设备,终结或中继来自用户的各种连接,包括基于ppp的会话和采用不同封装形式的P¥C连接。宽辛苦网络接入草草务器应实现的网络协议如下21)接入侧的通信协议a) FRA坠rnRELAY LMl (ANSI T1.617 Annex DIITU-T Q.933 A血lexA)协议(可选),如)PPPoE 协议:c) PPPoA 协议,d) PPPiFR 协议可选),e) PPP协议2f) LAN协议CIEEE802.31IEEE 802.3u), g) FRAME RELA
19、Y上的多协议封装(RFC1490) C可选K11) AAL5上的多协议封装CRFC1483)。2)网络侧的通信协议a) LAN协议(IEEE802.3z); b) L2p协议:c) IPoverSDH协议CRFC2615);d) IP over WDM协议可选),e) TCPIIP协议3f) IP网络安全协议IPSec(可选),g)路由协议(RIP v2 I OSPF v2 1BGP4) (可选);u接入认证协议RADIUS,沙网管协议SNMP;j) Telnet协议。5.3.3 集中在电流量控制和管理功能宽带网络接入服务器接入的用户种类不同,用户的业务需求也不同,可对来自用户的各种连接中的流
20、量加以整形,应支持用户对业务带宽的集中控制和管理,保证与用户协定也服务质量e5.3.4 集中的接入认证与授权、计费租统计功能宽带网络接入服务器应能对不同的用户连接采取不同的集中接入认证与授权、计费信息绞计策略,如对xDSL用户可采取虚拟拨号方式进行类似接入服务器中的拨号用户的AAA服务.对FR/DDN用户可采取端口出租,收月租费的方式进行计费服务。5.3.5 !主火境和NAT功法可选宽带网络接入服务器可远地支持防火墙功能,如果支持,主要有两种方式,分别称为IPFil阳和IPPL IP Filter是指宽带网络接入服务器提供E包的过滤功能.1句不同权限的用户提供不同层次的IP包过滤功能,以实现不
21、同的用户有不同的接入能力。IPPooI是指根据用户的授权从不同幸亏IPp,I9t卖取IP地址给相应的用户作为用户的主叫E地址,在报路应器中设定对不同主网IP地址的不同的IP包的过滤能力,从而实现不同的用户有不同的接入能力。NAT功能可选。5 YDfT1148-2001 5.3.6 IP安全网关功能(可选)宽带网络接入服务器可为用户提供E安全服务tl.PIPVPN服务,可以支持基于IPSec(Ip网络安全的标准协议方式在IP网络上生成安全隧道,为用户提供在IP网络或Internet上建立安全的点对点连接宽带网络接入服务器应具备开启和终结P隧道的功能,支持公共密钥系绞认证。5.3.7 同管接口功能
22、宽带网络接入服务器接受IPfATM业务网同管的管理,完成网络管理功能z配置管理、性能管理、故障管理、安全管理及记真是管理等。宽带网络接入服务楼内置网管代理模块,通过网管代理模块实现与阿管的通信、采集系统的信息并维护MIB痒。宽辛苦网络接入服务苦苦采用约管理协议为SNMP.MIB应符合SNMP(RFC1l57)、MIBII(RFC1213)、MIB II Traps (RFC1215)、应MMIB (RFC1695)、EthernetMIB(RFCl643). 可选地支持RIPMIB(RFC 1389)、OSPFMIB (RFC 1253)、BGP4MrB(RFC 1657)及FRAMERELA
23、Y扣ITB(RFC 1315)等规定。宽辛苦网络接入服务器配置管理也应叫通过Telr回来实现,其应具在Telnet通信协议接口和口令等安全管理功能。网管对以下信息进行统计=用户PPP呼叫次数、ppp呼叫不能连接次数、用户访问的平均时长、用户访问的平均费用、闲对概率、忙时概率、日均用户曲线、月均用户路线、设备元素故障概率、无法拆链次数、ATMfFRPVC的吞吐量、A四VFRPVC的差错率、异常终止原因及出现的频率等。5.3.8 设备约监控和管理功能宽带网络接入服务器应提供远端拨号接入监控功能和本地控制台(console)管理功能。运端拨号终端豆豆本地控制台应能实现宽带网络接入服务器故障恢复后重启
24、动(reboot)功能,能实现对其维护和监控功能g远端拨号终端或本地控制台应能实现修改用户1账单的功能,可以添加或撤销用户帐单:远端拨号终端或本地控制台应能实现设备安全控制管理,可以修改用户身份码(P剧).强制拆除连接:远端拨号终端或本地控制台还应能实现设备故障定位功能。6通信接口6.1 接入侧1) xDSL通信接口(必选)宽带网络接入服务器的ADSL通信接口的物理层接口应支持STM-1接口,STM-1有光接口和电接口两幸中。STM-1接口技术要求参见标准YD厅10争7-2001(路也器设备技术规范一一离端路由器。2) Cabe1 Modem通信主要口必选宽带网络接入服务籍的ca如elMode
25、m通信接口的物理层接口应支持10f100BaseT以太网接口符合lEEE802.3f lEEE802.3u)。3)以太网通信接口必选以太网通信接口应支持10/100B部eT以太同接口(符合IEEE802.31lEEE802.3川。4) FRlDDN接口CpJ选宽带网络接入服务器的F町DDN通信接口应支持El接口和Y.35等同步串口,可远地支持B接口。E1和V.35同步接口技术要求参见标准YD厅1045-2(赔o(网络接入服务器(NAS)技术规范)0E3接口技术要求参见标准YD厅1097-2001:()()(泊Se凹i臼-Na:田e0:0101 AC-Name 0:0102 Host丰Unq0:
26、01岱ACk 0:0104 飞lend世态严cmc0:0105 Relay-Ses国.on-Id0:0110 Service-N由2萨拉宫胃0:0201 AC-Sys缸国.-Err宙0:0202 Generic-Error 0:0203 2) TAG_L因GTH:标记长度是陆it,它是一个网络字节顺序的无符号数,说明标记值的以字节为单位的毛主度。9.3.6 PPPoE的LCP配置选项PPP over Ethemet (RFC2516)建议进行魔数选项协商,不建议进行协议域压缩选项(胃口协商。实现中必须不请求进行任何下顶的选项协商,并且必须拒绝这样选项协商的请求。Field Check Sequ
27、四ce(FCS) Al届四四vesAddtess-and-Control-Feld-Co血严回暗ion(ACFC) A好nchronous-Con筐。,1-坦因C怨r-Map(ACCM) MRU必须不能大于1492。15 YDfT114垂2001建议接入集中器偶尔向主机发送Ec胁,_Requ邮报文,来决定会话的状态。否则,如果主板没有发送Termn晦_R吨也因t报文就终止了会话,接入集中器将会不能决定会话己经终止了。当LCP终止,主机和接入集中器必须停止使用这个PPPoE会话。如果主机希望开始另一个PPP会话,它必须返回到PPPoE的发现阶段。9.4 PPPiFR (可选9 .4.1 定义PP
28、PiFR CRFC1973)规定约是标准PPP帧在帧中继链路上前帧封装方法和格式,PPPiFR会话流程与标准的PPP会话流程指向。PPP把帧中继链路看作一个比特同步的链路,这个链路必须是全双工的,但可以是PVC或者SVC.目前BNAS实现只支持PVC9.4.2 秘议基本框架PPPiFR协议参照RFC1973.PPPiFR完成PPP帧在顿中继链路上的适配,题13是PPPiFR的协议校结构。IP PPP PPPiFR Fra阳eRelay Flag (Ox7E) Q.922 Address Control 树LPID(Oxcf)PPP Protocol Information Padding FC
29、S Flag (Ox7主图13PPPiFR的协议校图14PPPi囚的帧格式9.4.3 PPP还R通信流程PPPiFR的通信流程与标准的PPP通信流程相同。9.4.4 PPPiFR的帧格式留14是PPPiFR的帧格式,它的各字段的含义如下z1) Flag:用于帧定界:? i 2) Q.922地址z目前定义部Q.922地址是包含10个比特DLCI的两个八位组,在一些网络中.Q.922 地主主可以有选择性地增加flJ3或4个人位组:3) Co础。1:控制域是Q.922控制域:4) NLPID:标识后面的封装类型:5) PPP协议域和后面的信息、填充域是PPP赖的冷荷。9.4.5 基本顿的修改LCP可
30、以协商修改基本帧结构,然而,改变的帧与标准赖应总是可明确区别的。a)地址和控制域压缩(ACFC)因为地址和控制域数值不是常量,并旦当帧被网络交换结构传输时,地址和控锁域数值被修改,所以一定不要协商地址和控制域压缩。如协议域压缩(ACCM)注z不象PPP-HDLC经帧,锁中继经1缺不以32比特边界对齐信怠域e当NLPID被除去,并且怜汉域被压缩为一个单字节时,对齐32比特边界才会发生。当为了提高吞吐量时,应该协商协议域压缩。16 YD.厅1148-20019.4.6 带内协议解复用为了避免协议竣压缩(PFCl使能时发生多义栓,协议域值:Ox!CF是不允许的.初始的LCP分组头后包含下面序列,Cf
31、-CO-21.当接收到并识别出LCP配置请求.PPP链路进入链路建立阶段。一旦PPP进入链路建立阶段,必须不发送具有其他NLPID值的分组,并且接收到这样的分组必须静默丢弃,直到PPP链路送入在军络层协议阶段g一豆PPP进入网络层协议阶段,并且成功地协商了一个用于PPP协议的特定的N白,如果接收到一个帧,它使用在RFCI4争。中定义的另一个等效的数据封装.PPP链路必须重新进入链路建立阶段,并且发送一个新的LCP配窒请求。这个过程可以防止对端丢失状态对发生的黑洞飞9.4.7 PPPiFR的配置PPI哑R建议进行魔数、协议域压缩胃口选项的协商。初始的MRU是1600。为了避免分段,网络层的MJ不
32、应该超过15,除非数值为约48或者更大值的对端M罚被特别协商。不需要反向ARP来支持PPP链路,这个功能自PPPNCP协商来提供e9.5协议L2TP协议要求主要参见标准YD.厅1045-20网络接入服务器(NAS)技术规范E中怠3节。以下主要介绍L2TPover ATM 0 9.5.1 L2TP over ATM (可是主遥远技术(Tunneling)是VPDN(虚拟拨号专网技术的核心。L2TP协议则是其中一科通道技术,它是Internet工程任务组应宵的国际标准。遥遥协议所采题的方法是将用户约整个数据包包括附级的协议成份)作为网络传输协议的载荷(Pay!oadl部分封装后再送行传输。L2TP
33、协议是一个甩子在LAC手uu耳S之间建立透明PPP传输遥遥,以实现远端拨号用户对企业内联网的访阔的协议。而L2TPover ATM则指定必M网络作为传输媒介。它分为两种情况z指定使用ATM网络作为LNS与LAC之间的通信链路:指定使用ATM网络作为接入网络e9.5.2 L2TP协议L2TP信息包括两种z控制信息(con国1固自sagel和数据信息(d幽message)。1)控制信息类型控制信息用于建立隧道、拆徐隧道和维护隧道,它包括14革中信息gSCCRQ S国rt-ControJ-Connec岳on-R吨口国tSCCRP Start.contro!-Connection-Reply SCCC
34、N Start.control.connection-Connected H忘LLOhello OCRQ Outgoing-Call-Request OCRP ltgoing-Cal!-Reply OCCN Outgoing-Call-Connected ICRQ InCOII也19-Call-RequestICRP IncolI也19-Cal!-Rep!yICCN Incoming-Call-Connected CDN Call-Disconn部t-Noti勾WEN WAN-Error-Notify SLI Set-Link-Info 注zl在LAC和u喝S建立隧道,然后在隧道中建立会话,在
35、个磁道中可以传输多路的会话信息:2.HELLO信息传输是为了维护磁道的连通也3.WEN用于LAC向LNS报告差错信息:17 苟亏。18 YO.厅1148-20的4.SU恿于设定PPP梅离选项,2)控制连接状态机到隧道建立LACorLNS SCCRQ-一-LACorLNS 一一一一一-一-SCCRPSCCCN-一.,: -一一-ICRPICQ每一一-吨一一图32主动交换模式的消息功能快速交换模式由非ISAKMP的SA(如:IPSec SA)完成策略协商和派生密钙,快速模式不能单独使用,必须是在阶段l交换成功之后使用,利用ISAKMPSA进行加密保护。一次SA的协商民对建立了两个SA,分别对应于入
36、报文(InboundTraffic)和出报文(OutboundTraffic) 0快速模式交换同时支持多SA的协离。信息交换模式用于在通信双方之间传递一些简单的信息,如一端的SA那除肘,可通知对端也将相应的SA和l除。信息交换在阶段I之前或之后进行均可,但在阶段1之前进行的话则为晓文传送e并且它是一种单向的报文,在P接收方不产生应答报文,发起方也没有重传机制。在阶段1的DH交换中,需要用iJJDH缀,一般使用公开的DH组,而在安全性要求非常高的场合,组交换模式可以为用户协商建立私有的DH组,同时具有隐藏组信息的功能。组交换模式在阶段i交换成功之后使用。2)数据流分类信息协商在阶段2的快速交换模
37、式中.IKE必须支持数据流分类信息协商e协商的发起方将希望进行安全通信能数据流信息作为快速交换模式中的身份数据发送,接收方根据身份数据和本地段置检查是否要对此数据流进行保护,如果是则进行策略匹配建立安全联盟,从而实现IPSec的数据流分类加密b其中,传递的数据流分类信息至少要包括触发协商的IP报文中的源、自购地址信息。3)身份验证与数据验证身份验证用子验证协商对端身份的真实性,而数据验证可保证协商过程中交换豹报文的完整性。验证方法包括:共享验证字(Pre-sharedKey)验证、数字签名(DigitalSigna阳re)验证、公锅加密(Pu也licKey Encryption)验证等。作为基
38、本的手段,共享验证字的数远方法必须实现。4)加密算法与验证算法IKE所使用的细密算法必须实现DES.验证算法必须实现MD5,SHA. 们DH主主29 YD汀1148-2001RFC24剧中规定了4种公开的。法leyDH组,在区E中至少要实现其中的Group1, 其表达式为:2768_2704_1+264门2638pil + 149686 可以用16进制表示为gFFFFFFFF FFFFFFFF C90FDAA2 21岳8C234C4C6628B 80DCICDl 290去4E088A67CC74020BBEA6 3B139B22 514AO咀798E3404DDEF9519B3 CD3A431
39、B 302BOA6D F25F1437 4FE135岳D6D51C245E485B576 625E7EC6 F44C42E9 A63A3620 FFFFFFFF FFFFFFFF 其发生器为2。其余的推荐实现。在安全性要求很高的场合,可使用组交换模式协商私有始DH组。6) PFS IKE可以实现密钥和身份数据的PFS特性。密钥的PFS通过交换过程的DH交换得以实现,对于非ISAKMPSA始密钥只需要在快速模式中完成DH交换。而对于要实现身份数据的PFS.必需在建立了阶段2的SA后删除阶段1的ISAKMPSAo PFS的实现视应用情况而定。7)身份数据在n的协商过程中,身份数据(ID)有以下几个
40、作用:一一标识安全隧道,对不同的数据流,将数据送入相应的安全隧道:一一协商时,接收方根据发起方的身份数据检查本地策略,建立相应的安全隧道阶段1的E数据应是协商双方的IP地址。阶段2的ID数据缺省时也是协商双方的E地址,发起方还包括数据流信息。如果阶段2协商是客户模式的为用户协商的安全联盟).其传送的应该是用户的B数据。阶段2协商必需实现和支持类型为IDIPV4 ADDR的ID数据。8)安全联盟的生存时间与更新安全联盟的生存时间CLifetime)是需要协商的一个参数。当协商双方配置的Lifetime不一致对,协商的应答方可能选择接受、拒绝或选择最小者。建议应答方选择最小的Lifetime作为安
41、全联盟的生存时间。建议IKE阶段1的Life出le配置在3864oos之间。安全联盟的Lifelll回到时,汩的安全联盟需要被新协商的安全联盟替代G建议在lifetime超网之前完成新的安全联盟的协商,保证安全联盟的更新过程不影响安全隧道的通信。9.7 RADIUS协议参见标准YD.厅1045-2000网络接入服务器CNAS)技术规范8,5节e9.8 Telnet协议参见标准YDrr1045-20网络接入服务器CNAS)技术规范8.5节。9,9 SNMP协议参见标准YDrr1045-20网络接入服务器CNAS)技术规范8.6节。10性能和技术指标10.1 设备容量小容量级的要求如下:系统交换容
42、量位于29.9Gt璋的之间:最少可以同时支持10个活动会话:最少配置5仪郑个用户:最少配置100个L2TP隧道。30 YD.厅1148-2001中太容量级要求如下z系统交换容量主n船bitls;最少可以同时支持川剧个活动会话:最少配置500个用户:最少配置5创JO个L2P隧道。10.2 处理能力ppp的平均建链时间设备端口数的10%。包转发能力至少达到lMpackls以上。10.3服务质量1)用户优先级支持多用户优先级,用户优先级至少4级。2)带宽管理支持每端口、每vc的带宽管理,可以设置每端口、每vc的接收和发送速率,并对每端口、每vc的接受包、发送包和包丢失率进行统计。3)接口转发对廷在最
43、坏情况下,1518B 长度及以下的包时延均应I00b。3)故障恢复时间系统故障恢复时间浊。4)控事才和数据通道必须分开。们对电信级网络接入服务器始要求要求设备具有高可靠性和高稳定性。主处理器、主存、交换矩阵、电源、总线仲裁器和管理接口等要求热冗余备份。线路卡要求m+n备份并提供运端测试诊断功能。11 环境要求11.1 温度、温度条件a)长期工作条件z温度保持15-30.C.相对湿度保持40%-659串。b)短期工作条件s温度保持。_450C,相对湿度保持20%-90%。注:1)宽带揭络接入服务器的正常工作的温度和相对湿度的测量点指在地板以上2m和接入服务器吉官方0.4四处部量值。2)短期工作条
44、件系捷连续不超过48缸襄每年累计不超过15天-3)板对湿度低于2怖的环婆应采用抗静电施瓦11.2 防尘要求机房内室径大于5囚的灰尘浓度应运3XI04拉伯33灰尘粒子应是非导电、非导磁和非腐蚀性的。31 YDr114&-2001 11.3 防电磁干扰要求宽带网络接入服务器产生的电磁干扰应满足以下要求。a)应接入服务器射出的无线电电磁干扰应符合表2的规定。表2应接入服务器发射部无线电电磁干扰的要求续率也ffiz)电磁强度dB(V/m) 频率。但z)电磁强度dB (V/m) O.oJ0.024 148.6-I 47.7Id-88 59.1-201gd 0.0240.8 116.2一Igd-201gf
45、88-216 63.6-201gd 0.81.59 118.2一岳。lgd2160-10览66.6-201gd 1.59-47.7/d 120.2 -601gd-401gf 注.1 d为泌试天线与靠近被泌物阅本平距离;单位为窟,d限于30m内e2 f为频率,以回z为单位e3 dB (国1m)表示以微伏闷地)为参考单元的分员数。b)应接入服务器进入交流馈电线的无线电电磁干扰应符合表3的规定。表3应接入服务器进入交流馈电线的天线电电磁干扰的要求频率(MHz)是大线路电流CdBA)白,创lOO610.001 1-20lgf-84.4 0.001-0.01 (l24.4-l)lg介348且-210.0
46、1-0.8 - 21.051gf+ 57.9 0.8-100 6白注21 f为频率,以强Iz为单位。3dB以表示以微安叫为参考单元的分贝数qc)由接入服务器进入直流馈线和信号线的无线电电磁干扰应符合表4的规定。表4由接入服务器进入直流馈线和信号线的无线电电磁干扰要求频率(M!主z)白.Q1-0.80.8-100 最大线路电流(dB陆)-21.051且介57.96白11.4抗电磁干扰的能力宽带网络接入服务器在受到0.01-1仪沁MHz频率范围内电场强度为1物晶体V/m)的外界电磁干扰对应不出现故障和性能下降。在直流或交流电源线受到表5)j哥示,0.01-1油Iz频率范围的外界电磁干扰电流时应不出现敌手章和性能下降。32 频率CM!王z)0.01-0且0.8-100 表5外界电磁干扰的要求最大线路电流CdBA)- 21.051gf+67.9 70 12 电源与接地12.1 电源a)亘流电压及其波动范围要求额定电压=为一48V的直流电草原cYD,厅1148-2001电压波动范BlJ,在室流输入端子处测量48V电压允许变动范围为一57 -
