ICS 35.100.30 CCS L79 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 Technical requirements for SRv6-based security capability scheduling 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义 4缩略语 5总体技术框架, 6运营层服务与能力 6.1服务订购, 6.2网络服务订购. 6.3安全服务订购, 7编排调度层技术要求.
7.1总体业务流程, 7.2云网安业务编排调度器 7.3网络控制器, 7.4安全控制器, 7.5报文封装, 8基础设施层技术要求. 8.1网络基础设施, 8.2安全基础设施, 参考文献... 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草 规则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国电信集团有限公司、华为技术有限公司、杭州安恒信息技术股 份有限公司、新华三技术有限公司、中兴通讯股份有限公司、东软集团股份有限公司、北 京神州绿盟科技有限公司、中国移动通信集团有限公司、东方通信股份有限公司、北京启 明星辰信息安全技术有限公司、恒安嘉新(北京)科技股份公司.
本文件主要起草人:白冰、邵涛、穆俊龙、王螺、李志民、马或嵩、赵毅、田辉辉、 尹作鹏、张亚伟、刘持奇、林明峰、李剑锋、田丽丹、万晓兰、彭雪娜、霍玉臻、吴小文、 程样.
行业标准信息服务平台 II
YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 1范围 本文件规定了基于SRv6的安全能力调度总体架构、编排调度层技术要求、网络基础设施技术要求、 安全基础设施技术要求.
本文件适用于指导基于SRv6网络设备、云化安全资源池对应一体化产品及服务的研发、测试、部署 和运营.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价办法 GB/T22239-2019信息安全技术网络安全等级保护基本要求 YD/T1452-2014IPv6网络设备技术要求边缘路由器 YD/T1454-2014IPv6网络设备技术要求核心路由器 IETF RFC 8754IPv6段路由头 IETF RFC 8986SRv6网络编程 3术语和定义 下列术语和定义适用于本文件.
3. 1 SRv6流量工程策略srv6trafficengineeringpolicy 文穿越网络,用于实现流量工程,提升网络质量,满足业务的端到端需求.
3.2 用户标识符useridentifier 由云网安业务编排调度器分配给订购服务的用户的唯一标识,应采用USER-Group-ID字段携带.
注用户标识符在网络业务链头端设备中被封装,安全基础设施解析此标识,匹配用户安全服务映 射表进入对应的安全业务链.
3. 3 应用标识符applicationidentifier 由网络控制器分配给特定应用发送的流量的唯一标识,应采用APP-Group-ID字段携带.
注携带应用标识符的SRv6报文,在网络业务链的头编设备被解析,匹配对应的网络业务链,实现 引流到安全资源池.
3. 4 云网安业务cloudnetwork security service 服务提供商面向用户提供的具备业务随需部署、敏捷开通、路径可编程、资源弹性自适应的网络和 基于云化安全能力一体化服务.
3.5 安全资源池网关securityresourcepoolgateway 池的入口,参与网络层SRv6业务链编排调度,通过解析用户和应用信息,匹配上层控制器下发的安全服 务映射表进行安全资源调度,并将流量转发至对应的资源处理.
3
YD/T xXXXX-XXXX 4缩略语 下列缩略语适用于本文件.
APN6 基于IPv6的应用感知网络 Application-aware IPv6 Networking APNID 应用标识符 Application Identifier CE 用户网络边缘设备 Customer Edge DOH 目的选项扩展头 Destination Options Header FV 防火墙 Fire Wal1 IPS 入侵防御系统 Intrusion Prevention System IPv6 互联网协议第6版 Internet Protocol Version 6 PE 服务商边缘设备 Provider Edge SRPGW 安全资源池网关 Security Resource Pool Gateway SID 分段标识 Segment Identifier SR 分段路由 Segment Routing SRH 分段路由报头 Segment Routing Header SRP 安全资源池 Security Resource Pool SRv6 基于IPv6的分段路由 Segment Routing over IPv6 WAF 网站应用防火墙 Web Application Firewal1 WEB 万维网 World Wide Web 5总体技术框架 基于SRv6的安全能力调度总体技术框架由运营层、编排调度层和基础设施层构成,通过SRv6网络 的灵活编排与调度,引导用户流量至安全资源池,达到安全服务与网络服务一体化灵活调度与编排.
总 体技术框架如图1所示.
运营门户:服务订购 应用安全护 运营层 同络服务订购 安全服务订购 云网安业务编排调质器 编排调度层 器 安全控制器 基础设施局 网路基设育 安全检设资 图1基于SRv6的安全能力调度总体技术框架 运营层通过运营门户提供面向企业用户的网络及云化安全资源池的一体化服务能力,包括专线等网 络服务和安全服务.
运营门户与云网安业务编排调度器对接,发布用户服务订购请求信息.
编排调度层通过云网安业务编排调度器、网络控制器及安全控制器提供整体业务编排调度能力.
云 网安业务编排调度器对接运营门户,接收用户的网络和安全服务订购请求,进行网络和安全资源的调度.
对接网络控制器和安全控制器,将资源调度结果发送至网络控制器和安全控制器.
网络控制器负责端到 端SRv6流量工程策略业务链路径编排,并下发给网络基础设施.
安全控制器负责用户安全资源分配,并 下发给安全基础设施.