华为_MA5100(MA5103) 操作手册_02-业务配置01-13 安全特性配置

SmartAXMA5100/MA5103操作手册目录文档版本04(2006-10-25)华为技术有限公司i目录13安全特性配置..............................................................................................................................13-113.1概述.........................................................................................................................................................13-213.2相关概念................................................................................................................................................13-313.3设置地址绑定........................................................................................................................................13-413.4设置最大MAC地址数........................................................................................................................13-513.5设置MAC地址老化时间....................................................................................................................13-613.6配置防MAC地址欺骗功能................................................................................................................13-713.6.1设置工作模式...............................................................................................................................13-713.6.2设置MAC地址列表...................................................................................................................13-813.7配置PITP协议......................................................................................................................................13-913.7.1设置PITP功能开关....................................................................................................................13-913.7.2设置PITP以太网封装类型........................................................................................................13-913.7.3设置PITP编码格式..................................................................................................................13-1013.7.4设置PITPoption82功能...........................................................................................................13-1013.8设置802.1p优先级门限....................................................................................................................13-1113.9设置流量抑制......................................................................................................................................13-12SmartAXMA5100/MA5103操作手册表格目录文档版本04(2006-10-25)华为技术有限公司iii表格目录表13-1配置地址绑定相关操作列表..........................................................................................................13-5表13-2设置最大MAC地址数相关操作列表..........................................................................................13-6表13-3设置802.1p优先级别门限相关操作列表..................................................................................13-11SmartAXMA5100/MA5103操作手册13安全特性配置文档版本04(2006-10-25)华为技术有限公司13-113安全特性配置关于本章本章介绍安全特性及其配置操作。本章描述内容如下表所示。标题描述13.1概述介绍以太网业务的安全特性。13.2相关概念介绍安全特性的相关概念。13.3设置地址绑定介绍PVC地址绑定的配置操作。13.4设置最大MAC地址数介绍最大MAC地址数的配置操作。13.5设置MAC地址老化时间介绍MAC地址老化时间的配置操作。13.6配置防MAC地址欺骗功能介绍防MAC地址欺骗功能的配置操作。13.7配置PITP协议介绍PITP协议的配置操作。13.8设置802.1p优先级门限介绍802.1p优先级门限的配置操作。13.9设置流量抑制介绍流量抑制的配置操作。13安全特性配置SmartAXMA5100/MA5103操作手册13-2华为技术有限公司文档版本04(2006-10-25)13.1概述业务描述MA5100以太网业务提供一系列安全特性，有利于运营商提高网络运行的安全。业务规格以太网业务的安全特性包括：地址绑定最大MAC地址数MAC地址老化防MAC地址欺骗PITP功能802.1p功能流量抑制SmartAXMA5100/MA5103操作手册13安全特性配置文档版本04(2006-10-25)华为技术有限公司13-313.2相关概念地址绑定当PVC设置地址绑定后，这条PVC上只有这个地址的数据帧才合法，其他地址的数据包都被认为是非法而丢弃。MAC地址欺骗如果某个ADSL用户将自己的MAC地址修改为与上层设备一致，则LAN板会将该用户端口当作目的端口，导致所有上行到该上层设备的用户不能上网。数据环网如果两条（或多条）ADSL线路接入同一台HUB上，再通过这台HUB接入多个用户，则其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。上层设备检测到环路后，会将相应的MA5100/MA5103上行VLAN阻塞掉，从而导致该VLAN下所有用户不能上网。环网上行的数据包包含了上层设备源MAC地址，类似于地址欺骗，可以通过源MAC地址过滤功能统一控制。PITP协议系统支持PITP（PolicyInformationTransferProtocol）协议，通过在PPPoE认证请求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息，提交BRAS设备验证，解决宽带用户的标识问题，实现用户帐号与用户端口的绑定。PITP功能支持两种模式：V模式和P模式，二者互斥。其区别是：V模式是BRAS设备主动发起用户端口查询。P模式是MA5100设备主动发起用户端口查询。PITPoption82功能用来实现用户DHCP请求报文认证，通过在DHCP请求报文中添加物理端口号、MAC地址、VPI/VCI等用户信息，保证合法用户成功获得动态IP。PITPoption82解决了DHCP广播过多、DHCPIP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等安全性问题。802.1p系统支持802.1p优先级功能，对上下行数据包进行调度。在上行方向，报文携带优先级信息发送到对端，由对端设备对报文进行优先级业务调度。上行报文的优先级在PVC建立时由priority参数设置。在下行方向，MA5100设置2个优先级队列，根据优先级门限对下行数据进行调度。优先级门限为4时，系统将把优先级为0～4的下行数据包放入低优先级队列，将优先级为5～6的下行数据包放入高优先级队列，当下行发生拥塞时系统根据设置的高低优先级进行业务调度。13安全特性配置SmartAXMA5100/MA5103操作手册13-4华为技术有限公司文档版本04(2006-10-25)调度时，系统根据高低优先级队列中的报文比率进行，如高低优先级队列报文比率设置为2：1（如高优先级比率为14，低优先级比率为7，则高低比率为2：1），在某时刻，当高优先级队列中报文为3M，低优先级队列中报文为2M，而带宽只有3M时，系统将根据设置的比率，高优先级队列只能传送2M，丢弃1M；低优先级传送1M，丢弃1M。13.3设置地址绑定目的把用户IP地址和MAC地址绑定到指定的PVC上。规格一条PVC可绑定IP地址或MAC地址，或者两者同时绑定。设置地址绑定的要求：LAN板工作模式不能为GENERAL模式。PVC的源端和目的端不能同时在LAN板上。系统最多支持256条PVC对MAC地址进行绑定。系统最多支持512条PVC对IP地址进行绑定。一条PVC最多可绑定8个IP地址和8个MAC地址。设置地址绑定后用户接入的限制：如果只设置了IP地址绑定，则只要用户的IP地址在绑定的范围内，业务就可正常进行；如果IP地址和MAC地址都设置了绑定关系，则只有IP地址和MAC地址都在绑定范围内的用户的业务才可正常进行；设置了地址绑定的PVC必须取消绑定后才可进行删除操作。注意事项LAN板工作模式为GENERAL时不支持本命令。举例设置1号PVC绑定IP地址10.11.18.1。huawei(config-LAN-0/12)#bindipcid{1-8000}:1ipaddress:10.11.18.1Setipbindsuccessfully.验证结果使用showbind命令查询地址绑定信息。SmartAXMA5100/MA5103操作手册13安全特性配置文档版本04(2006-10-2