【信息科学与工程学】【通信工程】第四十八篇 转控分离vBNC/vBRAS架构概述02
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-13 |
CP虚拟机-控制平面 |
路由表RIB管理 |
|
路由管理函数 |
路由信息库增删改查 |
维护全局路由信息库,存储从各个路由协议学习到的路由,包括前缀、下一跳、度量值、协议类型等属性。 |
路由容量 ≥ 1M 条, 查询延迟 < 1 ms |
条, 毫秒 |
CP-005, CP-006, IF-CP-UP-02 |
高效的数据结构(如Patricia树) |
需支持路由重分发和策略路由。 |
注入大量路由,验证RIB容量和查询性能。 |
路由协议、数据结构 |
|
CP-CORE-14 |
CP虚拟机-控制平面 |
路由优选算法 |
|
路由算法 |
多协议路由优选 |
当存在多条到达同一目的的路由时,根据预设规则(如先比较管理距离,再比较度量值)选择最优路由放入FIB。 |
支持常见路由协议优先级 |
无单位 |
CP-CORE-13, CP-006 |
路由属性比较逻辑 |
需处理等价多路径(ECMP)。 |
注入来自不同协议、不同度量值的路由,验证优选结果符合预期。 |
路由决策、多属性决策 |
|
CP-CORE-15 |
CP虚拟机-控制平面 |
转发信息库FIB计算 |
|
转发计算函数 |
路由到转发的信息计算 |
从RIB的最优路由中提取转发所需的信息:出接口、下一跳IP、对应的二层地址(通过ARP/NDP解析)。生成FIB表项。 |
计算延迟 < 1 ms/条 |
毫秒/条 |
CP-CORE-13, CP-CORE-14, UP-ARP-01 |
邻接关系表和地址解析 |
需处理递归下一跳和黑洞路由。 |
验证FIB表项与RIB最优路由一致,且下一跳可解析。 |
转发计算、邻接关系 |
|
CP-CORE-16 |
CP虚拟机-控制平面 |
路由策略匹配与执行 |
|
策略执行函数 |
路由策略应用 |
在路由引入、发布、接收时应用路由策略。可以基于ACL、前缀列表等匹配路由,并执行修改属性、过滤、打标签等动作。 |
支持复杂布尔表达式匹配 |
无单位 |
CP-014, CP-CORE-13 |
路由策略语言和匹配引擎 |
策略需有序执行。 |
配置路由策略,验证路由经过策略处理后的属性变化。 |
策略路由、策略语言 |
|
CP-CORE-17 |
CP虚拟机-控制平面 |
BGP状态机 |
|
协议状态机函数 |
BGP有限状态机 |
实现RFC 4271定义的BGP状态机,包括Idle, Connect, Active, OpenSent, OpenConfirm, Established等状态,以及状态间的转换逻辑。 |
支持BGP-4, 状态转换正确 |
无单位 |
CP-005, IF-CP-UP-01 |
TCP连接管理和消息解析 |
需处理各种错误和超时。 |
模拟对等体连接建立过程,验证状态机转换符合RFC。 |
BGP协议、状态机 |
|
CP-CORE-18 |
CP虚拟机-控制平面 |
BGP路径属性处理 |
|
协议处理函数 |
BGP路径属性解析 |
解析BGP路径属性,验证其合法性,并根据策略进行修改或过滤。是BGP选路和策略应用的基础。 |
支持标准BGP属性 |
无单位 |
CP-CORE-16, CP-CORE-14 |
BGP报文解析器 |
需处理可选和可选传递属性。 |
发送包含各种属性的BGP UPDATE,验证解析和处理正确。 |
BGP协议、属性处理 |
|
CP-CORE-19 |
CP虚拟机-控制平面 |
BGP路由反射 |
|
协议扩展函数 |
BGP路由反射 |
实现路由反射器(RR)功能,以解决BGP全互联问题。根据反射规则,将路由反射给特定的客户端。 |
支持集群ID和起源者ID |
无单位 |
CP-CORE-13, CP-CORE-16 |
BGP反射器规则 |
需防止路由环路。 |
在RR场景下,验证路由能正确反射给客户端。 |
BGP路由反射、网络设计 |
|
CP-CORE-20 |
CP虚拟机-控制平面 |
BGP联盟 |
|
协议扩展函数 |
BGP联盟处理 |
实现BGP联盟功能,将一个大AS划分为多个子AS(联盟成员AS),在联盟内使用eBGP,对外呈现为一个整体。 |
支持联盟AS_PATH处理 |
无单位 |
CP-CORE-18, CP-CORE-16 |
联盟配置和AS_PATH处理逻辑 |
需正确设置和剥离联盟相关的AS_PATH段。 |
在联盟场景下,验证路由传播和AS_PATH处理正确。 |
BGP联盟、AS路径 |
|
CP-CORE-21 |
CP虚拟机-控制平面 |
BGP Add-Path |
|
协议扩展函数 |
BGP Add-Path能力 |
支持BGP Add-Path扩展,可以发送和接收同一前缀的多条路径,提高路由收敛速度和实现更细粒度的负载均衡。 |
支持发送/接收路径数 2-4 |
条 |
CP-CORE-13, CP-CORE-14, UP-013 |
BGP能力协商和路径标识符 |
需协商Add-Path能力。 |
配置Add-Path,验证能同时学习并下发同一前缀的多条路径。 |
BGP扩展、快速收敛 |
|
CP-CORE-22 |
CP虚拟机-控制平面 |
BGP Flowspec |
|
安全扩展函数 |
BGP Flowspec规则安装 |
实现RFC 5575定义的BGP Flowspec,通过BGP分发流量过滤和重定向规则,实现快速的网络安全策略下发。 |
支持常见匹配组件(如目的端口、协议) |
无单位 |
SEC-003, IF-CP-UP-05, CP-CORE-16 |
BGP NLRI解析和策略编译 |
规则需高效编译为硬件ACL。 |
接收一条Flowspec规则,验证对应的流量被过滤或重定向。 |
BGP Flowspec、安全策略 |
|
CP-CORE-23 |
CP虚拟机-控制平面 |
OSPF LSA处理 |
|
协议处理函数 |
OSPF LSA处理 |
解析OSPF LSA报文,验证校验和、老化时间等,并将其存入链路状态数据库(LSDB)。是SPF计算的基础。 |
支持OSPFv2和OSPFv3, 处理延迟 < 1 ms |
毫秒 |
CP-005, CP-CORE-13 |
OSPF报文解析和LSDB |
需处理LSA泛洪和刷新。 |
注入LSA,验证能正确接收、存储和泛洪。 |
OSPF协议、链路状态 |
|
CP-CORE-24 |
CP虚拟机-控制平面 |
OSPF SPF计算 |
|
路由算法 |
OSPF最短路径优先计算 |
基于链路状态数据库,使用Dijkstra算法计算到达网络中所有节点的最短路径,生成SPF树,用于构建路由表。 |
计算复杂度 O( |
E |
+ |
V |
log |
V |
), 对于大型网络 < 1 s |
|
CP-CORE-25 |
CP虚拟机-控制平面 |
OSPF区域边界路由汇总 |
|
路由聚合函数 |
OSPF区域间路由汇总 |
实现OSPF的区域间路由汇总。ABR可以将多个具体路由聚合为一条汇总路由,减少LSDB大小和路由表规模。 |
支持基于IP前缀的聚合 |
无单位 |
CP-CORE-16, CP-CORE-23 |
路由聚合算法 |
聚合可能导致次优路由。 |
配置路由汇总,验证汇总LSA被正确生成和传播。 |
路由汇总、OSPF |
|
CP-CORE-26 |
CP虚拟机-控制平面 |
OSPF虚链路 |
|
协议扩展函数 |
OSPF虚链路建立 |
实现OSPF虚链路,用于连接被非骨干区域分割的骨干区域部分。虚链路被视为骨干区域的一个点到点链路。 |
支持通过区域0的配置 |
无单位 |
CP-CORE-23, CP-CORE-24 |
虚链路状态机和SPF计算扩展 |
虚链路是临时解决方案,需谨慎使用。 |
配置虚链路,验证骨干区域连通性恢复。 |
OSPF虚链路、网络设计 |
|
CP-CORE-27 |
CP虚拟机-控制平面 |
IS-IS LSP处理 |
|
协议处理函数 |
IS-IS LSP处理 |
解析IS-IS LSP,验证校验和、序列号等,存入LSDB。LSP包含路由器的链路状态信息。 |
支持IS-IS Level-1和Level-2, 处理延迟 < 1 ms |
毫秒 |
CP-005, CP-CORE-13 |
IS-IS报文解析和LSDB |
需处理LSP泛洪和刷新。 |
注入LSP,验证能正确接收、存储和泛洪。 |
IS-IS协议、链路状态 |
|
CP-CORE-28 |
CP虚拟机-控制平面 |
IS-IS SPF计算 |
|
路由算法 |
IS-IS最短路径优先计算 |
与OSPF类似,基于LSDB运行SPF算法。IS-IS支持两级分层,Level-1计算区域内路径,Level-2计算区域间路径。 |
计算复杂度同OSPF |
无单位 |
CP-CORE-27, CP-CORE-01, CP-CORE-13 |
LSDB和优先队列 |
SPF计算在拓扑变化时触发。 |
模拟拓扑变化,验证IS-IS SPF计算正确。 |
Dijkstra算法、IS-IS |
|
CP-CORE-29 |
CP虚拟机-控制平面 |
IS-IS 路由泄露 |
|
路由优化函数 |
IS-IS 路由泄露 |
实现IS-IS的路由泄露功能。允许将更具体的Level-1路由泄露到Level-2,避免默认路由导致的次优路径。 |
支持基于前缀列表的泄露策略 |
无单位 |
CP-CORE-16, CP-CORE-28 |
路由泄露策略 |
需避免环路。 |
配置路由泄露,验证Level-2路由器能学习到Level-1的具体路由。 |
IS-IS、路由优化 |
|
CP-CORE-30 |
CP虚拟机-控制平面 |
MPLS LDP 标签分发 |
|
标签分发函数 |
LDP本地标签分配与远端映射处理 |
实现LDP协议,为路由分配标签,并与邻居交换标签映射,建立LSP。包括标签请求、映射、释放等消息处理。 |
支持下游自主、有序控制模式 |
无单位 |
CP-005, CP-CORE-13, ASIC-MPLS-01 |
LDP状态机和标签空间管理 |
需处理标签保留模式。 |
建立LDP会话,验证标签分配和映射正确,LSP建立成功。 |
MPLS、LDP协议 |
|
CP-CORE-31 |
CP虚拟机-控制平面 |
MPLS LDP 标签交换路径建立 |
|
路径建立函数 |
LDP LSP入出标签映射计算 |
基于LDP交换的标签映射,为每个FEC(通常是路由)建立本地的入标签到出标签的映射,形成LSP的每一跳。 |
支持PHP和Ultimate-Hop Popping |
无单位 |
CP-CORE-30, CP-CORE-15 |
标签转发表管理 |
需处理倒数第二跳弹出。 |
验证数据平面能够根据标签转发表正确转发MPLS报文。 |
MPLS、标签交换 |
|
CP-CORE-32 |
CP虚拟机-控制平面 |
MPLS RSVP-TE 路径计算 |
|
流量工程算法 |
RSVP-TE 显式路径计算 |
实现基于约束的最短路径优先算法(CSPF)。考虑带宽、管理组、跳数等约束,计算满足条件的LSP路径。 |
支持带宽保证、亲和属性 |
无单位 |
CP-TOPO-01, CP-CORE-01, CP-005 |
带约束的图算法 |
计算复杂度较高。 |
配置带约束的TE隧道,验证CSPF能计算出满足条件的路径。 |
CSPF、流量工程 |
|
CP-CORE-33 |
CP虚拟机-控制平面 |
MPLS RSVP-TE 信令处理 |
|
信令处理函数 |
RSVP-TE 信令状态机 |
实现RSVP-TE协议状态机。通过Path/Resv消息交换,建立有带宽保留的TE LSP。处理错误和拆除。 |
支持快速重路由、带宽预留 |
无单位 |
CP-CORE-32, IF-CP-UP-01 |
RSVP协议栈 |
信令开销较大。 |
建立RSVP-TE隧道,验证LSP建立成功且预留带宽。 |
RSVP-TE、信令 |
|
CP-CORE-34 |
CP虚拟机-控制平面 |
MPLS 快速重路由 |
|
保护恢复算法 |
MPLS 快速重路由计算 |
实现本地保护机制。预先计算备份下一跳,并建立旁路LSP。当故障发生时,在本地将流量切换至备份路径,实现50ms级保护。 |
切换时间 < 50 ms |
毫秒 |
HA-002, CP-CORE-33, CP-CORE-32 |
拓扑信息和备份路径计算 |
需分配额外的带宽和标签。 |
模拟链路故障,验证流量快速切换到旁路LSP。 |
快速重路由、网络保护 |
|
CP-CORE-35 |
CP虚拟机-控制平面 |
SR-MPLS 段路由 |
|
段路由算法 |
SR-MPLS 段列表计算 |
实现源路由。基于网络拓扑和SID分配,计算到达目的地的段列表(标签栈),指示报文经过的路径。 |
支持节点SID和邻接SID |
无单位 |
CP-005, CP-CORE-13, PROTO-EVO-02 |
网络拓扑和SID映射 |
需全局或局部分配SID。 |
配置SR,验证段列表计算正确,报文按标签栈转发。 |
段路由、MPLS |
|
CP-CORE-36 |
CP虚拟机-控制平面 |
SRv6 段路由 |
|
段路由算法 |
SRv6 段列表计算 |
实现基于IPv6的源路由。计算包含SRv6 SID(128位IPv6地址)的段列表,指定报文路径和端点行为。 |
支持End, End.X, End.DT等行为 |
无单位 |
PROTO-EVO-02, CP-005, CP-CORE-13 |
IPv6地址规划和SID分配 |
需支持IPv6扩展头处理。 |
配置SRv6策略,验证段列表计算正确,报文按SRH转发。 |
SRv6、IPv6 |
|
CP-CORE-37 |
CP虚拟机-控制平面 |
BGP-LS 拓扑收集 |
|
拓扑收集函数 |
BGP-LS 拓扑信息收集 |
作为BGP-LS客户端,从支持BGP-LS的路由器(通常是SDN控制器或PCE)学习全网的链路状态信息,用于集中式路径计算。 |
支持节点、链路、前缀NLRI |
无单位 |
CP-TOPO-01, CP-CORE-17 |
BGP-LS协议扩展 |
需要网络设备支持BGP-LS。 |
从BGP-LS对等体接收拓扑信息,验证能正确构建全局拓扑图。 |
BGP-LS、拓扑发现 |
|
CP-CORE-38 |
CP虚拟机-控制平面 |
PCE 路径计算 |
|
集中式路径计算函数 |
PCE 路径计算 |
实现RFC 5440定义的PCE功能。基于BGP-LS收集的拓扑,为网络中的LSP计算满足多重约束的路径。 |
支持状态ful PCE, 计算延迟 < 100 ms |
毫秒 |
CP-CORE-37, CP-CORE-32, CP-TOPO-01 |
全局拓扑数据库和CSPF算法 |
可集成到SDN控制器。 |
发送路径计算请求,验证PCE返回满足约束的路径。 |
PCE、集中式控制 |
|
CP-CORE-39 |
CP虚拟机-控制平面 |
PCEP 协议处理 |
|
信令处理函数 |
PCEP 协议状态机 |
实现PCE通信协议。与PCC(路径计算客户端)通信,接收计算请求,返回路径,并支持LSP的委托和状态同步。 |
支持PCE初始化和主动状态ful PCE |
无单位 |
CP-CORE-38, IF-CP-UP-01 |
PCEP协议栈 |
需处理LSP状态同步。 |
模拟PCC发送PCReq,验证PCE能处理并回复PCRep。 |
PCEP、信令 |
|
CP-CORE-40 |
CP虚拟机-控制平面 |
网络切片资源预留 |
|
资源管理函数 |
网络切片资源预留与策略下发 |
实现5G网络切片管理。为不同切片分配逻辑独立的网络资源,并通过南向接口将切片策略下发给转发设备。 |
支持切片数量 ≥ 8, 资源隔离度 100% |
个 |
UP-POOL-16, CP-009, IF-CP-UP-05 |
资源抽象和策略模型 |
需与编排器协同。 |
创建一个网络切片,验证资源预留成功,且策略下发到相关设备。 |
网络切片、资源预留 |
|
CP-CORE-41 |
CP虚拟机-控制平面 |
时钟同步协议处理 |
|
时钟同步函数 |
PTP 协议栈处理 |
实现PTP普通时钟或边界时钟。与主时钟同步,提供高精度时间同步,用于TSN、基站等场景。 |
支持一步/二步时钟, 同步精度 < 1 µs |
微秒 |
CLK-001, CLK-002, UP-TSN-01 |
硬件时间戳支持和时钟伺服控制 |
需要网络支持PTP。 |
连接主时钟,验证从时钟能同步,精度达标。 |
PTP、时钟同步 |
|
CP-CORE-42 |
CP虚拟机-控制平面 |
NETCONF协议栈 |
|
配置管理函数 |
NETCONF 协议栈处理 |
实现NETCONF服务器。支持 |
支持NETCONF 1.0/1.1, 基础操作集 |
无单位 |
MAN-001, CP-013, IF-CP-UP-11 |
YANG模型解析和配置数据库 |
需支持多种传输层(SSH, TLS)。 |
通过NETCONF客户端发送配置请求,验证服务器能正确执行并回复。 |
NETCONF、配置管理 |
|
CP-CORE-43 |
CP虚拟机-控制平面 |
RESTCONF接口 |
|
配置管理函数 |
RESTCONF 接口处理 |
提供RESTful API for NETCONF。将HTTP请求转换为对YANG数据节点的操作,实现更友好的配置管理接口。 |
支持RFC 8040, JSON/XML编码 |
无单位 |
MAN-001, CP-013, IF-003 |
HTTP服务器和YANG模型 |
需处理资源路径到数据节点的映射。 |
通过RESTCONF客户端操作资源,验证接口响应正确。 |
RESTCONF、RESTful API |
|
CP-CORE-44 |
CP虚拟机-控制平面 |
gNMI/gRPC接口 |
|
配置与遥测函数 |
gNMI/gRPC 接口处理 |
实现gNMI协议。提供基于gRPC的高性能配置和流式遥测接口。支持对数据树的高效读写和订阅。 |
支持gNMI v0.7.0+, 协议缓冲区编码 |
无单位 |
MAN-001, IF-CP-UP-03, IF-CP-UP-12 |
gRPC框架和协议缓冲区 |
需支持多种编码格式。 |
通过gNMI客户端进行配置下发和遥测订阅,验证功能正常。 |
gNMI、gRPC |
|
CP-CORE-45 |
CP虚拟机-控制平面 |
SNMP代理 |
|
网络管理函数 |
SNMP 代理处理 |
实现SNMP代理。支持SNMPv1/v2c/v3,处理管理站的请求,访问本地MIB库,并可能生成Trap消息。 |
支持标准MIB-II和私有MIB |
无单位 |
MAN-001, SYS-002, UP-035 |
MIB编译器和管理信息库 |
需处理社区名和用户安全模型。 |
通过SNMP管理站查询MIB对象,验证代理返回正确值。 |
SNMP、网络管理 |
|
CP-CORE-46 |
CP虚拟机-控制平面 |
Syslog消息处理 |
|
日志处理函数 |
Syslog 消息收集与处理 |
作为Syslog服务器,接收UDP或TCP Syslog消息。根据设施和严重级别进行分类,存入数据库或触发动作。 |
支持RFC 3164/5424, 处理速率 ≥ 1000 msg/s |
条/秒 |
CP-008, MAN-005, CP-021 |
Syslog解析器和存储后端 |
需处理消息风暴。 |
发送Syslog消息,验证能被接收、解析和存储。 |
Syslog、日志管理 |
|
CP-CORE-47 |
CP虚拟机-控制平面 |
网络事件关联引擎 |
|
事件处理函数 |
网络事件关联与分析 |
实现复杂事件处理。通过规则引擎(如Drools)或机器学习,将底层事件关联,识别根本原因或复杂攻击模式。 |
支持基于时间、拓扑、语义的关联规则 |
无单位 |
UP-POOL-31, MAN-005, CP-046 |
事件数据库和规则引擎 |
规则需可配置和更新。 |
注入多个相关事件,验证关联引擎能生成正确的聚合事件。 |
事件关联、规则引擎 |
|
CP-CORE-48 |
CP虚拟机-控制平面 |
网络配置备份与恢复 |
|
配置管理函数 |
自动配置备份与恢复 |
实现配置的自动化备份。支持定时备份、变更触发备份。支持配置比较和一键恢复,提高运维可靠性。 |
支持SCP, SFTP, TFTP等协议备份 |
无单位 |
CP-013, CP-VM-MGMT-01, MAN-001 |
配置备份策略和存储管理 |
备份文件需加密和安全存储。 |
触发配置备份,验证文件成功传输;执行恢复,验证配置还原。 |
配置备份、灾难恢复 |
|
CP-CORE-49 |
CP虚拟机-控制平面 |
软件许可证管理 |
|
许可证管理函数 |
软件许可证验证与管理 |
实现许可证管理功能。加载和验证许可证文件,根据许可证授权启用或限制软件功能、性能容量和有效期。 |
支持基于RSA签名的许可证文件 |
无单位 |
CP-024, UP-POOL-34, SEC-006 |
许可证验证库和加密算法 |
许可证需防篡改和复制。 |
安装有效和无效许可证,验证功能启用/禁用符合预期。 |
许可证管理、软件授权 |
|
CP-CORE-50 |
CP虚拟机-控制平面 |
用户角色权限管理 |
|
安全管理函数 |
基于角色的访问控制 |
实现RBAC。定义角色、权限、用户。用户在登录后,其操作需经过权限检查,确保只有授权用户才能执行管理操作。 |
支持角色层级和权限继承 |
无单位 |
SEC-001, CP-032, MAN-001 |
用户数据库和权限策略 |
权限粒度需足够细。 |
使用不同角色的用户尝试操作,验证权限检查生效。 |
RBAC、访问控制 |
|
CP-CORE-51 |
CP虚拟机-控制平面 |
审计日志记录 |
|
安全审计函数 |
操作审计日志记录 |
记录所有关键管理操作,包括操作者、时间、动作、对象、结果。审计日志不可篡改,定期归档。 |
支持RFC 5424审计日志格式 |
无单位 |
SEC-001, CP-008, CP-CORE-46 |
审计日志存储和检索 |
需保护审计日志的完整性。 |
执行管理操作,验证审计日志中有相应记录。 |
安全审计、日志记录 |
|
CP-CORE-52 |
CP虚拟机-控制平面 |
安全证书管理 |
|
证书管理函数 |
X.509 证书生命周期管理 |
实现PKI客户端功能。管理用于TLS/DTLS、SSH等协议的证书。支持证书自动注册(如SCEP)、定期更新和OCSP检查。 |
支持PKCS#12格式, 支持OCSP |
无单位 |
SEC-002, CP-VM-AUTH-01, HW-SEC-01 |
加密库和证书解析 |
私钥需安全存储(HSM)。 |
导入证书,验证TLS连接能成功建立。 |
PKI、证书管理 |
|
CP-CORE-53 |
CP虚拟机-控制平面 |
入侵检测/防御规则匹配 |
|
安全检测函数 |
基于特征的入侵检测 |
实现IDS/IPS功能。解析流量,提取特征,与规则库匹配。匹配成功时产生告警或执行阻断。 |
支持Snort兼容规则子集 |
无单位 |
SEC-003, NP-ACCEL-02, IF-CP-UP-ACL-01 |
规则解析引擎和模式匹配算法 |
规则库需定期更新。 |
发送模拟攻击流量,验证能检测并告警。 |
IDS/IPS、模式匹配 |
|
CP-CORE-54 |
CP虚拟机-控制平面 |
流量基线学习 |
|
安全分析函数 |
网络流量基线自学习 |
通过无监督学习,建立网络、主机或应用的流量行为基线。用于后续的异常检测。 |
学习周期 7-30 天 |
天 |
UP-POOL-13, CP-VM-AI-01, AI-OPS-02 |
历史流量数据存储和统计 |
基线需适应周期性变化。 |
在无攻击环境下运行学习,验证生成的基线能反映正常模式。 |
基线学习、异常检测 |
|
CP-CORE-55 |
CP虚拟机-控制平面 |
DDoS攻击检测 |
|
安全检测函数 |
基于流统计的DDoS攻击检测 |
通过分析流量特征(如SYN/FIN比率、源IP分布、流量增长率)的异常,检测潜在的DDoS攻击。 |
检测延迟 < 10 s |
秒 |
SEC-003, CP-CORE-54, AI-OPS-02 |
流量聚合和异常检测算法 |
需降低误报率。 |
模拟SYN Flood攻击,验证系统能在短时间内检测并告警。 |
DDoS检测、安全分析 |
|
CP-CORE-56 |
CP虚拟机-控制平面 |
安全策略自动化响应 |
|
安全响应函数 |
安全事件自动化响应 |
实现SOAR的部分功能。将安全事件与响应剧本匹配,自动或半自动地执行缓解动作,缩短MTTR。 |
响应剧本覆盖常见攻击 ≥ 20 种 |
种 |
SEC-003, IF-CP-UP-ACL-01, CP-VM-SELF-HEAL-01 |
响应剧本库和安全策略执行器 |
自动化响应需谨慎,避免误操作。 |
模拟攻击检测,验证响应剧本被触发并执行预定动作。 |
SOAR、自动化响应 |
|
CP-CORE-57 |
CP虚拟机-控制平面 |
网络服务质量策略管理 |
|
QoS策略函数 |
QoS 策略定义与下发 |
提供图形化或声明式的QoS策略定义界面。将高级QoS策略编译为设备可执行的配置,并下发给数据平面。 |
支持层次化QoS策略 |
无单位 |
UP-006, QoS-001, IF-CP-UP-05 |
策略编译器和QoS数据模型 |
策略需考虑硬件能力限制。 |
定义复杂QoS策略,验证能正确下发并生效。 |
QoS、策略管理 |
|
CP-CORE-58 |
CP虚拟机-控制平面 |
应用识别与分类 |
|
应用识别函数 |
基于DPI的应用识别 |
集成应用识别引擎(如nDPI)。对流量进行深度分析,识别数千种应用协议,为策略提供应用层上下文。 |
支持应用协议 ≥ 1000 种 |
种 |
UP-008, NP-vBRAS-02, CP-VM-ANALYTICS-01 |
DPI引擎和特征库 |
特征库需定期更新。 |
发送已知应用流量,验证识别准确。 |
DPI、应用识别 |
|
CP-CORE-59 |
CP虚拟机-控制平面 |
parental_control = enforce_parental_control(user, url_category)`. 根据用户配置和家长控制策略,允许或拒绝访问特定URL类别(如成人内容、社交网络)。 |
内容过滤函数 |
家长控制/URL过滤 |
实现基于URL分类的内容过滤。将用户HTTP请求的域名或URL与分类数据库匹配,根据策略允许或拒绝,并可能记录日志。 |
支持URL分类数据库更新 |
无单位 |
SEC-003, IF-CP-EXT-03, CP-022 |
URL分类数据库和过滤引擎 |
需处理HTTPS流量的过滤(可能需解密)。 |
尝试访问被禁止类别的网站,验证访问被阻止。 |
内容过滤、家长控制 |
|
|
CP-CORE-60 |
CP虚拟机-控制平面 |
无线接入点管理 |
|
无线管理函数 |
无线接入点集中管理 |
作为无线控制器,通过CAPWAP协议管理大量AP。统一配置SSID、安全策略、射频等,并收集AP状态和用户信息。 |
支持CAPWAP, 管理AP数 ≥ 512 |
个 |
MAN-001, IF-CP-UP-02, SEC-001 |
CAPWAP协议栈和AP数据库 |
需处理AP的自动发现和加入。 |
模拟AP接入,验证控制器能成功管理并下发配置。 |
无线网络、CAPWAP |
|
CP-CORE-61 |
CP虚拟机-控制平面 |
物联网设备指纹识别 |
|
物联网安全函数 |
物联网设备指纹提取与识别 |
通过被动流量分析,识别网络中的物联网设备类型(如摄像头、智能灯泡),用于资产管理和异常检测。 |
支持设备类型 ≥ 100 种 |
种 |
SEC-003, CP-CORE-58, AI-OPS-02 |
设备特征库和机器学习模型 |
设备固件更新可能导致指纹变化。 |
接入已知物联网设备,验证能被正确识别。 |
物联网安全、设备指纹 |
|
CP-CORE-62 |
CP虚拟机-控制平面 |
网络切片SLA监控 |
|
SLA管理函数 |
网络切片SLA实时监控 |
为每个网络切片定义SLA指标和阈值。实时收集切片性能数据,进行比对分析,并生成SLA合规报告。 |
监控粒度 1分钟, 告警延迟 < 1分钟 |
分钟 |
UP-POOL-15, OAM-ADV-01, CP-031 |
切片性能数据采集和阈值管理 |
SLA定义需明确且可测量。 |
模拟切片性能劣化,验证SLA监控能及时告警。 |
SLA管理、性能监控 |
|
CP-CORE-63 |
CP虚拟机-控制平面 |
网络配置合规性检查 |
|
合规性函数 |
自动化配置合规性审计 |
定期扫描网络设备配置,与合规策略库中的规则进行比对,识别不符合项,并可能提供修复建议。 |
支持常见合规框架, 检查覆盖率 > 90% |
% |
UP-POOL-36, CP-VM-MGMT-02, SEC-001 |
合规策略库和配置解析器 |
合规策略需可定制。 |
对已知合规/不合规配置进行扫描,验证检查结果正确。 |
合规性、安全审计 |
|
CP-CORE-64 |
CP虚拟机-控制平面 |
网络资产发现与管理 |
|
资产管理函数 |
网络资产自动发现与清点 |
实现IT资产管理。自动发现网络中的IP设备,收集其基本信息(IP, MAC, 开放端口, 可能的主机名),并跟踪变化。 |
支持主动/被动发现, 资产数量 ≥ 10K |
个 |
SYS-002, UP-POOL-35, OAM-003 |
网络扫描引擎和资产数据库 |
主动扫描需控制频率,避免影响网络。 |
在测试网络中运行发现,验证能识别出所有在线设备。 |
资产管理、网络发现 |
|
CP-CORE-65 |
CP虚拟机-控制平面 |
网络拓扑自动发现 |
|
拓扑发现函数 |
网络拓扑自动发现与绘制 |
从种子设备开始,通过邻居发现协议逐跳学习,构建完整的二层和三层网络拓扑图,并可视化展示。 |
发现时间 < 5 分钟 (对于中型网络) |
分钟 |
CP-TOPO-01, OAM-003, CP-CORE-37 |
多种发现协议支持和拓扑合成算法 |
需处理多厂商设备。 |
在已知拓扑的网络中运行发现,验证生成的拓扑图准确。 |
拓扑发现、网络映射 |
|
CP-CORE-66 |
CP虚拟机-控制平面 |
IP地址管理 |
|
IPAM函数 |
IP地址分配与回收 |
实现专业的IP地址管理功能。管理IPv4/IPv6地址空间,跟踪地址使用情况,防止冲突,并支持DHCP集成。 |
支持IPv4/IPv6, 支持重叠IP池 |
无单位 |
CP-011, BRAS-POOL-02, IF-CP-DHCP-01 |
IP地址数据库和分配算法 |
需与DHCP服务器同步。 |
请求IP分配,验证分配成功且记录准确;释放后IP可被重用。 |
IPAM、地址管理 |
|
CP-CORE-67 |
CP虚拟机-控制平面 |
虚拟网络功能编排 |
|
NFV编排函数 |
虚拟网络功能生命周期编排 |
作为NFVO(NFV编排器)的一部分,负责VNF的实例化、配置、缩放、终止等全生命周期管理。 |
支持ETSI NFV架构, 支持常见VNFM |
无单位 |
VIM-003, VIM-004, CP-EXT-01 |
VNF描述符解析器和VIM驱动 |
需与多个VIM和VNFM集成。 |
下发VNF实例化请求,验证VNF能成功创建并上线。 |
NFV、云编排 |
|
CP-CORE-68 |
CP虚拟机-控制平面 |
服务功能链编排 |
|
服务链编排函数 |
服务功能链创建与管理 |
实现SFC编排。定义VNF的有序列表及其网络连接,并通过NSH或策略路由实现流量导向。 |
支持NSH和策略路由, 链长 ≥ 5 个VNF |
个 |
UP-INT-02, CP-EXT-01, VIM-003 |
SFC描述模型和转发图生成 |
需考虑VNF间的依赖和资源。 |
编排一条包含多个VNF的服务链,验证流量能按序经过。 |
SFC、服务链 |
|
CP-CORE-69 |
CP虚拟机-控制平面 |
网络配置模板与批量部署 |
|
配置部署函数 |
基于模板的配置批量部署 |
支持Jinja2等模板语言。定义带变量的配置模板,为不同设备组赋予不同的变量值,实现大规模网络的快速、一致配置。 |
支持设备分组, 批量部署设备数 ≥ 100 |
个 |
MAN-001, CP-013, IF-CP-UP-02 |
配置模板引擎和变量管理 |
模板需考虑设备差异。 |
使用模板向多个设备下发配置,验证配置正确应用。 |
配置模板、批量部署 |
|
CP-CORE-70 |
CP虚拟机-控制平面 |
网络配置漂移检测与修复 |
|
配置合规函数 |
配置漂移检测与自动修复 |
定期抓取设备运行配置,与存储的黄金配置进行差异比较。发现未授权的变更时告警,并可根据策略自动恢复。 |
检测周期 1-24 小时, 支持自动/手动修复 |
小时 |
CP-VM-MGMT-01, CP-CORE-48, MAN-001 |
配置差异比较算法 |
需定义哪些差异是允许的。 |
人为修改设备配置,验证漂移检测能发现,并可修复。 |
配置管理、合规性 |
|
CP-CORE-71 |
CP虚拟机-控制平面 |
网络性能监控数据存储与查询 |
|
监控数据函数 |
性能数据存储与检索 |
实现高性能的监控数据存储。使用时序数据库(如InfluxDB, Prometheus)存储海量性能指标,并提供高效的查询接口用于分析和展示。 |
数据保留期 ≥ 30 天, 查询响应时间 < 1 s |
天, 秒 |
MAN-002, IF-CP-UP-03, UP-POOL-15 |
时序数据库和查询语言 |
数据量大,需考虑压缩和降采样。 |
写入和查询性能数据,验证存储和检索功能正常。 |
时序数据库、监控 |
|
CP-CORE-72 |
CP虚拟机-控制平面 |
网络健康度评分 |
|
健康度函数 |
网络健康度综合评分 |
综合CPU、内存、带宽利用率、错误计数、时延等多维度指标,通过加权计算,得出一个0-100的分数,直观反映健康状况。 |
评分更新周期 5-15 分钟 |
分钟 |
UP-POOL-13, MAN-002, SYS-002 |
指标权重模型和评分算法 |
权重设置需合理。 |
模拟设备性能下降,验证健康度分数相应降低。 |
健康度、综合评分 |
|
CP-CORE-73 |
CP虚拟机-控制平面 |
网络流量预测 |
|
预测分析函数 |
网络流量预测 |
用于容量规划、资源预留。分析历史流量模式,预测未来一小时、一天或一周的流量,提前发现瓶颈。 |
预测 horizon 1小时 - 7天, 误差 MAPE < 15% |
小时, % |
UP-POOL-19, CP-031, AI-001 |
时间序列预测模型和训练数据 |
模型需定期重新训练。 |
使用历史数据训练模型,在测试集上评估预测准确性。 |
时间序列预测、容量规划 |
|
CP-CORE-74 |
CP虚拟机-控制平面 |
根因分析推荐系统 |
|
智能运维函数 |
基于上下文的根因分析推荐 |
集成专家系统和案例库。将当前故障特征与知识库中的案例匹配,推荐最可能的根因及排查步骤,加速故障定位。 |
推荐准确率 > 70% (在已知案例上) |
% |
UP-POOL-31, CP-VM-AI-02, CP-CORE-47 |
故障知识库和相似度匹配算法 |
知识库需不断积累和维护。 |
输入一个已知根因的故障现象,验证推荐列表包含正确根因。 |
根因分析、推荐系统 |
|
CP-CORE-75 |
CP虚拟机-控制平面 |
网络变更影响分析 |
|
变更管理函数 |
网络变更影响模拟分析 |
在沙箱环境中应用变更,通过模拟转发或规则推导,分析变更可能导致的业务中断、性能下降或安全漏洞。 |
支持常见变更类型(如ACL修改、路由调整) |
无单位 |
CP-VM-POLICY-02, DIGITAL-TWIN-01, MAN-001 |
网络模型和变更模拟引擎 |
模拟的准确性依赖于模型的精确度。 |
计划一个路由变更,运行影响分析,验证报告能识别潜在问题。 |
变更管理、影响分析 |
|
CP-CORE-76 |
CP虚拟机-控制平面 |
网络配置优化建议 |
|
优化分析函数 |
网络配置静态分析与优化建议 |
通过静态代码分析技术分析配置文件,识别配置错误、安全弱点、性能瓶颈,并给出改进建议。 |
支持常见配置错误模式 |
无单位 |
CP-CORE-70, CP-VM-POLICY-01, SEC-001 |
配置分析规则库 |
建议需具有可操作性。 |
对存在已知问题的配置进行分析,验证能给出正确建议。 |
配置分析、优化建议 |
|
CP-CORE-77 |
CP虚拟机-控制平面 |
网络账单与成本分析 |
|
成本管理函数 |
网络资源成本核算与报告 |
实现云网络的FinOps。跟踪各业务部门或租户的网络资源消耗,结合资费模型,生成成本报告,用于分摊和优化。 |
支持自定义资费模型, 报告粒度 月 |
无单位 |
UP-POOL-38, CP-032, CP-012 |
资源计量数据和成本模型 |
资费模型可能很复杂。 |
模拟资源使用,运行成本计算,验证报告符合预期。 |
FinOps、成本管理 |
|
CP-CORE-78 |
CP虚拟机-控制平面 |
网络服务目录管理 |
|
服务管理函数 |
网络即服务目录与自动化开通 |
提供自助服务门户。用户从服务目录中选择服务并提交申请,后端自动编排资源并开通服务,实现网络即服务。 |
服务开通时间 < 10 分钟 (简单服务) |
分钟 |
CP-009, VIM-004, CP-EXT-02 |
服务定义模型和自动化工作流 |
需与编排器和配置管理集成。 |
从服务目录申请一个VPN服务,验证能自动开通。 |
服务目录、NaaS |
|
CP-CORE-79 |
CP虚拟机-控制平面 |
网络策略仿真验证 |
|
形式化验证函数 |
网络策略的形式化验证 |
在策略下发前,使用形式化验证工具(如Batfish, ERA)检查策略之间是否存在冲突,以及是否违反网络全局属性。 |
支持关键不变量验证, 验证时间 < 30 s |
秒 |
CP-VERIFY-01, CP-VM-POLICY-01, SEC-003 |
形式化模型和验证引擎 |
形式化建模有学习曲线。 |
下发会导致环路的策略,验证工具能检测并告警。 |
形式化验证、策略分析 |
|
CP-CORE-80 |
CP虚拟机-控制平面 |
意图驱动网络翻译 |
|
意图网络函数 |
业务意图到网络配置的自动翻译 |
实现IBN的翻译层。使用自然语言处理或声明式语言解析意图,结合网络现状和策略库,生成可执行的设备配置。 |
支持有限意图语法, 翻译准确率 > 90% |
% |
CP-IBN-01, CP-CORE-57, CP-CORE-16 |
意图解析器和策略生成规则 |
意图可能模糊或冲突。 |
输入一条业务意图,验证生成的配置能实现该意图。 |
意图网络、自动翻译 |
|
CP-CORE-81 |
CP虚拟机-控制平面 |
网络数字孪生同步 |
|
数字孪生函数 |
物理网络到数字孪生的状态同步 |
实现数字孪生的实时同步。通过南向接口采集网络设备配置、拓扑、流量等,在孪生体中构建一个实时镜像。 |
同步延迟 < 1 分钟, 数据一致性 > 99% |
分钟, % |
DIGITAL-TWIN-01, CP-CORE-71, CP-TOPO-01 |
数据采集和孪生体模型 |
需处理大规模数据的实时同步。 |
修改物理网络配置,验证数字孪生能快速更新。 |
数字孪生、同步 |
|
CP-CORE-82 |
CP虚拟机-控制平面 |
网络故障注入与演练 |
|
混沌工程函数 |
网络故障注入与混沌实验 |
支持混沌工程实验。可编程地注入故障,测试网络的高可用性、自愈能力和监控告警的有效性。 |
支持故障类型 ≥ 10 种 |
种 |
DIGITAL-TWIN-01, HA-002, CP-VM-SELF-HEAL-01 |
故障注入引擎和实验框架 |
需在受控环境中进行。 |
在测试环境中注入链路中断,验证保护切换机制生效。 |
混沌工程、故障测试 |
|
CP-CORE-83 |
CP虚拟机-控制平面 |
网络容量规划与优化 |
|
容量规划函数 |
基于预测的网络容量规划 |
实现自动化的容量规划。识别当前和未来的资源瓶颈,结合业务增长预测和成本约束,给出最优的扩容方案和时间建议。 |
规划 horizon 3-12 个月 |
月 |
UP-POOL-19, CP-031, CP-CORE-77 |
预测模型和优化算法 |
需考虑投资回报率。 |
输入负载数据和预测,验证规划建议合理。 |
容量规划、网络优化 |
|
CP-CORE-84 |
CP虚拟机-控制平面 |
网络节能策略执行 |
|
节能管理函数 |
网络节能策略计算与执行 |
实现绿色网络。监控全网负载,在满足SLA的前提下,计算可休眠的设备或端口,并执行休眠/唤醒操作。 |
节能比例 10-30% (在低峰期) |
% |
ENERGY-01, UP-POOL-17, CP-VM-ROAM-01 |
负载预测和节能策略引擎 |
休眠/唤醒需平滑,避免影响业务。 |
在模拟低峰期触发节能策略,验证部分设备进入休眠,总功耗下降。 |
绿色网络、节能 |
|
CP-CORE-85 |
CP虚拟机-控制平面 |
网络切片隔离性验证 |
|
切片安全函数 |
网络切片隔离性验证 |
通过配置分析和流量检测,验证切片间的隔离策略是否被正确执行,防止一个切片的故障或攻击影响其他切片。 |
支持基于策略的隔离验证 |
无单位 |
UP-POOL-16, CP-009, CP-VERIFY-01 |
切片策略模型和验证工具 |
隔离策略需明确定义。 |
尝试从一个切片访问另一个切片的资源,验证被阻止。 |
网络切片、安全隔离 |
|
CP-CORE-86 |
CP虚拟机-控制平面 |
网络服务等级协议报告 |
|
SLA报告函数 |
租户SLA合规性报告生成 |
从监控数据中提取指定租户在报告期内的性能指标,与SLA合同中的目标值对比,生成可视化报告,并可能计算赔偿。 |
报告周期 月/季度, 自动生成 |
无单位 |
CP-CORE-62, UP-POOL-38, MAN-002 |
SLA指标定义和报告模板 |
SLA指标需可测量。 |
为一个租户生成SLA报告,验证数据准确且格式规范。 |
SLA报告、服务等级 |
|
CP-CORE-87 |
CP虚拟机-控制平面 |
网络资产漏洞扫描 |
|
漏洞管理函数 |
网络资产漏洞扫描与评估 |
集成漏洞扫描引擎(如OpenVAS, Nessus)。定期或按需扫描网络设备,发现操作系统、服务、配置中的安全漏洞,并评估风险等级。 |
支持CVE数据库, 扫描频率 每周/每月 |
无单位 |
SEC-003, CP-CORE-64, SYS-002 |
漏洞扫描引擎和CVE数据库 |
扫描可能影响设备性能。 |
对已知漏洞的设备进行扫描,验证能识别出漏洞。 |
漏洞管理、安全扫描 |
|
CP-CORE-88 |
CP虚拟机-控制平面 |
网络威胁狩猎 |
|
安全分析函数 |
主动威胁狩猎 |
通过大数据分析和机器学习,在大量的网络数据中寻找隐蔽的攻击痕迹。使用已知IoC、行为分析或异常检测模型。 |
支持STIX/TAXII格式IoC |
无单位 |
SEC-003, CP-CORE-71, AI-OPS-02 |
威胁情报平台和数据分析平台 |
需要大量历史数据和高级分析技能。 |
在数据中植入模拟攻击痕迹,验证狩猎查询能发现。 |
威胁狩猎、安全分析 |
|
CP-CORE-89 |
CP虚拟机-控制平面 |
网络配置版本对比 |
|
配置管理函数 |
网络配置版本差异比较 |
类似于 |
支持常见设备配置语法 |
无单位 |
CP-CORE-48, CP-VM-MGMT-01, MAN-001 |
配置解析和差异比较算法 |
需处理不同设备的不同配置风格。 |
比较两个有差异的配置文件,验证差异报告准确。 |
配置比较、版本控制 |
|
CP-CORE-90 |
CP虚拟机-控制平面 |
网络服务依赖关系映射 |
|
依赖分析函数 |
网络服务依赖关系自动发现 |
通过分析流量日志、配置文件和拓扑信息,推断出应用服务之间的网络依赖关系,用于影响分析和故障定位。 |
支持常见应用协议识别 |
无单位 |
CP-CORE-65, CP-CORE-58, CP-CORE-71 |
流量分析和依赖推理算法 |
依赖可能动态变化。 |
在已知服务依赖的网络中运行发现,验证生成的依赖图准确。 |
依赖分析、服务地图 |
|
CP-CORE-91 |
CP虚拟机-控制平面 |
网络风险量化评估 |
|
风险管理函数 |
网络风险量化评估 |
实现定量的风险评估。根据资产重要性、存在的漏洞及面临的威胁,计算风险值,用于优先级排序和风险管理决策。 |
支持FAIR或其他风险模型 |
无单位 |
SEC-003, CP-CORE-87, CP-CORE-88 |
风险计算模型和数据库 |
风险量化模型需定制。 |
输入模拟数据,验证风险分数计算符合模型。 |
风险管理、风险评估 |
|
CP-CORE-92 |
CP虚拟机-控制平面 |
网络自动化工作流引擎 |
|
自动化函数 |
网络自动化工作流执行 |
提供可编排的自动化能力。用户通过图形化或YAML定义工作流,引擎按步骤执行,集成各种南向插件,实现复杂的运维场景自动化。 |
支持常见步骤(SSH, NETCONF, REST API), 错误处理和重试 |
无单位 |
CP-VM-SELF-HEAL-01, CP-CORE-69, MAN-001 |
工作流引擎和插件框架 |
工作流需稳定可靠。 |
定义一个简单工作流(如重启端口),验证能成功执行。 |
工作流自动化、编排 |
|
CP-CORE-93 |
CP虚拟机-控制平面 |
网络配置标准化检查 |
|
配置合规函数 |
网络配置编码标准检查 |
定义内部配置标准(如接口描述格式、ACL命名规则)。自动扫描配置,发现不符合标准的条目,并生成报告。 |
支持自定义标准规则 |
无单位 |
CP-CORE-63, CP-CORE-70, MAN-001 |
配置标准规则库 |
标准需与运维实践一致。 |
对符合/不符合标准的配置进行检查,验证检查结果正确。 |
配置标准、代码规范 |
|
CP-CORE-94 |
CP虚拟机-控制平面 |
网络资源利用率优化 |
|
资源优化函数 |
网络资源利用率分析与优化 |
通过监控数据识别资源利用不均衡的情况,结合业务需求,生成优化建议,提高资源使用效率,降低成本。 |
优化目标(如均衡负载、节省IP) |
无单位 |
UP-POOL-19, CP-CORE-66, CP-CORE-77 |
资源利用数据和优化算法 |
优化需考虑业务约束。 |
对模拟资源数据运行优化分析,验证建议合理。 |
资源优化、利用率管理 |
|
CP-CORE-95 |
CP虚拟机-控制平面 |
网络策略仿真测试 |
|
策略测试函数 |
网络策略单元测试与仿真 |
类似于软件单元测试。为网络策略定义测试用例(输入报文和期望动作),在仿真环境中运行,确保策略正确性。 |
支持测试用例自动化执行 |
无单位 |
CP-VM-POLICY-02, CP-VERIFY-01, DIGITAL-TWIN-01 |
策略测试框架和报文模拟 |
测试用例需覆盖各种场景。 |
为一条ACL编写测试用例,运行仿真,验证结果与预期一致。 |
策略测试、仿真 |
|
CP-CORE-96 |
CP虚拟机-控制平面 |
网络故障预测性维护 |
|
预测性维护函数 |
基于传感器数据的故障预测 |
利用机器学习分析硬件传感器的时间序列数据,识别异常模式,提前预警潜在的硬件故障,以便计划性维护。 |
预测 horizon 天-周, 准确率 > 80% |
天, % |
UP-POOL-25, HW-PHY-01, AI-001 |
传感器数据和预测模型 |
需要历史故障数据进行训练。 |
输入模拟传感器数据,验证预测模型能输出故障概率。 |
预测性维护、机器学习 |
|
CP-CORE-97 |
CP虚拟机-控制平面 |
网络服务健康检查 |
|
服务监控函数 |
网络服务主动健康检查 |
定期对内部和外部服务执行健康检查。支持多种检查协议和自定义脚本。检查失败时告警,并可能触发故障切换。 |
检查间隔 1-5 分钟, 支持多种协议 |
分钟 |
OAM-001, HA-002, IF-CP-AAA-02 |
健康检查执行引擎和协议库 |
检查频率和超时需合理设置。 |
模拟服务故障,验证健康检查能检测到并告警。 |
健康检查、服务监控 |
|
CP-CORE-98 |
CP虚拟机-控制平面 |
网络拓扑可视化 |
|
可视化函数 |
网络拓扑图形化渲染 |
提供直观的网络拓扑图。自动布局节点,用不同颜色和形状表示设备类型和状态,实时更新链路状态和流量。 |
支持力导向等布局算法, 渲染节点数 ≥ 1000 |
个 |
CP-TOPO-01, UP-POOL-15, MAN-002 |
图形渲染库和前端框架 |
需处理大规模拓扑的性能。 |
加载已知拓扑数据,验证能正确、流畅地渲染。 |
数据可视化、图形学 |
|
CP-CORE-99 |
CP虚拟机-控制平面 |
网络报表定制与生成 |
|
报表函数 |
自定义报表生成 |
提供灵活的报表生成功能。用户可通过UI选择报表内容、样式和格式,后台从数据库和监控系统中提取数据,生成并发送报表。 |
支持计划任务和邮件发送 |
无单位 |
MAN-002, CP-CORE-71, CP-CORE-86 |
报表模板引擎和数据查询 |
报表查询可能消耗大量资源。 |
定义一个简单报表,验证能按计划生成并包含正确数据。 |
报表生成、数据分析 |
|
CP-CORE-100 |
CP虚拟机-控制平面 |
网络知识图谱构建 |
|
知识表示函数 |
网络知识图谱构建与查询 |
将网络中的各种元素和关系以图数据库的形式存储。支持复杂的关联查询和推理,用于根因分析、影响评估等高级应用。 |
支持RDF/SPARQL或属性图 |
无单位 |
CP-CORE-65, CP-CORE-90, AI-002 |
图数据库和知识提取 |
知识提取是挑战。 |
对一个小型网络构建知识图谱,验证能正确回答“哪些设备受此链路影响”等查询。 |
知识图谱、图数据库 |
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-101 |
CP虚拟机-路由协议 |
OSPF Hello协议处理 |
|
协议处理函数 |
OSPF Hello报文处理与邻居状态机 |
实现OSPF Hello协议。接收Hello报文,更新邻居数据结构,并发送自己的Hello报文。用于发现邻居并维护双向通信。 |
支持OSPFv2和OSPFv3, Hello间隔 10s (广播)/ 30s (非广播) |
秒 |
CP-CORE-23, CP-005, IF-CP-UP-01 |
OSPF邻居状态机和接口状态机 |
需处理网络类型(广播、点对点、NBMA等)。 |
发送Hello报文,验证邻居关系能正常建立。 |
OSPF协议、邻居发现 |
|
CP-CORE-102 |
CP虚拟机-路由协议 |
OSPF 数据库同步 |
|
协议同步函数 |
OSPF 数据库描述报文交换与LSDB同步 |
在ExStart和Exchange状态下,与邻居交换DD报文,描述自己的LSDB摘要。然后通过LSR和LSU请求和发送完整的LSA,实现LSDB同步。 |
支持隐式确认和重传 |
无单位 |
CP-CORE-23, CP-CORE-101 |
OSPF邻接状态机和LSDB |
需处理大型LSDB的同步效率。 |
模拟与邻居的LSDB同步过程,验证最终LSDB一致。 |
OSPF、数据库同步 |
|
CP-CORE-103 |
CP虚拟机-路由协议 |
OSPF 区域边界路由器(ABR)处理 |
|
路由传播函数 |
OSPF ABR区域间路由处理 |
实现ABR功能。将非骨干区域的路由汇总为Summary LSA(Type 3)发布到骨干区域,并将骨干区域的路由发布到非骨干区域。 |
支持多个区域连接 |
无单位 |
CP-CORE-23, CP-CORE-25, CP-CORE-24 |
区域LSDB和路由计算 |
需防止区域间环路。 |
配置ABR,验证区域间路由正确传播。 |
OSPF、区域间路由 |
|
CP-CORE-104 |
CP虚拟机-路由协议 |
OSPF 存根区域处理 |
|
路由优化函数 |
OSPF 存根区域外部路由过滤 |
实现存根区域功能。不接收AS外部LSA,从而减少LSDB大小。ABR向存根区域内下发默认路由(0.0.0.0/0)。 |
支持存根、完全存根、NSSA |
无单位 |
CP-CORE-23, CP-CORE-103 |
区域配置和LSA过滤 |
需与邻居协商存根区域选项。 |
在存根区域配置下,验证外部路由被阻断,默认路由存在。 |
OSPF、存根区域 |
|
CP-CORE-105 |
CP虚拟机-路由协议 |
OSPF 虚链路状态机 |
|
协议状态机函数 |
OSPF 虚链路状态机 |
实现虚链路的建立和维护。通过虚链路穿越非骨干区域连接骨干区域,其状态机类似于普通接口,但有特殊处理。 |
支持虚链路认证和参数调整 |
无单位 |
CP-CORE-26, CP-CORE-101 |
虚链路配置和状态机 |
虚链路是临时解决方案,不建议长期使用。 |
配置虚链路,验证骨干区域连通性恢复。 |
OSPF、虚链路 |
|
CP-CORE-106 |
CP虚拟机-路由协议 |
IS-IS Hello协议处理 |
|
协议处理函数 |
IS-IS Hello报文处理与邻接关系维护 |
实现IS-IS的邻接发现和维护。通过IIH报文发现邻居,并协商参数(如层级、系统ID、保持时间)。 |
支持Level-1和Level-2, Hello间隔 10s |
秒 |
CP-CORE-27, CP-005, IF-CP-UP-01 |
IS-IS邻接状态机和电路状态机 |
需处理点到点和广播网络类型。 |
发送IIH报文,验证邻接关系能正常建立。 |
IS-IS协议、邻居发现 |
|
CPORE-107 |
CP虚拟机-路由协议 |
IS-IS 数据库同步 |
|
协议同步函数 |
IS-IS 完全序列号PDU和部分序列号PDU交换 |
在广播网络中,通过指定中间系统(DIS)发送CSNP摘要;在点到点网络中,双方交换CSNP。用PSNP请求缺失的LSP。 |
支持LSP的可靠泛洪 |
无单位 |
CP-CORE-27, CP-CORE-106 |
IS-IS邻接状态机和LSDB |
需处理LSP的泛洪和老化。 |
模拟与邻居的LSDB同步过程,验证最终LSDB一致。 |
IS-IS、数据库同步 |
|
CP-CORE-108 |
CP虚拟机-路由协议 |
IS-IS 区域间路由泄露 |
|
路由优化函数 |
IS-IS 层级间路由泄露 |
实现IS-IS的路由泄露功能。通过设置LSP中的上/下位(up/down)位,控制路由泄露的方向,避免环路。 |
支持基于前缀列表的泄露策略 |
无单位 |
CP-CORE-29, CP-CORE-16, CP-CORE-28 |
路由策略和LSP生成 |
需谨慎使用,避免环路。 |
配置路由泄露,验证跨层级路由可达性。 |
IS-IS、路由泄露 |
|
CP-CORE-109 |
CP虚拟机-路由协议 |
BGP 路由反射器客户机处理 |
|
协议扩展函数 |
BGP 路由反射器客户机路由处理 |
实现路由反射器对客户机路由的特殊处理。从客户机学到的路由,反射给所有非客户机和其他客户机(除起源客户机)。 |
支持集群列表和起源者ID |
无单位 |
CP-CORE-19, CP-CORE-13, CP-CORE-16 |
路由反射器配置和反射规则 |
需防止路由环路。 |
在RR场景下,验证客户机路由被正确反射。 |
BGP、路由反射 |
|
CP-CORE-110 |
CP虚拟机-路由协议 |
BGP 联盟成员AS处理 |
|
协议扩展函数 |
BGP 联盟成员AS间路由处理 |
在联盟内部,成员AS之间运行eBGP,但AS_PATH中记录的是成员AS号,对外隐藏内部结构。需特殊处理AS_PATH属性和下一跳。 |
支持联盟AS_PATH分段 |
无单位 |
CP-CORE-20, CP-CORE-18, CP-CORE-16 |
联盟配置和AS_PATH处理 |
需正确剥离和添加联盟AS_PATH。 |
在联盟内成员AS间建立会话,验证路由传播和AS_PATH处理正确。 |
BGP、联盟 |
|
CP-CORE-111 |
CP虚拟机-路由协议 |
BGP 多协议扩展(MP-BGP) |
|
协议扩展函数 |
BGP 多协议扩展NLRI处理 |
实现RFC 4760。通过能力协商支持不同的地址族(Address Family)和后续地址族(Subsequent Address Family)。解析和发布相应的NLRI。 |
支持VPNv4/v6, EVPN等 |
无单位 |
CP-CORE-18, CP-CORE-13, CP-005 |
BGP能力协商和NLRI解析 |
需为每个地址族维护独立的路由表。 |
建立MP-BGP会话,交换IPv6路由,验证能正确学习。 |
MP-BGP、地址族 |
|
CP-CORE-112 |
CP虚拟机-路由协议 |
BGP 路由刷新 |
|
协议扩展函数 |
BGP 路由刷新能力 |
实现RFC 2918。支持路由刷新能力。当收到路由刷新请求时,重新向对等体发送指定地址族的全部路由。 |
支持按地址族刷新 |
无单位 |
CP-CORE-111, CP-CORE-16 |
BGP能力协商和路由表 |
需避免频繁刷新导致负担。 |
发送路由刷新请求,验证对等体能重新发送路由。 |
BGP、路由刷新 |
|
CP-CORE-113 |
CP虚拟机-路由协议 |
BGP 优雅重启 |
|
可靠性函数 |
BGP 优雅重启能力 |
实现RFC 4724。支持优雅重启能力。在重启前通知对等体,重启后快速重建会话并接收路由,期间对等体保留收到的路由。 |
重启时间 通常 < 90s |
秒 |
HA-001, CP-CORE-17, IF-CP-UP-12 |
BGP能力协商和重启通知 |
需对等体也支持优雅重启。 |
模拟BGP进程重启,验证会话能优雅恢复,路由不中断。 |
BGP、高可用 |
|
CP-CORE-114 |
CP虚拟机-路由协议 |
BGP 追加路径(Add-Path) |
|
协议扩展函数 |
BGP 追加路径能力 |
实现RFC 7911。支持发送和接收同一前缀的多条路径,每条路径有独立的路径标识符。用于提高收敛速度和实现更细粒度负载均衡。 |
支持发送/接收路径数 2-4 |
条 |
CP-CORE-21, CP-CORE-13, CP-CORE-14 |
BGP能力协商和路径标识符管理 |
需协商Add-Path能力。 |
配置Add-Path,验证能同时学习并下发同一前缀的多条路径。 |
BGP、追加路径 |
|
CP-CORE-115 |
CP虚拟机-路由协议 |
BGP 链路带宽扩展 |
|
协议扩展函数 |
BGP 链路带宽扩展 |
实现draft-ietf-idr-link-bandwidth。通过特定的扩展团体属性传递链路带宽信息,接收方可根据带宽比例在多条EBGP路径间负载均衡。 |
支持带宽值编码 |
无单位 |
CP-CORE-18, UP-013, CP-CORE-16 |
团体属性和负载均衡策略 |
需对等体支持并发送此属性。 |
配置链路带宽扩展,验证负载均衡比例与带宽成比例。 |
BGP、负载均衡 |
|
CP-CORE-116 |
CP虚拟机-路由协议 |
BGP 流规格(Flowspec) |
|
安全扩展函数 |
BGP 流规格规则安装与执行 |
实现RFC 5575。解析流规格NLRI中的匹配条件和动作,编译为设备特定的ACL或策略,并下发到数据平面。 |
支持常见匹配组件和动作(如丢弃、重定向) |
无单位 |
CP-CORE-22, SEC-003, IF-CP-UP-05 |
流规格NLRI解析和策略编译 |
规则需高效编译,避免性能影响。 |
接收一条流规格规则,验证对应的流量被过滤或重定向。 |
BGP Flowspec、安全策略 |
|
CP-CORE-117 |
CP虚拟机-路由协议 |
RIP 路由处理 |
|
路由协议函数 |
RIP 路由更新处理 |
实现RIPv1/v2。接收邻居的路由更新,更新本地路由表,并定期发送完整路由表或触发更新。 |
最大跳数 15, 更新间隔 30s |
秒 |
CP-005, CP-CORE-13, CP-CORE-14 |
RIP邻居表和路由表 |
RIP已逐步被OSPF等替代。 |
发送RIP更新,验证路由能正确学习。 |
RIP协议、距离矢量 |
|
CP-CORE-118 |
CP虚拟机-路由协议 |
RIPng IPv6路由处理 |
|
路由协议函数 |
RIPng IPv6路由更新处理 |
实现RFC 2080。为IPv6设计的距离矢量路由协议。通过UDP 521端口通信,最大跳数15。 |
支持IPv6前缀 |
无单位 |
CP-005, CP-CORE-13, CP-CORE-14 |
RIPng邻居表和IPv6路由表 |
同样较少使用。 |
发送RIPng更新,验证IPv6路由能正确学习。 |
RIPng、IPv6路由 |
|
CP-CORE-119 |
CP虚拟机-路由协议 |
EIGRP 协议处理 |
|
路由协议函数 |
EIGRP 报文处理与DUAL算法 |
实现EIGRP协议。维护邻居表、拓扑表和路由表。通过DUAL(扩散更新算法)计算最优无环路径。 |
支持复合度量(带宽、延迟、可靠性、负载) |
无单位 |
CP-005, CP-CORE-13, CP-CORE-14 |
EIGRP邻居状态机和DUAL算法 |
思科私有协议,需授权。 |
发送EIGRP报文,验证邻居关系和路由计算正确。 |
EIGRP、DUAL算法 |
|
CP-CORE-120 |
CP虚拟机-路由协议 |
路由策略语言编译器 |
|
编译器函数 |
路由策略语言编译 |
实现一个路由策略编译器。将用户编写的策略语句(如匹配条件、修改动作)编译为内部数据结构,供策略引擎执行。 |
支持常见匹配条件和动作 |
无单位 |
CP-CORE-16, CP-VM-POLICY-01 |
策略语言语法和语义分析 |
编译器需健壮,报错友好。 |
编写策略,编译并应用到路由,验证行为符合预期。 |
编译器、策略语言 |
|
CP-CORE-121 |
CP虚拟机-路由协议 |
路由映射表应用 |
|
策略执行函数 |
路由映射表匹配与动作执行 |
实现路由映射表。一个路由映射表包含多个序列号的子句,每个子句有匹配条件和设置动作。用于精细控制路由引入、发布和属性修改。 |
支持多个match和set语句 |
无单位 |
CP-CORE-16, CP-CORE-120 |
路由映射表数据结构和匹配引擎 |
路由映射表应用广泛但配置复杂。 |
配置路由映射表,验证路由经过后属性被修改。 |
路由映射、策略 |
|
CP-CORE-122 |
CP虚拟机-CP-UP协议 |
南向接口通道建立 |
|
通道管理函数 |
CP-UP 南向控制通道建立 |
实现CP与UP之间的通信通道建立。包括传输层连接、身份认证(如证书)、加密(TLS)和能力协商。 |
支持多种传输协议, 连接建立时间 < 5s |
秒 |
IF-CP-UP-01, IF-CP-UP-11, CP-VM-AUTH-01 |
传输协议栈和认证库 |
通道需高可用,支持重连。 |
模拟UP上线,验证通道能成功建立。 |
南向接口、通道管理 |
|
CP-CORE-123 |
CP虚拟机-CP-UP协议 |
南向接口消息序列化 |
|
序列化函数 |
CP-UP 消息序列化与反序列化 |
实现高效的消息序列化。选择紧凑的编码格式,减少传输开销,提高吞吐量。支持多种消息类型。 |
支持Protobuf, 序列化/反序列化延迟 < 1 ms |
毫秒 |
IF-CP-UP-01, IF-CP-UP-02, IF-CP-UP-03 |
序列化库和消息定义 |
前后版本兼容性需考虑。 |
序列化一个复杂消息,然后反序列化,验证数据无损。 |
序列化、编码 |
|
CP-CORE-124 |
CP虚拟机-CP-UP协议 |
南向接口消息路由 |
|
消息路由函数 |
CP-UP 消息路由与分发 |
当CP有多个UP连接时,需要将消息正确路由到目标UP。维护UP连接表,支持点对点、组播(到UP组)和广播(到所有UP)消息。 |
路由延迟 < 1 ms |
毫秒 |
IF-CP-UP-01, IF-CP-UP-02, UP-POOL-01 |
UP连接管理表和路由逻辑 |
需处理UP连接断开情况。 |
向特定UP发送消息,验证能正确送达。 |
消息路由、连接管理 |
|
CP-CORE-125 |
CP虚拟机-CP-UP协议 |
南向接口事务管理 |
|
事务管理函数 |
CP-UP 分布式事务管理 |
实现类似两阶段提交的事务。用于需要多个UP同时生效的配置变更。协调者(CP)准备、提交/回滚,参与者(UP)执行。 |
支持超时和重试 |
无单位 |
IF-CP-UP-02, CP-UP-BATCH-01, HA-POOL-3+1-01 |
事务状态机和日志 |
事务会阻塞,需设置合理超时。 |
执行一个跨UP的事务,验证原子性。 |
分布式事务、两阶段提交 |
|
CP-CORE-126 |
CP虚拟机-CP-UP协议 |
南向接口配置校验点 |
|
配置管理函数 |
UP 配置校验点创建与回滚 |
实现配置快照功能。在UP上保存当前配置的检查点,当新配置出现问题时可快速回滚到此检查点,减少业务中断时间。 |
创建和回滚时间 < 5s |
秒 |
IF-CP-UP-10, CP-CORE-48, MAN-001 |
UP的配置检查点支持 |
需UP硬件/软件支持保存多个配置版本。 |
创建检查点,修改配置,然后回滚,验证配置恢复。 |
配置快照、回滚 |
|
CP-CORE-127 |
CP虚拟机-CP-UP协议 |
南向接口批量操作优化 |
|
优化函数 |
CP-UP 批量操作优化 |
在将批量操作下发给UP前,进行优化。例如,合并对同一表项的多次更新,重排操作顺序以减少临时冲突。 |
优化后操作数减少 10-30% |
% |
IF-CP-UP-02, NP-OPT-02, CP-CORE-3 |
操作依赖分析和优化算法 |
优化需保证语义不变。 |
给出一批操作,验证优化后逻辑等效且更高效。 |
批量处理、优化 |
|
CP-CORE-128 |
CP虚拟机-CP-UP协议 |
南向接口带内网络遥测配置 |
|
遥测配置函数 |
CP-UP 带内网络遥测配置下发 |
通过南向接口(如P4 Runtime)动态配置UP的INT功能。指定对哪些流进行INT,以及收集哪些元数据。 |
支持灵活配置, 下发延迟 < 100 ms |
毫秒 |
OAM-ADV-01, IF-CP-UP-08, SW-MON-01 |
INT配置模型和南向接口 |
需UP支持INT和可编程流水线。 |
下发INT配置,发送流量,验证INT数据被正确收集。 |
带内遥测、配置 |
|
CP-CORE-129 |
CP虚拟机-CP-UP协议 |
南向接口事件订阅 |
|
事件订阅函数 |
CP-UP 事件订阅与发布 |
实现发布-订阅模式。CP订阅感兴趣的事件,UP在事件发生时主动推送,减少CP轮询开销。 |
支持多种事件类型, 订阅/取消订阅 |
无单位 |
IF-CP-UP-01, CP-UP-EVENT-01, MAN-005 |
事件订阅管理和消息格式 |
需防事件风暴。 |
订阅端口事件,模拟端口变化,验证收到事件通知。 |
发布订阅、事件驱动 |
|
CP-CORE-130 |
CP虚拟机-CP-UP协议 |
南向接口连接健康检查 |
|
健康检查函数 |
CP-UP 控制通道健康监控 |
实现通道级的健康检查。通过心跳报文检测连接存活,测量延迟和丢包,及时发现故障通道并尝试恢复。 |
心跳间隔 1-3 s, 超时 3-5倍 |
秒 |
IF-CP-UP-12, HA-002, UP-POOL-03 |
心跳机制和健康评估算法 |
心跳频率需平衡及时性和开销。 |
模拟通道故障,验证健康检查能检测到并触发重连。 |
健康检查、心跳 |
|
CP-CORE-131 |
CP虚拟机-AAA协议 |
RADIUS 协议栈 |
|
协议栈函数 |
RADIUS 客户端协议栈 |
实现RFC 2865/2866。提供完整的RADIUS客户端功能,包括报文构造、重传、超时、响应验证和属性解析。 |
支持多种属性, 重传机制 |
无单位 |
IF-CP-AAA-01, IF-CP-AAA-02, SEC-002 |
RADIUS协议库和加密库 |
需处理网络抖动和服务器故障。 |
与RADIUS服务器交互,完成认证流程。 |
RADIUS协议、AAA |
|
CP-CORE-132 |
CP虚拟机-AAA协议 |
RADIUS 属性字典 |
|
数据字典函数 |
RADIUS 属性字典管理 |
维护标准的和厂商私有的RADIUS属性字典。用于正确解析和构造RADIUS报文中的属性。 |
支持标准属性和常见厂商属性 |
无单位 |
IF-CP-AAA-01, IF-CP-AAA-06 |
属性字典文件 |
字典需可扩展。 |
查询属性字典,验证返回正确的属性信息。 |
RADIUS、数据字典 |
|
CP-CORE-133 |
CP虚拟机-AAA协议 |
RADIUS 报文签名验证 |
|
安全验证函数 |
RADIUS 报文完整性验证 |
实现RFC 2869中的Message-Authenticator机制。计算和验证RADIUS报文的HMAC-MD5签名,确保报文完整性。 |
支持HMAC-MD5 |
无单位 |
IF-CP-AAA-01, SEC-002 |
加密库和HMAC计算 |
共享密钥需安全存储。 |
构造带签名的响应,验证能正确校验。 |
RADIUS、安全 |
|
CP-CORE-134 |
CP虚拟机-AAA协议 |
RADIUS 动态授权变更 |
|
动态授权函数 |
RADIUS CoA/Disconnect-Request服务器 |
实现RFC 5176。监听UDP端口,接收CoA/Disconnect请求,验证后执行对指定用户会话的修改(如中断连接、更改授权)。 |
支持标准CoA命令 |
无单位 |
IF-CP-AAA-01, IF-CP-AAA-COA-01, BRAS-POOL-05 |
CoA服务器和会话管理 |
需严格验证请求合法性。 |
发送CoA请求,验证用户会话被实时修改。 |
RADIUS CoA、动态授权 |
|
CP-CORE-135 |
CP虚拟机-AAA协议 |
TACACS+ 协议栈 |
|
协议栈函数 |
TACACS+ 客户端协议栈 |
实现TACACS+协议。与RADIUS不同,TACACS+使用TCP,将认证、授权、计费分离,支持更细粒度的授权。 |
支持TACACS+ v1.78, 加密方式 MD5 |
无单位 |
IF-CP-AAA-01, SEC-002, IF-CP-AAA-02 |
TACACS+协议库 |
思科设备常用,逐渐被RADIUS取代。 |
与TACACS+服务器交互,完成认证授权。 |
TACACS+、AAA |
|
CP-CORE-136 |
CP虚拟机-AAA协议 |
TACACS+ 授权检查 |
|
授权函数 |
TACACS+ 命令授权 |
实现TACACS+授权。对于管理员的每条命令(如CLI命令),可向TACACS+服务器发送授权请求,根据返回决定是否允许执行。 |
支持命令参数级授权 |
无单位 |
IF-CP-AAA-01, SEC-001, CP-CORE-50 |
TACACS+授权请求/响应 |
需缓存授权结果以提高效率。 |
尝试执行命令,验证授权检查生效。 |
TACACS+、命令授权 |
|
CP-CORE-137 |
CP虚拟机-AAA协议 |
Diameter 协议栈 |
|
协议栈函数 |
Diameter 基础协议栈 |
实现RFC 6733。Diameter是RADIUS的下一代协议,更灵活、安全。支持TCP/SCTP,具备更好的扩展性和可靠性。 |
支持多种应用, 如NASREQ, EAP |
无单位 |
IF-CP-AAA-01, SEC-002, IF-CP-EXT-01 |
Diameter协议栈库 |
复杂,常用于移动网络。 |
建立Diameter会话,交换能力协商消息。 |
Diameter、AAA |
|
CP-CORE-138 |
CP虚拟机-AAA协议 |
Diameter 信用控制 |
|
计费控制函数 |
Diameter 信用控制应用 |
实现RFC 4006。在用户使用服务过程中,实时与计费系统交互,检查余额、预留额度并报告使用量。 |
支持多种计费模型 |
无单位 |
CP-012, IF-CP-AAA-05, IF-CP-AAA-03 |
信用控制状态机 |
需高可靠,避免计费错误。 |
模拟信用控制会话,验证与OCS交互正确。 |
Diameter、在线计费 |
|
CP-CORE-139 |
CP虚拟机-AAA协议 |
EAP 认证方法处理 |
|
认证扩展函数 |
EAP 认证方法处理 |
实现RFC 3748。EAP是认证框架,支持多种认证方法。CP作为认证者,与AAA服务器和客户端协作完成EAP认证。 |
支持常见EAP方法 |
无单位 |
IF-CP-AAA-01, SEC-002, CP-VM-AUTH-01 |
EAP状态机和各方法实现 |
方法实现复杂,特别是EAP-TLS。 |
使用EAP-TLS进行认证,验证能成功。 |
EAP、认证 |
|
CP-CORE-140 |
CP虚拟机-AAA协议 |
802.1X 端口访问控制 |
|
端口安全函数 |
IEEE 802.1X 端口访问控制 |
实现802.1X协议。在端口上监听EAPOL帧,与客户端和认证服务器(RADIUS)交互,控制端口处于授权或未授权状态。 |
支持单主机和多主机模式 |
无单位 |
SEC-001, IF-CP-AAA-01, UP-MAC-01 |
EAPOL状态机和端口控制 |
需与数据平面协同控制端口转发。 |
模拟802.1X客户端,验证认证成功前后端口状态变化。 |
802.1X、端口安全 |
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-141 |
vBRAS CP-业务功能 |
PPPoE服务器状态机 |
|
协议状态机函数 |
PPPoE 服务器端协议状态机 |
实现RFC 2516。为每个PPPoE客户端维护一个状态机,处理发现阶段和数据会话阶段的各种报文和事件,确保协议流程正确。 |
支持PPPoEoE和PPPoEoA, 状态转换正确率 100% |
无单位 |
UP-PPPoE-01, UP-PPPoE-02, IF-CP-UP-01 |
PPPoE报文解析和会话管理 |
需处理超时、重传和异常报文。 |
模拟PPPoE客户端完整流程,验证状态机转换和会话建立符合RFC。 |
PPPoE、状态机 |
|
CP-CORE-142 |
vBRAS CP-业务功能 |
PPP LCP协商 |
|
协议协商函数 |
PPP 链路控制协议协商 |
实现RFC 1661。与客户端进行LCP协商,确定链路参数。支持魔术字冲突检测、回显请求/应答(LCP Echo)用于链路检测。 |
支持常见LCP选项, 协商延迟 < 100 ms |
毫秒 |
UP-PPPoE-02, CP-CORE-141, IF-CP-AAA-01 |
LCP选项解析和协商逻辑 |
需处理配置拒绝和重新协商。 |
模拟LCP协商过程,验证参数协商正确。 |
PPP、LCP |
|
CP-CORE-143 |
vBRAS CP-业务功能 |
PPP PAP/CHAP认证 |
|
认证协议函数 |
PPP PAP/CHAP 认证处理 |
实现RFC 1334/1994。PAP为明文密码,CHAP为挑战-响应。CP从PPP报文提取凭据,通过RADIUS与AAA服务器交互,返回认证结果。 |
支持PAP, CHAP, MS-CHAPv2 |
无单位 |
IF-CP-AAA-01, CP-CORE-141, SEC-002 |
PAP/CHAP协议栈和AAA集成 |
PAP不安全,应优先使用CHAP。 |
使用PAP和CHAP分别认证,验证成功/失败处理正确。 |
PPP、认证 |
|
CP-CORE-144 |
vBRAS CP-业务功能 |
PPP IPCP协商 |
|
地址分配函数 |
PPP IP控制协议协商 |
实现RFC 1332。与客户端协商IP地址、主/从DNS服务器地址。CP可从地址池分配IP,或从DHCP获取。 |
支持IP地址、DNS协商, 支持IP压缩协议(VJ) |
无单位 |
IF-CP-DHCP-01, CP-011, CP-CORE-141 |
IPCP选项处理和地址分配逻辑 |
需处理地址冲突和重新协商。 |
模拟IPCP协商,验证客户端获得正确IP和DNS。 |
PPP、IPCP |
|
CP-CORE-145 |
vBRAS CP-业务功能 |
PPP IPv6CP协商 |
|
协议协商函数 |
PPP IPv6控制协议协商 |
实现RFC 5072。协商IPv6接口标识符,用于构建链路本地地址,是IPv6在PPP链路上运行的前提。 |
支持接口标识符协商 |
无单位 |
CP-CORE-141, UP-IPoE-07, IF-CP-DHCP-01 |
IPv6CP选项处理 |
IPv6CP相对简单。 |
模拟IPv6CP协商,验证接口标识符协商成功。 |
PPP、IPv6CP |
|
CP-CORE-146 |
vBRAS CP-业务功能 |
IPoE用户接入认证 |
|
认证函数 |
IPoE 用户接入认证 |
在DHCP或ARP触发时,对用户进行认证。支持Web认证、MAC认证、802.1X认证等。与AAA服务器交互决定是否允许接入。 |
支持MAC+端口+VLAN绑定认证 |
无单位 |
UP-IPoE-02, IF-CP-AAA-01, SEC-001 |
用户标识提取和AAA集成 |
需处理未认证用户的流量隔离。 |
模拟IPoE用户接入,验证认证流程正确。 |
IPoE、认证 |
|
CP-CORE-147 |
vBRAS CP-业务功能 |
DHCP服务器功能 |
|
DHCP服务器函数 |
DHCPv4/v6 服务器协议处理 |
实现RFC 2131/8415。维护地址池,处理客户端请求,分配IP地址、租期、网关、DNS等选项。支持动态、静态地址分配。 |
支持DHCPv4, DHCPv6, 地址池管理 |
无单位 |
IF-CP-DHCP-01, CP-011, UP-IPoE-02 |
DHCP协议状态机和地址池 |
需防御DHCP攻击。 |
模拟DHCP客户端,验证能获得IP地址。 |
DHCP、地址分配 |
|
CP-CORE-148 |
vBRAS CP-业务功能 |
DHCP中继功能 |
|
DHCP中继函数 |
DHCPv4/v6 中继协议处理 |
实现RFC 3046/6221。在客户端和服务器之间中继DHCP报文。插入giaddr和Option 82(电路信息),帮助服务器识别客户端位置。 |
支持Option 82添加和剥离 |
无单位 |
IF-CP-DHCP-01, UP-IPoE-02, IF-CP-DHCP-03 |
中继状态机和报文修改逻辑 |
需正确处理giaddr和Option 82。 |
配置DHCP中继,验证客户端能通过中继获得地址。 |
DHCP、中继 |
|
CP-CORE-149 |
vBRAS CP-业务功能 |
DHCP Snooping安全 |
|
安全学习函数 |
DHCP Snooping 绑定表动态学习 |
实现DHCP Snooping。在非信任端口监听DHCP交互,在收到ACK时学习绑定关系。信任端口连接合法DHCP服务器。 |
绑定表容量 16K - 64K |
条 |
IF-CP-DHCP-05, SEC-004, UP-IPoE-06 |
DHCP报文监听和绑定表管理 |
需区分信任和非信任端口。 |
模拟DHCP交互,验证绑定表学习正确。 |
DHCP Snooping、安全 |
|
CP-CORE-150 |
vBRAS CP-业务功能 |
IPoE会话管理 |
|
会话管理函数 |
IPoE 用户会话全生命周期管理 |
为每个通过DHCP或静态配置上线的IPoE用户创建一个会话。记录用户标识、IP地址、上线时间、流量统计等,并支持会话老化。 |
会话容量 1M, 老化时间可配 |
个 |
UP-IPoE-03, CP-012, IF-CP-DHCP-04 |
会话数据库和定时器 |
需处理DHCP租约与会话的同步。 |
模拟IPoE用户上下线,验证会话状态正确。 |
IPoE、会话管理 |
|
CP-CORE-151 |
vBRAS CP-业务功能 |
用户流量统计与计费 |
|
计费统计函数 |
每用户实时流量统计与计费触发 |
从UP接收用户流量采样或计数器,累加到会话的流量统计中。当流量增量或时间达到阈值时,生成计费记录并上报AAA。 |
统计精度 字节, 计费更新间隔 1分钟/1MB |
字节, 分钟 |
CP-012, IF-CP-AAA-03, NP-vBRAS-05 |
流量计数器和阈值检测 |
需防止计数器回绕和丢失。 |
发送已知流量,验证计费记录准确。 |
流量统计、计费 |
|
CP-CORE-152 |
vBRAS CP-业务功能 |
用户在线时长管理 |
|
时长管理函数 |
用户在线时长计算与管理 |
记录会话开始时间,定时计算已在线时长。可用于基于时长的计费,并在会话超时时触发下线。 |
时长计算精度 秒 |
秒 |
CP-012, IF-CP-AAA-03, CP-CORE-150 |
时间戳管理和定时器 |
需处理系统时间跳变。 |
创建会话,等待一段时间,验证时长计算正确。 |
时长管理、计费 |
|
CP-CORE-153 |
vBRAS CP-业务功能 |
用户带宽限制 |
|
带宽控制函数 |
用户级带宽策略下发与执行 |
从AAA或本地策略获取用户的带宽模板(CIR/PIR)。通过CP-UP接口下发限速策略(如 policing, shaping)到承载该用户的UP节点。 |
限速精度 1 kbps, 支持双向独立限速 |
kbps |
UP-IPoE-05, BRAS-POOL-05, IF-CP-UP-02 |
带宽策略模型和下发 |
需处理用户迁移时的策略迁移。 |
为用户配置限速,发送流量,验证速率被限制。 |
QoS、带宽控制 |
|
CP-CORE-154 |
vBRAS CP-业务功能 |
用户并发会话数限制 |
|
并发控制函数 |
用户并发会话数限制 |
在用户认证时检查该用户当前在线的会话数,如果达到上限,则拒绝新会话建立。支持全局和每接入点限制。 |
最大会话数 1-255 可配 |
个 |
IF-CP-AAA-01, CP-CORE-150, CP-VM-MULTI-TENANT-01 |
用户会话计数和检查 |
需考虑漫游和跨设备场景。 |
同一用户尝试建立超出限制的会话,验证新会话被拒绝。 |
并发控制、资源管理 |
|
CP-CORE-155 |
vBRAS CP-业务功能 |
用户访问控制列表 |
|
安全策略函数 |
用户级动态ACL下发 |
从AAA或本地策略获取用户相关的ACL策略(如 permit/deny 规则)。编译为硬件ACL规则,下发到UP,在用户流量入口或出口执行。 |
支持基于五元组的ACL规则 |
无单位 |
UP-ACL-01, SEC-003, IF-CP-UP-05 |
ACL策略编译和下发 |
ACL规则需高效,避免影响转发性能。 |
为用户配置ACL,尝试访问被禁止的资源,验证被阻止。 |
ACL、安全策略 |
|
CP-CORE-156 |
vBRAS CP-业务功能 |
URL重定向与推送 |
|
内容控制函数 |
HTTP 流量重定向与推送 |
对未认证或需要推送消息的用户,拦截其HTTP请求(80端口),返回302重定向到指定URL。支持HTTPS的透明拦截(可能需证书)。 |
支持基于用户状态的重定向 |
无单位 |
CP-022, SEC-003, IF-CP-EXT-03 |
HTTP拦截和重定向引擎 |
HTTPS重定向需小心处理。 |
未认证用户上网,验证被重定向到门户。 |
URL重定向、门户推送 |
|
CP-CORE-157 |
vBRAS CP-业务功能 |
用户组策略继承 |
|
策略继承函数 |
多级用户组策略继承与合并 |
支持灵活的策略继承模型。用户关联多个组,每个组有独立的策略模板(带宽、ACL、重定向)。策略按优先级合并,冲突时高优先级覆盖。 |
支持组嵌套, 继承层级 ≤ 5 |
层 |
IF-CP-AAA-06, BRAS-POOL-05, CP-VM-CORE-03 |
组策略数据库和合并算法 |
合并逻辑需清晰,避免策略混乱。 |
为用户配置多个组策略,验证最终生效策略是正确合并。 |
策略继承、组管理 |
|
CP-CORE-158 |
vBRAS CP-业务功能 |
用户漫游支持 |
|
移动性函数 |
用户跨接入点无缝漫游 |
支持用户在同一BRAS内或跨BRAS漫游。当用户在新位置上线时,识别为同一用户,迁移原有会话和IP地址,实现业务不中断。 |
漫游切换时间 < 1s (层二漫游) |
秒 |
UP-IPoE-03, UP-PPPoE-01, CP-CORE-150 |
用户身份识别和会话迁移 |
需快速检测用户位置变化。 |
模拟用户从位置A移动到B,验证会话保持,IP不变。 |
移动性、漫游 |
|
CP-CORE-159 |
vBRAS CP-业务功能 |
家长控制时间策略 |
|
时间策略函数 |
基于时间表的家长控制 |
为每个用户或用户组配置允许上网的时间段。在非允许时间段,自动将用户下线或应用阻止策略。 |
支持按天/小时配置, 策略生效延迟 < 1分钟 |
分钟 |
SEC-003, CP-CORE-150, CP-VM-FUNC-02 |
时间策略解析和定时器 |
需处理时区和夏令时。 |
配置时间策略,在非允许时间尝试上网,验证被阻止。 |
家长控制、时间策略 |
|
CP-CORE-160 |
vBRAS CP-可靠性功能 |
主备CP状态同步 |
|
状态同步函数 |
主备CP 关键状态实时同步 |
实现CP高可用性的状态同步。通过可靠通道(如专用心跳网络),将内存中的会话状态、配置变更等增量同步到备用节点。 |
同步延迟 < 100 ms, RPO ≈ 0 |
毫秒 |
HA-001, CP-015, IF-CP-UP-04 |
状态序列化和可靠传输 |
需处理同步风暴和断点续传。 |
主CP上创建大量会话,模拟主备切换,验证备用CP接管后会话完整。 |
高可用、状态同步 |
|
CP-CORE-161 |
vBRAS CP-可靠性功能 |
CP集群负载均衡 |
|
负载均衡函数 |
CP 集群负载均衡与连接分发 |
通过负载均衡器(硬件或软件)将UP的南向连接分发到多个CP节点。基于CP节点的负载(CPU、内存、会话数)动态调整。 |
负载不均匀性 < 10% |
% |
UP-POOL-02, HA-002, IF-CP-UP-12 |
负载均衡算法和健康检查 |
需支持会话亲和性。 |
模拟大量UP连接,验证连接被均衡分发到各CP节点。 |
负载均衡、集群 |
|
CP-CORE-162 |
vBRAS CP-可靠性功能 |
CP脑裂检测与仲裁 |
|
仲裁算法 |
CP 集群脑裂检测与仲裁 |
实现分布式共识(如Paxos, Raft)或基于第三方仲裁(如仲裁磁盘、仲裁服务)。当网络分区时,只有拥有多数派的分区能继续工作。 |
仲裁时间 < 5s |
秒 |
HA-001, CP-026, CP-DIST-SYNC-01 |
心跳机制和法定人数服务 |
需防止误仲裁导致服务中断。 |
模拟网络分区,验证只有一个分区能继续服务。 |
脑裂、仲裁 |
|
CP-CORE-163 |
vBRAS CP-可靠性功能 |
配置事务与回滚 |
|
配置管理函数 |
配置变更事务性保证 |
支持配置事务。在事务开始后,所有配置变更先写入临时区。提交时原子生效;回滚时丢弃所有未提交变更。 |
事务支持嵌套, 回滚成功率 100% |
无单位 |
CP-013, IF-CP-UP-02, CP-CORE-70 |
配置事务管理器和日志 |
需处理长事务和超时。 |
在一个事务中执行多个配置变更,模拟提交和回滚,验证配置状态正确。 |
事务、配置管理 |
|
CP-CORE-164 |
vBRAS CP-可靠性功能 |
服务进程监控与重启 |
|
进程管理函数 |
关键服务进程健康监控与自动恢复 |
实现看门狗机制。定期检查进程是否存活、是否响应。当检测到故障时,尝试重启进程,并记录日志。 |
检测间隔 5-30s, 重启次数限制 |
秒 |
SYS-002, CP-019, HA-002 |
进程监控和重启机制 |
避免频繁重启导致雪崩。 |
模拟进程崩溃,验证被自动重启。 |
进程监控、自愈 |
|
CP-CORE-165 |
vBRAS CP-可靠性功能 |
数据库定期备份 |
|
数据备份函数 |
关键数据库定时自动备份 |
实现备份策略。将数据库导出为文件,通过SFTP/SCP传输到备份服务器。支持压缩、加密和保留多个备份版本。 |
备份窗口 < 1小时 (对于1GB数据), 保留版本 7-30 |
小时, 个 |
CP-013, CP-CORE-48, SEC-006 |
备份调度器和传输模块 |
备份文件需加密和验证完整性。 |
触发备份任务,验证备份文件成功创建并可恢复。 |
数据备份、灾难恢复 |
|
CP-CORE-166 |
vBRAS CP-可靠性功能 |
优雅重启(Graceful Restart) |
|
重启管理函数 |
控制平面优雅重启 |
实现GR(Graceful Restart)功能。重启前,保存状态并通知邻居。重启过程中,邻居继续使用老路由。重启后,快速重建状态并接管。 |
重启影响时间 < 1分钟 |
分钟 |
CP-019, HA-002, CP-CORE-160 |
状态持久化和GR信令 |
需协议支持(如BGP GR, OSPF GR)。 |
执行优雅重启,验证路由和会话不中断。 |
优雅重启、升级 |
|
CP-CORE-167 |
vBRAS CP-可靠性功能 |
链路聚合(LACP)控制 |
|
链路聚合函数 |
链路聚合控制协议管理 |
实现IEEE 802.3ad。在多个物理端口上启用LACP,动态形成聚合组。监控成员链路状态,实现故障切换和负载分担。 |
支持LACP主动/被动模式, 聚合组数量 ≥ 64 |
个 |
UP-013, HA-004, ASIC-LAG-01 |
LACP协议栈和聚合组管理 |
需与硬件交换芯片配合。 |
配置LACP,拔掉一条成员链路,验证流量切换无丢包。 |
链路聚合、LACP |
|
CP-CORE-168 |
vBRAS CP-可靠性功能 |
BFD会话管理 |
|
故障检测函数 |
双向转发检测会话管理 |
实现RFC 5880。建立BFD会话,以毫秒级频率发送检测报文。当检测到故障时,立即通知路由协议和应用,实现快速收敛。 |
检测间隔 3.33 ms, 检测倍数 3 (即~10ms检测) |
毫秒 |
UP-031, HA-002, CP-UP-KEEPALIVE-01 |
BFD协议栈和硬件加速 |
BFD报文需高优先级处理。 |
建立BFD会话,模拟链路故障,验证快速检测并触发动作。 |
BFD、故障检测 |
|
CP-CORE-169 |
vBRAS CP-安全性功能 |
用户密码安全策略 |
|
安全策略函数 |
用户密码复杂度强制策略 |
在本地认证或修改密码时,检查密码是否符合预定义的复杂度策略。不符合则拒绝。策略可基于行业标准(如NIST)。 |
支持密码长度 8-128, 复杂度检查 |
字符 |
SEC-001, IF-CP-AAA-01, CP-CORE-142 |
密码策略引擎和正则表达式 |
需避免过于严格影响用户体验。 |
尝试设置弱密码,验证被拒绝。 |
密码策略、安全 |
|
CP-CORE-170 |
vBRAS CP-安全性功能 |
防暴力破解锁定 |
|
安全防御函数 |
账户防暴力破解锁定 |
记录每个账号的认证失败次数和时间。当在时间窗口内失败次数超过阈值,自动锁定账号一段时间(如15分钟)。 |
锁定时间 5-30分钟, 失败阈值 5-10 |
分钟, 次 |
SEC-003, IF-CP-AAA-01, CP-CORE-143 |
失败计数器和锁定定时器 |
需避免误锁合法用户(如输错密码)。 |
模拟对同一账号高频失败认证,验证账号被锁定。 |
账户锁定、安全 |
|
CP-CORE-171 |
vBRAS CP-安全性功能 |
源地址验证(SAVA) |
|
安全验证函数 |
基于端口的源IP地址验证 |
实现RFC 2827/3704。检查进入端口的报文,其源IP地址是否属于该端口所连接子网的合法范围。不合法则丢弃。 |
支持基于端口的IP/MAC绑定检查 |
无单位 |
SEC-004, UP-ACL-01, IF-CP-UP-05 |
端口-IP绑定表和检查逻辑 |
在接入网边缘实施最有效。 |
从非法端口发送伪造源IP的报文,验证被丢弃。 |
源地址验证、防欺骗 |
|
CP-CORE-172 |
vBRAS CP-安全性功能 |
DHCP防攻击 |
|
安全防御函数 |
DHCP 协议攻击检测与防御 |
实现一系列DHCP安全特性:限制非信任端口DHCP报文速率、检查DHCP报文合法性、启用DHCP Snooping绑定表。 |
支持DHCPv4/v6攻击防御 |
无单位 |
IF-CP-DHCP-05, SEC-004, CP-CORE-149 |
DHCP攻击特征检测和限速 |
需平衡安全性和可用性。 |
模拟DHCP耗竭攻击,验证防御机制生效。 |
DHCP安全、防攻击 |
|
CP-CORE-173 |
vBRAS CP-安全性功能 |
ARP防攻击 |
|
安全防御函数 |
ARP 协议攻击检测与防御 |
实现动态ARP检测(DAI)等功能。利用DHCP Snooping绑定表验证ARP应答的合法性。限制端口ARP报文速率,防止泛洪。 |
支持DAI, ARP限速阈值 100 pps |
pps |
SEC-004, UP-ARP-01, IF-CP-DHCP-05 |
ARP报文检查和限速 |
DAI依赖DHCP Snooping。 |
模拟ARP欺骗攻击,验证DAI能阻止。 |
ARP安全、防欺骗 |
|
CP-CORE-174 |
vBRAS CP-安全性功能 |
用户流量DDoS检测 |
|
安全检测函数 |
基于流量的用户级DDoS攻击检测 |
监控每个用户的流量特征(如SYN速率、不同目的IP数)。与基线比较,当特征异常时,判定为可能被DDoS攻击或发起攻击。 |
检测延迟 < 10s |
秒 |
SEC-003, CP-CORE-54, AI-OPS-02 |
流量特征提取和异常检测模型 |
需降低误报,避免影响正常用户。 |
向一个用户发送模拟DDoS流量,验证检测告警。 |
DDoS检测、安全 |
|
CP-CORE-175 |
vBRAS CP-安全性功能 |
恶意URL过滤 |
|
内容安全函数 |
实时恶意URL分类与过滤 |
集成外部URL分类数据库或威胁情报。对用户HTTP请求的域名或URL进行实时查询,如果属于恶意类别,则重置连接或重定向到警告页。 |
支持常见URL分类数据库集成 |
无单位 |
SEC-003, IF-CP-EXT-03, CP-022 |
URL分类查询引擎 |
HTTPS流量过滤需解密。 |
尝试访问已知恶意URL,验证被阻止。 |
URL过滤、内容安全 |
|
CP-CORE-176 |
vBRAS CP-安全性功能 |
僵尸网络检测 |
|
安全分析函数 |
基于流量行为的僵尸网络检测 |
利用威胁情报(已知C&C域名/IP)或行为分析(如周期性心跳、异常端口通信),识别受感染主机。 |
检测准确率 > 80% (在已知样本上) |
% |
SEC-003, CP-CORE-58, CP-CORE-88 |
威胁情报集成和流量分析 |
需持续更新威胁情报。 |
模拟受感染主机与C&C通信,验证检测告警。 |
僵尸网络检测、安全 |
|
CP-CORE-177 |
vBRAS CP-安全性功能 |
安全日志集中管理 |
|
日志管理函数 |
安全事件日志集中收集与转发 |
实现RFC 5424。将本地安全日志通过Syslog TLS或CEF格式发送到外部SIEM系统。支持日志缓冲和重传。 |
支持实时转发, 日志格式标准化 |
无单位 |
CP-008, CP-CORE-46, SEC-006 |
日志转发代理和格式化 |
需保护日志传输安全。 |
生成安全事件,验证日志被正确转发到SIEM。 |
安全日志、SIEM |
|
CP-CORE-178 |
vBRAS CP-安全性功能 |
动态黑名单 |
|
动态策略函数 |
基于安全事件的动态IP黑名单 |
维护一个动态IP黑名单,每个条目有原因和存活时间(TTL)。匹配黑名单的流量将被丢弃或限速。支持与外部威胁情报联动。 |
黑名单容量 10K - 100K, 条目TTL 5分钟 - 24小时 |
个, 分钟 |
SEC-003, IF-CP-UP-ACL-01, CP-VM-FUNC-03 |
黑名单数据结构和定时器 |
需定期清理过期条目。 |
添加IP到黑名单,验证该IP流量被阻止。 |
黑名单、动态策略 |
|
CP-CORE-179 |
vBRAS CP-安全性功能 |
用户隐私保护 |
|
隐私保护函数 |
用户数据匿名化处理 |
实现数据脱敏。在日志记录、计费记录等包含用户身份信息的数据中,用哈希或令牌替换真实值,使其无法关联到具体用户。 |
支持可逆和不可逆脱敏 |
无单位 |
SEC-001, CP-012, CP-CORE-71 |
脱敏算法和策略 |
需遵循GDPR等隐私法规。 |
配置脱敏规则,验证输出的日志中敏感字段被替换。 |
隐私保护、数据脱敏 |
|
CP-CORE-180 |
vBRAS CP-安全性功能 |
协议安全加固 |
|
安全加固函数 |
网络协议安全配置自动加固 |
为各种协议(SSH, SNMP, TLS, BGP等)提供安全配置模板,自动应用到设备,减少因配置不当导致的安全风险。 |
支持常见协议安全基线 |
无单位 |
SEC-002, CP-CORE-63, CP-VM-MGMT-02 |
安全配置模板和自动应用 |
需测试加固配置的兼容性。 |
运行安全加固,验证不安全协议被禁用,安全配置生效。 |
安全加固、配置管理 |
|
CP-CORE-181 |
vBRAS CP-业务功能 |
用户预付费实时扣费 |
|
计费控制函数 |
预付费用户实时计费与余额控制 |
维护用户预付费余额。根据计费策略(如每MB价格)实时计算消费,并扣减余额。当余额低于阈值时,发送通知或强制用户下线。 |
扣费延迟 < 1s, 余额精度 0.01 货币单位 |
秒 |
CP-012, IF-CP-AAA-03, CP-CORE-151 |
余额管理和实时扣费引擎 |
需高可靠性,避免计费错误。 |
为预付费用户设置余额,模拟使用,验证余额正确扣减,不足时下线。 |
预付费、实时计费 |
|
CP-CORE-182 |
vBRAS CP-业务功能 |
用户后付费账单生成 |
|
计费函数 |
后付费用户周期性账单生成 |
从计费记录中聚合指定周期内用户的使用量,根据资费套餐计算费用,生成账单(PDF/电子),并支持查询和推送。 |
账单生成周期 月, 支持明细查询 |
无单位 |
CP-012, CP-CORE-151, CP-CORE-77 |
账单聚合算法和模板 |
资费套餐可能复杂。 |
模拟用户一个月使用,运行账单生成,验证账单准确。 |
后付费、账单 |
|
CP-CORE-183 |
vBRAS CP-业务功能 |
套餐余量查询 |
|
用户服务函数 |
用户套餐余量实时查询 |
从用户会话和计费记录中计算套餐总量和已用量,得到剩余量。通过自助门户、短信或API提供给用户。 |
查询延迟 < 1s |
秒 |
CP-012, IF-CP-EXT-02, CP-CORE-181 |
余量计算和查询接口 |
需考虑套餐重置周期。 |
用户查询余量,验证返回结果准确。 |
用户服务、套餐查询 |
|
CP-CORE-184 |
vBRAS CP-业务功能 |
用户自助服务门户 |
|
用户服务函数 |
用户自助服务Web门户 |
实现一个Web应用。用户通过浏览器访问,经过认证后,可以执行各种自助操作。后端与CP的API交互获取数据或执行操作。 |
支持HTTPS, 响应时间 < 3s |
秒 |
SEC-001, IF-CP-EXT-02, CP-CORE-183 |
Web服务器和业务逻辑 |
门户需友好、安全。 |
用户登录门户,执行自助操作,验证功能正常。 |
自助门户、用户服务 |
|
CP-CORE-185 |
vBRAS CP-业务功能 |
增值业务控制 |
|
业务控制函数 |
增值业务访问控制与计费 |
为增值业务定义独立的业务标识和策略。用户订购后,CP下发相应策略(如特殊路由、带宽保障),并可能产生独立计费记录。 |
支持增值业务数量 ≥ 10 |
个 |
BRAS-POOL-05, CP-009, IF-CP-EXT-01 |
增值业务策略库和订购关系 |
需与业务平台对接。 |
用户订购IPTV,验证能访问IPTV专网,并产生相应计费。 |
增值业务、策略控制 |
|
CP-CORE-186 |
vBRAS CP-业务功能 |
组播业务控制 |
|
组播控制函数 |
组播业务订阅鉴权与计费 |
集成IGMP代理和组播权限控制。当用户发送IGMP加入报文时,CP检查用户是否有权加入该组播组,并可能触发按次或按时计费。 |
支持基于组播组的鉴权 |
无单位 |
UP-023, IF-CP-AAA-01, CP-CORE-185 |
组播权限检查和计费触发 |
需快速响应IGMP加入离开。 |
用户请求加入付费组播组,验证鉴权通过,组播流可接收。 |
组播、业务控制 |
|
CP-CORE-187 |
vBRAS CP-业务功能 |
按流量分档计费 |
|
计费算法 |
基于使用量的阶梯定价计算 |
定义多个流量档位和对应费率。计算用户总使用量,确定所属档位,分段计算费用。常用于鼓励多用多优惠。 |
支持多级阶梯 (如3-5档) |
档 |
CP-012, CP-CORE-151, CP-CORE-182 |
阶梯定价模型和计算 |
套餐设计需清晰。 |
模拟用户使用不同流量,验证计费结果符合阶梯定价模型。 |
阶梯定价、计费 |
|
CP-CORE-188 |
vBRAS CP-业务功能 |
批量用户导入导出 |
|
批量操作函数 |
用户数据批量导入与导出 |
实现批量操作界面。管理员上传文件,系统解析并导入用户数据到数据库。支持模板下载和错误报告。 |
导入/导出速度 ≥ 1000 用户/分钟 |
用户/分钟 |
MAN-001, IF-CP-EXT-02, CP-013 |
文件解析和批量事务处理 |
需数据验证和回滚。 |
上传用户文件导入,验证用户被成功创建。 |
批量操作、用户管理 |
|
CP-CORE-189 |
vBRAS CP-业务功能 |
实时在线用户查询 |
|
查询函数 |
实时在线用户多条件查询 |
提供Web界面和API。基于在线会话数据库,支持复杂条件过滤和分页,实时显示用户会话详情。 |
查询响应时间 < 1s (对于1万在线用户) |
秒 |
CP-CORE-150, MAN-001, IF-003 |
会话数据库索引和查询优化 |
需高性能查询。 |
在界面上执行各种条件查询,验证结果正确。 |
在线用户查询、管理 |
|
CP-CORE-190 |
vBRAS CP-业务功能 |
用户强制下线 |
|
管理操作函数 |
管理员强制用户下线 |
通过管理界面选择在线用户,发送强制下线指令。CP将终止该用户会话,发送计费停止,并可能向用户发送通知(如Portal消息)。 |
强制下线执行时间 < 5s |
秒 |
CP-CORE-150, IF-CP-AAA-01, CP-CORE-156 |
会话终止和清理逻辑 |
需发送计费停止和清理策略。 |
选择一个在线用户强制下线,验证用户立即断开连接。 |
强制下线、管理 |
|
CP-CORE-191 |
vBRAS CP-可靠性功能 |
服务健康度自检 |
|
自检函数 |
控制平面服务组件定期健康自检 |
实现全面的自检。检查内部服务是否响应、磁盘空间、内存使用、外部依赖(AAA、DHCP、DNS)连通性等。发现问题时告警。 |
自检周期 1-5 分钟, 检查项 ≥ 20 |
分钟, 项 |
SYS-002, CP-CORE-72, OAM-001 |
健康检查脚本和指标收集 |
自检不应影响服务性能。 |
模拟某个依赖故障,验证自检能发现并告警。 |
健康检查、自检 |
|
CP-CORE-192 |
vBRAS CP-可靠性功能 |
配置回滚定时器 |
|
配置安全函数 |
高风险配置自动回滚定时器 |
在应用可能中断业务的配置(如ACL、路由策略)时,启动一个定时器(如10分钟)。期间管理员需确认配置正常,否则自动回滚。 |
回滚定时器 5-30 分钟 |
分钟 |
CP-013, CP-CORE-163, CP-VM-MGMT-01 |
定时器和回滚逻辑 |
防止配置错误导致长时间业务中断。 |
应用一个高风险配置,不确认,验证超时后回滚。 |
配置回滚、安全 |
|
CP-CORE-193 |
vBRAS CP-可靠性功能 |
资源泄漏检测 |
|
资源监控函数 |
系统资源泄漏检测与告警 |
监控关键资源的使用趋势。通过基线学习或阈值,识别出资源使用持续增长而不释放的模式,可能表明存在泄漏。 |
检测周期 1-5 分钟 |
分钟 |
SYS-002, CP-CORE-71, AI-OPS-02 |
资源监控和趋势分析 |
需区分正常增长和泄漏。 |
模拟内存泄漏,验证检测告警。 |
资源泄漏、监控 |
|
CP-CORE-194 |
vBRAS CP-可靠性功能 |
平滑重启(Hitless Restart) |
|
进程管理函数 |
单个服务进程平滑重启 |
通过进程间通信或共享内存,在重启前将状态传递给新进程。新进程启动后接管,旧进程退出。用于软件升级或故障恢复。 |
重启时间 < 1s |
秒 |
CP-019, CP-CORE-164, HA-002 |
进程状态保存和恢复 |
实现复杂,需服务支持。 |
对路由协议进程进行平滑重启,验证路由协议不中断。 |
平滑重启、升级 |
|
CP-CORE-195 |
vBRAS CP-安全性功能 |
管理接口访问控制 |
|
访问控制函数 |
管理平面接口严格访问控制 |
实现白名单机制。只允许来自特定管理网络的IP地址访问管理接口。支持基于证书或双因子的强认证。 |
支持IP白名单和VPN接入 |
无单位 |
SEC-001, SEC-002, CP-CORE-50 |
防火墙策略和认证集成 |
需有应急访问通道。 |
从未授权IP尝试访问管理接口,验证被拒绝。 |
访问控制、安全管理 |
|
CP-CORE-196 |
vBRAS CP-安全性功能 |
配置加密存储 |
|
安全存储函数 |
敏感配置加密存储 |
对配置文件中或数据库中的敏感字段(如SNMP community、RADIUS密钥)进行加密存储。使用主密钥或硬件安全模块(HSM)保护。 |
支持AES-256加密 |
无单位 |
SEC-002, SEC-006, CP-CORE-52 |
加密库和密钥管理 |
需安全备份主密钥。 |
查看配置文件,验证敏感字段为密文。 |
加密存储、安全 |
|
CP-CORE-197 |
vBRAS CP-安全性功能 |
安全启动与完整性验证 |
|
完整性验证函数 |
软件镜像安全启动与完整性验证 |
实现基于信任链的启动。从BIOS/Bootloader开始,逐级验证下一级镜像(内核、根文件系统、应用程序)的数字签名。 |
支持RSA/ECDSA签名验证 |
无单位 |
SEC-006, HW-SEC-01, CP-CORE-52 |
数字签名验证和信任链 |
需管理签名密钥。 |
尝试加载一个被篡改的镜像,验证启动失败。 |
安全启动、完整性 |
|
CP-CORE-198 |
vBRAS CP-安全性功能 |
审计日志防篡改 |
|
审计安全函数 |
审计日志完整性保护 |
为每条审计日志生成哈希,并链接到前一条日志的哈希(形成链)。定期将哈希值提交到不可变存储(如区块链),实现防篡改。 |
支持基于哈希链的完整性保护 |
无单位 |
SEC-001, CP-CORE-51, SEC-006 |
哈希算法和链式结构 |
增加存储和计算开销。 |
尝试修改历史审计日志,验证完整性检查失败。 |
审计日志、防篡改 |
|
CP-CORE-199 |
vBRAS CP-安全性功能 |
安全事件实时告警 |
|
告警函数 |
安全事件实时多渠道告警 |
集成告警引擎。定义安全事件等级和告警策略。当事件发生时,立即触发告警,通知安全管理员。 |
告警延迟 < 10s |
秒 |
SEC-003, MAN-005, CP-CORE-46 |
告警策略引擎和通知渠道 |
需避免告警风暴。 |
模拟一次高严重性安全事件,验证告警被及时发送。 |
安全告警、事件响应 |
|
CP-CORE-200 |
vBRAS CP-安全性功能 |
漏洞扫描与补丁管理 |
|
漏洞管理函数 |
系统漏洞扫描与补丁管理 |
集成漏洞扫描工具,定期扫描操作系统、中间件、应用程序的漏洞。提供补丁仓库,支持补丁的下载、验证和安装。 |
扫描周期 每周, 补丁安装需审批 |
无单位 |
SEC-003, CP-CORE-87, CP-019 |
漏洞扫描引擎和补丁管理流程 |
补丁安装可能导致重启,需规划窗口。 |
运行漏洞扫描,验证能识别已知漏洞。 |
漏洞管理、补丁 |
以上是CP-CORE-141到200的60个vBRAS控制平面核心功能函数,涵盖了PPPoE/IPoE业务处理、AAA集成、用户管理、计费、可靠性、安全性等各个方面。这些函数共同构成了vBRAS控制平面的完整能力集,使其能够稳定、安全、灵活地管理大规模宽带接入用户。
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-201 |
CP虚拟机-路由协议 |
BGP 路由震荡抑制 |
|
路由稳定性算法 |
BGP 路由振荡抑制 (Route Flap Damping) |
实现RFC 2439。为每条BGP路由维护一个惩罚值,每次路由撤回时增加惩罚,惩罚值随时间衰减。当惩罚超过抑制阈值时,停止发布该路由。 |
半衰期 15 分钟, 抑制阈值 2000, 重用阈值 750 |
无单位 |
CP-CORE-13, CP-CORE-16, CP-005 |
惩罚值计算和衰减算法 |
需谨慎配置参数,避免过度抑制合法路由变化。 |
模拟路由频繁变化,验证路由被抑制并在稳定后恢复。 |
BGP、路由稳定性 |
|
CP-CORE-202 |
CP虚拟机-路由协议 |
BGP 多路径负载均衡 |
|
负载均衡算法 |
BGP 等价多路径 (ECMP) 选择 |
当存在多条到达同一目的、且具有相同AS_PATH长度、相同来源、相同MED等属性的BGP路径时,将它们全部加入路由表,用于ECMP。 |
支持最大路径数 2-16 |
条 |
UP-013, CP-CORE-14, CP-CORE-15 |
路径等价性判断和多路径表 |
需确保路径确实等价,避免环路。 |
注入多条等价路径,验证路由表中存在多路径,且流量均衡。 |
BGP、ECMP |
|
CPORE-203 |
CP虚拟机-路由协议 |
BGP 路由聚合 |
|
路由聚合函数 |
BGP 路由汇总与聚合 |
实现路由聚合。将多个更具体的BGP路由聚合为一条较短的汇总路由,可以减少路由表规模,但可能导致次优路由。 |
支持抑制具体路由选项 |
无单位 |
CP-CORE-13, CP-CORE-16, CP-CORE-25 |
聚合算法和抑制策略 |
聚合可能导致路由黑洞,需谨慎。 |
配置路由聚合,验证汇总路由被生成,具体路由被抑制。 |
BGP、路由聚合 |
|
CP-CORE-204 |
CP虚拟机-路由协议 |
BGP 路由服务器模式 |
|
路由反射优化函数 |
BGP 路由服务器模式 |
在IXP等场景中,作为路由服务器,简化BGP互联。路由服务器从多个客户端接收路由,并将所有路由反射给所有客户端,下一跳保持不变。 |
支持大量客户端 (≥ 100) |
个 |
CP-CORE-19, CP-CORE-109, CP-CORE-13 |
路由服务器状态和客户端表 |
需防止路由环路和确保可扩展性。 |
模拟多个客户端,验证路由服务器能正确反射路由。 |
BGP、路由服务器 |
|
CP-CORE-205 |
CP虚拟机-路由协议 |
BGP 大型社区属性 |
|
协议扩展函数 |
BGP 大型社区属性处理 |
实现RFC 8092。大型社区属性提供更大的编码空间(3个32位数字),用于复杂的策略标记,如表示地理位置、租户、服务等级等。 |
支持3个32位数字的解析 |
无单位 |
CP-CORE-18, CP-CORE-16, CP-CORE-111 |
大型社区属性解析和匹配 |
需社区属性格式支持。 |
发送携带大型社区的路由,验证能正确解析和匹配策略。 |
BGP、社区属性 |
|
CP-CORE-206 |
CP虚拟机-路由协议 |
BGP 增强型路由刷新 |
|
协议扩展函数 |
BGP 增强型路由刷新 |
实现draft-ietf-idr-bgp-enhanced-route-refresh。在路由刷新请求中携带一个分界标记,服务器只返回该标记之后的路由,减少刷新数据量。 |
支持分界标记的生成和解析 |
无单位 |
CP-CORE-112, CP-CORE-111, CP-CORE-13 |
路由版本或序列号机制 |
需维护路由的版本信息。 |
发送增强型路由刷新请求,验证只收到新路由。 |
BGP、路由刷新 |
|
CP-CORE-207 |
CP虚拟机-路由协议 |
BGP 路由来源验证 |
|
安全验证函数 |
BGP 路由起源验证 (RPKI) |
实现RFC 6811。通过RPKI缓存服务器获取ROA(路由起源授权),验证接收到的BGP路由的起源AS和前缀长度是否在授权范围内。 |
支持验证状态: Valid, Invalid, NotFound |
无单位 |
SEC-003, CP-CORE-16, IF-CP-UP-01 |
RPKI缓存客户端和验证库 |
需维护RPKI缓存连接。 |
注入带有无效起源的路由,验证被标记为Invalid并被策略处理。 |
BGP、RPKI、安全 |
|
CP-CORE-208 |
CP虚拟机-路由协议 |
BGP 路径验证 (BGPsec) |
|
安全验证函数 |
BGP 路径验证 (BGPsec) |
实现RFC 8205。BGPsec通过为AS_PATH提供数字签名,防止路径篡改。验证每个AS段的签名链。 |
支持数字签名验证 (如RSA) |
无单位 |
SEC-003, CP-CORE-18, CP-CORE-207 |
公钥基础设施和签名验证库 |
部署复杂,需要全AS支持。 |
发送带有有效/无效BGPsec签名的路由,验证验证结果。 |
BGPsec、安全 |
|
CP-CORE-209 |
CP虚拟机-路由协议 |
OSPF 区域间路由汇总 |
|
路由聚合函数 |
OSPF 区域间路由汇总 |
在ABR上,将来自某个区域的内部路由(Type 1和Type 2 LSA生成的路由)汇总为一条或多条Summary LSA,发布到骨干区域或其他区域。 |
支持不连续子网汇总 |
无单位 |
CP-CORE-23, CP-CORE-25, CP-CORE-103 |
路由聚合算法和LSA生成 |
汇总可能导致次优路由。 |
配置汇总,验证汇总LSA被生成并传播。 |
OSPF、路由汇总 |
|
CP-CORE-210 |
CP虚拟机-路由协议 |
OSPF 虚链路认证 |
|
安全认证函数 |
OSPF 虚链路认证 |
支持为虚链路配置OSPF认证(明文、MD5、SHA等)。在建立虚链路邻接时进行认证,防止未授权路由器加入。 |
支持OSPFv2/v3认证 |
无单位 |
CP-CORE-105, SEC-002, CP-CORE-101 |
认证密钥管理和认证协议 |
密钥需安全分发和管理。 |
配置虚链路认证,验证无密钥无法建立邻接。 |
OSPF、认证 |
|
CP-CORE-211 |
CP虚拟机-路由协议 |
OSPF 多区域ABR |
|
多区域处理函数 |
OSPF 多区域ABR处理 |
ABR连接多个区域(包括骨干区域),为每个区域运行独立的SPF计算,生成区域间路由,并汇总传播。 |
支持连接区域数 ≥ 3 |
个 |
CP-CORE-103, CP-CORE-24, CP-CORE-23 |
多区域LSDB和路由计算 |
需消耗更多内存和计算资源。 |
配置ABR连接多个区域,验证区域间路由正确。 |
OSPF、多区域 |
|
CP-CORE-212 |
CP虚拟机-路由协议 |
OSPF 链路状态通告泛洪 |
|
泛洪算法 |
OSPF LSA 泛洪机制 |
实现LSA的可靠泛洪。收到新的或更新的LSA后,将其发送到所有相关接口(除接收接口),并通过确认机制确保可靠传输。 |
支持泛洪范围 (区域/AS) |
无单位 |
CP-CORE-23, CP-CORE-101, CP-CORE-102 |
接口状态和邻居状态 |
需处理重复LSA和泛洪环路。 |
注入LSA,验证在区域内正确泛洪。 |
OSPF、泛洪 |
|
CP-CORE-213 |
CP虚拟机-路由协议 |
IS-IS 多拓扑 |
|
多协议扩展函数 |
IS-IS 多拓扑 (Multi-Topology) |
实现RFC 5120。允许为不同的网络层协议(如IPv4、IPv6)或流量工程定义独立的拓扑,并在同一物理链路上运行。 |
支持多拓扑ID (MTID) |
无单位 |
CP-CORE-27, CP-CORE-28, CP-005 |
多拓扑LSDB和SPF计算 |
增加复杂性和资源消耗。 |
配置多拓扑,验证IPv4和IPv6路由独立计算。 |
IS-IS、多拓扑 |
|
CP-CORE-214 |
CP虚拟机-路由协议 |
IS-IS 快速收敛 (IETF TRILL) |
|
快速收敛算法 |
IS-IS 快速链路故障检测与收敛 |
通过硬件BFD或链路层故障检测快速感知链路故障,立即产生相应的LSP并泛洪,触发SPF计算,实现快速收敛。 |
收敛时间 < 1s |
秒 |
HA-002, UP-031, CP-CORE-28 |
快速故障检测和SPF触发机制 |
需与底层故障检测机制集成。 |
模拟链路故障,验证快速产生LSP并收敛。 |
IS-IS、快速收敛 |
|
CP-CORE-215 |
CP虚拟机-路由协议 |
IS-IS 路由渗透 (Route Leaking) |
|
路由优化函数 |
IS-IS 层级间路由渗透 |
实现RFC 2966。通过设置LSP中的上/下位(up/down)位,控制路由渗透的方向,避免环路。允许更具体的Level-1路由被泄露到Level-2。 |
支持基于前缀列表的泄露策略 |
无单位 |
CP-CORE-29, CP-CORE-16, CP-CORE-108 |
路由渗透策略和LSP生成 |
需防止环路和路由反馈。 |
配置路由渗透,验证Level-2能学习到Level-1的具体路由。 |
IS-IS、路由渗透 |
|
CP-CORE-216 |
CP虚拟机-CP-UP协议 |
南向接口能力协商 |
|
能力协商函数 |
CP-UP 双向能力协商 |
实现类似HTTP或gRPC的能力协商。双方交换支持的特性列表(如支持的表类型、动作、计数器),选择最佳的共同子集,确保兼容性。 |
协商时间 < 1s |
秒 |
IF-CP-UP-11, HW-MOD-01, SYS-004 |
能力描述语言和协商逻辑 |
需处理版本回退和兼容性。 |
模拟不同能力的UP连接,验证能成功协商。 |
能力协商、兼容性 |
|
CP-CORE-217 |
CP虚拟机-CP-UP协议 |
南向接口消息确认与重传 |
|
可靠传输函数 |
CP-UP 消息可靠传输 (确认与重传) |
实现类似TCP的可靠传输。为每个消息分配序列号,接收方确认,发送方超时重传。用于确保关键配置不丢失。 |
重传次数 3-5, 超时时间 1-3s |
次, 秒 |
IF-CP-UP-02, IF-CP-UP-12, HA-002 |
消息序列号和确认机制 |
需处理重复确认和乱序。 |
模拟消息丢失,验证重传机制生效。 |
可靠传输、重传 |
|
CP-CORE-218 |
CP虚拟机-CP-UP协议 |
南向接口流控 |
|
流控函数 |
CP-UP 消息流控 (滑动窗口) |
实现基于滑动窗口的流控。监控UP的未确认消息数量,当达到窗口大小时暂停发送,避免UP过载。 |
窗口大小动态调整 10-1000 |
条 |
IF-CP-UP-01, IF-CP-UP-02, UP-POOL-13 |
窗口管理和背压感知 |
窗口大小需自适应。 |
制造UP处理延迟,验证CP发送速度被限制。 |
流控、背压 |
|
CP-CORE-219 |
CP虚拟机-CP-UP协议 |
南向接口批量消息分割 |
|
消息分割函数 |
CP-UP 大消息自动分割与重组 |
当单个消息过大时,自动将其分割为多个片段,每个片段携带序列和总数信息。UP侧重组完整消息后处理。 |
最大消息大小 64KB - 1MB |
字节 |
IF-CP-UP-02, IF-CP-UP-10, CP-CORE-127 |
消息分割和重组协议 |
需保证分割的原子性(要么全成功,要么全失败)。 |
下发一个超大配置,验证被正确分割和重组执行。 |
消息分割、批量处理 |
|
CP-CORE-220 |
CP虚拟机-CP-UP协议 |
南向接口差分同步 |
|
同步优化函数 |
CP-UP 状态差分同步 |
比较UP的当前状态(通过快照或版本)与期望状态,生成差异操作集(增、删、改),仅同步差异部分。 |
差异计算时间 < 状态量1% |
无单位 |
UP-POOL-07, IF-CP-UP-06, HA-POOL-3+1-01 |
状态快照和差异比较算法 |
需处理网络分区导致的状态分歧。 |
修改部分配置,触发同步,验证仅同步了修改部分。 |
差分同步、增量更新 |
|
CP-CORE-221 |
CP虚拟机-CP-UP协议 |
南向接口连接负载均衡 |
|
负载均衡函数 |
CP-UP 连接负载均衡与故障转移 |
UP可以配置多个CP地址(主备或负载均衡组)。CP侧也需能处理大量UP连接,通过负载均衡器分发连接。 |
支持UP连接数 ≥ 1000/CP集群 |
个 |
HA-002, UP-POOL-02, IF-CP-UP-12 |
负载均衡器(如LVS, HAProxy) |
需会话保持,避免同一UP频繁切换CP。 |
模拟多个UP连接,验证连接被均匀分布到多个CP实例。 |
负载均衡、高可用 |
|
CP-CORE-222 |
CP虚拟机-CP-UP协议 |
南向接口消息压缩 |
|
压缩函数 |
CP-UP 消息压缩传输 |
对消息payload进行无损压缩,特别是对于批量数据(如流表项、统计信息),可以显著减少传输数据量。 |
压缩率 2x - 10x (取决于数据) |
倍 |
IF-CP-UP-01, IF-CP-UP-03, IF-CP-UP-02 |
压缩库(如zlib, lz4) |
压缩/解压增加CPU开销,需权衡。 |
发送可压缩数据,验证压缩后大小减小,且能正确解压。 |
数据压缩、带宽优化 |
|
CP-CORE-223 |
CP虚拟机-CP-UP协议 |
南向接口消息加密 |
|
加密函数 |
CP-UP 消息加密传输 |
在传输层加密(如TLS)之外,可对消息payload进行应用层加密,提供端到端安全。 |
支持对称加密(AES)和非对称加密(RSA) |
无单位 |
SEC-002, CP-VM-AUTH-01, IF-CP-UP-14 |
加密库和密钥管理 |
密钥管理和分发是挑战。 |
启用加密,验证消息在网络上不可读,且接收方能解密。 |
加密、安全传输 |
|
CP-CORE-224 |
CP虚拟机-CP-UP协议 |
南向接口消息完整性保护 |
|
完整性函数 |
CP-UP 消息签名与验证 |
使用发送方的私钥对消息生成签名,接收方用公钥验证。防止消息在传输中被篡改,并验证发送方身份。 |
支持RSA/ECDSA签名 |
无单位 |
SEC-002, CP-CORE-52, IF-CP-UP-223 |
数字签名库和公钥基础设施 |
需管理公私钥对。 |
修改消息内容,验证签名验证失败。 |
数字签名、完整性 |
|
CP-CORE-225 |
CP虚拟机-AAA协议 |
RADIUS 代理状态 |
|
代理扩展函数 |
RADIUS 代理状态处理 |
实现RFC 2865。当RADIUS请求经过多个代理时,每个代理可以添加自己的Proxy-State属性,用于在响应中返回相同路径。 |
支持多个Proxy-State堆叠 |
无单位 |
IF-CP-AAA-01, IF-CP-AAA-02, CP-CORE-131 |
代理状态属性栈 |
需确保代理状态在响应中按原路返回。 |
模拟多跳代理,验证Proxy-State被正确添加和返回。 |
RADIUS、代理 |
|
CP-CORE-226 |
CP虚拟机-AAA协议 |
RADIUS 动态发现 |
|
服务发现函数 |
RADIUS 服务器动态发现 |
实现RFC 7585。通过查询DNS SRV记录(如radius.udp.example.com)获取RADIUS服务器的主机和端口,实现负载均衡和故障转移。 |
支持DNS SRV和NAPTR |
无单位 |
IF-CP-AAA-02, CP-CORE-131, IF-CP-UP-01 |
DNS解析器和服务器选择算法 |
需处理DNS TTL和缓存。 |
配置DNS SRV记录,验证能动态发现服务器。 |
RADIUS、服务发现 |
|
CP-CORE-227 |
CP虚拟机-AAA协议 |
RADIUS 实时计费 |
|
实时计费函数 |
RADIUS 临时计费更新 (Interim-Update) |
实现RFC 2866。在会话进行中,周期性地向计费服务器发送Accounting-Request (Interim-Update),报告截至当前的流量、时长等。 |
临时更新间隔 5-15 分钟 |
分钟 |
IF-CP-AAA-03, CP-012, IF-CP-UP-03 |
会话统计和定时器 |
临时更新丢失可能导致计费不准,需可靠传输。 |
模拟会话进行,验证定期发送临时计费更新。 |
RADIUS、实时计费 |
|
CP-CORE-228 |
CP虚拟机-AAA协议 |
RADIUS 计费会话控制 |
|
会话控制函数 |
RADIUS 计费会话动态控制 |
通过CoA消息,计费服务器可以请求立即发送一个临时计费更新,或强制终止计费会话(通过Disconnect-Request)。 |
支持Accounting-On/Off |
无单位 |
IF-CP-AAA-COA-01, CP-CORE-134, CP-CORE-227 |
CoA处理和会话管理 |
需验证CoA请求的合法性。 |
发送CoA请求要求立即更新,验证收到临时计费更新。 |
RADIUS、CoA |
|
CP-CORE-229 |
CP虚拟机-AAA协议 |
TACACS+ 会话管理 |
|
会话管理函数 |
TACACS+ 计费会话管理 |
实现TACACS+计费。在用户登录成功时发送计费开始,退出时发送计费停止,记录用户身份、登录时间、时长等信息。 |
支持start, stop, update |
无单位 |
IF-CP-AAA-01, CP-012, CP-CORE-135 |
TACACS+计费状态机 |
与RADIUS计费类似,但协议不同。 |
模拟用户登录退出,验证计费记录正确。 |
TACACS+、计费 |
|
CP-CORE-230 |
CP虚拟机-AAA协议 |
TACACS+ 授权能力缓存 |
|
缓存优化函数 |
TACACS+ 授权结果缓存 |
实现授权缓存。为每个用户-命令对缓存授权结果(允许/拒绝)一段时间,提高性能。缓存需在用户权限变更时失效。 |
缓存TTL 5-15 分钟 |
分钟 |
CP-CORE-136, CP-VM-OPT-01, SEC-001 |
缓存数据结构和失效策略 |
缓存需及时失效,避免安全风险。 |
重复执行相同命令,验证首次查询服务器,后续命中缓存。 |
TACACS+、缓存 |
|
CP-CORE-231 |
CP虚拟机-AAA协议 |
Diameter 会话管理 |
|
会话管理函数 |
Diameter 会话状态机 |
实现Diameter基础协议会话管理。维护会话状态,处理不同应用的消息,如AA-Request/Answer, AC-Request/Answer等。 |
支持会话超时和清理 |
无单位 |
CP-CORE-137, CP-CORE-138, IF-CP-AAA-01 |
Diameter会话表和状态机 |
Diameter会话比RADIUS更复杂。 |
建立Diameter会话,完成认证和计费流程。 |
Diameter、会话管理 |
|
CP-CORE-232 |
CP虚拟机-AAA协议 |
Diameter 对等体发现 |
|
对等体发现函数 |
Diameter 对等体动态发现 |
实现RFC 6733。查询DNS获取指定领域的Diameter对等体(服务器或代理),包括传输协议(TCP/SCTP)、主机和端口。 |
支持NAPTR和SRV记录 |
无单位 |
CP-CORE-137, IF-CP-AAA-02, IF-CP-UP-01 |
DNS解析和对等体选择 |
需处理对等体故障转移。 |
配置DNS记录,验证能发现对等体并建立连接。 |
Diameter、对等体发现 |
|
CP-CORE-233 |
CP虚拟机-AAA协议 |
Diameter 路由代理 |
|
路由代理函数 |
Diameter 消息路由与代理 |
实现Diameter代理功能。根据消息中的Destination-Realm或Destination-Host,查询路由表,将消息转发到下一跳对等体。 |
支持重定向和代理链 |
无单位 |
CP-CORE-137, CP-CORE-231, IF-CP-AAA-02 |
路由表和代理状态 |
需防止路由环路。 |
配置代理路由,验证消息被正确转发。 |
Diameter、路由代理 |
|
CP-CORE-234 |
CP虚拟机-AAA协议 |
EAP-TLS 握手处理 |
|
安全认证函数 |
EAP-TLS 协议处理 |
实现RFC 5216。EAP-TLS在EAP框架内运行完整的TLS握手。CP作为认证者,在客户端和认证服务器之间中继EAP-TLS消息。 |
支持TLS 1.2/1.3, 证书双向认证 |
无单位 |
CP-CORE-139, SEC-002, CP-VM-AUTH-01 |
TLS协议栈和EAP分片处理 |
实现复杂,需处理大证书分片。 |
使用EAP-TLS进行认证,验证能成功完成握手。 |
EAP-TLS、TLS |
|
CP-CORE-235 |
CP虚拟机-AAA协议 |
EAP-PEAP 处理 |
|
隧道认证函数 |
EAP-PEAP 协议处理 |
实现RFC 5247。PEAP分为两个阶段:第一阶段建立服务器认证的TLS隧道;第二阶段在隧道内进行客户端认证,保护内部EAP方法。 |
支持常见内部方法 |
无单位 |
CP-CORE-139, SEC-002, CP-CORE-234 |
PEAP状态机和隧道管理 |
需防止降级攻击。 |
使用PEAP-MSCHAPv2认证,验证成功。 |
EAP-PEAP、隧道 |
|
CP-CORE-236 |
CP虚拟机-AAA协议 |
802.1X 多主机模式 |
|
端口扩展函数 |
IEEE 802.1X 多主机模式 |
实现802.1X多主机扩展。端口认证成功后,允许该端口下所有MAC地址的设备通行,而不仅限于认证的MAC。 |
支持单主机和多主机切换 |
无单位 |
CP-CORE-140, SEC-001, UP-MAC-01 |
端口MAC地址学习和过滤 |
降低安全性,适用于会议室等场景。 |
在端口上启用多主机模式,验证一个设备认证后,其他设备可直接上网。 |
802.1X、多主机 |
|
CP-CORE-237 |
CP虚拟机-AAA协议 |
802.1X 动态VLAN分配 |
|
动态策略函数 |
802.1X 动态VLAN分配 |
实现基于用户的VLAN分配。认证成功后,从RADIUS服务器返回的授权属性中提取VLAN ID,并将该端口动态加入该VLAN。 |
支持VLAN ID 1-4094 |
无单位 |
CP-CORE-140, IF-CP-AAA-01, UP-039 |
端口VLAN配置和RADIUS属性解析 |
需与交换机VLAN配置协同。 |
用户认证返回VLAN属性,验证端口被划入指定VLAN。 |
802.1X、动态VLAN |
|
CP-CORE-238 |
CP虚拟机-AAA协议 |
MAC认证旁路 (MAB) |
|
备选认证函数 |
MAC 认证旁路 |
当端口启用802.1X且设备不支持时,交换机可以检测设备MAC地址,并将其发送到RADIUS服务器进行认证。 |
支持MAC地址格式转换 |
无单位 |
SEC-001, CP-CORE-140, IF-CP-AAA-01 |
MAC地址检测和RADIUS属性构造 |
MAC地址易伪造,安全性较低。 |
连接不支持802.1X的设备,验证通过MAB认证上网。 |
MAB、MAC认证 |
|
CP-CORE-239 |
CP虚拟机-AAA协议 |
Web认证 (Captive Portal) |
|
Web认证函数 |
captive portal Web认证 |
实现Web认证流程。拦截用户的HTTP请求,重定向到认证门户,用户提交用户名密码后,后台通过RADIUS认证,认证成功后放行。 |
支持多种认证方式 (本地/RADIUS) |
无单位 |
SEC-001, IF-CP-AAA-01, CP-022 |
Web服务器和认证门户 |
需处理HTTPS拦截和门户页面。 |
尝试上网,被重定向到门户,输入凭据后能上网。 |
Web认证、门户 |
|
CP-CORE-240 |
CP虚拟机-AAA协议 |
双因子认证集成 |
|
安全增强函数 |
双因子/多因子认证集成 |
在标准认证流程基础上,增加第二因子验证。第一因子(密码)通过后,请求第二因子(如发送短信验证码),两者都通过才算成功。 |
支持TOTP, SMS, Email等 |
无单位 |
IF-CP-AAA-10, SEC-001, CP-CORE-139 |
第二因子服务集成(如短信网关) |
增加用户登录步骤和复杂度。 |
配置双因子认证,验证需要密码和第二因子才能成功。 |
多因子认证、安全 |
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-241 |
vBRAS CP-业务功能 |
用户位置信息记录 |
|
位置管理函数 |
用户接入位置信息记录 |
在用户认证成功时,记录其接入网络的物理位置信息。这些信息可用于故障定位、安全审计和基于位置的服务。 |
位置信息包括 AP MAC, 交换机 IP/端口, VLAN |
无单位 |
UP-PPPoE-01, UP-IPoE-02, CP-CORE-150 |
接入设备拓扑和用户会话关联 |
需确保位置信息准确传递(如通过RADIUS属性)。 |
用户在不同位置接入,验证位置信息被正确记录。 |
位置服务、审计 |
|
CP-CORE-242 |
vBRAS CP-业务功能 |
用户接入类型识别 |
|
接入识别函数 |
用户接入协议类型自动识别 |
基于接入端口配置和收到的协议报文,自动判断用户采用的接入方式,并调用相应的认证和业务处理流程。 |
支持 PPPoE, IPoE (DHCP/ARP), 802.1X, WebAuth |
无单位 |
UP-PPPoE-01, UP-IPoE-02, CP-CORE-140 |
端口配置和协议检测逻辑 |
需处理混合接入场景。 |
在不同端口使用不同协议接入,验证被正确识别和处理。 |
接入协议、识别 |
|
CP-CORE-243 |
vBRAS CP-业务功能 |
用户终端类型识别 |
|
终端识别函数 |
基于用户代理的终端类型识别 |
从用户流量中提取终端标识信息(如User-Agent字符串、DHCP Vendor Class),与特征库匹配,识别终端类型和操作系统。 |
支持常见终端类型和操作系统 |
无单位 |
UP-008, CP-CORE-58, IF-CP-EXT-03 |
终端特征库和匹配算法 |
特征库需定期更新。 |
使用不同终端接入,验证终端类型识别正确。 |
终端识别、用户画像 |
|
CP-CORE-244 |
vBRAS CP-业务功能 |
用户无流量自动下线 |
|
会话管理函数 |
用户无流量自动下线 |
监控用户会话的上/下行流量。当在配置的空闲超时时间内(如15分钟)没有任何数据流量,则自动触发用户下线,释放资源。 |
空闲超时可配 5-1440 分钟 |
分钟 |
CP-CORE-150, CP-CORE-151, CP-012 |
流量监控和定时器 |
需避免因短暂网络中断误下线。 |
模拟用户无流量,等待超时,验证被自动下线。 |
会话管理、资源回收 |
|
CP-CORE-245 |
vBRAS CP-业务功能 |
用户最大在线时间限制 |
|
会话管理函数 |
用户单次会话最大时长限制 |
为套餐或用户设置最大在线时长(如8小时)。从会话建立开始计时,超时后强制用户下线,用户需重新认证才能上线。 |
最大时长 1-24 小时 |
小时 |
CP-CORE-150, CP-CORE-152, CP-CORE-190 |
时长计时器和超时处理 |
需考虑用户可能因超时下线导致业务中断。 |
设置较短最大时长,用户上线后等待超时,验证被强制下线。 |
会话管理、资源控制 |
|
CP-CORE-246 |
vBRAS CP-业务功能 |
用户日流量上限 |
|
流量控制函数 |
用户每日流量配额管理 |
维护用户每日流量累计值。当用户当日流量超过配额上限,执行预定义动作(如断网、降速、通知)。配额在每日零点重置。 |
配额可配 1MB - 1TB |
MB |
CP-012, CP-CORE-151, CP-CORE-181 |
日流量累计和重置机制 |
需处理跨日时的流量统计边界。 |
为用户设置小流量配额,模拟使用超限,验证触发动作。 |
流量控制、配额 |
|
CP-CORE-247 |
vBRAS CP-业务功能 |
用户套餐自动升降级 |
|
套餐管理函数 |
基于使用量的套餐自动升降级 |
分析用户历史用量模式,当持续高于或低于当前套餐阈值时,自动触发套餐变更流程,可能需用户确认。 |
评估周期 月, 变更需确认 |
无单位 |
CP-CORE-182, CP-CORE-187, IF-CP-EXT-02 |
用量分析和套餐推荐引擎 |
自动变更需谨慎,避免用户投诉。 |
模拟用户用量持续超过阈值,验证触发套餐升级建议。 |
套餐管理、用户运营 |
|
CP-CORE-248 |
vBRAS CP-业务功能 |
用户生日/节日特惠 |
|
营销函数 |
基于事件的用户临时特惠 |
配置营销活动,在特定日期(用户生日、节假日)自动为用户应用临时策略(如更高带宽、免流量)。活动结束后自动恢复。 |
支持按日期和用户属性触发 |
无单位 |
CP-CORE-157, BRAS-POOL-05, IF-CP-EXT-02 |
营销活动管理和策略引擎 |
需与CRM系统集成获取生日信息。 |
在模拟生日当天,验证用户获得特惠策略。 |
营销、用户关怀 |
|
CP-CORE-249 |
vBRAS CP-业务功能 |
用户欠费预警与催缴 |
|
用户服务函数 |
用户欠费预警与多渠道通知 |
监控用户账户余额。当低于预警阈值时,自动触发通知流程,通过配置的渠道(短信、邮件、Portal推送)发送提醒消息。 |
预警阈值可配, 支持多级预警 |
无单位 |
CP-CORE-181, CP-CORE-184, IF-CP-EXT-02 |
通知模板引擎和渠道集成 |
通知内容需友好、合法。 |
模拟用户余额不足,验证收到预警通知。 |
用户服务、催缴 |
|
CP-CORE-250 |
vBRAS CP-业务功能 |
用户投诉自助处理 |
|
用户服务函数 |
用户投诉自助提交与工单跟踪 |
在自助门户中提供投诉提交页面。用户选择问题类型、描述,系统自动生成工单并分配。用户可查看处理进度。 |
支持常见问题分类, 工单状态跟踪 |
无单位 |
CP-CORE-184, IF-CP-EXT-02, MAN-001 |
工单系统和分类模型 |
需与后端运维系统集成。 |
模拟用户提交投诉,验证工单生成和状态可查。 |
用户服务、工单 |
|
CP-CORE-251 |
vBRAS CP-业务功能 |
用户上网记录查询 |
|
日志查询函数 |
用户上网行为日志查询 |
记录用户访问的URL、目的IP/端口、流量等(需遵守隐私法规)。提供按时间范围、日志类型的条件查询和导出。 |
日志保留期限 ≥ 6个月 |
月 |
SEC-001, CP-CORE-71, CP-CORE-179 |
日志存储和检索系统 |
查询需高效,且需权限控制。 |
执行条件查询,验证返回正确的历史记录。 |
日志查询、审计 |
|
CP-CORE-252 |
vBRAS CP-业务功能 |
用户网络质量测试 |
|
用户服务函数 |
用户自助网络质量测试 |
集成网络测速服务。用户触发后,CP协调测试节点向用户发送测试流量,测量性能指标,并以报告形式返回给用户。 |
测试带宽、时延、丢包, 测试时间 < 30s |
秒 |
UP-POOL-15, OAM-ADV-01, CP-CORE-184 |
测速引擎和结果呈现 |
需有专用测速服务器或节点。 |
用户触发测速,验证测试完成并返回结果。 |
网络测试、用户体验 |
|
CP-CORE-253 |
vBRAS CP-可靠性功能 |
服务状态自愈 |
|
自愈函数 |
关键服务状态异常自愈 |
扩展进程监控,不仅重启,还尝试诊断原因(如端口被占用、配置文件错误)并修复。可包括清理残留资源、重新加载配置。 |
自愈尝试次数 1-3, 自愈成功率 > 90% |
次, % |
CP-CORE-164, SYS-002, CP-VM-SELF-HEAL-01 |
故障诊断和恢复脚本 |
避免无限重启循环。 |
模拟服务故障,验证自愈机制触发并尝试恢复。 |
自愈、故障恢复 |
|
CP-CORE-254 |
vBRAS CP-可靠性功能 |
配置备份差异比较 |
|
配置管理函数 |
配置备份文件差异可视化比较 |
类似于代码diff工具。加载两个版本的备份配置,逐行比较,高亮显示增加、删除、修改的行,并支持上下文查看。 |
支持常见设备配置格式 |
无单位 |
CP-CORE-48, CP-CORE-89, MAN-001 |
差异比较算法和可视化 |
需处理大文件性能。 |
选择两个有差异的备份文件,执行比较,验证差异显示正确。 |
配置比较、备份 |
|
CP-CORE-255 |
vBRAS CP-可靠性功能 |
配置版本回退点 |
|
配置管理函数 |
手动创建配置回退点 |
管理员在变更前,主动创建一个带有描述的回退点。系统保存当前配置快照。变更后如有问题,可快速回退到此点。 |
回退点数量限制 10-50 |
个 |
CP-VM-MGMT-01, CP-CORE-163, MAN-001 |
回退点管理和存储 |
回退点需与自动备份区分。 |
创建回退点,执行变更,然后回退,验证配置恢复。 |
版本控制、回退 |
|
CP-CORE-256 |
vBRAS CP-可靠性功能 |
服务依赖关系检查 |
|
依赖检查函数 |
服务间依赖关系检查与保护 |
定义服务间的依赖关系(如AAA服务依赖数据库)。当操作某个服务时,自动检查是否会影响依赖它的服务,并给出警告或阻止操作。 |
支持依赖关系定义 |
无单位 |
SYS-002, CP-CORE-164, CP-CORE-90 |
服务依赖图 |
依赖关系需明确定义。 |
尝试停止一个被依赖的服务,验证系统给出警告。 |
依赖管理、服务治理 |
|
CP-CORE-257 |
vBRAS CP-可靠性功能 |
资源使用趋势预测 |
|
预测函数 |
系统资源使用趋势预测 |
使用时间序列预测算法(如ARIMA、Prophet),对关键资源指标进行预测。当预测值接近阈值时,提前发出扩容告警。 |
预测 horizon 1-7 天, 误差 MAPE < 15% |
天, % |
UP-POOL-19, CP-031, AI-001 |
预测模型和历史数据 |
模型需定期重新训练。 |
输入历史数据,验证预测趋势合理,并在接近阈值时告警。 |
容量预测、趋势分析 |
|
CP-CORE-258 |
vBRAS CP-可靠性功能 |
网络设备配置文件归档 |
|
配置归档函数 |
网络设备配置文件集中归档 |
通过SNMP、SSH、NETCONF等方式,定期(如每天)从管理的所有网络设备拉取配置,存储到版本控制仓库(如Git)。 |
支持设备类型 ≥ 5 种, 归档成功率 > 99% |
种, % |
CP-CORE-48, MAN-001, IF-003 |
多厂商设备配置采集 |
需处理设备认证和多种配置格式。 |
配置归档任务,验证成功拉取并存储配置。 |
配置归档、设备管理 |
|
CP-CORE-259 |
vBRAS CP-可靠性功能 |
服务降级策略 |
|
降级策略函数 |
系统过载时的服务自动降级 |
定义服务降级策略。当系统负载(CPU、内存、连接数)超过阈值时,按预定等级逐步关闭或限制非核心功能,确保用户接入、认证、转发等核心功能。 |
降级等级 3-5 级, 降级决策时间 < 10s |
级, 秒 |
SYS-002, UP-POOL-13, CP-CORE-161 |
负载检测和降级策略引擎 |
降级策略需预先充分测试。 |
模拟系统高负载,验证非核心功能被降级,核心功能正常。 |
服务降级、过载保护 |
|
CP-CORE-260 |
vBRAS CP-可靠性功能 |
跨数据中心容灾 |
|
容灾函数 |
跨数据中心业务容灾切换 |
实现两地三中心等容灾架构。实时同步用户会话、配置、路由状态到备中心。通过DNS/Anycast或负载均衡器实现流量切换。 |
RTO < 5 分钟, RPO < 1 分钟 |
分钟 |
HA-001, CP-015, UP-POOL-08 |
数据同步和流量切换机制 |
对网络带宽和延迟要求高。 |
模拟主数据中心故障,验证业务切换至备中心,用户会话不中断。 |
容灾、业务连续性 |
|
CP-CORE-261 |
vBRAS CP-安全性功能 |
管理会话超时 |
|
会话安全函数 |
管理会话空闲超时自动断开 |
为所有管理接口配置会话超时。当管理员一段时间无操作,自动终止会话,要求重新认证。 |
超时时间 5-30 分钟 |
分钟 |
SEC-001, CP-CORE-50, CP-CORE-195 |
会话活动监控和超时处理 |
需平衡安全性和便利性。 |
登录管理界面后无操作,等待超时,验证会话被断开。 |
会话安全、超时 |
|
CP-CORE-262 |
vBRAS CP-安全性功能 |
登录失败延迟响应 |
|
安全防御函数 |
登录失败延迟响应以减缓暴力破解 |
记录登录失败次数。每次失败后,响应时间线性或指数增加(如增加1秒),增加攻击者时间成本。 |
初始延迟 0s, 最大延迟 10s |
秒 |
SEC-003, CP-CORE-170, IF-CP-AAA-01 |
失败计数器和延迟算法 |
需避免对合法用户造成糟糕体验。 |
模拟连续登录失败,验证响应时间逐渐变长。 |
登录安全、延迟 |
|
CP-CORE-263 |
vBRAS CP-安全性功能 |
密码定期强制修改 |
|
密码策略函数 |
用户密码定期强制修改 |
记录用户密码最后修改时间。当密码使用时间超过最大期限,在用户登录时强制跳转到修改密码页面,不允许访问其他功能。 |
密码最大使用期限 90-180 天 |
天 |
SEC-001, CP-CORE-169, IF-CP-AAA-01 |
密码修改时间和策略检查 |
需提供密码修改接口。 |
模拟用户密码过期,验证登录时被强制修改。 |
密码策略、安全 |
|
CP-CORE-264 |
vBRAS CP-安全性功能 |
密码历史记录 |
|
密码策略函数 |
密码历史记录与重复使用检查 |
保存用户最近几次(如5次)的密码哈希。当用户修改密码时,检查新密码是否与历史记录中的任何一次匹配,匹配则拒绝。 |
历史记录深度 5-10 次 |
次 |
SEC-001, CP-CORE-169, CP-CORE-263 |
密码哈希存储和比较 |
历史记录需安全存储。 |
尝试修改为过去用过的密码,验证被拒绝。 |
密码历史、安全 |
|
CP-CORE-265 |
vBRAS CP-安全性功能 |
双因子认证令牌管理 |
|
令牌管理函数 |
双因子认证令牌生命周期管理 |
提供界面让用户绑定双因子认证(如Google Authenticator)。存储令牌种子,支持用户解绑和管理员重置。 |
支持TOTP, 令牌绑定需验证 |
无单位 |
IF-CP-AAA-10, SEC-001, CP-CORE-184 |
双因子认证后台服务 |
令牌绑定过程需安全。 |
用户绑定和解绑双因子令牌,验证认证流程相应变化。 |
双因子认证、令牌 |
|
CP-CORE-266 |
vBRAS CP-安全性功能 |
安全基线合规检查 |
|
合规检查函数 |
系统安全基线自动化合规检查 |
内置或导入安全基线检查脚本。定期扫描系统配置(文件权限、服务开启、日志设置等),与基线比对,生成合规报告。 |
支持CIS等常见基线, 检查覆盖率 > 90% |
% |
SEC-001, CP-CORE-63, CP-CORE-180 |
安全基线规则库 |
基线需针对具体OS和版本。 |
运行基线检查,验证能识别出配置与基线的差异。 |
安全基线、合规 |
|
CP-CORE-267 |
vBRAS CP-安全性功能 |
网络隔离(微隔离) |
|
网络安全函数 |
基于策略的网络微隔离 |
通过下发精细的ACL或利用SDN,实现东西向流量控制。策略基于设备身份、标签等,默认拒绝,显式允许必要通信。 |
支持基于标签的策略 |
无单位 |
SEC-003, UP-ACL-01, IF-CP-UP-05 |
微隔离策略引擎 |
策略数量可能很大,需高效管理。 |
配置微隔离策略,验证非授权设备间无法通信。 |
微隔离、零信任 |
|
CP-CORE-268 |
vBRAS CP-安全性功能 |
证书吊销状态检查 |
|
证书验证函数 |
证书吊销状态实时检查 |
在验证证书有效性时,不仅检查有效期和签名,还通过OCSP协议或下载CRL检查证书是否已被颁发机构吊销。 |
支持OCSP和CRL, 检查超时时间 5s |
秒 |
SEC-002, CP-CORE-52, CP-VM-AUTH-01 |
OCSP客户端和CRL缓存 |
吊销检查可能增加延迟。 |
使用已吊销的证书尝试连接,验证被拒绝。 |
证书吊销、PKI |
|
CP-CORE-269 |
vBRAS CP-安全性功能 |
安全告警事件关联 |
|
安全分析函数 |
多源安全告警事件关联分析 |
集成SIEM或SOAR能力。通过规则或机器学习,将看似独立的安全事件关联,发现潜在的APT攻击或复杂攻击链。 |
支持基于时间、源IP、目的IP的关联 |
无单位 |
SEC-003, CP-CORE-47, CP-CORE-199 |
安全事件关联规则引擎 |
规则需不断优化以减少误报。 |
注入一系列相关的攻击事件,验证关联分析能生成高级别告警。 |
安全事件关联、SIEM |
|
CP-CORE-270 |
vBRAS CP-安全性功能 |
安全策略模拟测试 |
|
策略测试函数 |
安全策略模拟下发与效果测试 |
在沙箱环境中,将新安全策略应用于模拟网络拓扑,发送测试流量,验证策略是否按预期允许或拒绝流量,避免错误配置。 |
支持常见协议流量模拟 |
无单位 |
CP-VM-POLICY-02, DIGITAL-TWIN-01, SEC-003 |
策略测试框架和流量生成 |
模拟环境需尽可能真实。 |
对新ACL策略进行模拟测试,验证其对测试流量的处理正确。 |
安全策略、测试 |
|
CP-CORE-271 |
vBRAS CP-协议功能 |
DHCPv6前缀委派代理 |
|
IPv6协议函数 |
DHCPv6 前缀委代(PD)中继处理 |
实现RFC 3633。处理CPE发起的DHCPv6-PD请求,添加中继信息,转发给服务器,并将服务器分配的前缀中继给CPE。同时添加相应路由。 |
支持前缀长度协商 |
无单位 |
IF-CP-DHCP-01, CP-005, CP-CORE-148 |
DHCPv6中继扩展 |
需正确处理路由添加。 |
模拟CPE发起PD请求,验证前缀分配和路由添加成功。 |
DHCPv6-PD、IPv6 |
|
CP-CORE-272 |
vBRAS CP-协议功能 |
ICMPv6 ND代理 |
|
IPv6协议函数 |
ICMPv6 邻居发现代理 |
实现RFC 4389。监听邻居请求(NS)消息,如果目标IPv6地址属于本地其他子网,则代表该主机响应邻居通告(NA),实现跨三层通信。 |
支持多个子网的ND代理 |
无单位 |
UP-IPoE-07, UP-ARP-01, SEC-004 |
ND协议栈和代理表 |
需防止ND欺骗。 |
跨子网主机发送NS,验证代理响应NA,实现通信。 |
ICMPv6、ND代理 |
|
CP-CORE-273 |
vBRAS CP-协议功能 |
MLD监听与代理 |
|
IPv6组播函数 |
MLD 监听与代理 |
实现RFC 3810/4605。在用户侧运行MLD监听,维护组播组成员。在网络侧作为MLD代理,汇总成员信息并与上游路由器交互。 |
支持MLDv1/v2 |
无单位 |
UP-023, UP-048, ASIC-MCAST-02 |
MLD协议栈和组播表 |
类似于IGMP Snooping/Proxy。 |
主机发送MLD加入,验证组播流转发正确。 |
MLD、IPv6组播 |
|
CP-CORE-274 |
vBRAS CP-协议功能 |
PIM协议处理 |
|
组播路由函数 |
PIM 协议栈处理 |
实现PIM-SM/PIM-DM。与PIM邻居交换Join/Prune、Assert等消息,构建组播路由表,指导组播流量跨网段转发。 |
支持PIM-SM, PIM-DM |
无单位 |
CP-005, UP-023, CP-CORE-23 |
PIM协议状态机 |
组播路由复杂,需仔细设计。 |
配置PIM,验证组播流能跨路由器转发。 |
PIM、组播路由 |
|
CP-CORE-275 |
vBRAS CP-协议功能 |
IGMP快速离开 |
|
组播优化函数 |
IGMP 快速离开处理 |
实现RFC 2236。当收到端口的IGMP离开报文时,如果该端口是组播组的最后一个成员,则立即停止向该端口转发组播流量。 |
支持快速离开使能/关闭 |
无单位 |
UP-023, ASIC-MCAST-02, CP-CORE-273 |
组播成员快速删除逻辑 |
需防止误删除。 |
主机发送IGMP离开,验证组播流立即停止向该端口转发。 |
IGMP、快速离开 |
|
CP-CORE-276 |
vBRAS CP-协议功能 |
802.1X重认证 |
|
安全认证函数 |
802.1X 定期重认证 |
为每个802.1X会话设置重认证定时器。超时后,CP向客户端发起新的EAP认证流程。如果认证失败,则端口状态转为未认证。 |
重认证间隔 300-86400 秒 |
秒 |
CP-CORE-140, IF-CP-AAA-01, SEC-001 |
重认证定时器和状态机 |
重认证期间应保持流量转发。 |
等待重认证定时器超时,验证触发重认证流程。 |
802.1X、重认证 |
|
CP-CORE-277 |
vBRAS CP-协议功能 |
MAC地址迁移检测 |
|
安全检测函数 |
MAC 地址端口迁移检测 |
记录每个MAC地址最近出现的端口和时间。当MAC在短时间内出现在不同端口,则产生安全告警,并可选择阻断该MAC。 |
迁移时间窗口 1-10 秒 |
秒 |
SEC-004, UP-MAC-01, CP-CORE-241 |
MAC-端口绑定和迁移检测 |
需处理合法漫游(如无线)场景。 |
模拟MAC在端口间快速迁移,验证产生告警。 |
MAC安全、迁移检测 |
|
CP-CORE-278 |
vBRAS CP-协议功能 |
TCP拦截 |
|
安全防御函数 |
TCP 拦截(Syn Cookie) |
实现TCP拦截功能。当收到到保护服务器的SYN时,不立即转发,而是发送SYN+ACK(使用Cookie)给客户端。只有收到正确的ACK(验证Cookie)后,才与服务器建立连接。 |
支持保护服务器列表 |
无单位 |
SEC-003, UP-TCP-01, CP-CORE-174 |
TCP协议栈和Cookie算法 |
增加连接建立延迟。 |
向被保护服务器发送SYN,验证TCP拦截流程工作。 |
TCP拦截、防DDoS |
|
CP-CORE-279 |
vBRAS CP-协议功能 |
HTTP/HTTPS 代理 |
|
代理函数 |
HTTP/HTTPS 正向代理 |
实现RFC 7230/7231。接收客户端的HTTP请求,代表客户端向服务器发起请求,并将响应返回给客户端。支持HTTPS隧道(CONNECT)。 |
支持HTTP/1.1, HTTPS隧道 |
无单位 |
CP-022, SEC-003, IF-CP-EXT-03 |
HTTP代理服务器 |
HTTPS代理需解密才能内容过滤。 |
配置代理,客户端通过代理访问网站,验证成功。 |
HTTP代理、内容过滤 |
|
CP-CORE-280 |
vBRAS CP-协议功能 |
SIP ALG |
|
应用网关函数 |
SIP 应用层网关 |
实现RFC 3261。深度解析SIP报文(INVITE, 200 OK等),修改SDP中的媒体地址和端口,使其指向NAT后的公网地址,并维护NAT映射。 |
支持SIP over UDP/TCP |
无单位 |
UP-025, NP-CGN-01, CP-CORE-58 |
SIP协议解析和NAT协同 |
ALG可能引入兼容性问题。 |
内网SIP客户端通过NAT呼叫,验证ALG修改SDP,媒体流可通。 |
SIP ALG、NAT |
|
CP-CORE-281 |
vBRAS CP-协议功能 |
FTP ALG |
|
应用网关函数 |
FTP 应用层网关 |
实现RFC 959。解析FTP控制连接,修改PORT命令中的客户端IP和端口,或PASV响应中的服务器IP和端口,并动态打开数据连接NAT映射。 |
支持主动和被动模式 |
无单位 |
UP-025, NP-CGN-01, CP-CORE-58 |
FTP协议解析和NAT协同 |
需处理FTP over SSL/TLS。 |
内网FTP客户端通过NAT连接服务器,验证ALG工作,数据传输成功。 |
FTP ALG、NAT |
|
CP-CORE-282 |
vBRAS CP-协议功能 |
DNS透明代理 |
|
DNS代理函数 |
DNS 透明代理与过滤 |
在网关上透明拦截UDP 53端口流量。将查询转发到上游DNS服务器,收到响应后,先进行安全检查(如恶意域名过滤),再返回给客户端。 |
支持DNS over UDP/TCP |
无单位 |
IF-CP-EXT-03, SEC-003, CP-022 |
DNS协议栈和过滤引擎 |
需处理DNS劫持的合法性。 |
客户端发送DNS查询,验证被代理,且过滤策略生效。 |
DNS代理、过滤 |
|
CP-CORE-283 |
vBRAS CP-业务功能 |
智能线路选择 |
|
路由优化函数 |
基于应用和质量的智能出口选择 |
维护多条出口线路(如电信、联通、移动)的质量信息。根据用户所属运营商、应用类型(游戏、视频),选择最优线路,并通过策略路由实现。 |
选择延迟 < 100 ms |
毫秒 |
UP-POOL-08, CP-005, CP-CORE-58 |
线路质量探测和策略路由 |
需实时探测线路质量。 |
模拟不同运营商用户访问不同应用,验证流量从对应优质出口流出。 |
智能路由、策略路由 |
|
CP-CORE-284 |
vBRAS CP-业务功能 |
应用流量智能调度 |
|
调度优化函数 |
基于应用特征的流量调度 |
结合DPI识别应用。将时延敏感应用(游戏、语音)调度到负载轻、处理快的UP;将带宽消耗型应用(视频、下载)调度到带宽充足的UP。 |
支持应用类型 ≥ 100 种 |
种 |
UP-POOL-08, CP-CORE-58, UP-POOL-04 |
应用特征库和调度策略 |
调度需考虑会话保持。 |
发送不同类型应用流量,验证被调度到不同UP节点。 |
流量调度、应用感知 |
|
CP-CORE-285 |
vBRAS CP-业务功能 |
用户行为基线异常检测 |
|
安全分析函数 |
用户个体行为基线异常检测 |
通过机器学习为每个用户建立多维行为画像。实时比较当前行为与基线,计算异常分数,超过阈值时告警,并可要求二次认证。 |
基线学习周期 7-30 天, 检测延迟 < 1 分钟 |
天, 分钟 |
CP-VM-AI-01, SEC-003, CP-CORE-243 |
用户行为建模和异常检测算法 |
需处理用户行为正常演变。 |
模拟账号被盗用后的异常行为,验证检测告警。 |
用户行为分析、异常检测 |
|
CP-CORE-286 |
vBRAS CP-业务功能 |
网络拓扑可视化编辑 |
|
可视化函数 |
网络拓扑图形化编辑与配置生成 |
在拓扑视图上直接操作。添加设备时,弹出对话框填写管理信息;连接设备时,自动生成接口配置。简化网络配置。 |
支持常见设备图标, 操作直观 |
无单位 |
CP-TOPO-01, MAN-001, CP-CORE-98 |
图形编辑器和配置模板 |
编辑结果需验证正确性。 |
在可视化界面上添加一台虚拟设备并连接,验证配置生成。 |
拓扑编辑、可视化配置 |
|
CP-CORE-287 |
vBRAS CP-业务功能 |
网络流量仿真 |
|
仿真函数 |
基于数字孪生的网络流量仿真 |
在数字孪生体中注入模拟流量,利用仿真引擎(如离散事件仿真)计算流量在网络中的行为,评估网络设计或变更的影响。 |
仿真精度误差 < 5%, 仿真速度 10x-100x 实时 |
% |
DIGITAL-TWIN-01, CP-TOPO-01, CP-CORE-75 |
流量仿真引擎和模型 |
仿真模型需校准。 |
定义拓扑和流量矩阵,运行仿真,验证输出性能指标合理。 |
网络仿真、性能评估 |
|
CP-CORE-288 |
vBRAS CP-业务功能 |
网络配置语法检查 |
|
配置检查函数 |
配置命令行语法预检查 |
集成各厂商设备的配置语法规则。对将要下发的每行配置进行语法解析,检查命令、参数是否合法,并给出错误提示。 |
支持常见厂商语法, 检查准确率 > 99% |
% |
CP-013, IF-CP-UP-05, MAN-001 |
配置语法解析器 |
需跟随设备OS版本更新语法。 |
输入有语法错误的配置,验证检查出错误并提示。 |
语法检查、配置验证 |
|
CP-CORE-289 |
vBRAS CP-业务功能 |
配置变更影响可视化 |
|
可视化函数 |
配置变更影响范围图形化展示 |
解析配置变更,结合当前网络拓扑和策略,推导出受影响的设备、接口、路由、ACL等,并在拓扑图上高亮显示,直观展示影响面。 |
支持常见变更类型, 推导时间 < 10s |
秒 |
CP-VM-POLICY-02, CP-TOPO-01, CP-CORE-98 |
变更影响分析引擎和可视化 |
推导需准确,避免遗漏。 |
提交一个路由变更,验证在拓扑图上正确高亮受影响路径和设备。 |
变更影响、可视化 |
|
CP-CORE-290 |
vBRAS CP-业务功能 |
网络设备软件版本管理 |
|
版本管理函数 |
网络设备固件集中管理 |
维护设备软件版本仓库。可批量或单个升级设备固件,支持计划任务、升级前检查、升级后验证。记录每次升级操作和结果。 |
支持常见设备型号, 升级成功率 > 95% |
% |
CP-019, MAN-001, CP-CORE-258 |
固件仓库和多厂商升级工具 |
升级有风险,需有回滚计划。 |
选择设备执行升级,验证升级成功,版本变更。 |
固件管理、版本升级 |
|
CP-CORE-291 |
vBRAS CP-业务功能 |
网络拓扑差异比较 |
|
拓扑分析函数 |
网络拓扑快照差异比较 |
定期保存拓扑快照。比较两个快照,识别出新增/删除的设备、链路,以及设备状态(up/down)变化,生成变更报告。 |
比较时间 < 30s (对于1000节点) |
秒 |
CP-TOPO-01, CP-CORE-65, MAN-001 |
拓扑比较算法 |
需处理设备重命名等特殊情况。 |
在两个时间点保存拓扑,模拟变更,运行比较,验证正确识别差异。 |
拓扑比较、变更审计 |
|
CP-CORE-292 |
vBRAS CP-业务功能 |
网络设备配置模板管理 |
|
配置管理函数 |
可参数化的配置模板管理 |
提供模板编辑、版本管理功能。模板使用类似Jinja2的语法定义变量。使用时提供变量值,渲染生成具体配置。 |
支持变量替换、循环、条件 |
无单位 |
CP-CORE-69, MAN-001, CP-013 |
模板引擎和变量管理 |
模板需有良好的文档和示例。 |
选择一个模板,填写变量,验证生成的目标配置正确。 |
配置模板、参数化 |
|
CP-CORE-293 |
vBRAS CP-业务功能 |
网络性能KPI报表 |
|
报表函数 |
网络性能KPI自定义报表 |
从时序数据库中查询指定KPI在时间范围内的数据,进行聚合(平均、最大、最小)、计算环比/同比,并以图表和表格形式呈现,支持导出。 |
支持常见KPI, 报表生成时间 < 30s |
秒 |
MAN-002, CP-CORE-71, CP-CORE-99 |
报表生成引擎和图表库 |
查询大量数据时需优化。 |
选择几个KPI生成日报,验证报表数据准确且图表正确。 |
KPI报表、性能监控 |
|
CP-CORE-294 |
vBRAS CP-业务功能 |
网络事件时间线 |
|
可视化函数 |
网络事件时间线可视化 |
从各子系统收集带时间戳的事件,在一条时间轴上按时间顺序显示。支持缩放、过滤,点击查看事件详情。用于故障复盘。 |
支持多事件源, 时间轴缩放 |
无单位 |
MAN-005, CP-CORE-46, CP-CORE-98 |
时间线渲染和事件聚合 |
事件数量多时需聚合显示。 |
注入多个事件,验证在时间线上正确显示,可交互。 |
事件时间线、可视化 |
|
CP-CORE-295 |
vBRAS CP-业务功能 |
网络设备面板可视化 |
|
可视化函数 |
网络设备物理面板仿真 |
根据设备型号加载面板布局图。实时从设备获取板卡和端口状态,以颜色(绿/红)和数值(流量)在对应位置显示。点击端口可进行管理操作(重启、查看统计)。 |
支持常见设备型号, 状态更新延迟 < 10s |
秒 |
SYS-002, UP-022, CP-CORE-98 |
设备面板图库和状态映射 |
需为不同设备型号准备面板图。 |
查看设备面板,验证端口状态与设备实际一致,并可进行简单操作。 |
设备面板、可视化 |
|
CP-CORE-296 |
vBRAS CP-业务功能 |
网络路径追踪可视化 |
|
可视化函数 |
网络路径追踪与可视化 |
基于路由表、策略路由或实际追踪(如traceroute)结果,在拓扑图上绘制出路径。叠加显示路径上各链路的实时性能(时延、利用率)。 |
支持IPv4/IPv6, 路径发现时间 < 5s |
秒 |
CP-TOPO-01, OAM-ADV-01, CP-CORE-98 |
路径计算和性能数据叠加 |
路径可能有多条。 |
指定源和目的IP,运行路径追踪,验证在拓扑图上正确高亮路径。 |
路径追踪、可视化 |
|
CP-CORE-297 |
vBRAS CP-业务功能 |
网络配置归档报告 |
|
报告函数 |
设备配置变更历史报告 |
从配置归档数据库中,提取指定设备在时间范围内的所有配置版本,并生成变更摘要报告,列出每次变更的差异概览。 |
报告包含变更前后差异摘要 |
无单位 |
CP-CORE-48, CP-CORE-89, CP-CORE-99 |
配置变更数据库和报告生成 |
差异摘要需可读性强。 |
选择一个有多次配置变更的设备,生成报告,验证变更历史正确。 |
配置报告、变更审计 |
|
CP-CORE-298 |
vBRAS CP-业务功能 |
网络设备资产报表 |
|
报告函数 |
网络设备资产清单报表 |
从资产数据库中提取设备属性,生成结构化的报表(如Excel、PDF),支持按属性过滤和排序,用于资产清点和审计。 |
支持导出常见格式 |
无单位 |
SYS-002, CP-CORE-64, CP-CORE-99 |
资产数据库和报表模板 |
资产信息需准确、完整。 |
生成资产报表,验证包含所有设备且信息正确。 |
资产报表、资产管理 |
|
CP-CORE-299 |
vBRAS CP-业务功能 |
网络服务健康度仪表盘 |
|
可视化函数 |
网络服务健康状态集中仪表盘 |
从各个服务的健康检查结果中获取状态,在一个仪表盘上直观显示。绿色表示健康,红色表示故障,黄色表示警告。点击可查看详情。 |
状态更新周期 1-5 分钟 |
分钟 |
OAM-001, CP-CORE-97, CP-CORE-98 |
健康检查聚合和仪表盘 |
服务定义和检查方法需明确。 |
模拟某个服务故障,验证仪表盘上相应服务变红。 |
健康仪表盘、服务监控 |
|
CP-CORE-300 |
vBRAS CP-业务功能 |
网络性能热力图 |
|
可视化函数 |
网络性能指标拓扑热力图 |
将性能指标映射到链路的颜色或宽度。例如,利用率越高,链路颜色越红(或越粗)。支持选择不同指标和时间范围。 |
支持利用率、时延、丢包率 |
无单位 |
UP-POOL-15, CP-TOPO-01, CP-CORE-98 |
性能数据映射和热力图渲染 |
需处理大量链路的性能数据。 |
选择利用率指标,验证高利用率链路在拓扑图上以显著颜色显示。 |
热力图、性能可视化 |
|
CP-CORE-301 |
vBRAS CP-协议功能 |
BGP路由策略模拟器 |
|
策略模拟函数 |
BGP 路由策略效果模拟 |
输入一组BGP路由和策略配置,在沙箱中运行策略引擎,输出经过策略过滤和修改后的路由,用于验证策略正确性。 |
模拟准确率 100%, 模拟时间 < 10s |
秒 |
CP-CORE-16, CP-VM-POLICY-02, CP-CORE-202 |
BGP策略引擎和模拟环境 |
需支持复杂策略语法。 |
定义一条策略,输入测试路由,验证模拟输出符合预期。 |
BGP、策略模拟 |
|
CP-CORE-302 |
vBRAS CP-协议功能 |
OSPF虚链路成本调整 |
|
路由调优函数 |
OSPF 虚链路成本动态调整 |
虚链路被视为骨干区域的一条点到点链路,其Cost可配置。调整Cost可以影响经过该虚链路的流量,用于负载分担或故障迂回。 |
Cost 范围 1-65535 |
无单位 |
CP-CORE-26, CP-CORE-103, CP-CORE-211 |
虚链路配置和SPF重计算 |
虚链路是临时方案,应尽量避免。 |
调整虚链路Cost,验证路由表变化,流量路径改变。 |
OSPF、虚链路 |
|
CP-CORE-303 |
vBRAS CP-协议功能 |
IS-IS 接口度量动态调整 |
|
路由调优函数 |
IS-IS 接口度量动态调整 |
监控接口流量,当负载持续过高时,自动增加接口度量值,使IS-IS选择其他路径,实现负载均衡。也可手动设置。 |
度量范围 1-16777215 |
无单位 |
CP-CORE-28, UP-POOL-15, CP-CORE-283 |
接口负载监控和度量调整策略 |
调整需平滑,避免路由振荡。 |
模拟接口拥塞,验证自动增加度量,流量部分迁移。 |
IS-IS、流量工程 |
|
CP-CORE-304 |
vBRAS CP-协议功能 |
MPLS LDP 标签分配策略 |
|
标签管理函数 |
MPLS LDP 标签分配策略控制 |
控制LDP的标签分配行为。可以为重要路由分配静态标签,或控制标签分配范围(每平台或每接口),用于管理和优化。 |
支持静态标签绑定 |
无单位 |
CP-CORE-30, CP-CORE-31, CP-CORE-16 |
标签策略数据库 |
静态标签需全网一致。 |
为特定路由配置静态标签,验证LDP分配该标签。 |
MPLS、LDP |
|
CP-CORE-305 |
vBRAS CP-协议功能 |
MPLS 流量工程隧道自动优化 |
|
流量工程函数 |
MPLS TE 隧道路径动态优化 |
持续监控TE隧道的路径性能。当现有路径不再最优或违反约束时,自动计算新路径,并通过信令(RSVP-TE)进行重优化,可能涉及流量平滑切换。 |
优化周期 5-15 分钟, 切换丢包率 < 0.1% |
分钟, % |
CP-CORE-33, CP-CORE-32, UP-POOL-15 |
路径重优化算法和信令 |
路径计算和切换需谨慎。 |
制造原路径拥塞,验证隧道自动重优化到新路径。 |
MPLS TE、自动优化 |
|
CP-CORE-306 |
vBRAS CP-协议功能 |
SR-TE 策略动态调整 |
|
流量工程函数 |
SR-TE 策略候选路径动态调整 |
监控SR-TE策略各候选路径的性能。当主路径性能下降时,自动调高备用路径优先级,或将流量按权重分配到多条路径。 |
调整延迟 < 1 分钟 |
分钟 |
PROTO-EVO-02, CP-CORE-35, UP-POOL-15 |
路径性能监控和策略调整 |
需支持BGP SR-TE或PCEP SR-TE。 |
模拟主路径时延增加,验证流量部分切换到备用路径。 |
SR-TE、流量工程 |
|
CP-CORE-307 |
vBRAS CP-协议功能 |
VXLAN EVPN 控制平面 |
|
overlay协议函数 |
EVPN 路由处理与传播 |
实现RFC 7432。在VTEP之间交换EVPN路由,学习远端主机的MAC和IP信息,并下发到本地转发表,实现大二层overlay。 |
支持EVPN类型 2,3,5 |
无单位 |
UP-Tunnel-01, CP-005, CP-CORE-13 |
EVPN协议栈和路由处理 |
EVPN是BGP的扩展。 |
在EVPN环境中,验证主机信息能通过EVPN路由学习,跨子网通信。 |
VXLAN、EVPN |
|
CP-CORE-308 |
vBRAS CP-协议功能 |
VXLAN 分布式网关 |
|
overlay网关函数 |
VXLAN 分布式网关(Anycast Gateway) |
实现分布式网关。多个VTEP使用相同的虚拟MAC和IP作为网关。主机ARP解析得到本地VTEP的网关MAC,流量本地转发,网关间通过EVPN同步主机路由。 |
支持虚拟MAC和IP相同 |
无单位 |
UP-Tunnel-01, UP-ARP-01, CP-CORE-307 |
分布式网关状态同步 |
需防止ARP泛洪。 |
主机在不同VTEP下,验证能解析到本地网关,跨子网通信最优。 |
VXLAN、分布式网关 |
|
CP-CORE-309 |
vBRAS CP-协议功能 |
Geneve 协议处理 |
|
overlay协议函数 |
Geneve 隧道协议解析与封装 |
实现Geneve封装和解封装。解析Geneve头中的可变长选项,根据选项内容执行相应动作(如传递给服务功能)。 |
支持标准Geneve头, 选项解析 |
无单位 |
UP-Tunnel-01, UP-INT-02, CP-CORE-58 |
Geneve协议栈和选项处理 |
选项定义需标准化。 |
建立Geneve隧道,发送带选项的报文,验证选项被正确解析和处理。 |
Geneve、隧道 |
|
CP-CORE-310 |
vBRAS CP-协议功能 |
IPSec IKEv2 协商 |
|
VPN协议函数 |
IKEv2 协议交换与IPSec SA建立 |
实现RFC 7296。作为IKEv2响应者,与对端进行IKE_SA_INIT和IKE_AUTH交换,协商加密算法、认证,并生成子SA用于数据加密。 |
支持证书和预共享密钥认证 |
无单位 |
SEC-002, UP-Tunnel-01, CP-CORE-52 |
IKEv2协议栈和密码库 |
实现复杂,需处理多种认证方式。 |
配置IPSec VPN,验证IKEv2协商成功,IPSec隧道建立。 |
IPSec、IKEv2 |
|
CP-CORE-311 |
vBRAS CP-协议功能 |
L2TP LAC 功能 |
|
VPN协议函数 |
L2TP 访问集中器(LAC) |
实现RFC 2661。在本地终结用户PPP,建立L2TP控制连接和会话,将PPP帧通过L2TP隧道封装发送到LNS,用于PPPoE over L2TP(即L2TP拨号)。 |
支持L2TPv2, 隧道和会话管理 |
无单位 |
UP-PPPoE-01, UP-Tunnel-01, CP-CORE-141 |
L2TP协议栈和PPP关联 |
常用于运营商宽带接入。 |
配置L2TP LAC,用户PPPoE拨号,验证PPP帧通过L2TP隧道转发。 |
L2TP、VPN |
|
CP-CORE-312 |
vBRAS CP-协议功能 |
GRE 隧道管理 |
|
隧道管理函数 |
GRE 隧道配置与状态管理 |
实现RFC 2784/2890。配置GRE隧道端点,监控隧道状态(up/down)。支持可选的校验和、密钥,用于简单 overlay 或流量承载。 |
支持GRE over IP, 支持Key |
无单位 |
UP-Tunnel-01, CP-005, SYS-002 |
GRE隧道驱动 |
GRE无加密,常与IPSec结合。 |
配置GRE隧道,验证隧道建立,可ping通对端隧道地址。 |
GRE、隧道 |
|
CP-CORE-313 |
vBRAS CP-协议功能 |
802.1Q-in-Q 终结 |
|
VLAN处理函数 |
802.1Q-in-Q 双层VLAN终结 |
在接入端口接收带双VLAN标签的报文。根据配置的VLAN映射表,剥离外层VLAN,内层VLAN用于用户标识,或反之。 |
支持VLAN映射和转换 |
无单位 |
UP-039, UP-040, CP-CORE-146 |
QinQ终结逻辑和VLAN表 |
需处理大量VLAN组合。 |
发送带双层VLAN的报文,验证被正确终结,内层VLAN用于用户识别。 |
QinQ、VLAN |
|
CP-CORE-314 |
vBRAS CP-协议功能 |
MVR(Multicast VLAN Registration) |
|
组播优化函数 |
组播 VLAN 注册 |
实现IEEE 802.1ak。配置一个组播VLAN,所有组播流在此VLAN中传输。用户VLAN通过MVR映射到组播VLAN,接收组播流,实现跨VLAN组播共享。 |
支持组播VLAN和用户VLAN映射 |
无单位 |
UP-023, UP-039, ASIC-MCAST-02 |
MVR映射表和组播转发 |
需交换机支持MVR。 |
配置MVR,不同VLAN用户加入同一组播组,验证组播流只在组播VLAN中有一份。 |
MVR、组播优化 |
|
CP-CORE-315 |
vBRAS CP-协议功能 |
ERPS(以太环保护协议) |
|
环网保护函数 |
以太环保护协议状态机 |
实现ITU-T G.8032。在以太环网上运行,通过周期性健康检测发现故障,阻塞冗余链路,故障时解除阻塞,实现快速保护倒换。 |
倒换时间 < 50 ms |
毫秒 |
HA-002, UP-013, CP-CORE-167 |
ERPS协议栈和环网状态 |
需硬件支持快速收敛。 |
模拟环网链路故障,验证保护倒换在50ms内完成。 |
ERPS、环网保护 |
|
CP-CORE-316 |
vBRAS CP-协议功能 |
1588v2 透明时钟 |
|
时钟同步函数 |
PTP 透明时钟处理 |
实现IEEE 1588-2008透明时钟。测量PTP报文在设备内的驻留时间,并累加到报文的修正字段(correctionField)中,使从时钟能补偿中间设备的延时。 |
支持单步和双步透明时钟 |
无单位 |
CLK-001, CLK-002, CP-CORE-41 |
高精度时间戳和驻留时间测量 |
需要硬件时间戳支持。 |
配置为透明时钟,验证PTP报文的修正字段被正确更新。 |
PTP、透明时钟 |
|
CP-CORE-317 |
vBRAS CP-协议功能 |
同步以太网 ESMC |
|
时钟同步函数 |
同步以太网 ESMC 协议处理 |
实现ITU-T G.8264。通过以太网同步消息信道(ESMC)协议,在以太网链路上传递时钟质量等级(QL),使设备选择最高质量的时钟源。 |
支持QL等级 T1-S1-A |
无单位 |
CLK-001, CLK-002, UP-MAC-01 |
ESMC协议栈和QL选择算法 |
需硬件支持SyncE。 |
模拟不同QL的时钟源,验证设备选择最高QL的源。 |
SyncE、ESMC |
|
CP-CORE-318 |
vBRAS CP-协议功能 |
TWAMP 性能测量 |
|
性能测量函数 |
TWAMP 协议实现与性能测量 |
实现RFC 5357。作为发送端,向反射端发送测试报文,并计算往返时延。作为反射端,反射接收到的测试报文。用于自动化的端到端性能测量。 |
支持TWAMP Light, 测量精度 微秒 |
微秒 |
OAM-ADV-01, UP-POOL-15, CP-CORE-252 |
TWAMP协议栈和时间戳 |
需要高精度时钟。 |
配置TWAMP会话,运行测试,验证时延、丢包测量结果准确。 |
TWAMP、性能测量 |
|
CP-CORE-319 |
vBRAS CP-协议功能 |
IPFIX 流量记录输出 |
|
流量分析函数 |
IPFIX 流记录生成与输出 |
实现RFC 7011。基于流缓存(如5元组)生成流记录,定期或流结束时,将记录封装为IPFIX报文,发送到一个或多个采集器。 |
支持模板和选项模板, 输出速率可调 |
无单位 |
UP-009, NP-STAT-02, IF-CP-UP-03 |
IPFIX协议栈和流缓存 |
输出可能产生大量数据。 |
配置IPFIX输出,验证采集器收到流记录,且字段正确。 |
IPFIX、流量分析 |
|
CP-CORE-320 |
vBRAS CP-协议功能 |
sFlow 采样报文输出 |
|
流量分析函数 |
sFlow 采样数据生成与输出 |
实现RFC 3176。对报文进行随机采样,生成采样报文。定期采集接口计数器,生成计数器样本。两者都封装为sFlow报文发送。 |
采样率可配, 输出UDP报文 |
无单位 |
UP-009, NP-STAT-02, IF-CP-UP-03 |
sFlow协议栈和采样引擎 |
sFlow基于采样,数据量相对小。 |
配置sFlow,验证采集器收到采样数据和计数器数据。 |
sFlow、流量监控 |
|
CP-CORE-321 |
vBRAS CP-协议功能 |
NETCONF YANG模型驱动 |
|
配置管理函数 |
YANG 模型驱动配置 |
加载设备或服务的YANG模型。配置数据以YANG定义的结构化格式(XML/JSON)输入,系统根据模型验证数据有效性,并转换为设备可执行配置。 |
支持标准和私有YANG模型 |
无单位 |
MAN-001, CP-013, CP-CORE-42 |
YANG解析器和模型编译器 |
需为每款设备维护YANG模型。 |
通过YANG模型定义的结构下发配置,验证配置成功且符合模型约束。 |
NETCONF、YANG |
|
CP-CORE-322 |
vBRAS CP-协议功能 |
RESTCONF资源操作 |
|
配置管理函数 |
RESTCONF 资源路径映射与操作 |
解析RESTCONF URI,映射到YANG数据树的具体节点。根据HTTP方法(GET, POST, PUT, PATCH, DELETE)执行相应的数据操作。 |
支持RFC 8040, JSON/XML编码 |
无单位 |
MAN-001, CP-013, CP-CORE-43 |
URI路由和资源映射 |
映射需符合RESTCONF规范。 |
通过RESTCONF接口操作资源,验证返回正确状态码和数据。 |
RESTCONF、RESTful |
|
CP-CORE-323 |
vBRAS CP-协议功能 |
gNMI订阅流式遥测 |
|
遥测函数 |
gNMI 订阅模式处理与流式数据返回 |
实现gNMI Subscribe RPC。客户端可以订阅指定的数据路径。对于流式订阅,当数据变化时,主动推送更新给客户端,实现实时监控。 |
支持ON_CHANGE, SAMPLE, TARGET_DEFINED模式 |
无单位 |
MAN-001, IF-CP-UP-03, CP-CORE-44 |
gNMI服务器和流式处理 |
流式订阅会消耗服务器资源。 |
发起gNMI流式订阅,验证当数据变化时收到更新通知。 |
gNMI、遥测 |
|
CP-CORE-324 |
vBRAS CP-协议功能 |
SNMP Trap 接收处理 |
|
事件处理函数 |
SNMP Trap 接收与解析 |
作为SNMP Trap接收器,监听UDP 162端口。解析接收到的Trap PDU,提取企业OID、特定Trap OID和变量,映射为标准化事件,并触发相应动作(告警、日志)。 |
支持SNMPv1/v2c/v3 Trap |
无单位 |
MAN-005, CP-CORE-45, CP-CORE-46 |
SNMP Trap解析器和OID映射 |
需维护OID到事件的映射表。 |
模拟设备发送Trap,验证被接收、解析并生成事件。 |
SNMP、Trap |
|
CP-CORE-325 |
vBRAS CP-协议功能 |
Syslog 结构化数据解析 |
|
日志处理函数 |
Syslog 结构化数据解析 |
实现RFC 5424结构化数据。解析Syslog消息头部的SD(如 |
支持常见SD元素 |
无单位 |
CP-CORE-46, MAN-005, CP-CORE-47 |
Syslog解析器和SD提取 |
需定义SD的语义。 |
接收带SD的Syslog,验证能正确解析出键值对。 |
Syslog、结构化数据 |
|
CP-CORE-326 |
vBRAS CP-协议功能 |
802.1X MAB 混合认证 |
|
认证函数 |
802.1X 与 MAB 混合认证 |
配置端口为混合模式。首先监听EAPOL报文,进行802.1X认证。如果在超时时间内未收到EAPOL,则尝试基于MAC地址的MAB认证。 |
超时时间 30-60 秒 |
秒 |
CP-CORE-140, CP-CORE-238, SEC-001 |
混合认证状态机 |
需防止恶意设备利用超时。 |
连接支持和不支持802.1X的设备,验证分别通过802.1X和MAB认证。 |
802.1X、MAB |
|
CP-CORE-327 |
vBRAS CP-协议功能 |
CoA/DM 动态授权 |
|
动态授权函数 |
RADIUS CoA/DM 请求处理 |
作为RADIUS动态授权客户端,监听UDP端口。接收来自AAA服务器的CoA/DM报文, |
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
CP-CORE-328 |
vBRAS CP-协议功能 |
CoA/DM 动态授权 |
|
动态授权函数 |
RADIUS CoA/DM 请求处理 |
作为RADIUS动态授权客户端,监听UDP端口。接收来自AAA服务器的CoA/DM报文,验证签名,解析属性,并执行相应操作(如修改用户带宽、ACL、强制下线)。 |
处理延迟 < 100 ms |
毫秒 |
IF-CP-AAA-COA-01, CP-CORE-150, SEC-002 |
RADIUS CoA协议栈 |
需确保CoA请求来自可信的AAA服务器。 |
从AAA服务器发送CoA请求修改用户带宽,验证用户带宽策略实时更新。 |
RADIUS、动态授权 |
|
CP-CORE-329 |
vBRAS CP-协议功能 |
EAPoL 帧处理 |
|
认证协议函数 |
EAPoL 帧解析与处理 |
实现IEEE 802.1X。解析EAPoL帧,根据类型交给相应状态机处理。例如,将EAP-Packet载荷提取出来,封装到RADIUS Access-Request中发送给AAA服务器。 |
支持EAPoL帧类型: Start, Logoff, EAP-Packet, Key |
无单位 |
CP-CORE-140, SEC-001, IF-CP-AAA-01 |
EAPoL解析器和状态机 |
需处理多版本EAPoL。 |
发送EAPoL-Start,触发认证流程。 |
802.1X、EAPoL |
|
CP-CORE-330 |
vBRAS CP-协议功能 |
EAP 方法协商 |
|
认证协议函数 |
EAP 方法协商 |
实现RFC 3748。在EAP流程中,服务器列出支持的方法,客户端选择其中之一。CP作为认证者,中继协商过程。 |
支持常见EAP方法 |
无单位 |
CP-CORE-139, CP-CORE-234, CP-CORE-235 |
EAP方法列表和选择逻辑 |
需考虑安全性和客户端兼容性。 |
客户端支持多种EAP方法,验证协商出双方支持的最安全方法。 |
EAP、方法协商 |
|
CP-CORE-331 |
vBRAS CP-协议功能 |
MACsec 密钥协商 |
|
安全协议函数 |
MACsec 密钥协商(MKA) |
实现IEEE 802.1X-2010。通过MKA协议,在已认证的端口上协商MACsec使用的密钥(SAK),并管理密钥的生命周期。 |
支持MACsec加密 |
无单位 |
SEC-002, UP-MAC-01, CP-CORE-140 |
MKA协议栈和密钥管理 |
需要硬件支持MACsec加密。 |
启用MACsec,验证链路层流量被加密。 |
MACsec、链路加密 |
|
CP-CORE-332 |
vBRAS CP-业务功能 |
用户多播组管理 |
|
组播管理函数 |
用户级多播订阅管理 |
记录每个用户订阅的多播组。当用户加入/离开组时,更新记录,并通过IGMP/MLD控制或直接下发组播转发表项,确保用户只收到订阅的组播流。 |
支持每用户多播组数 ≥ 20 |
个 |
UP-023, CP-CORE-186, ASIC-MCAST-02 |
用户-组播组订阅关系表 |
需考虑用户快速切换频道时的性能。 |
用户加入多个组播组,验证能收到所有组播流,离开后停止接收。 |
组播、用户管理 |
|
CP-CORE-333 |
vBRAS CP-业务功能 |
用户会话信息查询 |
|
查询函数 |
用户会话详细信息查询 |
从会话数据库中检索指定会话的所有相关信息,并以结构化的方式返回。用于运维和故障排查。 |
查询延迟 < 100 ms |
毫秒 |
CP-CORE-150, CP-CORE-189, IF-003 |
会话数据库索引 |
信息展示需清晰、完整。 |
查询一个在线用户的会话信息,验证返回信息准确。 |
会话查询、运维 |
|
CP-CORE-334 |
vBRAS CP-业务功能 |
用户流量实时监控 |
|
监控函数 |
用户流量实时速率监控 |
从UP采集用户流量的实时计数器,计算每秒的速率,并通过WebSocket等推送给前端展示,形成实时流量曲线。 |
监控粒度 1-5 秒 |
秒 |
CP-CORE-151, IF-CP-UP-03, CP-CORE-184 |
实时数据采集和推送 |
数据量可能很大,需考虑性能。 |
用户查看自己的实时流量,验证曲线与实际发送速率一致。 |
实时监控、流量 |
|
CP-CORE-335 |
vBRAS CP-业务功能 |
用户上网时间统计 |
|
统计函数 |
用户上网时长统计 |
从会话历史记录中,聚合指定用户在时间范围内的所有会话时长,得到总在线时长。支持按天、周、月统计。 |
统计精度 分钟 |
分钟 |
CP-CORE-152, CP-CORE-182, CP-CORE-251 |
会话历史数据库和聚合 |
需处理会话重叠等情况。 |
统计用户本月的上网总时长,验证与各次会话记录之和一致。 |
时长统计、报表 |
|
CP-CORE-336 |
vBRAS CP-业务功能 |
用户异常流量告警 |
|
告警函数 |
用户流量异常检测与告警 |
设定流量异常检测规则(如速率超过阈值、连接数异常)。实时监控用户流量,匹配规则时生成告警,并可通过邮件、短信通知管理员。 |
告警延迟 < 1 分钟 |
分钟 |
CP-CORE-174, MAN-005, CP-CORE-199 |
异常检测规则和告警引擎 |
阈值需根据用户套餐设定。 |
模拟用户流量突发,验证告警生成并发送。 |
异常检测、告警 |
|
CP-CORE-337 |
vBRAS CP-可靠性功能 |
配置变更审计日志 |
|
审计函数 |
配置变更详细审计日志 |
在配置变更执行时,自动记录谁、在什么时间、对什么配置、从什么值改为什么值。日志不可篡改,用于安全审计。 |
记录所有变更, 日志不可篡改 |
无单位 |
SEC-001, CP-CORE-51, CP-CORE-163 |
配置变更钩子和日志记录 |
变更内容需可读。 |
执行配置变更,验证审计日志中有完整记录。 |
审计日志、变更跟踪 |
|
CP-CORE-338 |
vBRAS CP-可靠性功能 |
服务状态仪表盘 |
|
监控函数 |
服务状态集中可视化仪表盘 |
从各服务的健康检查结果获取状态,在一个统一的Web界面中展示。绿色正常,红色故障,黄色警告。支持点击查看详情和日志。 |
状态更新周期 10-30 秒 |
秒 |
SYS-002, CP-CORE-164, CP-CORE-299 |
服务状态聚合和前端展示 |
服务定义和检查方法需明确。 |
模拟某个服务故障,验证仪表盘中该服务状态变红。 |
仪表盘、服务监控 |
|
CP-CORE-339 |
vBRAS CP-可靠性功能 |
自动故障切换演练 |
|
演练函数 |
高可用故障切换自动化演练 |
在受控环境中,自动模拟某个组件(如CP节点、UP节点、链路)故障,触发切换,并验证切换过程是否满足SLA(如切换时间、数据丢失)。记录演练结果。 |
演练频率 每月/季度, 切换时间达标 |
无单位 |
HA-002, CP-CORE-160, CP-CORE-260 |
故障注入和验证脚本 |
演练不应影响生产业务。 |
执行CP节点故障切换演练,验证备用节点接管,业务不中断。 |
故障演练、高可用 |
|
CP-CORE-340 |
vBRAS CP-可靠性功能 |
性能容量预警 |
|
容量管理函数 |
系统性能容量预警 |
设定资源的预警阈值(如80%)。监控资源使用率,超过阈值时发送预警通知给管理员,提示扩容。 |
预警阈值 70-80% |
% |
SYS-002, UP-POOL-19, CP-CORE-257 |
资源监控和预警策略 |
阈值需根据实际容量设定。 |
模拟会话数达到预警阈值,验证预警通知发出。 |
容量预警、性能管理 |
|
CP-CORE-341 |
vBRAS CP-安全性功能 |
用户密码强度实时检查 |
|
安全策略函数 |
用户密码强度实时评估 |
使用密码强度算法(如zxcvbn)评估密码的破解难度,给出强度等级(弱、中、强)和建议。前端实时显示。 |
支持常见密码字典检查 |
无单位 |
SEC-001, CP-CORE-169, CP-CORE-184 |
密码强度评估库 |
评估算法需合理,不过于严格。 |
尝试设置各种密码,验证强度评估结果合理。 |
密码强度、安全 |
|
CP-CORE-342 |
vBRAS CP-安全性功能 |
会话固定攻击防护 |
|
安全防御函数 |
会话固定攻击防护 |
实现会话管理安全。用户认证成功后,必须分配一个新的会话ID,并立即使旧的会话ID无效。防止攻击者获取有效会话ID后诱骗用户使用。 |
登录后会话ID更新 |
无单位 |
SEC-001, CP-CORE-150, CP-CORE-184 |
会话ID生成和失效机制 |
需与会话管理系统集成。 |
模拟会话固定攻击,验证攻击者持有的会话ID在用户登录后失效。 |
会话安全、攻击防护 |
|
CP-CORE-343 |
vBRAS CP-安全性功能 |
安全头注入(HTTP) |
|
Web安全函数 |
HTTP 安全响应头自动注入 |
对CP管理的Web服务(如自助门户、认证门户)的HTTP响应,自动添加一系列安全头,减少跨站脚本、点击劫持等攻击面。 |
支持HSTS, CSP, X-Frame-Options等 |
无单位 |
SEC-003, CP-CORE-184, CP-022 |
HTTP响应过滤和头注入 |
需根据Web应用特点配置CSP。 |
访问自助门户,检查HTTP响应头包含安全头。 |
Web安全、HTTP头 |
|
CP-CORE-344 |
vBRAS CP-安全性功能 |
安全扫描白名单 |
|
安全策略函数 |
安全扫描器IP白名单管理 |
维护一个安全扫描器IP地址列表。来自这些IP的请求,在认证失败计数、DDoS检测等安全模块中被特殊处理,通常不会触发防御动作。 |
支持IP和IP段 |
无单位 |
SEC-003, CP-CORE-170, CP-CORE-178 |
白名单数据结构和匹配 |
白名单需谨慎管理,定期审查。 |
从白名单IP尝试失败登录,验证不会锁定账户。 |
白名单、安全扫描 |
|
CP-CORE-345 |
vBRAS CP-安全性功能 |
加密算法协商强化 |
|
安全策略函数 |
加密协议强算法强制 |
配置协议栈(如OpenSSL)只启用安全的协议版本和密码套件。例如,禁用SSLv3,禁用RC4、DES,优先使用ECDHE和AES-GCM。 |
支持TLS 1.2/1.3, 强密码套件 |
无单位 |
SEC-002, CP-CORE-52, CP-VM-AUTH-01 |
密码套件配置和协议栈 |
需平衡安全性和兼容性。 |
使用SSL扫描工具检查,验证不安全的协议和密码被禁用。 |
加密、协议安全 |
|
CP-CORE-346 |
vBRAS CP-业务功能 |
用户自助修改联系方式 |
|
用户服务函数 |
用户联系方式自助更新 |
提供界面让用户修改手机和邮箱。修改时需验证当前密码或进行二次认证。修改后,新的联系方式将用于后续通知。 |
支持手机和邮箱, 修改需验证 |
无单位 |
SEC-001, CP-CORE-184, CP-CORE-265 |
用户信息数据库和验证 |
联系方式需验证有效性(如发送验证码)。 |
用户登录后修改联系方式,验证需要验证旧密码,且新方式生效。 |
用户服务、信息更新 |
|
CP-CORE-347 |
vBRAS CP-业务功能 |
用户上网行为报告 |
|
报告函数 |
用户上网行为分析报告 |
基于流量日志和DPI结果,分析用户的上网行为,生成可视化报告,如各类应用流量占比、常访问网站、上网时间段分布等。 |
报告周期 周/月, 支持PDF导出 |
无单位 |
CP-CORE-58, CP-CORE-251, CP-CORE-99 |
行为分析引擎和报告生成 |
需遵守隐私法规,可能需用户同意。 |
为用户生成月度行为报告,验证内容准确且可读。 |
行为报告、用户画像 |
|
CP-CORE-348 |
vBRAS CP-业务功能 |
用户设备管理 |
|
设备管理函数 |
用户多设备管理 |
记录每个用户账号下在线的设备(基于MAC、设备指纹)。用户可以在自助门户查看,并强制某个设备下线,防止账号盗用。 |
支持设备列表查看和踢除 |
无单位 |
CP-CORE-150, CP-CORE-243, CP-CORE-190 |
用户-设备绑定关系 |
设备识别需准确。 |
用户用多个设备登录,在门户中查看并踢除一个,验证该设备下线。 |
设备管理、安全 |
|
CP-CORE-349 |
vBRAS CP-业务功能 |
用户流量充值卡 |
|
充值函数 |
流量充值卡兑换 |
维护流量卡数据库(卡号、密码、面值、状态)。用户输入卡号密码,系统验证有效后,将对应的流量(如10GB)添加到用户账户的剩余流量中。 |
支持多种面值, 即时到账 |
无单位 |
CP-CORE-181, IF-CP-EXT-02, SEC-006 |
充值卡数据库和兑换逻辑 |
充值卡需防暴力破解。 |
用户使用有效流量卡充值,验证账户流量余额增加。 |
充值卡、用户服务 |
|
CP-CORE-350 |
vBRAS CP-业务功能 |
用户套餐余量告警 |
|
用户服务函数 |
套餐余量不足预警通知 |
监控用户套餐余量,当低于设定阈值时,触发通知,提醒用户及时续费或购买加油包。支持多级阈值。 |
预警阈值 10%, 5% 等 |
% |
CP-CORE-183, CP-CORE-184, CP-CORE-249 |
余量监控和通知引擎 |
避免频繁打扰用户。 |
设置低阈值,模拟使用触发,验证用户收到预警通知。 |
余量告警、用户服务 |
|
CP-CORE-351 |
vBRAS CP-协议功能 |
DHCPv6 无状态自动配置 |
|
IPv6协议函数 |
DHCPv6 无状态自动配置处理 |
实现RFC 3736。响应DHCPv6 Information-Request报文,返回DNS服务器、域名等配置选项。客户端通过SLAAC获取地址,通过DHCPv6获取其他配置。 |
支持常见选项(如DNS, Domain) |
无单位 |
IF-CP-DHCP-01, UP-IPoE-07, CP-CORE-147 |
DHCPv6协议扩展 |
需与SLAAC配合。 |
IPv6客户端发送Information-Request,验证获得DNS配置。 |
DHCPv6、IPv6 |
|
CP-CORE-352 |
vBRAS CP-协议功能 |
ICMPv6 错误报文限速 |
|
安全防御函数 |
ICMPv6 错误报文速率限制 |
实现RFC 4443。限制每秒钟发送的ICMPv6错误报文数量,超过阈值则丢弃,防止攻击者诱使设备发送大量错误报文。 |
限速阈值 100 pps |
pps |
SEC-004, UP-IP-02, CP-CORE-172 |
ICMPv6错误报文计数和限速 |
需允许必要的错误报文。 |
模拟触发大量ICMPv6错误报文,验证被限速。 |
ICMPv6、安全 |
|
CP-CORE-353 |
vBRAS CP-协议功能 |
802.1X 静默主机 |
|
认证策略函数 |
802.1X 静默主机例外 |
在802.1X端口上配置静默主机MAC地址列表。这些MAC的设备接入时,不进行802.1X认证,直接放行。通常与MAB结合。 |
支持MAC地址列表 |
无单位 |
CP-CORE-140, CP-CORE-238, SEC-001 |
静默主机MAC表 |
静默主机需严格管理。 |
配置静默主机MAC,该设备接入时不触发认证即可上网。 |
802.1X、哑设备 |
|
CP-CORE-354 |
vBRAS CP-协议功能 |
LLDP 邻居信息收集 |
|
邻居发现函数 |
LLDP 邻居信息收集与展示 |
实现IEEE 802.1AB。在端口上发送和接收LLDP报文,解析邻居信息,并存储到数据库。可通过管理界面查看每个端口的LLDP邻居。 |
支持LLDP-MED, 更新间隔 30s |
秒 |
OAM-003, CP-CORE-65, SYS-002 |
LLDP协议栈和邻居数据库 |
需配置发送LLDP。 |
连接支持LLDP的设备,验证能收集到邻居信息。 |
LLDP、拓扑发现 |
|
CP-CORE-355 |
vBRAS CP-协议功能 |
802.3ad LACP 状态监控 |
|
聚合监控函数 |
链路聚合组状态实时监控 |
从驱动或ASIC获取每个LAG和成员端口的详细状态,包括协商状态、操作状态、流量分布等。异常时告警。 |
监控粒度 1-5 秒 |
秒 |
CP-CORE-167, UP-013, ASIC-LAG-01 |
LAG状态查询接口 |
需硬件或驱动支持状态查询。 |
查看LAG状态界面,验证显示成员端口状态和流量分布。 |
链路聚合、监控 |
|
CP-CORE-356 |
vBRAS CP-协议功能 |
BFD 回声模式 |
|
故障检测函数 |
BFD 回声模式支持 |
实现RFC 5880。在异步模式之外,支持回声模式。本端发送BFD回声报文,对端不处理直接环回,用于检测本端到对端的单向连通性。 |
支持回声模式 |
无单位 |
CP-CORE-168, UP-031, HA-002 |
BFD回声模式状态机 |
回声模式可能增加负担。 |
配置BFD回声模式,模拟单向故障,验证能检测。 |
BFD、回声模式 |
|
CP-CORE-357 |
vBRAS CP-协议功能 |
OSPF 认证密钥滚动 |
|
安全增强函数 |
OSPF 认证密钥无缝滚动 |
允许为OSPF接口配置多个密钥(新旧)。在一段时间内同时接受新旧密钥的报文,逐渐过渡到新密钥。提高安全性而不中断路由。 |
支持多个密钥, 滚动时间 1-5 分钟 |
分钟 |
SEC-002, CP-CORE-101, CP-CORE-210 |
OSPF密钥管理 |
需邻居也支持密钥滚动。 |
配置密钥滚动,验证期间OSPF邻接不中断,之后只接受新密钥。 |
OSPF、密钥管理 |
|
CP-CORE-358 |
vBRAS CP-协议功能 |
BGP 路由刷新 |
|
路由管理函数 |
BGP 路由刷新请求发送 |
实现RFC 2918。当本地的输入策略变更后,可以向对等体发送Route Refresh消息,请求对端重新发送路由,而不需要断开BGP会话。 |
支持多种地址族 |
无单位 |
CP-CORE-17, CP-CORE-112, CP-CORE-206 |
BGP Route Refresh能力 |
需对等体支持Route Refresh能力。 |
更改输入策略,发送Route Refresh,验证收到新路由。 |
BGP、路由刷新 |
|
CP-CORE-359 |
vBRAS CP-协议功能 |
静态路由BFD联动 |
|
路由可靠性函数 |
静态路由与 BFD 联动 |
配置静态路由时,关联一个BFD会话。当BFD会话状态为Up时,静态路由有效;Down时,静态路由无效,从路由表中删除。 |
支持IPv4/IPv6静态路由 |
无单位 |
CP-005, CP-CORE-168, HA-002 |
静态路由-BFD绑定表 |
需确保BFD会话监控正确路径。 |
配置静态路由绑定BFD,模拟下一跳故障,验证路由快速撤销。 |
静态路由、BFD |
|
CP-CORE-360 |
vBRAS CP-协议功能 |
VRRP/VRRPv3 状态机 |
|
冗余协议函数 |
VRRP/VRRPv3 协议状态机 |
实现RFC 3768/5798。在多个路由器上运行VRRP,选举主路由器,为终端提供虚拟网关IP。状态机处理Advertisement报文、优先级等。 |
支持VRRPv2/v3, 抢占可配置 |
无单位 |
HA-002, UP-ARP-01, UP-013 |
VRRP协议栈和状态机 |
需与接口状态联动。 |
配置VRRP,模拟主设备故障,验证备份切换为主。 |
VRRP、网关冗余 |
|
CP-CORE-361 |
vBRAS CP-协议功能 |
PIM 断言机制 |
|
组播路由函数 |
PIM 断言机制处理 |
实现PIM断言。当多个路由器在同一个共享网段上收到同一组播流时,通过发送Assert消息,选举出最优的转发者,其他路由器停止转发。 |
支持PIM-SM/DM断言 |
无单位 |
CP-CORE-274, UP-023, ASIC-MCAST-02 |
PIM断言选举算法 |
断言需快速收敛。 |
模拟多个路由器在共享网段收到同一组播流,验证断言选举出唯一转发者。 |
PIM、断言 |
|
CP-CORE-362 |
vBRAS CP-协议功能 |
IGMP 查询器选举 |
|
组播管理函数 |
IGMP 查询器选举 |
实现RFC 3376。比较接口上路由器的IP地址,IP地址最小的成为查询器。查询器发送通用查询,非查询器只监听。 |
选举延迟 1-2 秒 |
秒 |
UP-023, ASIC-MCAST-02, CP-CORE-273 |
IGMP查询器选举算法 |
需处理查询器失效。 |
模拟多个路由器,验证IP最小的成为查询器,发送查询。 |
IGMP、查询器选举 |
|
CP-CORE-363 |
vBRAS CP-协议功能 |
MLD 查询器选举 |
|
组播管理函数 |
MLD 查询器选举 |
实现RFC 3810。比较接口上路由器的IPv6地址,地址最小的成为MLD查询器。 |
选举延迟 1-2 秒 |
秒 |
UP-023, ASIC-MCAST-02, CP-CORE-273 |
MLD查询器选举算法 |
同IGMP。 |
IPv6环境下,验证MLD查询器选举。 |
MLD、查询器选举 |
|
CP-CORE-364 |
vBRAS CP-协议功能 |
802.1X 端口受控方向 |
|
认证策略函数 |
802.1X 端口受控方向配置 |
实现IEEE 802.1X。端口受控方向决定未认证状态下,端口是否允许流量进入和/或离开。通常设置为双向控制。 |
支持 both, in |
无单位 |
CP-CORE-140, SEC-001, UP-MAC-01 |
端口受控方向配置 |
需硬件支持。 |
配置为双向控制,验证未认证时进出流量都被阻止。 |
802.1X、端口控制 |
|
CP-CORE-365 |
vBRAS CP-协议功能 |
802.1X 重新认证周期 |
|
认证策略函数 |
802.1X 重新认证周期配置 |
为端口设置一个重新认证定时器,超时后,对已认证的会话发起重认证。通常用于长期在线的用户,刷新授权。 |
周期范围 300-86400 秒 |
秒 |
CP-CORE-276, CP-CORE-140, IF-CP-AAA-01 |
重认证定时器配置 |
重认证可能导致短暂中断。 |
设置短周期,验证超时后触发重认证。 |
802.1X、重认证 |
|
CP-CORE-366 |
vBRAS CP-协议功能 |
MAC 认证失败处理 |
|
认证策略函数 |
MAC 认证失败处理策略 |
配置MAC认证失败后的动作。可以是静默丢弃、将端口划入隔离VLAN、或发送告警。用于处理未授权设备。 |
支持多种失败动作 |
无单位 |
CP-CORE-238, SEC-001, UP-039 |
MAC认证失败策略 |
失败VLAN需预先配置。 |
使用未授权MAC接入,验证触发失败动作(如划入隔离VLAN)。 |
MAC认证、失败处理 |
|
CP-CORE-367 |
vBRAS CP-协议功能 |
Web认证会话超时 |
|
认证策略函数 |
Web 认证会话超时 |
从用户访问门户开始计时,如果在超时时间内(如10分钟)未成功提交认证,则清除会话状态,用户需要重新触发重定向。 |
超时时间 5-30 分钟 |
分钟 |
CP-CORE-239, SEC-001, CP-CORE-184 |
Web会话定时器 |
避免用户长时间停留在登录页面。 |
用户访问门户后等待超时,再提交认证,验证需要重新开始流程。 |
Web认证、超时 |
|
CP-CORE-368 |
vBRAS CP-协议功能 |
Web认证并发数限制 |
|
认证策略函数 |
Web 认证并发会话数限制 |
基于用户IP或MAC,限制其同时存在的Web认证会话数。超过限制时,拒绝新会话或踢除旧会话。 |
最大并发数 1-3 |
个 |
CP-CORE-239, SEC-001, CP-CORE-154 |
并发会话计数 |
需识别用户身份(IP/MAC可能变化)。 |
同一用户打开多个浏览器标签进行认证,验证并发数限制生效。 |
Web认证、并发限制 |
|
CP-CORE-369 |
vBRAS CP-协议功能 |
DHCP Option 82 校验 |
|
安全校验函数 |
DHCP Option 82 安全校验 |
在DHCP中继或服务器端,检查Option 82的格式和内容。如果来自非信任端口且包含Option 82,可丢弃或记录告警。 |
支持校验Circuit ID和Remote ID格式 |
无单位 |
IF-CP-DHCP-03, SEC-004, CP-CORE-149 |
Option 82解析和信任端口 |
需明确信任端口。 |
从非信任端口发送带Option 82的DHCP请求,验证被丢弃或告警。 |
DHCP、安全 |
|
CP-CORE-370 |
vBRAS CP-协议功能 |
DHCPv6 前缀提示 |
|
IPv6协议函数 |
DHCPv6 前缀提示处理 |
实现RFC 8415。客户端可以在IA_PD选项中包含一个首选前缀。服务器可以尝试分配该前缀,如果可用则分配,否则分配其他前缀。 |
支持前缀提示 |
无单位 |
IF-CP-DHCP-01, CP-CORE-147, CP-CORE-271 |
前缀提示处理逻辑 |
提示可能不可用,需有回退。 |
客户端请求特定前缀,验证服务器尽可能满足。 |
DHCPv6-PD、前缀提示 |
|
CP-CORE-371 |
vBRAS CP-协议功能 |
6RD 隧道处理 |
|
IPv6隧道函数 |
6RD 隧道封装与解封装 |
实现RFC 5969。作为6RD边界路由器(BR),对IPv6报文进行6RD封装(添加IPv4头),通过IPv4网络传输,并在对端解封装。 |
支持6RD参数(前缀、IPv4掩码等) |
无单位 |
UP-Tunnel-01, UP-IPoE-07, CP-005 |
6RD协议栈 |
需配置6RD参数。 |
建立6RD隧道,验证IPv6流量可通过IPv4网络传输。 |
6RD、IPv6隧道 |
|
CP-CORE-372 |
vBRAS CP-协议功能 |
DS-Lite 隧道处理 |
|
隧道函数 |
DS-Lite 隧道处理 |
实现RFC 6333。作为AFTR(地址族转换路由器),对用户IPv4报文进行封装,通过IPv6网络传输到对端B4元素。 |
支持IPv4-in-IPv6封装 |
无单位 |
UP-Tunnel-01, NP-CGN-01, CP-005 |
DS-Lite协议栈 |
通常与NAT44结合。 |
建立DS-Lite隧道,验证内网IPv4用户可通过IPv6网络访问IPv4互联网。 |
DS-Lite、隧道 |
|
CP-CORE-373 |
vBRAS CP-协议功能 |
MAP-E 处理 |
|
隧道函数 |
MAP-E 封装与解封装 |
实现RFC 7597。作为MAP边界路由器,根据MAP规则将IPv4报文封装在IPv6中,通过IPv6网络传输。涉及地址和端口的映射。 |
支持MAP规则配置 |
无单位 |
UP-Tunnel-01, NP-CGN-01, CP-005 |
MAP-E规则引擎 |
规则计算较复杂。 |
配置MAP-E,验证IPv4用户可通过IPv6网络通信。 |
MAP-E、过渡技术 |
|
CP-CORE-374 |
vBRAS CP-协议功能 |
L2TPv3 伪线仿真 |
|
隧道函数 |
L2TPv3 伪线仿真 |
实现RFC 3931。建立L2TPv3会话,将收到的二层帧封装在L2TPv3头中,通过IP网络发送到对端,解封装后还原二层帧。 |
支持以太网和PPP伪线 |
无单位 |
UP-Tunnel-01, CP-CORE-141, CP-CORE-311 |
L2TPv3协议栈 |
用于跨IP网络的二层互联。 |
建立L2TPv3伪线,验证两端二层网络互通。 |
L2TPv3、伪线 |
|
CP-CORE-375 |
vBRAS CP-协议功能 |
802.1ag 连通性故障管理 |
|
OAM函数 |
802.1ag CFM 协议处理 |
实现IEEE 802.1ag。支持维护域(MD)、维护联盟(MA)、维护端点(MEP)和中间点(MIP)。处理CCM、LBM、LTM等报文,用于故障检测和定位。 |
支持8个MD级别, CCM间隔 1s-10min |
无单位 |
OAM-003, HA-002, CP-CORE-315 |
CFM协议栈和MEP数据库 |
配置较复杂。 |
配置CFM,模拟链路故障,验证能检测并告警。 |
802.1ag、CFM、OAM |
|
CP-CORE-376 |
vBRAS CP-协议功能 |
Y.1731 性能监测 |
|
OAM函数 |
Y.1731 性能监测协议处理 |
实现Y.1731。在CFM基础上,支持DMM/DMR、LMM/LMR、SLM/SLR等OAM报文,测量单向和双向时延、丢包。 |
支持时延、丢包测量 |
无单位 |
OAM-ADV-01, CP-CORE-375, UP-POOL-15 |
Y.1731协议栈和测量引擎 |
需要硬件时间戳支持高精度。 |
配置Y.1731性能监测,验证能测量出时延和丢包。 |
Y.1731、性能监测 |
|
CP-CORE-377 |
vBRAS CP-协议功能 |
TWAMP Light 反射器 |
|
性能测量函数 |
TWAMP Light 反射器 |
实现RFC 5357的简化版。监听UDP端口,对收到的TWAMP测试报文,交换源目地址和端口后反射回去,不维护状态。 |
支持TWAMP Light |
无单位 |
OAM-ADV-01, CP-CORE-318, UP-POOL-15 |
TWAMP Light反射器逻辑 |
实现简单。 |
向反射器发送TWAMP测试报文,验证收到反射报文。 |
TWAMP、性能测量 |
|
CP-CORE-378 |
vBRAS CP-协议功能 |
ICMP Ping 响应 |
|
基础协议函数 |
ICMP Echo 请求响应 |
实现RFC 792。对发往本机接口IP的ICMP Echo Request,生成相应的ICMP Echo Reply,并返回。支持IPv4和IPv6。 |
响应延迟 < 1 ms |
毫秒 |
UP-IP-02, UP-IPoE-07, SYS-002 |
ICMP协议栈 |
基本功能。 |
对设备接口IP执行Ping,验证收到回复。 |
ICMP、连通性 |
|
CP-CORE-379 |
vBRAS CP-协议功能 |
Traceroute 支持 |
|
诊断函数 |
Traceroute 路径跟踪支持 |
对经过本机的IP报文,当TTL减为0时,丢弃报文并返回ICMP Time Exceeded报文。这是标准路由行为,使traceroute工具能发现本跳。 |
支持IPv4/IPv6 |
无单位 |
UP-IP-02, UP-IPoE-07, CP-005 |
IP转发和ICMP生成 |
需允许ICMP超时报文发出。 |
对设备执行traceroute,验证设备作为一跳被显示。 |
Traceroute、诊断 |
|
CP-CORE-380 |
vBRAS CP-协议功能 |
管理接口限速 |
|
管理平面函数 |
管理接口访问速率限制 |
为每个管理协议或整体管理接口设置流量整形或监管策略,限制每秒钟的报文数或比特数,防止暴力破解或DDoS影响管理平面。 |
限速值可配, 如 100 pps |
pps |
SEC-001, CP-CORE-195, SYS-002 |
管理平面QoS策略 |
需确保紧急情况下仍可管理。 |
模拟向管理接口发送高流量,验证被限速。 |
管理平面、限速 |
|
CP-CORE-381 |
vBRAS CP-业务功能 |
用户登录日志 |
|
审计函数 |
用户登录尝试日志记录 |
在认证模块中,无论成功或失败,都记录一条日志。包括用户标识、源IP、认证方式、结果。用于安全审计和故障排查。 |
记录所有尝试, 保留期限 ≥ 6个月 |
无单位 |
SEC-001, CP-CORE-46, CP-CORE-51 |
认证日志钩子 |
日志量可能很大。 |
尝试登录成功和失败,验证日志中均有记录。 |
登录日志、审计 |
|
CP-CORE-382 |
vBRAS CP-业务功能 |
用户下线日志 |
|
审计函数 |
用户下线事件日志记录 |
在会话终止时,记录下线事件。包括用户标识、下线时间、在线时长、下线原因代码。用于计费对账和用户行为分析。 |
记录所有下线事件, 原因分类 ≥ 10 种 |
种 |
CP-CORE-150, CP-CORE-190, CP-CORE-46 |
会话终止钩子 |
下线原因需准确定义。 |
用户以不同方式下线,验证日志记录正确原因。 |
下线日志、审计 |
|
CP-CORE-383 |
vBRAS CP-业务功能 |
用户套餐变更日志 |
|
审计函数 |
用户套餐变更历史日志 |
在套餐变更(升级、降级、迁移)时,记录变更详情。用于跟踪用户消费变化和运营分析。 |
记录所有变更 |
无单位 |
CP-CORE-247, IF-CP-EXT-02, CP-CORE-46 |
套餐变更钩子 |
需记录操作人(用户自助或管理员)。 |
执行套餐变更,验证日志记录变更详情。 |
套餐变更、审计 |
|
CP-CORE-384 |
vBRAS CP-业务功能 |
用户余额变更日志 |
|
审计函数 |
用户余额变动明细日志 |
在用户余额发生变化时,记录明细。用于对账和审计。支持多种变动原因。 |
记录所有变动, 原因分类 ≥ 5 种 |
种 |
CP-CORE-181, CP-CORE-349, CP-CORE-46 |
余额变动钩子 |
需保证余额和日志的原子性。 |
用户充值和消费,验证余额变动日志正确。 |
余额日志、审计 |
|
CP-CORE-385 |
vBRAS CP-业务功能 |
设备系统日志归档 |
|
日志管理函数 |
系统日志定期归档 |
设定归档策略(如每天、每周)。将本地日志文件压缩、加密,传输到远程存储系统。支持按时间范围检索和下载。 |
归档周期 天/周, 保留期限 ≥ 1年 |
无单位 |
CP-CORE-46, SEC-006, CP-CORE-165 |
日志归档调度和传输 |
归档文件需索引以便检索。 |
触发日志归档,验证文件成功传输到远程存储。 |
日志归档、合规 |
|
CP-CORE-386 |
vBRAS CP-业务功能 |
网络拓扑变化告警 |
|
告警函数 |
网络拓扑变化实时告警 |
监控拓扑发现结果,与之前状态比较,发现变化时(如新设备、设备失联、链路状态变化)生成告警事件,并通知管理员。 |
告警延迟 < 1 分钟 |
分钟 |
CP-CORE-65, MAN-005, CP-CORE-199 |
拓扑变化检测和告警引擎 |
需避免频繁拓扑发现导致告警风暴。 |
模拟设备下电,验证收到拓扑变化告警。 |
拓扑告警、监控 |
|
CP-CORE-387 |
vBRAS CP-业务功能 |
设备配置变更告警 |
|
告警函数 |
设备配置变更告警 |
通过定期拉取配置与基线比较,或接收Syslog/Trap,发现配置变更。如果变更是未授权的(如非通过管理平台),则告警。 |
告警延迟 < 5 分钟 |
分钟 |
CP-CORE-70, MAN-005, CP-CORE-199 |
配置变更检测和授权验证 |
需定义授权变更渠道。 |
模拟直接登录设备修改配置,验证收到告警。 |
配置告警、变更监控 |
|
CP-CORE-388 |
vBRAS CP-业务功能 |
性能阈值越界告警 |
|
告警函数 |
性能指标阈值越界告警 |
定义关键性能指标的阈值。实时监控指标数据,超过阈值时生成告警。支持多级阈值(警告、严重)。 |
告警延迟 < 1 分钟 |
分钟 |
UP-POOL-15, MAN-005, CP-CORE-199 |
性能监控和阈值检查 |
阈值需合理设置,避免误报。 |
模拟链路利用率超过阈值,验证收到告警。 |
性能告警、监控 |
|
CP-CORE-389 |
vBRAS CP-业务功能 |
安全事件实时告警 |
|
告警函数 |
安全事件实时告警 |
从安全检测模块接收事件,根据事件严重等级,立即触发告警。告警方式可配置,如大屏显示、声音、短信、邮件。 |
告警延迟 < 10s |
秒 |
SEC-003, MAN-005, CP-CORE-199 |
安全事件管道和告警分发 |
需防止告警风暴。 |
模拟一次攻击,验证立即收到告警。 |
安全告警、事件响应 |
|
CP-CORE-390 |
vBRAS CP-业务功能 |
告警抑制 |
|
告警优化函数 |
告警抑制与聚合 |
实现告警抑制规则。例如,同一设备在短时间内产生多个相同告警,只发送第一个,后续抑制;或当父设备告警时,抑制子设备告警。 |
抑制时间窗口 1-5 分钟 |
分钟 |
MAN-005, CP-CORE-47, CP-CORE-199 |
告警抑制规则引擎 |
规则需谨慎设计,避免抑制重要告警。 |
模拟短时间内同一设备产生相同告警,验证只收到一条。 |
告警抑制、优化 |
|
CP-CORE-391 |
vBRAS CP-业务功能 |
告警升级 |
|
告警管理函数 |
告警自动升级 |
为告警设置处理超时时间。如果告警产生后,在超时时间内未被确认或清除,则自动升级,如变更严重等级、增加通知渠道或通知上级。 |
升级超时 15-60 分钟 |
分钟 |
MAN-005, CP-CORE-199, CP-CORE-390 |
告警状态跟踪和升级引擎 |
需明确定义告警处理流程。 |
产生一个告警,不处理等待超时,验证告警升级。 |
告警升级、运维 |
|
CP-CORE-392 |
vBRAS CP-业务功能 |
告警统计报表 |
|
报表函数 |
告警统计与分析报表 |
从告警数据库中聚合数据,生成统计报表。包括告警总数、各等级分布、TOP告警源、平均响应时间、解决时间等。 |
报表周期 日/周/月 |
无单位 |
MAN-005, CP-CORE-199, CP-CORE-99 |
告警数据库查询和统计 |
用于评估网络稳定性和运维效率。 |
生成月度告警报表,验证统计数字准确。 |
告警报表、分析 |
|
CP-CORE-393 |
vBRAS CP-业务功能 |
工单自动派发 |
|
运维自动化函数 |
工单自动分派与路由 |
实现工单路由引擎。基于预定义的规则(如根据设备类型、故障类型、地域),自动将新工单分配给相应的工程师或团队,加快处理速度。 |
派发准确率 > 90% |
% |
MAN-001, CP-CORE-250, IF-CP-EXT-02 |
工单路由规则和技能组 |
规则需持续优化。 |
提交不同类型工单,验证被自动派发给正确团队。 |
工单派发、自动化 |
|
CP-CORE-394 |
vBRAS CP-业务功能 |
工单SLA监控 |
|
运维管理函数 |
工单处理SLA实时监控 |
为每类工单定义SLA(如响应时间、解决时间)。跟踪工单状态和时间,在SLA期限前提醒处理人,超时则告警。 |
SLA达标率 > 95% |
% |
MAN-001, CP-CORE-250, CP-CORE-62 |
工单SLA计时和提醒 |
SLA需合理。 |
创建工单,模拟不处理,验证SLA超时告警。 |
工单SLA、监控 |
|
CP-CORE-395 |
vBRAS CP-业务功能 |
知识库检索 |
|
知识管理函数 |
运维知识库智能检索 |
维护一个知识库,包含常见问题、解决方案、配置案例、故障处理步骤。提供全文检索功能,支持关键字、标签搜索。 |
检索响应时间 < 1s |
秒 |
MAN-001, CP-CORE-74, CP-CORE-250 |
知识库搜索引擎 |
知识库需不断积累和维护。 |
搜索已知问题的关键字,验证返回相关文章。 |
知识库、检索 |
|
CP-CORE-396 |
vBRAS CP-业务功能 |
网络配置合规报告 |
|
合规报告函数 |
网络配置合规性审计报告 |
运行合规检查,将结果汇总成报告。列出每台设备、每个检查项的结果(通过/失败),并提供失败项的详细信息和修复建议。 |
报告覆盖所有设备, 检查项 ≥ 50 |
项 |
CP-CORE-63, CP-CORE-266, CP-CORE-99 |
合规检查引擎和报告生成 |
报告需清晰、可操作。 |
对一组设备运行合规检查,生成报告,验证准确列出合规情况。 |
合规报告、审计 |
|
CP-CORE-397 |
vBRAS CP-业务功能 |
网络变更审批流程 |
|
变更管理函数 |
网络变更电子审批工作流 |
提交变更请求时,根据变更风险等级,路由给相应的审批人(如技术负责人、经理)审批。只有审批通过后,变更才能被执行。 |
支持多级审批, 审批时间可跟踪 |
无单位 |
MAN-001, CP-CORE-75, CP-CORE-163 |
审批工作流引擎 |
审批流程需灵活可配置。 |
提交一个变更请求,验证需要审批,审批通过后方可执行。 |
变更审批、工作流 |
|
CP-CORE-398 |
vBRAS CP-业务功能 |
网络设备密码轮换 |
|
安全运维函数 |
网络设备密码定期自动轮换 |
制定密码轮换策略(如每90天)。自动生成强密码,并推送到设备修改。记录密码版本,确保只有系统知道当前密码。 |
轮换周期 90-180 天 |
天 |
SEC-001, SEC-002, CP-CORE-258 |
密码生成器和设备配置 |
需处理轮换失败和回滚。 |
触发密码轮换,验证设备密码被更改,且新密码可登录。 |
密码轮换、安全 |
|
CP-CORE-399 |
vBRAS CP-业务功能 |
网络设备配置合规自动修复 |
|
合规自动化函数 |
配置合规性自动修复 |
对于某些低风险的合规违规(如SNMP社区名为public),可以配置自动修复动作。系统自动下发正确配置,使设备符合基线。 |
自动修复需谨慎, 支持白名单 |
无单位 |
CP-CORE-63, CP-CORE-70, CP-CORE-180 |
合规修复脚本和策略 |
自动修复有风险,需有回滚计划。 |
模拟设备存在可自动修复的违规,验证被自动修复。 |
合规修复、自动化 |
|
CP-CORE-400 |
vBRAS CP-业务功能 |
网络拓扑自动发现调度 |
|
发现调度函数 |
网络拓扑自动发现任务调度 |
配置拓扑发现的周期(如每5分钟)。定时触发发现任务,从种子设备开始,通过CDP/LLDP/SNMP等发现网络,更新拓扑数据库。 |
发现周期 5-30 分钟 |
分钟 |
CP-CORE-65, MAN-001, SYS-002 |
任务调度器 |
发现可能消耗资源,需错峰。 |
设置短周期,验证定时自动发现并更新拓扑。 |
拓扑发现、调度 |
|
CP-CORE-401 |
vBRAS CP-协议功能 |
BGP 对等体组 |
|
路由管理函数 |
BGP 对等体组管理 |
创建对等体组,将对等体加入组中。对等体组共享出方向和入方向策略。减少配置量,提高一致性。 |
支持对等体组数量 ≥ 64 |
个 |
CP-CORE-16, CP-CORE-17, CP-CORE-109 |
对等体组数据结构和策略继承 |
对等体组是配置优化手段。 |
创建对等体组并添加多个对等体,验证策略生效。 |
BGP、对等体组 |
|
CP-CORE-402 |
vBRAS CP-协议功能 |
BGP 路由反射器集群 |
|
路由反射函数 |
BGP 路由反射器集群配置 |
在路由反射器上配置集群ID。客户端接收来自集群内反射器的路由,如果收到携带相同集群ID的路由,则丢弃,防止环路。 |
支持集群ID 32位 |
无单位 |
CP-CORE-19, CP-CORE-109, CP-CORE-401 |
集群ID处理和环路检测 |
集群ID需唯一。 |
配置多个RR形成集群,验证环路防护生效。 |
BGP、路由反射器 |
|
CP-CORE-403 |
vBRAS CP-协议功能 |
BGP 路由源 |
|
路由跟踪函数 |
BGP 路由来源跟踪 |
在BGP路由条目中记录来源信息,包括从哪个对等体学到、原始AS_PATH等。提供查询接口,用于路由调试和策略应用。 |
支持详细来源信息 |
无单位 |
CP-CORE-13, CP-CORE-18, CP-CORE-109 |
路由来源属性 |
增加内存开销。 |
查询某条路由的来源,验证显示正确对等体和AS_PATH。 |
BGP、路由跟踪 |
|
CP-CORE-404 |
vBRAS CP-协议功能 |
OSPF 接口开销动态调整 |
|
路由调优函数 |
OSPF 接口开销动态调整 |
OSPF开销通常反比于接口带宽。可以手动配置,也可以根据接口带宽自动计算(如参考成本=10^8/带宽)。调整开销可以影响选路。 |
开销范围 1-65535 |
无单位 |
CP-CORE-103, UP-022, CP-CORE-283 |
开销计算和配置 |
自动计算需统一公式。 |
调整接口开销,验证路由表变化。 |
OSPF、接口开销 |
|
CP-CORE-405 |
vBRAS CP-协议功能 |
OSPF 区域间路由过滤 |
|
路由过滤函数 |
OSPF 区域间路由过滤 |
在ABR上配置前缀列表,控制哪些Type-3 LSA可以被生成并发布到其他区域。用于路由聚合和安全。 |
支持基于前缀的过滤 |
无单位 |
CP-CORE-103, CP-CORE-209, CP-CORE-16 |
区域间路由过滤策略 |
过滤可能导致路由黑洞。 |
配置过滤,验证某些区域间路由不被发布。 |
OSPF、路由过滤 |
|
CP-CORE-406 |
vBRAS CP-协议功能 |
IS-IS 接口电路类型 |
|
路由协议函数 |
IS-IS 接口电路类型配置 |
为每个接口配置IS-IS层级。Level-1只与同一区域的邻居建立L1邻接;Level-2可与任何区域建立L2邻接;Level-1-2同时建立两种。 |
支持 L1, L2, L1L2 |
无单位 |
CP-CORE-108, CP-CORE-213, CP-CORE-28 |
接口层级配置 |
需与整体区域设计一致。 |
配置接口为L1,验证只与同区域L1或L1L2建立邻接。 |
IS-IS、电路类型 |
|
CP-CORE-407 |
vBRAS CP-协议功能 |
IS-IS 路由渗透过滤 |
|
路由过滤函数 |
IS-IS 路由渗透过滤 |
配置路由渗透策略,只有匹配前缀列表的路由才被允许从Level-1泄露到Level-2,或反向。防止过多路由泄露。 |
支持基于前缀的过滤 |
无单位 |
CP-CORE-29, CP-CORE-215, CP-CORE-16 |
路由渗透过滤策略 |
过滤需谨慎,避免路由黑洞。 |
配置渗透过滤,验证只有匹配前缀的路由被渗透。 |
IS-IS、路由渗透 |
|
CP-CORE-408 |
vBRAS CP-协议功能 |
MPLS LDP 会话保护 |
|
可靠性函数 |
MPLS LDP 会话保护 |
实现LDP会话保护。为LDP会话指定备份传输地址(如环回地址),当主链路故障时,LDP会话通过备份地址保持,标签映射保留。 |
支持备份传输地址 |
无单位 |
CP-CORE-30, HA-002, CP-CORE-168 |
LDP会话备份机制 |
需确保备份地址可达。 |
配置LDP会话保护,模拟主链路故障,验证LDP会话不断,LSP不重建。 |
MPLS、LDP、可靠性 |
|
CP-CORE-409 |
vBRAS CP-协议功能 |
MPLS 静态LSP配置 |
|
静态配置函数 |
MPLS 静态LSP配置 |
不依赖信令协议,手动配置LSP的标签映射。入标签绑定到某个FEC(如出接口或下一跳),出标签指定。用于测试或与动态LSP混合。 |
支持入标签、出标签、操作(Push, Pop, Swap) |
无单位 |
CP-CORE-31, CP-005, CP-CORE-304 |
静态LSP表 |
需确保端到端标签一致。 |
配置静态LSP,验证报文按标签转发。 |
MPLS、静态LSP |
|
CP-CORE-410 |
vBRAS CP-协议功能 |
SR-MPLS 标签栈压缩 |
|
优化函数 |
SR-MPLS 标签栈压缩 |
实现标签栈压缩。当连续的SID属于同一邻接或节点时,可以合并为一个SID,减少标签数量。需要网络支持压缩语义。 |
支持压缩标签栈 |
无单位 |
CP-CORE-35, PROTO-EVO-02, CP-CORE-306 |
标签栈压缩算法 |
压缩可能增加复杂性。 |
配置SR策略,验证标签栈被压缩。 |
SR-MPLS、优化 |
|
CP-CORE-411 |
vBRAS CP-协议功能 |
VXLAN 多租户隔离 |
|
overlay隔离函数 |
VXLAN 基于 VNI 的多租户隔离 |
为每个租户分配独立的VNI。VTEP根据VNI进行转发隔离,只有相同VNI的流量可以互通。实现 overlay 层面的多租户。 |
支持VNI数量 16M |
个 |
UP-POOL-16, UP-Tunnel-01, CP-CORE-307 |
VNI到租户的映射 |
VNI需全局唯一。 |
创建两个租户不同VNI,验证彼此网络不通。 |
VXLAN、多租户 |
|
CP-CORE-412 |
vBRAS CP-协议功能 |
802.1X 认证服务器负载均衡 |
|
负载均衡函数 |
802.1X 认证服务器负载均衡 |
维护多个RADIUS服务器。当收到认证请求时,根据负载均衡算法(轮询、最少连接)选择一个服务器发送请求。服务器故障时自动切换。 |
支持服务器健康检查 |
无单位 |
IF-CP-AAA-02, CP-CORE-140, HA-002 |
负载均衡算法和健康检查 |
需保持同一会话的认证和计费在同一服务器。 |
模拟一个RADIUS服务器故障,验证认证请求发往其他服务器。 |
802.1X、负载均衡 |
|
CP-CORE-413 |
vBRAS CP-协议功能 |
DHCP 地址池使用率告警 |
|
监控告警函数 |
DHCP 地址池使用率监控与告警 |
定期检查每个DHCP地址池的已分配地址比例。当使用率超过阈值(如90%)时,发送告警,提示管理员扩容。 |
告警阈值 80-90% |
% |
CP-011, IF-CP-DHCP-01, CP-CORE-199 |
地址池使用率计算 |
需考虑地址预留。 |
模拟地址池快耗尽,验证收到告警。 |
DHCP、监控 |
|
CP-CORE-414 |
vBRAS CP-协议功能 |
DHCP 租约时间优化 |
|
优化函数 |
DHCP 租约时间动态优化 |
监控地址池的使用率。当地址紧张时,自动缩短新分配的租约时间,加速地址回收;当地址充足时,恢复较长租约。 |
租约时间范围 5分钟 - 7天 |
无单位 |
CP-011, IF-CP-DHCP-01, CP-CORE-257 |
地址需求预测和租约调整 |
租约变化不应影响在线用户。 |
模拟地址紧张,验证新分配租约变短。 |
DHCP、租约优化 |
|
CP-CORE-415 |
vBRAS CP-协议功能 |
PPPoE 接入速率限制 |
|
安全防御函数 |
PPPoE 接入速率限制 |
在接入端口上对PPPoE发现报文(PADI)进行速率限制,超过阈值的报文丢弃,防止恶意用户发送大量PADI消耗资源。 |
限速阈值 100 pps |
pps |
SEC-003, UP-PPPoE-01, CP-CORE-141 |
PPPoE报文限速 |
需区分正常用户和攻击。 |
模拟发送高频PADI,验证被限速丢弃。 |
PPPoE、安全 |
|
CP-CORE-416 |
vBRAS CP-协议功能 |
IPoE 触发认证 |
|
认证触发函数 |
IPoE 基于首个IP报文的认证触发 |
在未认证的端口上,检测到用户的首个IP报文(如ARP请求、DHCP Discover)时,记录用户信息并触发认证流程。认证通过前,用户流量被丢弃或重定向。 |
触发延迟 < 1s |
秒 |
UP-IPoE-02, CP-CORE-146, SEC-001 |
首个报文检测和触发 |
需处理多协议触发。 |
未认证用户发送 |
vBRAS UP面从物理硬件到业务处理、跨越所有设备形态和协议的完整功能蓝图。这是一个极其庞大和复杂的体系。
核心说明
-
核心区:UP-003 至 UP-200 是已明确定义、实现和测试的核心功能集,覆盖了当前商用设备99%的转发场景。
-
扩展与前瞻区:UP-201 至 UP-2000+ 是为未来技术、特定硬件加速、深度定制场景和前沿协议预留的编号空间,其功能处于规划、预研或特定版本实现状态。
-
函数驱动模型:所有UP功能均被建模为可被CP动态编排的微函数,通过“流表”或“处理图”串联成转发管道。
UP面全功能层级化架构 (UP-003 ~ UP-2000+)
第一层:硬件抽象与基础设施层 (UP-003 ~ UP-099)
此层最接近物理芯片,实现基础的数据包I/O和硬件资源抽象。
-
UP-003~UP-020: 端口与队列管理
-
phy_rx_packet(port, queue): 从物理端口指定队列接收帧。 -
phy_tx_packet(port, queue, pkt): 向物理端口指定队列发送帧。 -
port_statistics_collect(port, dir): 收集端口级统计(字节、包、错包)。 -
queue_buffer_manage(queue, threshold): 管理硬件队列的缓冲区和丢弃策略。
-
-
UP-021~UP-050: 硬件卸载与加速
-
crypto_encrypt_decap(pkt, algo, key): 硬件解密并解封装(如IPSec)。 -
crypto_encrypt_encap(pkt, algo, key): 硬件加密并封装。 -
checksum_offload_calc(pkt, layers): 硬件计算L3/L4校验和。 -
tcp_segmentation_offload(pkt, mss): TCP分片卸载。 -
gro_gso_offload(pkt): 接收/发送分段卸载。
-
第二层:链路层与隧道处理层 (UP-051 ~ UP-199)
处理二层帧和Overlay隧道,是接入和云网的核心。
-
UP-051~UP-080: 以太网与桥接
-
mac_learning_and_forwarding(pkt, vlan): MAC地址学习与查表转发。 -
vlan_tag_manipulation(pkt, op, vlan_id): VLAN标签的增、删、改、交换。 -
stp_state_forwarding(port, state): 根据生成树状态决定是否转发。
-
-
UP-081~UP-130: 隧道封装与解封装
-
pppoe_term_session(pkt, session_id): 终结PPPoE会话,提取PPP帧。 -
gre_encapsulation(pkt, key, src_ip, dst_ip): GRE封装。 -
vxlan_encapsulation(pkt, vni, src_ip, dst_ip): VXLAN封装。 -
geneve_encapsulation(pkt, vni, options): Geneve封装(带可变选项)。 -
ipsec_esp_encapsulation(pkt, spi, seq): IPSec ESP封装。
-
第三层:网络层与路由处理层 (UP-200 ~ UP-499)
实现IP路由、MPLS交换和高级转发策略。
-
UP-200~UP-299: IPv4/IPv6 路由
-
lpm_ipv4_route_lookup(pkt, table_id): IPv4最长前缀匹配路由查找。 -
lpm_ipv6_route_lookup(pkt, table_id): IPv6最长前缀匹配路由查找。 -
policy_based_routing(pkt, match, action): 策略路由,基于多字段匹配重定向。
-
-
UP-300~UP-399: MPLS 与 SR
-
mpls_label_push(pkt, label_stack): 压入MPLS标签栈。 -
mpls_label_swap(pkt, in_label, out_label): 交换MPLS标签。 -
srv6_encapsulation(pkt, sid_list): 进行SRv6封装,插入SRH。 -
srh_processing(pkt, seg_left): 处理SRv6扩展头,指针前移。
-
第四层:服务功能与深度处理层 (UP-500 ~ UP-999)
实现网络服务,通常需要深度包解析和状态维护。
-
UP-500~UP-599: 网络地址转换
-
nat44_source_translation(pkt, pool, mode): NAT44源地址转换。 -
nat64_prefix_translation(pkt, prefix): NAT64地址与协议转换。 -
dslite_encapsulation(pkt, afbr_addr): DS-Lite封装(IPv4 over IPv6)。
-
-
UP-600~UP-699: 服务质量
-
hierarchical_scheduler(pkt, node_id): 层次化调度器(如RFC 2697/2698)。 -
policer_metering(pkt, cir, cbs): 流量监管(双桶或单桶算法)。 -
congestion_avoidance_wred(pkt, queue, min_th, max_th): 基于队列的WRED丢包。
-
-
UP-700~UP-799: 安全与过滤
-
stateful_firewall_session_match(pkt, table): 状态化防火墙会话匹配。 -
acl_match_and_action(pkt, rule_set): 访问控制列表匹配与执行(允许/拒绝/标记)。 -
syn_proxy_handshake(pkt): SYN代理,防御TCP SYN Flood。
-
第五层:应用感知与优化层 (UP-1000 ~ UP-1499)
深度识别应用,并进行优化。
-
UP-1000~UP-1099: 深度包检测
-
l7_protocol_identification(pkt, pattern_db): 基于特征库进行应用层协议识别。 -
http_header_extraction(pkt, header_field): 提取HTTP头部特定字段。
-
-
UP-1100~UP-1199: 应用优化
-
tcp_optimization_acceleration(pkt, mode): TCP优化(如调整窗口、ACK聚合)。 -
video_stream_cache_and_prefetch(pkt, policy): 视频流缓存与预取。
-
第六层:遥测、运维与可编程层 (UP-1500 ~ UP-2000+)
实现可视化、自愈和硬件编程。
-
UP-1500~UP-1599: 带内遥测
-
int_shim_header_insert(pkt, metadata): 插入INT(带内网络遥测)头,携带设备ID、时间戳、队列深度等。 -
postcard_based_telemetry(pkt, sample_rate): 生成并发送数据包“明信片”报告。
-
-
UP-1600~UP-1699: 动态可编程
-
p4_program_load(program, target): 动态加载P4程序到可编程流水线。 -
ebpf_program_attach(hook, program): 在软件UP(如DPDK)中附加eBPF程序处理流量。
-
-
UP-1700~UP-1799: 高级容灾与同步
-
stateful_session_sync(session, peer_up): 将状态化会话(如NAT、防火墙)实时同步到备用UP。 -
hitless_service_upgrade_traffic_shift(pkt, new_instance): 实现业务无损升级的流量牵引。
-
UP池(vUP与硬件UP)的实现差异
|
特性 |
虚拟UP |
硬件UP |
|---|---|---|
|
典型位置 |
通用服务器 |
专用网络设备/白盒交换机 |
|
核心转发 |
DPDK/VPP + CPU/智能网卡 |
ASIC/NP/FPGA 流水线 |
|
功能灵活性 |
高,软件定义,可编程性强 |
中/低,功能固化,但性能极致 |
|
性能 |
10G ~ 100G+ 级别 |
100G ~ 数十T 级别 |
|
功能侧重 |
复杂、深度处理功能(如DPI、高级NAT) |
高速、基础、确定性功能(如路由、ACL、QoS) |
|
代表函数 |
|
|
UP面全功能分类体系 (UP-003 ~ UP-2000)
第一层:物理与链路层处理 (UP-003 ~ UP-199)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-003~UP-030 |
物理接口管理 |
28 |
物理层接口状态管理、链路检测、电/光参数配置 |
|
|
UP-031~UP-060 |
MAC层处理 |
30 |
MAC帧接收/发送、地址学习、帧过滤 |
|
|
UP-061~UP-090 |
VLAN处理 |
30 |
VLAN标签操作、VLAN映射、VLAN堆栈 |
|
|
UP-091~UP-120 |
链路聚合 |
30 |
LACP协议、链路组管理、负载均衡 |
|
|
UP-121~UP-150 |
环网保护 |
30 |
ERPS/G.8032协议、环网状态机、快速切换 |
|
|
UP-151~UP-179 |
同步以太网 |
29 |
SyncE时钟恢复、ESMC协议、时钟质量传递 |
|
|
UP-180~UP-199 |
前向纠错 |
20 |
FEC编码/解码、误码率统计、自适应FEC |
|
第二层:网络层处理 (UP-200 ~ UP-499)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-200~UP-229 |
IPv4基础转发 |
30 |
IPv4路由查找、TTL处理、分片重组 |
|
|
UP-230~UP-259 |
IPv6基础转发 |
30 |
IPv6路由查找、逐跳选项、扩展头处理 |
|
|
UP-260~UP-289 |
ARP/ND协议 |
30 |
ARP请求响应、邻居发现、地址解析 |
|
|
UP-290~UP-319 |
ICMP处理 |
30 |
ICMP消息生成、错误报告、路径MTU发现 |
|
|
UP-320~UP-349 |
组播路由 |
30 |
IGMP/MLD监听、PIM协议、组播转发 |
|
|
UP-350~UP-379 |
策略路由 |
30 |
基于策略的路由、流量引导、策略匹配 |
|
|
UP-380~UP-409 |
等价多路径 |
30 |
ECMP哈希计算、流量分担、路径健康检测 |
|
|
UP-410~UP-439 |
路由策略 |
30 |
路由过滤、路由标记、路由映射 |
|
|
UP-440~UP-469 |
快速重路由 |
30 |
IP-FRR、MPLS-FRR、备份路径计算 |
|
|
UP-470~UP-499 |
分段路由 |
30 |
SR-MPLS标签处理、SRv6 SID处理 |
|
第三层:传输层处理 (UP-500 ~ UP-699)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-500~UP-529 |
TCP处理 |
30 |
TCP连接跟踪、序列号检查、窗口管理 |
|
|
UP-530~UP-559 |
UDP处理 |
30 |
UDP校验和、端口映射、会话跟踪 |
|
|
UP-560~UP-589 |
NAT44 |
30 |
源NAT、目的NAT、NAT44转换 |
|
|
UP-590~UP-619 |
NAT64 |
30 |
IPv6到IPv4转换、协议转换、前缀映射 |
|
|
UP-620~UP-649 |
CGN |
30 |
大规模NAT、端口块分配、用户追踪 |
|
|
UP-650~UP-679 |
ALG处理 |
30 |
应用层网关、协议识别、载荷修改 |
|
|
UP-680~UP-699 |
分片处理 |
20 |
IP分片、TCP分片、重组缓冲区管理 |
|
第四层:隧道与叠加网络 (UP-700 ~ UP-899)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-700~UP-729 |
GRE隧道 |
30 |
GRE封装/解封装、密钥验证、校验和 |
|
|
UP-730~UP-759 |
VXLAN |
30 |
VXLAN封装、VNI映射、外层头构建 |
|
|
UP-760~UP-789 |
GENEVE |
30 |
可变选项头、元数据携带、灵活封装 |
|
|
UP-790~UP-819 |
MPLS |
30 |
标签交换、LSP建立、PHP处理 |
|
|
UP-820~UP-849 |
SR-MPLS |
30 |
段路由标签栈、SID处理、SR策略 |
|
|
UP-850~UP-879 |
SRv6 |
30 |
SRH处理、End行为、SRv6网络编程 |
|
|
UP-880~UP-899 |
IPSec |
20 |
ESP/AH封装、加解密、安全关联 |
|
第五层:服务质量处理 (UP-900 ~ UP-1099)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-900~UP-929 |
流量分类 |
30 |
多字段分类、深度包检测、应用识别 |
|
|
UP-930~UP-959 |
流量监管 |
30 |
令牌桶算法、双速率三色标记、承诺突发 |
|
|
UP-960~UP-989 |
流量整形 |
30 |
层次化整形、漏桶算法、队列整形 |
|
|
UP-990~UP-1019 |
队列调度 |
30 |
SP/WRR/DRR调度、严格优先级、加权公平 |
|
|
UP-1020~UP-1049 |
拥塞避免 |
30 |
RED/WRED算法、队列管理、丢弃策略 |
|
|
UP-1050~UP-1079 |
HQoS |
30 |
层次化QoS、多级调度、资源分配 |
|
|
UP-1080~UP-1099 |
时间敏感网络 |
20 |
TSN调度、时间感知整形、帧抢占 |
|
第六层:安全处理 (UP-1100 ~ UP-1299)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-1100~UP-1129 |
ACL过滤 |
30 |
标准/扩展ACL、基于时间ACL、日志记录 |
|
|
UP-1130~UP-1159 |
状态防火墙 |
30 |
连接状态跟踪、会话管理、状态检测 |
|
|
UP-1160~UP-1189 |
攻击防护 |
30 |
DDoS防御、SYN Flood防护、扫描检测 |
|
|
UP-1190~UP-1219 |
用户认证 |
30 |
802.1X处理、MAC认证、Web认证 |
|
|
UP-1220~UP-1249 |
加密解密 |
30 |
AES加密、RSA加解密、国密算法 |
|
|
UP-1250~UP-1279 |
安全策略 |
30 |
安全组策略、微分段、零信任 |
|
|
UP-1280~UP-1299 |
安全日志 |
20 |
攻击日志、违规记录、安全审计 |
|
第七层:应用层处理 (UP-1300 ~ UP-1499)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-1300~UP-1329 |
HTTP处理 |
30 |
HTTP解析、URL过滤、内容重写 |
|
|
UP-1330~UP-1359 |
DNS处理 |
30 |
DNS代理、缓存、劫持防护 |
|
|
UP-1360~UP-1389 |
SSL/TLS |
30 |
SSL解密、证书验证、TLS握手 |
|
|
UP-1390~UP-1419 |
视频优化 |
30 |
视频缓存、码率适配、QoE监控 |
|
|
UP-1420~UP-1449 |
游戏加速 |
30 |
延迟优化、丢包补偿、路径优选 |
|
|
UP-1450~UP-1479 |
物联网协议 |
30 |
MQTT处理、CoAP协议、LoRaWAN |
|
|
UP-1480~UP-1499 |
音视频协议 |
20 |
RTP/RTCP处理、SIP协议、VoIP优化 |
|
第八层:监控与遥测 (UP-1500 ~ UP-1699)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-1500~UP-1529 |
带内遥测 |
30 |
INT头部插入、遥测数据收集、路径追踪 |
|
|
UP-1530~UP-1559 |
流记录输出 |
30 |
NetFlow v9、IPFIX、流采样 |
|
|
UP-1560~UP-1589 |
深度测量 |
30 |
时延测量、丢包统计、抖动计算 |
|
|
UP-1590~UP-1619 |
性能监控 |
30 |
吞吐量监控、队列深度、缓存利用率 |
|
|
UP-1620~UP-1649 |
故障定位 |
30 |
连通性测试、环回检测、故障隔离 |
|
|
UP-1650~UP-1679 |
质量分析 |
30 |
MOS评分、体验质量、KPI计算 |
|
|
UP-1680~UP-1699 |
数据上报 |
20 |
遥测数据压缩、批量上报、断点续传 |
|
第九层:可编程与智能处理 (UP-1700 ~ UP-1899)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-1700~UP-1729 |
P4可编程 |
30 |
P4程序加载、流水线配置、运行时更新 |
|
|
UP-1730~UP-1759 |
eBPF处理 |
30 |
eBPF程序附加、JIT编译、Map操作 |
|
|
UP-1760~UP-1789 |
智能路由 |
30 |
AI路由决策、流量预测、路径优化 |
|
|
UP-1790~UP-1819 |
自适应QoS |
30 |
机器学习分类、动态策略调整、体验保障 |
|
|
UP-1820~UP-1849 |
异常检测 |
30 |
异常流量识别、行为分析、自动防护 |
|
|
UP-1850~UP-1879 |
资源优化 |
30 |
负载均衡算法、能效管理、资源调度 |
|
|
UP-1880~UP-1899 |
策略执行 |
20 |
策略编译、动作执行、结果反馈 |
|
第十层:虚拟化与云化 (UP-1900 ~ UP-2000)
|
编号范围 |
子类别 |
功能数量 |
核心功能描述 |
关键函数示例 |
|---|---|---|---|---|
|
UP-1900~UP-1929 |
虚拟交换机 |
30 |
vSwitch转发、虚拟端口、VNF连接 |
|
|
UP-1930~UP-1959 |
SR-IOV |
30 |
虚拟功能管理、直通加速、VF隔离 |
|
|
UP-1960~UP-1989 |
容器网络 |
30 |
CNI插件、容器互通、网络策略 |
|
|
UP-1990~UP-2000 |
云网协同 |
11 |
云API对接、混合云连接、多云管理 |
|
总计功能数量统计
|
层级 |
功能数量 |
占比 |
|---|---|---|
|
物理与链路层 |
197 |
9.85% |
|
网络层 |
300 |
15.00% |
|
传输层 |
200 |
10.00% |
|
隧道与叠加网络 |
200 |
10.00% |
|
服务质量处理 |
200 |
10.00% |
|
安全处理 |
200 |
10.00% |
|
应用层处理 |
200 |
10.00% |
|
监控与遥测 |
200 |
10.00% |
|
可编程与智能处理 |
200 |
10.00% |
|
虚拟化与云化 |
111 |
5.55% |
|
总计 |
2008 |
100.0% |
核心特点总结
-
全面性:覆盖了从物理层到应用层的完整处理链条
-
层次性:严格遵循OSI七层模型,每层功能独立又可组合
-
可编程性:支持P4、eBPF等高级可编程接口
-
智能化:集成AI/ML能力,实现自适应优化
-
云原生:全面支持虚拟化、容器化和云化部署
-
可扩展:预留充足编号空间(UP-2000+)用于未来技术演进
这个功能体系构成了现代vBRAS UP面的完整能力框架,每个编号对应的详细函数定义、参数、算法等都可以在此基础上进一步细化展开。
UP面核心功能详细描述表
1. 物理与链路层处理 (UP-003 ~ UP-199)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-003 |
物理层处理 |
比特接收与时钟恢复 |
|
硬件原语 |
物理层信号接收与时钟恢复 |
从模拟信号中恢复时钟和数据,通过锁相环锁定相位,然后解调为数字比特流。对于高速SerDes,包括均衡、CDR等处理。 |
时钟恢复精度 ±1° |
度 |
UP-PHY-01, CLK-001, HW-SERDES-01 |
SerDes硬件,时钟参考源 |
需要高精度CDR电路,支持多种调制格式(如PAM4, NRZ) |
发送PRBS序列,测量误码率和时钟抖动。 |
信号处理,通信理论 |
|
UP-010 |
物理层处理 |
前向纠错编解码 |
|
纠错原语 |
前向纠错编码与解码 |
在发送端对数据进行纠错编码(如Reed-Solomon, LDPC),在接收端进行解码和纠错。用于提高链路可靠性,对抗误码。 |
编码增益 6-9 dB |
dB |
UP-PHY-02, HW-FEC-01, HW-SERDES-01 |
高速编码器/解码器硬件 |
FEC类型需与对端协商一致。开销和延迟需权衡。 |
注入已知错误比特,验证FEC能纠正并报告误码数。 |
信道编码,信息论 |
|
UP-025 |
链路层处理 |
MAC地址学习与老化 |
|
学习算法 |
MAC地址动态学习、查找与老化 |
从接收帧的源MAC地址学习其所在端口和VLAN,并记录时间戳。定期老化超时表项。根据目的MAC地址查找转发端口。 |
学习表容量 16K-128K |
条目,秒 |
UP-MAC-01, UP-039, HW-CAM-01 |
MAC地址表硬件 |
支持静态MAC、黑洞MAC、MAC移动检测 |
发送来自不同MAC的帧,验证学习正确;停止发送后等待老化,验证表项被删除。 |
以太网,桥接 |
|
UP-039 |
链路层处理 |
VLAN标签增删改 |
|
标签操作原语 |
基于端口模式的VLAN标签处理 |
根据端口配置的VLAN模式(接入、干线、混合),对报文进行相应的VLAN标签操作:接入端口添加入口PVID,干线端口允许带标签报文通过,混合端口两者皆可。 |
支持 VLAN ID 1-4094 |
个 |
UP-040, UP-025, ASIC-VLAN-01 |
端口VLAN配置数据库 |
需处理优先级(802.1p)和Native VLAN。 |
配置不同端口模式,发送带/不带标签报文,验证出口标签符合预期。 |
VLAN,以太网 |
|
UP-055 |
链路层处理 |
链路聚合哈希计算 |
|
哈希算法 |
基于报文多字段的链路聚合成员选择 |
为了保持同一数据流的顺序,基于报文头的多个字段(可配置)计算哈希值,然后对聚合组成员数取模,选择出端口。实现流级的负载均衡。 |
哈希算法 CRC16, CRC32, XOR |
无单位 |
UP-013, HA-004, ASIC-LAG-01 |
聚合组状态和成员端口列表 |
哈希算法应均匀分布,避免链路拥塞。 |
构造全对全流量,观察各成员链路流量分布,验证均匀性。 |
链路聚合,负载均衡 |
|
UP-070 |
链路层处理 |
生成树协议状态转发 |
|
状态过滤原语 |
基于生成树端口状态的转发控制 |
运行STP/RSTP/MSTP协议,每个端口有对应的状态。只有处于FORWARDING状态的端口才能转发用户数据帧,防止环路。 |
状态转换延迟 收敛时间 < 1s (RSTP) |
秒 |
UP-013, HA-003, STP-001 |
生成树协议计算出的端口状态 |
需快速收敛,并与协议状态机同步。 |
构建拓扑环路,启用STP,验证阻塞指定端口,无广播风暴。 |
生成树协议,网络环路 |
|
UP-085 |
链路层处理 |
802.1X受控端口控制 |
|
端口控制原语 |
基于802.1X认证状态的端口访问控制 |
端口在未通过802.1X认证前处于UNAUTHORIZED状态,只允许EAPOL、DHCP、ARP等协议报文通过,丢弃其他数据报文。认证成功后转为AUTHORIZED状态,允许所有授权流量。 |
控制粒度 基于端口或基于MAC |
无单位 |
CP-CORE-140, SEC-001, UP-MAC-01 |
802.1X认证模块下发的端口状态 |
需支持多主机模式和动态VLAN分配。 |
连接未认证设备,验证只能进行认证相关通信,无法上网;认证后验证可正常通信。 |
802.1X,端口安全 |
|
UP-100 |
链路层处理 |
QinQ双层标签终结 |
|
标签终结函数 |
802.1Q-in-Q 双层VLAN标签终结与映射 |
剥离运营商分配的外层VLAN标签(S-VLAN),根据内外层VLAN的映射关系,确定用户的业务VLAN(C-VLAN)。用于批发业务场景。 |
支持双层标签嵌套 |
条目 |
UP-039, BRAS-POOL-01, IF-CP-UP-02 |
运营商VLAN与用户VLAN映射配置 |
需处理灵活QinQ(不同外层对应不同内层)。 |
发送带指定双层标签的报文,验证外层被剥离,内层被正确识别和映射。 |
QinQ,运营商网络 |
|
UP-120 |
链路层处理 |
以太网环网保护切换 |
`if (local_link_down |
rsf_received) block_alternate_port() |
环网保护原语 |
以太网环网保护协议(ERPS)快速切换 |
运行G.8032 ERPS协议,检测到环网链路故障或收到R-APS消息后,立即解除阻塞端口的阻塞状态,并刷新MAC表,实现亚秒级保护切换。 |
切换时间 < 50 ms |
毫秒 |
HA-002, UP-013, CP-CORE-315 |
环网协议状态机和链路检测 |
需要硬件支持快速刷新MAC/ARP表。 |
|
|
UP-140 |
链路层处理 |
同步以太网时钟恢复与传递 |
|
时钟同步原语 |
同步以太网时钟恢复、质量选择与传递 |
从物理链路恢复线路时钟,通过数字锁相环(DPLL)滤波和跟踪。根据同步状态消息(SSM)选择最优时钟源,并将高质量时钟传递给下游。 |
时钟精度 ±4.6 ppb (SyncE) |
ppb |
CLK-001, CLK-002, UP-317 |
物理层时钟数据恢复电路 |
需要支持SSM协议(ESMC)。 |
连接外部时钟源,测量输出时钟的频率精度和相位噪声。 |
同步以太网,时钟 |
|
UP-160 |
链路层处理 |
链路故障检测(BFD for Link) |
|
故障检测原语 |
双向转发检测(BFD)链路故障检测 |
与直连设备建立BFD会话,以毫秒级频率收发BFD控制报文。在检测时间内未收到对端报文即认为链路故障,快速触发保护。 |
检测间隔 3.33 ms |
毫秒 |
UP-031, HA-002, CP-UP-KEEPALIVE-01 |
BFD协议状态机和硬件时间戳 |
BFD报文需高优先级处理,避免因拥塞误判。 |
模拟链路中断,测量BFD会话Down的时间,验证在检测时间内。 |
BFD,故障检测 |
|
UP-180 |
链路层处理 |
能量高效以太网(EEE)控制 |
|
节能控制原语 |
基于链路利用率的能量高效以太网控制 |
监控链路流量,在空闲期超过阈值(Tw_system)时,将PHY芯片置入低功耗状态(LPI)。检测到活动时快速唤醒。 |
唤醒时间 < 10 µs |
微秒,% |
ENERGY-01, UP-PHY-05, SWITCH-POWER-01 |
PHY芯片对EEE(802.3az)的支持 |
需权衡节能效果和唤醒带来的时延抖动。 |
监控链路空闲和突发时的功耗,验证低功耗模式生效和快速唤醒。 |
绿色网络,节能 |
2. 网络层处理 (UP-200 ~ UP-499)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-200 |
网络层处理 |
IPv4最长前缀匹配查找 |
|
查找算法 |
IPv4 最长前缀匹配路由查找 |
在有序的路由表中,为给定的目的IPv4地址查找最具体的路由(即最长前缀匹配)。通常通过硬件TCAM或优化的树结构(如Trie)实现。 |
查找延迟 1-2 周期 |
周期, 条 |
CP-CORE-15, CP-005, HW-TCAM-01 |
路由表(FIB)下发和更新 |
需支持递归查找和等价多路径。 |
构建包含重叠前缀的路由表,查询随机IP,验证返回的路由是最长匹配。 |
路由查找,算法 |
|
UP-225 |
网络层处理 |
IPv6扩展头处理 |
|
扩展头处理函数 |
IPv6 逐跳、路由、分片等扩展头处理 |
解析IPv6基头部的下一个头字段,顺序处理可能存在的各种扩展头。需支持Hop-by-Hop、Routing(包括SRv6)、Fragment、Destination Options等。 |
支持扩展头深度 ≥ 6 |
层 |
UP-200, UP-470, CP-CORE-36 |
IPv6协议栈 |
需处理未知扩展头和选项。 |
发送包含各种扩展头的IPv6报文,验证被正确解析和处理。 |
IPv6,协议栈 |
|
UP-250 |
网络层处理 |
ARP请求响应与代理 |
|
地址解析函数 |
ARP 请求处理、响应与代理ARP |
处理收到的ARP请求。如果目标IP是本机,则回复本机MAC;如果目标IP是已知的远程主机(通过路由表),并且启用代理ARP,则回复路由器接口MAC;否则泛洪。 |
ARP表容量 16K-64K |
条 |
UP-025, UP-200, CP-CORE-272 |
本地IP接口列表和路由表 |
需防御ARP欺骗攻击。 |
发送ARP请求,验证收到正确响应;启用代理ARP,验证为远程主机回复网关MAC。 |
ARP,地址解析 |
|
UP-275 |
网络层处理 |
ICMP差错报文生成 |
|
错误报告函数 |
ICMP 差错报文生成与发送 |
当报文因无法到达、超时等原因被丢弃时,生成相应的ICMP差错报文(类型3、11等),并包含触发报文的IP头+前64位数据。将差错报文发回原报文的源IP。 |
支持RFC 792定义的常见类型和代码 |
无单位 |
UP-200, UP-319, SEC-003 |
原始报文信息和丢弃原因 |
需遵循速率限制,防止被用于ICMP Flood。 |
发送TTL=1的报文,验证收到ICMP Time Exceeded;发送到不可达地址,验证收到ICMP Destination Unreachable。 |
ICMP,网络诊断 |
|
UP-300 |
网络层处理 |
策略路由匹配与执行 |
|
策略执行函数 |
基于多字段的策略路由 |
对报文进行策略路由匹配。按顺序匹配策略规则,如果匹配,则执行相应的动作(如下一跳、出接口、丢弃等)。匹配字段可包括L3-L4信息。 |
策略规则容量 1K-4K |
条, 微秒 |
CP-014, UP-200, IF-CP-UP-02 |
策略路由规则表 |
规则需有序,动作需明确。 |
配置策略路由,发送匹配流量,验证被重定向到指定下一跳或接口。 |
策略路由,流量工程 |
|
UP-330 |
网络层处理 |
等价多路径哈希与转发 |
|
负载均衡函数 |
ECMP 哈希计算与下一跳选择 |
对于有多个等价下一跳的路由,基于报文的指定字段(如五元组)计算哈希值,对下一跳数量取模,选择其中一个,实现流级的负载均衡。 |
哈希算法 CRC16, CRC32 |
个 |
UP-200, UP-055, CP-CORE-202 |
路由表中的ECMP组信息 |
哈希算法应具有良好的均匀性和抗碰撞性。 |
构造大量不同的流,测量各下一跳的流量分布,验证均匀性。 |
ECMP,负载均衡 |
|
UP-360 |
网络层处理 |
组播路由查找与复制 |
|
组播转发函数 |
组播转发表查找与报文复制 |
根据组播目的IP地址查找组播转发表,获得出口接口列表。然后将报文复制到列表中的每一个出口接口(可能进行TTL减1等操作)。 |
组播组容量 4K-16K |
个 |
UP-023, UP-274, ASIC-MCAST-01 |
组播路由表(MRIB)和组成员信息 |
硬件复制引擎效率是关键。 |
加入组播组,发送组播流,验证所有成员端口收到,非成员端口未收到。 |
组播,路由 |
|
UP-390 |
网络层处理 |
快速重路由备份路径切换 |
|
保护切换函数 |
IP快速重路由(IP FRR)切换 |
预先通过LFA(Loop-Free Alternate)等算法计算主用链路的备份下一跳。当检测到主下一跳故障(如接口Down、BFD Down)时,立即将流量切换到备份路径。 |
切换时间 < 50 ms |
毫秒 |
HA-002, UP-168, CP-CORE-34 |
拓扑信息和备份路径计算 |
需确保备份路径无环。 |
模拟主链路故障,测量路由收敛和流量切换时间。 |
快速重路由,网络保护 |
|
UP-410 |
网络层处理 |
路由策略过滤与标记 |
|
路由策略函数 |
路由引入/发布时的策略过滤与属性修改 |
在路由协议学习或发布路由时,应用路由策略。基于前缀、AS_PATH、团体属性等条件进行匹配,执行允许/拒绝,或修改路由属性。 |
策略规则复杂度 支持正则表达式匹配AS_PATH |
无单位 |
CP-CORE-16, CP-005, CP-CORE-18 |
路由策略配置库 |
策略应用顺序很重要。 |
配置路由策略,注入路由,验证过滤和属性修改结果符合预期。 |
路由策略,BGP |
|
UP-440 |
网络层处理 |
分段路由标签栈操作 |
|
段路由函数 |
SR-MPLS 标签栈压入与处理 |
根据段列表,将多个MPLS标签压入报文,形成标签栈。转发时,处理栈顶的活跃段(标签),弹出或交换,并更新剩余段指针。 |
标签栈深度 3-10 |
层 |
CP-CORE-35, UP-790, ASIC-MPLS-01 |
SR策略和SID分配 |
需处理倒数第二跳弹出。 |
配置SR策略,发送流量,验证报文按标签栈指示的路径转发。 |
SR-MPLS,段路由 |
|
UP-470 |
网络层处理 |
SRv6段路由头处理 |
|
段路由函数 |
SRv6 段路由头解析与转发 |
解析IPv6报文中的SRH扩展头。如果segments_left为0,则按IPv6目的地址转发;否则,将目的地址更新为段列表中 |
支持End, End.X, End.DT等行为 |
个 |
CP-CORE-36, UP-225, PROTO-EVO-02 |
SRv6策略和SID分配 |
需支持多种Endpoint行为。 |
配置SRv6策略,发送流量,验证报文按SRH中的段列表转发。 |
SRv6,IPv6 |
3. 传输层与应用层处理 (UP-500 ~ UP-699)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-500 |
传输层处理 |
TCP连接状态跟踪 |
|
状态跟踪函数 |
TCP 连接状态跟踪与验证 |
为每个TCP连接维护一个状态条目,根据TCP标志位(SYN, ACK, FIN, RST)更新状态。只允许状态合规的报文通过(如ESTABLISHED连接的返回包),防御非法连接。 |
连接表容量 256K-1M |
条 |
SEC-003, UP-025, NP-STATEFUL-01 |
TCP协议状态机 |
需处理超时清理和连接碰撞。 |
模拟TCP三次握手、数据传输、四次挥手,验证状态机正确跟踪;发送无效序列包,验证被丢弃。 |
TCP,状态防火墙 |
|
UP-530 |
传输层处理 |
UDP校验和计算与验证 |
|
校验和函数 |
UDP 校验和计算、验证与填充 |
计算UDP校验和,覆盖伪头部、UDP头和数据。验证接收报文的校验和,丢弃无效报文。在发送时计算并填充校验和字段。 |
计算延迟 1-2 周期 |
周期 |
UP-200, UP-225, NP-CORE-09 |
IP头部信息和UDP载荷 |
需正确处理可选校验和为0的情况。 |
发送UDP报文,修改部分内容,验证接收端校验和验证失败并丢弃。 |
UDP,校验和 |
|
UP-560 |
传输层处理 |
NAT44源地址转换 |
|
地址转换函数 |
NAT44 源地址转换与会话管理 |
为出方向报文进行源地址转换。基于内部IP:端口查找NAT表,若不存在则从地址池分配一个公网IP:端口,创建映射表项,并改写报文源地址和端口。维护会话状态和超时。 |
NAT会话容量 256K-4M |
条 |
UP-025, UP-500, NP-CGN-01 |
NAT地址池和端口块配置 |
需处理ALG、Endpoint-Independent Mapping等。 |
内网主机访问外网,验证源IP和端口被转换,且回包能正确转换回来。 |
NAT,地址转换 |
|
UP-590 |
传输层处理 |
NAT64 IPv6到IPv4转换 |
|
协议转换函数 |
NAT64 协议与地址转换 |
对IPv6和IPv4间互访的报文进行协议转换。当IPv6主机访问内嵌IPv4地址的IPv6地址时,提取IPv4地址,将报文头转换为IPv4。反之,将IPv4报文转换为IPv6,并使用NAT64前缀和内嵌地址。 |
支持 Stateful 和 Stateless NAT64 |
位 |
UP-200, UP-225, CP-CORE-271 |
NAT64前缀和IPv4地址池 |
需处理分片、ICMP/ICMPv6转换。 |
IPv6主机访问IPv4服务,验证协议转换成功,通信正常。 |
NAT64,IPv6过渡 |
|
UP-620 |
传输层处理 |
大规模NAT端口块分配 |
|
资源分配函数 |
CGN 端口块动态分配与管理 |
为每个用户分配一个公网IP的连续端口块,而不是单个端口。用户的所有会话在该端口块内分配端口。便于用户追踪和日志记录。 |
端口块大小 64-4096 |
端口/块 |
UP-560, CP-011, IF-CP-DHCP-01 |
用户标识(如IP)和公网IP池 |
分配策略需考虑利用率和溯源需求。 |
模拟多个用户同时发起连接,验证每个用户获得独立的端口块,且映射正确。 |
CGN,大规模NAT |
|
UP-650 |
传输层处理 |
FTP ALG应用层网关 |
|
应用网关函数 |
FTP 应用层网关处理 |
深度解析FTP控制连接(端口21)。识别PORT或PASV命令,提取其中声明的数据连接IP和端口,为这个数据连接预创建NAT映射,并修改命令中的IP和端口为公网地址。 |
支持主动和被动模式 |
无单位 |
UP-560, UP-500, CP-CORE-281 |
NAT会话表和FTP协议解析 |
需处理FTP的各种变体和异常情况。 |
内网FTP客户端通过NAT连接外网服务器,验证文件列表和传输成功。 |
FTP ALG,NAT穿越 |
|
UP-680 |
传输层处理 |
IP分片与重组 |
|
分片处理函数 |
IP 分片生成与重组 |
出口报文长度超过MTU时,根据分片规则(IPv4/IPv6)将报文分割为多个分片,设置标识、偏移、更多分片标志。接收端缓存属于同一原始报文的分片,超时前收齐则重组,超时则丢弃。 |
重组缓冲区容量 64K-256K |
条, 秒 |
UP-200, UP-225, NP-CORE-10 |
路径MTU和分片策略 |
需防御分片重叠等攻击。 |
发送大于MTU的报文,验证出口分片正确,接收端重组成功。 |
IP分片,重组 |
4. 隧道与叠加网络处理 (UP-700 ~ UP-899)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-700 |
隧道处理 |
GRE封装与解封装 |
|
隧道封装函数 |
GRE 通用路由封装与解封装 |
在原始报文前添加GRE头部和新的IP头部。GRE头部可包含校验和、密钥、序列号等可选字段。解封装时验证密钥和校验和,剥离外层头部,得到原始报文。 |
支持协议类型 0x0800(IPv4), 0x86DD(IPv6) |
无单位 |
UP-200, UP-Tunnel-01, CP-CORE-312 |
GRE隧道端点配置 |
需处理GRE over IPSec等场景。 |
配置GRE隧道,ping隧道对端地址,验证通信成功。 |
GRE,隧道 |
|
UP-730 |
隧道处理 |
VXLAN封装与解封装 |
|
隧道封装函数 |
VXLAN 封装、解封装与VNI映射 |
将原始二层帧封装在VXLAN头、UDP头、外层IP头和以太网头内。VNI标识租户。根据目的MAC或IP查找VTEP,决定外层目的IP。解封装过程相反。 |
VNI 范围 1-16777215 |
无单位 |
UP-025, UP-200, CP-CORE-307 |
VXLAN隧道表和MAC/IP路由 |
需处理多播泛洪和头部复制。 |
配置VXLAN,跨VTEP的主机互访,验证通信成功。 |
VXLAN,Overlay |
|
UP-760 |
隧道处理 |
GENEVE封装与选项处理 |
|
隧道封装函数 |
GENEVE 封装与可变选项处理 |
类似VXLAN,但支持可变长的选项字段,用于传递元数据(如服务链标识、流量类别)。封装时添加选项,解封装时解析选项并执行相应动作。 |
选项总长度 ≤ 256 bytes |
字节 |
UP-730, UP-INT-02, CP-CORE-309 |
GENEVE选项定义和处理逻辑 |
选项设计需标准化,避免碎片化。 |
配置带选项的GENEVE隧道,验证选项被正确携带和处理。 |
GENEVE,可编程隧道 |
|
UP-790 |
隧道处理 |
MPLS标签交换转发 |
|
标签交换函数 |
MPLS 标签交换、弹出与压入 |
根据入标签查找标签转发表,获得操作类型和出标签。交换:将栈顶标签替换为出标签。弹出:移除栈顶标签,若弹出后为空则进行IP转发。压入:在栈顶压入新标签。 |
标签表容量 16K-64K |
条 |
CP-CORE-31, ASIC-MPLS-01, UP-200 |
标签转发表和下一跳信息 |
需处理标签TTL和TC字段。 |
配置MPLS LSP,发送带标签报文,验证标签操作和转发正确。 |
MPLS,标签交换 |
|
UP-820 |
隧道处理 |
SR-MPLS标签栈操作 |
|
段路由函数 |
SR-MPLS 标签栈压入与处理 |
将段列表中的多个MPLS标签以栈的形式压入报文。转发时,处理栈顶的活跃段,弹出后,下一个标签成为新的栈顶,直到栈空。 |
标签栈深度 3-10 |
层 |
CP-CORE-35, UP-790, UP-440 |
SR策略和SID分配 |
与MPLS转发兼容,但控制平面不同。 |
配置SR-MPLS策略,发送流量,验证按标签栈顺序转发。 |
SR-MPLS,段路由 |
|
UP-850 |
隧道处理 |
SRv6段路由头处理 |
|
段路由函数 |
SRv6 段路由头处理与转发 |
解析IPv6报文中的SRH(下一个头为43)。根据segments_left指针,从段列表中取出当前活动的SID作为目的地址,更新指针,然后转发。支持多种Endpoint行为。 |
支持End, End.X, End.DT等行为 |
无单位 |
CP-CORE-36, UP-225, UP-470 |
SRv6策略和SID分配 |
是IPv6的扩展,无需额外封装。 |
配置SRv6策略,发送流量,验证报文按SRH路径转发。 |
SRv6,IPv6 |
|
UP-880 |
隧道处理 |
IPSec ESP封装与加解密 |
|
安全隧道函数 |
IPSec ESP 封装、加解密与认证 |
对原始IP报文进行ESP封装:添加SPI、序列号、初始化向量,对载荷加密,添加填充,计算完整性校验值。解密时验证ICV并解密数据。 |
支持 AES-GCM, AES-CBC+HMAC |
无单位 |
SEC-002, UP-Tunnel-01, CP-CORE-310 |
IPSec安全关联和密钥管理 |
需要硬件加解密加速。 |
配置IPSec VPN,ping对端,验证通信成功且流量加密。 |
IPSec,VPN |
5. 服务质量处理 (UP-900 ~ UP-1099)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-900 |
服务质量处理 |
多字段流量分类器 |
|
分类函数 |
基于L2-L4多字段的流量分类 |
将报文与分类器规则进行匹配,规则可基于多个报文头字段的组合。匹配成功则归入相应类别,用于后续的QoS处理。支持掩码和范围匹配。 |
分类规则数量 1K-4K |
条, 纳秒 |
UP-006, UP-METER-01, IF-CP-UP-02 |
分类规则数据库 |
分类是QoS策略的第一步,需高效。 |
配置分类规则,发送匹配和不匹配的流量,验证被正确分类和计数。 |
流量分类,QoS |
|
UP-930 |
服务质量处理 |
双速率三色标记器 |
|
计量算法 |
双速率三色标记(RFC 2698) |
使用两个令牌桶:C桶(CIR, CBS)和P桶(PIR, PBS)。报文先通过C桶,如果C桶有足够令牌则为绿色;否则检查P桶,有足够令牌则为黄色;否则为红色。令牌按速率补充。 |
CIR/PIR 1 bps - 100 Gbps |
bps, B |
UP-METER-02, QoS-001, NP-POLICER-01 |
承诺速率和突发大小配置 |
是复杂流量监管的基础。 |
配置双速率三色标记,发送不同速率的流量,验证标记颜色符合预期。 |
流量监管,令牌桶 |
|
UP-960 |
服务质量处理 |
层次化流量整形 |
|
整形算法 |
层次化令牌桶流量整形 |
为每个队列或用户维护一个整形器(令牌桶)。令牌以整形速率累积。报文发送需要消耗令牌,无令牌则等待。子节点的整形速率受父节点可用带宽限制。 |
整形层次 3-4 级 |
级 |
UP-043, UP-Queue-01, NP-SHAPER-01 |
层次化整形树配置 |
整形引入时延,需合理设置桶深。 |
配置层次化整形,制造拥塞,验证各级带宽得到保证,且子节点不超过父节点限制。 |
流量整形,HQoS |
|
UP-990 |
服务质量处理 |
赤字轮询队列调度 |
|
调度算法 |
赤字轮询队列调度 |
为每个队列维护一个赤字计数器。每轮调度为每个队列增加其权重量子。只有当队列队首报文长度小于等于当前赤字时,才发送该报文,并减少赤字。否则跳过该队列,赤字保留到下一轮。 |
支持权重 1-100 |
无单位 |
UP-Queue-01, QoS-002, NP-CORE-07 |
队列权重和优先级配置 |
能提供良好的公平性和时延边界。 |
配置多个不同权重的队列,发送流量,测量各队列获得的带宽比例,验证与权重成正比。 |
队列调度,DRR |
|
UP-1020 |
服务质量处理 |
加权随机早期检测 |
|
拥塞避免算法 |
加权随机早期检测丢包 |
计算平均队列长度(指数加权移动平均)。当平均长度低于最小阈值时不丢包;在最小和最大阈值之间时,丢包概率线性增加;超过最大阈值时,丢包概率为1。对不同颜色(优先级)的报文设置不同的参数。 |
权重 w = 1/2^n, n=0..9 |
无单位 |
UP-Queue-02, QoS-003, NP-QUEUE-01 |
队列长度监控和颜色标记 |
参数设置对性能影响大,需根据流量调整。 |
制造拥塞,观察队列长度和丢包行为,验证符合WRED曲线。 |
拥塞避免,RED |
|
UP-1050 |
服务质量处理 |
层次化QoS调度 |
|
调度函数 |
层次化服务质量调度 |
将调度器组织成树形结构。根节点调度其子节点(可能是子调度器或队列),子节点再调度其子节点,叶节点是队列。每层可采用不同的调度算法(如SP、WRR、WFQ),实现复杂的带宽分配策略。 |
调度层次 3-4 级 |
级 |
UP-043, UP-Queue-01, UP-990 |
HQoS策略模型和配置 |
配置复杂,但能实现精细的带宽控制。 |
配置多级HQoS,模拟多用户多业务场景,验证各级带宽保证和限制生效。 |
HQoS,层次化调度 |
|
UP-1080 |
服务质量处理 |
时间感知整形调度 |
|
时间调度函数 |
时间感知整形门控调度 |
基于全局同步时钟,按照预配置的周期和门控列表,在精确的时间点打开或关闭指定优先级队列的发送门。确保时间敏感流量在无竞争的时间窗口内发送。 |
调度周期精度 ± 8 ns |
纳秒 |
UP-TSN-01, CLK-001, ASIC-TSN-01 |
全局精确时钟和门控列表 |
全路径时钟同步是关键。 |
配置TSN调度,发送时间敏感流和背景流,测量时间敏感流的发送间隔和抖动,验证确定性。 |
TSN,时间敏感网络 |
6. 安全处理 (UP-1100 ~ UP-1299)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-1100 |
安全处理 |
标准IPv4 ACL匹配 |
|
访问控制函数 |
标准/扩展IPv4 ACL匹配与执行 |
基于源IP、目的IP、协议、源端口、目的端口等字段进行匹配。支持通配符掩码和端口比较操作符(eq, gt, lt, range)。匹配成功则执行允许或拒绝动作。 |
ACL规则容量 1K-16K |
条, 周期 |
SEC-003, UP-ACL-01, IF-CP-UP-05 |
ACL规则表 |
规则顺序重要,需支持日志记录。 |
配置ACL规则,发送匹配和不匹配流量,验证允许/拒绝行为正确。 |
ACL,访问控制 |
|
UP-1130 |
安全处理 |
状态防火墙会话检查 |
|
状态检查函数 |
状态化防火墙会话跟踪与检查 |
维护连接状态表。对于返回报文,检查是否属于已建立的合法会话。对于发起报文,根据策略决定是否创建新会话。支持TCP状态跟踪、UDP/ICMP伪连接跟踪。 |
会话表容量 256K-1M |
条 |
UP-500, SEC-003, NP-STATEFUL-01 |
防火墙策略和会话表 |
需处理非对称路由和分片。 |
模拟TCP连接建立,验证返回包能通过;发送非法序列包,验证被丢弃。 |
状态防火墙,会话跟踪 |
|
UP-1160 |
安全处理 |
SYN Flood防护与SYN Cookie |
|
攻击防护函数 |
SYN Flood 攻击防护与SYN Cookie |
检测SYN报文速率,超过阈值时启用SYN Cookie防护。对SYN回复SYN-ACK,但序列号为根据连接信息计算的Cookie,不分配会话资源。收到正确的ACK(验证Cookie)后才建立会话。 |
防护阈值 10K-100K pps |
pps |
SEC-003, UP-500, CP-CORE-278 |
SYN攻击检测和密钥管理 |
增加连接建立延迟,需防御重放攻击。 |
模拟SYN Flood攻击,验证防护生效,合法连接仍可建立。 |
DDoS防护,SYN Cookie |
|
UP-1190 |
安全处理 |
802.1X受控端口接入控制 |
|
端口控制函数 |
基于802.1X认证状态的端口访问控制 |
端口在未通过802.1X认证前处于未授权状态,只允许EAPOL、DHCP、ARP等协议报文通过,丢弃其他数据报文。认证成功后转为授权状态,允许所有授权流量。支持基于MAC的授权。 |
控制粒度 基于端口或基于MAC |
无单位 |
CP-CORE-140, SEC-001, UP-085 |
802.1X认证模块下发的端口状态 |
与RADIUS服务器、认证客户端协同。 |
连接未认证设备,验证只能进行认证相关通信;认证后验证可正常通信。 |
802.1X,端口安全 |
|
UP-1220 |
安全处理 |
AES-GCM硬件加解密 |
|
加密算法 |
AES-GCM 对称加解密与认证 |
使用AES-GCM算法,在加密的同时生成认证标签。加密:C = E(K, IV∥计数器) ⊕ P。认证标签:T = GHASH(H, A, C) ⊕ E(K, IV∥1)。支持关联数据(AAD)认证。 |
支持 AES-128-GCM, AES-256-GCM |
Gbps |
SEC-002, HW-SEC-01, UP-880 |
加密密钥和初始化向量 |
需要硬件加速引擎,IV需唯一。 |
使用已知向量测试,验证加解密结果正确,认证标签有效。 |
密码学,AES-GCM |
|
UP-1250 |
安全处理 |
安全组策略实施 |
|
策略执行函数 |
安全组策略匹配与执行 |
为每个实例(如VM)分配安全组。安全组包含入方向和出方向的规则。报文需同时满足源实例出站规则和目的实例入站规则才允许通过。规则基于协议、端口、CIDR。 |
安全组数量 1K-16K |
个 |
SEC-003, UP-1100, CP-CORE-267 |
实例-安全组绑定关系 |
策略需高效编译为底层ACL。 |
配置安全组规则,实例间互访,验证符合规则定义的允许/拒绝。 |
安全组,云安全 |
|
UP-1280 |
安全处理 |
安全事件日志生成 |
|
日志函数 |
安全事件(攻击、违规)日志生成 |
当安全功能(如ACL拒绝、攻击检测)触发时,生成结构化的日志条目,包含事件详情。通过Syslog或其他协议发送到日志服务器,用于审计和分析。 |
日志格式 CEF, LEEF |
无单位 |
SEC-003, CP-CORE-46, CP-CORE-177 |
安全事件检测引擎 |
日志需防篡改,且注意隐私保护。 |
触发安全事件,验证日志被生成并发送到指定服务器。 |
安全日志,审计 |
7. 监控与遥测处理 (UP-1500 ~ UP-1699)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-1500 |
遥测处理 |
带内网络遥测头插入 |
|
遥测函数 |
带内网络遥测头插入与数据收集 |
对匹配指定流的报文,插入INT头部。报文经过的每个网络节点(支持INT)在INT头中追加本节点的元数据(如设备ID、时间戳、队列深度)。出口节点剥离INT头并上报。 |
支持 INT 1.0/2.0 |
无单位 |
OAM-ADV-01, UP-INT-01, IF-CP-UP-08 |
INT策略配置和元数据定义 |
增加报文开销,需控制采样率。 |
配置INT收集策略,发送匹配流,验证接收端能解析出完整的INT元数据路径。 |
INT,带内遥测 |
|
UP-1530 |
遥测处理 |
IPFIX流记录生成与导出 |
|
流记录函数 |
IPFIX 流缓存管理与记录导出 |
基于报文五元组和输入接口创建流键。相同流键的报文统计信息累加到同一流记录。流在活跃超时或空闲超时后,将流记录封装为IPFIX报文导出到采集器。 |
流缓存容量 64K-256K |
条, 分钟 |
UP-009, NP-STAT-02, CP-CORE-319 |
流缓存表和模板管理 |
流定义和模板需灵活可配。 |
发送已知流量,验证IPFIX采集器收到正确的流记录,统计信息匹配。 |
IPFIX,流量分析 |
|
UP-1560 |
遥测处理 |
单向时延测量 |
|
测量函数 |
基于硬件时间戳的单向时延测量 |
在报文入口和出口打上高精度时间戳(如通过PTP同步的纳秒级时钟)。计算差值得到设备内处理时延。可结合INT实现路径时延测量。 |
时间戳精度 ± 8 ns |
纳秒 |
OAM-ADV-01, CLK-001, UP-1500 |
高精度时钟和硬件时间戳 |
时钟同步精度直接影响测量精度。 |
发送测试流,通过外部测试仪测量时延,与设备上报时延对比,验证准确性。 |
时延测量,性能监控 |
|
UP-1590 |
遥测处理 |
接口吞吐量与利用率统计 |
|
统计函数 |
接口吞吐量、利用率与错误统计 |
周期性地读取接口的字节、报文、错误计数器,计算间隔内的吞吐量、利用率和错包率。支持多种统计粒度,用于性能监控和容量规划。 |
统计粒度 1s, 5s, 1min, 15min |
秒 |
SYS-002, UP-003, CP-CORE-71 |
硬件计数器和时间管理 |
计数器可能回绕,需处理。 |
发送已知速率流量,读取接口统计,验证吞吐量和利用率计算正确。 |
性能统计,监控 |
|
UP-1620 |
遥测处理 |
双向转发检测反射端 |
|
故障检测函数 |
BFD 反射端实现(Echo功能) |
作为BFD反射端,将收到的BFD Echo报文源目地址交换后立即发回,不进行状态机处理。发起端通过计算往返时间检测链路。简化配置,无需对端支持BFD。 |
反射延迟 < 1 ms |
毫秒 |
UP-031, UP-160, CP-UP-KEEPALIVE-01 |
BFD Echo报文格式 |
需防止环路和欺骗。 |
配置BFD Echo,测量反射端响应时间和链路连通性。 |
BFD,故障检测 |
|
UP-1650 |
遥测处理 |
体验质量指标计算 |
|
质量评估函数 |
基于时延、抖动、丢包的体验质量评分 |
基于ITU-T G.107的E-model,根据网络时延(d)、抖动(j)、丢包率(L)等参数计算R因子,然后映射为MOS分(1-5),用于评估语音/视频质量。 |
计算周期 1-5 秒 |
秒 |
UP-1560, UP-1650, CP-CORE-72 |
时延、抖动、丢包测量数据 |
模型参数可针对不同编解码器调整。 |
注入已知网络损伤,计算MOS,与主观感知对比验证。 |
QoE,语音质量 |
|
UP-1680 |
遥测处理 |
遥测数据压缩与批量上报 |
|
数据处理函数 |
遥测数据压缩、聚合与批量上报 |
对遥测数据(如INT报告、流记录)进行实时压缩(如LZ4、Zstandard),减少带宽消耗。将多条记录聚合为一个批次上报,减少报文数量。支持断点续传。 |
压缩率 2x-10x |
倍, 条 |
CP-CORE-71, IF-CP-UP-03, CP-UP-STREAM-01 |
遥测数据缓冲区和压缩库 |
压缩增加CPU开销,需权衡。 |
模拟产生遥测数据,验证压缩和批量上报功能,数据无丢失。 |
数据压缩,遥测 |
8. 可编程与智能处理 (UP-1700 ~ UP-1899)
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-1700 |
可编程处理 |
P4可编程流水线配置 |
|
可编程函数 |
P4 程序加载、流水线配置与运行时管理 |
将P4程序编译为目标设备的配置(如微码、寄存器)。定义解析图、匹配-动作表、动作原语。支持运行时表项增删改,实现灵活的数据平面功能。 |
支持 P4_16 语言规范 |
无单位 |
HW-PROG-01, CP-006, IF-CP-UP-05 |
P4编译器和目标架构后端 |
编译器优化和目标硬件支持是关键。 |
编写简单P4程序(如计数器),加载到设备,验证转发和计数功能。 |
P4,可编程数据平面 |
|
UP-1730 |
可编程处理 |
eBPF程序附加与执行 |
|
可编程函数 |
eBPF 程序加载、附加与执行 |
在操作系统内核或用户空间(如DPDK)的安全虚拟机中加载和验证eBPF字节码。将程序附加到网络钩子点(如XDP、TC)。报文到达时执行程序,根据返回值决定转发、丢弃、重定向等。 |
支持 eBPF 指令集 |
条 |
HW-ACC-01, SYS-001, UP-1700 |
eBPF验证器和JIT编译器 |
需确保程序安全和性能。 |
编写eBPF程序实现简单过滤,附加到接口,验证过滤功能生效。 |
eBPF,可扩展内核 |
|
UP-1760 |
智能处理 |
基于AI的流量分类 |
|
机器学习函数 |
基于机器学习的流量分类与应用识别 |
从流的早期报文(如前5个包)中提取特征向量。使用预训练的机器学习模型(如深度学习)进行推断,识别应用类型(如视频、游戏、办公)。 |
识别准确率 > 95% |
%, 微秒 |
UP-008, CP-CORE-58, AI-OPS-02 |
特征提取引擎和模型文件 |
模型需持续更新以适应新应用。 |
捕获已知应用流量,验证AI分类结果与真实标签一致。 |
机器学习,流量分类 |
|
UP-1790 |
智能处理 |
自适应QoS策略调整 |
|
控制算法 |
基于实时测量的自适应QoS参数调整 |
持续监测流量的性能指标(时延、丢包、吞吐),与SLA目标比较。当不满足时,通过控制算法(如PID)动态调整QoS参数(如调度权重、队列阈值、整形速率),以维持SLA。 |
控制周期 1-10 秒 |
秒 |
UP-1050, UP-1560, CP-CORE-62 |
性能监控数据和SLA定义 |
避免参数振荡,调整需平滑。 |
模拟网络拥塞,观察QoS参数是否自动调整以使性能恢复至SLA内。 |
自适应控制,QoS |
|
UP-1820 |
智能处理 |
异常流量检测与告警 |
|
检测算法 |
基于无监督学习的异常流量检测 |
对网络流量特征(如流量矩阵、熵、增长率)进行实时计算。使用无监督学习算法(如孤立森林、自编码器)计算异常分数。超过阈值时产生安全告警。 |
检测延迟 < 1 秒 |
秒, % |
SEC-003, UP-1530, CP-CORE-174 |
流量特征提取和模型 |
模型需适应正常流量模式的变化。 |
注入DDoS攻击或扫描流量,验证系统能检测并告警。 |
异常检测,安全分析 |
|
UP-1850 |
智能处理 |
能效优化与负载整合 |
|
优化算法 |
基于负载的能效优化与流量整合 |
监控UP节点的负载(吞吐、会话数)。在业务低峰期,将流量整合到部分UP节点,使空闲节点进入低功耗状态。检测到负载上升时,唤醒节点并重新分担流量。 |
节能比例 10-30% (在低峰期) |
% |
ENERGY-01, UP-POOL-17, CP-VM-ROAM-01 |
负载监控和功耗管理 |
迁移需平滑,避免业务中断。 |
模拟低峰期,触发节能策略,验证部分节点进入休眠,总功耗下降。 |
绿色计算,能效优化 |
|
UP-1880 |
智能处理 |
意图策略编译与下发 |
|
策略编译函数 |
业务意图到设备配置的编译与下发 |
将高层业务意图通过策略引擎翻译为具体的网络策略(QoS、路由、ACL)。再根据目标UP的硬件模型,将策略编译为可下发的配置块(如流表项、寄存器值)。 |
编译时间 < 1 秒 (对于中等策略) |
秒 |
CP-IBN-01, IF-CP-UP-05, CP-COMPILE-01 |
意图解析器和硬件模型库 |
编译需保证语义正确性和资源约束。 |
输入业务意图,验证生成的配置能正确下发并实现意图。 |
意图网络,策略编译 |
9. 虚拟化与云化处理 (UP-1900 ~ UP-2000)
| 编号 | 类型 | 函数类型 | 函数的数学方程式建模 / 子函数的数学方程式列表 | 参数类型 | 参数名称 | 数学表达式/物理模型/计算机模型/通信模型/关联描述 | 典型值/范围 (管控目标) | 单位 | 核心关联参数 | 依赖关系 | 设计/软件开发/硬件制造/应用要求 | 测试/验证方法 | 关联学科/
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-1900 |
虚拟化处理 |
虚拟交换机线卡转发 |
|
虚拟交换函数 |
虚拟交换机(OVS/VRF)MAC转发 |
在软件中实现与硬件交换机类似的MAC学习与转发逻辑,但端口扩展为虚拟端口(virtio, vhost-user, DPDK)。支持OpenFlow流表、VLAN、STP等。 |
转发性能 10-100 Mpps |
Mpps, µs |
SYS-001, UP-025, VIM-001 |
虚拟端口管理和流表 |
需通过DPDK/VPP加速,支持热迁移。 |
部署vSwitch,连接多个VM/容器,验证二层互通和流表策略。 |
虚拟化,SDN |
|
UP-1930 |
虚拟化处理 |
SR-IOV虚拟功能直通 |
|
硬件虚拟化函数 |
SR-IOV虚拟功能创建、分配与直通 |
从物理网卡(PF)创建多个虚拟功能(VF),分配给虚拟机。VF流量直通硬件,绕过Hypervisor,提供接近物理机的性能。支持VF级别的QoS和隔离。 |
每PF支持VF数 16-256 |
个 |
HW-VIRT-01, VIM-002, UP-003 |
网卡SR-IOV能力和驱动 |
需硬件支持,VF配置和资源管理复杂。 |
创建VF分配给VM,测试网络性能与隔离性。 |
SR-IOV,硬件虚拟化 |
|
UP-1960 |
虚拟化处理 |
容器网络接口(CNI)插件 |
|
容器网络函数 |
容器网络接口实现与管理 |
实现CNI插件,为容器创建网络命名空间,通过veth对连接到网桥或主机网络,分配IP和路由,并应用网络策略(如Calico, Cilium)。 |
支持CNI spec v0.4.0+ |
毫秒 |
CONT-001, UP-1900, SYS-001 |
容器运行时和网络插件 |
需支持多种网络模型(bridge, macvlan, ipvlan)。 |
创建Pod,验证网络连通性、隔离性和策略。 |
容器网络,Kubernetes |
|
UP-1990 |
云化处理 |
云网协同接口 |
|
云网协同函数 |
云平台网络资源编排接口 |
提供与云平台(OpenStack, AWS VPC, Azure VNet)集成的接口,将云平台的网络资源请求翻译为底层网络设备配置,并自动下发。 |
支持主流云平台API |
秒 |
CP-EXT-01, VIM-003, CP-CORE-78 |
云平台SDK和配置模板 |
接口需稳定,支持异步和回滚。 |
从云平台创建VPC/子网,验证网络资源自动配置成功。 |
云网协同,SDN |
|
UP-2010 |
确定性网络 |
循环排队与转发(CQF) |
|
调度算法 |
循环排队与转发(IEEE 802.1Qch) |
时间划分为固定周期,使用两个队列交替收/发。在周期n发送队列A,接收队列B;周期n+1发送B,接收A。提供有界时延和零拥塞丢包。 |
周期长度 10 µs - 1 ms |
µs |
UP-1080, CLK-001, TSN-002 |
全局时间同步和周期管理 |
需全网时钟同步和周期对齐。 |
配置CQF,测量端到端时延和抖动,验证确定性。 |
CQF,TSN |
|
UP-2030 |
确定性网络 |
异步流量整形(ATS) |
|
整形算法 |
异步流量整形(IEEE 802.1Qcr) |
基于信用的整形,每个流维护资格时间。报文只有在当前时间≥资格时间时才能发送。资格时间基于到达时间和上一个报文的离开时间计算。无需全局同步,提供有界时延。 |
支持流数量 1K-4K |
个 |
UP-960, TSN-003, UP-1050 |
每流整形状态 |
实现复杂度高于基于门的整形,但更灵活。 |
配置ATS,测量不同优先级流的时延,验证符合理论上界。 |
ATS,确定性网络 |
|
UP-2050 |
确定性网络 |
帧抢占与交织 |
|
帧处理函数 |
以太网帧抢占(IEEE 802.3br) |
当高优先级帧到达时,可中断正在发送的低优先级帧(如果其优先级低于可抢占阈值)。高优先级帧发送完后,恢复发送被中断的低优先级帧的剩余部分。减少高优先级帧排队时延。 |
抢占开销 < 20 bytes (额外帧头) |
字节 |
UP-1080, UP-003, TSN-004 |
MAC层帧边界检测和恢复 |
需物理层/MAC支持,增加复杂度。 |
发送混合优先级流量,测量高优先级帧时延,验证抢占生效。 |
帧抢占,TSN |
|
UP-2080 |
智能处理 |
在线增量学习模型更新 |
|
机器学习函数 |
在线增量学习与模型热更新 |
在数据面持续收集流量特征和反馈,在线更新机器学习模型(如分类、异常检测)。当模型性能下降时触发重训练,支持无损模型热切换。 |
模型更新频率 每小时/天 |
毫秒 |
UP-1760, AI-001, CP-CORE-96 |
在线学习算法和版本管理 |
需处理概念漂移,保证模型一致性。 |
模拟流量模式变化,验证模型在线更新后准确率保持。 |
在线学习,MLOps |
|
UP-2100 |
智能处理 |
神经网络推断硬件加速 |
|
硬件加速函数 |
神经网络推断硬件加速(NPU/TPU) |
使用专用AI加速器执行神经网络推断。从报文中提取特征张量,加载预训练模型权重,在硬件上执行矩阵运算,得到分类/预测结果,触发相应动作。 |
推断延迟 < 10 µs |
µs, TOPS |
HW-AI-01, UP-1760, UP-008 |
神经网络模型编译和优化工具链 |
模型需针对硬件编译,支持动态加载。 |
部署AI模型,发送流量,验证推断结果准确且延迟达标。 |
AI加速,边缘AI |
|
UP-2130 |
安全处理 |
同态加密流量处理 |
|
加密计算函数 |
同态加密流量分析与统计 |
对加密流量(如TLS)直接进行同态加密计算,在不解密的情况下执行求和、计数等操作,实现隐私保护的流量分析。 |
支持部分同态(Paillier)或层级同态 |
倍 |
SEC-005, UP-1220, CP-CORE-179 |
同态加密算法库(SEAL, HELib) |
计算开销巨大,目前仅适合简单操作。 |
对加密的流量计数器进行同态求和,解密后验证结果正确。 |
同态加密,隐私计算 |
|
UP-2150 |
安全处理 |
量子密钥分发集成 |
|
量子安全函数 |
量子密钥分发集成与后量子密码 |
与QKD设备交互,执行BB84等协议,生成信息论安全的密钥。经过后处理(筛选、纠错、隐私放大)得到最终密钥,用于驱动对称加密。为应对量子计算威胁,可结合后量子算法。 |
密钥生成速率 1-100 Kbps |
Kbps |
SEC-006, HW-QKD-01, UP-1220 |
QKD设备接口和后量子密码库 |
需要专用QKD硬件,距离受限。 |
建立QKD链路,生成密钥,建立加密隧道,验证通信安全。 |
量子安全,QKD |
|
UP-2180 |
新型协议 |
ICN(命名数据网络)转发 |
|
信息中心网络函数 |
ICN兴趣包与数据包转发、缓存 |
基于内容名称而非IP地址转发。兴趣包按名称路由,在途中建立PIT。数据包沿PIT路径返回,并在节点缓存。支持网内缓存和多源获取。 |
支持命名格式 NDN, CCNx |
无单位 |
PROTO-EVO-03, UP-200, HW-CACHE-01 |
命名解析、路由协议和缓存管理 |
需要新的路由协议、缓存一致性和安全模型。 |
请求指定名称的内容,验证能从缓存或源获取,并验证签名。 |
ICN,未来网络架构 |
|
UP-2200 |
新型协议 |
计算优先网络(CFN) |
|
计算网络函数 |
计算优先网络任务感知路由与卸载 |
将计算任务封装在报文中,网络设备感知计算资源(CPU、GPU、内存)和状态,将任务路由到最优计算节点。节点执行后返回结果。 |
任务描述语言支持(如Protobuf) |
毫秒 |
PROTO-EVO-04, UP-200, EDGE-001 |
计算节点注册、发现和能力广告协议 |
需要计算资源抽象和任务调度算法。 |
发布计算任务,验证被路由到合适节点执行并返回结果。 |
计算优先网络,边缘计算 |
|
UP-2230 |
遥测处理 |
数字孪生数据面同步 |
|
数据同步函数 |
数字孪生实时数据面状态同步 |
持续或事件驱动地将数据面详细状态同步到数字孪生引擎。使用高效序列化和压缩,保持孪生体与物理网络的高度一致,用于仿真、预测和优化。 |
同步延迟 < 100 ms |
毫秒 |
DIGITAL-TWIN-01, UP-1500, CP-CORE-81 |
数字孪生引擎接口和同步协议 |
数据量大,需高效差异检测和压缩。 |
修改物理网络状态,验证孪生体快速更新,且状态一致。 |
数字孪生,网络仿真 |
|
UP-2250 |
遥测处理 |
全息网络可视化数据生成 |
|
可视化函数 |
全息网络可视化数据生成与流式渲染 |
生成用于VR/AR设备显示的3D网络数据,包括拓扑、流量动画、设备内部状态(芯片热力图、缓冲区使用)。支持交互操作(抓取、放大、点击)。 |
支持主流VR/AR平台 |
fps |
CP-CORE-98, UP-1500, VIS-001 |
3D图形引擎(Unity, Unreal)和VR SDK |
数据量大,需要高带宽、低延迟传输。 |
在VR头显中加载网络模型,验证可交互操作和实时数据更新。 |
可视化,VR/AR,人机交互 |
|
UP-2280 |
资源管理 |
硬件资源细粒度切片 |
|
资源切片函数 |
硬件资源(TCAM、内存、队列、CPU)细粒度切片与隔离 |
将物理硬件资源划分为多个逻辑分区,分配给不同租户或服务。确保严格的性能隔离和安全性。支持资源的动态调整和监控。 |
切片数量 4-16 |
个 |
UP-POOL-16, HW-INTER-01, CP-009 |
硬件虚拟化支持(如SR-IOV, 硬件队列分离) |
需要硬件支持资源分区和性能监控。 |
为切片分配资源,制造一个切片过载,验证其他切片性能不受影响。 |
网络切片,资源隔离 |
|
UP-2300 |
能效管理 |
基于AI的能效优化 |
|
智能优化函数 |
基于AI/强化学习的能效优化与动态配置 |
利用AI模型学习设备功耗与负载、硬件配置(CPU频率、风扇转速、端口状态)、环境的关系。通过强化学习等算法动态调整配置,在满足性能SLA下最小化功耗。 |
节能比例 15-40% |
% |
ENERGY-01, UP-1850, AI-001 |
功耗传感器、温度传感器和配置接口 |
需要安全的探索策略,避免性能抖动。 |
在不同负载曲线下运行,对比AI优化与固定策略的功耗。 |
AI节能,绿色计算 |
|
UP-2330 |
交互接口 |
脑机接口网络控制 |
|
脑机接口函数 |
脑机接口网络控制与神经反馈 |
通过非侵入式脑电设备读取操作员神经信号,使用机器学习解码其操作意图(如“查看告警”、“重启端口”),转换为网络指令执行。同时可将网络状态以视觉/触觉神经反馈形式返回。 |
意图识别准确率 > 85% |
%, ms |
HUMAN-01, CP-CORE-98, IF-003 |
脑电采集设备和解码软件SDK |
处于前沿研究,需个性化训练,伦理考量。 |
操作员通过“思考”发出简单指令,验证系统正确识别并执行。 |
脑机接口,HCI,神经工程 |
|
UP-2350 |
新型协议 |
语义通信集成 |
|
语义通信函数 |
语义通信编解码、传输与重建 |
不追求比特级无错,而是提取和传输数据的“语义”。发送端基于知识图谱进行语义编码,接收端基于相同知识图谱进行语义解码和重建。大幅提升带宽效率和鲁棒性。 |
语义相似度 > 90% |
% |
PROTO-EVO-05, UP-008, AI-002 |
领域知识图谱和语义模型 |
需要发送端和接收端共享或同步知识图谱。 |
传输一张图片的语义描述,接收端重建,比较语义一致性。 |
语义通信,信息论,AI |
|
UP-2380 |
安全处理 |
动态移动目标防御 |
|
安全防御函数 |
动态移动目标防御(IP/端口跳变) |
周期性或按需改变服务器IP地址、端口或协议,增加攻击者定位和攻击难度。同时更新DNS或转发规则,并支持现有会话的无缝迁移。 |
跳变频率 秒-小时级 |
无单位 |
SEC-003, UP-200, CP-CORE-158 |
IP地址池管理和会话迁移机制 |
跳变需考虑DNS TTL和客户端兼容性。 |
配置IP跳变,模拟客户端访问,验证在跳变期间连接保持。 |
移动目标防御,主动安全 |
|
UP-2410 |
新型协议 |
空天地一体化网络接入 |
|
融合网络函数 |
空天地一体化网络智能接入与切换 |
在卫星、地面、高空平台等多种异构网络间,根据链路质量和业务需求智能选择接入点。实现业务在不同网络间的无缝漫游和切换,并应用针对空间链路优化的路由策略。 |
切换中断时间 < 50 ms |
ms |
PROTO-EVO-06, UP-158, CP-005 |
多制式接入网管理和链路质量探测 |
链路不对称、高时延、动态拓扑是挑战。 |
模拟卫星链路切换,测量业务中断时间和性能变化。 |
空天地一体化,6G |
|
UP-2440 |
智能处理 |
联邦学习流量特征协作 |
|
隐私计算函数 |
联邦学习下的分布式流量特征分析与模型训练 |
多个网络节点在本地用流量数据训练模型,只上传模型更新(而非原始数据)到中心进行安全聚合,得到全局模型。保护数据隐私,实现协同安全防御或流量分类。 |
参与节点数 10-1000 |
个 |
SEC-005, UP-1760, AI-003 |
联邦学习框架和同态加密/差分隐私 |
通信开销和模型收敛速度需权衡。 |
多个节点参与联邦训练,验证全局模型准确率提升,且本地数据未泄露。 |
联邦学习,隐私计算 |
|
UP-2470 |
可编程处理 |
硬件事务内存支持 |
|
并发控制函数 |
硬件事务内存支持的无锁并发数据面编程 |
在可编程数据面(如PISA)中,通过硬件事务内存(HTM)实现对共享数据结构(如计数器、流表)的无锁并发访问,简化编程模型,提升多核性能。 |
事务冲突率 < 5% |
%, ns |
HW-PROG-02, UP-1700, SYS-001 |
处理器对TSX等HTM扩展的支持 |
需处理事务中止和回滚,避免活锁。 |
编写并发访问流表的P4/eBPF程序,使用HTM,验证数据一致性和性能提升。 |
事务内存,并发控制 |
|
UP-2500 |
前瞻性功能 |
光交换与光电协同调度 |
|
光电交换函数 |
光电路交换与电分组交换协同调度 |
对大流量、长持续时间的“大象流”建立直通的光电路,实现低功耗、高带宽传输。对“老鼠流”和小突发流量仍使用电分组交换。通过协同调度优化整体性能和能效。 |
光路建立时间 毫秒级 |
ms |
HW-PHOTONIC-01, ENERGY-01, UP-055 |
光交换矩阵和控制接口 |
需要光交换设备和统一控制平面。 |
触发大象流,验证光路建立,测量端到端时延和功耗。 |
光交换,光电融合 |
|
编号 |
类型 |
函数类型 |
函数的数学方程式建模 / 子函数的数学方程式列表 |
参数类型 |
参数名称 |
数学表达式/物理模型/计算机模型/通信模型/关联描述 |
典型值/范围 (管控目标) |
单位 |
核心关联参数 |
依赖关系 |
设计/软件开发/硬件制造/应用要求 |
测试/验证方法 |
关联学科/领域 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
UP-0003 |
物理层处理 |
电信号接收与均衡 |
|
硬件原语 |
物理层信号接收、均衡与采样 |
从物理通道接收模拟电信号,通过前馈均衡器(FFE)补偿信道损耗和码间干扰,然后采样和量化,恢复为数字信号。 |
均衡器抽头数 3-7 |
抽头, 位 |
UP-PHY-01, CLK-001, HW-SERDES-01 |
SerDes接收电路,时钟数据恢复 |
需自适应调整均衡参数以适应不同线缆长度和材质。 |
发送PRBS序列,测量误码率和眼图质量,验证均衡效果。 |
信号处理,通信理论 |
|
UP-0005 |
物理层处理 |
时钟数据恢复 |
|
时钟恢复原语 |
时钟数据恢复与重定时 |
从数据流中提取时钟信息,通过锁相环(PLL)产生与数据同步的恢复时钟,并用此时钟对数据进行重采样,消除抖动。 |
时钟恢复带宽 1-10 MHz |
MHz, UI |
CLK-001, UP-0003, HW-SERDES-01 |
相位检测器和电压控制振荡器 |
需处理长连0/1导致的时钟丢失。 |
发送带抖动的数据,测量恢复时钟的抖动和重定时后数据的误码率。 |
时钟恢复,锁相环 |
|
UP-0008 |
物理层处理 |
线路编码解码 |
|
编码解码原语 |
8B/10B线路编码与解码 |
将8位数据编码为10位码字,保证直流平衡和足够跳变。解码时验证码字合法性,计算运行差异,检测编码规则违反。 |
支持 8B/10B, 64B/66B, 128B/130B |
无单位 |
UP-PHY-02, UP-0005, HW-SERDES-01 |
编码表和差异计算逻辑 |
编码带来20%开销,但提供时钟恢复和误码检测。 |
发送随机数据,验证编码解码后数据一致,并模拟码字错误验证检测。 |
线路编码,信道编码 |
|
UP-0012 |
物理层处理 |
前向纠错编码 |
|
纠错编码原语 |
Reed-Solomon前向纠错编码与解码 |
对数据块进行RS编码,添加冗余校验字节。解码时,可纠正多达t个符号错误。提高链路可靠性,对抗突发错误。 |
RS(544,514) KP4-FEC |
dB |
UP-PHY-03, HW-FEC-01, UP-0008 |
伽罗华域算术和编解码器 |
编码延迟和功耗需考虑。 |
注入随机符号错误,验证FEC能纠正并在纠错能力内。 |
前向纠错,RS码 |
|
UP-0015 |
物理层处理 |
自动协商 |
|
链路协商函数 |
以太网自动协商(AN) |
与链路对端交换能力通告,协商出双方共同支持的最高性能操作模式(速度、双工、流控)。支持并行检测以兼容旧设备。 |
协商时间 < 500 ms |
ms |
UP-PHY-04, UP-MAC-01, UP-003 |
物理层编码和FLP突发序列 |
需处理协商失败和降级。 |
连接不同能力设备,验证协商结果正确,链路正常工作。 |
自动协商,以太网 |
|
UP-0018 |
物理层处理 |
链路训练 |
|
链路训练原语 |
高速SerDes链路训练与自适应均衡 |
在链路启动时,发送训练序列,双方自适应调整均衡器系数、采样相位、增益等参数,以优化信号完整性,确保低误码率。 |
训练时间 < 10 ms |
ms |
UP-0003, UP-0005, HW-SERDES-01 |
训练状态机和自适应算法 |
对长距离和恶劣信道环境尤其重要。 |
模拟信道变化,触发重训练,验证链路能重新锁定并保持低误码。 |
链路训练,自适应均衡 |
|
UP-0022 |
链路层处理 |
MAC帧定界与接收 |
|
帧处理原语 |
以太网MAC帧接收、定界与组装 |
检测前导码和帧起始定界符(SFD),开始接收帧。组装比特流直至检测到帧结束(载波消失或错误)。进行帧校验序列(FCS)验证。 |
支持帧长 64-9216 字节 |
字节 |
UP-MAC-01, UP-003, UP-010 |
MAC接收状态机 |
需处理残帧和超长帧。 |
发送标准帧和错误帧,验证正确接收和错误检测。 |
以太网,MAC层 |
|
UP-0025 |
链路层处理 |
MAC帧发送 |
|
帧处理原语 |
以太网MAC帧封装与发送 |
为数据负载添加前导码、SFD、MAC头、FCS,组装成完整帧。在半双工模式下进行载波侦听和冲突检测。串行化后发送。 |
支持全双工和半双工 |
比特时间 |
UP-MAC-02, UP-022, UP-003 |
MAC发送状态机和冲突处理 |
半双工已较少使用,但需兼容。 |
发送帧,验证线路上波形和时序符合IEEE 802.3。 |
以太网,MAC层 |
|
UP-0028 |
链路层处理 |
暂停帧生成与处理 |
|
流控原语 |
以太网流控暂停帧生成与响应 |
当接收队列超过XOFF阈值时,生成并发送暂停帧,请求对端暂停发送指定时间。当队列低于XON阈值时,发送暂停时间为0的帧恢复。收到暂停帧时,本地停止发送指定时间。 |
暂停时间粒度 512 bit times |
比特时间 |
UP-MAC-02, UP-Queue-02, UP-034 |
队列深度监控和定时器 |
需防暂停帧风暴,不适用于数据中心大规模部署。 |
制造拥塞,验证暂停帧发送和响应,观察发送端暂停。 |
流控,以太网 |
|
UP-0031 |
链路层处理 |
链路状态检测 |
|
状态检测原语 |
物理链路状态检测与端口控制 |
监控物理层链路状态(link status)。当链路断开时,禁用端口并刷新相关转发表。当链路恢复时,启用端口并可能触发自动协商。 |
检测延迟 < 10 ms |
ms |
UP-003, UP-015, UP-025 |
物理层状态引脚/寄存器 |
需防链路翻动(flapping)。 |
拔插网线,验证端口状态快速变化并触发相应动作。 |
链路检测,状态机 |
|
UP-0035 |
链路层处理 |
巨帧支持 |
|
帧处理扩展 |
巨帧接收、转发与发送 |
支持处理长度超过标准以太网MTU(1518字节)的帧,通常用于数据中心内部以减少CPU处理开销。需在端口或全局启用。 |
巨帧大小 1519-9216 字节 |
字节 |
UP-022, UP-025, SYS-003 |
全局或端口级巨帧使能配置 |
需确保路径上所有设备支持,否则会分片或丢包。 |
发送巨帧,验证能被正确接收和转发。 |
巨帧,以太网扩展 |
|
UP-0038 |
链路层处理 |
流量控制自协商 |
|
流控协商函数 |
基于自动协商的流量控制能力协商 |
在自动协商过程中交换流量控制能力(对称暂停、非对称暂停)。根据双方能力确定最终操作模式:双方均可发送暂停、仅一方可发送、或禁用。 |
支持 IEEE 802.3x 暂停流控 |
无单位 |
UP-015, UP-028, UP-MAC-02 |
自动协商基页和下一页 |
是自动协商的一部分。 |
连接不同流控能力设备,验证协商结果符合预期。 |
流控,自动协商 |
|
UP-0042 |
链路层处理 |
前导码和SFD错误检测 |
|
错误检测原语 |
前导码与帧起始定界符错误检测 |
检查接收到的前导码(应为交替的1010...)和SFD(0xD5)。如果错误,则丢弃该帧,并增加相应错误计数器。可能指示物理层问题或冲突。 |
错误计数精度 每帧 |
无单位 |
UP-022, UP-010, UP-003 |
前导码/SFD预期模式 |
通常与FCS错误一起用于链路质量诊断。 |
发送错误的前导码/SFD,验证帧被丢弃且计数器增加。 |
错误检测,以太网 |
|
UP-0045 |
链路层处理 |
载波扩展和帧突发 |
|
半双工扩展 |
载波扩展与帧突发(半双工千兆以太网) |
在半双工千兆以太网中,短于512字节的帧需附加载波扩展以满足时隙时间。允许在一次占用介质中发送多个帧(帧突发),提高效率。 |
载波扩展长度 0-448 字节 |
字节, 位时间 |
UP-025, UP-028, UP-MAC-02 |
半双工模式和时隙定时器 |
仅用于半双工模式,现代网络极少使用。 |
在半双工模式下发送短帧,验证被扩展;发送突发帧,验证符合规范。 |
半双工以太网,载波扩展 |
|
UP-0048 |
链路层处理 |
冲突检测与处理(半双工) |
|
冲突处理原语 |
半双工冲突检测、阻塞信号发送与退避 |
在半双工模式下,发送时检测到其他信号即为冲突。立即发送阻塞信号,然后中止发送,执行截断二进制指数退避算法,等待随机时隙后重试。 |
最大重试次数 16 |
次, 位 |
UP-025, UP-028, UP-MAC-02 |
冲突检测电路和退避算法 |
冲突导致时延不确定和性能下降,全双工无需。 |
在半双工Hub网络中制造冲突,验证冲突处理流程。 |
CSMA/CD,以太网 |
|
UP-0052 |
链路层处理 |
链路完整性测试 |
|
链路测试函数 |
链路完整性测试与诊断 |
发送特定的测试模式(如空闲、配置、故障模式)到对端,并检查接收到的模式。用于诊断链路质量、电缆故障或协商问题。支持环回测试。 |
测试模式 IEEE 802.3 定义 |
无单位 |
UP-003, UP-015, UP-031 |
测试模式生成器和检查器 |
通常用于制造测试和现场诊断。 |
启用链路测试,验证能发送和接收测试模式,并报告结果。 |
链路诊断,测试 |
|
UP-0055 |
链路层处理 |
能量检测网络 |
|
节能控制原语 |
能量检测网络与低功耗空闲 |
监控链路空闲时间,超过阈值时进入低功耗状态(如低功耗空闲或睡眠)。检测到链路活动或定时器超时后唤醒。用于节能以太网(EEE)和绿色以太网。 |
空闲阈值 10 µs - 10 ms |
µs |
ENERGY-01, UP-003, UP-031 |
空闲定时器和唤醒电路 |
需权衡节能和唤醒带来的时延抖动。 |
制造链路空闲,测量功耗下降;发送流量,验证快速唤醒。 |
绿色以太网,节能 |
|
UP-0058 |
链路层处理 |
管理数据输入输出 |
|
管理接口原语 |
MDIO/MDC管理接口读写 |
通过MDC/MDIO总线(IEEE 802.3 Clause 22/45)读写PHY芯片的管理寄存器,用于配置、状态监控和故障诊断。支持标准(Clause 22)和扩展(Clause 45)地址空间。 |
时钟频率 1-2.5 MHz |
MHz |
UP-PHY-05, SYS-002, HW-MGMT-01 |
MDIO控制器和PHY寄存器映射 |
是管理PHY芯片的主要方式。 |
通过MDIO读取PHY ID和状态寄存器,验证可访问性。 |
MDIO,PHY管理 |
|
UP-0062 |
链路层处理 |
接收帧过滤 |
|
过滤原语 |
基于目的MAC地址的接收过滤 |
根据目的MAC地址决定是否接收该帧:单播地址匹配本机MAC、广播地址、组播地址(如果已加入该组),或混杂模式接收所有帧。 |
过滤模式 {普通, 混杂, 多播混杂} |
无单位 |
UP-022, UP-025, UP-MAC-01 |
MAC地址表和端口配置 |
混杂模式用于监控和调试,但影响性能和安全。 |
发送到不同目的MAC的帧,验证接收过滤行为符合配置。 |
MAC过滤,混杂模式 |
|
UP-0065 |
链路层处理 |
接收帧统计计数 |
|
统计算法 |
接收帧数量、字节数与错误统计 |
对成功接收的帧和字节进行计数。对各种错误类型(FCS错误、对齐错误、超长帧、残帧等)分别计数。用于性能监控和故障诊断。 |
计数器宽度 32/64 位 |
位 |
UP-022, UP-010, SYS-002 |
硬件计数器和错误检测信号 |
计数器可能回绕,需软件定期读取和清零。 |
发送已知数量的帧和错误帧,读取计数器验证准确。 |
统计,RMON |
|
UP-0068 |
链路层处理 |
发送帧统计计数 |
|
统计算法 |
发送帧数量、字节数与错误统计 |
对成功发送的帧和字节进行计数。对各种发送错误(冲突、迟冲突、过多冲突等)分别计数。用于性能监控和故障诊断。 |
计数器宽度 32/64 位 |
位 |
UP-025, UP-048, SYS-002 |
硬件计数器和冲突检测信号 |
半双工相关错误在全双工下应为0。 |
发送帧,读取发送计数器验证准确。 |
统计,RMON |
|
UP-0072 |
链路层处理 |
端口镜像 |
|
监控函数 |
基于条件的端口流量镜像 |
复制匹配条件的帧(入向、出向或双向),并发送到指定的监控端口。条件可基于ACL。用于网络监控、故障排查和安全分析。 |
镜像会话数 1-4 |
个 |
UP-026, UP-022, UP-025 |
镜像会话配置和ACL匹配 |
镜像流量可能很大,需确保监控端口带宽足够。 |
配置镜像,发送匹配流量,验证监控端口收到副本。 |
端口镜像,网络监控 |
|
UP-0075 |
链路层处理 |
风暴控制 |
|
风暴抑制函数 |
广播/组播/未知单播风暴控制 |
监控指定类型(广播、组播、未知单播)的帧速率。当超过阈值时,执行动作(丢弃、关闭端口、告警),防止风暴影响网络。 |
阈值 1-100000 pps |
pps |
UP-022, UP-062, SEC-004 |
速率计数器和定时器 |
阈值设置需合理,避免误伤正常流量。 |
模拟广播风暴,验证风暴控制触发并执行动作。 |
风暴控制,安全 |
|
UP-0078 |
链路层处理 |
链路层发现协议 |
|
邻居发现函数 |
LLDP帧发送、接收与邻居信息维护 |
周期性发送LLDP帧,通告本设备信息(Chassis ID, Port ID, 系统描述等)。接收并处理邻居的LLDP帧,建立邻居表。用于拓扑发现和网络管理。 |
发送间隔 30 s |
秒 |
UP-025, UP-022, CP-TOPO-01 |
LLDP状态机和TLV编码/解码 |
是标准化的二层发现协议,替代CDP/EDP等私有协议。 |
连接支持LLDP的设备,验证能相互发现并学习邻居信息。 |
LLDP,邻居发现 |
|
UP-0082 |
链路层处理 |
以太网OAM连通性故障管理 |
|
OAM函数 |
以太网OAM(802.1ag)连通性故障管理 |
实现CFM协议,包括连续性检查消息(CCM)的周期性发送、环回(Loopback)的请求与回复、链路跟踪(Linktrace)。用于服务层面的故障检测和定位。 |
CCM间隔 3.33 ms - 10 s |
秒 |
UP-025, UP-022, OAM-002 |
CFM状态机和维护关联 |
需与VLAN和MAC-in-MAC等协同工作。 |
配置CFM会话,模拟故障,验证CCM中断告警,环回测试成功。 |
以太网OAM,CFM |
|
UP-0085 |
链路层处理 |
以太网OAM性能监测 |
|
OAM函数 |
以太网OAM(802.1ag/Y.1731)性能监测 |
通过CFM的CCM报文测量帧时延、时延变化和帧丢失。发送端记录发送时间戳和序列号,接收端计算时延和丢包。用于SLA监控。 |
时延测量精度 ±1 ms |
ms |
UP-0082, CLK-001, UP-1560 |
时间戳记录和序列号检查 |
需要时钟同步以获得准确时延。 |
配置OAM PM,测量已知时延和丢包,验证测量准确性。 |
以太网OAM,性能监测 |
|
UP-0088 |
链路层处理 |
MAC安全帧过滤 |
|
安全过滤函数 |
基于端口的MAC安全过滤 |
在端口上启用端口安全,只允许学习或静态配置的特定MAC地址的流量通过。检测到非法MAC(地址欺骗或未授权设备)时,执行违规动作(丢弃、告警、关闭端口)。 |
每端口安全MAC数 1-1024 |
个 |
UP-025, UP-062, SEC-004 |
安全MAC地址表和违规处理 |
适用于接入端口,防止MAC地址欺骗和非法接入。 |
连接未授权MAC的设备,验证触发违规动作。 |
端口安全,MAC过滤 |
|
UP-0092 |
链路层处理 |
基于时间的MAC老化 |
|
老化算法 |
MAC地址表动态条目老化 |
为动态学习的MAC地址条目维护时间戳。定期检查,如果当前时间减去时间戳超过老化时间,则删除该条目。静态MAC地址永不老化。 |
老化时间 300 s (默认) |
秒 |
UP-025, UP-062, SYS-001 |
定时器和MAC表时间戳 |
老化时间影响网络收敛和表项利用率。 |
停止发送某MAC流量,等待老化时间后,验证其表项被删除。 |
MAC老化,桥接 |
|
UP-0095 |
链路层处理 |
洪泛与未知单播处理 |
|
转发决策函数 |
未知目的MAC地址的洪泛处理 |
当目的MAC地址不在MAC地址表中时,将帧洪泛到该VLAN内除接收端口外的所有其他端口。可配置阻塞未知单播洪泛以提高安全性。 |
洪泛域 基于VLAN |
无单位 |
UP-025, UP-062, UP-039 |
MAC地址表查找结果 |
洪泛可能导致广播风暴,需结合风暴控制。 |
发送到未知MAC的帧,验证被洪泛到VLAN内其他端口。 |
未知单播,洪泛 |
|
UP-0098 |
链路层处理 |
链路状态变更触发 |
|
事件处理函数 |
链路状态变化事件处理 |
当检测到链路状态变化(UP->DOWN或DOWN->UP)时,触发一系列处理:更新端口状态、刷新相关转发表项、通知上层协议(如生成树、路由协议)。 |
事件产生延迟 < 10 ms |
ms |
UP-031, UP-025, UP-070 |
链路状态机和相关协议模块 |
抖动抑制可防止频繁事件冲击系统。 |
快速插拔网线,观察链路状态事件和后续处理是否正常。 |
链路事件,状态机 |
|
UP-0100 |
链路层处理 |
端口错误禁用恢复 |
|
错误处理函数 |
端口错误禁用与自动恢复 |
当端口错误(如冲突过多、CRC错误)超过阈值时,自动禁用端口以防止影响网络。支持手动恢复或定时自动恢复。 |
错误阈值 可配 |
秒 |
UP-022, UP-031, UP-075 |
错误计数器和定时器 |
防止故障端口持续破坏网络,但需避免误禁用。 |
模拟端口持续错误,验证端口被禁用,并在恢复时间后自动恢复。 |
错误禁用,端口恢复 |
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
0
0- 0
已为社区贡献130条内容
所有评论(0)