华为-MA5600-特性描述01-12 用户安全.docx

目 录 12 用户安全 12-1 12.1 概述 12-2 12.2 PITP 12-2 12.2.1 定义 12-2 12.2.2 遵循的协议 12-2 12.2.3 和其他特性的关系 12-2 12.2.4 应用 12-2 12.2.5 原理 12-2 12.2.6 配置和验证 12-4 12.3 DHCP Option 82 12-4 12.3.1 定义 12-4 12.3.2 遵循的协议 12-4 12.3.3 和其他特性的关系 12-4 12.3.4 应用 12-4 12.3.5 原理 12-4 12.3.6 配置和验证 12-4 12.4 MAC/IP地址和端口绑定 12-5 12.4.1 定义 12-5 12.4.2 遵循的协议 12-5 12.4.3 和其他特性的关系 12-5 12.4.4 应用 12-5 12.4.5 原理 12-5 12.4.6 配置和验证 12-5 插图目录 图12-1 PITP应用组网图 12-3 12 用户安全 关于本章 本章描述内容如下表所示。 标题 内容 12.1 概述 简要介绍MA5600支持的用户安全特性。 12.2 PITP 介绍PITP特性。 12.3 DHCP Option 82 介绍DHCP Option 82特性。 12.4 MAC/IP地址和端口绑定 介绍MAC/IP地址绑定特性。 12.1 概述 MA5600提供了多种措施保证用户安全： l PITP l DHCP Option82 l MAC/IP地址和端口绑定 12.2 PITP 12.2.1 定义 策略信息传送协议PITP（Policy Information Transfer Protocol）是华为技术有限公司HGMP协议族中的一种协议。 12.2.2 遵循的协议 华为集群管理协议HGMP(Huawei Group Management Protocol)。 12.2.3 和其他特性的关系 无。 12.2.4 应用 在MA5600上，PITP用于向BRAS设备提供接入用户物理端口的信息。BRAS设备获取用户端口信息后，可实现对用户帐号与接入端口的绑定认证，避免用户帐号的盗用与漫游。 12.2.5 原理 PITP模式种类 PITP支持以下两种模式：V模式和P模式。实现原理上，两者功能相似，都是实现帐号与物理端口信息的绑定，其区别是： V模式介绍 BRAS设备主动发起用户端口查询请求，要求MA5600上报接入用户的物理端口信息。MA5600通过响应报文，将端口信息发送给BRAS设备。 P模式介绍 DSLAM设备主动发起用户端口信息，MA5600直接在PPPoE报文中添加TAG标识，通过PPPoE认证请求报文携带用户物理端口信息来标识用户，将接入用户的端口信息传送给BRAS设备。 PITP应用组网如图12-1所示。 图12-1 PITP应用组网图 V模式实现过程 PITP V模式通过对BRAS设备的响应报文来上报用户的物理端口信息。 步骤 1 BRAS向MA5600发起请求报文，要求MA5600上报指定用户的端口物理信息。 步骤 2 MA5600收到请求报文后，在响应报文中加入该用户的端口物理信息。 步骤 3 BRAS收到响应报文后将端口物理信息转发到RADIUS服务器进行认证，从而实现了用户帐号与端口的绑定。 ----结束 P模式实现过程 PITP的P模式通过PPPoE认证请求报文携带用户物理端口信息来标识用户。 步骤 1 启动PITP P模式后，MA5600捕获上行的PPPoE报文并查询该报文上行的端口和PVC信息。 步骤 2 在PPPoE报文中插入含有端口物理信息的Tag形成PPPoE Plus报文，通过上行端口转发到BRAS上处理。 步骤 3 如果开启了上报端口激活速率的功能，则在PPPoE Plus报文中将会加入ADSL2＋端口的上、下行激活速率。 步骤 4 这样就实现了用户与设备物理端口的捆绑，解决了PPPoE拨号用户的标识问题。 ----结束 l PPPoE Plus不改变PPPoE报文中的其他域。 l PPPoE Plus与普通VLAN、Smart VLAN、MUX VLAN、IGSP、IGMP-proxy 兼容。 l PPPoE Plus与DHCP Option82共存，在端口和PVC上共存。 12.2.6 配置和验证 PITP的配置和验证请参见《SmartAX MA5600 多业务接入设备 配置指南》。 12.3 DHCP Option 82 12.3.1 定义 DHCP Option82是在DHCP报文中添加可信的标识用户端口和终端信息的选项，提供DHCP server分配IP地址和其他参数的合法性依据和参考。这个选项称之为“DHCP Relay Agent Information Option”，其编号为82，故又简称为DHCP Option82。 12.3.2 遵循的协议 l IETF RFC 2132 DHCP Options and BOOTP Vendor Extensions l IETF RFC 3046 DHCP Relay Agent Information Option 12.3.3 和其他特性的关系 无。 12.3.4 应用 MA5600为了提高用户使用DHCP方式获取IP地址和进行接入时的安全性，完全支持DHCP Option82。 12.3.5 原理 目前广泛使用的DHCP功能是没有认证和安全机制的（特别是独立的DHCP server），所以在网络上实际应用时，相对于PPP，存在DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等诸多安全性问题，而且缺乏对DHCP client的统一管理。 RFC3046 定义了DHCP报文中的DHCP Relay Agent Information Option字段，字段编号为82，当客户端DHCP报文携带该字段信息向DHCP服务器请求分配IP地址时，DHCP服务器可根据报文携带的该信息判断客户端的合法性。 12.3.6 配置和验证 DHCP Option82的配置和验证请参见《SmartAX MA5600 多业务接入设备 配置指南》。 12.4 MAC/IP地址和端口绑定 12.4.1 定义 将MAC或IP地址和端口绑定，绑定后的端口仅限绑定的MAC地址或IP地址接入，其他地址不允许接入。 12.4.2 遵循的协议 无。 12.4.3 和其他特性的关系 无。 12.4.4 应用 MA5600支持配置MAC地址或IP地址与端口的绑定，以防止非法用户接入。 12.4.5 原理 一般来说，MA5600接入端口没有做任何限定的时候，只要用户接入设备能够接入端口并且知道相关认证信息的话，就可以使用该设备非法接入。 MA5600通过将MAC或IP地址和端口绑定，限制其他地址的设备不允许从端口接入，一定程度上避免了非法接入。 12.4.6 配置和验证 配置和验证请参见《SmartAX MA5600 多业务接入设备 配置指南》。