T/SSIIA 001-2024 信息技术应用创新 数据通信网络设备技术要求

ICS33.040.40

CCSM32

团体标准

T/SSIIA001—2024

信息技术应用创新数据通信网络设备技

术要求

InformationTechnologyApplicationInnovation—TechnicalRequirementforData

CommunicationNetworkingEquipment

2024-03-04发布2024-03-05实施

深圳市软件行业协会  发布

T/SSIIA001—2024

目次

前言...........................................................................III

1范围.................................................................................4

2规范性引用文件.......................................................................4

3术语和定义...........................................................................4

4缩略语...............................................................................5

5产品分类分级.........................................................................7

5.1概述.............................................................................7

5.2路由器产品分类...................................................................8

5.3交换机产品分类...................................................................8

5.4WLAN产品分类.....................................................................8

5.5产品分级.........................................................................9

6通用安全要求.........................................................................9

6.1身份认证.........................................................................9

6.2访问控制.........................................................................9

6.3通信安全........................................................................10

6.4安全审计........................................................................10

6.5漏洞防利用......................................................................10

6.6设备韧性........................................................................10

6.7软件完整性保护..................................................................11

7路由器技术要求......................................................................11

7.1核心路由器技术要求..............................................................11

7.2城域路由器技术要求..............................................................12

7.3接入路由器技术要求..............................................................14

8交换机技术要求......................................................................16

8.1数据中心交换机技术要求..........................................................16

8.2园区交换机技术要求..............................................................18

9WLAN技术要求........................................................................19

9.1AC技术要求......................................................................20

9.2AP技术要求......................................................................21

10网络管控析技术要求.................................................................22

10.1路由器网络管控析...............................................................22

10.2数据中心网络管控析.............................................................23

10.3园区网络管控析.................................................................24

10.4可靠性要求.....................................................................25

10.5安全要求.......................................................................25

10.6开放性要求.....................................................................25

I

T/SSIIA001—2024

11电磁兼容性.........................................................................25

11.1静电放电抗扰度.................................................................25

11.2电快速瞬变脉冲群抗扰度.........................................................25

11.3浪涌冲击抗扰度.................................................................25

12环境要求...........................................................................25

13兼容性要求.........................................................................25

14供应链保障要求.....................................................................26

15服务保障要求.......................................................................26

附录A（规范性）数据通信网络设备通用安全要求................................27

附录B（规范性）数据通信网络设备关键部件定义................................29

附录C（资料性）数据通信网络设备分级要求....................................30

C.1核心路由器分级要求..............................................................30

C.2城域路由器分级要求..............................................................30

C.3接入路由器分级要求..............................................................31

C.4数据中心交换机分级要求..........................................................31

C.5园区交换机分级要求..............................................................32

C.6WLANAC分级要求.................................................................33

C.7WLANAP分级要求.................................................................34

参考文献..........................................................................35

II

T/SSIIA001—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件由深圳市软件行业协会归口和管理。

本文件授权深圳市软件行业协会及其代表的联盟中的组织伙伴和所有成员单位使用，组织伙伴使用

时需等同采用转化为自身团体标准，并在上公开标准基本信息。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件起草单位：华为技术有限公司、中兴通讯股份有限公司、中国电子技术标准化研究院、金砖

国家未来网络研究院（中国•深圳）、深圳市智慧城市通信有限公司、广东南方电信规划咨询设计院有限

公司、深圳市金华威数码科技有限公司、四川长虹佳华信息产品有限责任公司、上海伟仕佳杰科技有限

公司。

本文件主要起草人：秦神祖、苗宗利、王先峰、杨列永、严方舟、真华、倪建、周永伟、陈亘、张

婷、颜磊、徐悦、李剑、张玉红、于洋、李为朴、潘文斌、周继华、吴哲、张飞、刘春江、程琦、李威、

杨巧、张龙。

III

T/SSIIA001—2024

信息技术应用创新数据通信网络设备技术要求

1范围

本文件给出了数据通信网络设备的产品分类、通用安全、功能、可靠性、业务安全、性能、电磁兼

容性、环境、兼容性、供应链保障、服务保障等要求。

本文件适用于信息技术应用创新数据通信网络设备路由器、交换机、WLAN、网络管控析的研制、生

产、测评、使用和维护等。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T9254.2-2021信息技术设备、多媒体设备和接收机电磁兼容第2部分：抗扰度要求1.2电

快速瞬变脉冲群抗扰度

GB/T32905-2016信息安全技术SM3密码杂凑算法

GB/T32907-2016信息安全技术SM4分组密码算法

GB/T32918.1-2016信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则

GB/T32918.2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法

GB/T32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议

GB/T32918.4-2016信息安全技术SM2椭圆曲线公钥密码算法第4部分：公钥加密算法

GM/T0002-2012SM4分组密码算法

GM/T0003.1-2012SM2椭圆曲线公钥密码算法第1部分：总则

GM/T0003.2-2012SM2椭圆曲线公钥密码算法第2部分：数字签名算法

GM/T0003.3-2012SM2椭圆曲线公钥密码算法第3部分：密钥交换协议

GM/T0003.4-2012SM2椭圆曲线公钥密码算法第4部分：公钥加密算法

GM/T0004-2012SM3密码杂凑算法

YD/T1097-2009路由器设备技术要求核心路由器

IEEE802.11-2020WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)

Specifications

IEEE802.1Q-2022LocalandMetropolitanAreaNetworks--BridgesandBridgedNetworks

IEEE802.1X-2020Port-BasedNetworkAccessControl

IEEE802.3ad-2000LinkAggregation(LAG)

IEEE802.3bt-2018PoweroverEthernet

IETFRFC8955DisseminationofFlowSpecificationRules

3术语和定义

下列术语和定义适用于本文件。

3.1

接入路由器accessrouter

也叫“网关路由器”，连接到用户终端设备的路由器，集SD-WAN、路由、交换、安全等业务特性于

一体。

4

T/SSIIA001—2024

3.2

城域路由器metrorouter

连接多个接入路由器的路由器，主要用于汇聚接入路由器的流量，将其转发到核心路由器。

3.3

核心路由器corerouter

连接所有的汇聚路由器和其他核心路由器，负责在网络中进行大量的数据转发。

3.4

BGP团体属性BGPcommunityattribute

一种路由标记，主要用于标识具有相同特征的BGP路由。

3.5

BGP流规格BGPflowspecification

通过传递BGP流规格路由将流量处理策略传递给BGP流规格对等体，达到控制流量转发的行为。

3.6

遥测telemetry

一种从设备上远程高速采集数据的新一代网络监测技术，设备通过“推模式（PushMode）”周

期性地主动向采集器上送设备信息，提供更实时、更高速、更精确的网络监控功能。

4缩略语

下列缩略语适用于本文件。

AAA认证、授权和计费（Authentication、Authorization、Accounting）

AC接入控制器（AccessController）

ACL访问控制列表（AccessControlLists）

AES高级加密标准（AdvancedEncryptionStandard）

ALG应用层网关（ApplicationLevelGateway）

AP接入点（AccessPoint）

API应用程序接口（ApplicationProgrammingInterface）

APN应用感知网络（APplication-awareNetworking）

ARP地址解析协议（AddressResolutionProtocol）

AS应用服务（ApplicationService）

AV防病毒（Anti-Virus）

BFD双向转发检测（BidirectionalForwardingDetection）

BGP边界网关协议（BorderGatewayProtocol）

BGP4边界网关协议版本4（BorderGatewayProtocolVersion4）

CAPWAP无线接入点控制与供应（ControlandProvisioningofWirelessAccessPoints）

CAPWAPv6无线接入点控制与供应版本6（ControlandProvisioningofWirelessAccessPoints

Version6）

CAR承诺访问速率（CommittedAccessRate）

CPU中央处理器（CentralProcessingUnit）

DHCP动态主机配置协议（DynamicHostConfigurationProtocol）

dot1qIEEE802.1Q（MAC层vlan协议）

dot1xIEEE802.1X（访问控制和认证协议）

ECMP等价多路径（EqualCostMulti-Path）

5

T/SSIIA001—2024

ECN显式拥塞通知（ExplicitCongestionNotification）

EVPN以太网虚拟专用网络（EthernetVirtualPrivateNetwork）

FTP文件传输协议（FileTransferProtocol）

G-SRv6通用SRv6（GeneralizedSegmentRoutingoverIPv6）

GE千兆以太网（GigabitEthernet）

GR平滑重启（GracefulRestart）

HQoS层次化服务质量（HierarchicalQualityofService）

HTTP超文本传输协议（HyperTextTransferProtocol）

HTTPS安全超文本传输协议（HyperTextTransferProtocolSecure）

IDC互联网数据中心（InternetDataCenter）

IDS入侵检测系统（IntrusionDetectionSystem）

IGP内部网关协议（InteriorGatewayProtocol）

IP网际协议（InternetProtocol）

IPS入侵防御系统（IntrusionPreventionSystem）

IPv6G-BIERIPv6网络中的通用BIER技术（IPv6GeneralizedBIER）

ISIS中间系统到中间系统（IntermediateSystemtoIntermediateSystem）

ISISv6应用于IPv6的中间系统到中间系统（IntermediateSystemtoIntermediateSystemover

IPv6）

ISSU不中断业务升级（In-ServiceSoftwareUpgrade）

L3VPN3层虚拟私有网（Layer3VirtualPrivateNetwork）

LACP链路汇聚控制协议（LinkAggregationControlProtocol）

LAND本地区域网络拒绝服务攻击（LocalAreaNetworkDenial）

LDP标签分发协议（LabelDistributionProtocol）

LLDP链路层发现协议（LinkLayerDiscoveryProtocol）

M-LAG跨机箱链路聚合组（MultichassisLinkAggregationGroup）

MAC媒体访问控制（MediaAccessControl）

MIB管理信息库（ManagementInformationBase）

MP-BGP多协议扩展BGP（MultiprotocolBorderGatewayProtocol）

MPLS多协议标签交换（Multi-ProtocolLabelSwitching）

MPLS-TE多协议标签交换的流量工程（Multi-ProtocolLabelSwitching-TrafficEngineering）

MSTP多生成树协议（MultipleSpanningTreeProtocol）

NAT网络地址转换（NetworkAddressTranslation）

NoFNVMe-oF协议（NVMeoverFabric）

NSF不间断转发（Non-StopForwarding）

NSR不间断路由（Non-StopRouting）

OSPF开放最短路径优先（OpenShortestPathFirst）

OSPFv3开放最短路径优先协议3.0版本，应用于IPv6（OpenShortestPathFirstVersion3）

PCIe一种高速串行计算机扩展总线标准（PeripheralComponentInterconnectExpress）

PFC优先级流量控制（PriorityFlowControl）

PSK预共享密钥（Pre-SharedKey）

QoS服务质量（QualityofService）

QinQ802.1Q-in-802.1Q

RADIUS远程用户拨号认证系统（RemoteAuthenticationDialInUserService）

RDMA远程内存直接访问((RemoteDirectMemoryAccess)

RED随机早期检测（RandomEarlyDetection）

RIP路由信息协议（RoutingInformationProtocol）

RIPng路由选择信息协议下一代，应用于IPv6（RoutingInformationProtocolNextGeneration）

RoCE基于融合以太网的RDMA(RDMAoverConvergedEthernet)

RSTP快速生成树协议（RapidSpanningTreeProtocol）

6

T/SSIIA001—2024

RSVP-TE资源预留的流量工程协议（ResourceReservationProtocol-TrafficEngineering）

SD-WAN软件定义广域网（SoftwareDefine-WideAreaNetwork）

SFP小型可插拔（SmallForm-factorPluggable）

SLA服务水平协议(ServiceLevelAgreement)

SNMPv1简单网络管理协议版本1（SimpleNetworkManagementProtocolVersion1）

SNMPv2简单网络管理协议版本2（SimpleNetworkManagementProtocolVersion2）

SNMPv3简单网络管理协议版本3（SimpleNetworkManagementProtocolVersion3）

SR分段路由（SegmentRouting）

SR-TE流量工程的分段路由协议（SegmentRouting-TrafficEngineering）

SRv6基于IPv6数据平面的分段路由（SegmentRoutingoverIPv6dataplane）

SRv6Policy基于IPv6数据平面的分段路由策略（SegmentRoutingoverIPv6dataplanePolicy）

SSH安全外壳协议（SecureShell）

SSID服务集标识符（ServiceSetIdentifier）

STA无线接入的设备站点（STAtion）

STP生成树协议（SpanningTreeProtocol）

SZTP安全零触碰配置（SecureZeroTouchProvisioning）

TACACS终端访问控制器访问控制系统（TerminalAccessControllerAccess-ControlSystem）

TACACS+终端访问控制器控制系统升级版(TerminalAccessControllerAccessControl

System+)

TE流量工程（TrafficEngineering）

TKIP临时密钥完整性协议（TemporalKeyIntegrityProtocol）

UCMP不等价多路径（UnequalCostMulti-Path）

URL统一资源定位符（UniformResourceLocator）

USB全称是通用串行总线（UniversalSerialBus）

VLAN虚拟局域网(VirtualLocalAreaNetwork)

VNI虚拟网络身份（VirtualNetworkIdentifier）

VoQ虚拟输出队列（VirtualOutputQueue）

VPN虚拟私有网（VirtualPrivateNetwork）

VRRP虚拟路由冗余协议（VirtualRouterRedundancyProtocol）

VTEP虚拟隧道端点（VirtualTunnelEndpoint）

VXLAN虚拟扩展本地网络（VirtualeXtensibleLocalAreaNetwork）

WEP有线等效保密（WiredEquivalentPrivacy）

WLAN无线局域网（WirelessLocalAreaNetwork）

WPAWi-Fi访问保护（Wi-FiProtectedAccess）

YANG新一代数据建模语言（YetAnotherNextGeneration）

ZTP零触碰配置（ZeroTouchProvisioning）

5产品分类分级

5.1概述

数据通信网络主要由园区网络、数据中心网络、广域网络组成。数据通信网络设备产品在网络所处

位置见图1。

7

T/SSIIA001—2024

图1数据通信网络产品

5.2路由器产品分类

根据路由器产品应用场景和性能不同，可分为核心路由器、城域路由器和接入路由器：

a)核心路由器，应用于骨干网络、城域网出口和IDC出口等关键网络位置，连接所有的汇聚路

由器和其他核心路由器，负责在网络中进行大量的数据转发；

b)城域路由器，应用于城域接入、汇聚、5G承载、数据中心网关、数据中心互联等场景，连接

多个接入路由器的路由器，主要用于汇聚接入路由器的流量，将其转发到核心路由器，在城

域网络中分为城域汇聚路由器和城域接入路由器；

c)接入路由器，连接到用户终端设备的网关路由器，集SD-WAN、路由、交换、安全等业务特性

于一体。

5.3交换机产品分类

根据交换机产品应用场景和性能不同，可分为数据中心核心层交换机、数据中心接入层交换机、园

区核心层交换机、园区汇聚层交换机、园区接入层交换机：

a)数据中心核心层交换机，数据中心网络中位于核心层的交换机，主要负责汇接接入层交换机，

实现核心层数据高速交换；

b)数据中心接入层交换机，数据中心网络中位于接入层的交换机，主要负责为计算、存储和安

全等设备提供网络接入，实现接入层局部数据交换；

c)园区核心层交换机，连接园区网络中所有的汇聚层交换机、服务器和存储设备；

d)园区汇聚层交换机，连接园区网络中接入层交换机，将数据汇聚到核心层交换机进行处理和

管理，汇聚层交换机还具有网络流量控制、安全控制等功能；

e)园区接入层交换机，园区网络中直接面向用户、终端的交换机，向上连接汇聚层交换机，将

用户、终端的数据转发到汇聚交换机，园区接入层交换机还具有端口安全、接入控制等功能。

5.4WLAN产品分类

8

T/SSIIA001—2024

WLAN产品根据其功能可分为AC和AP：

a)AC，无线局域网控制器设备，管理和控制多个AP的网络流量和安全性，通常用于企业级网络

中，可以支持大量的用户同时连接，并提供高速的数据传输速度和稳定的网络连接；

b)AP，无线局域网接入设备，连接无线设备和有线网络，通常用于实现无线网络覆盖，例如在

办公室、学校、酒店、机场等公共场所，提供无线网络服务。

5.5产品分级

用户宜根据自身应用场景需求（如带宽、用户数等）选取合适功能、性能等级的产品，产品分级参

见附录C。

6通用安全要求

6.1身份认证

6.1.1接入认证

接入认证应符合如下要求：

a)所有在设备外部可见的能对系统进行管理的物理接口（如串口、USB接口、管理网口等）具备

接入认证机制；

b)用户身份标识具有唯一性；

c)支持登录用户会话空闲超时锁定或自动退出等安全策略，支持管理员身份鉴别尝试次数限制；

d)当出现鉴别失败时，设备提供无差别反馈，避免提示“用户名错误”“口令错误”等具体信

息。

6.1.2认证凭据安全

认证凭据安全符合如下要求：

a)使用口令鉴别方式时，应具备口令防暴力破解机制；

b)使用口令鉴别方式时，应具备口令复杂度检查功能，口令长度不少于8位、且至少包含2种

不同类型字符；

c)使用口令鉴别方式时，不应明文回显用户输入的口令信息；

d)使用口令鉴别方式时，应支持首次管理设备时强制修改默认口令或设置口令，或支持随机的

初始口令；

e)使用口令鉴别方式时，应支持设置口令生存周期；

f)认证凭据（如口令/私钥等）不应明文存储在系统介质中，应加密保护并提供访问控制；

g)认证凭据应支持可修改；

h)不应在日志、调试信息、错误提示中明文显示认证凭据；

i)宜具备弱口令字典功能，避免用户使用弱口令字典中的任何口令。

6.1.3证书管理

证书管理符合如下要求：

a)证书的私钥应非明文存储，且应使用安全算法；

b)应支持检查数字证书的有效期，在证书即将过期前发送告警，提示运维人员更新证书；

c)应支持证书吊销列表的导入与更新；

d)宜支持CMPv2进行证书更新。

6.2访问控制

访问控制符合如下要求：

a)应支持用户分级分权控制；

b)涉及设备安全的重要功能如补丁管理、固件管理、日志审计、流采样等，应仅高等级权限用

户可使用；

9

T/SSIIA001—2024

c)设备默认开启的服务，应在产品手册明确描述服务信息，包括服务用途，端口号等，不应有

未作说明的服务默认开启；

d)设备默认开启的服务应遵循最小化原则，只开启必要服务；

e)执行对系统或应用有重大影响的操作前宜进行二次确认，包括重启设备、清空所有配置等。

6.3通信安全

6.3.1默认安全

设备启动后系统默认安全符合如下要求：

a)默认算法不宜使用不安全的算法，例如MD5、RC4、SHA-1等；

b)当配置不安全密码算法时应有安全提示或告警；

c)宜默认关闭Telnet、SSHv1、SNMPv1/v2、HTTP、FTP、TLSv1.0/1.1等不安全协议的网络管理

功能。

6.3.2通信协议安全

通信协议安全应符合如下要求：

a)在使用Web管理时，应支持HTTPS；

b)在使用SSH管理时，应支持SSHv2；

c)在使用SNMP管理时，应支持SNMPv3；

d)支持使用上述至少一种非明文数据传输协议对设备进行管理。

6.4安全审计

安全审计符合如下要求：

a)应具备安全日志记录功能，对用户关键操作，如增/删账户、修改鉴别信息、修改关键配置、

用户登录/注销、用户权限修改、重启/关闭设备、软件更新等行为进行记录；

b)安全日志审计记录中应记录必要的日志要素，至少包括事件发生日期和时间、主体（如登录

账号等）、事件描述（如类型、操作结果等）、源IP地址（采用远程管理方式时）等，为查

阅和分析提供足够的信息；

c)不应