华为-MA5600-特性描述01-12 用户安全.doc

1、SmartAX MA5600特性描述插图目录目 录12 用户安全12-112.1 概述12-212.2 PITP12-212.2.1 定义12-212.2.2 遵循的协议12-212.2.3 和其他特性的关系12-212.2.4 应用12-212.2.5 原理12-212.2.6 配置和验证12-412.3 DHCP Option 8212-412.3.1 定义12-412.3.2 遵循的协议12-412.3.3 和其他特性的关系12-412.3.4 应用12-412.3.5 原理12-412.3.6 配置和验证12-412.4 MAC/IP地址和端口绑定12-512.4.1 定义12-512

2、.4.2 遵循的协议12-512.4.3 和其他特性的关系12-512.4.4 应用12-512.4.5 原理12-512.4.6 配置和验证12-5文档版本 01 (2006-08-10)华为技术有限公司12-5插图目录图12-1 PITP应用组网图12-3SmartAX MA5600特性描述12 用户安全12 用户安全关于本章本章描述内容如下表所示。标题内容12.1 概述简要介绍MA5600支持的用户安全特性。12.2 PITP介绍PITP特性。12.3 DHCP Option 82介绍DHCP Option 82特性。12.4 MAC/IP地址和端口绑定介绍MAC/IP地址绑定特性。12

3、.1 概述MA5600提供了多种措施保证用户安全：l PITPl DHCP Option82l MAC/IP地址和端口绑定12.2 PITP12.2.1 定义策略信息传送协议PITP（Policy Information Transfer Protocol）是华为技术有限公司HGMP协议族中的一种协议。12.2.2 遵循的协议华为集群管理协议HGMP(Huawei Group Management Protocol)。12.2.3 和其他特性的关系无。12.2.4 应用在MA5600上，PITP用于向BRAS设备提供接入用户物理端口的信息。BRAS设备获取用户端口信息后，可实现对用户帐号与接入

4、端口的绑定认证，避免用户帐号的盗用与漫游。12.2.5 原理PITP模式种类PITP支持以下两种模式：V模式和P模式。实现原理上，两者功能相似，都是实现帐号与物理端口信息的绑定，其区别是：V模式介绍BRAS设备主动发起用户端口查询请求，要求MA5600上报接入用户的物理端口信息。MA5600通过响应报文，将端口信息发送给BRAS设备。P模式介绍DSLAM设备主动发起用户端口信息，MA5600直接在PPPoE报文中添加TAG标识，通过PPPoE认证请求报文携带用户物理端口信息来标识用户，将接入用户的端口信息传送给BRAS设备。PITP应用组网如图12-1所示。图12-1 PITP应用组网图V模式

5、实现过程PITP V模式通过对BRAS设备的响应报文来上报用户的物理端口信息。步骤 1 BRAS向MA5600发起请求报文，要求MA5600上报指定用户的端口物理信息。步骤 2 MA5600收到请求报文后，在响应报文中加入该用户的端口物理信息。步骤 3 BRAS收到响应报文后将端口物理信息转发到RADIUS服务器进行认证，从而实现了用户帐号与端口的绑定。-结束P模式实现过程PITP的P模式通过PPPoE认证请求报文携带用户物理端口信息来标识用户。步骤 1 启动PITP P模式后，MA5600捕获上行的PPPoE报文并查询该报文上行的端口和PVC信息。步骤 2 在PPPoE报文中插入含有端口物理

6、信息的Tag形成PPPoE Plus报文，通过上行端口转发到BRAS上处理。步骤 3 如果开启了上报端口激活速率的功能，则在PPPoE Plus报文中将会加入ADSL2端口的上、下行激活速率。步骤 4 这样就实现了用户与设备物理端口的捆绑，解决了PPPoE拨号用户的标识问题。-结束l PPPoE Plus不改变PPPoE报文中的其他域。l PPPoE Plus与普通VLAN、Smart VLAN、MUX VLAN、IGSP、IGMP-proxy 兼容。l PPPoE Plus与DHCP Option82共存，在端口和PVC上共存。12.2.6 配置和验证PITP的配置和验证请参见SmartAX

7、 MA5600 多业务接入设备 配置指南。12.3 DHCP Option 8212.3.1 定义DHCP Option82是在DHCP报文中添加可信的标识用户端口和终端信息的选项，提供DHCP server分配IP地址和其他参数的合法性依据和参考。这个选项称之为“DHCP Relay Agent Information Option”，其编号为82，故又简称为DHCP Option82。12.3.2 遵循的协议l IETF RFC 2132 DHCP Options and BOOTP Vendor Extensionsl IETF RFC 3046 DHCP Relay Agent Inf

8、ormation Option12.3.3 和其他特性的关系无。12.3.4 应用MA5600为了提高用户使用DHCP方式获取IP地址和进行接入时的安全性，完全支持DHCP Option82。12.3.5 原理目前广泛使用的DHCP功能是没有认证和安全机制的（特别是独立的DHCP server），所以在网络上实际应用时，相对于PPP，存在DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等诸多安全性问题，而且缺乏对DHCP client的统一管理。RFC3046 定义了DHCP报文中的DHCP Relay Agent Information Option字段，

9、字段编号为82，当客户端DHCP报文携带该字段信息向DHCP服务器请求分配IP地址时，DHCP服务器可根据报文携带的该信息判断客户端的合法性。12.3.6 配置和验证DHCP Option82的配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。12.4 MAC/IP地址和端口绑定12.4.1 定义将MAC或IP地址和端口绑定，绑定后的端口仅限绑定的MAC地址或IP地址接入，其他地址不允许接入。12.4.2 遵循的协议无。12.4.3 和其他特性的关系无。12.4.4 应用MA5600支持配置MAC地址或IP地址与端口的绑定，以防止非法用户接入。12.4.5 原理一般来说，MA5600接入端口没有做任何限定的时候，只要用户接入设备能够接入端口并且知道相关认证信息的话，就可以使用该设备非法接入。MA5600通过将MAC或IP地址和端口绑定，限制其他地址的设备不允许从端口接入，一定程度上避免了非法接入。12.4.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。