ICS33.060.40

CCSM32

團體標準

T/SSIIAXXXX—XXXX

信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)設(shè)備技術(shù)要求

InformationTechnologyApplicationInnovation-TechnicalRequirementfor

NetworkingEquipment

（征求意見稿）

2023-12-05

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市軟件行業(yè)協(xié)會發(fā)布

T/SSIIAXXXX-XXXX

信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)設(shè)備技術(shù)要求

1范圍

本文件給出了網(wǎng)絡(luò)設(shè)備的產(chǎn)品分類、通用安全、功能、口J罪性、業(yè)務(wù)安全、性能、噪聲、電磁兼容

性、環(huán)境、兼容性、供應(yīng)鏈保障、服務(wù)保障等要求。本文件適用于信息技術(shù)應(yīng)用創(chuàng)新路由器、交換機、

WLAN設(shè)備等網(wǎng)絡(luò)設(shè)備的研制、生產(chǎn)、測評、使用和維護等。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件,

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T9254.2-2021信息技術(shù)設(shè)備、多媒體設(shè)備和接收機電磁兼容第2部分：抗擾度要求1.2電

快速瞬變脈沖群抗擾度

GB/T32905-2016信息安全技術(shù)SM3密碼雜湊算法

GB/T32907-2016信息安全技術(shù)SM4分組密碼算法

GB/T32918.1-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第1部分：總則

GB/T32918.2-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名算法

GB/T32918.3-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協(xié)議

GB/T32918.4-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第4部分：公鑰加密算法

GM/T0002-2012SU4分組密碼算法

GM/T0003.1-2012SM2橢圓曲線公鑰密碼算法第1部分：總則

GM/T0003.2-2012SU2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名算法

(；M/T0003.3-2012SV2橢圓曲線公鑰密碼算法第R部分：密鑰交換協(xié)議

GM/T0003.4-2012SM2橢圓曲線公鑰密碼算法笫4部分：公鑰加密算法

GM/T0004-2012SU3密碼雜湊算法

YD/T1816-2008電信設(shè)備噪聲限值要求和測量方法

YD/T1097-2009路由器設(shè)備技術(shù)要求核心路由器

IEEE802.11-2020WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PIIY)

Specifications

IEEE802.IQ-2022LocalandMetropolitanAreaNetworks-BridgesandBridgedNetworks

IEEE802.1X-2020Port-BasedNetworkAccessControl

IEEE802.3ad-2000LinkAggregation(LAG)

IEEE802.3bt-2018PoweroverEthernet

RFC6176ProhibitingSecureSocketsLayer(SSL)Version2.0

RFC7568DeprecatingSecureSocketsLayerVersion3.0

RFC8955DisseminationofFlowSpecificationRules

RFC8996DeprecatingTLS1.0andTLS1.1

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

?1接入路由器(accessrouter)

網(wǎng)關(guān)路由器，連接到用戶終端設(shè)備的路由器，集5D-WAN、路山、交換、安全等業(yè)務(wù)特性于一體。

2

T/SSIIAXXXX—XXXX

3.2城域路由器(metrorouter)

連接多個接入路由器的路由器，主要用于匯聚接入路由器的流量，將其轉(zhuǎn)發(fā)到核心路由器。

33核心路由器(corerouter)

連接所有的匯聚路由器和其他核心路由器，負責在網(wǎng)絡(luò)中進行大量的數(shù)據(jù)轉(zhuǎn)發(fā)。

?4策略聯(lián)動(policyassociation)

在網(wǎng)關(guān)設(shè)備上統(tǒng)一管理用戶的訪問策略，當用戶接入認證時，接入設(shè)備從網(wǎng)關(guān)設(shè)備獲取用戶訪問策

略。

25業(yè)務(wù)隨行(freemobiIity)

在移動辦公等場景下，同一用戶接入網(wǎng)絡(luò)時不受用戶接入地及IP地址約束，可獲得并保持相同的網(wǎng)

絡(luò)訪問策略。

?ABGP團體屬性(BGPcomnunityattribute)

一種路由標記，主要用于標識具有相同特征的BGP路由。

37BGP流規(guī)格(BGPflowspecification)

通過傳遞BGP流規(guī)格路由將流量處理策略傳遞給BGP流規(guī)格對等體，達到控制流量轉(zhuǎn)發(fā)的行為。

3.fl遙測(Telemetry)

一種從設(shè)備上遠程高速采集數(shù)據(jù)的新一代網(wǎng)絡(luò)監(jiān)測技術(shù)，設(shè)備通過“推模式(PushMode)”周期

性地主動向采集器上送設(shè)備信息，提供更實時、更高速、更精確的網(wǎng)絡(luò)監(jiān)控功能。

39路由跟蹤(Traceroute)

用于測試數(shù)據(jù)包從發(fā)送設(shè)備到目的地所經(jīng)過的網(wǎng)關(guān)，它主要用于檢查網(wǎng)絡(luò)連接是否可達，以及分析

網(wǎng)絡(luò)什么位置發(fā)生了故障。發(fā)送方將TTL值設(shè)置為報文在網(wǎng)絡(luò)中允許生存的最長時間。

4縮略語

下列縮略語適用于本文件。

AAA認證、授權(quán)和計費(Authentication^Authorization>Accounting)

AC接入控制器(AccessController)

ACL訪問控制列表(AccessControlLists)

AES高級加密標準(AdvancedEncryptionStandard)

ALG應(yīng)用層網(wǎng)關(guān)(ApplicationLevelGateway)

AP接入點(AccessPoint)

API應(yīng)用程序接口(ApplicationProgrammingInterface)

APN應(yīng)用感知網(wǎng)絡(luò)(APplication-awareNetworking)

ARP地址解析協(xié)議(AddressResolutionProtocol)

ASPF應(yīng)用層報文過濾(ApplicationSpecificPacketFilter)

AV防病毒(Anti-Virus)

AVI音頻視頻交錯(audiovideointerleave)

BFD雙向轉(zhuǎn)發(fā)檢測(BidirectionalForwardingDetection)

BGP邊界網(wǎng)關(guān)協(xié)議(BorderGatewayProtocol)

BGP4邊界網(wǎng)關(guān)協(xié)議版本4(BorderGatewayProtocolVersion4)

BIERv6比特索引顯式復制版本6(BitIndexedExplicitReplicationVersion6)

BSITR英國標準化協(xié)會技術(shù)報告(BritishStandardsInstitutionTechnicalReport)

CAPWAP無線接入點控制與供應(yīng)(ControlandProvisioningofWirelessAccessPoints)

3

T/SSIIAXXXX—XXXX

CAPWAPv6無線接入點控制與供應(yīng)版本6(ControlandProvisioningofWirelessAccessPoints

Version6)

CAR承諾訪問速率(Committedaccessrate)

CPCAR控制平面承諾訪問速率(ControlPlaneCommittedAccessRate)

CPU中央處理器(CentralProcessingUnit)

DHCP動態(tài)主機配置.協(xié)議(DynamicHostConfigurationProtocol)

dotlqIEEE802.IQ(MAC層vlan協(xié)議)

dotlxIEEE802.IX(訪問控制和認證協(xié)議)

DPSK動態(tài)預共享秘鑰(DynamicPre-SharedKey)

ECMP等價多路徑(EqualCostMulti-Path)

ECN顯式擁塞通知(ExplicitCongestionNotification)

EVPN以太網(wǎng)虛擬專用網(wǎng)絡(luò)(EthernetVirtualPrivateNetwork)

FEC前向糾錯(ForwardErrorCorrection)

FTP文件傳輸協(xié)議(FileTransferProtocol)

GE千兆以太網(wǎng)(GigabitEthernet)

GR平滑重啟(GracefulRestart)

G-SRv6通用SRv6(GeneralizedSegmentRoutingoverIPv6)

HQoS層次化服務(wù)質(zhì)量(HierarchicalQualityofService)

HTTP超文本傳輸協(xié)議(HyperTextTransferrrotocol)

IDC互聯(lián)網(wǎng)數(shù)據(jù)中心(InternetDataCenter)

IDS入侵檢測系統(tǒng)(IntrusionDetectionSystem)

IP網(wǎng)際協(xié)議(InternetProtocol)

IPS入侵防御系統(tǒng)(IntrusionPreventionSystem)

ISIS中間系統(tǒng)到中間系統(tǒng)(IntermediateSystemtoIntermediateSystem)

ISISv6應(yīng)用于IPv6的中間系統(tǒng)到中間系統(tǒng)(IntermediateSystemtoIntermediateSystemover

IPv6)

1SSU不中斷業(yè)務(wù)升級(In-ServiceSoftwareUpgrade)

L3VPN3層虛擬私有網(wǎng)(Layer3VirtualPrivateNetwork)

LACP鏈路匯聚控制協(xié)議(LinkAggregationControlProtocol)

LAND本地區(qū)域網(wǎng)絡(luò)拒絕服務(wù)攻擊(LocalAreaNetworkDenial)

LDP標簽分發(fā)協(xié)議(LabelDistributionProtocol)

LLDP鏈路層發(fā)現(xiàn)協(xié)議(LinkLayerDiscoveryProtocol)

MAC媒體訪問控制(MediaAccessControl)

MIB管理信息庫(ManagementInformationBase)

M-LAG跨機箱鏈路聚合紐(MultichassisLinkAggregationGroup)

MP-BGP多協(xié)議擴展BGP(MultiprotocolBorderGatewayProtocol)

MPLS多協(xié)議標簽交換(Muiti-Protoco1LabelSwitening)

MPLS-TE多協(xié)議標簽交換的流量工程(Multi-ProtocolLabelSwitching-TrafficEngineering)

MST多生成樹(MultipleSpanningTree)

MSTP多生成樹協(xié)議(MultipleSpanningTreeProtocol)

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)

NISTSP美國國家標準與技術(shù)研究院特定出版物系列(NationalInstituteofStandardsand

TechnologySpecialPublication)

NSF不間斷轉(zhuǎn)發(fā)(Non-StopForwarding)

NSR不間斷路由(Non-StopRouting)

OSPF開放最短路徑優(yōu)先(OpenShortestPathFirst)

0SPFv3開放最短路徑優(yōu)先協(xié)議3.0版本，應(yīng)用于IPv6"OpenShortestPathFirstVersion3)

PCIe一種高速串行計算機擴展總線標準(PeripheralComponentInterconnectExpress)

PIM協(xié)議無關(guān)組播(ProtocolIndependentMulticast)

4

T/SSIIAXXXX—XXXX

PKI公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)

PEC優(yōu)先級流量控制(PriorityFlowControl)

PSK預共享密鑰(Pre-SharedKey)

QoS服務(wù)質(zhì)量(QualityofService)

QinQ802.lQ-in-802.IQ

RADIUS遠程用戶撥號認證系統(tǒng)(RemoteAuthenticationDialInUserService)

RED隨機早期檢測(RandomEar1yDetection)

RIP路由信息協(xié)議(RoutingInformationProtocol)

RIPng路由選擇信息協(xié)議下一代，應(yīng)用于IPv6(RoutingInformationProtocolNextGeneration)

RSTP快速生成樹協(xié)議(RapidSpanningTreeProtocol)

RSVP-TE資源預留的流晟工程協(xié)議(ResourceReservationProtocol-TrafficEngineering)

SI)-WAN軟件定義廣域網(wǎng)(Softwaredefine-WideAreaNetwork)

SNMPv1簡單網(wǎng)絡(luò)管理協(xié)議版本1(SimpleNetworkManagementProtocolVersion1)

SNMPv2簡單網(wǎng)絡(luò)管理協(xié)議版本2(SimpleNetworkManagementProtocolVersion2)

SNMPv3簡單網(wǎng)絡(luò)管理協(xié)議版本3(SimpleNetworkManagementProtocolVersion3)

SR分段路由(SegmentRouting)

SR-BE盡力而為的分段路由協(xié)議(SegmentRouting-BestEffort)

SR-TE流量工程的分段路由協(xié)議(SegmentRouting-TrafficEngineering)

SKv6基于IPv6數(shù)據(jù)平面的分段路由(SegmentRoutingoverIPv6dataplane)

SRv6Policy基于IPv6數(shù)據(jù)平面的分段路由策略(SegmentRoutingoverIPv6dataplane

Policy)

SSH安全外殼協(xié)議(SecureShell)

SSID服務(wù)集標識符(ServiceSetIdentifier)

STA無線接入的設(shè)備站點(STAtion)

STP生成樹協(xié)議(SpanningTreeProtocol)

SZTP安全零觸碰配置(SecureZeroTouchProvisioning)

TACACS+終端訪問控制器訪問控制系統(tǒng)(TheTerminalAccessControllerAccess-Control

System)

TCPFPM流性能測量(TCPFlowPerformanceMeasurement)

TE流量工程(TrafficEngineering)

TFTP簡單文件傳輸協(xié)議(TrivialFileTransferProtocol)

TK1P臨時密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol)

UCMP不等價多路徑(UnequalCostMulti-Path)

URL統(tǒng)一資源定位符(UniformResourceLocator)

VNI虛擬網(wǎng)絡(luò)身份(VirtualNetworkIdentifier)

VoQ虛擬輸出隊列(VirtualOutputQueue)

VPN虛擬私有網(wǎng)(VirtualPrivateNetwork)

VRRP虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol)

VTEP虛擬隧道端點(VirtualTunnelEndpoint)

VXLAN虛擬擴展本地網(wǎng)絡(luò)(VirtualextensibleLocalAreaNetwork)

WAPI無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthenticationandPrivacyInfrastructure)

WEP有線等效保密(KiredEquivalentPrivacy)

WLAN無線局域網(wǎng)(WirelessLocalAreaNetwork)

WPAWi-Fi訪問保護(Wi-FiProtectedAccess)

YANG新一代數(shù)據(jù)建模語言(YetAnotherNextGeneration)

ZTP零觸碰配置(ZeroTouchProvisioning)

5產(chǎn)品分類分級

5

T/SSIIAXXXX—XXXX

5.1路由器產(chǎn)品分類

根據(jù)路由器產(chǎn)品應(yīng)用場景和性能不同，可分為核心路由器、城域路由器和接入路由器.

a）核心路由器，應(yīng)用于骨干網(wǎng)絡(luò)、城域網(wǎng)出口和IDC出口等關(guān)鍵網(wǎng)絡(luò)位置，連接所有的匯聚路由

器和其他核心路由器，負責在網(wǎng)絡(luò)中進行大量的數(shù)據(jù)轉(zhuǎn)發(fā)；

b）城域路由器，應(yīng)用于城域接入、匯聚、5G承載、數(shù)據(jù)中心網(wǎng)關(guān)、數(shù)據(jù)中心互聯(lián)等場景，連接多

個接入路由器的路由器，主要用于匯聚接入路由器的流量，將其轉(zhuǎn)發(fā)到核心路由器。在城域網(wǎng)

絡(luò)中分城域匯聚路由器和城域接入路由器；

c）接入路由器，連接到用戶終端設(shè)備的網(wǎng)關(guān)路由器，集SDTVAM、路由、交換、安全等業(yè)務(wù)特性于

一體。

57交換機產(chǎn)品分類

根據(jù)交換機產(chǎn)品應(yīng)用場景和性能不同，可分為數(shù)據(jù)中心核心層交換機、數(shù)據(jù)中心接入層交換機、園

區(qū)核心層交換機、園區(qū)匯聚層交換機、園區(qū)接入層交換機：

a）數(shù)據(jù)中心核心層交換機，數(shù)據(jù)中心網(wǎng)絡(luò)中位于核心層的交換機，主要負責匯接接入層交換機，

實現(xiàn)核心層數(shù)據(jù)高速交換；

b）數(shù)據(jù)中心接入層交換機，數(shù)據(jù)中心網(wǎng)絡(luò)中位于接入層的交換機，主要負責為計算、存儲和安全

等設(shè)備提供網(wǎng)絡(luò)接入，實現(xiàn)接入層局部數(shù)據(jù)交換；

c）園區(qū)核心層交換機，連接園區(qū)網(wǎng)絡(luò)中所有的匯聚層交換機、服務(wù)器和存儲設(shè)備；

d）園區(qū)匯聚層交換機，連接園區(qū)網(wǎng)絡(luò)中接入層交換機，將數(shù)據(jù)匯聚到核心層交換機逆行處理和管

理。匯聚層交換機還可以實現(xiàn)網(wǎng)絡(luò)流量控制、安全控制等功能；

e）園區(qū)接入層交換機，園區(qū)網(wǎng)絡(luò)中直接面向用戶、終端的交換機，向上連接匯聚層交換機，將用

戶、終端的數(shù)據(jù)轉(zhuǎn)發(fā)到匯聚交換機。園區(qū)接入層交換機應(yīng)提供端口安全、接入控制等能力。

52WLAN產(chǎn)品分類

WLAN產(chǎn)品根據(jù)其功能可分為AC和AP：

a）AC,無線局域網(wǎng)控制器設(shè)備，管理和控制多個AP的網(wǎng)絡(luò)流量和安全性。通常用于企業(yè)級網(wǎng)絡(luò)

中，可以支持大量的用戶同時連接，并提供高速的數(shù)據(jù)傳輸速度和穩(wěn)定的網(wǎng)絡(luò)連接；

b）AP,無線局域網(wǎng)接入點，連接無線設(shè)備和有線網(wǎng)絡(luò),通常用于實現(xiàn)無線網(wǎng)絡(luò)覆蓋，例如在辦公

室、學校、酒店、機場等公共場所，提供尢線網(wǎng)絡(luò)服務(wù)。

54產(chǎn)品分級

用戶宜根據(jù)自身應(yīng)用場景需求（如帶寬、用戶數(shù)等）選取合適功能、性能等級的產(chǎn)品，產(chǎn)品分級參

見附錄C。

6通用安全要求

A1身份認證

6.1.1接入認證

網(wǎng)絡(luò)設(shè)備接入認證應(yīng)符合如卜要求：

a）所有在設(shè)備外部可見的能對系統(tǒng)進行管理的物理接口（如串口、ISB接口、管理網(wǎng)口等）應(yīng)具

備接入認證機制；

b）用戶身份標識應(yīng)具有唯一性；

c）應(yīng)支持登錄用戶會話空閑超時鎖定或自動退出等安全策略，支持管理員身份鑒別嘗試次數(shù)限

制；

d）當出現(xiàn)鑒別失敗時，設(shè)備應(yīng)提供無差別反饋，避免養(yǎng)示“用戶名錯誤”“口令錯誤”等類型的

具體信息。

6.1.2認證憑據(jù)安全

網(wǎng)絡(luò)設(shè)備認證憑據(jù)安全符合如下要求:

6

T/SSIIAXXXX—XXXX

a）對于系統(tǒng)自身操作維護類的登錄認證場景，應(yīng)具備口令防暴力破解機制；

b）應(yīng)具備口令復雜度檢查功能，開啟口令復雜度檢查時，如檢查口令長度不少于8位、并且至

少包含2種不同類型字符；

c）使用口令鑒別方式時，不應(yīng)明文回顯用戶輸入的口令信息；

d）使用口令鑒別方式時，應(yīng)支持首次管理設(shè)備時強制修改默認口令或設(shè)置口令，或支持隨機的初

始口令；

e）使用口令鑒別方式時，應(yīng)支持設(shè)置口令生存周期；

f）認證憑據(jù)（如口令/私鑰等）不應(yīng)明文存儲在系統(tǒng)介質(zhì)中，應(yīng)加密保護并提供訪問控制；

g）認證憑據(jù)應(yīng)支持可修改，并進行二次確認；

h）不應(yīng)在系統(tǒng)中存儲的口志、調(diào)試信息、錯誤提示中明文打印認證憑據(jù)；

i）宜提供弱口令字典功能，避免用戶使用弱口令字典中的任何口令。

6.1.3證書管理

網(wǎng)絡(luò)設(shè)備證書管理符合如下要求：

a）證書的私鑰應(yīng)非明文存儲，且應(yīng)使用安全算法；

b）設(shè)備應(yīng)提供告警機制主動報告證書即將過期/已經(jīng)過期，提示運維人員更新證書；

c）設(shè)備應(yīng)支持證書吊銷列表的導入與更新；

d）網(wǎng)絡(luò)設(shè)備證書宜支持自動化更新。

6.2訪問控制

網(wǎng)絡(luò)設(shè)備訪問控制符合如卜要求：

a）應(yīng)支持用戶分級分權(quán)控制；

b）涉及設(shè)備安全的重要功能如補丁管理、固件管理、日志審計、流采樣等，應(yīng)僅高等級權(quán)限用戶

可使用；

c）設(shè)備默認開啟的服務(wù)，應(yīng)在產(chǎn)品手冊明確描述服務(wù)信息，包括服務(wù)用途，端口號等，不應(yīng)有未

作說明的服務(wù)默認開啟；

d）設(shè)備默認開啟的服務(wù)應(yīng)遵循最小化原則，只開啟必要服務(wù)；

e）執(zhí)行對系統(tǒng)或應(yīng)用有重大影響的操作前宜進行二次認證，包括重啟設(shè)備、清空所有配置等；

0宜支持運維動態(tài)信任評估，根據(jù)用戶行為、安全日志和風險事件，實時評估運維環(huán)境的安全狀

態(tài)變化，并根據(jù)評估結(jié)果對運維人員的操作權(quán)限實時調(diào)整，以保障運維作業(yè)安全。

6?通信安全

6.3.1默認安全

網(wǎng)絡(luò)設(shè)備啟動后系統(tǒng)默認安全應(yīng)符合如下要求：

a）默認關(guān)閉Telnet、SSHvl.SNMPvl/v2.HTTP.FTP等不安全協(xié)議的網(wǎng)絡(luò)管理功能，不安全協(xié)議

可參考業(yè)界標準如RFC8996、RFC6176、RFC7568等；

b）默認關(guān)閉不安全算法,例如MD5、RC4、SHAT等;

c）當配置不安全密碼算法或者協(xié)議時應(yīng)有安全提示或者告警。

6.3.2通信協(xié)議安全

用于管理網(wǎng)絡(luò)設(shè)備的通信協(xié)議應(yīng)符合如下要求：

a）在支持Web管理時，應(yīng)支持HTTPS；

b）在支持SSH管理時，應(yīng)支持SSHv2：

c）在支持SNMP管理時，應(yīng)支持SNMPv3：

d）支持使用上述至少一種非明文數(shù)據(jù)傳輸協(xié)議對設(shè)備進行管理。

A4安全審計

網(wǎng)絡(luò)設(shè)備安全審計符合如下要求：

7

T/SSIIAXXXX—XXXX

a）應(yīng)提供安全日志記錄功能，對用戶關(guān)鍵操作，如增/刪賬戶、修改鑒別信息、修改關(guān)鍵配置、

用戶登錄/注銷、用戶權(quán)限修改、重啟/關(guān)閉設(shè)備、軟件更新等行為進行記錄；

b）安全日志審計記錄中應(yīng)記錄必要的日志要素，至少包括事件發(fā)生日期和時間、主體（如登錄賬

號等）、事件描述（如類型、操作結(jié)果等）、源IP地址（采用遠程管理方式時）等，為查閱

和分析提供足夠的信息；

c）不應(yīng)在日志中明文或弱加密記錄敏感數(shù)據(jù)，如用戶口令、SNMP團體名、Web會話ID以及私鑰

等；

d）日志審計數(shù)據(jù)支持轉(zhuǎn)發(fā)到外部服務(wù)器時，應(yīng)通過安全通道傳輸；

e）應(yīng)支持對安全日志進行安全防護，保護審計數(shù)據(jù)的完整性，防止被未經(jīng)授權(quán)地查看、輸出、修

改或刪除；

f）網(wǎng)絡(luò)設(shè)備安全日志宜單獨存儲，管理員不應(yīng)具備刪除日志的權(quán)限。

6.5漏洞防利用

網(wǎng)絡(luò)設(shè)備漏洞防利用應(yīng)符合如下要求：

a）設(shè)備軟件/補丁不應(yīng)存在病毒、木馬等惡意程序；

b）設(shè)備不應(yīng)存在已公布的漏洞，或具備補救措施，以防范漏洞安全風險。

6A設(shè)備韌性

6.6.1抗流量攻擊

網(wǎng)絡(luò)設(shè)備抗流量攻擊應(yīng)符合如下要求：

a）具備抗大流量攻擊能力：對大流量應(yīng)采用限速、丟棄、優(yōu)先級調(diào)度等策略，防止設(shè)備受攻擊（例

如BGP等路由協(xié)議報文流量攻擊）；

b）具備抗畸形包能力，進行報文的合法性校驗，對于目標是本設(shè)備的畸形報文應(yīng)支掛丟棄功能，

畸形報文包括但不限于：

1）超長包，例如包長大于65535字節(jié)；

2）超短包；

3）鏈路層錯誤包；

4）網(wǎng)絡(luò)層錯誤包；

5）上層協(xié)議錯誤包；

6）不可識別的擴展頭字段等；

7）LAND攻擊報文：

8）TCP標志位非法攻擊報文；

9）ARPREPLY攻擊報文；

10）非法ND報文。

6.6.2入侵檢測與防范

網(wǎng)絡(luò)設(shè)備入侵檢測與防范宜符合如下要求：

a）具備網(wǎng)絡(luò)設(shè)備的資產(chǎn)全景、風險現(xiàn)狀、入侵事件及處置狀態(tài)的統(tǒng)一可視化呈現(xiàn)的能力；

b）具備網(wǎng)絡(luò)設(shè)備的安全配置核查能力，以及時發(fā)現(xiàn)不合規(guī)的安全配置項（如弱口令策略、弱加密

算法、不安全協(xié)議等），并應(yīng)給出指導以支撐用戶修復；

c）具備運維入侵感知能力，以及時發(fā)現(xiàn)口令暴力破解,異常登錄、非法賬號創(chuàng)建等行為，避免網(wǎng)

絡(luò)業(yè)務(wù)被非法控制和惡意破壞；

d）具備基本的安全響應(yīng)處置能力，如封堵IP、禁用賬號等，以支持安全事件的快速響應(yīng)和應(yīng)急

處置；

e）具備敏感地址探測并中斷業(yè)務(wù)流量功能（高安全業(yè)務(wù)領(lǐng)域）。

67軟件完整性保護

網(wǎng)絡(luò)設(shè)備軟件完整性保護應(yīng)符合如下要求：

a）在設(shè)備啟動時支持校驗軟件的數(shù)字簽名，保證其完整性和真實性，確保軟件不被建改:

8

T/SSIIAXXXX—XXXX

b）在設(shè)備軟件更新時支持校驗軟件的數(shù)字簽名，保證其完整性和真實性，確保軟件不被篡改。

7路由器技術(shù)要求

71核心路由器技術(shù)要求

7.1.1功能要求

7.1.1.1接口和鏈路

接口和鏈路應(yīng)符合如下要求：

a）支持400GE、100GE、10GE、GE等多種類型物理接口；

b）支持LLDP鏈路發(fā)現(xiàn)協(xié)議；

c）支持鏈路聚合，符合IEEE802.3ad要求；

d）支持端口LAN/WAN切換。

協(xié)議

協(xié)議符合如下要求：

a）應(yīng)支持靜態(tài)路由、策略路由以及持P、RIPng、OSPF、0SPFv3、BGP、BGP4+、ISIS、ISISv6等

動態(tài)路由協(xié)議，支持路由重分發(fā)：

b）應(yīng)支持ECMP、UCMP功能；

c）應(yīng)支持MPLSLDP功能，支持MP-BGP協(xié)議；

d）應(yīng)支持SRv6,SRv6Policy；

e）應(yīng)支持網(wǎng)絡(luò)切片，通過Slice-ID標識網(wǎng)絡(luò)切片；

f）應(yīng)支持BIERv6；

g）宜支持G-SRv6：

h）宜支持APN6應(yīng)用感知。

7.1.1.3QoS

QoS應(yīng)符合如下要求：

a）支持QoS分類；

b）支持流量整形：

c）支持限速。

7.1.1.4業(yè)務(wù)調(diào)優(yōu)

業(yè)務(wù)調(diào)優(yōu)符合如下要求：

a）應(yīng)支持基于帶寬變化的跨域動態(tài)UCMP；

b）宜支持SRv6、RSVP-TE.SR-TE隧道調(diào)度功能；

c）宜支持L3VPN業(yè)務(wù)流量調(diào)度。

7.1.1.5管理與運維

管理與運維符合如下要求：

a）應(yīng)支持RADIUS或TACACS+等AAA認證；

b）應(yīng)支持Syslog日志發(fā)送：

c）應(yīng)支持NetFlow、Netstream或sFlow（流量統(tǒng)計和分析技術(shù)）流量分析功能：

d）應(yīng)支持網(wǎng)絡(luò)自動化編排，設(shè)備具備YANG/NETC0NF北向?qū)幽芰Γ?/p>

e）應(yīng)支持Telemetry；

f）宜支持隨流檢測，支持原始報文直接染色、免報文復制的功能。

7.1.2可靠性要求

可靠性應(yīng)符合如下要求:

9

T/SSIIAXXXX—XXXX

a）主控板應(yīng)支持1+1冗余備份，主備倒換0丟包；

b）業(yè)務(wù)板應(yīng)具備熱插拔能力，且不影響其他板卡數(shù)據(jù)轉(zhuǎn)發(fā)：

c）支持電源1+1備份；

d）支持VRRP網(wǎng)關(guān)熱備協(xié)議：

e）支持雙向鏈路故障檢測BFD,能夠代理靜態(tài)、OSPF、BGP等路由協(xié)議配合鏈路故障檢測；

f）支持GR、NSF、NSR可靠性功能。

7.1.3業(yè)務(wù)安全要求

業(yè)務(wù)安全應(yīng)符合如卜要求：

a）支持標準ACL、擴展ACL；

b）路由協(xié)議應(yīng)支持國密算法，采用GB/T32905-2016/GMT004-2012,或國家密碼管理主管部門

認可的密碼算法：

c）支持BGP流規(guī)格功能，遵循RFC8955標準，應(yīng)支持基于BGP目的community、目的AS進行

聚合引流.

d）設(shè)備自身近支持對轉(zhuǎn)發(fā)流量中的攻擊流量進行識別和處理，識別時間應(yīng)小于10s。

7.1.4性能要求

性能應(yīng)符合如下要求：

a）整機轉(zhuǎn)發(fā)容量（bps）>32T；

b）單槽位容量（bps）>1.6T；

c）IPv4路由信息表容量》仰：

d）IPv6路由信息表容量》2U；

e）單槽位ACL容量264K；

f）單槽位ACLv6容量N24K；

g）BGP路由硬收斂時間（s）（400Kv4+100Kv6BGP路由）<10,回切不丟包：

h）IGP路由硬收斂時間（ms）（40Kv4+20Kv6IGP路由）<1000,回切不丟包；

i）BGP&IGP路由FRR收斂時間（ms）&200,回切不丟包;

j）LDP硬收斂時間（ms）（40KLDP）W1000；

k）SRv6policy>16KJ

1）ECMP/UCMP負載分擔精度及切換時間（ms）（64路負載分擔）誤差W10與,切換時間W100；

m）Telemetry采集周期（s）W1；

n）整機轉(zhuǎn)發(fā)容量每Gbit能耗比（W/G）&1.5。

7；城域路由器技術(shù)要求

7.2.1功能要求

7.2.1.1接口和鏈路

接口和鏈路應(yīng)符合如下要求：

a）支持400GE、100GE.50GE、40GE、10GE,GE等多種類型物理接口;

b）支持鏈路聚合，遵循IEEE802.3ad標準；

c）支持LLDP鏈路發(fā)現(xiàn)協(xié)議；

d）支持端口LAN/KAN切換能力：

e）支持VLAM,支持dotlq和QinQ；

f）支持STP、RSTP、MSTP；

g）支持EVP5I。

7.2.1.2協(xié)議

協(xié)議符合如下要求：

a）應(yīng)支持靜態(tài)路由、策略路由以及RIP、RIPng、OSPF、0SPFv3、BGP、BGP4+、ISIS、ISISv6等動

態(tài)路由協(xié)議，支持路由重分發(fā)；

10

T/SSIIAXXXX—XXXX

b）應(yīng)支持ECMP、UCMP功能；

c）應(yīng)支持MP-BGP協(xié)議;

d）應(yīng)支持MPLSLDP；

e）應(yīng)支持MPLS-TE和MPLS-TEFRR；

f）應(yīng)支持MPLSL3VPN；

g）應(yīng)支持SRv6、SRv6Policy；

h）應(yīng)支持網(wǎng)絡(luò)切片，通過SliceTl）標識網(wǎng)絡(luò)切片；

i）應(yīng)支持BIERv6；

j）宜支持APN6應(yīng)用感知：

k）宜支持G-SRv6。

7.2.1.3QoS

QoS應(yīng)符合如卜要求：

a）支持QoS分類；

b）支持流量整形；

c）支持限速。

7.2.1.4管理與運維

管理與運維符合如下要求；

a）應(yīng)支持RADIUS或TACACS+等AAA認證；

b）應(yīng)支持Syslog日志發(fā)送；

c）應(yīng)支持NetFlow、Netstream或sFlow（流量統(tǒng)計和分析技術(shù)）流量分析功能；

d）應(yīng)支持網(wǎng)絡(luò)自動化編排，設(shè)備具備YANG/NETCONF北向?qū)幽芰Γ?/p>

e）應(yīng)支持Telemetry；

f）宜支持BGP-LS、BGPSRv6Policy協(xié)議：

g）宜支持隨流檢測，支持原始報文直接染色、免報文復制的功能；

h）宜支持ZTP和SZTP。

7.2.2可靠性要求

可靠性符合如下要求：

a）框式設(shè)備應(yīng)主控板應(yīng)支持1+1冗余備份，主備倒換。丟包；

b）應(yīng)支持VRRP網(wǎng)關(guān)熱備協(xié)議；

c）應(yīng)支持雙向鏈路故障檢測BFD,能夠代理靜態(tài)、OSPLBGP等路由協(xié)議配合鏈路故障檢測；

d）應(yīng)支持GR、NSF、NSR可靠性；

e）宜支持電源備份；

f）宜支持ISSU。

7.2.3業(yè)務(wù)安全要求

業(yè)務(wù)安全應(yīng)符合如下要求：

a）支持NAT功能；

b）支持IPSec：

c）IPSec應(yīng)支持國密算法,采用GB/T32918/GMT003-2012.GB/T32905-2016/GMT004-2012.

GB/T32907-2016/GMT002-2012,或國家密碼管理主管部門認可的密碼算法；

d）路由協(xié)議應(yīng)支持國密算法，采用GB/T32905-2016/GMT004-2012或國家密碼管理主管部門認

可的密碼算法；

e）支持BGP流規(guī)格功能，遵循RFC8955標準，應(yīng)支持基于BGP目的團體屬性、FI的AS進行聚合引

流。

7.2.4性能要求

7.2.4.1城域匯聚路由器性能要求

11

T/SSIIAXXXX—XXXX

性能應(yīng)符合如下要求：

a)整機轉(zhuǎn)發(fā)容量(bps)23.2T；

b)單槽位容量(bps)N200G；

c)IPv4路由信息表容量A鋤；

d)IPv6路由信息表容量、2\1；

e)單槽ACL容量A16K；

f)單槽ACL6容量28K；

g)BGP路由硬收斂時間(s)(400Kv4+100Kv6BGP路由)W10,回切不丟包；

h)IGP路由硬收斂時間(ms)(10Kv4+10Kv6IGP路由)<500,回切不丟包；

i)IGP路由器FRR收斂時間(ms)應(yīng)小于等于50,回切不丟包；

j)LDP硬收斂時間(ms)(20KLDP)W500；

k)MAC學習時間(k/s)25()；

1)ECMP/UCMP負載分擔精度及切換時間(ms)(64路負載分擔)誤差W10跖切換時間W50；

m)EVPNVPWS規(guī)格232K：

n)EVPNVPLS規(guī)格216K；

o)SRv6policy232K；

p)Telemetry采集周期(s)Wl；

q)整機轉(zhuǎn)發(fā)容量每Gbit能耗比(W/G)W1.5。

7.2.4.2城域接入路由器性能要求

性能應(yīng)符合如下要求：

a)整機轉(zhuǎn)發(fā)容量(bps)210G；

b)IPv4路由信息表容量"IK；

c)IPv6路由信息表容量22K；

d)單槽ACL容量N256；

e)單槽ACL6容量N256；

f)ECMP/UCMP負載分擔精度及切換時間(ms)(4路負載分擔)誤差W10即切換時間W50：

g)EVPNVPWS規(guī)格2128；

h)EVPNVPLS規(guī)格,128；

i)SRv6policy>256：

j)Telemetry采集周期(s)Wl；

k)整機轉(zhuǎn)發(fā)容量每Gbit能耗比(W/G)W2.5。

74接入路由器技術(shù)要求

7.3.1功能要求

7.3.1.1接口和鏈路

接口和鏈路符合如下要求：

a)應(yīng)支持GE、10GE類型的物理接口：

b)應(yīng)支持VLAN、MSTP功能；

c)應(yīng)支持LLDP鏈路發(fā)現(xiàn)協(xié)議；

d)應(yīng)支持鏈路聚合，遵循IEEE802.3ad標準；

e)應(yīng)支持端口LAN/WAN切換能力；

f)宜支持5G/4G無線廣域接入。

7.3.1.2協(xié)議

協(xié)議應(yīng)符合如下要求：

a)支持靜態(tài)路由、策略路由以及RIP、RIPng、OSPF、0SPFv3、BGP、BGP4+、ISIS、ISISv6等動態(tài)

路由協(xié)議；

b)支持ECMP；

12

T/SSIIAXXXX—XXXX

c）支持MPLSLDP；

d）支持MP-BGP協(xié)議；

e）支持SRv6。

7.3.1.3QoS

QoS符合如下要求：

a）應(yīng)支持QoS分類、擁塞調(diào)度、流量整形、CAR、Tail/RED丟棄：

b）應(yīng)支持HQoS功能；

c）應(yīng)支持應(yīng)用識別；

d）宜支持數(shù)據(jù)壓縮功能。

7.3.1.4VPN

VPN符合如下要求：

a）應(yīng)支持GRE隧道、IPsecVPN；

b）應(yīng)支持IPV4/IPV6L3VPN；

c）應(yīng)支持EVPNL3VPNeverSRv6-BE/SRv6-TEPolicy；

d）SD-WAN宜支持智能選路、隧道QoS。

7.3.1,5管理與運維

管理與運維符合如下要求：

a）應(yīng)支持RADIUS或TACACS+等AAA認證；

b）應(yīng)支持Syslog日志發(fā)送；

c）應(yīng)支持網(wǎng)絡(luò)自動化編排，設(shè)備具備YANG/NETCONF北向?qū)幽芰Γ?/p>

d）應(yīng)支持NetFlow、Netstream或sFlow（流量統(tǒng)計和分析技術(shù)）流量分析功能：

e）應(yīng)支持Telemetry；

f）宜支持ZTP和SZTP；

g）宜支持隨流檢測，支持原始報文直接染色、免報文復制的功能；

h）宜支持TCPFPM：

i）宜支持開放的RFSTfulAPT.用戶可■開發(fā)和部署網(wǎng)絡(luò)管理功能.

7.3.2可靠性要求

可靠性符合如下要求：

a）應(yīng)支持VRRP網(wǎng)關(guān)熱備協(xié)議；

b）應(yīng)支持雙向鏈路故障檢測BFD,能夠代理靜態(tài)、OSPJBGP等路由協(xié)議配合鏈路故障檢測；

c）宜支持雙主控1+】備份；

d）宜支持電源備份；

e）宜支持FEC網(wǎng)絡(luò)丟包恢復功能；

f）宜支持雙機可靠性。

7.3.3業(yè)務(wù)安全要求

業(yè)務(wù)安全符合如下要求：

a）應(yīng)支持NAT功能；

b）應(yīng)支持ASPF/ALG；

c）應(yīng)支持標準ACL、擴展ACL；

d）應(yīng)支持dotlx認證：

e）IPSec應(yīng)支持國密算法,采用GB/T32918-2016/GMT003-2012、GB/T32905-2016/GMT004-

2012、GB/T32907-2016/GMT002-2012,或國家密碼管理主管部門認可的密碼算法；

D路由協(xié)議應(yīng)支持國密算法；采用GB/T32905-2016/GMT（）04-2012或國家密碼管理主:管部門認

可的密碼算法；

g）宜支持IPS（入侵防御）；

13

T/SSIIAXXXX—XXXX

h）宜支持AV（防病毒）；

i）宜支持URL黑白名單過濾、URL分類過濾。

7.3.4性能要求

性能應(yīng)符合如下要求：

a）業(yè)務(wù)疊加（NAT+ACL+QoS）性能（imix）（bps）NIG；

b）IPv4路由信息表容量220K：

c）IPv6路由信息表容量25K；

d）ACL容量與8K；

e）ACL6容量24K；

f）IPSec加解密性能（國密算法，512字節(jié)）（bps）21G；

g）61^隧道數(shù)目2128；

h）Telemetry采集周期（s）Wl。

8交換機技術(shù)要求

81數(shù)據(jù)中心交換機技術(shù)要求

8.1.1功能要求

8.1.1.1交換架構(gòu)

框式交換機交換架構(gòu)符合如下要求：

a）應(yīng)支持業(yè)務(wù)板卡與交換矩陣為正交架構(gòu)，主控引擎與交換矩陣應(yīng)硬件分離?：

b）宜采用信元交換，實現(xiàn)100%無阻塞轉(zhuǎn)發(fā)；

c）宜支持流量調(diào)度技術(shù)（VoQ隊列），單個端II擁塞之后其他端II流量無阻塞。

8.1.1.2端口和鏈路

端口和鏈路應(yīng)符合如下要求：

a）框式交換機應(yīng)支持1DGE、23GE、40GE.100GE,宜支持400GE等多種類型物理接口；

b）盒式交換機應(yīng)支持10GE或25GE或50GE或40CE或100GE接入，應(yīng)支持40GE或100GE或200GE

或400GE上行；

c）支持VLAN封裝，遵循IEEE802.1Q標準；

d）支持STP、RSTP、MSTP；

e）支持LLDP鏈路發(fā)現(xiàn)協(xié)議；

f）支持鏈路聚合，遵循IEEE802.3ad標準。

協(xié)議

協(xié)議應(yīng)符合如下要求：

a）支持靜態(tài)路由；

b）支持OSPF、BGP、ISIS等動態(tài)路由協(xié)議：

c）支持0SPFv3、BGP4+、ISISv6等動態(tài)路由協(xié)議。

8.1.1.4QoS

QoS應(yīng)符合如卜要求：

a）支持基于Layer2協(xié)議、Layer3協(xié)議、Layer4協(xié)議字段等的組合流分類，并雙向應(yīng)用;

b）支持PFC、ECN等擁塞控制機制；

c）支持流量整形；

d）支持限速。

8.1.1.5數(shù)據(jù)中心大二層

數(shù)據(jù)中心大二層宜符合如下要求:

14

T/SSIIAXXXX—XXXX

a）支持VXLAN二層/三層路由網(wǎng)關(guān)能力，大型數(shù)據(jù)中心宜支持分布式轉(zhuǎn)發(fā)；

b）支持EVPNVXLAN、BGPEVPN；

c）支持通過EVPN協(xié)議實現(xiàn)VTEP自動發(fā)現(xiàn)、VXLAN隧道自動建立、VXLAN隧道和VNI自動關(guān)聯(lián)、

跨數(shù)據(jù)中心分段式二三層互聯(lián)。

8.1.1.6管理與運維

管理與運維符合如下要求：

a）應(yīng)支持RADIUS或TACACS+等AAA認證；

b）應(yīng)支持Syslog日志發(fā)送；

c）應(yīng)支持NetFlow、Netstream或sFlow（一種流量采集技術(shù)）流量分析功能；

d）應(yīng)支持網(wǎng)絡(luò)自動化編排，設(shè)備具備YANG/NETCONF北向?qū)幽芰Γ?/p>

e）應(yīng)支持對VXLAN/VXLANv6封裝的內(nèi)層報文IPv4/IPv6五元組的ACL識別能力：

f）宜支持ZTP和SZTP；

g）宜支持Telemetry,涉足配套網(wǎng)絡(luò)智能分析系統(tǒng)數(shù)據(jù)采集需要；

h）宜支持隨流檢測，支持原始報文直接染色、免報文復制的功能。

8.1.2可靠性要求

可靠性符合如下要求：

a）應(yīng)支持VRRP網(wǎng)美熱備協(xié)議；

b）應(yīng)支持ARP限速、廣播風暴抑制等功能；

c）應(yīng)支持雙向鏈路故障檢測BFD,能夠代理靜態(tài)、OSPF、BGP等路由協(xié)議配合鏈路故障檢測：BFD

最小檢測周期3.3ms,最小檢測周期的BFD支持同時部署的數(shù)量不少于256：

d）框式交換機主控板、交換網(wǎng)板應(yīng)支持冗余備份；

e）應(yīng)支持端口單向鏈路檢測功能；

f）應(yīng)支持電源備份；

g）宜支持跨機箱鏈路聚合M-LAG,無損升級能力。

8.1.3業(yè)務(wù)安全要求

葉務(wù)安全符合如下要求：

a）應(yīng)支持標準ACL、擴展ACL；

b）路由協(xié)議應(yīng)支持國密算法；采用GB/T32905-2016/GMT004-2012或國家密碼管理