标准规范下载简介
YD/T 2376.6-2018 传送网设备安全技术要求 第6部分:PTN设备.pdfICS33.040.20 M33
YD/T 2376. 62018
GB50950-2013 光缆厂生产设备安装工程施工及质量验收规范传送网设备安全技术要求 第6部分:PTN设备
传送网设备安全技术要求
中华人民共和国工业和信息化部 发布
YD/T2376.6—2018
YD/T2376《传送网设备安全技术要求》已经或计划发布以下部分。 第1部分:SDH设备; 第2部分:WDM设备; 第3部分:基于SDH的MSTP设备; 一第4部分:基于SDH的ASON设备; 一第5部分:OTN设备: 第6部分:PTN设备: 一第7部分:基于OTN的ASON设备; 一第8部分:基于PTN的ASON设备。 本部分为YD/T2376的第6部分。 本部分按照GB/T1.1一2009给出的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中国信息通信研究院、中国移动通信集团有限公司、上海贝尔股份有限公司、华 技术有限公司、烽火科技集团有限公司。 本标准主要起草人:徐云斌、张婷婷、许兆科、胡永健、杜希、付易鹏、郭灏、王郁、李芳。
YD/T 2376.6—2018
下列缩略语适用于本文件。 ACL Access Control List 访问控制列表 ARP Address Resolution Protocol 地址解析协议 CPU Central Processing Unit 中央处理器 CRC Cyclic Redundancy Check 循环穴余校验码 DCN Data Communication Network 数据通信网
YD/T 2376.6—2018
YD/T2376.6—2018
b)IP头TTL值非1; c)源IP非法单播地址; d)非法组播IP地址,不在组播地址:224.0.1.0~239.255.255.255之内: e)目的IP与目的MAC地址不匹配。
5.2.6协议报文的限速和过滤功能
5.3L2VPN业务安全
5.3.1业务接入控制
5.3.1.1以太网业务访问控制
以太网业务访问控制功能主要包括MAC地址安全措施,以及业务报文ACL过滤。另外设备的以 太网接口应将不使用的端口禁用,防止非法业务流量接入设备。通过ACL过滤、MAC地址黑白名单等 机制,可以防止未经授权的非法用户接入网络,具体包括以下几点。 a)应支持静态MAC地址表项。静态MAC地址不会老化和不能被学习,只能手工添加或删除。 静态MAC地址可以实现MAC地址与接口绑定,防止非法用户使用假冒身份通过网络中其他 交换机接入。 b)应支持黑名单功能。通过将非法报文的MAC地址添加进MAC地址黑名单来实现过滤。 c)应支持MAC地址学习禁用。通过配置MAC地址学习禁止,配置静态MAC地址表JGJT378-2016标准下载,以及配 置未知单播报文丢弃,限制未知的非法用户接入网络。 d 应支持基于源宿MAC地址以及基于源宿IP的基本ACL。 e 应支持高级ACL,高级ACL规则基于报文的源宿地址、源宿端口、协议类型、协议的特性(例 如TCP的源宿端口,ICMP的类型、code内容),以及多元组定义规则。对符合特征的用户 报文进行过滤,可以防止大流量报文和非法报文的攻击。
5.3.1.2业务报文流量抑制
常报文,具体包括以下几点。 a)应支持专网业务广播报文流量抑制功能,端口的广播报文流量抑制值应可配置, b)应支持专网业务组播报文流量抑制功能,端口的组播报文流量抑制值应可配置。 c)应支持专网业务未知单播报文流量抑制功能, 端口的未知单播报文流量抑制值应可配置。
5.3.1.3以太网业务错顿丢弃
以太错包通常包括报文字段缺失、乱序、重复、超长、超短、混乱等情况,出现原因可能包括恶意 用户伪造、传输线路误码、设备硬件处理异常等。处理错包会给设备带来额外的负担,消耗正常业务带 宽,设备应识别出并丢弃。应支持下列情形错包丢弃:
2013《建设工程工程量清单计价规范》完整版YD/T 2376.6—2018
a)丢弃源宿MAC地址相同的以太帧; b)丢弃长度小于64字节的以太顿; c)丢弃长度大于MTU的以太顿; d)丢弃超长(其数据部分的长度大于65535字节)的以太帧; e)丢弃FCS(CRC)错误的以太。