文档介绍:目 录
13 平安特性配置 13-1
概述 13-2
相关概念 13-3
设置地址绑定 13-4
设置最大MAC地址数 13-5
设置MAC地址老化时间 13-6
配置防MAC地址欺骗功能 13-7
设置工作模式 13-7
设置MAC地址列表 13-8
配置PITP协议 13-9
设置PITP功能开关 13-9
设置PITP以太网封装类型 13-9
设置PITP编码格式 13-10
设置PITP option82功能 13-10
13-11
设置流量抑制 13-12
表格目录
表13-1 配置地址绑定相关操作列表 13-5
表13-2 设置最大MAC地址数相关操作列表 13-6
表13-3 13-11
平安特性配置
关于本章
本章介绍平安特性及其配置操作。
本章描述内容如下表所示。
标题
描述
概述
介绍以太网业务的平安特性。
相关概念
介绍平安特性的相关概念。
设置地址绑定
介绍PVC地址绑定的配置操作。
设置最大MAC地址数
介绍最大MAC地址数的配置操作。
设置MAC地址老化时间
介绍MAC地址老化时间的配置操作。
配置防MAC地址欺骗功能
介绍防MAC地址欺骗功能的配置操作。
配置PITP协议
介绍PITP协议的配置操作。
。
设置流量抑制
介绍流量抑制的配置操作。
概述
业务描述
MA5100以太网业务提供一系列平安特性,有利于运营商提高网络运行的平安。
业务规格
以太网业务的平安特性包括:
地址绑定
最大MAC地址数
MAC地址老化
防MAC地址欺骗
PITP功能
流量抑制
相关概念
地址绑定
当PVC设置地址绑定后,这条PVC上只有这个地址的数据帧才合法,其他地址的数据包都被认为是非法而丢弃。
MAC地址欺骗
如果某个ADSL用户将自己的MAC地址修改为与上层设备一致,那么LAN板会将该用户端口当作目的端口,导致所有上行到该上层设备的用户不能上网。
数据环网
如果两条〔或多条〕ADSL线路接入同一台HUB上,再通过这台HUB接入多个用户,那么其中一条ADSL下行数据到达HUB时将从另一条ADSL线路环回上行。上层设备检测到环路后,会将相应的MA5100/MA5103上行VLAN阻塞掉,从而导致该VLAN下所有用户不能上网。
环网上行的数据包包含了上层设备源MAC地址,类似于地址欺骗,可以通过源MAC地址过滤功能统一控制。
PITP协议
系统支持PITP〔Policy Information Transfer Protocol〕协议,通过在PPPoE认证请求报文中携带用户帐号、物理端口号、MAC地址、VPI/VCI等用户信息,提交BRAS设备验证,解决宽带用户的标识问题,实现用户帐号与用户端口的绑定。
PITP功能支持两种模式:V模式和P模式,二者互斥。其区别是:
V模式是BRAS设备主动发起用户端口查询。
P模式是MA5100设备主动发起用户端口查询。
PITP option82功能用来实现用户DHCP请求报文认证,通过在DHCP请求报文中添加物理端口号、MAC地址、VPI/VCI等用户信息,保证合法用户成功获得动态IP。
PITP option82解决了DHCP播送过多、DHCP IP耗尽攻击、IP地址欺骗、MAC地址欺骗、用户ID欺骗等平安性问题。
,对上下行数据包进行调度。
在上行方向,报文携带优先级信息发送到对端,由对端设备对报文进行优先级业务调度。上行报文的优先级在PVC建立时由priority参数设置。
在下行方向,MA5100设置2个优先级队列,根据优先级门限对下行数据进行调度。优先级门限为4时,系统将把优先级为0~4的下行数据包放入低优先级队列,将优先级为
5~6的下行数据包放入高优先级队列,当下行发生拥塞时系统根据设置的上下优先级进行业务调度。
调度时,系统根据上下优先级队列中的报文比率进行,如上下优先级队列报文比率设置为2:1〔如高优先级比率为14,低优先级比率为7,那么上下比率为2:1〕,在某时刻,当高优先级队列中报文为3M,低优先级队列中报文为2M,而带宽只有3M时,系统将根据设置的比率,高优先级队列只能传送2M,丢