华为MA5100MA5103 操作手册02业务配置0113 安全特性配置.docx
《华为MA5100MA5103 操作手册02业务配置0113 安全特性配置.docx》由会员分享,可在线阅读,更多相关《华为MA5100MA5103 操作手册02业务配置0113 安全特性配置.docx(13页珍藏版)》请在冰豆网上搜索。
华为MA5100MA5103操作手册02业务配置0113安全特性配置
目录
13安全特性配置13-1
13.1概述13-2
13.2相关概念13-3
13.3设置地址绑定13-4
13.4设置最大MAC地址数13-5
13.5设置MAC地址老化时间13-6
13.6配置防MAC地址欺骗功能13-7
13.6.1设置工作模式13-7
13.6.2设置MAC地址列表13-8
13.7配置PITP协议13-9
13.7.1设置PITP功能开关13-9
13.7.2设置PITP以太网封装类型13-9
13.7.3设置PITP编码格式13-10
13.7.4设置PITPoption82功能13-10
13.8设置802.1p优先级门限13-11
13.9设置流量抑制13-12
表格目录
表13-1配置地址绑定相关操作列表13-5
表13-2设置最大MAC地址数相关操作列表13-6
表13-3设置802.1p优先级别门限相关操作列表13-11
13安全特性配置
关于本章
本章介绍安全特性及其配置操作。
本章描述内容如下表所示。
标题
描述
13.1概述
介绍以太网业务的安全特性。
13.2相关概念
介绍安全特性的相关概念。
13.3设置地址绑定
介绍PVC地址绑定的配置操作。
13.4设置最大MAC地址数
介绍最大MAC地址数的配置操作。
13.5设置MAC地址老化时间
介绍MAC地址老化时间的配置操作。
13.6配置防MAC地址欺骗功能
介绍防MAC地址欺骗功能的配置操作。
13.7配置PITP协议
介绍PITP协议的配置操作。
13.8设置802.1p优先级门限
介绍802.1p优先级门限的配置操作。
13.9设置流量抑制
介绍流量抑制的配置操作。
13.1概述
业务描述
MA5100以太网业务提供一系列安全特性,有利于运营商提高网络运行的安全。
业务规格
以太网业务的安全特性包括:
●地址绑定
●最大MAC地址数
●MAC地址老化
●防MAC地址欺骗
●PITP功能
●802.1p功能
●流量抑制
13.2相关概念
地址绑定
当PVC设置地址绑定后,这条PVC上只有这个地址的数据帧才合法,其他地址的数据包都被认为是非法而丢弃。
MAC地址欺骗
如果某个ADSL用户将自己的MAC地址修改为与上层设备一致,则LAN板会将该用户端口当作目的端口,导致所有上行到该上层设备的用户不能上网。
数据环网
如果两条(或多条)ADSL线路接入同一台HUB上,再通过这台HUB接入多个用户,则其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。
上层设备检测到环路后,会将相应的MA5100/MA5103上行VLAN阻塞掉,从而导致该VLAN下所有用户不能上网。
环网上行的数据包包含了上层设备源MAC地址,类似于地址欺骗,可以通过源MAC地址过滤功能统一控制。
PITP协议
系统支持PITP(PolicyInformationTransferProtocol)协议,通过在PPPoE认证请求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息,提交BRAS设备验证,解决宽带用户的标识问题,实现用户帐号与用户端口的绑定。
PITP功能支持两种模式:
V模式和P模式,二者互斥。
其区别是:
●V模式是BRAS设备主动发起用户端口查询。
●P模式是MA5100设备主动发起用户端口查询。
PITPoption82功能用来实现用户DHCP请求报文认证,通过在DHCP请求报文中添加物理端口号、MAC地址、VPI/VCI等用户信息,保证合法用户成功获得动态IP。
PITPoption82解决了DHCP广播过多、DHCPIP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等安全性问题。
802.1p
系统支持802.1p优先级功能,对上下行数据包进行调度。
在上行方向,报文携带优先级信息发送到对端,由对端设备对报文进行优先级业务调度。
上行报文的优先级在PVC建立时由priority参数设置。
在下行方向,MA5100设置2个优先级队列,根据优先级门限对下行数据进行调度。
优先级门限为4时,系统将把优先级为0~4的下行数据包放入低优先级队列,将优先级为5~6的下行数据包放入高优先级队列,当下行发生拥塞时系统根据设置的高低优先级进行业务调度。
调度时,系统根据高低优先级队列中的报文比率进行,如高低优先级队列报文比率设置为2:
1(如高优先级比率为14,低优先级比率为7,则高低比率为2:
1),在某时刻,当高优先级队列中报文为3M,低优先级队列中报文为2M,而带宽只有3M时,系统将根据设置的比率,高优先级队列只能传送2M,丢弃1M;低优先级传送1M,丢弃1M。
13.3设置地址绑定
目的
把用户IP地址和MAC地址绑定到指定的PVC上。
规格
一条PVC可绑定IP地址或MAC地址,或者两者同时绑定。
设置地址绑定的要求:
●LAN板工作模式不能为GENERAL模式。
●PVC的源端和目的端不能同时在LAN板上。
●系统最多支持256条PVC对MAC地址进行绑定。
●系统最多支持512条PVC对IP地址进行绑定。
●一条PVC最多可绑定8个IP地址和8个MAC地址。
设置地址绑定后用户接入的限制:
●如果只设置了IP地址绑定,则只要用户的IP地址在绑定的范围内,业务就可正常进行;
●如果IP地址和MAC地址都设置了绑定关系,则只有IP地址和MAC地址都在绑定范围内的用户的业务才可正常进行;
●设置了地址绑定的PVC必须取消绑定后才可进行删除操作。
注意事项
LAN板工作模式为GENERAL时不支持本命令。
举例
设置1号PVC绑定IP地址10.11.18.1。
huawei(config-LAN-0/12)#bindip
{1-8000}:
1
:
10.11.18.1
Setipbindsuccessfully.
验证结果
使用showbind命令查询地址绑定信息。
huawei(config-LAN-0/12)#showbindcid1
Cutline:
*:
TheIPboundisinvalidforboardversionislow.
CID VlanIPaddress MACaddress
----------------------------- -----------------
1 1 10.11.18.1 -- --
-- -- -- -- --
相关操作
配置地址绑定相关操作如表13-1所示。
表13-1配置地址绑定相关操作列表
操作
命令
MAC地址绑定
bindmac
删除地址绑定
nobind
13.4设置最大MAC地址数
目的
设置LAN板PVC可学习的最大MAC地址数,防止出现过多的广播以及恶意攻击。
规格
系统缺省支持256个MAC地址,最大支持2047个。
举例
设置1号PVC可学习到的最大MAC地址数为64。
huawei(config-LAN-0/13)#max-mac-count
{pvc,vlan,all}:
pvc
{1-8000}:
1
{1-2047}:
64
IfthemaxlearnableMACaddressesofonePVCtobesetlessthanthelearned
MACaddresses,someservicesmaybebroken.Areyousuretocontinue?
(y/n)[n]:
y
SetthemaxlearnableMACaddressesofPVCsuccessfully.
验证结果
使用showmax-mac-count命令查询最大MAC地址数。
huawei(config-LAN-0/13)#showmax-mac-count
{pvc,vlan,all}:
pvc
{1-8000}:
1
CIDVLANIDLearnableMACaddresses
-----------------------------------
11164
相关操作
设置最大MAC地址数相关操作如表13-2所示。
表13-1设置最大MAC地址数相关操作列表
操作
命令
查询已经学习到的MAC地址数
showmac-count
13.5设置MAC地址老化时间
目的
设置MAC地址老化时间阈值,系统将根据时间阈值老化掉不再使用的MAC地址,即从MAC地址表中删除。
规格
只有EVMB、MMXV板支持MAC地址老化时间的设置。
举例
设置MAC地址老化时间为600秒。
huawei(config-LAN-0/3)#mac-age
{10-20000}:
600
SetthemaxageofMACaddressessuccessfully
验证结果
使用showmac-age命令查询MAC地址老化时间。
huawei(config-LAN-0/3)#showmac-age
MACaddressagingtimeis:
600seconds.
13.6配置防MAC地址欺骗功能
13.6.1设置工作模式
目的
设置MAC地址欺骗时,系统采用的处理方式。
规格
防MAC地址欺骗工作模式有三种:
●common:
普通模式,系统过滤掉从异常MAC地址相应端口发过来的数据包。
该模式最多支持8个MAC地址过滤。
该8个MAC地址可以手动配置,也可以系统自动学习。
●enhance:
增强模式,系统产生MAC地址异常告警,并去激活相应ADSL端口。
该模式下MAC地址不需要配置,系统自动学习获得。
●integrated:
综合模式,common模式与enhance模式并存。
注意事项
设置防MAC地址欺骗工作模式时需注意:
●MMXV/EVMB仅支持common模式。
●LAND/EVMA(IPDSLAM/IPCASCADE)三种模式都支持。
举例
设置防MAC地址欺骗工作模式为普通模式。
huawei(config-LAN-0/12)#antimac-spoofing
{mode,add,delete}:
mode
{off,common,enhance,integrated}:
common
Setsuccessfully.
验证结果
使用showantimac-spoofing命令查询防MAC地址欺骗工作模式。
huawei(config-LAN-0/10)#showantimac-spoofing
AntiMACspoofingmode:
common
MACaddressnumber:
5
No.MACaddresstype
---------------------------
100-00-00-00-00-09static
200-00-00-00-00-01static
300-00-00-00-00-02static
400-00-00-00-00-03static
500-e0-fc-10-2d-dcdynamic
---------------------------
13.6.2设置MAC地址列表
目的
对于上行设备MAC地址,MA5100可以通过自学习获得(动态),也可以进行手工设置(静态)。
通过将MAC地址列表与ADSL用户MAC地址进行比较,可以有效防地址欺骗和环网。
注意事项
设置MAC地址仅对common模式有效,Enhance模式下MAC地址设置无效(通过自学习获得)。
举例
增加MAC地址00-00-00-00-00-01,当用户仿冒这个地址时,将其数据包过滤掉。
huawei(config-LAN-0/10)#antimac-spoofing
{mode,add,delete}:
add
:
00-00-00-00-00-01
Setsuccessfully.
验证结果
使用showantimac-spoofing命令查询MAC地址列表,请参见“13.6.1设置工作模式”。
13.7配置PITP协议
13.7.1设置PITP功能开关
目的
打开或关闭PITP功能,打开PITP功能时同时设置PITP工作模式。
注意事项
LAN板工作模式为GENERAL时不支持本命令。
举例
打开PITP功能,同时设置PITP工作模式为pmode模式。
huawei(config-LAN-0/12)#pitpswitch
{vmode,pmode,off}:
pmode
SetPITPprotocolsuccessfully.
验证结果
使用showpitp命令查询PITP功能是否打开。
huawei(config-LAN-0/12)#showpitp
PITPprotocalswitch =PMODE
PITPoption82 =On
PITPcodetype =CNTel
13.7.2设置PITP以太网封装类型
目的
PITP采用V模式时,PITP协议的以太网封装类型必须和对端设备相同。
注意事项
LAN板工作模式为GENERAL时不支持本命令。
举例
设置PITPV模式的以太网封装类型。
huawei(config-LAN-0/12)#pitpethertype
{0x1-0xffff}:
0x1258
SetPITPprotocolethertypesuccessfully.
验证结果
使用showpitp命令查询PITP协议的以太网封装类型。
huawei(config-LAN-0/12)#showpitp
PITPprotocolswitch=VMODE
PITPprotocolethertype=0x1258
PITPoption82=On
PITPcodetype=common
13.7.3设置PITP编码格式
目的
设置PITP编码格式为common或CNtel格式。
注意事项
LAN板工作模式为GENERAL时不支持本命令。
举例
设置PITP编码格式为CNtel。
huawei(config-LAN-0/12)#pitpcode-type
{common,cntel}:
cntel
SetPITPcodetypesuccessfully.
验证结果
使用showpitp命令查询PITP编码格式。
huawei(config-LAN-0/12)#showpitp
PITPprotocolswitch=VMODE
PITPprotocolethertype=0x1258
PITPoption82=On
PITPcodetype=CNtel
13.7.4设置PITPoption82功能
目的
打开或关闭PITPoption82功能。
举例
打开PITPoption82功能。
huawei(config-LAN-0/12)#pitpoption82
{on,off}:
on
SetPITPoption82successfully.
验证结果
使用showpitp命令查询PITPoption82功能是否打开,请参见“13.7.3设置PITP编码格式”。
13.8设置802.1p优先级门限
目的
设置数据帧优先级别门限。
注意事项
设置802.1p优先级门限时,需注意:
●LAN板工作模式为GENERAL时不支持本命令。
●GMIIPAUSE开关与PRIORITY开关同步打开和关闭。
●执行该操作前,请先删除当前单板上所有PVC(除IGMPPVC外)。
举例
设置802.1p优先级别门限为3。
huawei(config-LAN-0/12)#priority
{0-6}:
3
{1-15}:
1
{1-15}:
2
Setsuccessfully.
SetGMIIPAUSEonautomaticallysuccessfully.
验证结果
使用showpriority命令查询优先级门限。
huawei(config-LAN-0/12)#showpriority
LANDboard:
802.1pprioritystatus :
On
802.1ppriorityvalue :
3
802.1plowpriorityratio :
1
802.1phighpriorityratio :
2
相关操作
设置802.1p优先级别门限相关操作如表13-3所示。
表13-1设置802.1p优先级别门限相关操作列表
操作
命令
关闭802.1p功能
nopriority
13.9设置流量抑制
目的
系统对LAN板上的广播/未知单播的流量分别加以限制,以便有效地防止未知用户的恶意攻击和由于大量的广播而引起的网络阻塞。
规格
系统设置的抑制流量等级有12种,进行抑制流量设置时,抑制流量等级只能从这12种流量等级中选择。
可以通过showtraffic-suppress命令查询抑制流量等级。
举例
设置广播和未知单播的抑制流量索引为1。
huawei(config-LAN-0/12)#traffic-suppress
{broadcast,unknown-cast,all}:
all
{1-12}:
1
Settrafficsuppressionofbroadcastsuccessfully.
Settrafficsuppressionofunknown-castsuccessfully.
验证结果
使用showtraffic-suppress命令查询流量抑制信息。
huawei(config-VDSL-0/12)#showtraffic-suppress
TrafficsuppressionIDdefinition:
NO. Minbandwidth(kbps) Maxbandwidth(kbps) Packagenumber(pps)
---- -------------------- -------------------- -------------------
1 6.1 145.7 12
2 12.3 291.4 24
3 24.6 582.9 48
4 49.2 1165.8 95
5 98.3 2331.6 191
6 196.6 4663.2 382
7 393.2 9326.6 763
8 786.4 18653.1 1526
9 1572.9 37306.3 3052
10 3145.7 74612.7 6104
11 6291.5 149225.4 12207
12 12582.9 298450.9 24414
------------------------------------------------------------------------
CurrenttrafficsuppressionIDofbroadcast :
1
CurrenttrafficsuppressionIDofunknown-cast:
1