华为_MA5100(MA5103) 操作手册_02-业务配置01-13 安全特性配置

1、SmartAX MA5100/MA5103操作手册表格目录目 录13 安全特性配置13-113.1 概述13-213.2 相关概念13-313.3 设置地址绑定13-413.4 设置最大MAC地址数13-513.5 设置MAC地址老化时间13-613.6 配置防MAC地址欺骗功能13-713.6.1 设置工作模式13-713.6.2 设置MAC地址列表13-813.7 配置PITP协议13-913.7.1 设置PITP功能开关13-913.7.2 设置PITP以太网封装类型13-913.7.3 设置PITP编码格式13-1013.7.4 设置PITP option82功能13-1013.8 设

2、置802.1p优先级门限13-1113.9 设置流量抑制13-12文档版本 04 (2006-10-25)华为技术有限公司iii表格目录表13-1 配置地址绑定相关操作列表13-5表13-2 设置最大MAC地址数相关操作列表13-6表13-3 设置802.1p优先级别门限相关操作列表13-11SmartAX MA5100/MA5103操作手册13 安全特性配置13 安全特性配置关于本章本章介绍安全特性及其配置操作。本章描述内容如下表所示。标题描述13.1 概述介绍以太网业务的安全特性。13.2 相关概念介绍安全特性的相关概念。13.3 设置地址绑定介绍PVC地址绑定的配置操作。13.4 设置最

3、大MAC地址数介绍最大MAC地址数的配置操作。13.5 设置MAC地址老化时间介绍MAC地址老化时间的配置操作。13.6 配置防MAC地址欺骗功能介绍防MAC地址欺骗功能的配置操作。13.7 配置PITP协议介绍PITP协议的配置操作。13.8 设置802.1p优先级门限介绍802.1p优先级门限的配置操作。13.9 设置流量抑制介绍流量抑制的配置操作。13.1 概述业务描述MA5100以太网业务提供一系列安全特性，有利于运营商提高网络运行的安全。业务规格以太网业务的安全特性包括：l 地址绑定l 最大MAC地址数l MAC地址老化l 防MAC地址欺骗l PITP功能l 802.1p功能l 流量

4、抑制13.2 相关概念地址绑定当PVC设置地址绑定后，这条PVC上只有这个地址的数据帧才合法，其他地址的数据包都被认为是非法而丢弃。MAC地址欺骗如果某个ADSL用户将自己的MAC地址修改为与上层设备一致，则LAN板会将该用户端口当作目的端口，导致所有上行到该上层设备的用户不能上网。数据环网如果两条（或多条）ADSL线路接入同一台HUB上，再通过这台HUB接入多个用户，则其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。上层设备检测到环路后，会将相应的MA5100/MA5103上行VLAN阻塞掉，从而导致该VLAN下所有用户不能上网。环网上行的数据包包含了上层设备源MAC地址

5、，类似于地址欺骗，可以通过源MAC地址过滤功能统一控制。PITP协议系统支持PITP（Policy Information Transfer Protocol）协议，通过在PPPoE认证请求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息，提交BRAS设备验证，解决宽带用户的标识问题，实现用户帐号与用户端口的绑定。PITP功能支持两种模式：V模式和P模式，二者互斥。其区别是：l V模式是BRAS设备主动发起用户端口查询。l P模式是MA5100设备主动发起用户端口查询。PITP option82功能用来实现用户DHCP请求报文认证，通过在DHCP请求报文中添加物理端口号、M

6、AC地址、VPI/VCI等用户信息，保证合法用户成功获得动态IP。PITP option82解决了DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等安全性问题。802.1p系统支持802.1p优先级功能，对上下行数据包进行调度。在上行方向，报文携带优先级信息发送到对端，由对端设备对报文进行优先级业务调度。上行报文的优先级在PVC建立时由priority参数设置。在下行方向，MA5100设置2个优先级队列，根据优先级门限对下行数据进行调度。优先级门限为4时，系统将把优先级为04的下行数据包放入低优先级队列，将优先级为56的下行数据包放入高优先级队列，当下行发生

7、拥塞时系统根据设置的高低优先级进行业务调度。调度时，系统根据高低优先级队列中的报文比率进行，如高低优先级队列报文比率设置为2：1（如高优先级比率为14，低优先级比率为7，则高低比率为2：1），在某时刻，当高优先级队列中报文为3M，低优先级队列中报文为2M，而带宽只有3M时，系统将根据设置的比率，高优先级队列只能传送2M，丢弃1M；低优先级传送1M，丢弃1M。13.3 设置地址绑定目的 把用户IP地址和MAC地址绑定到指定的PVC上。规格一条PVC可绑定IP地址或MAC地址，或者两者同时绑定。设置地址绑定的要求：l LAN板工作模式不能为GENERAL模式。l PVC的源端和目的端不能同时在LA

8、N板上。l 系统最多支持256条PVC对MAC地址进行绑定。l 系统最多支持512条PVC对IP地址进行绑定。l 一条PVC最多可绑定8个IP地址和8个MAC地址。设置地址绑定后用户接入的限制：l 如果只设置了IP地址绑定，则只要用户的IP地址在绑定的范围内，业务就可正常进行；l 如果IP地址和MAC地址都设置了绑定关系，则只有IP地址和MAC地址都在绑定范围内的用户的业务才可正常进行；l 设置了地址绑定的PVC必须取消绑定后才可进行删除操作。注意事项LAN板工作模式为GENERAL时不支持本命令。举例设置1号PVC绑定IP地址10.11.18.1。huawei(config-LAN-0/12

9、)#bind ip<cid>1-8000:1<ip address>:10.11.18.1  Set ip bind successfully.验证结果使用show bind命令查询地址绑定信息。huawei(config-LAN-0/12)#show bind cid 1Cutline: *: The IP bound is invalid for board version is low. CID  Vlan IP address        &

10、#160;        MAC address - - - -  - 1    1    10.11.18.1         -       - -   -    -      

11、0;      -        -相关操作配置地址绑定相关操作如表13-1所示。表13-1 配置地址绑定相关操作列表操作命令MAC地址绑定bind mac 删除地址绑定no bind 13.4 设置最大MAC地址数目的 设置LAN板 PVC 可学习的最大MAC地址数，防止出现过多的广播以及恶意攻击。规格系统缺省支持256个MAC地址，最大支持2047个。举例设置1号PVC可学习到的最大MAC地址数为64。huawei(config-LAN-0/13)#max-mac-cou

12、ntpvc,vlan,all:pvc<cid>1-8000:1<count>1-2047:64 If the max learnable MAC addresses of one PVC to be set less than the learned MAC addresses,some services may be broken.Are you sure to continue?(y/n)n:y Set the max learnable MAC addresses of PVC successfully.验证结果使用show max-mac-count命令查询最大

13、MAC地址数。huawei(config-LAN-0/13)#show max-mac-countpvc,vlan,all:pvc<cid>1-8000:1 CID VLAN ID Learnable MAC addresses - - - 1 11 64相关操作设置最大MAC地址数相关操作如表13-2所示。表13-2 设置最大MAC地址数相关操作列表操作命令查询已经学习到的MAC地址数show mac-count 13.5 设置MAC地址老化时间目的 设置MAC地址老化时间阈值，系统将根据时间阈值老化掉不再使用的MAC地址，即从MAC地址表中删除。规格只有EVMB、MMXV板支持

14、MAC地址老化时间的设置。举例设置MAC地址老化时间为600秒。huawei(config-LAN-0/3)#mac-age<age(s)>10-20000:600  Set the max age of MAC addresses successfully验证结果使用show mac-age命令查询MAC地址老化时间。huawei(config-LAN-0/3)#show mac-age   MAC address aging time is: 600 seconds.13.6 配置防MAC地址欺骗功能13.6.1 设置工作模式目的 设置MAC地址欺

15、骗时，系统采用的处理方式。规格防MAC地址欺骗工作模式有三种：l common：普通模式，系统过滤掉从异常MAC地址相应端口发过来的数据包。该模式最多支持8个MAC地址过滤。该8个MAC地址可以手动配置，也可以系统自动学习。l enhance：增强模式，系统产生MAC地址异常告警，并去激活相应ADSL端口。该模式下MAC地址不需要配置，系统自动学习获得。l integrated：综合模式，common模式与enhance模式并存。注意事项设置防MAC地址欺骗工作模式时需注意：l MMXV/EVMB仅支持common模式。l LAND/EVMA（IPDSLAM/IPCASCADE）三种模式都支持

16、。举例设置防MAC地址欺骗工作模式为普通模式。huawei(config-LAN-0/12)#anti mac-spoofingmode,add,delete:mode<workmode>off,common,enhance,integrated: common Set successfully.验证结果使用show anti mac-spoofing命令查询防MAC地址欺骗工作模式。huawei(config-LAN-0/10)#show anti mac-spoofing Anti MAC spoofing mode: common MAC address number : 5

17、 No. MAC address type - - - 1 00-00-00-00-00-09 static 2 00-00-00-00-00-01 static 3 00-00-00-00-00-02 static 4 00-00-00-00-00-03 static 5 00-e0-fc-10-2d-dc dynamic - - -13.6.2 设置MAC地址列表目的 对于上行设备MAC地址，MA5100可以通过自学习获得（动态），也可以进行手工设置（静态）。通过将MAC地址列表与ADSL用户MAC地址进行比较，可以有效防地址欺骗和环网。注意事项设置MAC地址仅对common模式有效，En

18、hance模式下MAC地址设置无效（通过自学习获得）。举例增加MAC地址00-00-00-00-00-01，当用户仿冒这个地址时，将其数据包过滤掉。huawei(config-LAN-0/10)#anti mac-spoofingmode,add,delete:add<mac address>:00-00-00-00-00-01 Set successfully.验证结果使用show anti mac-spoofing命令查询MAC地址列表，请参见“13.6.1 设置工作模式”。13.7 配置PITP协议13.7.1 设置PITP功能开关目的 打开或关闭PITP功能，打开PITP功

19、能时同时设置PITP工作模式。注意事项LAN板工作模式为GENERAL时不支持本命令。举例打开PITP功能，同时设置PITP工作模式为pmode模式。huawei(config-LAN-0/12)#pitp switch<switch>vmode,pmode,off:pmode  Set PITP protocol successfully.验证结果使用show pitp命令查询PITP功能是否打开。huawei(config-LAN-0/12)#show pitp  PITP protocal switch    = PMODE&

20、#160; PITP option82           = On  PITP code type          = CNTel13.7.2 设置PITP以太网封装类型目的 PITP采用V模式时，PITP协议的以太网封装类型必须和对端设备相同。注意事项LAN板工作模式为GENERAL时不支持本命令。举例设置PITP V模式的以太网封装类型。huawei(config-LAN-0/12)#pi

21、tp ethertype<ethertype>0x1-0xffff:0x1258  Set PITP protocol ethertype successfully.验证结果使用show pitp命令查询PITP协议的以太网封装类型。huawei(config-LAN-0/12)#show pitp PITP protocol switch = VMODE PITP protocol ethertype = 0x1258 PITP option82 = On PITP code type = common13.7.3 设置PITP编码格式目的 设置PITP编码格式为com

22、mon或CNtel格式。注意事项LAN板工作模式为GENERAL时不支持本命令。举例设置PITP编码格式为CNtel。huawei(config-LAN-0/12)#pitp code-type<type>common,cntel:cntel  Set PITP code type successfully.验证结果使用show pitp命令查询PITP编码格式。huawei(config-LAN-0/12)#show pitp PITP protocol switch = VMODE PITP protocol ethertype = 0x1258 PITP optio

23、n82 = On PITP code type = CNtel13.7.4 设置PITP option82功能目的 打开或关闭PITP option82功能。举例打开PITP option82功能。huawei(config-LAN-0/12)#pitp option82<option82>on,off:on  Set PITP option82 successfully.验证结果使用show pitp命令查询PITP option82功能是否打开，请参见“13.7.3 设置PITP编码格式”。13.8 设置802.1p优先级门限目的 设置数据帧优先级别门限。注意事项设置

24、802.1p优先级门限时，需注意：l LAN板工作模式为GENERAL时不支持本命令。l GMII PAUSE开关与PRIORITY开关同步打开和关闭。l 执行该操作前，请先删除当前单板上所有PVC（除IGMP PVC外）。举例设置802.1p优先级别门限为3。huawei(config-LAN-0/12)#priority<level>0-6:3<low ratio>1-15:1<high ratio>1-15:2  Set successfully.  Set GMII PAUSE on automatically successfu

25、lly.验证结果使用show priority命令查询优先级门限。huawei(config-LAN-0/12)#show priorityLAND board:   802.1p priority status      : On   802.1p priority value       : 3   802.1p low priority ratio   : 1   802.1p h

26、igh priority ratio  : 2相关操作设置802.1p优先级别门限相关操作如表13-3所示。表13-3 设置802.1p优先级别门限相关操作列表操作命令关闭802.1p功能no priority 13.9 设置流量抑制目的 系统对LAN板上的广播/未知单播的流量分别加以限制，以便有效地防止未知用户的恶意攻击和由于大量的广播而引起的网络阻塞。规格系统设置的抑制流量等级有12种，进行抑制流量设置时，抑制流量等级只能从这12种流量等级中选择。可以通过show traffic-suppress命令查询抑制流量等级。举例设置广播和未知单播的抑制流量索引为1。huawei(con

27、fig-LAN-0/12)#traffic-suppressbroadcast,unknown-cast,all:all<tid>1-12:1  Set traffic suppression of broadcast successfully.  Set traffic suppression of unknown-cast successfully.验证结果使用show traffic-suppress命令查询流量抑制信息。huawei(config-VDSL-0/12)#show traffic-suppress  Traffic suppres

28、sion ID definition:   NO.    Min bandwidth(kbps)    Max bandwidth(kbps)   Package number(pps)  -   -   -   -     1             

29、60;      6.1                  145.7                    12     2  

30、                 12.3                  291.4               &

31、#160;    24     3                   24.6                  582.9    

32、60;               48     4                   49.2            

33、;     1165.8                    95     5                   98.3  

34、               2331.6                   191     6            

35、;      196.6                 4663.2                   382     7   

36、0;              393.2                 9326.6                   76

37、3     8                  786.4                18653.1                  1526     9                 1572.9