PITP协议介绍ISSUE1.0.ppt

1、BA000406 PITP协议介绍,1.0,引入,宽带用户越来越多，运营商IP DSLAM网络架构应用广泛。 如何有效的解决用户帐号盗用问题？ 如何有效的防止黑客攻击,学习目标,了解PITP协议原理 掌握PITP的配置,学习完本课程，您应该能够,课程内容,第一章 PITP协议介绍 第二章 PITP相关配置,PITP协议简介,PITP（Policy Information Transfer Protocal）策略信息传送协议 PITP协议包括四种不同策略信息动作： 带宽资源搜集 QOS策略下发 配置维护信息传送等。 端口信息获取 华为公司开发具有自主知识产权的宽带协议，为解决： IP DSLAM

2、 VLAN资源不足 IP电信网QOS 统一维护管理问题,PITP协议背景,随着INTERNET的高速发展，宽带上网用户急剧增加。 运营商宽带网络从ATM DSLAMIP DSLAM转变； 账号盗用和黑客攻击越来越多。 针对黑客攻击，传统的主要做法是采用用户隔离的方式来阻断用户对其他用户的影响，将其造成的破坏限制在一个很小的范围内。 ATM DSLAM组网中，一个用户对应一条PVC。 IP DSLAM组网中，一个用户对应一个VLAN ID。 针对账号盗用，传统的解决方法是将用户的帐号与端口标识进行绑定，配合RADIUS SERVER来完成对用户合法性的判断。 ATM DSLAM组网中，用户标识为

3、PVC。 IP DSLAM组网中，用户标识为VLAN ID,PITP协议背景,ATM DSLAM 组网 每个用户分配一条PVC，用户与PVC之间是一一对应 。 用户数量受到PVC数量的限制。 PVC数量取决于VPI、VCI的值。 ATM信元中的定义，在用户网络侧，VPI为8bit，VCI为16bit。 PVC数量256（VPI）65536（VCI）16777216个 完全可以满足DSLAM接入的用户的需要,PITP协议背景,IP DSLAM 组网 每个用户分配一个VLAN ID，用户与VLAN之间是一一对应 。 用户数量受到VLAN ID数量的限制。 VLAN ID数取决于 802.1Q规定

4、。 802.1Q规定的VLAM ID为12bit。 一个接口下的VLAN ID数4096个 无法满足用户数量的需求，只能是多个用户使用一个VLAN。 无法防备帐号盗用和黑客攻击,MA5100综合业务解决方案,RADIUS Server,PITP协议解决方案,问题的根源 用户的身份验证是在RADIUS Server上完成。 如果RADIUS Server能够对用户的物理端口（DSL线路）进行验证，就可避免黑客攻击、账号盗用。 用户直接连接到DSLAM设备，DSLAM可以知道用户端口信息。 RADIUS Server直接和BAS设备通信。 只要将用户物理端口等信息从DSLAM传递到BAS设备,启用

5、PITP,PITP协议解决方案 Vmode,PITP协议示意图,PITP协议解决方案 Vmode,PITP协议流程,PITP协议解决方案 Vmode,PITP协议流程说明 用户主机广播一个会话发起数据包； 一个或多个BAS收到广播后，发送服务提供数据包给用户主机； 用户主机依据一定的原则，挑选出一个BAS，向其发送单播会话请求数据包； 被选中的BAS收到会话请求数据包后，产生一个唯一的Session ID，向原用户主机发送确认数据包后，然后进入到PPP会话阶段； BAS收到认证请求包后，向IP DSLAM发送PITP请求数据包，以查询用户主机的MAC地址来自哪个IP DSLAM的具体物理端口；

6、 IPDSLAM收到PITP请求数据包后，向BAS发送PITP响应数据包，返回用户主机的MAC地址和IP DSLAM物理端口对应关系,PITP协议解决方案 Vmode,PITP协议流程说明 当用户主机接收到选中BAS的确认数据包后，根据Session ID与BAS进行PPP会话，进行LCP协商； LCP协商通过后，用户主机开始向BAS发送身份认证请求包PAP/ CHAP； BAS向Radius Server 发送认证请求包（包含用户帐号、密码、所在IPDSLAM的物理端口等信息）； Radius Server返回认证结果响应包给BAS ； BAS返回用户主机认证结果响应包； 如果认证通过，则建

7、立PPP连接，通信双方可以进行PPP数据的传输,PITP协议解决方案 Vmode,PITP报文封装在以太网报文中,当BAS收到用户的PPPoE PADR报文后，如果PITP功能已激活，则在接收到PADR报文的物理端口上发送PITP请求报文。 DSLAM收到BAS发送的PITP请求后，在接收到PITP请求报文的物理端口上发送PITP响应报文,PITP协议解决方案Vmode,BAS通过Radius协议上报相关信息给Radius Server NAS-Port（5）：32Bit数字 槽位号(4位)+子槽位号(2位)+端口号(2位)+VlanPI(12位)+VlanCI(12位) 格式: slot=X

8、X;subslot=XX;port=XXX;VlanPI=XXXX;VlanCI=XXXX; 范围值： slot=015;subslot=015;port=0255;VlanPI=04095;VlanCI=04095; VlanPI对应为接入到BAS的VLAN，如果采用Untagged接入方式，则VlanPI=0； VlanCI对应为从DSLAM上查到的用户端口号,PITP协议解决方案 Pmode,PITP协议流程,PITP协议解决方案 Pmode,PITP协议流程说明 DSLAM设备在PPPOE协议Discovery阶段的PADI/PADR报文中加入用户的端口信息（ICI）。 IP DSLA

9、M充当PPPoE中间代理，根据流分类规则，捕获PPPoE发现报文（PADI、PADR报文），插入端口信息。 BAS收到带有物理位置信息的发现报文，记录用户物理位置。 在BAS和Radius Server交互时，把用户的物理位置信息传递给RADIUS Server。 RADIUS Server根据用户物理位置信息实施用户配置的安全策略，实现用户帐号与端口的绑定,PITP协议解决方案 Pmode,用PPPOE 发现阶段的TAG类型传送ICI信息 RFC 2516定义的Vendor-Specific 0X0105，标识用户线信息。 DSLAM设备，在PPPOE Plus交互的过程中，负责将Tag01

10、05插入到PADI、PADR报文中。 Tag0 x0105的格式,PITP协议解决方案 Pmode,在DSLAM设备中的编码方式 RID一般都不填，即长度为0，CID采用0 x*HW设备名_框号 atm 槽号/端口号:vpi.vci； VDSL/LAN接入方式其CID的编码格式为0 x*HW设备名_框号 eth 槽号/端口号,设备名为“DSLAM”、框号为0、端口号1/0/23，vpi 0，vci 35的CID信息,PITP协议解决方案Vmode VS Pmode,PITP协议Vmode Vmode又称VBAS。 PITP协议Pmode Pmode 又称PPPOE中继、PPPOE plus。

11、共同点 两者功能相似，都是实现帐号与端口的绑定； 不同点 PITP（Vmode）是BAS设备主动发起用户端口查询； PITP（Pmode）是DSLAM设备主动发起用户端口信息发送,课程内容,第一章 PITP协议介绍 第二章 PITP相关配置,PITP组网模型,PITP组网模型,模型1：DSLAM通过L2/L3汇聚到BAS，其下直接接入的用户采用一个VLAN上行，VLAN透过L3接入BAS； 模型2：DSLAM级联方式组网，下挂级联的每个DSLAM单独分配一个VLAN，该VLAN透过L3接入BAS； 模型3：DSLAM直接接入BAS，所有用户都在一个物理端口下，不配置VLAN； 模型4：DSLA

12、M通过L2/L3汇聚到BAS，其下直接接入的用户在一个物理端口下，不配置VLAN，由L3打VLAN标签接入BAS； 模型5：DSLAM级联方式组网，下挂DSLAM通过ATM/IMA级联，DSLAM直接接入的用户和级联DSLAM的用户使用统一的一个VLAN，该VLAN透过L3接入BAS,PITP组网模型,PITP协议要求每个DSLAM都至少需要一个VLAN或物理端口与BAS设备对应。 VLAN与DSLAM是多对一的关系，即支持一个或多个VLAN对应一个DSLAM。 不支持一个VLAN对应多个DSLAM（不包括级联情况,PITP DSLAM配置MA5100,打开/关闭PITP功能 MA5100(c

13、onfig-LAN-0/3)#pitp switch vmode,pmode,off:pmode Set PITP protocal successfully,设置PITP协议类型 MA5100(config-LAN-0/3)#pitp ethertype 0 x1-0 xffff:0 x8100 Set PITP protocal ethertype successfully,查询类型设置 MA5100(config-LAN-0/3)#show pitp,PITP DSLAM配置MA5100,设置PVC的虚端口的物理和逻辑值 MA5100(config)#pvc adsl (0-4)/(0-

14、6)or(9-15)/(0-15/31):0/15/2 region,vpi:vpi 0-127:0 32-127:35 atm,adsl,lan,fr,ces-sdt,ces-uni,ces-udt,ces-v35,nms,aiu,imu,vdsl:lan (0)/(0-6)or(9-15):0/11 vlanId,anyvlanId:anyvlanId 1-4095:1 1-4095:100 both,up,down,offoff:both 0 x0-0 xfffeanyvport_panyvport_p:anyvport_p 0 x1-0 xffdanyvport_lanyvport_l

15、:anyvport_l 0-7offoff:off 1-512:1 1-512:1 Add PVC successfully, CID = 1,PITP DSLAM配置MA5100,查看系统分配的vport值 MA5100(config-LAN-0/3)#show vport This operation will take several minutes, please wait. Cutline: *: The connection is invalid because optical port does not exist or else. #: The connection need

16、to delete because of configuring ACPU fail. Interface: Frame/Slot/Port ( Port: LANs VLAN, FRs VCC, IMAs Group Index, others port ) ( VPI : VDLs VLAN, others VPI ) Source Vport Sink CID Type Interface P L Type Interface VPI VCI - - - - - - - - - 1 LAN 0/11/2 0 x0f02 0 x001 ADL 0/15/2 0 35 - Record nu

17、mber: 1,PITP DSLAM配置MA5100,修改PVC的VPORT的值 MA5100(config-LAN-0/3)#vport 1-8000:1 0 x0-0 xfffe: 0 x215 Set Vport successfully,PITP DSLAM配置MA5300,启动和关闭Vmode协议 MA5300(config)#pitp vmode enable MA5300(config)#pitp vmode disable 查询协议是否打开 MA5300(config)#show pitp vmode config state PITP is disable. 设置Vmode以

18、太网封装协议 MA5300(config)# pitp vmode ethernet-type 0 x8200 查询协议类型 MA5300(config)#show pitp vmode config ethernet-type PITP protocol ethernet-type is: 0 x8200,PITP DSLAM配置MA5300,启动和关闭Pmode协议 MA5300(config)#pitp Pmode enable MA5300(config)#pitp Pmode disable 指定上行口 MA5300(config)# pitp pmode uplink-port allowed interface-list 配置查询 MA5300(config)# show pitp pmode configuration interface-list to