华为-MA5600-特性描述01-12 用户安全15403.docx

《华为-MA5600-特性描述01-12 用户安全15403.docx》由会员分享，可在线阅读，更多相关《华为-MA5600-特性描述01-12 用户安全15403.docx（12页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Error! Unknown document property name.特性描述插图目录录目录12 用用户安全全12-112.11 概述述12-212.22 PIITP112-2212.22.1 定义112-2212.22.2 遵循的的协议112-2212.22.3 和其他他特性的的关系112-2212.22.4 应用112-2212.22.5 原理112-2212.22.6 配置和和验证112-4412.33 DHHCP Opttionn 82212-412.33.1 定义112-4412.33.2 遵循的的协议112-4412.33.3 和其他他特性的的关系112-4412.33.4

2、应用112-4412.33.5 原理112-4412.33.6 配置和和验证112-4412.44 MAAC/IIP地址址和端口口绑定112-5512.44.1 定义112-5512.44.2 遵循的的协议112-5512.44.3 和其他他特性的的关系112-5512.44.4 应用112-5512.44.5 原理112-5512.44.6 配置和和验证112-55文档版本 Error! Unknown document property name. (Error! Unknown document property name.)华为技术有限公司5插图目录录图12-1 PPITPP应用组组网

3、图112-33Error! Unknown document property name.特性描述Error! No text of specified style in document.Error! No text of specified style in document.12 用户安全全关于本章章本章描述述内容如如下表所所示。标题内容12.1 概述简要介绍绍MA556000支持的的用户安安全特性性。12.2 PITPP介绍PIITP特特性。12.3 DHCPP Opptioon 882介绍DHHCP Opttionn 822特性。12.4 MAC/IP地地址和端端口绑定定介绍MAAC

4、/IIP地址址绑定特特性。12.1 概述MA56600提提供了多多种措施施保证用用户安全全：l PITPPl DHCPP Opptioon822l MAC/IP地地址和端端口绑定定12.2 PITPP12.2.1 定义策略信息息传送协协议PIITP（PPoliicy Infformmatiion Traansffer Prootoccol）是是华为技技术有限限公司HHGMPP协议族族中的一一种协议议。12.2.2 遵循的协协议华为集群群管理协协议HGGMP(Huaaweii Grroupp Maanaggemeent Prootoccol)。12.2.3 和其他特特性的关关系无。12.2.4

5、应用在MA556000上，PPITPP用于向向BRAAS设备备提供接接入用户户物理端端口的信信息。BBRASS设备获获取用户户端口信信息后，可可实现对对用户帐帐号与接接入端口口的绑定定认证，避避免用户户帐号的的盗用与与漫游。12.2.5 原理PITPP模式种种类PITPP支持以以下两种种模式：V模式式和P模模式。实实现原理理上，两两者功能能相似，都都是实现现帐号与与物理端端口信息息的绑定定，其区区别是：V模式介介绍BRASS设备主主动发起起用户端端口查询询请求，要要求MAA56000上报报接入用用户的物物理端口口信息。MMA56600通通过响应应报文，将将端口信信息发送送给BRRAS设设备。P

6、模式介介绍DSLAAM设备备主动发发起用户户端口信信息，MMA56600直直接在PPPPooE报文文中添加加TAGG标识，通通过PPPPoEE认证请请求报文文携带用用户物理理端口信信息来标标识用户户，将接接入用户户的端口口信息传传送给BBRASS设备。PITPP应用组组网如图12-1所示示。图12-1 PITPP应用组组网图V模式实实现过程程PITPP V模模式通过过对BRRAS设设备的响响应报文文来上报报用户的的物理端端口信息息。步骤 1 BRASS向MAA56000发起起请求报报文，要要求MAA56000上报报指定用用户的端端口物理理信息。步骤 2 MA56600收收到请求求报文后后，在响

7、响应报文文中加入入该用户户的端口口物理信信息。步骤 3 BRASS收到响响应报文文后将端端口物理理信息转转发到RRADIIUS服服务器进进行认证证，从而而实现了了用户帐帐号与端端口的绑绑定。-结束P模式实实现过程程PITPP的P模模式通过过PPPPoE认认证请求求报文携携带用户户物理端端口信息息来标识识用户。步骤 1 启动PIITP P模式式后，MMA56600捕捕获上行行的PPPPoEE报文并并查询该该报文上上行的端端口和PPVC信信息。步骤 2 在PPPPoE报报文中插插入含有有端口物物理信息息的Taag形成成PPPPoE Pluus报文文，通过过上行端端口转发发到BRRAS上上处理。步骤

8、 3 如果开启启了上报报端口激激活速率率的功能能，则在在PPPPoE Pluus报文文中将会会加入AADSLL2端端口的上上、下行行激活速速率。步骤 4 这样就实实现了用用户与设设备物理理端口的的捆绑，解解决了PPPPooE拨号号用户的的标识问问题。-结束l PPPooE PPluss不改变变PPPPoE报报文中的的其他域域。l PPPooE PPluss与普通通VLAAN、SSmarrt VVLANN、MUUX VVLANN、IGGSP、IIGMPP-prroxyy 兼容容。l PPPooE PPluss与DHHCP Opttionn82共共存，在在端口和和PVCC上共存存。12.2.6 配

9、置和验验证PITPP的配置置和验证证请参见见SmmarttAX MA556000 多业业务接入入设备 配置指指南。12.3 DHCPP Opptioon 88212.3.1 定义DHCPP Opptioon822是在DDHCPP报文中中添加可可信的标标识用户户端口和和终端信信息的选选项，提提供DHHCP serrverr分配IIP地址址和其他他参数的的合法性性依据和和参考。这这个选项项称之为为“DHHCP Rellay Ageent Infformmatiion Opttionn”，其其编号为为82，故故又简称称为DHHCP Opttionn82。12.3.2 遵循的协协议l IETFF RF

10、FC 221322 DHHCP Opttionns aand BOOOTP Venndorr Exxtennsioonsl IETFF RFFC 330466 DHHCP Rellay Ageent Infformmatiion Opttionn12.3.3 和其他特特性的关关系无。12.3.4 应用MA56600为为了提高高用户使使用DHHCP方方式获取取IP地地址和进进行接入入时的安安全性，完完全支持持DHCCP OOptiion882。12.3.5 原理目前广泛泛使用的的DHCCP功能能是没有有认证和和安全机机制的（特特别是独独立的DDHCPP seerveer），所所以在网网络上实实际

11、应用用时，相相对于PPPP，存存在DHHCP广广播过多多、DHHCP IP耗耗尽攻击击、IPP地址欺欺骗、MMAC地地址欺骗骗、用户户ID欺欺骗等诸诸多安全全性问题题，而且且缺乏对对DHCCP cclieent的的统一管管理。RFC330466 定义义了DHHCP报报文中的的DHCCP RRelaay AAgennt IInfoormaatioon OOptiion字字段，字字段编号号为822，当客客户端DDHCPP报文携携带该字字段信息息向DHHCP服服务器请请求分配配IP地地址时，DDHCPP服务器器可根据据报文携携带的该该信息判判断客户户端的合合法性。12.3.6 配置和验验证DHCPP

12、 Opptioon822的配置置和验证证请参见见SmmarttAX MA556000 多业业务接入入设备 配置指指南。12.4 MAC/IP地地址和端端口绑定定12.4.1 定义将MACC或IPP地址和和端口绑绑定，绑绑定后的的端口仅仅限绑定定的MAAC地址址或IPP地址接接入，其其他地址址不允许许接入。12.4.2 遵循的协协议无。12.4.3 和其他特特性的关关系无。12.4.4 应用MA56600支支持配置置MACC地址或或IP地地址与端端口的绑绑定，以以防止非非法用户户接入。12.4.5 原理一般来说说，MAA56000接入入端口没没有做任任何限定定的时候候，只要要用户接接入设备备能够接接入端口口并且知知道相关关认证信信息的话话，就可可以使用用该设备备非法接接入。MA56600通通过将MMAC或或IP地地址和端端口绑定定，限制制其他地地址的设设备不允允许从端端口接入入，一定定程度上上避免了了非法接接入。12.4.6 配置和验验证配置和验验证请参参见SSmarrtAXX MAA56000 多多业务接接入设备备 配置置指南。