《18smartax ma5600操作手册 第18章 用户安全配置.doc》由会员分享,可在线阅读,更多相关《18smartax ma5600操作手册 第18章 用户安全配置.doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 录第18章 用户安全配置18-1 概述18-2 相关概念18-318.2.1 V模式和P模式18-318.2.2 V模式实现过程18-318.2.3 P模式实现过程18-418.2.4 DHCP Option8218-418.3 PITP的V模式配置18-6 启动/关闭/查询V模式18-6 设置以太网封装协议18-618.4 PITP的P模式配置18-8 启动/关闭/查询P模式18-8 启动/关闭/查询上报ADSL2端口激活速率18-818.5 DHCP Option82配置18-9 启动/关闭DHCP Option82特性18-9 设置DHCP报文最大长度18-9 查询DHCP Opti
2、on82配置信息18-918.6 IP/MAC地址绑定18-10 绑定IP地址18-10 绑定MAC地址18-10第18章 用户安全配置本章主要介绍以下内容:l 概述 18-2l 相关概念 18-3l PITP的V模式配置 18-6l PITP的P模式配置 18-8l DHCP Option82配置 18-9l IP/MAC地址绑定 18-10& 说明:l “概述”介绍了用户安全配置相关协议和这些协议在MA5600上的应用。l “相关概念”介绍了进行PITP和DHCP Option82配置相关的基础知识。l “PITP的V模式配置”介绍了MA5600中如何进行PITP的V模式的配置。l “PI
3、TP的P模式配置”介绍了MA5600中如何进行PITP的P模式的配置。l “DHCP Option82配置”介绍了MA5600中如何进行DHCP Option82的配置。l “IP/MAC地址绑定”介绍了MA5600中如何进行IP/MAC地址绑定配置。18.1 概述PITP协议(Policy Information Transfer Protocol,即策略信息传送协议)是华为技术HGMP协议族中的一种协议。PITP用于向BRAS设备提供接入用户物理端口的信息。BRAS设备获取用户端口信息后,可实现对用户帐号与接入端口的绑定认证,避免用户帐号的盗用与漫游。DHCP Option82是在DHCP
4、报文中添加可信的标识用户端口和终端信息的选项,供DHCP server分配IP地址和其他参数的合法性依据和参考。MA5600支持PITP的V模式和P模式,以及DHCP Option82,实现了帐号与物理端口信息的绑定。18.2 相关概念18.2.1 V模式和P模式PITP支持以下两种模式:V模式和P模式。实现原理上,两者功能相似,都是实现帐号与物理端口信息的绑定,其区别是:l V模式BRAS设备主动发起用户端口查询请求,要求MA5600上报接入用户的物理端口信息。MA5600通过响应报文,将端口信息发送给BRAS设备。l P模式DSLAM设备主动发起用户端口信息,MA5600直接在PPPoE报
5、文中添加TAG标识,通过PPPoE认证请求报文携带用户物理端口信息来标识用户,将接入用户的端口信息传送给BRAS设备。PITP应用组网如图18-1所示。图18-1 PITP应用组网图18.2.2 V模式实现过程PITP V模式通过对BRAS设备的响应报文来上报用户的物理端口信息。l BRAS向MA5600发起请求报文,要求MA5600上报指定用户的端口物理信息。l MA5600收到请求报文后,在响应报文中加入该用户的端口物理信息。BRAS收到响应报文后将端口物理信息转发到Radius服务器进行认证,从而实现了用户帐号与端口的绑定。18.2.3 P模式实现过程PITP的P模式通过PPPoE认证请
6、求报文携带用户物理端口信息来标识用户。l 启动PITP P模式后,MA5600捕获上行的PPPoE报文并查询该报文上行的端口和PVC信息。l 在PPPoE报文中插入含有端口物理信息的Tag形成PPPoE Plus报文,通过上行端口转发到BRAS上处理。l 如果开启了上报端口激活速率的功能,则在PPPoE Plus报文中将会加入ADSL2端口的上、下行激活速率。这样就实现了用户与设备物理端口的捆绑,解决了PPPoE拨号用户的标识问题。& 说明:l PPPoE Plus不改变PPPoE报文中的其他域。l PPPoE Plus与普通VLAN、Smart VLAN、MUX VLAN、IGSP、IGMP
7、-proxy 兼容。l PPPoE Plus与DHCP Option82共存,在端口和PVC上共存。18.2.4 DHCP Option82目前广泛使用的DHCP功能是没有认证和安全机制的(特别是独立的DHCP server),所以在网络上实际应用时,相对于PPP,存在DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等诸多安全性问题,而且缺乏对DHCP client的统一管理。MA5600为了提高用户使用DHCP方式获取IP地址和进行接入时的安全性,在DHCP报文中添加可信的标识用户端口和终端信息的选项,供DHCP server分配IP地址和其他参数的合法性
8、依据和参考。这个选项称之为“DHCP Relay Agent Information Option”,其编号为82,故又简称为DHCP Option82。MA5600的DHCP Option82选项系统默认格式如下所示。AccessNodeIdentifier atm | eth frame/slot/subslot/port vpi vci | vlan 格式中参数解释如表18-1所示。表18-1 Option82 系统默认格式参数解释参数参数解释AccessNodeIdentifier接入节点标识。长度不超过50个字符的字符串,即DSLAM的设备名,当设备名为缺省名字时,使用DSLAM的M
9、AC地址,格式为“00E0FC000001”。atm | eth端口类型。frame/slot/subslot/port机框号/槽位号/子槽位号/端口号。PVC标识,为ATM端口类型时有效。vlanVLAN标识,为ETH端口类型时有效。在启动上报ADSL2+端口激活速率开关以后,MA5600的DHCP Option82选项格式如下所示。AccessNodeIdentifier atm | eth frame/slot/subslot/port : | vlan %Up:xxxkbps Dowm:xxxkbps格式中参数解释如表18-2所示。表18-2 Option82 增加上下行激活速率后格式
10、参数解释参数参数解释AccessNodeIdentifier接入节点标识。长度不超过50个字符的字符串,即DSLAM的设备名,当设备名为缺省名字时,使用DSLAM的MAC地址,格式为“00E0FC000001”。atm | eth端口类型。frame/slot/subslot/port机框号/槽位号/子槽位号/端口号。PVC标识,为ATM端口类型时有效。vlanVLAN标识,为ETH端口类型时有效。% 信息标识符,表示后面是激活速率。Up:xxxkbpsADSL端口上行激活速率。Dowm:xxxkbpsADSL端口下行激活速率。18.3 PITP的V模式配置V模式配置管理命令如表18-3所示。
11、表18-3 V模式配置管理命令列表功能命令模式启动/关闭V模式pitp enable vmode/pitp disable全局配置模式设置V模式以太网封装协议pitp vmode ether-type全局配置模式查询PITP配置display pitp config特权模式查询V模式配置信息display pitp vmode ether-type特权模式18.3.1 启动/关闭/查询V模式使用pitp enable vmode启动PITP的V模式。使用pitp disable命令关闭PITP的V模式。使用display pitp config命令可以查询PITP的开启/关闭状态。例如:配置M
12、A5600的V模式。MA5600(config)#pitp enable vmodeMA5600(config)#pitp disableMA5600(config)#display pitp config PITP is disabled 18.3.2 设置以太网封装协议设置以太网封装协议类型时,必须先关闭PITP V模式功能。 注意:待设置的协议类型不能与已有的协议类型冲突,如IP协议类型为0x0800,ARP协议类型为0x0806,RARP协议类型为0x80350x8100,PPPoE协议类型为0x8863和0x8864等。使用pitp vmode ether-type命令设置V模式以太
13、网封装协议。使用display pitp vmode ether-type命令查询协议类型。例如:设置以太网封装协议。MA5600(config)#pitp vmode ether-type 0x8200 MA5600(config)#display pitp vmode ether-type Vmode ethernet type is 0x8200 18.4 PITP的P模式配置P模式配置管理命令如表18-4所示。表18-4 P模式配置管理命令列表功能命令模式启动/关闭P模式pitp enable pmode/pitp disable全局配置模式设置PPPoE Plus报文中是否含有ADS
14、L2+端口的上下行激活速率xdsl-port-rate-information enable | disable 全局配置模式查询xdsl-port-rate-information配置display xdsl-port-rate-information config特权模式查询PITP配置display pitp config特权模式18.4.1 启动/关闭/查询P模式如果未启动P模式,MA5600透明传输PPPoE报文,不对报文做任何处理。使用pitp enable pmode 命令启动P模式。使用pitp disable命令关闭PITP功能。使用display pitp config命令
15、查询PITP的开启/关闭状态和所用的模式。例如:启动P模式。MA5600(config)#pitp enable pmodeMA5600(config)#display pitp config PITP is enabled. Current mode:pmode18.4.2 启动/关闭/查询上报ADSL2端口激活速率使用xdsl-port-rate-information enable命令设置PPPoE Plus报文和DHCP Option82报文中含有ADSL2+端口的上、下行激活速率。使用xdsl-port-rate-information disable命令取消PPPoE Plus报文
16、和DHCP Option82报文中含有ADSL2+端口的上、下行激活速率。默认情况下不含有激活速率。使用display xdsl-port-rate-information config命令显示当前的配置。例如:设置PPPoE Plus报文中包含ADSL2端口的上、下行激活速率。MA5600(config)#xdsl-port-rate-information enableMA5600(config)#display xdsl-port-rate-information config Current status: enable 18.5 DHCP Option82配置DHCP Option8
17、2配置管理命令如表18-5所示。表18-5 DHCP Option82配置管理命令列表功能命令模式启动/关闭DHCP Option82dhcp option82 enable|disable全局配置模式设置DHCP报文最大长度dhcp option82 max-length全局配置模式查询DHCP Option82的配置信息display dhcp Option82 config特权模式18.5.1 启动/关闭DHCP Option82特性只有启动了DHCP Option82特性后,MA5600才对DHCP报文添加/剥离Option 82字段;关闭DHCP Option82特性,MA5600透
18、明传输或者直接转发DHCP报文,不作任何处理。使用dhcp option82 enable命令启动DHCP Option82,使用dhcp option82 disable命令关闭DHCP Option82。例如:启动DHCP Option82。MA5600(config)#dhcp option82 enable18.5.2 设置DHCP报文最大长度用户可以设置添加DHCP Relay agent Option信息后DHCP报文的最大长度,如果DHCP报文超过该长度,则系统将原报文透明传输;默认DHCP最大长度为1500字节。使用dhcp option82 max-length命令设置DHC
19、P报文的最大长度。例如:设置DHCP报文的最大长度为1300个字节。MA5600(config)#dhcp option82 max-length 130018.5.3 查询DHCP Option82配置信息使用display dhcp option82 config 命令查询DHCP Option82的配置信息,包括DHCP Option82功能是否启用和DHCP报文最大长度信息。例如:查询DHCP Option82的配置信息。MA5600(config)#display dhcp option82 configDHCP option82 is enable Maximum length o
20、f DHCP packet is 1300 bytes18.6 IP/MAC地址绑定18.6.1 绑定IP地址对需要绑定IP地址的业务通道,每条业务通道最大允许8个IP地址,绑定后限制该业务通道的IP地址只能为已经绑定的IP地址,其它地址不允许接入,MAC地址绑定也是相同的作用。使用bind ip 命令对业务通道绑定IP地址。例如:。MA5600(config)#18.6.2 绑定MAC地址通过设置端口静态地址表项和端口MAC地址最大学习数为0,实现端口与MAC地址绑定的作用。例如:配置ADSL2+端口0/10/1的静态MAC地址为1010-1010-1010,而且该端口的MAC地址最大学习数
21、为0,即该端口只允许MAC地址为1010-1010-1010的报文通过,从而达到端口与MAC地址绑定的目的。(1) 配置端口静态MAC地址MA5600(config)#mac-address static adsl frameid/slotid/portid :0/10/1 vpi :vpi vpi :0 vci :vci vci :35 mac-address :1010-1010-1010 Command: mac-address static adsl 0/10/1 vpi 0 vci 35 1010-1010-1010(2) 配置端口MAC地址最大学习数MA5600(config)#mac-address max-mac-count type :adsl frameid/slotid/portid :0/10/1 vpi :vpi vpi :0 vci :vci vci :35 count :0commond: mac-address max-mac-count adsl 0/10/1 vpi 0 vci 35 0