《华为-MA5600-特性描述01-12 用户安全.doc》由会员分享,可在线阅读,更多相关《华为-MA5600-特性描述01-12 用户安全.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、SmartAX MA5600 特性描述目 录文档版本 01 (2006-08-10)华为技术有限公司i目目 录录12 用户安全用户安全.12-112.1 概述.12-212.2 PITP.12-212.2.1 定义.12-212.2.2 遵循的协议.12-212.2.3 和其他特性的关系.12-212.2.4 应用.12-212.2.5 原理.12-212.2.6 配置和验证.12-412.3 DHCP Option 82 .12-412.3.1 定义.12-412.3.2 遵循的协议.12-412.3.3 和其他特性的关系.12-412.3.4 应用.12-412.3.5 原理.12-412
2、.3.6 配置和验证.12-412.4 MAC/IP 地址和端口绑定 .12-512.4.1 定义.12-512.4.2 遵循的协议.12-512.4.3 和其他特性的关系.12-512.4.4 应用.12-512.4.5 原理.12-512.4.6 配置和验证.12-5SmartAX MA5600 特性描述插图目录文档版本 01 (2006-08-10)华为技术有限公司iii插图目录插图目录图 12-1 PITP 应用组网图.12-3SmartAX MA5600 特性描述12 用户安全文档版本 01 (2006-08-10)华为技术有限公司12-112 用户安全用户安全关于本章本章描述内容如
3、下表所示。标题内容12.1 概述简要介绍 MA5600 支持的用户安全特性。12.2 PITP介绍 PITP 特性。12.3 DHCP Option 82介绍 DHCP Option 82 特性。12.4 MAC/IP 地址和端口绑定介绍 MAC/IP 地址绑定特性。12 用户安全SmartAX MA5600 特性描述12-2华为技术有限公司文档版本 01 (2006-08-10)12.1 概述MA5600 提供了多种措施保证用户安全:PITPDHCP Option82MAC/IP 地址和端口绑定12.2 PITP12.2.1 定义策略信息传送协议 PITP(Policy Informatio
4、n Transfer Protocol)是华为技术有限公司 HGMP 协议族中的一种协议。12.2.2 遵循的协议华为集群管理协议 HGMP(Huawei Group Management Protocol)。12.2.3 和其他特性的关系无。12.2.4 应用在 MA5600 上,PITP 用于向 BRAS 设备提供接入用户物理端口的信息。BRAS 设备获 取用户端口信息后,可实现对用户帐号与接入端口的绑定认证,避免用户帐号的盗用 与漫游。12.2.5 原理PITP 模式种类PITP 支持以下两种模式:V 模式和 P 模式。实现原理上,两者功能相似,都是实现帐 号与物理端口信息的绑定,其区别
5、是:V 模式介绍BRAS 设备主动发起用户端口查询请求,要求 MA5600 上报接入用户的物理端口信息。 MA5600 通过响应报文,将端口信息发送给 BRAS 设备。P 模式介绍DSLAM 设备主动发起用户端口信息,MA5600 直接在 PPPoE 报文中添加 TAG 标识, 通过 PPPoE 认证请求报文携带用户物理端口信息来标识用户,将接入用户的端口信息 传送给 BRAS 设备。SmartAX MA5600 特性描述12 用户安全文档版本 01 (2006-08-10)华为技术有限公司12-3PITP 应用组网如图 12-1 所示。图 12-1 PITP 应用组网图IPBRASMA560
6、0PCPCRadius ServerV 模式实现过程PITP V 模式通过对 BRAS 设备的响应报文来上报用户的物理端口信息。步骤 1 BRAS 向 MA5600 发起请求报文,要求 MA5600 上报指定用户的端口物理信息。步骤 2 MA5600 收到请求报文后,在响应报文中加入该用户的端口物理信息。步骤 3 BRAS 收到响应报文后将端口物理信息转发到 RADIUS 服务器进行认证,从而实现了 用户帐号与端口的绑定。-结束结束P 模式实现过程PITP 的 P 模式通过 PPPoE 认证请求报文携带用户物理端口信息来标识用户。步骤 1 启动 PITP P 模式后,MA5600 捕获上行的
7、PPPoE 报文并查询该报文上行的端口和 PVC 信息。步骤 2 在 PPPoE 报文中插入含有端口物理信息的 Tag 形成 PPPoE Plus 报文,通过上行端口转 发到 BRAS 上处理。步骤 3 如果开启了上报端口激活速率的功能,则在 PPPoE Plus 报文中将会加入 ADSL2端口 的上、下行激活速率。步骤 4 这样就实现了用户与设备物理端口的捆绑,解决了 PPPoE 拨号用户的标识问题。-结束结束12 用户安全SmartAX MA5600 特性描述12-4华为技术有限公司文档版本 01 (2006-08-10)说明PPPoE Plus 不改变 PPPoE 报文中的其他域。PPP
8、oE Plus 与普通 VLAN、Smart VLAN、MUX VLAN、IGSP、IGMP-proxy 兼容。PPPoE Plus 与 DHCP Option82 共存,在端口和 PVC 上共存。12.2.6 配置和验证PITP 的配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南 。12.3 DHCP Option 8212.3.1 定义DHCP Option82 是在 DHCP 报文中添加可信的标识用户端口和终端信息的选项,提供 DHCP server 分配 IP 地址和其他参数的合法性依据和参考。这个选项称之为“DHCP Relay Agent Informatio
9、n Option”,其编号为 82,故又简称为 DHCP Option82。12.3.2 遵循的协议IETF RFC 2132 DHCP Options and BOOTP Vendor ExtensionsIETF RFC 3046 DHCP Relay Agent Information Option12.3.3 和其他特性的关系无。12.3.4 应用MA5600 为了提高用户使用 DHCP 方式获取 IP 地址和进行接入时的安全性,完全支持 DHCP Option82。12.3.5 原理目前广泛使用的 DHCP 功能是没有认证和安全机制的(特别是独立的 DHCP server) , 所以
10、在网络上实际应用时,相对于 PPP,存在 DHCP 广播过多、DHCP IP 耗尽攻击、 IP 地址欺骗、MAC 地址欺骗、用户 ID 欺骗等诸多安全性问题,而且缺乏对 DHCP client 的统一管理。RFC3046 定义了 DHCP 报文中的 DHCP Relay Agent Information Option 字段,字段编 号为 82,当客户端 DHCP 报文携带该字段信息向 DHCP 服务器请求分配 IP 地址时, DHCP 服务器可根据报文携带的该信息判断客户端的合法性。12.3.6 配置和验证DHCP Option82 的配置和验证请参见SmartAX MA5600 多业务接入
11、设备 配置指南 。SmartAX MA5600 特性描述12 用户安全文档版本 01 (2006-08-10)华为技术有限公司12-512.4 MAC/IP 地址和端口绑定12.4.1 定义将 MAC 或 IP 地址和端口绑定,绑定后的端口仅限绑定的 MAC 地址或 IP 地址接入, 其他地址不允许接入。12.4.2 遵循的协议无。12.4.3 和其他特性的关系无。12.4.4 应用MA5600 支持配置 MAC 地址或 IP 地址与端口的绑定,以防止非法用户接入。12.4.5 原理一般来说,MA5600 接入端口没有做任何限定的时候,只要用户接入设备能够接入端 口并且知道相关认证信息的话,就可以使用该设备非法接入。MA5600 通过将 MAC 或 IP 地址和端口绑定,限制其他地址的设备不允许从端口接入, 一定程度上避免了非法接入。12.4.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南 。