6.1 IPSec VPN網關技術要求

6.1 IPSec VPN網關技術要求

6.1.1　產品要求

IPSec VPN網關產品選擇基本要求如下：
a) 應符合GM/T 0022-2014、GM/T 0023-2014要求；
b) 應支持符合國家標準規定的對稱算法，應支持SM2或2048位及以上的 RSA非對稱密碼算法，應支持SM3或SHA1雜湊算法；

6.1.2　功能要求

IPSec VPN網關功能要求如下：
a) VPN功能類型：應支持L2TP over IPSec 、IPSec over GRE以及IPSec over L2TP等。
b) 產品可靠性功能：
1) 應支持雙機熱備方式及隧道狀態同步功能；
2) 應支持DPD功能，隧道不可用時可重新建立。
c) 互通兼容性功能：
1) 應支持NAT穿越，能夠雙向穿透NAT設備；
2) 異構網關對接時應符合如下要求：
? 采用國家標準密鑰協商協議時，應遵循GM/T 0022-2014，在協商時對接網關應采用自動密鑰協商機制，選擇一致的協商屬性，具體包括加密算法、雜湊算法、認證方式等；
? 對接網關在密鑰協商時支持NAT穿越選項應保持一致；
? 應支持ESP或AH安全傳輸協議，對接網關應選擇一致的傳輸協議。
d) IPv6兼容性功能：應支持IPv6基本協議，支持雙棧、隧道、NAT64翻譯、雙棧精簡技術等IPv6過渡技術。IPv6過渡技術參見附錄B。
e) 數字證書認證功能：
1) 應符合GB/T 20518-2006證書格式；
2) 應支持受信任的CA機構頒發的數字證書認證；
3) 應支持LDAP、OCSP等在線認證方式；
4) 應支持自動下載CRL；
5) 應支持在線或離線驗證證書有效性；
6) 應支持對認證用戶分組授權。
f) 設備管理功能：
1) 應支持對網關的隧道狀態、在線用戶狀態及CPU、內存利用率等關鍵運行指標的監測和管理；

6.1.3　性能要求

根據IPSec VPN網關的性能不同，從高到低分成A類（10萬用戶數）、B類（2萬用戶數）、C類（5000用戶數）和D類（1000用戶數）四類網關，以適配不同的應用場景。各類網關的性能要求應不低于如下要求：