中国电信e8-B终端技术规范书(ADSL上行XXXX04).docx

资源描述

中国电信ADSL2+上行e8-B终端技术规范书中国电信集团公司 20082009年74月目录 1. 前言 VII 2. 设备类型 VIII 3. 物理接口要求 1 3.1 网络侧接口要求 1 3.1.1 ADSL 2+接口要求 1 3.2 用户侧接口要求 1 3.2.1 用户侧以太网接口要求 1 3.2.2 WLAN接口要求 1 3.2.3 USB接口要求 1 4. 功能要求 3 4.1 网络协议及数据转发功能要求 3 4.1.1 数据转发功能要求 3 4.1.2 DNS功能要求 4 4.1.3 地址管理及拨号管理功能要求 4 4.1.4 NAT 7 4.1.5 其它功能要求 7 4.2 WLAN AP功能要求 7 4.3 设备发现功能要求 10 4.4 业务发现和控制功能要求 11 4.4.1 业务发现 11 4.4.2 业务控制 11 4.5 QoS功能要求 11 5. 安全要求 13 5.1 网络访问的安全性 13 5.2 用户侧接口安全性 13 5.2.1 WLAN接入安全性 13 5.3 登录安全性 14 5.3.1 用户侧登录安全性 14 5.4 设备安全性 16 6. 管理和维护要求 17 6.1 基本要求 17 6.1.1 功能要求 17 6.1.2 协议要求 17 6.1.3 日志要求 17 6.1.4 设备标识要求 18 6.1.5 配置文件备份要求 18 6.2 本地管理和配置要求 18 6.2.1 本地管理基本要求 18 6.2.2 系统信息管理 19 6.2.3 基本配置 20 6.2.4 高级配置 21 6.2.5 设备管理 23 6.2.6 配置文件的USB快速备份和恢复 24 6.2.7 网络诊断 25 6.3 远程管理和配置要求 25 6.3.1 远程管理基本要求 25 6.3.2 远程参数配置和性能监测 26 6.3.3 远程故障诊断功能 28 6.3.4 设备告警功能 29 6.3.5 软件远程管理 29 6.3.6 业务部署和控制 29 6.4 e家客户端管理和配置要求 29 7. 性能要求 31 7.1 路由转发性能要求 31 7.1.1 吞吐量 31 7.1.2 地址学习 31 7.1.3 缓存大小 31 7.1.4 安全处理要求 31 7.2 ADSL2+接入性能要求 31 7.3 WLAN无线性能指标 31 7.3.1 WLAN吞吐量性能要求 31 7.3.2 WLAN覆盖性能要求 32 7.3.3 WLAN接收灵敏度要求 32 7.4 可靠性 33 8. 运行环境要求 34 8.1 供电要求 34 8.2 环境要求 34 8.3 抗电磁干扰能力 34 8.4 设备本身产生的电磁干扰要求 34 8.5 过压过流保护 35 9. 软硬件要求 36 9.1 硬件要求 36 9.1.1 基本要求 36 9.1.2 硬件能力要求 36 9.1.3 Flash存储空间规划 37 9.1.4 指示灯要求 37 9.1.5 开关与按钮 38 9.2 软件要求 38 9.2.1 基本要求 38 9.2.2 软件基本架构 39 9.2.3 程序加载 39 9.2.4 软件开发环境要求 39 9.2.5 要求提供的服务 40 9.2.6 用户登录要求 40 9.2.7 系统升级要求 40 9.2.8 Linux文件系统结构要求 41 9.2.9 Linux系统命令要求 41 9.2.10 接口1具体要求 42 9.2.11 接口2具体要求 42 10. 基本应用要求 43 10.1 强制门户功能 43 10.2 家庭存储 43 10.3 IPTV 43 11. E家终端（E8）界面要求 44 11.1 基本要求 44 11.1.1 用户界面分类 44 11.1.2 界面整体风格要求 44 11.2 快速安装光盘 44 11.3 e家终端（e8）外壳标签要求 45 11.4 设备外壳文字标识要求 46 11.5 e家终端（e8）外包装要求 46 12. 其它要求 47 12.1 设备预配置要求 47 12.2 配件 48 12.3 随机文件 48 12.4 安全性要求 49 12.4.1 过电压过电流 49 12.4.2 电磁兼容性 49 12.4.3 3C认证 49 附录A （规范性附录）外包装要求材质及工艺要求 50 A.1材质要求 50 A.2工艺要求 50 A.3可靠性 50 附录B （规范性附录）DHCP报文扩展 52 B.1 Vendor Specific Information(Option 43) 格式 52 B.2 Vendor class identifier（Option 60）格式 52 B.3 设备自动发现流程 54 附录C （规范性附录）日志文件格式 56 C.1 文件格式 56 C.2 Syslog Message Severities 56 附录D （规范性附录）告警信息 57 D.1 告警编号规则 57 D.2 设备告警信息列表 57 附录E（规范性附录）接口2协议 61 E.1协议数据包基本结构 61 E.2接口操作命令定义 62 E.3协议流程 68 E.4 Retcode定义 73 E.5 固件参数属性要求 73 E.5.1 固件参数属性说明 73 E.5.2 固件参数属性的操作 74 E.6 USB挂接点定义及命名规则 75 E.7通过ITMS设置启用或关闭中间件流程 75 附录F （规范性附录）接口2参数定义 77 F.1 PPPoE 77 F.2 PPPoE代理功能 79 F.3 DHCP SERVER 79 F.4 PORT FORWARDING 81 F.5 WLAN 81 F.6 USB接口控制功能 83 F.7 IGMP PROXY 83 F.8电信维护帐号 84 F.9强制家庭门户功能 84 F.10 ALG功能开关 84 F.11 断线重连功能 85 F.12多终端上网 85 F.13网络服务管理 86 F.14管理平台URL 86 F.15 WAN接口IP地址参数 87 F.16 DOWNLOAD参数 87 F.17 UPLOAD参数 88 F.18 TR069管理参数 88 F.19管理通道DNS地址 88 F.20 INTERNET通道实例标识参数 89 F.21电信扩展事件参数 89 F.22网关按键事件参数 90 1. 前言本规范为中国电信集团公司及其所属企业（以下简称“中国电信” ）进行ADSL 2+上行的e8-B终端设备集中采购的技术要求。下文中的“设备”如无特别说明均指ADSL 2+上行的e8-B终端。中国电信在任何时候保留和拥有对本规范书的解释权和修改权。本规范书只是针对中国电信近期宽带接入网建设的要求，中国电信有权在签订合同前，根据需要修改和补充本规范书，修改补充后的最终规范书将作为合同的组成部分。未经中国电信书面许可，厂家不得以任何形式向第三方透露本规范书内容。厂家应提供其设备的信产部入网证、3C认证、无委会认证及相关测试报告。厂家应承诺在供货时提供最新版本的e8-B用户端设备。厂家应对以下提出的每一项要求，如实地说明其设备的支持程度。首先对实现或满足程度明确做出“满足”、“不满足”、“部分满足”等应答，然后做出具体、详细的说明。不得使用“明白”、“理解”等词语。在答复中，要求明确满足的程度，凡采用“详见”、“参见”方式说明的，应指明参见文档的具体章节或页码。如无特别说明，厂家声明支持的功能应为设备已实现的功能，不包括有能力支持但尚未实现的、近期将要实现的、未来计划实现的功能。中国电信将适时进行验证测试，如发现厂家声明支持的功能和性能要求与测试结果不符，中国电信将依法保留采取进一步措施的权利。 2. 设备类型本技术规范的设备类型指线路侧接口为ADSL2+，用户侧接口具备4个以太网接口，至少1个USB接口，同时支持WLAN AP接口。厂家应详细列出本次应标的设备型号、设备软硬件版本、ADSL2+套片、WLAN芯片型号等信息。 3. 物理接口要求 3.1 网络侧接口要求 3.1.1 ADSL 2+接口要求应符合ITU-T G.992.5和《中国电信ADSL2+用户端设备技术要求》，应支持Annex A，建议支持Annex M，Annex M的启用/禁用由ITMS远程配置，缺省不启用。 3.2 用户侧接口要求 3.2.1 用户侧以太网接口要求应是10/100 Base-T Ethernet接口，应符合IEEE802.3－2005标准，并且必须支持采用直连网线进行连接，必须支持自动校验连接网线的功能。 3.2.2 WLAN接口要求应符合IEEE 802.11b/ 802.11g协议，并且通过Wi-Fi联盟互操作性认证。建议支持IEEE 802.11n协议，并且通过Wi-Fi联盟互操作性认证。 3.2.3 USB接口要求支持USB Host接口，应符合2.0规范，必须支持FullSpeed速率要求，可以支持Hi-Speed速率要求。当e家终端具有1个USB接口时，在USB接口外接1个USB设备情况下，接口的最大工作电流不超过500mA；在USB接口下挂USB Hub的情况下，接口的最大工作电流能达到1000mA。当e家终端具有2个USB接口时，每个USB接口的最大工作电流不超过500mA。 USB接口必须支持USB Mass Storage类下定义的所有的子类及传输协议，须能识别并加载标准的USB Mass Storage类设备；支持FAT、FAT32、NTFS的分区格式，支持NTFS格式。 4. 功能要求 4.1 网络协议及数据转发功能要求在网络侧，e家终端（e8）设备必须与网络设备配合，完成用户接入，网络地址分配、用户信息认证等管理控制功能，以支撑网络运营。在用户侧，e家终端（e8）设备应该能够支持家庭网络运行，提供如地址分配、地址解析等管理服务功能。 4.1.1 数据转发功能要求 1）必须支持路由工作模式、桥接工作模式、桥接路由混合工作模式。 2）必须支持静态路由。 3）建议支持动态路由，支持RIP v1/v2。 4）路由模式下，e家终端（e8）必须支持对同一时间接入公网终端数量（基于私网IP地址或MAC地址的接入）进行限制，并通过DHCP Option60来区分设备类型。配置方式有两种：一、仅配置同时接入公网的总数；二、仅对每一种终端类型进行单独的数量限制，对于不能识别的设备视为PC。接入终端数量配置必须且只能通过远程方式配置。本次招标要求设备出厂默认设置为配置方式一，总数为4。必须支持如下限制策略：假设当前限制接入的终端数为N，那么在处理第N+1个终端接入Internet请求时, e家终端（e8）必须先完成如下步骤: (1) 检测先前N个终端中是否有任意一个不在线，使用ARP方式检测，如果某终端连续3次检测无响应，则认为此设备不在线； (2) 如果N个终端都在线那么e家终端（e8）拒绝第N+1个终端的接入Internet 请求, 但此第N＋1个终端可以获取私网IP地址，可以访问LAN侧其他终端和设备； (3) 如果当前在线的终端不足N个, 那么允许为第N+1个终端完成Internet的接入。 4.1.2 DNS功能要求 1）必须支持DNS relay，支持家庭网络内部设备的DNS请求转发。 2）必须支持DNS client，从外部DNS server获取地址的功能，并能够将此信息转发至家庭内部网络设备。 3）必须支持每个WAN连接使用对应的DNS Server，DNS server信息e家终端可以自动获取、或在Static IP时手工配置。 4.1.3 地址管理及拨号管理功能要求 1）必须支持IP v4，应能够升级支持IP v6。 2）路由、桥接、路由桥接混和模式下，e家终端（e8）： a) 必须支持DHCP server，应具备为家庭网络提供至少253个可分配地址的能力； 3）缺省所有LAN侧IP地址段为192.168.1.0/24。支持基于终端设备类型分配同一地址段的不同区间的IP地址，并根据设备类型开放所需的协议端口，要求设备类型和地址区间的对应关系可以配置。 4）在WAN侧，必须支持静态配置IP地址、DHCP、PPPoE三种工作方式(遵循RFC2684/RFC2516)。 5）根据设备发现配置IP地址及开放的协议端口。 6）整机设备必须同时支持至少16个session，必须同时支持至少3个路由session。必须至少支持4条PVC同时连接，每条PVC必须支持5个PPPoE session同时工作（此5个session必须可以是桥接、路由、或桥接路由混和模式，运营商可设置）。 7）必须支持至少3条路由连接，并支持PPPoE的代理功能，采用PAP认证，单个PPPoE代理的用户PPPoE数量不少于4个，该数量可限制，要求限制数量可以远程配置。用户上网时在终端（如计算机等）上进行PPPoE拨号，e家终端（e8）截获用户的PPPoE请求后将其终结，然后使用截获的PPPoE帐号代理向网络侧拨号，并给用户分配私网地址，后续用户数据以路由方式进行处理。如果发现有新的用户以相同的帐号发PPPoE请求，网关不再向网络侧发起新的连接，自动使用已有连接。如果某个网络侧连接对应的所有用户侧连接断开，则e家终端（e8）需要断开该网络侧连接；反之，如果某网络侧连接断开，则e家终端（e8）需要断开该网络侧连接对应的所有的用户侧连接。 8）通过WEB或TR069建立WAN连接要求： a) 仅电信维护人员和TR069远程可配置WAN连接； b) WAN连接名称必须自动生成，WAN连接名称生成规则如下： WAN连接名称：序号_关键字_桥接或路由方式_PVC信息具体定义如下：内容定义含义序号数字：1～99 WAN连接的数字标识，生成规则如下： 1）按WAN连接生成顺序，序号依次递增； 2）当前已使用的数字不得重复使用；关键字 TR069 表示此连接仅用于TR069 INTERNET 表示此连接仅用于上网等应用，但不支持TR069 TR069_INTERNET 表示此连接同时用于TR069和上网等应用 Other 其他连接（除了以上的应用，都选other，目前主要是STB会用other这种方式）桥接或路由方式 B Bridge方式 R Router方式 PVC信息 X_Y X为VCI值，Y为VPI值示例如下： 1_TR069_R_8_81（表示此WAN连接的业务类型为TR069，工作方式为Router方式，PVC为8/81） 2_INTERNET_R_8_81（表示此WAN连接的业务类型为INTERNET，工作方式为Router方式，PVC为8/81） 3_Other_B_8_81（表示此WAN连接的业务类型为Other，工作方式为Bridge方式，PVC为8/81） c) WAN连接配置可增加，可修改，可删除； d) WAN连接配置后即启用，没有预配置的不启用的； e) WAN连接按手工和远程配置的数量和名称显示； f) WAN连接建立时选择关键字，就确定了TR069等绑定的关系； g) 端口绑定要求各LAN/WLAN端口必须支持和WAN连接的绑定和非绑定模式。对于进行了绑定的端口，对应端口数据经由绑定的WAN连接收发；对于未进行绑定的端口（非绑定模式），对应端口数据经由缺省路由/缺省连接收发。端口在绑定和非绑定两种模式下，在PPPoE拨号前后，与带“INTERNET”关键字的WAN连接绑定的终端必须能够访问e家终端（e8）WEB页面，各终端间应能相互访问。 h) 关于缺省路由/缺省连接的确定：带“INTERNET”关键字的WAN连接（包括路由和桥接）为缺省路由/缺省连接（PPPoE代理情况下，两条WAN连接都可以是缺省路由，实际按拨号帐号确定路由）当存在多条带“INTERNET”关键字的路由或桥接WAN连接时，终端自动选择其中生效的一条为缺省路由/缺省连接。没有支持“INTERNET”关键字的WAN连接时，则没有缺省路由，端口未和其它WAN连接绑定的，则不能上公网。 i) 默认NAT模块启用要求：新建WAN连接时，带“Router”关键字的路由WAN连接均默认自动起NAT；但如果此WAN连接是TR069专用，则必须自动关闭NAT，且不能出现端口绑定内容（WEB页面上灰显可以接受）。 j) 默认DHCP Server模块启用要求新建带“INTERNET” 关键字的WAN连接时，无论是Router还是Bridge，默认自动起用DHCP Server，分配LAN侧IP地址区段为192.168.1.0/24。新建带“Other”关键字的WAN连接时，默认不启用DHCP Server，针对此WAN连接，要求可以开启/关闭DHCP Server功能。 k) 多Router连接情况下上报ITMS要求当e家终端建立了一条以上Router WAN连接时，e家终端向ITMS上报的管理IP地址必须是TR069通道的地址，上报的宽带帐号必须是带“INTERNET”关键字的WAN连接用的帐号，如果PPPoE代理功能，则必须上报PPPoE代理所有的帐号。 4.1.4 NAT 1）必须支持NAT，NAPT，符合RFC2663、RFC3022协议规范，支持的NAT数量不低于1000。 2） UDP穿越NAT，必须支持STUN （RFC3489）的四种方式。 4.1.5 其它功能要求 1） e家终端（e8）必须支持ALG功能，实现H.323、SIP、RTSP、L2TP、IPSEC等的私网穿越的功能，每种ALG必须提供单独的开关功能。 2） e家终端（e8）必须支持IGMP SNOOPING、IGMP PROXY功能，应符合IGMP V2版本（rfc2236）协议要求（组播流必须能够转发到所有WLAN接口和LAN接口）。e家终端（e8）必须保证3Mbps的组播视频流能通过WLAN和LAN承载。 3）必须支持virtual server功能，实现外部网络对于家庭内部主机的访问。 4）必须支持SNTP，可根据运营商部署的NTP Server同步时间，要求e家终端（e8）每次上电和NTP服务器同步，持续上电时每24小时同步一次。 4.2 WLAN AP功能要求 1）必须支持WLAN功能启用/禁用，默认为启用；WEB页面和设备外部硬开关每次操作都为反转，且WEB页面和设备外部硬开关状态需一致。 2）必须支持并符合IEEE 802.11/802.11b/802.11g协议，支持802.11b、802.11g及Mixed工作模式；建议支持802.11n协议。 3）必须支持多SSID功能。至少支持4个虚拟AP，每一虚拟AP必须拥有自己的SSID（依次表示为SSID-1，SSID-2，SSID-3，SSID-4）、BSSID、Sequence Number、发送队列、安全机制、配置参数，即对外看来，每一虚拟AP和实际物理AP等同。必须支持单独设置每个SSID的隐藏及加密设置，必须支持各SSID和WAN连接间建立独立的绑定关系。默认仅启用SSID-1，其他SSID的启用和相关配置仅通过TR-069方式实现，不对电信维护人员及普通用户开放。 4）必须支持自动速率调节，建议支持手工配置方式，默认是自动速率调节方式。802.11b自动速率调节范围为11、5.5、2、1Mbps，802.11g自动速率调节范围为54、48、36、24、18、12、9、6Mbps，Mixed自动速率调节范围为54、48、36、24、18、12、9、6、11、5.5、2、1Mbps。 5）必须支持STA在节电模式下工作，能够识别STA进入节电状态，并缓存相关数据，能够通过Beacon信标帧唤醒STA，并发送已缓存的数据。 6）必须支持13个工作信道（channel 1～13），信道范围符合802.11协议要求。 7）必须支持自动信道选择和手工配置两种方式，默认自动信道选择方式，在自动信道选择方式下，设备仅在channel 1～11做选择。 8）必须支持发射功率可调，整机最大发射功率（包含天线增益）达到85～100mW。 9）必须支持Wi-Fi Protected Setup（简称WPS）规范定义的Push-Button功能，具体如下 a) 能够和支持WPS Push-Button功能的WLAN终端设备在2分钟内协商好加密算法，分发密钥，各自配置好相关参数，建立连接； b) 正常工作状态下（无需设备或AP重新启动），应能和多个STA依次建立连接； c) 新STA和AP通过WPS Push-Button方式建立连接的时间段内不应影响已连接STA的连接和使用； d) 自动保存相关配置，在设备重启后，保证和STA的连接； e) WPS功能无需在WEB页面启用和配置，默认启用； f) 可以通过外部Registrar（如STA做为Registrar）多次修改WPS相关配置，如SSID和密钥； g) WPS PBC按钮必须和WiFi功能开关独立设计，不能共用； h) WPS按钮按下至协商成功（或2分钟超时）时间段内，必须有对应的指示灯为用户提供反馈，指示WPS工作状态；建议采用多色指示灯；指示灯必须符合如下WPS规范要求的时序，如下图所示：图 4－1 WPS指示灯时序要求 i) 必须支持WPS功能和多SSID的结合，能够通过一个WPS按钮，依据不同的关键字，实现不同SSID的接入。具体可通过在AP和STA侧增加如下WPS IE的扩展实现设备和关键字的匹配，同时在AP侧实现关键字和SSID的映射关系，此映射关系可通过TR069远程设置；图 4－2 WPS扩展IE 下面说明上图中各参数定义： Field Length Value ID 3 bytes Verder OUI KeyWord 1 byte 特定的关键字说明： a) 对于未携带上述扩展字段的设备，AP应默认使用SSID－1连接; b) Vender ID默认使用ff:00:00（hex）。 10）必须提供统计功能，建议至少支持IEEE 802.11-1999 附录D MIB库中规定的“dot11Counters TABLE”中的所有统计项。 11） e家终端（e8）必须具备和其它WLAN设备的良好兼容性，必须通过WiFi联盟认证。 12）建议支持分集接收功能。 4.3 设备发现功能要求 e家终端（e8）对其连接设备进行自动发现后，对特定设备配置特定私网IP地址和特定参数（如QoS、Port Forwarding等）。 1） e家终端（e8）必须支持DHCP报文扩展字段Option 43、Option 60，应符合RFC2132、RFC3925标准，参见附录B。对于不能识别的终端（如DHCP请求未携带Option 60字段，或Option 60字段不符合本规范附录B定义），则视其为“Computer”。 2）建议支持UPnP IGD1.0协议，要求如下： (1) UPnP功能必须支持启用/禁用，默认是禁用（disabled）； (2) 对于用户/应用接入e家终端（e8）的操作，必须可以配置为read-only，避免一些接入后的操作对e家终端（e8）状态的更改； (3) 必须支持NAT traversal启用/禁用； (4) 必须支持用户做基于LAN IP地址的UPnP流量block。 4.4 业务发现和控制功能要求 e家终端（e8）必须具备用户业务发现和控制的功能，e家终端（e8）通过与业务平台交互实现业务管理和控制，接口详见《中国电信“我的e家”技术规范－ e家终端与终端综合管理系统接口》。 4.4.1 业务发现业务发现必须实现e家终端（e8）对用户使用业务的实时发现，发现的方式支持两种： 1）基于设备的业务发现：当有用户设备接入e家终端（e8）时，e家终端（e8）可以根据设备发现的结果进而发现设备的业务能力。 2）基于数据流的业务发现：e家终端（e8）必须支持根据源/目的IP、源/目的MAC、源/目的端口号、应用协议（如RTP协议）等信息，对用户数据流进行分类。根据数据流分类的结果，完成对用户业务发现。 4.4.2 业务控制 e家终端（e8）应具备业务控制的功能： 1） e家终端（e8）能够将业务发现的信息上传到ITMS。 2） e家终端（e8）能够执行控制策略，实现对e家终端（e8）上承载业务的控制功能。 3） e家终端（e8）能够根据平台下发的指令，对业务控制策略进行修改、增加和删除。 4.5 QoS功能要求 e家终端（e8）设备作为家庭网络和外部网络的数据枢纽，必须能够根据业务发现结果，对不同业务流进行QoS适配： 1）必须支持基于业务流的CAR； 2）优先级标识： a) 根据业务发现结果，对特定业务的数据包（如RTP数据流）进行二层IEEE 802.1D和三层DSCP（RFC3260）标识； b) 对具有三层DSCP（RFC3260）标识的数据包进行二层IEEE 802.1D标识。 3）策略转发：e家终端（e8）可以根据业务发现的结果，根据业务优先级的不同，进行队列划分，优先转发高优先级的数据包，要求如下： (1) 必须至少支持4条不同优先级的队列，可配置队列长度； (2) 必须支持将不同类的数据流映射到不同优先级的队列里去； (3) 支持队列的权重分配，建议支持WFQ等调度算法； (4) 建议支持WRED。 4）所有的PVC连接必须支持UBR、CBR（可以配置PCR）、rt-VBR、nrt-VBR业务类型；必须支持ATM层流量整形； 5）支持端口与WAN连接的绑定； 6）支持基于session、数据流分类结果的带宽保障和限制机制； 7）建议NAT处理不影响基于IP地址的QoS调度； 8） WLAN QoS功能要求：WLAN的QoS功能分为同一连接内不同业务流QoS处理和不同连接之间的QoS处理。要求满足以下功能： (1) 必须支持WMM，支持流与WMM队列的映射，支持WMM定义的4种流类型（VOICE/VIDEO/BACKGROUND/BEST EFFORT）及其优先级调度规则，支持基于优先级的数据处理和转发； (2) 保持WMM流分类和设备QoS策略的一致性。. 厂家应针对每一项功能要求说明其设备的支持情况。如果设备具有其他增强功能，厂家应详细说明其设备所支持的功能。 5. 安全要求 5.1 网络访问的安全性 e家终端（e8）应提供接入控制能力、报文过滤能力、防DOS攻击能力、防端口扫描能力、防止非法报文攻击能力，并提供本地网络日志。具体要求如下： 1）必须支持DMZ。 2）必须支持SSL。 3）必须支持基于MAC地址的接入控制（包括LAN和WLAN）。 4）必须支持基于IP地址和IP地址范围的接入控制。 5）必须支持基于URL的控制，接入控制以黑白名单形式提供，黑名单和白名单不能同时启用，可支持到100条纪录。 6）必须支持IP层协议报文过滤功能，建议支持应用层报文过滤，建议支持SPI（Stateful Packet Inspection）。 7）必须能够提供一定的防DoS攻击能力，例如，能够防止LAND、SYN Flooding、ICMP Redirection、Smurf、Winnuke等类型的攻击。 8）必须能够提供防端口扫描功能。 9）必须能够提供防非法报文攻击能力。 10）必须支持日志功能，本地提供至少存储500条日志的能力。 5.2 用户侧接口安全性 5.2.1 WLAN接入安全性对于WLAN，e家终端（e8）应支持以下无线安全协议或功能： 1）必须支持配置不同SSID以区分网络，支持SSID 广播开启/关闭功能，默认启用此功能。设备出厂时，SSID-1应使用中国电信提供的SSID（中国电信提供前由厂家随机生成），并在e家终端（e8）外壳上加以标注，设备恢复出厂设置后SSID-1应恢复为外壳标注的SSID标识。注：默认SSID-1名称：ChinaNet-XXXX（XXXX为4位随机ASCII字符）要求：前缀“ChinaNet-”用户不可修改； 4位随机字符部分用户可修改为任意0～23字节长度的字符串，默认出厂设置中的字符采用0-9、a-z、A-Z，其中排除“0 /o/ O、B/8、1/ l/ I”等字符。 2）必须支持Open System和Shared Key两种链路层认证方式，默认e家终端（e8）无需配置，自动适应STA的认证方式。 3）必须支持64-bit、128-bit WEP加密；密钥可以采用HEX或ASCII字符输入。 4）必须支持WPA-PSK、WPA2-PSK，必须支持AES、TKIP加密，默认启用WPA-PSK。设备出厂时，对应SSID-1的密钥应使用中国电信提供的密钥（中国电信提供前由厂家随机生成），并在e家终端（e8）外壳上加以标注，设备恢复出厂设置后应恢复为外壳标注的密钥。 5）如果用户使用WPS Push Button方式接入，则按照WPS规范协商加密算法和密钥；否则按照传统的方式为用户提供无线接入，默认使用WPA-PSK。 6）应支持国家无线局域网安全标准。 5.3 登录安全性 5.3.1 用户侧登录安全性 5.3.1.1 用户侧登录安全基本要求 e家终端（e8）用户侧有两种不同的权限的帐号：电信维护帐号、e家终端（e8）用户帐号。用户需使用用户名和密码登录，才能对e家终端（e8）设备进行配置或管理。 1）每个帐号同时只允许一个用户登录；必须拒绝第二个用户登录； 2）用户登录后连续5分钟无操作，e家终端（e8）自动退出登录状态； 3）用户名与密码输入连续错误3次，则再次输入用户名与密码验证必须在1分钟以后； 4）每种权限仅有一套帐号生效，帐号权限不能因为密码的修改而改变。 5.3.1.2 电信维护帐号 e家终端（e8）只有一个电信维护帐号，由电信维护人员使用，只允许在私网登录，初始用户名为“telecomadmin” (厂商在发货前能够根据省公司要求，批量设置供货终端预置的电信维护密码，如省公司未提出个性化要求，则密码默认为nE7jA%5m) 。 e家终端（e8）的电信维护帐号出厂默认关闭，在连接ITMS成功、由ITMS修改其密码后，由ITMS远程开启（厂商在发货前能够根据省公司要求，批量开启供货终端的电信维护帐号，如省公司未提出个性化要求，则电信维护帐号默认关闭）。电信维护帐号可进行全部的参数设置，并可强行修改e家终端（e8）用户帐号的密码。在以下场景，必须通过ITMS修改电信维护帐号的密码： 1）当e家终端（e8）第一次连接ITMS时； 2）当电信维护人员在在维护完成后通过WEB页面的“维护结束”按键后，e家终端（e8）需确保成功通知ITMS修改密码，即：如果由于网络原因设备未能连接到ITMS，e家终端（e8）需记录“维护结束”事件，e家终端（e8）在能够连接平台时应通知ITMS修改密码。 5.3.1.3 e家终端（e8）用户帐号 e家终端（e8）只有一个e家终端（e8）用户帐号，由e家终端（e8）设备的用户使用，只允许在私网登录，默认用户名为“useradmin” ，初始密码在e家终端（e8）出厂时随机生成，标记在产品标识和说明书上。登录本地WEB界面可使用的功能与应用： (1) 可进行部分的参数设置； (2) 可修改e家终端（e8）用户帐号的用户名和密码。 e家终端（e8）用户帐号的用户名不能修改，密码的修改方式如下： (1) 通过电信维护帐号登录本地WEB界面强行修改； (2) 通过e家终端（e8）用户帐号登录本地WEB界面，校验原用户名和密码后再进行修改。 5.4 设备安全性符合YD/T 965-1998 《电信终端设备的安全要求和试验方法》中的相关规定。 6. 管理和维护要求 6.1 基本要求 6.1.1 功能要求 e家终端（e8）提供两种管理方式： 1）本地管理：由电信维护人员或e家终端（e8）用户对e家终端（e8）设备进行的管理和维护； 2）远程管理：由ITMS对e家终端（e8）设备进行的管理和维护。 e家终端（e8）作为运营网络的末端网元，原则上所有与运营相关的信息配置和查询都必须同时支持电信维护人员本地配置和远程配置两种方式。 6.1.2 协议要求对于e家终端（e8）的管理可以遵循以下协议： 1）远程管理：必须支持TR-069协议进行远程配置和管理，必须支持HTTP/XML/SOAP协议，建议支持FTP/TFTP client；可以支持SNMP协议进行远程配置和管理。 2）本地管理：必须支持Web配置管理方式，建议支持telnet 配置管理。 6.1.3 日志要求 1） e家终端（e8）必须支持日志记录：包括e家终端（e8）的登录记录、管理配置操作记录、外部攻击记录、告警信息记录等。 2）对日志文件的要求如下： (1) 日志文件要求是txt文本文件； (2) 本地日志文件提供至少存储500条日志的能力； (3) 所有日志文件要求保存在本地，保证断电不丢失； (4) 日志文件可以应ITMS要求上传至ITMS服务器，上传使用HTTP Post或HTTP Put方式，上传后可以删除/清空； (5) 日志文件格式必须符合附录C规定； (6) 日志中告警信息的记录必须符合附录D规定。 6.1.4 设备标识要求 1） e家终端（e8）设备标识是唯一标识设备的参数，主要用途如下： (1) 终端综合管理系统唯一标识设备； (2) e家终端（e8）设备外壳标签标识。 2） e家终端（e8）设备标识定义如下：设备标识格式示例 <OUI> "-" <SerialNumber> 00D09E-0123456789 其中<OUI>和 <SerialNumber> 域必须和Inform中的DeviceIdStruct结构中的参数匹配，参见TR-069规范附录A。具体的SerialNumber由中国电信生成并提供给厂商。 6.1.5 配置文件备份要求配制文件必须双备份，每个配置文件必须具备CRC校验码进行合法性校验，配置文件必须位于flash的两个不同块中，配置文件更新时必须同时更新两个配置文件，读取配制时必须使用CRC校验合法的那个配制文件。 6.2 本地管理和配置要求 6.2.1 本地管理基本要求 1）支持通过PC实现用户级配置管理，必须提供良好的用户UI； 2）必须支持Web管理方式，并且提供安装配置的向导服务； 3）支持运行e家终端（e8）配套的快速安装光盘来引导用户进行配置； 4）必须提供良好的中文界面，必须提供良好的中文帮助信息； 5）必须支持用户分级管理，具体要求参

展开阅读全文