--- title: Part 2-1 7.4 網路設備功能要求事項 tags: 5G 智慧杆系統技術規範 image: --- # 7.4 網路設備功能要求事項 ## 7.4.1 接線埠存取控制 L2 交換器應支援 ==IEEE 802.1X-2004==[4] 擴展鑑別協定，並能對個別接線埠獨立設定存取控制。 L2 交換器應扮演擴展鑑別協定鑑別者 (authenticator) 之角色，組態伺服器應扮演鑑別伺服器之角色。 物聯網設備及周邊裝置接入 L2 交換器時，應扮演擴展鑑別協定申請者 (supplicant) 之角色。802.1X[4] 角色關係如圖 3 所示。  物聯網設備及周邊裝置接入 L2 交換器時，L2 交換器及鑑別伺服器應對其執行鑑別。 鑑別未通過時，應限制該接線埠之通訊能力。乙太網路連接中斷時，L2 交換器應重設該接線埠狀態。 L2 交換器或 RADIUS 伺服器宜設定閒置計時器 (idle timer)，逾時時間依實作而定，不宜少於24 小時。 ==RADIUS 伺服器**不可**設置於智慧杆迴路 (包含迴路控制箱及智慧杆杆體/箱體內)，若網路設備內建本地端 RADIUS 伺服器功能，則應關閉該項功能。== **備考 1.** 網路設備間透過鏈路串接時,802.1X[4] 存取控制組態應設定於個別 L2 交換器之一般接線埠，並非設定於鏈路埠。實作可使用其他技術 (例: IEEE 802.1AE-2018[2]) 以強化 L2 交換器間資訊安全。 **備考 2.** 除物聯網設備及周邊裝置外之其他資訊設備 (例: 代理伺服器) 連接至 L2 交換器時，其存取控制方式依實作而定 (例: 使用硬體位址作為存取控制)。 ## 7.4.2 封包轉發 網路設備應能支援 IPv6 及 IPv4 封包於區域網路與網際網 (network address translation, NAT) 及 IPv4 通訊埠轉發 (port forwarding)等功能。 ## 7.4.3 預設選徑 網路設備應提供 IPv6 路由器告示 (IPv6 RA)功能，並正確設定預設選徑資訊。 ## 7.4.4 防火牆 網路設備應於區域網路介接網際網路介面處設定防火牆 (firewall)，防火牆應能支援白名單功能。 白名單功能宜預設為啟用，僅限白名單包含之標的、來源或通訊方法可允許通訊。 組態伺服器及其他常用服務宜列入預設白名單 (例: 參照 [D.2](/_hzJYR-RTcuzUk1m1M9Jgg))。除上述規定外，實作得依實際需求或智慧杆系統管理機關(構)規定，自行設定其他預設規則。 **備考:** 防火牆預設規則依實作而定，部分重要服務之網域，諸如代理伺服器中 HTTPS 伺服器安裝 X.509 憑證之憑證撤銷清單 (certificate revocation list)、線上憑證狀態協定 (online certificate status protocol) 等，宜加入預設規則。 ## 7.4.5 虛擬區域網路 網路設備可選項的支援虛擬區域網路 (virtual local area network, VLAN) 功能，以簡化管理及強化智慧杆迴路之資訊安全防護。 若網路設備支援虛擬區域網路功能，則應符合 IEEE 802.1Q-2014[3]規定。