文档介绍：目录
16 用户安全配置 16-1
关于本章 16-1
概述 16-1
相关概念 16-2
启动PITP功能 16-3
设置RAIO工作模式 16-5
设置以太网封装协议 16-6
启动DHCP Option82特性 16-7
设置DHCP报文最大长度 16-8
绑定IP地址 16-8
绑定MAC地址 16-9
插图目录
图16-1 PITP应用组网图 16-2
表格目录
表16-1 启动V模式相关操作列表 16-5
表16-2 设置RAIO工作模式的相关操作表 16-6
表16-3 设置以太网协议类型相关操作列表 16-6
表16-4 启动DHCP Option82特性相关操作列表 16-7
表16-5 启动DHCP Option82特性相关操作列表 16-8
用户安全配置
关于本章
本章包括以下内容:
标题
描述
概述
安全特性在MA5600中的配置。
相关概念
介绍本章相关概念。
启动PITP功能
介绍如何启动V模式。
设置RAIO工作模式
介绍如何设置以太网封装协议。
设置以太网封装协议
介绍如何启动P模式。
启动DHCP Option82特性
介绍如何启动DHCP Option82特性。
设置DHCP报文最大长度
介绍如何设置DHCP报文最大长度。
绑定IP地址
介绍如何绑定端口和IP地址。
绑定MAC地址
介绍如何绑定端口和MAC地址。
概述
业务描述
PITP协议(Policy Information Transfer Protocol,即策略信息传送协议)是华为技术有限公司HGMP协议族中的一种协议。PITP用于向BRAS设备提供接入用户物理端口的信息。BRAS设备获取用户端口信息后,可实现对用户帐号与接入端口的绑定认证,避免用户帐号的盗用与漫游。
DHCP Option82是在DHCP报文中添加可信的标识用户端口和终端信息的选项,供DHCP server分配IP地址和其他参数的合法性依据和参考。
业务规格
MA5600支持PITP的V模式和P模式,以及DHCP Option82,可以实现帐号与物理端口信息的绑定。
相关概念
V模式和P模式
PITP支持以下两种模式:V模式和P模式。实现原理上,两者功能相似,都是实现帐号与物理端口信息的绑定,其区别是:
V模式
BRAS设备主动发起用户端口查询请求,要求MA5600上报接入用户的物理端口信息。MA5600通过响应报文,将端口信息发送给BRAS设备。
P模式
DSLAM设备主动发起用户端口信息,MA5600直接在PPPoE报文中添加TAG标识,通过PPPoE认证请求报文携带用户物理端口信息来标识用户,将接入用户的端口信息传送给BRAS设备。
PITP应用组网如图16-1所示。
PITP应用组网图
V模式实现过程
PITP V模式通过对BRAS设备的响应报文来上报用户的物理端口信息。
BRAS向MA5600发起请求报文,要求MA5600上报指定用户的端口物理信息。
MA5600收到请求报文后,在响应报文中加入该用户的端口物理信息。
BRAS收到响应报文后将端口物理信息转发到RADIUS服务器进行认证,从而实现了用户帐号与端口的绑定。
----结束
P模式实现过程
PITP的P模式通过PPPoE认证请求报文携带用户物理端口信息来标识用户。
启动PITP P模式后,MA5600捕获上行的PPPoE报文并查询该报文上行的端口和PVC信息。
在PPPoE报文中插入含有端口物理信息的Tag形成PPPoE Plus报文,通过上行端口转发到BRAS上处理。
如果开启了上报端口激活速率的功能,则在PPPoE Plus报文中将会加入ADSL2+端口的上、下行激活速率。
这样就实现了用户与设备物理端口的捆绑,解决了PPPoE拨号用户的标识问题。
PPPoE Plus不改变PPPoE报文中的其他域。
PPPoE Plus与普通VLAN、Smart VLAN、MUX VLAN、IGSP、IGMP-proxy 兼容。
PPPoE Plus与DHCP Option82共存,在端口和PVC上共存。
----结束
DHCP Option82
目前广泛使用的DHCP功能是没有认证和安全机制的(特别是独立的DHCP server),所以在网络上实际应用时,相对于PPP,存在DHCP广播过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等诸多安全性问题,而且